银行科技条线风险点自查.pdf

银行科技条线风险点自查 一、信息科技管理部门人员配备不足 科技人员对潜在的信息科技风险因素难以做到充分的识别、 精确的计量和动态的监测与控制。 科技人员知识水平不高大部分 机构缺乏专业高素质人员， 科技人员的教育培训跟不上信息技术 的更新换代。信息科 技风险管理和控制方面的培训更少，缺少 完整、 系统的信息科技风险专业知识和管理技术手段。 对信息系 统开发、升级 、变更的管理、业务可持续性测试和规划等认识 比较模糊，极易忽视对信息科技漏洞和隐患的排查 、除险 ，在 认知上存在着对风险防范的盲区和误区。 二、制度建设不完善、不系统 信息科技风险管理和控制措施多分散于其他管理制度中， 没 有专门的科技风险管理度。 管理制度滞后于信息系统、 信息技术 的发展，没有随着新购买设备、设施而及时更新 、完善相关的 管理制度． 没有随着信息系统的升级换代而重新修订， 难以起到 防范信息科技风险的作用。 三、硬件基础设施薄弱 现在 ，在物理层面上实现了内、外网络的隔离，但针对Ｕ 盘 、移动硬盘等设备尚没有建立防护策略和有效的管理制约手 段．外网病毒容易通过上述设备侵入到内部网络， 导致内网带宽 － 1 － 被侵占，影响综合业务系统的正常运行。 ． 四、应急预案徒有形式 制定了系统应急预案 ，但大部分基层网点尚未根据预案对 电力设备、 网络设备等实施压力测试 ，也没有进行过应急演练。 应急预案还只是停留在形式上， 出现突发故障或紧急事件时不一 定能达到预期的处置结果。 另外，有些应急预案涵盖的项目过多， 针对性和可操作性不强，影响应急预案的实效。 － 2 －