一、风险防控工作的组织开展情况
我行面临的主要信息科技风险:
1.业务中断风险
保障业务连续性是我行信息科技工作中的最重要的局部。我行面临的首要的问题是信息系统建立的相对滞后跟不上业务高速开展的脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务的中断。 数据是我行的根底,我行要为客户提供一个可靠的环境确保数据资料的准确性和平安性。随着业务的开展,数据量不断增大,数据平安风险凸显。数据平安风险包括两方面:一是数据窃取,主要是数据遭到窃取或者恶意篡改,导致客户信息资料外泄,引发客户不满,引发法律风险问题;二是数据丧失,主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏,导致存储介质中数据丧失。
3.电子银行与网络金融风险
电子银行风险主要是电子支付平安问题,包括ATM以及利用钓鱼网站、木马程序盗取客户的账号和密码等一些行为导致的客户资金的损失。网络平安是网络金融风险的关键,一旦网络平安受到破坏,网络金融风险将一发而不可收。
4.系统漏洞风险
系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现,随着系统的推广及运行,风险将逐渐暴露,一旦被人
利用,会对我行造成极大影响。另外,系统的密码泄露和破解,也影响着系统的平安。
5.外包风险
外包风险主要是外包效劳商能否长期稳定地为我行提供高质量的效劳,能否及时响应并修复系统故障,确保外包业务连续性。我行如果过度依赖外包效劳商,一旦出现突发情况,势必会影响我行业务持续开展。
二、风险防控工作采取的具体举措和成效
针对我行面临的主要的信息科技风险,我行在信息科技风险管理方面采取以下策略。
齿轮齿条转向器1.强化数据质量及平安管理
建立数据质量常态化管理机制,积累真实、准确、连续、完整的内部和外部数据,确保外围管理系统数据应用质量要求,把控数据外泄风险。
上线数据库审计系统,对数据进展监控。能够实时记录数据库活动,对数据库操作进展细粒度审计的合规性管理,对数据库遭受到的风险行为进展告警,通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产平安。
上线数据脱敏系统:通过数据脱敏工具,实现数据的抽取、脱敏、装载的自动运行,减少不必要的人机交互过程;实现整个流程的批量化、自动化、智能化处理;保障数据脱敏效率和质量。在以后其他软件开发、测试和其他非生产环境中平安的使用脱敏后的真实数据。
2.加强信息科技风险管理
组织制定全面的信息科技风险管理制度体系,开展信息科技风险识别评估、计量监测、处置报告和人员培训等风险管理工作。
通过开展信息平安培训,提升全行员工的信息平安意识;建立信息平安团队,签订平安保密协议进一
步标准信息平安工作;加强日常信息平安检查,落实好信息平安工作:比方内外网物理隔离的检查,配合风险管理部和审计稽核部开展科技风险识别和评估,计量检测和审计报告。
3.加强业务连续性管理
牵头开展业务连续性管理工作,组织开展业务连续性管理制度和流程制订、业务影响分析和资源建立。制定并完善业务连续性制度,制定业务连续性流程,制定业务连续性风险预案。组建业务连续性组织架构,成立信息平安委员会,负责领导业务连续性管理工作,并提供所需要的资源。
开展业务连续性管理的业务影响分析。加强业务连续性管理的资源建立。完善业务连续性制度,统一业务连续性流程,明确人员职责。
制定系统连续性管理预案:预防业务中断,定期备份数据,把重要数据复制到本机以外地方,并加以平安保存。进展业务影响分析,定义关键业务优先级。采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排等方式降低影响。标准的业务连续性方案,明确降低短期、中期和长期中断所造成影响的措施。
4.加强信息平安管理
开展信息平安管理制度、信息平安风险、资产、人员、物理环境、操作、访问控制、密码、外包、系
统和平安事件等方面的信息平安管理工作。
制定并完善信息平安制度、电子设备管理制度、访问控制管理制度、外包管理方法、密码密钥管理制度、计算机网络管理方法等。明确人员职责,制定并完善人员管理制度。
我行已建立资产管理系统、ITM主机监控系统、堡垒机系统、桌面管理系统、
日志审计系统、网络监控系统、机房监控系统、360杀毒系统,并积极参与省联社进展的ATM防毒测试,方案近期上线ATM防毒系统。
网络方面,我行通过机房和网络监控系统,实时监控机房设备和网点网络情况;通过天玥网络平安审计系统,针对业务环境下的网络操作行为进展细粒度审计的合规性管理;通过TDA防毒和亚信平安系统,对内外网的网络进展病毒检测和查杀;通过360杀毒系统,对终端电脑进展防护;通过堡垒机系统,对远程的系统登陆进展记录和保护。
系统方面,我行通过ITM主机监控系统对重要系统的内存、CPU、硬盘空间等情况实时监控并预警;通过设立复杂密码、密码定期更换和超时退出等密码策略保护系统账户平安;通过密码和指纹双因子验证保证重要系统的登陆平安;通过桌面管理系统对终端进展重要操作的限制保护。
5.加强信息科技开发管理
加强开展制度、人员、实施、时间、风险、本钱、质量和文档等方面的工程管理工作,要在立项、需求、设计、编码、环境配置、测试、试运行、上线和验收等工程周期内各个环节做好风险管理工作。
智能家居管理系统制定并完善工程管理制度、软件开发管理制度、源代码管理制度、工程质量管理制度,统一工程开发流程,明确人员职责。制定并完善开发人员管理制度、工程本钱管理制度,做好工程需求、设计及编码的管理工作。
6.加强信息科技外包管理
制订外包战略制度,加强外包效劳供给商管理,做好外包工程管理等工作。制定并完善外包管理制度,对效劳供给商的招标工作提供具体方案。
制定信息科技外包策略,明确信息科技外包范围、内容和方式,处理好外包和自主研发的关系。建立和完善外包管理制度,标准外包立项、供给商选择、合同谈判与签署、日常管理和工程验收等外包全过程管理。
加强外包风险防范:建立合同和协议合规审查机制,防范法律风险;建立外包效劳商效劳质量评价机制,加强对外包效劳商和外包人员的资格审查;加强对外包实施过程中的风险防范,严格控制外包实施过程中的操作平安、数据保密、人员变更等风险,制定外包突发事件应急预案,防范供给商效劳中断或异常退出风险。并且严禁将信息科技管理责任外包。
熔炼焊剂三、风险防控工作存在的问题和改良方案
机房管理方面:
空调监控的提醒存在问题,自己定期检查还不够到位,关键设备未进展电磁屏蔽防护,需将关键设备放置在电磁屏蔽机柜中。
陶瓷纤维棉
网络方面:
密码更新周期执行还不够到位,平安设备管理员数量缺乏,实现权限分配还不够合理。
主机方面:
策略管理、配额分配还不够到位,局部办公电脑的开机密码存在简单密码情况,需符合复杂性密码策略,存在效劳器密码没有定期更改的问题。
电梯运行检测平台数据处理和存储:
1某些系统数据没有定期备份,或者备份数据保存在本机,存在一定丧失风险。如何自制纳米胶
2没有采用第三方的技术或产品,如:DLP等,对重要数据实现数据传输保密性,建议利用通信网络将
关键数据定时批量传送至备用场地
针对上述问题,我部已经展开了一系列的整改措施,对效劳器网络平安等方面问题进展了整改。目前也在考察u盘平安拷贝的系统,和第三方平安预警等产品。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议