信息科技风险防控报告
一、风险防控工作得组织开展情况
我行面临得主要信息科技风险:
1、业务中断风险
保障业务连续性就是我行信息科技工作中得最重要得部分。
我行面临得首要得问题就是信息系统建设得相对滞后跟不上业务高速发展得脚步。
一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务得中断。
2、数据安全风险
数据就是我行得基础,我行要为客户提供一个可靠得环境确保数据资料得准确性与安全性。
随着业务得发展,数据量不断增大,数据安全风险凸显. 数据安全风险包括两方面:一就是数据窃取,主要就是数据遭到窃取或者恶意篡改,导致客户信息资料外泄,引发客户不满,引发法律风险问题;二就是数据丢失,主要就是受到自然灾害、房屋倒塌等突发事件造成得存储介质毁坏,导致存储介质中数据丢失。
3、电子银行与网络金融风险
电子银行风险主要就是电子支付安全问题,包括ATM诈骗以及利用钓鱼网站、木马程序盗取客户得账号与密码等一些行为导致得客户资金得损失。
网络安
全就是网络金融风险得关键,一旦网络安全受到破坏,网络金融风险将一发而不可收。
4、系统漏洞风险
系统漏洞风险就是银行信息系统开发缺陷被发现与利用得风险。
系统漏洞风险在系统设计之初难以发现,随着系统得推广及运行,风险将逐渐暴露,一旦被人利用,会对我行造成极大影响。
另外,系统得密码泄露与破解,也影响着系统得安全.
5、外包风险
外包风险主要就是外包服务商能否长期稳定地为我行提供高质量得服务,能否及时响应并修复系统故障,确保外包业务连续性。
我行如果过度依赖外包服务商,一旦出现突发情况,势必会影响我行业务持续开展。
二、风险防控工作采取得具体举措与成效
针对我行面临得主要得信息科技风险,我行在信息科技风险管理方面采取以下策略。
1、强化数据质量及安全管理
建立数据质量常态化管理机制,积累真实、准确、连续、完整得内部与外部数据,确保外围管理系统数据应用质量要求,把控数据外泄风险.
上线数据库审计系统,对数据进行监控。
能够实时记录数据库活动,对数据库操作进行细粒度审计得合规性管理,对数据库遭受到得风险行为进行告警,通
过对用户访问数据库行为得记录、分析与汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
上线数据脱敏系统:通过数据脱敏工具,实现数据得抽取、脱敏、装载得自动运行,减少不必要得人机交互过程;实现整个流程得批量化、自动化、智能化处理;保障数据脱敏效率与质量。
在以后其她软件开发、测试与其她非生产环境中安全得使用脱敏后得真实数据。
2、加强信息科技风险管理
组织制定全面得信息科技风险管理制度体系,开展信息科技风险识别评估、计量监测、处置报告与人员培训等风险管理工作。
通过开展信息安全培训,提升全行员工得信息安全意识;建立信息安全团队,签订安全保密协议进一步规范信息安全工作;加强日常信息安全检查,落实好信息安全工作:比如内外网物理隔离得检查,配合风险管理部与审计稽核部开展科技风险识别与评估,计量检测与审计报告.
3、加强业务连续性管理
牵头开展业务连续性管理工作,组织开展业务连续性管理制度与流程制订、业务影响分析与资源建设。
制定并完善业务连续性制度,制定业务连续性流程,制定业务连续性风险预案。
组建业务连续性组织架构,成立信息安全委员会,负责领导业务连续性管理工作,并提供所需要得资源。
开展业务连续性管理得业务影响分析。
加强业务连续性管理得资源建设。
完善业务连续性制度,统一业务连续性流程,明确人员职责。
制定系统连续性管理预案:预防业务中断,定期备份数据,把重要数据复制到本机以外地方,并加以安全保存.进行业务影响分析,定义关键业务优先级.
采取系统恢复与双机热备处理等措施降低业务中断得可能性,并通过应急安排等方式降低影响。
规范得业务连续性计划,明确降低短期、中期与长期中断所造成影响得措施.
4、加强信息安全管理
开展信息安全管理制度、信息安全风险、资产、人员、物理环境、操作、访问控制、密码、外包、系统与安全事件等方面得信息安全管理工作。
制定并完善信息安全制度、电子设备管理制度、访问控制管理制度、外包管理办法、密码密钥管理制度、计算机网络管理办法等。
明确人员职责,制定并完善人员管理制度。
我行已建立资产管理系统、ITM主机监控系统、堡垒机系统、桌面管理系统、日志审计系统、网络监控系统、机房监控系统、360杀毒系统,并积极参与省联社进行得ATM防毒测试,计划近期上线ATM防毒系统。
网络方面,我行通过机房与网络监控系统,实时监控机房设备与网点网络情况;通过天玥网络安全审计系统,针对业务环境下得网络操作行为进行细粒度审计得合规性管理;通过TDA防毒与亚信安全系统,对内外网得网络进行病毒检测与查杀;通过360杀毒系统,对终端电脑进行防护;通过堡垒机系统,对远程得系统登陆进行记录与保护。
ﻩ系统方面,我行通过ITM主机监控系统对重要系统得内存、CPU、硬盘空间等情况实时监控并预警;通过设立复杂密码、密码定期更换与超时退出等密码策略保
护系统账户安全;通过密码与指纹双因子验证保证重要系统得登陆安全;通过桌面管理系统对终端进行重要操作得限制保护.
5、加强信息科技开发管理
加强开展制度、人员、实施、时间、风险、成本、质量与文档等方面得项目管理工作,要在立项、需求、设计、编码、环境配置、测试、试运行、上线与验收等项目周期内各个环节做好风险管理工作。
制定并完善项目管理制度、软件开发管理制度、源代码管理制度、项目质量管理制度,统一项目开发流程,明确人员职责。
制定并完善开发人员管理制度、项目成本管理制度,做好项目需求、设计及编码得管理工作.
6、加强信息科技外包管理
制订外包战略制度,加强外包服务供应商管理,做好外包项目管理等工作。
制定并完善外包管理制度,对服务供应商得招标工作提供具体方案。
制定信息科技外包策略,明确信息科技外包范围、内容与方式,处理好外包与自主研发得关系.建立与完善外包管理制度,规范外包立项、供应商选择、合同谈判与签署、日常管理与项目验收等外包全过程管理。
加强外包风险防范:建立合同与协议合规审查机制,防范法律风险;建立外包服务商服务质量评价机制,加强对外包服务商与外包人员得资格审查;加强对外包实施过程中得风险防范,严格控制外包实施过程中得操作安全、数据保密、人员变更等风险,制定外包突发事件应急预案,防范供应商服务中断或异常退出风险。
并且严禁将信息科技管理责任外包。
三、风险防控工作存在得问题与改进计划
机房管理方面:
空调监控得提醒存在问题,自己定期检查还不够到位,关键设备未进行电磁屏蔽防护,需将关键设备放置在电磁屏蔽机柜中。
网络方面:
密码更新周期执行还不够到位,安全设备管理员数量不足,实现权限分配还不够合理。
主机方面:
策略管理、配额分配还不够到位,部分办公电脑得开机密码存在简单密码情况,需符合复杂性密码策略,存在服务器密码没有定期更改得问题。
数据处理与存储:
1某些系统数据没有定期备份,或者备份数据保存在本机,存在一定丢失风险。
2没有采用第三方得技术或产品,如:DLP等,对重要数据实现数据传输保密性,建议利用通信网络将关键数据定时批量传送至备用场地
针对上述问题,我部已经展开了一系列得整改措施,对服务器网络安全等方面问题进行了整改。
目前也在考察u盘安全拷贝得系统,与第三方安全预警等产品。