信息科技风险专项检查自查报告总结.doc
科技信息系统和网站安全自查自纠报告
科技信息系统和网站安全自查自纠报告1. 引言科技信息系统和网站安全自查自纠报告是为了评估和改善科技信息系统和网站的安全性而进行的一项工作。
本报告旨在提供对科技信息系统和网站安全现状的详细分析,以及提出相应的改进措施,确保系统和网站的安全性和可靠性。
本报告将会涵盖对系统和网站的整体安全状况的评估,发现的安全漏洞,以及修复这些漏洞的具体建议。
2. 安全状况评估评估科技信息系统和网站的安全状况需要考虑以下几个方面:2.1 系统和网站架构首先,系统和网站的架构需要进行评估。
这包括系统和网站的组成部分、数据流和交互过程的安全性,以及防止恶意攻击的措施。
2.2 身份验证与访问控制其次,身份验证和访问控制是确保科技信息系统和网站安全的关键措施。
评估身份验证和访问控制的方法、流程和技术的有效性,以及是否存在可能被攻击者利用的弱点。
2.3 数据保护数据保护是科技信息系统和网站安全的基石。
评估数据的加密、存储和传输方式,以及是否存在数据泄露或其他数据安全问题。
2.4 统一威胁管理了解科技信息系统和网站所面临的威胁和风险,并评估已实施的威胁管理措施的有效性。
这包括安全事件的检测、响应和恢复能力。
3. 安全漏洞发现在对科技信息系统和网站进行自查自纠的过程中,发现了以下几个安全漏洞:3.1 用户密码安全性薄弱用户密码在系统和网站的安全中起到重要作用。
然而,经过测试发现,系统和网站中存在部分用户使用弱密码的情况。
这将增加系统和网站被破解的风险。
因此,建议加强密码策略,要求用户使用复杂的密码,并定期强制用户更改密码。
3.2 文件上传漏洞在网站的文件上传功能中发现了潜在的漏洞。
攻击者可能利用这个漏洞,上传恶意文件,导致系统和网站受到损害。
为了修复这个漏洞,建议对上传的文件进行严格的检查和过滤,确保只有合法的文件被上传到系统和网站中。
3.3 缺乏日志监控缺乏日志监控可以导致攻击活动被忽略或难以追踪。
为了改善这个问题,建议实施日志监控系统,并对所有重要的系统和网站活动进行记录和审计。
信息系统安全检查的自查情况报告
信息系统安全检查的自查情况报告一、引言为了保护公司的信息资产,确保信息系统的安全性和完整性,我公司定期进行信息系统安全检查。
本报告是对最近一次自查情况的汇报,旨在总结检查过程中发现的问题和存在的风险,并提出相应的解决方案和改进措施。
二、检查背景我公司于近期开展了一次全面的信息系统安全检查,检查范围涵盖了所有关键信息系统、网络设备以及与业务相关的数据库和应用系统。
检查目的在于及早发现并解决潜在的安全漏洞,提高信息系统的抗攻击能力和可靠性。
三、自查情况1. 身份认证与访问控制通过检查发现,公司存在一些身份认证和访问控制方面的问题。
例如,有些员工的账号权限设置较为松散,未按职责进行合理划分;存在部分无效账号未及时注销;密码强度要求不够,部分账号密码存在较为简单的情况。
为解决上述问题,我们计划进行以下改进措施:- 完善员工账号权限管理机制,按照岗位职责进行权限划分,实行最小权限原则;- 定期审查员工账号,及时注销无效账号;- 强化密码策略,要求员工设置复杂且定期更换密码。
2. 网络安全设备配置在网络安全设备的配置方面,我们发现存在一些问题。
例如,某些设备未及时更新软件补丁,导致存在已知漏洞;防火墙规则设置过于宽松,存在潜在的信息泄露风险。
为了改进上述问题,我们将采取以下措施:- 对网络设备进行定期巡检和维护,及时安装最新的软件补丁;- 优化防火墙规则,严格限制外部访问,并实施网络流量监控,及时发现异常情况。
3. 数据库和应用系统安全在数据库和应用系统方面的安全检查中,我们发现了一些问题。
例如,数据库服务器存在默认账号密码未更改的情况;应用系统的访问权限控制不够严格,存在未授权访问的隐患。
为了改进上述问题,我们将采取以下措施:- 对数据库服务器进行安全配置,更改默认账号密码,并定期修改数据库管理员密码;- 完善应用系统的权限管理机制,限制用户的访问权限,防止未授权的操作。
四、改进措施和建议基于对自查情况的总结和分析,我们提出以下改进措施和建议:1. 加强员工安全意识教育培训,提高员工对信息安全的重视程度。
信息科技自查报告
信息科技自查报告摘要本文档旨在对信息科技系统进行全面的自查和评估。
通过对系统的各个方面进行检测和分析,确定系统的存在问题和潜在风险,并提出相应的解决和优化方案。
本次自查主要涵盖了系统的安全性、稳定性、性能、可用性和合规性等方面,并将对检查过程中的主要发现和建议进行详细说明。
1. 引言随着信息科技的迅速发展,越来越多的组织和企业开始依赖信息系统来进行业务的支持和运营。
然而,信息系统的安全性和稳定性问题日益突出,这不仅会对企业的正常运营造成影响,还可能引发重大的安全风险。
因此,对信息科技系统进行定期的自查和评估变得至关重要。
本次信息科技自查报告的目标是通过全面的检查和评估,发现系统存在的问题,明确潜在的安全和风险隐患,并提出相应的改进措施和优化策略,以保证信息系统的安全、稳定和高效运行。
2. 自查范围本次自查主要覆盖以下方面:2.1 安全性检查•网络安全•数据安全•身份认证与访问控制•系统漏洞与补丁管理2.2 稳定性评估•系统可用性•故障恢复能力•系统备份与灾难恢复2.3 性能评估•硬件性能•网络性能•数据库性能2.4 合规性审查•法律法规合规性•信息安全管理标准合规性•数据隐私保护合规性3. 自查结果经过对系统的全面自查和评估,我们发现了以下问题和潜在风险:3.1 安全性检查结果•网络安全:存在未及时更新的防火墙规则和网络入侵检测系统的漏洞,可能导致网络攻击的风险。
•数据安全:敏感数据的存储和传输未进行加密处理,存在数据泄露的风险。
•身份认证与访问控制:缺乏严格的身份验证机制,可能面临未授权访问和信息泄露的风险。
•系统漏洞与补丁管理:存在已知的系统漏洞且未及时安装相关补丁,可能被黑客利用入侵系统。
3.2 稳定性评估结果•系统可用性:系统出现较为频繁的故障,影响了业务的正常运行。
•故障恢复能力:缺乏系统灾难恢复计划和应急响应机制,无法有效应对系统故障和灾难事件。
•系统备份与灾难恢复:系统数据备份不完善,可能导致数据丢失和不可恢复的风险。
信息科技自查自纠总结报告
信息科技自查自纠总结报告一、引言信息科技的快速发展,为企业的数字化转型提供了前所未有的机遇和挑战。
作为企业的技术支撑,信息科技部门承担着重要的责任,需要不断提升自身的技术能力和管理水平,确保信息系统的稳定运行和业务流程的高效实施。
为了及时发现和解决存在的问题,我们决定开展信息科技自查自纠工作,全面梳理我们的信息系统和技术资源,发现问题并及时改进。
二、自查自纠内容1. 信息系统安全通过对信息系统的漏洞扫描和安全评估,我们发现了一些潜在的安全风险,包括系统的权限设置不合理、漏洞补丁未及时更新等问题。
我们已经制定了相应的安全策略和控制措施,加强了对信息系统的安全防护和监控,确保系统的稳定运行和数据的安全性。
2. 信息技术管理我们通过对信息技术管理流程的评估,发现了一些管理不规范的现象,包括项目管理混乱、技术支持不及时等问题。
我们已经对管理流程进行了调整和优化,建立了完善的管理制度和流程,提高了信息技术管理的效率和质量。
3. 信息技术人员能力我们通过对信息技术人员的技术培训和评估,发现了一些人员的技术能力不足的情况。
我们已经开展了有针对性的技术培训和提升计划,提高了信息技术人员的专业水平和技术能力,确保了信息技术团队的整体素质和实战能力。
4. 信息技术资源利用我们通过对信息技术资源的利用情况进行分析,发现了一些资源浪费的现象,包括硬件资源闲置、软件许可证使用不规范等问题。
我们已经对资源利用情况进行了评估和调整,优化了资源配置和利用方式,提高了信息技术资源的利用效率和经济效益。
三、自查自纠效果通过自查自纠工作,我们全面梳理了信息系统和技术资源的情况,发现了存在的问题并及时改进,有效提升了信息技术的整体水平和服务质量,为企业的数字化转型提供了坚实的技术支撑。
我们将继续加强信息技术管理和技术人员培训,不断优化信息系统和技术资源的利用,提升企业的核心竞争力和市场影响力。
四、结语信息科技是企业发展的重要基石,需要我们不断学习和提升,适应市场变化和技术进步,确保信息系统的稳定运行和业务流程的高效实施。
信息技术自查报告
信息技术自查报告一、概述本报告旨在对公司的信息技术系统进行全面自查并提供评估结果,以便及时发现潜在问题并采取相应的措施加以解决。
本次自查涉及网络安全、数据管理、系统运行等多个方面,以下将逐一进行详细论述。
二、网络安全1. 网络拓扑结构:本公司采用了星型网络结构,确保了网络连接的稳定性和可靠性。
2. 防火墙设置:公司已在网络入口处配置了防火墙,对外部恶意攻击进行了有效的阻挡和检测。
3. 安全策略与访问控制:我们制定了详细的安全策略,并通过权限控制和访问控制机制确保只有授权人员可以进入敏感信息系统。
4. 数据加密与备份:公司对重要数据进行了加密存储,同时定期进行数据备份,以防止数据丢失或遭受病毒攻击的情况。
三、数据管理1. 数据分类与标识:我们对公司的数据按照敏感程度分类,并进行了相应的标识,以便在传输和存储中采取相应的安全措施。
2. 数据存储与处理:数据存储在安全的服务器和数据库中,只有授权人员可以进行数据的处理和操作,确保数据的机密性和完整性。
3. 数据备份和恢复:定期进行数据备份,并建立了数据恢复机制,以应对意外数据丢失的情况。
四、系统运行1. 硬件设备管理:公司及时维护和更新硬件设备,确保其正常运行和安全性。
2. 软件应用管理:对公司内部使用的软件进行合法授权,禁止使用盗版软件,保障系统的稳定和安全。
3. 操作日志与审计:建立了完善的操作日志和审计机制,记录每一次重要操作的详细信息,以方便追溯问题和发现潜在威胁。
4. 系统漏洞和更新:及时跟踪和更新系统补丁和安全软件,预防和修复可能存在的漏洞,提高系统的抵御风险能力。
五、结论与建议通过本次自查,我们对公司的信息技术系统进行了全面排查,并发现一些潜在问题。
基于此,我们提出以下建议:1. 加强员工网络安全意识培训,建立安全意识教育体系。
2. 定期对系统进行全面的安全漏洞扫描和评估,及时修复漏洞。
3. 加强对重要数据的访问控制和监测,防止数据泄露和非法使用。
信息科技风险自查报告
信息科技风险自查报告第一篇:信息科技风险自查报告信息科技自查报告按照上级领导的指示,我行认真贯彻精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。
对我行的信息科技工作进行了一次全面的自我评估及审查。
现将审查情况报告如下:一、设备间建设规范和管理规范(1)设备间安装了温湿度仪表,以用来监控机房温度和湿度,并能够及时开启控温控湿设备来保证机房的温度和湿度。
(2)设备间每周由网点经理或支行行长来对设备间的环境状况进行检查,并登记成册,以确保设备间保持整洁和规范。
(3)设备间严格控制出入人员,并保证营业网点外来人员有相关证件登记。
(4)支行技术人员每年一次对设备间的主要设备进行巡检,确保设备能够正常使用,并在相关登记本上记录。
二、应急管理和终端安全(1)支行会不定期对一些预案进行检查,确保这些预案是最新的,且告知网点人员张贴在需要的地方。
(2)支行每年会抽取一定的网点人员进行培训和演练,并书写心得和体会,确保网点人员能够正确的应对突发状况。
(3)支行每月会不定期的抽查相关电脑的软件安装情况,检查是否存在私自安装不必要的软件,以及是否私自开通ADSL等违规的网络。
第二篇:信息科技风险自查报告信息科技风险自查报告**农商行按照上级领导的指示,我行认真贯彻《关于加强2010年重要时期金融信息安全保障工作的通知》(银发[2010]57号文件)精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。
对我行的信息科技工作进行了一次全面的自我评估及审查。
现将审查情况报告如下:一、组织架构、制度建设及管理情况1.信息科技治理组织架构(1)我行在董事会下设科技信息安全管理委员会,行长室下设信息科技管理委员会,信息安全管理委员会下设应急处理领导小组。
科技信息安全管理委员会全面负责领导和协调本行科技信息安全。
银行信息科技风险自查报告
银行信息科技风险自查报告一、引言本报告是对银行的信息科技风险进行自查的结果总结和分析。
信息科技风险是指与银行的信息系统以及相关技术和设施相关的风险。
随着信息技术的快速发展,银行在使用信息科技的同时也面临着日益增加的风险。
因此,对信息科技风险进行自查是银行管理者必须要重视并进行的一项工作。
本报告将对银行的信息科技风险进行全面自查,并对发现的问题进行分析和整理,最后给出相应的解决方案和建议。
通过此次自查,旨在帮助银行加强信息科技风险防控,提高信息系统的安全性和可靠性,保护银行的资产和客户的利益。
二、自查内容本次信息科技风险自查主要包含以下内容:1. 信息系统安全性•网络安全性自查:包括防火墙设置、网络隔离措施、入侵检测与防御系统等。
•访问控制自查:包括用户账号管理、用户权限设置、密码策略等。
•数据安全性自查:包括数据备份与恢复、加密技术应用、数据存储与传输安全等。
2. 系统可靠性和可用性•系统备份与恢复自查:包括备份策略、备份频率、灾备恢复计划等。
•系统稳定性自查:包括系统运行监控、系统资源管理、故障处理等。
•系统性能自查:包括系统响应时间、系统吞吐量、系统负载等。
3. 信息科技管理•信息科技组织与人员自查:包括信息科技部门设置和职责、人员培训与考核等。
•信息科技策略与规划自查:包括信息科技战略与发展规划、项目管理与控制等。
•信息科技合规性自查:包括法律法规合规、信息安全合规、个人信息保护合规等。
三、自查结果与问题分析根据对银行的自查,整理出以下问题:序号问题描述风险等级建议和解决方案1 网络防火墙没有及时更新升级,存在安全隐患。
高及时更新升级网络防火墙软件,加强对外部攻击的防御。
2 数据备份频率不够,可能导致数据丢失。
中调整备份策略,增加数据备份频率,以保证数据的完整性和可靠性。
3 信息科技人员缺乏相关培训和考核,技术水平不足。
中加强人员培训和考核,提高信息科技人员的技术水平和素质。
4 未与相关法律法规及政策保持同步,合规性风险较高。
信息安全检查自查报告
信息安全检查自查报告一、背景介绍随着信息技术的迅猛发展,信息安全问题日益突出,给企业和个人带来了严重的风险。
为了加强组织对信息安全的保护,减少潜在的安全风险,本次进行了信息安全检查。
通过自查工作,全面了解信息系统的现状,发现和解决问题,从而确保信息安全的可靠性。
二、自查目的本次自查的目的是评估信息系统的安全性和可靠性,发现潜在的安全风险,并提出相应的改进措施,以保障信息安全。
三、检查范围本次自查工作主要包括以下方面:1.系统安全:检查服务器、网络设备、数据库等的安全设置和配置情况;2.应用程序安全:检查应用程序的安全漏洞、权限管理是否合理等;3.数据安全:检查数据备份、加密措施、安全访问控制等;4.用户安全:检查账号密码设置是否符合安全要求,是否存在使用弱密码的情况;5.安全培训:检查员工的安全意识和培训情况。
四、自查结果1.系统安全:我们发现服务器和网络设备的安全设置相对较好,已经启用了防火墙、入侵检测系统等安全设备。
但部分设备的软件版本较旧,存在安全漏洞的风险。
我们建议及时升级软件版本,并加强对设备的定期安全维护工作。
2.应用程序安全:经过检查发现,应用程序的权限管理较为合理,但存在一些常见的安全漏洞,如SQL注入、跨站脚本等。
我们建议加强对应用程序的安全漏洞扫描工作,及时修复发现的漏洞。
3.数据安全:经核查,数据备份工作有条理,但备份频率较低,建议增加备份频率,以便在数据丢失时能够及时恢复。
此外,数据加密措施需要进一步加强,并对重要数据进行离线备份,以防止数据泄露和丢失。
4.用户安全:用户的账号密码设置存在一些问题,如使用弱密码或多个账号共用一个密码。
我们建议加强对用户账号的权限管理,并要求用户定期更换密码,保证账号的安全性。
5.安全培训:通过与员工的交流,发现有一部分员工缺乏对信息安全的重视和培训。
因此,我们建议加强员工的安全意识培训,定期组织相关培训活动,并建立员工安全考核机制。
五、改进措施1.对服务器和网络设备进行定期的软件升级和安全维护,确保设备处于最新的安全状态;2.加强对应用程序的安全漏洞扫描,及时修复发现的漏洞;3.提高数据备份频率,加强数据加密措施,同时将重要数据进行离线备份;4.强化用户账号权限管理,要求用户定期更换密码,确保账号安全;5.加强员工的安全意识培训,定期组织相关培训活动,并建立员工安全考核机制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
********商业银行行股份有限公司********银行信息科技风险专项自查报告************中心:为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神,充分做好做好国庆期间金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。
根据《****农商银行系统重点业务风险点排查指引(试行)》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。
我行由分管信息科技领导、信息技术部组成自查工作小组,于8月19日-23日开展自查工作。
现将自查情况汇报如下:一、总体情况随着当前信息化建设步伐不断加快,我行各项业务对于信息系统的依赖日益加深,随之而来的系统和网络安全已成为安全管理的关键环节,其中薄弱环节成为信息科技风险的重要内容,网络安全运行工作事关经营、管理大局。
从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓信息化建设,一手抓风险防范。
截至报告日,全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。
二、组织架构、制度建设及管理情况(一)信息科技治理组织架构1.强化“三会一层”履职。
成立了以高管层和主要业务部门参加的信息科技管理委员会,定期或不定期履行职责,审议信息科技相关重大事件,本年度共计召开信息科技管理会议2次。
2.加大专业人员配备。
设立首席信息官。
参与我行与信息科技运用有关的业务发展决策,确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。
3.明确部门职责分工。
明晰信息科技实施、风险管理及审计职责。
信息技术部负责信息科技实施、管理工作,各支行设立兼职或专职计算机管理员,配合信息技术部开展应用推广、故障处理、设备维护工作;合规与风险管理部负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面;内部审计部负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划。
(二)信息科技管理制度建设1.安全管理方面。
对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》,安全管理办法经信息科技管理委员会审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订。
2.应急管理方面。
建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》,明确应急管理组织机构和职责,对突发事件进行分级,确定风险防范措施,制定了各信息系统突发事件应急处置方案。
对突发事件报告和应急响应也做了规定。
2019年1月开展了全辖范围内的业务连续性应急演练,并对应急演练发现的问题进行整改。
3.岗位职责与分工方面。
信息技术部员工9人,,人员配置能够满足当前业务发展的需要。
按照科技管理、运行维护等条线设立岗位,重要岗位均配备A/B角。
《********商业银行行计算机岗位人员管理办法》对相关岗位职责进行了规定。
4.安全操作规范及管理流程。
具备完整的信息安全管理流程,包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等科技管理流程。
三、信息技术管理情况(一)网络安全管理对自身网络安全管理情况进行现场检查,检查内容主要包括:内控制度;人员管理与访问控制;网络机房安全;网络接入安全;网络变更管理;网络应急管理;网络设备管理;日志与文档管理;第三方管理等方面。
根据文件要求,我行对重要网络设施进行了检查,总体管理有效,网络系统的组成结构及其配置合理。
内控制度方面,我行制定《计算机网络管理办法》和《互联网管理及违规处罚办法》,明确管理机构和人员职责,确认网络设备安装和运维的具体工作措施,健全互联网使用规范。
日常管理方面,依托机房人员出入登记、门禁管理以及巡检值班制度,确保网络设备物理安全、运行稳定,所有网络设备均设置密码,且仅由网络管理员保管并定期修改登记。
网络系统拓扑图、机柜标签、网络地址规划等网络运行资料已形成技术档案严格保密。
网络设备的日志和开机运行配置由省联社建设的IMC管理平台实现每周离机备份并永久保存,所有网络设备均纳入IMC管理,网络管理员定期查询设备运行情况并处理系统告警信息。
网络设备的接入和外联配置的变更,我行实行需求申请、有权人审批、网络管理员实施的流程管理。
实现内网安全方面,每台内网终端均安装杀毒软件,另切实抓好生产网络与其他网络的物理隔离,对生产网络实行严格保护。
自查发现:所有机柜均安装标签,部分网络机柜内线缆标签不够完善,目前已完成整改。
另外我行内网接入核心路由器的主备无法自行切换,因涉及辖内所有网点网络运行,安全隐患凸显。
该隐患已在省信息技术中心组织的2019年上半年H3C网络巡检中反馈。
(二)机房安全管理对我行机房运行管理情况进行细致自查,自查内容主要包括:机房管理制度;机房基础设施管理;机房设备管理;机房人员出入管理;机房消防管理;机房巡检和故障处理等方面。
我行机房根据《关于印发<安徽商业银行行系统计算机机房建设规范>的通知》、《安徽商业银行行系统计算机机房管理办法》的相关规定,整改建设完成,日常运维管理工作按照《********商业银行行机房管理办法》严格执行。
基础设施管理,机房通过门禁控制实现物理访问控制,严防外部人员未经允许进入机房。
供电系统均采用双路UPS 供电,线路冗余性好,负载能力强,能够满足机房电力需求。
空调系统的有效性。
机房均配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施,以确保机房正常运转。
机房消防管理严格贯彻“严防为主,防治结合”的方针,消防管理由信息技术领导具体负责,建立防火安全责任制做到值班人员“三懂”即懂火灾危害性,懂火灾的预防措施,懂灭火方法、“三会”,即会报警、会用消防器材、会补救明火。
机房消防器材定期维护配备足量,定期开展消防演练。
机房巡检工作由信息技术部当日值班人员每天进行4次,登记网络、电力、空调、设备等运转情况。
机房同时采用集中监控,参数实行24小时不间断监控,确保第一时间发现问题,处理问题。
自查发现:机房管理制度健全,基础设备配置齐全,设备管理、出入人员和巡检记录完整,机房管理有一定的应对消防灾情和故障处理的能力。
目前我行机房受制与空间狭小,基础配置过于拥挤,没有通风系统。
(三)数据安全管理制度方面,我行制定了《********商业银行行计算机信息系统数据管理办法》,对数据的使用和管理等做了比较细致的规定。
我行数据下发平台在省联社云服务器,主要用于存放省联社下发的数据。
平台的用户管理方面,root用户由专人负责,密码定期修改并用保密信封封存;普通用户由数据管理员负责。
自助取数平台的用户由数据管理员负责,目前主要用于省联社的一些业务数据分析和查询参考,不对外提供数据。
系统运行管理方面我行自建报表平台对数据下发情况进行监控和对数据进行校验。
并自建定时任务对下发数据每天传输到异地进行备份,保证了数据的容灾备份。
数据的使用管理目前主要依托我行自建的报表查询系统供业务条线人员使用。
数据的存储保管、备份策略和有效性验证、清理等方面也都按照制度制定了详细的策略台帐。
(四)终端安全管理1.终端采购选型情况我行使用终端按照省联社选型范围采购,使用终端为升腾N610、升腾945W和国光UT3019F+。
2.防病毒软件安装我行制定了《********商业银行行计算机病毒防治管理规定》,对所有内网终端均安装病毒查杀软件,保证杀毒软件全覆盖,及时更新病毒库,对病毒、恶意代码进行安全防护,对系统的有效性和完整性时行监督检查,定期组织员工举办病毒防治知识培训,对新病毒的传播和破坏机制进行跟踪,发现病毒及时采取清除措施。
3.重要补丁更新及时关注系统安全漏洞最新情况,及时对新发现的安全漏洞打上相关的安全补丁,经检查当前系统已是最新版本,已安装了最新补丁。
4.网信安全主题教育或培训方面我行积极开展网络安全、信息安全方面的宣传和培训,****4日开展信息科技培训,培训内容包括网络安全、病毒防治、信息安全等培训;****至26日我行开展科技活动周宣传活动,积极宣传网络、信息科技安全;****19日开展信息安全意识培训及考试,全面提升员工安全意识。
自查发现:内网杀毒软件病毒库更新只能离线更新,要做到及时更新,存在一定困难,建议省科技中心在杀毒软件总结点做联网更新,农商行联机更新病毒库。
(五)外包管理对我行信息科技外包管理开展情况进行自查,内容主要包括:外包管理职责;外包制度执行;外包策略执行;外包项目立项管理;外包项目过程管理;外包项目风险管理;开发类外包管理;运维类外包管理;外包供应商入场管理;供应商日常管理;供应商评价管理;外包供应商安全管理;外包供应商应急管理;外包人员入场管理;外包人员日常管理;外包人员安全管理。
我行已下发《********商业银行行科技外包管理办法》、《********商业银行行外包管理实施细则》、《********商业银行行外包商异常退出应急预案》其中明确了外包管理的组织架构与部门职责、外包项目管理、供应商管理与评价、人员管理、合同、实施、应急管理等内容,并认真落实日常管理工作。
我行外包业务类型结构简单,大部分为采购产品的售后服务类和设备维护类外包。
我行通过建立健全外包管理系统实现外包项目、供应商档案以及外包人员登记、管理工作,有效的解决了外包项目跟进难、供应商档案乱、人员管理无序等问题。
自查发现:外包管理系统的功能还不健全。
外包项目更新还不及时,供应商的档案信息登记不完整的问题,人员管理中的安全培训的频次不足、培训内容单一等问题。
(六)应急管理1. 制定预案,成立组织为保障本行信息科技系统能够安全、可靠、稳定运行,提高应对各类信息系统突发事件的能力,有效防范信息科技系统风险,妥善处置和应对信息科技突发事件,制定《**********商业银行商业银行计算机信息系统应急管理办法》、《********商业银行行业务连续性管理办法》等制度。
根据《********商业银行行计算机信息系统应急管理办法》成立信息系统应急管理领导小组,负责辖内信息系统应急管理工作,组建应急团队,在发生信息系统突发事件时,能够做到及时实施应急处置工作,应急团队包括应急领导小组、应急执行小组、支持保障小组。
由行长担任应急领导小组组长,副行长为副组长,各相关职能部门为应急领导小组成员,应急执行小组由信息技术部和相关业务部门主要负责人及涉及支行负责人组成,对应急领导小组负责,支持保障小组由办公室、人力资源、财务会计、合规与风险、监察保卫、电子银行等部门负责人组成。