【正文】 本行已經(jīng)在內(nèi)部建立并健全了一系列的計算機系統(tǒng)安全管理制度，并由稽核部門對銀行計算機系統(tǒng)進(jìn)行專 項稽核，但未配 第 24 頁 共 24 頁 備專門的稽核人員，在廣度和深度上不夠，因此對照新指引的精神，從組織上保證信息風(fēng)險有具體人員來承擔(dān)責(zé)任，強化執(zhí)行力和合規(guī)性。本行將引進(jìn) aaa 統(tǒng)一認(rèn)證管理系統(tǒng)，加強系統(tǒng)用戶的授權(quán)，權(quán)限控制和賬號管理。 （ 4）建立了同城異地災(zāi)備中心，并制定了《江蘇 **農(nóng)村商業(yè)銀行異地容災(zāi)項目災(zāi)難恢復(fù)計劃書》，內(nèi)容包括危險級別的定義劃分、決策流程、災(zāi)難恢復(fù)團(tuán)隊、日常備份和恢復(fù)流程、災(zāi)難響應(yīng)和行動流程、災(zāi)難切換流程、災(zāi)備系統(tǒng)回切流程、災(zāi)難恢復(fù)計劃的測試、維護(hù)等。 業(yè)務(wù)應(yīng) 用系統(tǒng)用戶密碼相關(guān)業(yè)務(wù)人員各自保管，通過操作號和密碼進(jìn)行身份鑒別認(rèn)證。 設(shè)備、系統(tǒng)均有專人維護(hù)管理，部分設(shè)備、系統(tǒng)聘請專業(yè)公司人員進(jìn)行升級維護(hù)，崗位人員均具備相關(guān)素質(zhì)，并實行 ab 角色。 、冗余性 ，確保網(wǎng)絡(luò)無斷點。 **農(nóng)商行辦公網(wǎng)已經(jīng)部署了 vpn， inter用戶可以連接到內(nèi)部辦公網(wǎng)。正確地配置和使用防火墻。 （ 4）機房供電系統(tǒng)均采用雙路 ups 供電，線路冗余性好，負(fù)載能力強，完全能夠滿足機房電力需求。包括介質(zhì)管理、網(wǎng)絡(luò)管理、維護(hù)及故障處理制度、軟硬件變更流程、備份管理、 atm 安全管理、機房管理、監(jiān)控管理、密鑰管理、巡檢制度等等科技管理部各項流程?，F(xiàn)將審查情況報告如下： 一、組織架構(gòu)、制度建設(shè)及管理情況 （ 1）我行在董事會下設(shè)科技信息安全管理委員會，行長室下設(shè)信息科 技管理委員會，信息安全管理委員會下設(shè)應(yīng)急處理領(lǐng)導(dǎo)小組。操作員密碼必須定期不定期修改，并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴(yán)禁使用 6 位相同數(shù)字或電話號碼或生日號碼等，嚴(yán)禁口頭或電話告知操作密碼。 不嚴(yán)格執(zhí)行操作流程，造成安全隱患。 三、對備品、備件進(jìn)行了檢查，重新核實了備品、 備件的數(shù)量，并對其進(jìn)行加電測試，保證設(shè)備處于良好運行狀態(tài)，出現(xiàn)故障時能夠應(yīng)急使用。 （ 3）設(shè)備間嚴(yán)格控制出入人員，并保證營業(yè)網(wǎng)點外來人員有相關(guān)證件登記。加強操作人員權(quán)限和密碼管理。但在實際業(yè)務(wù) 第 5 頁 共 24 頁 操作中，系統(tǒng)管理員往往可以操作業(yè)務(wù)管理系統(tǒng)，而操作員之間代號混用，密碼沒有進(jìn)行定期更換，甚至有的操作員以系統(tǒng)管理員的身份登錄業(yè)務(wù)系統(tǒng)，這些現(xiàn)象的存在都導(dǎo)致風(fēng)險的發(fā)生。 解決方案： 加強網(wǎng)絡(luò)安全防范。計算機房、配電室、空調(diào)間等計算機系統(tǒng)的重要基礎(chǔ)設(shè)施要視為要害部門嚴(yán)格管理，配備防盜、防火、防水、防雷、防磁、防鼠害等設(shè)備，如果有條件可以安裝電視監(jiān)控系統(tǒng)。對機房重地也要嚴(yán)格的進(jìn)出制度，明確非本中心人員進(jìn)出應(yīng)履行批準(zhǔn)手續(xù)，同時要對中心工作人員加強安全保密覺悟的教育，尤其是同本中心以外的人員接觸要嚴(yán)守中心及機房的安全布局及運行情況的秘密。 第 2 頁 共 24 頁 實體風(fēng)險是人為地對計算機中心及其設(shè)施、設(shè)備進(jìn)行攻擊和破壞。 第 1 頁 共 24 頁 科技風(fēng)險自查報告 隨著我行不斷的進(jìn)行業(yè)務(wù)創(chuàng)新，從而極大的促進(jìn)了計算機及網(wǎng)絡(luò)技術(shù)在銀行業(yè)務(wù)領(lǐng)域的廣泛應(yīng)用，也使得各我行的電子化水平及服務(wù)水平都得到了不斷提高，不論是在服務(wù)層面或是管理層面都在逐步與世界接軌。銀行計算機系統(tǒng)存儲了大量金融和國民經(jīng)濟(jì)活動的信息，對銀行組織的管理決策和整個國家宏觀調(diào)控起著重要作用。 （二）硬件風(fēng)險。定期與電力、電信等部門協(xié)調(diào)，爭取技術(shù)支持，保證良好的供電環(huán)境和暢通的網(wǎng)絡(luò)環(huán)境。增 加網(wǎng)絡(luò)安全的投資，特別是有關(guān)網(wǎng)絡(luò)安全的硬件、軟件配備要到位，對連入內(nèi)部網(wǎng)的計算機要安裝并及時更新殺毒軟件版本，內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)絡(luò)要進(jìn)行物理隔斷，以提高其物理安全性；防止銀行的有關(guān)信息數(shù)據(jù)在網(wǎng)上被竊聽、篡改。（ 2）操作不當(dāng)或操作失誤風(fēng)險。對訪問數(shù)據(jù)庫的所有用戶要科學(xué)的分配權(quán)限 ，實現(xiàn)權(quán)限等級管理，嚴(yán)禁越權(quán)操作，密碼強制定期修改，數(shù)據(jù)輸入檢查嚴(yán)密，盡量減少人工操作機會；防止非法使用系統(tǒng)資源，指定專人進(jìn)行系統(tǒng)操作，及時清除各種垃圾文件，對一切操作要有記錄，以防誤操作損壞軟件系統(tǒng)或業(yè)務(wù)數(shù)據(jù)；應(yīng)用系統(tǒng)的運行環(huán)境應(yīng)封閉，防止一般用戶非法闖入操作系統(tǒng)，尤其要限制應(yīng)用終端進(jìn)行系統(tǒng)操作。 （ 4）支行技術(shù)人員每年一次對設(shè)備間的主要設(shè)備進(jìn)行巡檢， 第 7 頁 共 24 頁 確保設(shè)備能夠正常使用，并在相關(guān)登記本上記錄。 四、嚴(yán)格執(zhí)行值班制度，科技部安排了節(jié)日期間值班表，密切關(guān)注營業(yè)期間設(shè)備的運行狀況，存在問題第一時間到達(dá)現(xiàn)場進(jìn)行故障排查并及時解決；明確了網(wǎng)點的簽到及簽退時間，有特殊情況不能及時簽退的必須與科技部聯(lián)系說明情況。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險意識不強等原因造成了在操作過程中出現(xiàn)系列風(fēng)險。 加強內(nèi)控建設(shè)，強化監(jiān)督，完善防范機制。 科技信息安全管理委員會全面負(fù)責(zé)領(lǐng)導(dǎo)和協(xié)調(diào)本行科技信息安全。 （ 5）崗位職責(zé)與分工 配備一定 數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。 （ 5）機房空調(diào)系統(tǒng)的有效性和冗余性，給排風(fēng)系統(tǒng)的有效性：機房空調(diào)系統(tǒng)安全有效，給排風(fēng)系統(tǒng)工作正常。防火墻功能正確實施的關(guān)鍵是其安全策略的配置和管理，為企業(yè)的重要數(shù)據(jù)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)提供了一層可靠的安全保障。采用 vpn技術(shù)，加強信息傳輸過程中的安全防范，可以在公共 inter 網(wǎng)絡(luò)上提供安全通信。 。 常運行、維護(hù)培訓(xùn)，把相關(guān)技術(shù)移交給我行技術(shù)人員，對涉及二次開發(fā)的系統(tǒng)要求開發(fā)商提供完整的二次開發(fā)手冊，培訓(xùn)我行技術(shù)人員掌握二次開發(fā)技術(shù) 施：