2016年科技信息风险评估方案报告

1、XX农商银行关于科技信息业务风险评估报告根据XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知）及XX银行2016年控合规工作 实施细则的要求，风险合规部对我行科技信息部2016年度的相关业务进行了风险评估，现将评估情况情况报告如 下：一、总体情况风险合规部于 2016年12月1日至2016年12月5日 对我行科技信息业务的风险状况进行了评估，主要从组织领 导、制度管理、岗位管理、员工培训、安全设施等业务开展 情况进行了检查，结合检查结果进行风险评估。二、工作开展情况（一）科技信息组织领导通过查阅科技信息部考核办法和相关责任状，我行董事 会设置了科技信息管理委员会，经营

2、班子设置了计算机信息 安全管理工作领导小组和信息系统重大突发事件应急管理 领导小组等领导组织，组织机构组建齐全。（二）信息科技制度建设通过查阅由台的信息科技制度、流程及办法，信息科技 部组织制定了各项规章制度，并结合部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类，及时修改相关 制度办法，使其具有系统性、可操作性和全新性。（三）信息科技管理部门及岗位我行现已设立独立的科技管理工作部门并配有符合条 件的科技人员，结合自身实际设立科技管理岗、主机系统维 护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及 安全岗等必要的岗位，每个岗位配备2人以上操作维护人员, 重要系统均配备 AB角，并

3、定期轮换，制定相应的岗位职责。（四）员工学习培训通过查阅培训计划及资料、员工岗位轮换表、强制休假 安排及审计报告，科技信息部年组织开展了计算机知识的普 及和应用轮训培训工作，严格落实上岗资格考试、岗位轮换 和强制休假制度。（五）设备管理和维护通过查阅登记簿和检查记录，科技人员能够按照规定对 计算机进行必要的设备日常监测、检查、记录，并及时掌握 设备的运行状况。通过查阅运维综合管理平台，部门能够及 时受理各网点提交的系统运行故障、业务处理差错、业务需 求申请等业务工单，并对其认真审核后，及时提交相关部门 处理；对营业网点上报的网络故障信息及时给予或现场指 导。（六）机房网络安全及消防设施通过查看

4、网络机房现场，安置地点无有害气体和有放腐 蚀、易燃易爆物体，并且避开强磁场、震动电源、噪音及潮 湿的环境。机房已配备防电磁干扰、电磁泄露、防静电、防 水、防盗、防鼠害等设施，配备必要的温、湿度控制设备； 机房的防雷系统、监控系统和消防系统能够正常；机房无堆 放杂物，布局合理、整齐、整洁；定期对机房供电线路及照 明器具进行检查，防止因线路老化短路造成火灾。严格控制 网络通信连接，部网与外部网进行物理隔离；对部网络各节 点的通信进行控制，防止各种非法访问；对网络的通信线路 备份，对备份线路按月进行检测。（七）安全检查通过实地查看，科技信息部门及时做好计算机病毒的防 工作，控制病毒的传染，并经常进行

5、计算机病毒检查，发现 病毒及时消除；通过查看 2016年10月28日网络系统应急 切换演练记录，在保证系统日间正常运行发的前提下，对系 统故障和灾难进行了成功的演练。（八）技术档案通过查看档案室，检查相关岗位人员对技术档案登记入 册，标明容、日期、密级、保存期限等信息，分类保管，技 术档案保管满足了防盗、防潮、防火、防水、防鼠、防虫、 防磁、防震等要求。备份介质存放在专用介质库；（九）计算机病毒管理科技部门制定了防病毒系统管理策略和操作规程，产对 其系统的有效性和完整性时行监督检查，定期组织员工举办 病毒防治知识培训，对新病毒的传播和破坏机制进行跟踪； 各部门计算机安全员定期对防病毒系统进行维护和更新，对 发现病毒时及时上报总行并采取清除措施并进行跟踪、记 录。三、工作中的不足及要求通过检查评估，我行科技信息业务风险可控，但在个别 方面也存在不足和差距。（一）应设立专门的风险防控岗位，加强科技信息的风 险防控；（二）进一步加强信息安全管理手段，如建立风险管理 系统，部分风险控制手段不够先进，缺乏专业的风险技术支 持，事前预防有限，事中监控不够；（三）为防系统运行故障的发生，提高故障处理速度， 有效发挥总行对辖营业网点的指导、服务职能，科技信息部 门要不断加强相关制度的培训。（四）不断加强计算机机房的安全管理和计算机病