2016年科技信息風險評估報告.doc

XX農商銀行關于科技信息業(yè)務風險評估報告根據XXX農村信用社聯合社關于印發(fā)XX農村信用社2015-2017年規(guī)劃的通知）及XX銀行2016年內控合規(guī)工作實施細則的要求，風險合規(guī)部對我行科技信息部2016年度的相關業(yè)務進行了風險評估，現將評估情況情況報告如下：一、 總體情況風險合規(guī)部于2016年12月1日至2016年12月5日對我行科技信息業(yè)務的風險狀況進行了評估，主要從組織領導、制度管理、崗位管理、員工培訓、安全設施等業(yè)務開展情況進行了檢查，結合檢查結果進行風險評估。 二、工作開展情況（一）科技信息組織領導通過查閱科技信息部考核辦法和相關責任狀，我行董事會設置了科技信息管理委員會，經營班子設置了計算機信息安全管理工作領導小組和信息系統重大突發(fā)事件應急管理領導小組等領導組織，組織機構組建齊全。（二）信息科技制度建設通過查閱出臺的信息科技制度、流程及辦法，信息科技部組織制定了各項規(guī)章制度，并結合內部控制評價工作對相關的科技管理制度和操作規(guī)程進行梳理和歸類，及時修改相關制度辦法，使其具有系統性、可操作性和全新性。（三）信息科技管理部門及崗位我行現已設立獨立的科技管理工作部門并配有符合條件的科技人員，結合自身實際設立科技管理崗、主機系統維護崗、設備維護崗、設備保管崗、檔案管理崗、風險控制及安全崗等必要的崗位，每個崗位配備2人以上操作維護人員，重要系統均配備AB角，并定期輪換，制定相應的崗位職責。（四）員工學習培訓通過查閱培訓計劃及資料、員工崗位輪換表、強制休假安排及審計報告，科技信息部年內組織開展了計算機知識的普及和應用輪訓培訓工作，嚴格落實上崗資格考試、崗位輪換和強制休假制度。（五）設備管理和維護通過查閱登記簿和檢查記錄，科技人員能夠按照規(guī)定對計算機進行必要的設備日常監(jiān)測、檢查、記錄，并及時掌握設備的運行狀況。通過查閱運維綜合管理平臺，部門能夠及時受理各網點提交的系統運行故障、業(yè)務處理差錯、業(yè)務需求申請等業(yè)務工單，并對其認真審核后，及時提交相關部門處理；對營業(yè)網點上報的網絡故障信息及時給予電話或現場指導。（六）機房網絡安全及消防設施通過查看網絡機房現場，安置地點無有害氣體和有放腐蝕、易燃易爆物體，并且避開強磁場、震動電源、噪音及潮濕的環(huán)境。機房內已配備防電磁干擾、電磁泄露、防靜電、防水、防盜、防鼠害等設施，配備必要的溫、濕度控制設備；機房內的防雷系統、監(jiān)控系統和消防系統能夠正常；機房內無堆放雜物，布局合理、整齊、整潔；定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災。嚴格控制網絡通信連接，內部網與外部網進行物理隔離；對內部網絡各節(jié)點的通信進行控制，防止各種非法訪問；對網絡的通信線路備份，對備份線路按月進行檢測。（七）安全檢查通過實地查看，科技信息部門及時做好計算機病毒的防范工作，控制病毒的傳染，并經常進行計算機病毒檢查，發(fā)現病毒及時消除；通過查看2016年10月28日網絡系統應急切換演練記錄，在保證系統日間正常運行發(fā)的前提下，對系統故障和災難進行了成功的演練。(八)技術檔案通過查看檔案室，檢查相關崗位人員對技術檔案登記入冊，標明內容、日期、密級、保存期限等信息，分類保管，技術檔案保管滿足了防盜、防潮、防火、防水、防鼠、防蟲、防磁、防震等要求。備份介質存放在專用介質庫內；(九)計算機病毒管理科技部門制定了防病毒系統管理策略和操作規(guī)程，產對其系統的有效性和完整性時行監(jiān)督檢查，定期組織員工舉辦病毒防治知識培訓，對新病毒的傳播和破壞機制進行跟蹤；各部門計算機安全員定期對防病毒系統進行維護和更新，對發(fā)現病毒時及時上報總行并采取清除措施并進行跟蹤、記錄。 三、工作中的不足及要求 通過檢查評估，我行科技信息業(yè)務風險可控，但在個別方面也存在不足和差距。（一）應設立專門的風險防控崗位，加強科技信息的風險防控；（二）進一步加強信息安全管理手段，如建立風險管理系統，部分風險控制手段不夠先進，缺乏專業(yè)的風險技術支持，事前預防有限，事中監(jiān)控不夠；（三）為防范系統運行故障的發(fā)生，提高故障處理速度，有效發(fā)揮總行對轄內營業(yè)網點的指導、服務職能，科技信息部門要不斷加強相關制度的培訓。 (四)不斷加強計算機機房的安全管理和計算機病毒的預防各治理工作,保證計算機各網絡系統的安全,保護信息資源的安全。 （五）不斷提高應對突發(fā)事件的綜合管理水平和應急處置能力，有效防范我行信息系統風險的發(fā)生。5