银行科技自查报告

1、银行科技自查报告2是密码必须不定期更换，每月至少更换一次。3是装入或取出ATM现钞，必须做到双人操作（特别是离行式的ATM机）、 及时清点，交叉复核，中途不得换人。4是所有加钞、点钞、清机过程必须选择监控器下进行。5是装钞完毕对外营业前，管理员必须进行实地测试，检查钱箱位置放置 是否错位及吐钞面额是否正确，测试无误后方可投入使用。6是在外部服务商提 供ATMt护服务时已经做到全程陪同，保证ATM机不受到外部人员控制，确保ATM 机正常运行。四、关于科技开发管理情况方面：此项业务主要由县联社相关部门负 责。五、关于检查监督情况方面：对于银行卡的各项业务操作，包括 开销 卡、挂失、冲正、卡保管等我

2、社领导班子都定期或不定期进行检查，县联社稽核 部门也会不定期派人前来进行检查指导工作，务求对银行卡业务的监督检查达到防范风险要求，使我们的广大客户能够安全用 卡、放心用卡。信息科技风险自查报告农商行按照上级领导的指示，我行认真贯彻关于加强_年重要时期金 融信息 安全保障工作（银发_57号文件）精神，为充分做好重要时期金融网络和信息系统 安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建 立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：一、组织架构、制度建设及管理情况信息科技治理组织架构（1）我行在董事会下设科技信息安全管

3、理委员会，行长室下设信息科技管 理委员会，信息安全管理委员会下设应急处理领导小组。科技信息安全管理委员会全面负责领导和协调本行科技信息安全。科技管理委员会负责统一规划全行的信息化建设，指导和监督科技部门的各 项工作，审议全行计算机网络的设计方案、软件项目招标、设备招标和统一采 购及日常管理中重大问题的研究和建议。信息系统应急处理领导小组负责组织制定全辖应急处置的实施细贝h统一组 织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急 指挥、组织协调和过程控制（2）我行成立了科技管理部和科技开发部，做到科技运维和科技开发有效 分离，加强了信息科技治理。（3）科技风险审计工作由我行

4、稽核审计部完成，信息科技风险管理由风险 管理部门完成。（4）在支行层面则设立合规员，负责各支行科技信息相关风险监控和报告信息科技管理制度建设1）安全管理对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、 管理制度、操作规程等构成的全面的信息安全管理总则江苏农村商业银行计算机信息系统安全管理制度，安全管理制度经信息安全 领导小组审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修 订，并有修订记录（2）事件管理制订了安全事件报告和处置管理制度一一信息安全事件管理制度明确安 全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责，并根据国家相关管理部门对计算机安全

5、事 件等级划分方法和安全事件对本系统产生的影响，对安全事件进行等级划分，制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置方法等， 并对发现的安全弱点和可疑事件有异常情况上报规定（3）应急处理建立较为完善的信息系统应急恢复策略江苏农村商业银行计算机信息系统应急处理方案，对各业务信息系统进行分 类，按照重要程度，确定保障级别，制定了各信息系统突发事件专项应急预案。制定数据中心、灾备中心机房关键基础设施专项应急预案。（4）安全操作规范及管理流程我行有完整的信息安全管理流程，控制信息安全管理。包括介质管理、网络 管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机 房管

6、理、监控管理、密钥管理、巡检制度等等科技管理部各项流程。（5）岗位职责与分工配备一定数量的系统管理员、网络管理员、安全管理员等。每个岗位设立2 个以上操作维护人员。重要系统均配备A/B角，A/B角定期轮换。明确岗位职责 科技管理部岗位设置科技开发部工作职责科技管理部岗位百分考核办 法（6）密级管理制度录用人员签署保密协议；制定人员离岗管理流程规范，严格规范 人员离岗过 程，及时终止离岗员工的所有访问权限；与外包商签订保密协议；有密级的安全管理制度，注明安全管理制度密级， 并进行密级管理。二、信息系统的技术措施情况物理和环境建设（1）机房的物理访问控制：机房实现门禁控制，严防外部人员进 入机房擅

7、 自操作。（2）系统密码均由专门人员掌管，计算机终端无人看管时锁定；（3）机房 采用集中监控，监控清晰全面，机房环境设施均有专人岗位值班管理，参数实行 24小时不间断监控，岗位人员具备管理监 控专业素质。（4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完 全能够满足机房电力需求。（5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系 统安全有效，给排风系统工作正常（6）中心机房和灾备机房均有配套防盗窃、防雷、防火、防水、防静电、 温湿度控制、电磁保护等措施，确保机房正常运转。（7）机房技术文档完备、有效：制定了_农村商业银行计算机信息系统安全管理制度、科技部信息部

8、中心机房 监控制度，农村商业银行计算机系统运行维护管理制度为机房维护制定详细的规范 文档。网络管理我行根据文件要求，对重要网络设施（包括网络传输线路、网络设 备、 网络安全设备）进行了详细的自查，情况如下：网络安全策略（1）内网的安全管理情况；内网网络安全管理：外联单位互联安全保护措 施：通过两台PI_525防火墙连接外联单位，两台防火墙通过 FAILOVER形成热备，在防火墙上配置安全策略，严格控制进出生产网的数据。在对外路由器上设置过滤规则，形成防护网。使用过滤规则设置功能，作过 滤防护，形成银行网络与外联单位之间的第一道防护网。正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略

9、的配置和管理，为企业的重要数据 和内部网络系统提供了一层可靠的安全保障。使用地址转换的通信策略，防火墙对内部地址进行转_银行电子银行业务自查报告为进一步完善我行电子银行业务管理，不断提高风险识别、防范能力，实现 电子银行业务制度化、规范化，依据_银行关于开展 业务全面自查活动_要求，对我行电子银行业务进行全面自查，自查报告如下：一、业务层面（一）是否建立了安全保障、检查监督、人员管理、统计分析”p、信息反馈、信息披露、重大事项报告制度等管理制度和风险识别、预警、评估、监测、控制机制。是否建立了能够完整涵盖业务的全过程和各风险点的业务操作规 程和实施细则，操作规程各业务环节是否具备有效的控制手段

10、，控制环节的设 铭是否合理，控制职能的划分是否清楚。是否建立了健全的岗位责任制，各岗 位职责之间能否相互监督和制约。是否根据需要及时修改和完善已制定的各项管 理制度、操作规程和实施细则。自查说明：建立了电子银行业务管理制度，建立了业务操作规程和实施细 则，建立了健全的岗位责任制。相关材料：_银行股份有限公司银行卡业务管理办法（试行）、_银行股份有限公司自助设备管理办法（试行）、银行借 记卡业 务操作规程（试行）、银行股份有限公司银行卡风险管理办法（试 行）、银行股份有限公司银行卡（借记卡）系 统事件、事故报告制度（试行）、银行电子银行部岗位计划（二）电子银行业务的相关部门和人员是否严格执行了电

11、子银行 业务的各项 内部控制制度。经营电子银行业务的相关各部门和人员之间是否存在分工不清、缺乏制约等 问题。自查说明：制定了管理办法，对相关部门和人员的责任进行了说明，并列明 了违反规定后的处罚措施。相关材料：_银行股份有限公司银行卡业务管理办法（试行）第三章 管理机构和职责、第十一章违规责任；银行股份有限公司自助设 备管理办法（试行）第二章 管理体系及岗位职责、第八章自助设备的检查、考核及责任追究。（三）在客户申请某项电子银行业务品种时，是否向客户说明和 公开各种电 子银行业务品种的交易规则，是否向客户说明该品种的交易风险及其在具体交易 中的权利与义务。自查说明：银行卡客户申请书背面印有龙祥

12、卡章程，对龙祥卡的申领条件、 使用、挂失、销户、计息与收费、权利义务进行了全面的公开，对持卡人的权 利、义务进行了说明。相关材料：_银行股份有限公司龙祥卡章程二、运营管理层面银行是否建立了全面、综合、系统的电子银行业务授权管理、会 计核算、账 务核对等管理制度，是否及时核对电子银行业务的全部账务，会计数据与统计数 据是否相符一致。自查说明：我行已建立了电子银行业务授权管理、会计核算、账务核对管理制度，及时核对电子银行业务的账务，使会计数据与统计数据相 符。相关材料：运营管理部有关授权管理的管理制度；_银行股份有限公司银 行卡会计核算管理办法（试行）中“第 六章 银行卡业务会计核算处理、第七 章

13、ATM业务会计核算处理、第九章账务核对”；中国银联差错处理平台；_银行监管报送系统。三、科技信息层面（一）银行是否遵守了国家有关计算机信息系统安全、商用密码管理、消费 者权益保护等方面的法律、法规和规章。是否根据需要设定转账限额。是否设定 电子银行业务密码试输次数、试输时间的限制。自查说明：银行卡客户申请书背面印有龙祥卡章程，章程中列明了持卡人的 权利义务，并规定了持卡人在境内ATM上使用龙祥卡取款时，每卡每日累计取现 金额不得超过20_0元（含）；人民币持卡人可申请开通ATM自助转账功能，使 用龙祥卡转账时，每卡每日转出累计金额不得超过50000元（含）人民币；持卡 人将密码连续错误输入6次

14、时，系统将自动锁定其账户，客户可持本人有效_件到柜台进 行解锁或密码挂失。相关材料：_银行股份有限公司龙祥卡章程第三章使用第 七章权利义 务；银行股份有限公司银行卡业务管理办法（试行）第七章 银 行卡特殊 业务处理。（二）是否制定并实施充分的物理安全措施，有效防范外部或内部非授权人 员对关键设备的非法接触。是否采用合适的加密技术和措施，以确认电子银行业务用户身份和授权。是 否实施有效的措施，防止电子银行业务交易系统不受计算机病毒侵袭。自查说明：我行制定了自助设备管理办法，要求1、自助设备安装要符合公 安部门金融安全防范标准以及设备物理安装标准的要求，无风险隐患；设备及场 所的装修要符合总行统一

15、要求，有完善的防晒、防雨和隐形监控等设施，标识 醒目，方便客户全天候的操作需求。2、网点自助设备管理员和复核员须经过操作培训方能上岗，网点更换自 助设备管理员和复核员应提前10个工作日报电子银行部备案。相关材料：_银行股份有限公司自助设备管理办法（试行）第三章设备管理、第七章风险控制。（三）银行是否制定必要的系统运行考核指标，定期或不定期测试银行网 络系统、业务操作系统的运作情况，及时发现系统隐患和黑客对系统的入侵。是否具有预警止付功能。是否将电子银行业务操作系统纳入银行应急计划和业务连续性计划之中。（四）银行是否根据业务发展需要，及时对从业人员进行培训，及时更新 系统安全保障技术和设备。是否建立电子银行业务运作重大 事项报告制度，是否及时向银行监管部门报告电子银行业务经营过程中发生的重大泄密、黑客侵入、网址 更名等重大 事项。是否接受银行监管部门认可的权威评估机构对其业务操作系统的安全性进行 评估。自查说明：_年12月27日上午8: 30在总行九楼会议室举办银行卡业务培训班，培训内容为银行卡业务、自助设备业务；_年2月28日在总行9楼会议室举办了自助设备业务培训班；_年3月1 日至6日，金电公司对我行银行卡系统进行了检测。相关材料：银行卡业务培训课件自助设备管理培训课件金电公司 市商业银行借记卡系统检测报