銀行信息科技風(fēng)險防控報告

優(yōu)選文檔優(yōu)選文檔信息科技風(fēng)險防控匯報一、風(fēng)險防控工作的組織開展情況我行面臨的主要信息科技風(fēng)險：1.業(yè)務(wù)中斷風(fēng)險保證業(yè)務(wù)連續(xù)性是我行信息科技工作中的最重要的局部。我行面臨的首要的問題是信息系統(tǒng)建設(shè)的相對滯后跟不上業(yè)務(wù)高速開展的腳步。一旦產(chǎn)生軟硬件故障、系統(tǒng)超負荷運行、主干網(wǎng)絡(luò)中斷、病毒傳播、人為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務(wù)的中斷。數(shù)據(jù)是我行的根底，我行要為客戶提供一個可靠的環(huán)境確保數(shù)據(jù)資料的X性和平安性。隨著業(yè)務(wù)的開展，數(shù)據(jù)量不斷增大，數(shù)據(jù)平安風(fēng)險凸顯。數(shù)據(jù)平安風(fēng)險包含兩方面：一是數(shù)據(jù)竊取，主要是數(shù)據(jù)遭到竊取或者惡意篡改，導(dǎo)致客戶信息資料外泄，引發(fā)客戶不滿，引發(fā)法律風(fēng)險問題；二是數(shù)據(jù)喪失，主要是受到自然災(zāi)害、房屋倒塌等突發(fā)事件造成的存儲介質(zhì)毀壞，導(dǎo)致存儲介質(zhì)中數(shù)據(jù)喪失。電子銀行與網(wǎng)絡(luò)金融風(fēng)險電子銀行風(fēng)險主要是電子支付平安問題，包含ATM詐騙以及利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號和密碼等一些行為導(dǎo)致的客戶資金的損失。網(wǎng)絡(luò)平安是

網(wǎng)絡(luò)金融風(fēng)險的關(guān)鍵，一旦網(wǎng)絡(luò)平安受到破壞，網(wǎng)絡(luò)金融風(fēng)險將一發(fā)而不可收。系統(tǒng)漏洞風(fēng)險系統(tǒng)漏洞風(fēng)險是銀行信息系統(tǒng)開發(fā)缺陷被覺察和利用的風(fēng)險。系統(tǒng)漏洞風(fēng)險在系統(tǒng)設(shè)計之初難以覺察，隨著系統(tǒng)的推廣及運行，風(fēng)險將逐漸暴露，一旦被人利用，會對我行造成極大影響。其它，系統(tǒng)的密碼泄露和破解，也影響著系統(tǒng)的平安。外包風(fēng)險外包風(fēng)險主要是外包效勞商能否長期穩(wěn)定地為我行提供高質(zhì)量的效勞，能否及時響應(yīng)并修復(fù)系統(tǒng)故障，確保外包業(yè)務(wù)連續(xù)性。我行如果過度依賴外包效勞商，—旦出現(xiàn)突X況，勢必會影響我行業(yè)務(wù)連續(xù)開展。風(fēng)險防控工作采取的具體舉措和成效風(fēng)險防控工作采取的具體舉措和成效針對我行面臨的主要的信息科技風(fēng)險，我行在信息科技風(fēng)險治理方面采取以下策略。1.強化數(shù)據(jù)質(zhì)量及平安治理建立數(shù)據(jù)質(zhì)量常態(tài)化治理機制，累積真實、X、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù)，確保外圍治理系統(tǒng)數(shù)據(jù)應(yīng)用質(zhì)量要求，把控數(shù)據(jù)外泄風(fēng)險。上線數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)進行監(jiān)控。能夠?qū)崟r記錄數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作進行細粒度審計的合規(guī)性治理，對數(shù)據(jù)庫受到到的風(fēng)險行為進行告警，通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報，用來援助用戶事后生成合規(guī)匯報、事故追根溯源，同時強化內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)平安。上線數(shù)據(jù)脫敏系統(tǒng)：通過數(shù)據(jù)脫敏工具，完成數(shù)據(jù)的抽取、脫敏、裝載的自動運行，減少不必要的人機交互過程；完成整個流程的批量化、自動化、智能化處理；保證數(shù)據(jù)脫敏效率和質(zhì)量。在以后其他軟件開發(fā)、測試和其他非生產(chǎn)環(huán)境中平安的使用脫敏后的真實數(shù)據(jù)。組織制定全面的信息科技風(fēng)險治理制度體系，開展信息科技風(fēng)險識別評估、計量監(jiān)測、處置匯報和人員培訓(xùn)等風(fēng)險治理工作。通過開展信息平安培訓(xùn)，提升全行員工的信息平安意識；建立信息平安團隊，簽訂平安保密協(xié)議進一步標(biāo)準(zhǔn)信息平安工作；強化一般信息平安檢查，落實好信息平安工作：比方內(nèi)外網(wǎng)物理隔離的檢查，配合風(fēng)險治理部和審計稽核部開展科技風(fēng)險識別和評估，計量檢測和審計匯報。牽頭開展業(yè)務(wù)連續(xù)性治理工作，組織開展業(yè)務(wù)連續(xù)性治理制度和流程制訂、業(yè)務(wù)影響分析和資源建設(shè)。制定并完善業(yè)務(wù)連續(xù)性制度，制定業(yè)務(wù)連續(xù)性流程，制定業(yè)務(wù)連續(xù)性風(fēng)險方案。組建業(yè)務(wù)連續(xù)性組織架構(gòu)，成立信息平安委員會，負責(zé)領(lǐng)導(dǎo)業(yè)務(wù)連續(xù)性治理工作，并提供所需要的資源。開展業(yè)務(wù)連續(xù)性治理的業(yè)務(wù)影響分析。強化業(yè)務(wù)連續(xù)性治理的資源建設(shè)。完善業(yè)務(wù)連續(xù)性制度，統(tǒng)一業(yè)務(wù)連續(xù)性流程，明確人員職責(zé)。制定系統(tǒng)連續(xù)性治理方案：預(yù)防業(yè)務(wù)中斷，定期備份數(shù)據(jù)，把重要數(shù)據(jù)復(fù)制到本機以外地方，并加以平安保存。進行業(yè)務(wù)影響分析，定義關(guān)鍵業(yè)務(wù)優(yōu)先級。采取系統(tǒng)恢復(fù)和雙機熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排等方法降低影響。標(biāo)準(zhǔn)的業(yè)務(wù)連續(xù)性方案,明確降低短期、中期和長期中斷所造成影響的措施。4.強化信息平安治理開展信息平安治理制度、信息平安風(fēng)險、資產(chǎn)、人員、物理環(huán)境、操作、訪問操作、密碼、外包、系統(tǒng)和平安事件等方面的信息平安治理工作。制定并完善信息平安制度、電子設(shè)備治理制度、訪問操作治理制度、外包治理方法、密碼密鑰治理制度、計算機網(wǎng)絡(luò)治理方法等。明確人員職責(zé)，制定并完善人員治理制度。我行已建立資產(chǎn)治理系統(tǒng)、ITM主機監(jiān)控系統(tǒng)、堡壘機系統(tǒng)、桌面治理系統(tǒng)、日志審計系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、機房監(jiān)控系統(tǒng)、360殺毒系統(tǒng)，并積極參與省聯(lián)社進行的ATM防毒測試，方案近期上線ATM防毒系統(tǒng)。網(wǎng)絡(luò)方面，我行通過機房和網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實時監(jiān)控機房設(shè)備和網(wǎng)點網(wǎng)絡(luò)情況；通過天玥網(wǎng)絡(luò)平安審計系統(tǒng)，針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性治理；通過TDA防毒和亞信平安系統(tǒng)，對內(nèi)外網(wǎng)的網(wǎng)絡(luò)進行病毒檢測和查殺；通過360殺毒系統(tǒng)，對終端電腦進行防護；通過堡壘機系統(tǒng)，對遠程的系統(tǒng)登陸進行記錄和保護。系統(tǒng)方面，我行通過ITM主機監(jiān)控系統(tǒng)對重要系統(tǒng)的內(nèi)存、CPU、硬盤空間等情況實時監(jiān)控并預(yù)警；通過設(shè)立復(fù)雜密碼、密碼定期更換和超時退出等密碼策略保護系統(tǒng)賬戶平安；通過密碼和指紋雙因子驗證保證重要系統(tǒng)的登陸平安；通過桌面治理系統(tǒng)對終端進行重要操作的限制保護。5.強化信息科技開發(fā)治理強化開展制度、人員、實施、時間、風(fēng)險、本錢、質(zhì)量和文檔等方面的工程治理工作，要在立項、需求、設(shè)計、編碼、環(huán)境配置、測試、試運行、上線和驗收等工程周期內(nèi)各個環(huán)節(jié)做好風(fēng)險治理工作。制定并完善工程治理制度、軟件開發(fā)治理制度、源代碼治理制度、工程質(zhì)量治理制度，統(tǒng)一工程開發(fā)流程，明確人員職責(zé)。制定并完善開發(fā)人員治理制度、工程本錢治理制度，做好工程需求、設(shè)計及編碼的治理工作。制訂外包戰(zhàn)略制度，強化外包效勞供應(yīng)商治理，做好外包工程治理等工作。制定并完善外包治理制度，對效勞供應(yīng)商的招標(biāo)工作提供具體方案。制定信息科技外包策略，明確信息科技外包范圍、內(nèi)容和方法，處理好外包和自主研發(fā)的關(guān)系。建立和完善外包治理制度，標(biāo)準(zhǔn)外包立項、供應(yīng)商選擇、合同談判與簽署、一般治理和工程驗收等外包全過程治理。強化外包風(fēng)險防范：建立合同和協(xié)議合規(guī)審查機制，防范法律風(fēng)險；建立外包效勞商效勞質(zhì)量評價機制，強化對外包效勞商和外包人員的資格審查；強化對外包實施過程中的風(fēng)險防范，嚴格操作外包實施過程中的操作平安、數(shù)據(jù)保密、人員變更等風(fēng)險，制定外包突發(fā)事件應(yīng)急方案，防范供應(yīng)商效勞中斷或異常退出風(fēng)險。并且嚴禁將信息科技治理責(zé)任外包。三、風(fēng)險防控工作存在的問題和改進方案機房治理方面：空調(diào)監(jiān)控的提示存在問題，自己定期檢查還不夠到位，關(guān)鍵設(shè)備未進行電磁屏蔽防護，需將關(guān)鍵設(shè)備放置在電磁屏蔽機柜中。網(wǎng)絡(luò)方面：密碼更新周期執(zhí)行還不夠到位，平安設(shè)備治理員數(shù)量缺少，完成權(quán)限分配還不夠合理。主機方面：策略治理、配額分配還不夠到位，局部辦公電腦的開X碼存在簡單密碼情況，需符合復(fù)雜性密碼策略，存在效勞器密碼沒有定期更改的問題。數(shù)據(jù)處理和存儲：1某些系統(tǒng)數(shù)據(jù)沒有定期備份，或