2016年科技信息风险评估报告.docVIP

PAGE PAGE 5 XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》）及《XX银行2016年内控合规工作实施细则》的要求，风险合规部对我行科技信息部2016年度的相关业务进行了风险评估，现将评估情况情况报告如下： 总体情况 风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估，主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查 二、工作开展情况 （一）科技信息组织领导 通过查阅科技信息部考核办法和相关责任状，我行董事会设置了科技信息管理委员会，经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织，组织机构组建齐全。 （二）信息科技制度建设 通过查阅出台的信息科技制度、流程及办法，信息科技部组织制定了各项规章制度，并结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类，及时修改相关制度办法，使其具有系统性、可操作性和全新性。 （三）信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员，结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位，每个岗位配备2人以上操作维护人员，重要系统均配备A\B角，并定期轮换，制定相应的岗位职责。 （四）员工学习培训 通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告，科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作，严格落实上岗资格考试、岗位轮换和强制休假制度。 （五）设备管理和维护 通过查阅登记簿和检查记录，科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录，并及时掌握设备的运行状况。通过查阅运维综合管理平台，部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单，并对其认真审核后，及时提交相关部门处理；对营业网点上报的网络故障信息及时给予电话或现场指导。 （六）机房网络安全及消防设施 通过查看网络机房现场，安置地点无有害气体和有放腐蚀、易燃易爆物体，并且避开强磁场、震动电源、噪音及潮湿的环境。机房内已配备防电磁干扰、电磁泄露、防静电、防水、防盗、防鼠害等设施，配备必要的温、湿度控制设备；机房内的防雷系统、监控系统和消防系统能够正常；机房内无堆放杂物，布局合理、整齐、整洁；定期对机房供电线路及照明器具进行检查，防止因线路老化短路造成火灾。严格控制网络通信连接，内部网与外部网进行物理隔离；对内部网络各节点的通信进行控制，防止各种非法访问；对网络的通信线路备份，对备份线路按月进行检测。 （七）安全检查 通过实地查看，科技信息部门及时做好计算机病毒的防范工作，控制病毒的传染，并经常进行计算机病毒检查，发现病毒及时消除；通过查看2016年10月28日网络系统应急切换演练记录，在保证系统日间正常运行发的前提下，对系统故障和灾难进行了成功的演练。 (八)技术档案 通过查看档案室，检查相关岗位人员对技术档案登记入册，标明内容、日期、密级、保存期限等信息，分类保管，技术档案保管满足了防盗、防潮、防火、防水、防鼠、防虫、防磁、防震等要求。备份介质存放在专用介质库内； (九)计算机病毒管理 科技部门制定了防病毒系统管理策略和操作规程，产对其系统的有效性和完整性时行监督检查，定期组织员工举办病毒防治知识培训，对新病毒的传播和破坏机制进行跟踪；各部门计算机安全员定期对防病毒系统进行维护和更新，对发现病毒时及时上报总行并采取清除措施并进行跟踪、记录。 三、工作中的不足及要求 通过检查评估，我行科技信息业务风险可控，但在个别方面也存在不足和差距。 （一）应设立专门的风险防控岗位，加强科技信息的风险防控； （二）进一步加强信息安全管理手段，如建立风险管理系统，部分风险控制手段不够先进，缺乏专业的风险技术支持，事前预防有限，事中监控不够； （三）为防范系统运行故障的发生，提高故障处理速度，有效发挥总行对辖内营业网点的指导、服务职能，科技信息部门要不断加强相关制度的培训。 (四)不断加强计算机机房的安全管理和计算机病毒的预防各治理工作,保证计算机各网络系统的安全,保护信息资源的安全。 （五）不断提高应对突发事件的综合管理水平和应急处置能力，有效防范我行信息系统风险的发生。