农商银行信息科技自查报告.pdfVIP

农商银行信息科技自查报告

ⅩⅩ农商银行

按照上级领导的指示，我行认真贯彻《关于加强ⅩⅩ年重

要时期金融信息安全保障工作的通知》为充分做好重要时期

金融网络和信息系统安全保障工作，防范我行信息科技风

险，保障计算机系统运行和操作安全，建立和完善信息科技

风险管理机制。对我行的信息科技工作进行了一次全面的自

我评估及审查。现将审查情况报告如下：

一、组织架构、制度建设及管理情况

1.信息科技治理组织架构

（1）我行在董事会下设科技信息安全管理委员会，行

长室下设信息科技管理委员会，信息安全管理委员会下设应

急处理领导小组。

科技信息安全管理委员会全面负责领导和协调本行科

技信息安全。

科技管理委员会负责统一规划全行的信息化建设，指导

和监督科技部门的各项工作，审议全行计算机网络的设计方

案、软件项目招标、设备招标和统一采购及日常管理中重大

问题的研究和建议。

信息系统应急处理领导小组负责组织制定全辖应急处

置的实施细则，统一组织、协调、指导、检查全辖应急处置

的管理；负责全辖信息系统突发事件的应急指挥、组织协调

和过程控制

（2）我行成立了科技管理部和科技开发部，做到科技

运维和科技开发有效分离，加强了信息科技治理。

（3）科技风险审计工作由我行稽核审计部完成，信息

科技风险管理由风险管理部门完成。

（4）在支行层面则设立合规员，负责各支行科技信息

相关风险监控和报告

2.信息科技管理制度建设

（1）安全管理

对安全管理活动中的各类管理内容建立安全管理制度，

制定了由安全策略、管理制度、操作规程等构成的全面的信

息安全管理总则《陕西信用社联合社计算机信息系统安全管

理制度》，安全管理制度经信息安全领导小组审定，审定周

期为一年一次，并且及时发现缺漏或不足对制度进行修订，

并有修订记录

（2）事件管理

制订了安全事件报告和处置管理制度——《信息安全事

件管理制度》明确安全事件类型，规定安全事件的现场处理、

事件报告和后期恢复的管理职责，并根据国家相关管理部门

对计算机安全事件等级划分方法和安全事件对本系统产生

的影响，对安全事件进行等级划分，制定安全事件报告和响

应处理程序，确定事件的报告流程，响应和处置方法等，并

对发现的安全弱点和可疑事件有《异常情况上报规定》

（3）应急处理

建立较为完善的信息系统应急恢复策略《ⅩⅩ农村商业银

行计算机信息系统应急处理方案》，对各业务信息系统进行

分类，按照重要程度，确定保障级别，制定了各信息系统突

发事件专项应急预案。制定数据中心、灾备中心机房关键基

础设施专项应急预案。

（4）安全操作规范及管理流程

我行有完整的信息安全管理流程，控制信息安全管理。

包括介质管理、网络管理、维护及故障处理制度、软硬件变

更流程、备份管理、ATM安全管理、机房管理、监控管理、

密钥管理、巡检制度等等科技管理部各项流程。

（5）岗位职责与分工

配备一定数量的系统管理员、网络管理员、安全管理员

等。每个岗位设立2个以上操作维护人员。重要系统均配备

A/B角，A/B角定期轮换。明确岗位职责《科技管理部岗

位设置》《科技开发部工作职责》《科技管理部岗位百分考

核办法》

（6）密级管理制度

录用人员签署保密协议；制定人员离岗管理流程规范，

严格规范人员离岗过程，及时终止离岗员工的所有访问权

限；与外包商签订保密协议；有密级的安全管理制度，注明

安全管理制度密级，并进行密级管理。

二、信息系统的技术措施情况

1.物理和环境建设

（1）机房的物理访问控制：机房实现门禁控制，严防

外部人员进入机房擅自操作。

（2）系统密码均由专门人员掌管，计算机终端无人看

管时锁定；

（3）机房采用集中监控，监控清晰全面，机房环境设

施均有专人岗位值班管理，参数实行24小时不间断监控，

岗位人员具备管理监控专业素质。

（4）机房供电系统均采用双路UPS供电，线路冗余性

好，负载能力强，完全能够满足机房电力需求。