农发行山东省分行-商业银行分支机构信息科技风险快速巡_第1页
农发行山东省分行-商业银行分支机构信息科技风险快速巡_第2页
农发行山东省分行-商业银行分支机构信息科技风险快速巡_第3页
农发行山东省分行-商业银行分支机构信息科技风险快速巡_第4页
农发行山东省分行-商业银行分支机构信息科技风险快速巡_第5页
已阅读5页,还剩25页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、.:.;商业银行分支机构信息科技风险快速巡查单一、根本信息巡查承当机构:山东银监局信息科技监管处被巡查机构:中国农业开展银行山东省分行巡查目的:巡查担任人:房世晖巡查员:王丽颖巡查日期:2021年4月22日二、巡查方法现场巡查以访谈、实地查看为主,抽样查阅资料、平安测试为辅,其中抽样规那么原那么上定义为:1.文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的5为抽样基准,也可根据访谈情况做出断定;如出现小数点,以四舍五入取整数;假设计算出的抽样数小于2,那么至少取2个样例,如抽样数大于5,那么取5个样例;2.设备类、系统类原那么上抽样5台套,同时留意样本分布构造;3.如

2、需对网点进展巡查,网点的巡查数量控制在3家之内,随机抽取。三、巡查内容:第一部分:组织架构1. 信息科技风险“三道防线能否完好?风险控制部担任整体信息科技风险: 是 否科技部担任信息科技任务日常防备: 是 否审计部承当信息科技审计职能: 是 否备 注现实根据:巡查方法:访谈需关注的问题根据需求填写:风险管理部制定了信息科技风险管理职责,但未制定相应的信息科技风险管理战略、制度、操作流程,也未配备具有相应资质的人员。2. 高管层在信息科技任务中履职能否到位? 有主管科技任务的行级指点: 有 无高管层对监管部门的监控制度较为了解: 是 否进展信息科技艰苦投入决策: 是 否审阅信息科技年度任务报告和

3、任务方案: 是 否审阅信息科技风险评价报告并组织制定风险控制战略:是 否审阅信息科技审计报告并督促整改: 是 否备 注现实根据: 巡查方法:访谈和抽样需关注的问题根据需求填写:高管层未组织制定风险控制战略。3. 能否建立完好的信息平安管理组织架构,并正常开展任务?设立信息平安岗位担任机构信息平安的日常管理任务:是 否定期开展信息平安管理开展任务并有相应的文档资料: 是 否制定信息平安责任制度: 有 无员工信息平安职责明确: 是 否备 注现实根据:巡查方法:访谈和抽样需关注的问题根据需求填写: 4. 科技岗位设置能否符合规定?信息技术部科室、岗位设置按照总行要求进展: 是 否工程维护人员有角设置

4、: 是 否关键业务操作如:重要密码输入、重要参数修正等采用双人进展:是 否信息科技运转与系统开发和维护分别: 是 否备 注现实根据:信息科技处不承当涉及消费系统的开发。巡查方法:访谈需关注的问题根据需求填写:1.信息科技处明确了岗位和职责,但由于人员较少,兼岗景象比较突出;重要岗位未制定详细完好的任务手册并适时更新。2.各运维人员共用所维护系统的同一用户、密码,且全部运用超级用户,不能满足最小权限原那么。5. 能否进展人员平安管理?招聘新员工时,要求技术人员具备良好的职业品德,并掌握履行信息系统相关岗位职责所需的专业知识和技艺: 是 否技术人员未经岗前培训或培训不合格者不得上岗: 是 否经考核

5、不合格的技术人员,及时进展调整: 是 否与重要岗位人员签署严密协议: 是 否当技术人员调离重要岗位时按严密协议对其设置脱密期,并进展审查: 是 否备 注现实根据:巡查方法:访谈和抽样需关注的问题根据需求填写:6.制度落实情况如何?以适当的方式将监管部门和上级行的信息科技任务要求传达给一切员工:是 否根据监管部门和上级行的制度要求制定适宜实践的操作流程和实施细那么:是 否总行或分行对制度的落实情况定期进展检查,有详细的检查报告: 是 否定期对技术人员进展信息平安教育培训,如:防病毒、网络攻击等: 是 否员工熟习和了解各自岗位的信息平安要求: 是 否备 注现实根据:巡查方法:访谈和抽样需关注的问题

6、根据需求填写:未根据、要求制定适宜实践的操作流程和实施细那么。7. 能否确保软件产品在授权准许下运用?是 否备 注现实根据:巡查方法:抽样需关注的问题根据需求填写:第二部分:机房管理1. 新(改)建机房建立能否符合规定?可行性报告: 有 无向监管部门报告:是 否获得总行的批复:是 否经过有资质的质检部门和消防部门等有关部门的检查验收:是 否按照功能区域实现不同等级的物理分区: 是 否备 注现实根据:机房近几年内未进展大规模机房新改建任务。巡查方法:实地查看和查阅资料需关注的问题根据需求填写:1. 机房空间较小,功能区域划分不规范;机房存放了带易燃包装盒的库存设备及物品。2.机房规划不合理,进入

7、机房存放空调、UPS等设备的区域,需穿过存放效力器和网络设备的中心区域。2. 机房监控能否有效?电视监控录像的保管时间到达3个月: 是 否监控覆盖哪些重要场所: 主机房 网络机房 电源室运转、监控值班室 中心机房走道 外门部分业务部门的重要机房银行卡打卡室、SWIFT室摄像头电源由UPS专线供电: 是 否重要场所监控能否无死角: 是 否备 注现实根据:巡查方法:实地查看和抽样需关注的问题根据需求填写:机房内共有3路视频监控,存在盲区;检查时点,其中一路视频监控失效。3. 机房网络布线能否整齐?机柜上方和地板下方用线槽整齐: 是 否机柜内线整理整齐: 是 否机房各类布线贴有标签: 是 否标签内容

8、规范: 是 否标签位置合理: 是 否备 注现实根据:巡查方法:实地查看需关注的问题根据需求填写:设备标签内容较为简单。4. 中心机房能否落实值班要求?机房安保24小时值班: 是 否科技部门已安排7*24小时在行值班: 是 否值班人员记录一切可疑缺点和实践发生的事故,并同时记录处置过程、处置人、处置时间、影响业务时间: 是 否出入机房已实行审批登记: 是 否机房运转值班人员与开发、维护人员分别:是 否值班人员定期进展巡检: 是 否备 注现实根据:值班人员对机房的巡检频率是每天两次。巡查方法:访谈和抽样需关注的问题根据需求填写:机房值班及巡检信息录入“信息技术综合管理系统ITMS,但该系统用户权限

9、管理不严厉,个人用户可修正已登记信息,且可以查看、修正其他用户的登记信息。5. 机房能否实行门禁管理?制、读卡等门禁管理任务一致管理:是 否消费机房采用门禁系统: 是 否进入消费机房实行书面授权: 是 否外来人员进入机房采取的控制措施:严厉授权 专人陪同 固定区域 规定时间 制止摄影、录像、录音或其他记录设备备 注现实根据:巡查方法:访谈需关注的问题根据需求填写:6. 机房能否实行消防平安管理?消防报警系统能否年检并有证书: 是 否配备灭火器并按规定定期检查灭火器材: 是 否定期进展消防演练和培训并保管相关记录:是 否运用何种类型的消防灭火器材在备注栏填写详细型号备 注现实根据:运用七氟丙烷的

10、消防灭火器材巡查方法:访谈和实地查看需关注的问题根据需求填写:7. 机房照明能否有保证?机房内有应急照明: 是 否应急照明接入UPS: 是 否机房内视频监控的区域有值班照明:是 否视频监控区域值班照明接入UPS: 是 否备 注现实根据:巡查方法:实地查看需关注的问题根据需求填写:8. 机房UPS供电能否有保证?机房配电系统为双路供电: 是 否UPS为机房设备供电公用: 是 否供电系统设置防雷击维护安装:是 否UPS配备方式: N+1 2N+1UPS供电范围: 主机系统 网络通讯设备 值班照明 应急照明UPS负载小于有效输出功率的80%:是 否UPS满载后备时间大于30分钟:是 否UPS电池定期

11、放电检测: 是 否UPS有专业公司进展维护保养: 是 否备 注现实根据:巡查方法:访谈和实地查看需关注的问题根据需求填写:9. 机房其他供电情况能否可用?发电机功率能保证对机房UPS供电: 是 否发电机定期保养备注填写本季度保养的时间及内容: 是 否发电机定期进展切换演练: 是 否发电机切换演练有记录: 是 否发电机为机房UPS供电备份公用: 是 否未配备发电机运用其他供电保证措施或方案备注填写供电保证措施:是 否备 注现实根据:无自有发电机,租用发电车。巡查方法:访谈和抽样需关注的问题根据需求填写:10. 机房空调管理能否符合要求?机房温度控制在22左右: 是 否机房湿度在45%-65%:

12、是 否发电机为机房UPS供电备份公用: 是 否发电机能否为机房空调供电: 是 否B类机房精细空调控制模块配置是N+1冗余方式:是 否定时检查机房温度和湿度: 是 否空调设备有专业公司进展维护保养: 是 否备 注现实根据:环境监控系统对温湿度进展实时监测,超出阀值将经过短信提示维护人员。无自有发电机,租用发电车。巡查方法:访谈和实地查看需关注的问题根据需求填写:11. 机房其他防护设备能否符合要求?机房内地面、天花板和墙面有无渗漏水:有 无漏水报警安装正常任务: 是 否设置防鼠害的有关措施: 是 否备 注现实根据:巡查方法:访谈和实地查看需关注的问题根据需求填写:第三部分:运转管理1. 运维管理

13、能否符合平安要求?非正常任务时间进出任务场所经过同意且有相关记录: 有 无制止异地远程维护消费系统和消费数据除总行之外:是 否能否搜集、保管各类日志,并定期是 否备 注现实根据:未进展24小时运维值班,非正常任务时间内无进入机房需求。巡查方法:访谈和抽样需关注的问题根据需求填写:1.未建立事件和问题管理机制,未建立问题根源分析及跟踪处理机制。2.未建立日志管理流程,未对门禁、网络设备、操作系统、数据库、运用系统等各种日志进展集中保管,也未对日志进展定期分析。2. 能否实施变卦管理?变卦管理有严厉的授权方法、操作流程: 有 无消费变卦在非任务时段或业务空闲时段进展:是 否消费变卦有书面方案: 是

14、 否变卦经过测试、审批、上线、验收: 是 否消费变卦双人操作、复核: 是 否消费变卦有详细操作记录: 有 无变卦管理能否有回退机制: 有 无备 注现实根据:巡查方法:访谈和抽样需关注的问题根据需求填写:变卦管理机制尚不完善,未建立变卦管理制度,未根据对业务影响大小进展变卦分级,变卦应急回退措施较为简单。3. 能否实施备份管理?前置机和重要信息系统的操作系统、日志、运用程序、数据库、消费数据、配置信息定期进展备份: 是 否定期对备份的可用性进展检查或抽查并做记录:是 否备份的传送、存放、运用和销毁符合规定: 是 否备 注现实根据:经过ftp方式将大小额系统、验印系统数据库备份至位于泰安的异地备份

15、中心。巡查方法:访谈和抽样需关注的问题根据需求填写:1.未建立专门的数据管理方法、备份方法或战略,也无数据销毁的相关规定。2.ftp属简单网络传输协议,不能保证数据传输平安。4. 能否实施网络管理?制定网络运转管理的相关规定、操作流程: 是 否规范记录或者监控网络配置修正等维护修正操作: 是 否各部门计算机经相关部门同意后方可接入国际互联网:是 否本机构与总行、网点、灾备中心通讯线路有备份: 有 无本机构与重要外联单位如银联等通讯线路有备份:有 无定期检查备份通讯线路: 是 否网络缺点有记录及缘由分析:有 无备 注现实根据:外联单位仅有人民银行与银监局。巡查方法:访谈和抽样需关注的问题根据需求

16、填写:1.办公网部分计算机采用动态IP,无IP地址管理措施。2.消费网计算机采用静态IP,但未登记IP运用人员。3.未建立客户端计算机准入、认证机制。4.网络缺点记录及缘由分析不完善。5. 能否实施平安产品管理?平安公用产品属于总行一致选型: 是 否平安公用产品及时进展晋级和维护并登记备案: 是 否运用总行一致的网络防病毒产品: 是 否一切windows终端及效力器均安装病毒防护软件:有 无定期进展防病毒软件晋级: 是 否建立病毒发现呼应战略和处置流程: 是 否部署安装IDS,控制台正常: 是 否对IDS日志记录进展分析: 是 否本机构与外联单位网络边境部署防火墙: 是 否备 注现实根据:外联

17、单位仅有人民银行与银监局;消费网、办公网均出现中毒计算机。省行的网络构造由总行一致制定,部署了外部防火墙,具有边境防火墙的功能。巡查方法:访谈和抽样需关注的问题根据需求填写:对IDS事件分析不完善。6. 能否实施设备管理?存储、资源设备维修、改换或报废时:删除数据 撤除涉密部件 废弃、销毁含资源或资源的介质有审批手续和登记记录:有 无不运用互联网计算机处置涉密资料和储存级以上文件: 是 否离兴办公座位时,任务桌面上一切内部资料、存有或敏感信息的磁盘或其他可挪动介质等妥善锁入文件柜中或存放在指定的保险箱中,并锁定计算机: 是 否挪动存储设备运用符合规定: 是 否备 注现实根据:巡查方法:访谈和抽

18、样需关注的问题根据需求填写:未采用技术手段控制挪动介质在网间交叉运用。7. 数据平安的部署情况如何?系统管理员密码保管与回收流程:多人完全掌握 普通用户离任后:账户删除 账户禁用数据访问人员授权:按需进展区分和最小必要授权不区分,授予一样权限无授权机制重要数据的存储介质过期后能否销毁:是 否销毁机构称号:办公室、信息科技处人员变动时办公用计算机磁盘信息能否清理或删除: 是 否备 注现实根据: 巡查方法:访谈和实地查看需关注的问题根据需求填写:8. 能否采取措施防止信息泄露?不存在敏感信息走漏的景象如密码,IP等: 是 否消费系统设置带密码的屏幕维护: 是 否系统无人运用时,处于锁定形状: 是

19、否对公共开放区域的信息设备采取有效的维护控制措施如网点营业厅等公开区域的设备能否采用专人监控,屏幕密码维护等措施: 是 否网点自助区不存在网线、端口外露的景象: 是 否备 注现实根据:没有公共开放区域及网点自助区的信息设备。消费系统中效力器端设置带密码的屏幕维护,系统无人运用时,处于锁定形状。消费系统中柜员客户端未设置带密码的屏幕维护。巡查方法:访谈和实地查看需关注的问题根据需求填写:综合业务系统无超时退出机制。第四部分:业务延续性1. 能否建立多部门一体的应急处置指挥体系?建立了突发事件管理小组以担任管理突发事件: 是 否突发事件管理小组成员包括机构业务、科技和保证部门人员: 是 否建立突发

20、事件管理指挥中心,为突发事件管理小组提供必要的任务场地和设备: 是 否建立突发事件恢复任务小组,并在一切的重要环节指定了替补人员: 是 否备 注现实根据:巡查方法:访谈需关注的问题根据需求填写:未建立业务延续性日常管理组织架构,未设立业务延续性管理委员会,未明确业务延续性管理主管部门、执行部门、保证部门;未开展业务影响分析,未明确重要业务恢复时间目的RTO、业务恢复点目的RPO;未建立全行性、覆盖一切重要业务的业务延续性方案。2. 能否制定应急预案并定期演练?制定相关技术应急预案和操作流程: 是 否应急预案符合要求:是 否对担任业务恢复人员及备用人员的划分次序、范围,并将通讯方式,包括下班后的

21、联络信息,配备至相关人员手中: 是 否制定业务恢复优先级列表: 是 否与总行相关联络人建立了正式的沟通联络机制: 是 否与其他重要外部机构建立了正式的联络沟通机制如:监管部门、投资者、客户、买卖对手、商业协作同伴、效力提供商等: 是 否应急预案定期进展演练备注标明最近一次演练的时间): 是 否备 注现实根据:最近一次演练时间为2021年6月中旬巡查方法:访谈和调阅资料需关注的问题根据需求填写:1.的应急场景包括网络系统缺点、市电供电系统缺点、UPS供电系统缺点、机房火灾、非法入侵、门禁系统缺点、各业务系统效力器缺点、机房空调系统缺点、支付系统前置机缺点,但未包括治安、病毒迸发、网络攻击、人为破

22、坏的场景。2.未建立突发事件向新闻媒体发布的机制;未建立向银监会派出机构报告信息科技突发事件的机制,包括报告责任人、报告时限、报告途径、报告内容等。3. 2021年信息科技应急演练方案不够细致,应急演练情况总结报告涵盖的内容不全。3. 能否对重要信息进展有效管理?对重要业务进展业务应急恢复时需求的重要信息进展了明确定义,重要信息包括存储在电子或非电子介质上的信息各业务运用数据库和渠道日志等: 是 否对认定的重要信息档案实行有效备份和异地保管: 是 否严厉控制重要信息档案的调取,保证其对业务抢修时的可靠性:是 否制定了相关文件,规定重要信息档案在遗失、受损和破坏的情况下如何进展恢复和再生,以及按

23、何种次序进展恢复和再生: 是 否备 注现实根据:巡查方法:访谈需关注的问题根据需求填写:4. 能否对应急预案进展测试与更新?每年至少对重要系统的应急预案进展一次测试,能否留有相关记录包括测试方案、测试环境、测试流程和测试结果: 是 否检查应急预案中主要联络方式能否及时得到更新: 是 否应急预案文档备份实行异地保管: 是 否每次测试后编制问题报告,提示应急预案存在的弱点和破绽,并更新应急预案: 是 否备 注现实根据:巡查方法:访谈需关注的问题根据需求填写:未建立应急预案演练后更新机制及应急预案定期评价和改良的机制。5. 能否对艰苦突发事件进展管理?建立了重要平安事件上报制度和流程: 是 否对艰苦

24、突发事件进展记录: 是 否备 注现实根据:巡查方法:访谈和抽样需关注的问题根据需求填写:第五部分:外包管理1. 能否建立外包管理机制?建立外包管理制度: 是 否明确界定允许外包的内容、范围和活动: 是 否重要信息科技外包协议经过信息科技风险管理部门、法律部门的审批: 是 否与外包效力商签署书面合同,明确其在平安、严密、知识产权等方面的义务:是 否备 注现实根据:没有信息科技外包任务巡查方法:访谈和抽样需关注的问题根据需求填写:2. 能否进展外包人员管理?外包人员进场前学习关于外包人员管理的规章制度,并签署: 是 否完好统计外包人员信息: 是 否定期对外包人员的履职情况进展检查: 是 否对违反严密义务、任务规范或有其他艰苦违规行为的外包人员坚决解雇: 是 否外包人员设备如:自带的计算机、便携机、挪动通讯设备、集线器等经同意方可接入银行网络: 是 否备 注现实根据:没有信息科技外包任务巡查方法:访谈和抽样需关注的问题根据需求填写:3. 自助设备的维护能否经过授权并严厉管理?严厉控制将自助设备交第三方外公司来进展维护: 是 否第三方维护合约、维护的内容、采取的平安措施能否详细到位:是 否:第三方进展维护时由本行人员陪同: 是 否能否限制对重要数据进展访问: 是

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论