2019年度信息科技風(fēng)險(xiǎn)管理報(bào)告

信息科技風(fēng)險(xiǎn)管理報(bào)告根據(jù)《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引》《**農(nóng)村商業(yè)銀行股份有限公司董事會議事規(guī)則》及有關(guān)要求，現(xiàn)將**（以下簡稱“本行”）2019年度信息科技風(fēng)險(xiǎn)管理報(bào)告報(bào)告如下。一、2019年基本情況按照《**農(nóng)村商業(yè)銀行股份有限公司崗位職責(zé)》，本行信息科技管理工作歸口于電子金融部，設(shè)信息系統(tǒng)維護(hù)崗2人。成立了計(jì)算機(jī)信息安全管理工作領(lǐng)導(dǎo)小組和信息系統(tǒng)重大突發(fā)事件應(yīng)急管理領(lǐng)導(dǎo)小組等，組織架構(gòu)齊全。二、2019年主要工作（一）內(nèi)部控制工作。本行結(jié)合內(nèi)部控制評價(jià)工作對相關(guān)的科技管理制度和操作規(guī)程進(jìn)行梳理和歸類，及時(shí)修改相關(guān)制度辦法，使其具有系統(tǒng)性、可操作性?，F(xiàn)執(zhí)行的制度有《**農(nóng)村商業(yè)銀行股份有限公司信息系統(tǒng)設(shè)施設(shè)備管理辦法（試行）》、《**農(nóng)村商業(yè)銀行股份有限公司信息系統(tǒng)數(shù)據(jù)安全管理辦法（試行）》、《**農(nóng)村商業(yè)銀行股份有限公司員工介質(zhì)管理辦法》、《**農(nóng)村商業(yè)銀行股份有限公司信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案（試行）》、《**農(nóng)村商業(yè)銀行股份有限公司便攜式移動(dòng)金融服務(wù)終端管理暫行辦法》等規(guī)章制度。（二）系統(tǒng)管理工作。信息系統(tǒng)由**省農(nóng)村信用合作聯(lián)社開發(fā)、測試和維護(hù)，我行對全轄機(jī)具設(shè)備和線路進(jìn)行調(diào)試、維護(hù)和管理，確保信息系統(tǒng)的正常運(yùn)行。一是省中心已對數(shù)據(jù)建立異地災(zāi)備，保證極端情況下生產(chǎn)系統(tǒng)正常運(yùn)行。本行進(jìn)行了各系統(tǒng)在不同運(yùn)營商線路切換的演練。二是關(guān)注系統(tǒng)安全漏洞最新情況，及時(shí)對新發(fā)現(xiàn)的安全漏洞打上安全補(bǔ)丁，目前系統(tǒng)已是最新最完整版本，已安裝了最新補(bǔ)丁。三是系統(tǒng)均安裝了省聯(lián)社指定桌面管理系統(tǒng)和病毒查殺軟件，對病毒、惡意代碼進(jìn)行安全防護(hù)。同時(shí)，嚴(yán)格控制操作人員在機(jī)器上運(yùn)行可能攜帶惡意代碼、病毒的腳本的外來第三方軟件。（三）設(shè)備管理工作。本行對業(yè)務(wù)設(shè)備領(lǐng)用、報(bào)廢進(jìn)行全流程管理。設(shè)置有一名專職科技人員對業(yè)務(wù)設(shè)備進(jìn)行日常巡檢、維護(hù)、更換，確保業(yè)務(wù)設(shè)備不掉線及正常工作。科技人員按照規(guī)定對計(jì)算機(jī)進(jìn)行必要的設(shè)備日常監(jiān)測、檢查、記錄，并及時(shí)掌握設(shè)備的運(yùn)行狀況。通過查閱ITSM管理平臺，及時(shí)受理各網(wǎng)點(diǎn)提交的系統(tǒng)運(yùn)行故障、業(yè)務(wù)處理差錯(cuò)、業(yè)務(wù)需求申請等業(yè)務(wù)工單，對其審核后，提交相關(guān)部門處理。對營業(yè)網(wǎng)點(diǎn)上報(bào)的網(wǎng)絡(luò)故障信息及時(shí)給予電話指導(dǎo)或現(xiàn)場處理。（四）機(jī)房管理工作。本行使用電信、移動(dòng)、聯(lián)通終端設(shè)備，路由器和交換機(jī)均放置總行三樓機(jī)房，機(jī)房場地、安全通道、防水等符合機(jī)房建設(shè)要求，災(zāi)害防御措施完善、設(shè)備齊全，供配電系統(tǒng)、空調(diào)系統(tǒng)、機(jī)房防雷和消防系統(tǒng)符合相關(guān)技術(shù)要求。（五）安全管理工作1.網(wǎng)絡(luò)安全工作。我行將外網(wǎng)與生產(chǎn)網(wǎng)絡(luò)實(shí)行物理隔離，對所有進(jìn)入內(nèi)網(wǎng)的終端均進(jìn)行綁定，路由器遠(yuǎn)程登錄采取ssh認(rèn)證。所有重要通信線路均雙線備份，且采用不同運(yùn)營商，確保網(wǎng)絡(luò)無斷點(diǎn)。訪問線路的帶寬能夠滿足各信息系統(tǒng)的帶寬需求，無網(wǎng)絡(luò)擁塞現(xiàn)象。2.設(shè)備安全工作。通過實(shí)地查看等方式，總行做好計(jì)算機(jī)病毒的防范工作，控制病毒的傳染，全轄終端設(shè)備裝有金山殺毒軟件、天珣防火墻等，并經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查、殺毒軟件及補(bǔ)丁升級，發(fā)現(xiàn)病毒及時(shí)消除，定期與不定期到網(wǎng)點(diǎn)進(jìn)行檢查。3.系統(tǒng)安全工作。一是業(yè)務(wù)應(yīng)用系統(tǒng)用戶密碼由相關(guān)業(yè)務(wù)人員各自保管，通過操作號和密碼及指紋進(jìn)行身份鑒別認(rèn)證，內(nèi)控制度規(guī)定人員離開時(shí)須設(shè)置屏幕密碼保護(hù)或退出到登陸狀態(tài)。二是業(yè)務(wù)系統(tǒng)用戶訪問實(shí)行權(quán)限控制，各級人員只能進(jìn)行權(quán)限內(nèi)操作。三是核心業(yè)務(wù)系統(tǒng)實(shí)行員工權(quán)限分級管理。4.機(jī)房安全工作。一是機(jī)房物理訪問實(shí)現(xiàn)門禁控制，嚴(yán)防外部人員進(jìn)入機(jī)房擅自操作。二是系統(tǒng)密碼均由專人員管理，計(jì)算機(jī)終端無人看管時(shí)鎖定。三是機(jī)房采用集中監(jiān)控，監(jiān)控清晰全面。四是機(jī)房供電系統(tǒng)均采用雙路UPS供電，線路冗余性好，負(fù)載能力強(qiáng)，能夠滿足機(jī)房電力需求。五是機(jī)房空調(diào)系統(tǒng)安全有效，給排風(fēng)系統(tǒng)工作正常。六是中心機(jī)房和災(zāi)備機(jī)房均有配套防盜竊、防雷、防火、防水、防靜電、溫濕度控制、電磁保護(hù)等措施，確保機(jī)房正常運(yùn)轉(zhuǎn)。（六）培訓(xùn)工作。為提高員工的信息科技業(yè)務(wù)素質(zhì)，我行強(qiáng)化對科技專業(yè)知識的培訓(xùn)，提高專業(yè)能力。一是加強(qiáng)科技人員的專業(yè)學(xué)習(xí)。安排科技人員參加了信息科技風(fēng)險(xiǎn)管理培訓(xùn)、數(shù)據(jù)防泄漏解決方案培訓(xùn)、四川農(nóng)信軟件源代碼安全知識培訓(xùn)、ZABBIX網(wǎng)絡(luò)監(jiān)控培訓(xùn)等信息科技安全相關(guān)培訓(xùn)，提高信息科技專業(yè)技能。二是加強(qiáng)對網(wǎng)點(diǎn)的培訓(xùn)和業(yè)務(wù)指導(dǎo)。組織開展了計(jì)算機(jī)應(yīng)用及網(wǎng)絡(luò)安全知識的培訓(xùn)，確保網(wǎng)點(diǎn)人員能實(shí)際處理業(yè)務(wù)中出現(xiàn)的小問題，保障業(yè)務(wù)能快捷辦理完成。三、2020年工作（一）加強(qiáng)培訓(xùn)學(xué)習(xí)。我行將加強(qiáng)信息科技相關(guān)的培訓(xùn)，進(jìn)一步提高科技人員信息安全專業(yè)知識，有效防范系統(tǒng)運(yùn)行故障及網(wǎng)絡(luò)安全事件的發(fā)生，提高故障處理速度，發(fā)揮總行對轄內(nèi)營業(yè)網(wǎng)點(diǎn)的指導(dǎo)、服務(wù)職能。（二）提高應(yīng)急處置能