【正文】 系統(tǒng)具備較高的可用性，所有前置系統(tǒng)都有備機(jī)，且定期切換演練，系統(tǒng)重要設(shè)備和組件均有相應(yīng)的定時(shí)備份。 ，定期對(duì)預(yù)案修訂和培訓(xùn)， 目前，我行針對(duì)世博會(huì)演練了信貸系統(tǒng)切換，中心機(jī)房供電演練，影像支付系統(tǒng)演練，網(wǎng)銀系統(tǒng)惡意攻擊模擬演練。 設(shè)備、系統(tǒng)均有專(zhuān)人維護(hù)管理，部分設(shè)備、系統(tǒng)聘請(qǐng)專(zhuān)業(yè)公司人員進(jìn)行升級(jí)維護(hù)，崗位人員均具備相關(guān)素質(zhì)，并實(shí)行 ab 角色。 常運(yùn)行、維護(hù)培訓(xùn)，把相關(guān)技術(shù)移交給我行技術(shù)人員，對(duì)涉及二次開(kāi)發(fā)的系統(tǒng)要求開(kāi)發(fā)商提供完整的二次開(kāi)發(fā)手冊(cè)，培訓(xùn)我行技術(shù)人員掌握二次開(kāi)發(fā)技術(shù) 施： 系統(tǒng)軟件用戶(hù)密碼相關(guān)人員各自保管，重要系統(tǒng)管理密碼實(shí)行分左右手密碼保管原則，系統(tǒng)軟件用戶(hù)訪(fǎng)問(wèn)實(shí)現(xiàn)權(quán)限控制，各級(jí)人員只能進(jìn)行權(quán)限內(nèi)操作。 。制定了變更管理的主要準(zhǔn)則和規(guī)章制度， 第 20 頁(yè) 共 24 頁(yè) 變更管理的審批授權(quán)機(jī)制和工作流程；對(duì)變更管理進(jìn)行登記、備案和存檔，制定了非計(jì)劃性緊急變更的實(shí)施方案、備份和恢復(fù)。 ，確保系統(tǒng)穩(wěn)定運(yùn)行 系統(tǒng)處理容量增長(zhǎng)趨勢(shì)完全滿(mǎn)足增量業(yè)務(wù)需求，并有適度冗余。 及時(shí)關(guān)注系統(tǒng)安全漏洞最新情況，及時(shí)對(duì)新發(fā)現(xiàn)的安全漏洞打上相關(guān)的安全補(bǔ)丁。經(jīng)檢查當(dāng)前系統(tǒng)已是最新最完整版本，已安裝了最新補(bǔ)丁 、惡意代碼的安全防護(hù) 系統(tǒng)均安裝病毒查殺軟件，對(duì)病毒、惡意代碼進(jìn)行安全防護(hù)。同時(shí)嚴(yán)格控制操作人員在機(jī)器上運(yùn)行可能攜帶惡意代碼、病毒的腳本的外來(lái)第三方軟件 ，對(duì)系統(tǒng)的安全配置實(shí)行不定期檢測(cè)，對(duì)可能存在的隱患進(jìn)行排除。 業(yè)務(wù)應(yīng) 用系統(tǒng)用戶(hù)密碼相關(guān)業(yè)務(wù)人員各自保管，通過(guò)操作號(hào)和密碼進(jìn)行身份鑒別認(rèn)證。人員離開(kāi)時(shí)應(yīng)設(shè)置屏幕密碼保護(hù)或退 第 21 頁(yè) 共 24 頁(yè) 出到登陸狀態(tài)。 系統(tǒng)軟件用戶(hù)訪(fǎng)問(wèn)實(shí)現(xiàn)權(quán)限控制，各級(jí)人員只能進(jìn)行權(quán)限內(nèi)操作 、備份可用性 （ 1）對(duì)各應(yīng)用系統(tǒng)指定相應(yīng)備份策略，指定不同級(jí)別的具體備份操作，每次備份完畢應(yīng)檢查備份數(shù)據(jù)的有效性，并異地妥善保管好磁介質(zhì)，重要數(shù)據(jù)永久保存 （ 2）應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份 介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。 （ 3）不定期對(duì)數(shù)據(jù)進(jìn)行抽檢，與業(yè)務(wù)所在日期數(shù)據(jù)進(jìn)行比對(duì)核實(shí)。并有應(yīng)急恢復(fù)預(yù)案，及同城異地災(zāi)備系統(tǒng)確保數(shù)據(jù)恢復(fù)性。 （ 1）敏感數(shù)據(jù)的傳輸和存儲(chǔ)加密： 敏感數(shù)據(jù)傳輸實(shí)行加密管理，存儲(chǔ)的一些敏感數(shù)據(jù)實(shí)行加密亂碼顯示。 （ 2）重要業(yè)務(wù)數(shù)據(jù)的通信完整性檢測(cè) 重要業(yè)務(wù)數(shù)據(jù)通信檢測(cè)完整、正常。 （ 3）重要業(yè)務(wù)數(shù)據(jù)的備份策略及恢復(fù)測(cè)試機(jī)制 重要業(yè)務(wù)數(shù)據(jù)定時(shí)備份，專(zhuān)人存儲(chǔ)保管，有完 整的應(yīng)急恢復(fù) 第 22 頁(yè) 共 24 頁(yè) 預(yù)案。 （ 4）建立了同城異地災(zāi)備中心，并制定了《江蘇 **農(nóng)村商業(yè)銀行異地容災(zāi)項(xiàng)目災(zāi)難恢復(fù)計(jì)劃書(shū)》，內(nèi)容包括危險(xiǎn)級(jí)別的定義劃分、決策流程、災(zāi)難恢復(fù)團(tuán)隊(duì)、日常備份和恢復(fù)流程、災(zāi)難響應(yīng)和行動(dòng)流程、災(zāi)難切換流程、災(zāi)備系統(tǒng)回切流程、災(zāi)難恢復(fù)計(jì)劃的測(cè)試、維護(hù)等。還包含了涉及系統(tǒng)設(shè)備的具體清單、操作步驟等，預(yù)計(jì) rto 為 6 小時(shí)以?xún)?nèi)， rpo 較低。 我行根據(jù)文件要求，對(duì)信息系統(tǒng)的監(jiān)測(cè)預(yù)警進(jìn)行了全面自查，情況如下： 、流程及自動(dòng)化監(jiān)控平臺(tái) 已建立完善監(jiān)測(cè)預(yù)警制度、流程，機(jī)房環(huán)境、參數(shù)，系統(tǒng)的運(yùn)行狀況， cpu 使用情況、文件系統(tǒng)使用情況等均實(shí)現(xiàn)自動(dòng)化監(jiān)控。 每天有人員 24 小時(shí)值班，檢查系統(tǒng)及網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)發(fā)現(xiàn)問(wèn)題，監(jiān)測(cè)預(yù)警專(zhuān)人負(fù)責(zé)，按照警報(bào)級(jí)別逐級(jí)上報(bào)，確保故障的及時(shí)排除。 設(shè)立監(jiān)控日志，每日由監(jiān)測(cè)預(yù)警人員負(fù)責(zé)記錄。 第 23 頁(yè) 共 24 頁(yè) 有監(jiān)測(cè)預(yù)警文檔說(shuō)明，但不夠完善。 、網(wǎng)絡(luò)供應(yīng)商、公安部 門(mén)等外部機(jī)構(gòu)均有相應(yīng)的應(yīng)急聯(lián)動(dòng)機(jī)制，我行正在實(shí)施保衛(wèi)部網(wǎng)點(diǎn)聲光聯(lián)動(dòng)報(bào)警，做到入侵報(bào)警設(shè)施與照明、視頻安防監(jiān)控及聲音復(fù)核等設(shè)備聯(lián)動(dòng) 三、不足和改進(jìn)方法 ，進(jìn)一步加強(qiáng)信息安全管理手段 從 it 風(fēng)險(xiǎn)管理手段來(lái)看，部分系統(tǒng)的風(fēng)險(xiǎn)控制不夠先進(jìn)，缺乏專(zhuān)業(yè)的風(fēng)險(xiǎn)技術(shù)支持，事前預(yù)防作用有限，事中控制不夠。缺乏對(duì)科技風(fēng)險(xiǎn)的集中審計(jì)。本行將引進(jìn) aaa 統(tǒng)一認(rèn)證管理系統(tǒng)，加強(qiáng)系統(tǒng)用戶(hù)的授權(quán)，權(quán)限控制和賬號(hào)管理。架設(shè)日志服務(wù)器，對(duì)系統(tǒng)日志進(jìn)行集中收集和審計(jì)。通過(guò)平臺(tái)對(duì)所有用戶(hù)進(jìn)行統(tǒng) 一的授權(quán)。采用基于角色的授權(quán)機(jī)制，按照內(nèi)部的組織結(jié)構(gòu)劃分角色，并為用戶(hù)綁定角色。對(duì)于不同的角色分配不同應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)權(quán)限。平臺(tái)依靠記錄追蹤用戶(hù)和管理人員的訪(fǎng)問(wèn)過(guò)程，建立一套全面的、有效的回溯和追查機(jī)制?？梢詫?shí)時(shí)監(jiān)測(cè)用戶(hù)對(duì)各應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)狀態(tài)，及時(shí)發(fā)現(xiàn)非法訪(fǎng)問(wèn)事件，對(duì)出現(xiàn)的問(wèn)題進(jìn)行事后追溯和責(zé)任追究提供實(shí)證。通過(guò)對(duì)系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控審計(jì)，增強(qiáng)系統(tǒng)的可維護(hù)性。 本行已經(jīng)在內(nèi)部建立并健全了一系列的計(jì)算機(jī)系統(tǒng)安全管理制度，并由稽核部門(mén)對(duì)銀行計(jì)算機(jī)系統(tǒng)進(jìn)行專(zhuān) 項(xiàng)稽核，但未配 第 24 頁(yè) 共 24 頁(yè) 備專(zhuān)門(mén)的稽核人員，在廣度和深度上不夠，因此對(duì)照新指引的精神，從組織上保證信息風(fēng)險(xiǎn)有具體人員來(lái)承擔(dān)責(zé)任，強(qiáng)化執(zhí)行力和合規(guī)性。將日常信息風(fēng)險(xiǎn)管理從傳統(tǒng)的檢查模式逐步過(guò)渡到基于評(píng)估、規(guī)劃、執(zhí)行和監(jiān)督全面循環(huán)改進(jìn)的模式。制訂詳細(xì)的it 風(fēng)險(xiǎn)管理架構(gòu)，確立 it 服務(wù)管理與 it 風(fēng)險(xiǎn)管理的關(guān)系，明確 it 風(fēng)險(xiǎn)管理的范圍、職責(zé)，制訂符合銀行實(shí)際情況的管理流程，出臺(tái)可操作性強(qiáng)的安全技術(shù)規(guī)范，加強(qiáng)開(kāi)發(fā)過(guò)程的風(fēng)險(xiǎn)控制。從而有效地防范科技風(fēng)險(xiǎn)。