关于信息科技风险自评工作的报告
XXX:
按照贵局《关于开展中小法人银行业金融机构信息科技监管评级工作的通知》要求,我行迅速组成自评估调查小组,按照全面、系统的要求,认真进行自评估分析,现将情况汇报如下:
一、提高认识,建立健全了信息系统安全风险防范体系。 随着电子化建设不断走向深入,我行主要业务逐步依赖于计算机综合业务系统,随之而来的系统和网络安全已成为安全管理的关键环节和薄弱环节,尤其自二00六年五月底我县顺利并入全省农信社通存通兑网络后,网络安全运行工作事关全县改革,经营、管理大局。我行从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓电子化建设,一手抓风险防范。截止目前,已经初步按照上级主管部门统一标准建立起较完善的网络和信息安全风险防范体系。我们主要做到了以下几方面工作:
(一)加强制度建设,规范操作行为,我们从健全制度入手,先后修改完善了《综合业务网络系统柜员管理办法》、《综合业务网络系统业务授权管理办法》、《综合业务网络系统网点运行管理制度》、《综合业务网络系统设备管理制度》、《综合业务网络系统突发事件应急处置预案》、《防范病毒管理制度》、《机
房管理制度》,修改制定了《综合业务网络系统安全运行管理处罚办法》等制度、规定,切实将我行的网络安全管理责任落到实处。
(二)加强硬件及网络环境建设,避免系统风险。 1、实现了内网与外网的严格的物理分离,内网主线路为光纤专线,备份线路为音频专线,有关内网用机保证了专机专用。
2、为每个网点制做了规范的地线,并为网络设备配备了专用机柜。与综合业务网络系统有关的机房、办公室、营业网点都配备有消防器材。
3、定期对中心机房及网点计算机专用供电线路及网络线路进行专项整治,对老化的线路进行了更新,对有隐患的线路进行了整改。
4、所有网点都有不间断电源保护。并定期对老化的设备,如UPS,参数稳压器,发电机进行统一的更新。对网点所用设备都按一定比例配齐了备用设备。
5、上线初期,即制定下发了《计算机业务管理制度(暂行)》,规范了业务操作、授权和口令以及人员和设备的管理。明确要求业务人员离开时,业务终端必须退出。在随后的多次检查中没有发现不规范操作的现象。
6、制定了《防范病毒管理制度》,确定了专人进行全辖病毒防治工作。
7、组织相关系统集成方和线路运营方对县中心机房进行安全风险测试,排除隐患。
8、制定了《XX县信用联社机房管理制度》,建立了机房工 作人员及非工作人员出入管理规定。
二、加强领导,落实了网络和信息安全责任制。 为加强信息科技和信息安全的管理,严格落实信息安全责任制,我行成立网络与信息安全工作领导小组,各机构也成立了相应的工作小组,全面负责本单位的信息安全和运行管理工作,总行建立了信息科技及技术风险管理部门,设立了专职管理人员,网络和信息安全责任落实到位。积极地做好了信息安全工作的组织领导和指导监督工作,从加强员工安全教育和业务培训入手,避免出现管理风险、结算风险、操作风险,确保了网络和信息系统的安全稳定运行。在本次自评估中,各级领导对评估工作高度重视,风险评估工作得到了广泛认同和支持,顺利地开展并卓有成效地进行,获得了客观、真实和有效的评估结果。
(一)领导重视,相互配合。
在自评估过程中,总行主要领导非常重视,召开专门会议,指定部门和专人负责评估工作。分管领导多次听取情况汇报,及时提出要求,进行工作部署。信息管理部门负责人亲自带队参与评估工作,抓好落实。各相关公司及线路运营商派来有丰富经验的技术工程师参加测评工作,提前做好准备工作。信息安全风险评估工作涉及信息系统的主管部门、建设单位、运行维护部门、
使用部门、安全管理部门以及技术支持单位和产品或服务提供商。在各方的协调配合下,评估小组相互支持,谨慎从事、认真负责、积极协作,较好地完成了风险评估工作。
(二)严格审查,保证质量。
信息安全风险评估是一项崭新的工作,其专业性、技术性很强,为了确保测评工作质量,联社运管部按照银监会下发的《信息安全风险评估指南》,从工作内容、测评目的、操作规程、技术手段等方面,以及评估的各个环节上严格把关,适时提出安排意见,有效地保证了测评工作的顺利进行。
(三)积极行动,有效整改。
通过风险评估,各有关单位对现有信息网络和信息系统的资产、运行状况、存在问题等有了全面翔实的了解,针对网络和系统客观存在的安全隐患和安全风险,各单位正在积极研究有效解决方案。
三、加强维护、建立了网络和信息安全应急预案。 我行高度重视网络信息安全防范工作,建立了网络信息安全应急预案,为避免出现不安全情况,对潜在的突发事件和重大操作,事先有预防措施、应急处置程序和恢复控制办法;明确了各责任区域责任人及其工作职责;定期进行应急预案演练,检验其操作性和效果;各机构确定专人,作为营业机构系统管理人员(兼),提供工作条件和培训机会,建立了多层次的系统维护管理人员体系,提高了处理突发事件的效率和能力。
通过此次风险评估工作,找出了信息系统存在的不安全因素,发现了一些安全隐患,制定了整改措施,增强了系统的安全性。我们认识到,信息安全工作是一项长期的任务,这次评估工作仅仅是一个起点。今后,我们要将评估工作长期开展下去,逐步扩大评估范围,加深评估工作的深度,贯彻落实整改措施,不断提高我县农村信用社信息系统的安全性,完整性和可用性,以保证各项工作顺利进行。
因篇幅问题不能全部显示,请点此查看更多更全内容