银行年度信息科技风险管理报告.docxVIP

PAGE 1 PAGE 1 **银行*0*3年上半年信息科技风险 管理报告 *0*3年上半年我行信息科技风险管理运行情况整体平稳，风险可控，信息系统生产运行情况和网络安全运行情况需持续关注，业务连续管理工作持续推进。现将本季度的信息科技风险管理的工作情况汇报如下： 一、信息科技建设及风险防控主要情况 （一）信息科技制度体系建设情况 *0**年下半年我行组织开展了制度后评价，*0*3上半年双基管理中再次对现有制度原文与制度制定的内外规依据进行比对，结合内外部检查发现的制度问题以及收集的执行层面反馈的制度意见及建议，对制度进行检查。经过分析提出1*项制度需要修订。截至目前，完成《**银行信息科技项目管理办法》《**银行信息系统POC测试操作规程》《**银行信息安全管理办法（修订）》《**银行分支行信息科技工作管理办法（修订）》《**银行数据分析室管理办法（修订）》5项办法的修订工作，剩余7项正在修订。通过以上制度修订，实现系统建设由业务主导向科技主导转变，优化了流程，管理职责更加清晰，更贴近监管要求，信息科技制度体系不断完善。 （二）信息科技检查开展情况 一是我行坚持总行“合规经营、内控先行”的经营理念，信息科技条线根据内部合规检查计划对部分城区与县域支行进行了信息科技现场检查与现场培训，提升分支行信息科技内控管理水平。上半年已完成了71个机构的信息科技检查工作，对检查过程中发现的问题提出了整改要求。 二是我行上半年还开展了与第三方合作网络和数据安全排查、信息科技隐患专项整治排查、堡垒机操作行为检查、投产变更检查、开发室安全检查、数据中心基础设施检查等，通过以上排查全面揭示风险隐患，对排查中发现的问题建立问题台账并及时通报，持续做好问题整改跟踪工作。 （三）系统运行保障与优化情况 1.在系统运维方面，自主设计开发完成了IP地址管理SaaS，解决当前网络运维工作的一些难点、痛点；完成了Linux用户管理SaaS的开发及上线，实现了自动化管理我行Linux操作系统用户密码，提升了系统的安全性；完成了集中事件台的接收告警API的开发上线，实现赣饭基于真实交易的监控事件接入。 *.在系统优化方面，一是优化了现有核心生产系统性能，解决了业务高峰期网联热点账户锁表导致交易耗时长的问题，提高高峰时期大量并发业务的处理效率。同时，解决了同一虚拟柜员流水号锁表超时的问题。二是新信贷系统完成数据库单分片改造，数据库处理效率明显提升，其中日终批处理由原来3.9小时缩短至*.6小时，性能提升33%；三是完成共149条慢SQL优化，将慢SQL的执行耗时优化至1秒以内。四是完成人脸识别系统的升级改造，增加了炫光活体及人脸识别授权协议，对比老版本人脸识别新版本响应时间更短，识别速度更快，提升了人脸识别准确度和精度，改善用户体验。 （四）数据治理开展情况 一是15位身份证号升18位专项数据治理取得成效。本次数据治理共清理无效账户4338个，注销无效客户号4078个，升级18位身份证的客户7030个，对*1*5个客户的**07个账号做了非柜面限制交易，从根本上解决了我行客户身份证乱象问题。二是推动源系统客户信息问题数据治理，并制定《核心系统同一证件号码多个客户号的数据治理方案》。三是推动落标工作，完善数据标准。上半年审核1*个项目、11个系统、40轮次的项目落标映射，94个日常需求、17个系统、1*0轮次的元数据变更及落标审核。 （五）安全防控建设情况 一是常态化开展互联网威胁检测及漏洞挖掘分析。上半年共发现并处置钓鱼网站、仿冒APP等*74起互联网威胁事件，目前均完成处置，有效防止黑灰产对我行客户的欺诈行为。通过安全测试、渗透测试、代码审计以及漏洞扫描等多种手段，开展信息资产安全漏洞挖掘。二是开展网络安全攻防演练。为贯彻落实网络安全法要求，深入了解我行现有信息系统环境信息安全状况，采用红蓝对抗的方式开展网络安全攻防演练，对于发现的安全隐患已完成风险处置工作，演练过程与结果即充分评价了我行目前安全防护能力，也提升了科技人员面临网络安全攻击的应急处置能力。三是加快推进安全项目建设。完成网络攻击溯源反制系统招标采购以及部署工作，目前运行情况正常，主要保护用户接入区域，包括互联网测试区、互联网业务区以及公共服务区。四是开展了数据安全调研工作，采用现场访谈、远程访谈及调研问卷等形式，覆盖总行机关、分支行及南康赣商村镇银行，深入了解全行员工数据安全需求，了解我行目前数据安全工作实施的困难，以更好地贴合我行落地数据安全管理要求。 （六）信息科技风险和业务连续性管理情况 一是科技赋能，提升管理质效。自主研发了信息科技风险管理系统，依托系统建立了常态化的系统建设、生产系统运行、网络安全运行和数据中心安全运行的风险识别和监测机制，固化了信息科风险监测管理流程，提升了信息