2019年信息科技风险专项检查自查报告复习总结.docxVIP

********商业银行行股份有限公司 ********银行信息科技风险专项自查报告 ************中心： 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神，充分做好做好国庆期间金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引（试行）》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组，于8月19日-23日开展自查工作。现将自查情况汇报如下： 一、总体情况 随着当前信息化建设步伐不断加快，我行各项业务对于信息系统的依赖日益加深，随之而来的系统和网络安全已成为安全管理的关键环节，其中薄弱环节成为信息科技风险的重要内容，网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义，正确处理了发展与安全的关系，一手抓信息化建设，一手抓风险防范。截至报告日，全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。 二、组织架构、制度建设及管理情况 （一）信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会，定期或不定期履行职责，审议信息科技相关重大事件，本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策，确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作，各支行设立兼职或专职计算机管理员，配合信息技术部开展应用推广、故障处理、设备维护工作；合规与风险管理部负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面； 内部审计部负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划。 （二）信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》，安全管理办法经信息科技管理委员会审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》，明确应急管理组织机构和职责，对突发事件进行分级，确定风险防范措施，制定了各信息系统突发事件应急处置方案。对突发事件报告和应急响应也做了规定。2019年1月开展了全辖范围内的业务连续性应急演练，并对应急演练发现的问题进行整改。 3.岗位职责与分工方面。信息技术部员工9人，，人员配置能够满足当前业务发展的需要。按照科技管理、运行维护等条线设立岗位，重要岗位均配备A/B角。《********商业银行行计算机岗位人员管理办法》对相关岗位职责进行了规定。 4.安全操作规范及管理流程。具备完整的信息安全管理流程，包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等科技管理流程。 三、信息技术管理情况 （一）网络安全管理 对自身网络安全管理情况进行现场检查，检查内容主要包括：内控制度；人员管理与访问控制；网络机房安全；网络接入安全；网络变更管理；网络应急管理；网络设备管理；日志与文档管理；第三方管理等方面。 根据文件要求，我行对重要网络设施进行了检查，总体管理有效，网络系统的组成结构及其配置合理。内控制度方面，我行制定《计算机网络管理办法》和《互联网管理及违规处罚办法》，明确管理机构和人员职责，确认网络设备安装和运维的具体工作措施，健全互联网使用规范。 日常管理方面，依托机房人员出入登记、门禁管理以及巡检值班制度，确保网络设备物理安全、运行稳定，所有网络设备均设置密码，且仅由网络管理员保管并定期修改登记。网络系统拓扑图、机柜标签、网络地址规划等网络运行资料已形成技术档案严格保密。网络设备的日志和开机运行配置由省联社建设的IMC管理平台实现每周离机备份并永久保存，所有网络设备均纳入IMC管理，网络管理员定期查询设备运行情况并处理系统告警信息。网络设备的接入和外联配置的变更，我行实行需求申请、有权人审批、网络管理员实施的流程管理。实现内网安全方面，每台内网终端均安装杀毒软件，另切实抓好生产网络与其他网络的物理隔离，对生产网络实行严格保护。 自查发现：所有机柜均安装标签，部分网络机柜内线缆标签不够完善，目前已完成整改。另外我行内网接入核心路由器的主备无法自行切换，因涉及辖内所有网