關(guān)于對(duì)XX銀行科技信息風(fēng)險(xiǎn)管理進(jìn)行專項(xiàng)審計(jì)的報(bào)告

1、關(guān)于對(duì) XX 銀行科技信息風(fēng)險(xiǎn)管理進(jìn)行專項(xiàng)審計(jì)的報(bào)告（模板）為有效防范、控制、化解利用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、 經(jīng)營(yíng)管理和內(nèi)部控制過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)， 促進(jìn) XXX 農(nóng)村信用 社安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)商業(yè)銀行內(nèi)部控制指引、 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引和有關(guān)信息系統(tǒng)管理的 法規(guī)、 XXX 聯(lián)社審計(jì)部根據(jù)市審計(jì)中心審計(jì)工作的安排，對(duì) 本聯(lián)社的科技信息風(fēng)險(xiǎn)管理進(jìn)行了專項(xiàng)審計(jì)，現(xiàn)將審計(jì)情況 報(bào)告如下：一、基本情況略。二、審計(jì)依據(jù)銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 、銀監(jiān)會(huì)商 業(yè)銀行數(shù)據(jù)中心監(jiān)管指引及省聯(lián)社信息科技相關(guān)制度和本 聯(lián)社信息科技相關(guān)管理文件。三、組織架構(gòu)、制度建設(shè)及管理情況1、信息科技治理

2、組織架構(gòu)（1）縣聯(lián)社董事會(huì)下設(shè)科技信息安全管理委員會(huì)，信 息安全管理委員會(huì)下設(shè)應(yīng)急處理領(lǐng)導(dǎo)小組?？萍脊芾砦瘑T會(huì)負(fù)責(zé)統(tǒng)一規(guī)劃全社的信息化建設(shè)， 指導(dǎo) 和監(jiān)督科技部門的各項(xiàng)工作，審議全社計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)方 案、軟件項(xiàng)目招標(biāo)、設(shè)備招標(biāo)和統(tǒng)一采購(gòu)及日常管理中重大 問(wèn)題的研究和建議。信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組負(fù)責(zé)組織制定全轄?wèi)?yīng)急處置 的實(shí)施細(xì)則，統(tǒng)一組織、協(xié)調(diào)、指導(dǎo)、檢查全轄?wèi)?yīng)急處置的 管理；負(fù)責(zé)全轄信息系統(tǒng)突發(fā)事件的應(yīng)急指揮、組織協(xié)調(diào)和 過(guò)程控制（2）成立了科技部，加強(qiáng)了科技運(yùn)維信息治理。 （3 ）科技風(fēng)險(xiǎn)審計(jì)工作由聯(lián)社稽核審計(jì)部完成。2、信息科技管理制度（1）安全管理對(duì)安全管理活動(dòng)中的各類管理內(nèi)容，依

3、據(jù)省聯(lián)社相關(guān)制 度建立安全管理制度，制定了由安全策略、管理制度、操作 規(guī)程等構(gòu)成的全面的信息安全管理。安全管理制度審定周期 為一年一次，并且及時(shí)發(fā)現(xiàn)缺漏或不足對(duì)制度進(jìn)行修訂，并 有修訂記錄（2）事件管理制訂了安全事件報(bào)告和處置管理制度信息安全事件 管理制度明確安全事件類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、 事件報(bào)告和后期恢復(fù)的管理職責(zé)，并根據(jù)國(guó)家相關(guān)管理部門 對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生 的影響，對(duì)安全事件進(jìn)行等級(jí)劃分，制定安全事件報(bào)告和響 應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置方法等，并 對(duì)發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件有異常情況上報(bào)規(guī)定（3 ）應(yīng)急處理建立較為完善的信息系統(tǒng)應(yīng)急

4、恢復(fù)策略河北省農(nóng)村信 用社聯(lián)合社計(jì)算機(jī)信息系統(tǒng)應(yīng)急處理方案，對(duì)各業(yè)務(wù)信息 系統(tǒng)進(jìn)行分類，按照重要程度，確定保障級(jí)別，制定了各信 息系統(tǒng)突發(fā)事件專項(xiàng)應(yīng)急預(yù)案。（4）安全操作規(guī)范及管理流程 聯(lián)社有完整的信息安全管理流程，控制信息安全管理。 包括介質(zhì)管理、網(wǎng)絡(luò)管理、維護(hù)及故障處理制度、軟硬件變 更流程、備份管理、機(jī)房管理、監(jiān)控管理、密鑰管理、巡檢 制度等等科技管理各項(xiàng)流程。四、信息科技風(fēng)險(xiǎn)管理情況（一）物理環(huán)境管理1、機(jī)房的物理訪問(wèn)控制：機(jī)房實(shí)現(xiàn)門禁控制，嚴(yán)防外 部人員進(jìn)入機(jī)房擅自操作。2、系統(tǒng)密碼均由專門人員掌管，計(jì)算機(jī)終端無(wú)人看管 時(shí)鎖定；3、機(jī)房采用集中監(jiān)控，監(jiān)控清晰全面，機(jī)房環(huán)境設(shè)施 均有專

5、人崗位值班管理，參數(shù)實(shí)行 24 小時(shí)不間斷監(jiān)控，崗 位人員具備管理監(jiān)控專業(yè)素質(zhì)。4 、機(jī)房供電系統(tǒng)均采用雙 UPS 供電，線路冗余性好， 負(fù)載能力強(qiáng)，完全能夠滿足機(jī)房電力需求。5 、機(jī)房空調(diào)系統(tǒng)的有效性和冗余性，給排風(fēng)系統(tǒng)的有 效性：機(jī)房空調(diào)系統(tǒng)安全有效，給排風(fēng)系統(tǒng)工作正常。6、中心機(jī)房配套防盜竊、防雷、防火、防水、防靜電、 溫濕度控制等措施，確保機(jī)房正常運(yùn)轉(zhuǎn)。（二）網(wǎng)絡(luò)管理綜合業(yè)務(wù)系統(tǒng)與外圍辦公系統(tǒng)嚴(yán)格隔離， 不存在混接現(xiàn) 象。中心機(jī)房配備路由器、交換機(jī)各兩套，承載業(yè)務(wù)轉(zhuǎn)接， 數(shù)據(jù)傳輸， 互為備份。 縣到市主干線路為電信和聯(lián)通， 縣到 網(wǎng)點(diǎn)線路為移動(dòng)和聯(lián)通線路，保障生產(chǎn)通訊線路通暢運(yùn)行。 網(wǎng)

6、絡(luò)設(shè)備管理配置均由專人分管負(fù)責(zé)， 確保合理操作， 保障 網(wǎng)絡(luò)通暢、安全；（三）應(yīng)用安全 1、業(yè)務(wù)應(yīng)用系統(tǒng)的用戶授權(quán)及鑒別認(rèn)證措施。業(yè)務(wù)應(yīng) 用系統(tǒng)用戶密碼相關(guān)業(yè)務(wù)人員各自保管，通過(guò)操作號(hào)和密碼 進(jìn)行身份鑒別認(rèn)證。人員離開(kāi)時(shí)應(yīng)設(shè)置屏幕密碼保護(hù)或退出 到登陸狀態(tài)。2、業(yè)務(wù)應(yīng)用系統(tǒng)的用戶訪問(wèn)控制。系統(tǒng)軟件用戶訪問(wèn) 實(shí)現(xiàn)權(quán)限控制，各級(jí)人員只能進(jìn)行權(quán)限內(nèi)操作（四）數(shù)據(jù)管理 本聯(lián)社信息系統(tǒng)的數(shù)據(jù)是實(shí)時(shí)存放于省中心，數(shù)據(jù)備份 工作也由省中心統(tǒng)一完成。（五）設(shè)備管理 本聯(lián)社按要求實(shí)行嚴(yán)格的內(nèi)、外網(wǎng)隔離，對(duì)不同的設(shè)備 實(shí)行不同的安全防護(hù)措施。對(duì)接入內(nèi)網(wǎng)的 PC 機(jī)已在省聯(lián)社 的統(tǒng)一部署下安裝卡巴斯基防病毒客戶端，

7、由后臺(tái)服務(wù)器定 期升級(jí)，實(shí)時(shí)有效防止計(jì)算機(jī)病毒入侵；對(duì)于柜面用終端安 裝卡巴斯基防病毒軟件， 有效控制病毒通過(guò) U 盤(pán)等移動(dòng)存儲(chǔ) 設(shè)備進(jìn)行傳播和有效識(shí)別所有接入設(shè)備；對(duì)于工作需要配備 的外網(wǎng)辦公用機(jī)，安裝殺毒軟件，實(shí)時(shí)在線升級(jí)防護(hù)。五、檢查發(fā)現(xiàn)存在的不足檢查發(fā)現(xiàn)工作日志對(duì)停電沒(méi)有記錄；存在外包機(jī)構(gòu)開(kāi)發(fā) 人員用自帶電腦同時(shí)接入本社內(nèi)外網(wǎng)情況；各網(wǎng)點(diǎn)均存在 wifi無(wú)線密碼控制能力弱問(wèn)題。通過(guò)檢查聯(lián)社管理層級(jí)和信息科技風(fēng)險(xiǎn)管理部門，以工 作制度和崗位責(zé)任制的形式規(guī)定了其管理職責(zé)的工作內(nèi)容 與操作要求，為各部門實(shí)施相應(yīng)的信息科技風(fēng)險(xiǎn)管理活動(dòng)提 供了依據(jù)和指導(dǎo)。XXX銀行審計(jì)部2017年10月30日其

8、中專業(yè)理論知識(shí)內(nèi)容包括：保安理論知識(shí)、消防業(yè)務(wù)知識(shí)也、職業(yè)道德、法律常識(shí)、保安禮儀、救護(hù)知識(shí)。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二培訓(xùn)的及要求培訓(xùn)目的安全生產(chǎn)目標(biāo)責(zé)任書(shū)為了進(jìn)一步落實(shí)安全生產(chǎn)責(zé)任制，做到“責(zé)、權(quán)、利”相結(jié)合，根據(jù)我公司2015年度安全生產(chǎn)目標(biāo)的內(nèi)容，現(xiàn)與 財(cái)務(wù)部簽訂如下安全生產(chǎn)目標(biāo)：一、目標(biāo)值：1、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2、現(xiàn)金安全保管，不發(fā)生盜竊事故。3、每月足額提取安全生產(chǎn)費(fèi)用，保障安全生產(chǎn)投入資金的到位。4、安全培訓(xùn)合格率為 100%。二、本單位安全工作上必須做到以下內(nèi)容：1、對(duì)本單位的安全生產(chǎn)負(fù)直接領(lǐng)導(dǎo)責(zé)任，必須

9、模范遵守公司的各項(xiàng)安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴(yán)格履行本人的安全職責(zé)，確保安全責(zé)任制在本單位全面落實(shí)，并全力支持安全工作。2、保證公司各項(xiàng)安全管理制度和管理辦法在本單位內(nèi)全面實(shí)施，并自覺(jué)接受公司安全部門的監(jiān)督和管理。3、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當(dāng)“安全與交貨期、質(zhì)量”發(fā)生矛盾時(shí)，堅(jiān)持安全第一的原則。4、參加生產(chǎn)碰頭會(huì)時(shí)，首先匯報(bào)本單位的安全生產(chǎn)情況和安全問(wèn)題落實(shí)情況；在安排本單位生產(chǎn)任務(wù)時(shí)，必須安排安全工作內(nèi)容，并寫(xiě)入記錄。5、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7、以身作則，不違章指揮、不違章操作。對(duì)發(fā)現(xiàn)的各類違章現(xiàn)象負(fù)有查禁的責(zé)任，同時(shí)要予以查處。8、虛心接受員工提出的問(wèn)題，杜絕不接受或盲目指揮；9 、發(fā)生事故，應(yīng)立即報(bào)告主管領(lǐng)導(dǎo)，按照“四不放過(guò)”的原則召開(kāi)事故分析會(huì)，提出整改措施和對(duì)責(zé)任者的處理意見(jiàn)，并填寫(xiě)事故登記表，嚴(yán)禁隱瞞不報(bào)或降低對(duì)責(zé)任者的處罰標(biāo)準(zhǔn)。10