第一篇:信息科技风险报告 - 副本
信息科技风险自查报告
按照上级领导的指示,认真贯彻《XX通知》(XX文件)精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。对信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下:
一、组织架构、制度建设及管理情况
1、信息科技治理组织架构
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制
成立了信息科技部,加强了信息科技管理。
2、信息科技管理制度建设(1)安全管理
对安全管理活动中的各类管理内容建立安全管理制度,制定了《南乐县农村信用社计算机信息系统安全管理制度》等,并且及时发现缺漏或不足对制度进行修订。
(2)应急处理
建立较为完善的信息计算机信息系统管理办法,制定中心机房关键基础设施专项应急预案。
二、信息系统的技术措施情况
1、物理和环境建设
(1)机房的物理访问控制:机房实现门禁控制,严防外部人员进入机房擅自操作。
(2)系统密码均由专门人员掌管,计算机终端无人看管时锁定;
(3)机房采用集中监控,监控清晰全面,参数实行24小时不间断监控,岗位人员具备管理监控专业素质。
(4)机房供电系统均采用双路UPS供电,线路冗余性好,负载能力强,完全能够满足机房电力需求。
(5)机房空调系统的有效性和冗余性,给排风系统的有效性:机房空调系统安全有效,给排风系统工作正常。
(6)中心机房有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施,确保机房正常运转。
2、网络服务连续性、冗余性
1.所有重要通信线路均有备份线路且采用不同运营商,确保网络无断点。
2.网络设备的冗余性:网络设备均有备份。核心网络设备,核心生产系统设备均采用双机热备,确保关键生产设备运行的可靠性。
3.访问线路的带宽完全能够满足各信息系统的带宽需求,无网络拥塞现象。
4.网络设备管理配置均由专人分管负责,确保合理操作,保障网络通畅、安全;
3、应用安全
1.业务应用系统的用户授权及鉴别认证措施
业务应用系统用户密码相关业务人员各自保管,通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。
2.业务应用系统的用户访问控制
系统软件用户访问实现权限控制,各级人员只能进行权限内操作
三、不足和改进方法
需将管理与技术相结合,进一步加强信息安全管理手段
1、从IT风险管理手段来看,部分系统的风险控制不够先进,缺乏专业的风险技术支持,事前预防作用有限,事中控制不够。缺乏对科技风险的集中审计。
2、从组织上保证信息风险有具体人员来承担责任,强化执行力和合规性。将日常信息风险管理从传统的检查模式逐步过渡到基于评估、规划、执行和监督全面循环改进的模式。制订详细的信息科技风险管理架构,确立信息服务管理与信息风险管理的关系,明确信息风险管理的范围、职责,制订符合信用社实际情况的管理流程,出台可操作性强的安全技术规范,从而有效地防范科技风险。
第二篇:银行业信息科技风险监管报告
探索银行业信息科技风险监管框架
银行业信息科技风险监管概述
信息科技风险是随着信息科技技术广泛应用而新生的词汇,最早出现在上世纪九十年代,目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势,即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础,通过约束银行资本,达到控制行业规模和风险的目的。在新资本协议关注的三大风险中,信息科技风险被默认为操作风险的一部分,未对信息科技风险的管理提出具体要求。
信息科技稳定运行是银行业务正常经营的基本条件,银行数据集中造成了风险的高度集中,科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性:一是风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高;二是由于管理因素、技术因素多重作用,导致偶发性和不确定性突出;三是信息科技一般不直接造成经济损失,其造成的间接损失难以计量;四是单个信息系统可影响多个业务,影响范围广且具有不确定性。
科技风险与操作风险当前处在不同的发展阶段,其管理理论、管理方法等方面有着一定的差异性。在管理体系方面,信息科技风险管理的理论已进入风险导向的科技风险管理阶段,但以风险为导向的识别、监测、计量方面尚不成体系;在管理方法方面,信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素;在损失特点方面,信息科技风险通常不产生直接的风险损失,这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示;在风险计量方面,目前尚缺乏有效计量信息科技风险资本的方法。
当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系。但是,随着行业发展和技术进步,在操作风险模式下管理信息科技风险也存在一定的困难:一是目前的操作风险管理方法中对科技风险的管理方法涉及较少,难以兼顾到信息科技风险的专业技术特性,难以实现对信息科技风险的有效管理 ;二是风险监管资本计量未能充分考虑信息科技风险因素,信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题,将信息科技风险从操作风险中拆分并独立管理,能更有效的管理信息科技风险。
信息科技风险应被视为一种独立的、重要的风险类型被单独管理,与操作风险的管理分开;应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型,体现信息科技风险对银行资本的影响和敏感性。
银行业信息科技风险核心监管指标
在实施“风险为本”的监管框架中,需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系,来动态监测信息科技风险状况,直观评估银行信息科技风险的管理水平。
核心监管指标作为监管机构识别和预警银行风险的重要手段和方法,对健全内部风险制衡机制,完善风险管理政策和流程,优化风险计量工具,进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类,一类是结果性指标,另一类是过程性指标。结果性指标是以目标为导向,对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标,其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充,起到全面评估机构风险水平的目的。
信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发,可逐层分解出系统可利用率、业务量等指标,它们相对简单、直观、容易测算和计量,可以成为结果性指标。另外一类是过程性指标,这类指标基于当前银行业信息科技管理最佳实践,对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况,评估银行业风险水平,同时也可以与监管手段相结合,提高信息科技风险监管水平。
银行业信息科技风险资本计量
信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分,科技风险资本计量是科技风险管理的重要手段。
计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是,直接用操作风险计量方法计量信息科技风险存在挑战,主要表现如下:一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切;二是大部分信息科技风险的损失不是显性的,除少数信息科技风险事件(如引发客户索赔、延误罚息)有“直接损失”外,大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”;三是信息科技风险损失数据相对较少,极端严重事件的数据更少,计量 “尾部风险”面临挑战。
基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量,可将信息风险损失定义为金额损失和时间损失两个维度,建立时间与金额的转换关系,拟合频率分布和严重度分布,之后整合为总损失分布,根据置信度确定未来一定时期内的非预期损失,最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法,分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度,即某个信息系统单位时间对银行产生的利润,根据系统中断时间、影响范围、系统重要性进行计算,得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间,然后建立标准影响时间与损失金额之间的映射关系,从而确定损失。
未来,随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,云计算、物联网等新技术既加快了银行创新发展,对信息科技风险管理提出了更高的要求;快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技风险管理能力。
(本文是中国金融四十人论坛内部课题《银行业金融机构信息科技风险监管研究》的报告简本,课题得到中国金融四十人论坛立项资助并组织专家评审)
第三篇:信息科技风险自查报告
信息科技自查报告
按照上级领导的指示,我行认真贯彻精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下:
一、设备间建设规范和管理规范
(1)设备间安装了温湿度仪表,以用来监控机房温度和湿度,并能够及时开启控温控湿设备来保证机房的温度和湿度。
(2)设备间每周由网点经理或支行行长来对设备间的环境状况进行检查,并登记成册,以确保设备间保持整洁和规范。
(3)设备间严格控制出入人员,并保证营业网点外来人员有相关证件登记。
(4)支行技术人员每年一次对设备间的主要设备进行巡检,确保设备能够正常使用,并在相关登记本上记录。
二、应急管理和终端安全
(1)支行会不定期对一些预案进行检查,确保这些预案是最新的,且告知网点人员张贴在需要的地方。
(2)支行每年会抽取一定的网点人员进行培训和演练,并书写心得和体会,确保网点人员能够正确的应对突发状况。
(3)支行每月会不定期的抽查相关电脑的软件安装情况,检查是否存在私自安装不必要的软件,以及是否私自开通ADSL等违规的网络。
第四篇:信息科技风险自评报告
XX银行
关于信息科技风险自评工作的报告
XXX: 按照贵局《关于开展中小法人银行业金融机构信息科技监管评级工作的通知》要求,我行迅速组成自评估调查小组,按照全面、系统的要求,认真进行自评估分析,现将情况汇报如下:
一、提高认识,建立健全了信息系统安全风险防范体系。随着电子化建设不断走向深入,我行主要业务逐步依赖于计算机综合业务系统,随之而来的系统和网络安全已成为安全管理的关键环节和薄弱环节,尤其自二00六年五月底我县顺利并入全省农信社通存通兑网络后,网络安全运行工作事关全县改革,经营、管理大局。我行从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓电子化建设,一手抓风险防范。截止目前,已经初步按照上级主管部门统一标准建立起较完善的网络和信息安全风险防范体系。我们主要做到了以下几方面工作:
(一)加强制度建设,规范操作行为,我们从健全制度入手,先后修改完善了《综合业务网络系统柜员管理办法》、《综合业务网络系统业务授权管理办法》、《综合业务网络系统网点运行管理制度》、《综合业务网络系统设备管理制度》、《综合业务网络系统突发事件应急处置预案》、《防范病毒管理制度》、《机房管理制度》,修改制定了《综合业务网络系统安全运行管理处罚办法》等制度、规定,切实将我行的网络安全管理责任落到实处。
(二)加强硬件及网络环境建设,避免系统风险。
1、实现了内网与外网的严格的物理分离,内网主线路为光纤专线,备份线路为音频专线,有关内网用机保证了专机专用。
2、为每个网点制做了规范的地线,并为网络设备配备了专用机柜。与综合业务网络系统有关的机房、办公室、营业网点都配备有消防器材。
3、定期对中心机房及网点计算机专用供电线路及网络线路进行专项整治,对老化的线路进行了更新,对有隐患的线路进行了整改。
4、所有网点都有不间断电源保护。并定期对老化的设备,如UPS,参数稳压器,发电机进行统一的更新。对网点所用设备都按一定比例配齐了备用设备。
5、上线初期,即制定下发了《计算机业务管理制度(暂行)》,规范了业务操作、授权和口令以及人员和设备的管理。明确要求业务人员离开时,业务终端必须退出。在随后的多次检查中没有发现不规范操作的现象。
6、制定了《防范病毒管理制度》,确定了专人进行全辖病毒防治工作。
7、组织相关系统集成方和线路运营方对县中心机房进行安全风险测试,排除隐患。
8、制定了《XX县信用联社机房管理制度》,建立了机房工 作人员及非工作人员出入管理规定。
二、加强领导,落实了网络和信息安全责任制。为加强信息科技和信息安全的管理,严格落实信息安全责任制,我行成立网络与信息安全工作领导小组,各机构也成立了相应的工作小组,全面负责本单位的信息安全和运行管理工作,总行建立了信息科技及技术风险管理部门,设立了专职管理人员,网络和信息安全责任落实到位。积极地做好了信息安全工作的组织领导和指导监督工作,从加强员工安全教育和业务培训入手,避免出现管理风险、结算风险、操作风险,确保了网络和信息系统的安全稳定运行。在本次自评估中,各级领导对评估工作高度重视,风险评估工作得到了广泛认同和支持,顺利地开展并卓有成效地进行,获得了客观、真实和有效的评估结果。
(一)领导重视,相互配合。
在自评估过程中,总行主要领导非常重视,召开专门会议,指定部门和专人负责评估工作。分管领导多次听取情况汇报,及时提出要求,进行工作部署。信息管理部门负责人亲自带队参与评估工作,抓好落实。各相关公司及线路运营商派来有丰富经验的技术工程师参加测评工作,提前做好准备工作。信息安全风险评估工作涉及信息系统的主管部门、建设单位、运行维护部门、使用部门、安全管理部门以及技术支持单位和产品或服务提供商。在各方的协调配合下,评估小组相互支持,谨慎从事、认真负责、积极协作,较好地完成了风险评估工作。
(二)严格审查,保证质量。
信息安全风险评估是一项崭新的工作,其专业性、技术性很强,为了确保测评工作质量,联社运管部按照银监会下发的《信息安全风险评估指南》,从工作内容、测评目的、操作规程、技术手段等方面,以及评估的各个环节上严格把关,适时提出安排意见,有效地保证了测评工作的顺利进行。
(三)积极行动,有效整改。
通过风险评估,各有关单位对现有信息网络和信息系统的资产、运行状况、存在问题等有了全面翔实的了解,针对网络和系统客观存在的安全隐患和安全风险,各单位正在积极研究有效解决方案。
三、加强维护、建立了网络和信息安全应急预案。我行高度重视网络信息安全防范工作,建立了网络信息安全应急预案,为避免出现不安全情况,对潜在的突发事件和重大操作,事先有预防措施、应急处置程序和恢复控制办法;明确了各责任区域责任人及其工作职责;定期进行应急预案演练,检验其操作性和效果;各机构确定专人,作为营业机构系统管理人员(兼),提供工作条件和培训机会,建立了多层次的系统维护管理人员体系,提高了处理突发事件的效率和能力。通过此次风险评估工作,找出了信息系统存在的不安全因素,发现了一些安全隐患,制定了整改措施,增强了系统的安全性。我们认识到,信息安全工作是一项长期的任务,这次评估工作仅仅是一个起点。今后,我们要将评估工作长期开展下去,逐步扩大评估范围,加深评估工作的深度,贯彻落实整改措施,不断提高我县农村信用社信息系统的安全性,完整性和可用性,以保证各项工作顺利进行。
第五篇:信息科技风险自评估报告
XX县信用联社关于对
信息科技风险自评估工作的汇报
X联社XX办事处:
按照办事处《转发银监会办公厅关于落实银行业金融机构信息科技风险评价审计整改和开展信息科技风险自评估工作的通知》要求,我县联社迅速组成自评估调查小组,按照全面、系统的要求,认真进行自评估分析,现将情况汇报如下:
﹙一﹚、提高认识,建立健全了信息系统安全风险防范体系。
随着电子化建设不断走向深入,信用社主要业务逐步依赖于计算机综合业务系统,随之而来的系统和网络安全已成为安全管理的关键环节和薄弱环节,尤其自二00六年五月底我县农村信用社顺利并入全X农信社通存通兑网络后,网络安全运行工作事关全县农村信用社改革,经营、管理大局。我县联社从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓电子化建设,一手抓风险防范。截止目前,已经初步按照上级主管部门统一标准建立起较完善的网络和信息安全风险防范体系。我们主要做到了以下几方面工作:
一、加强制度建设,规范操作行为,我们从健全制度入手,先后修改完善了《XX县农村信用社综合业务网络系统柜员管理办法》、《XX县农村信用社综合业务网络系统业务授权管理办法》、《XX县农村信用社综合业务网络系统网点运行管理制度》、《XX县农村信用社综合业务网络系统 1
设备管理制度》、《XX县农村信用社综合业务网络系统突发事件应急处置预案》、《XX县信用联社防范病毒管理制度》、《XX县信用联社机房管理制度》,修改制定了《XX县农村信用社综合业务网络系统安全运行管理处罚办法》等制度、规定,切实将我县农村信用社的网络安全管理责任落到实处。
二、加强硬件及网络环境建设,避免系统风险。
1、实现了内网与外网的严格的物理分离,内网主线路为
光纤专线,备份线路为音频专线,有关内网用机保证了专机专用。
2、为每个网点制做了规范的地线,并为网络设备配备了
专用机柜。与综合业务网络系统有关的机房、办公室、营业网点都配备有消防器材。
3、定期对中心机房及网点计算机专用供电线路及网络线
路进行专项整治,对老化的线路进行了更新,对有隐患的线路进行了整改。
4、所有网点都有不间断电源保护。并定期对老化的设备,如UPS,参数稳压器,发电机进行统一的更新。对网点所用设备都按一定比例配齐了备用设备。
5、上线初期,即制定下发了《计算机业务管理制度(暂行)》,规范了业务操作、授权和口令以及人员和设备的管理。明确要求业务人员离开时,业务终端必须退出。在随后的多次检查中没有发现不规范操作的现象。
6、制定了《XX县信用联社防范病毒管理制度》,确定了专
人进行全辖病毒防治工作。
7、组织相关系统集成方和线路运营方对县中心机房进行安
全风险测试,排除隐患。
8、制定了《XX县信用联社机房管理制度》,建立了机房工
作人员及非工作人员出入管理规定。
﹙二﹚、加强领导,落实了网络和信息安全责任制。
为加强信息科技和信息安全的管理,严格落实信息安全责任
制,联社成立网络与信息安全工作领导小组,各信用社也成立了相应的工作小组,全面负责本单位的信息安全和运行管理工作,联社建立了信息科技及技术风险管理部门,设立了专职管理人员,网络和信息安全责任落实到位。积极地做好了信息安全工作的组织领导和指导监督工作,从加强员工安全教育和业务培训入手,避免出现管理风险、结算风险、操作风险,确保了网络和信息系统的安全稳定运行。在本次自评估中,各级领导对评估工作高度重视,风险评估工作得到了广泛认同和支持,顺利地开展并卓有成效地进行,获得了客观、真实和有效的评估结果。
一、领导重视,相互配合。
在自评估过程中,联社主要领导非常重视,召开专门会
议,指定部门和专人负责评估工作。分管领导多次听取情况汇报,及时提出要求,进行工作部署。信息管理部门负责人亲自带队参与评估工作,抓好落实。各相关公司及线路运营商派来有丰富经验的技术工程师参加测评工作,提前做好准备工作。信息安全风险评估工作涉及信息系统的主管部门、建设单位、运行维护部门、使用部门、安全管理部门以及技术支持单位和产品或服务提供商。在各方的协调配合下,评估小组相互支持,谨慎从事、认真负责、积极协作,较好地完成了风险评估工作。
二、严格审查,保证质量。
信息安全风险评估是一项崭新的工作,其专业性、技术
性很强,为了确保测评工作质量,联社运管部按照银监会下发的《信息安全风险评估指南》,从工作内容、测评目的、操作规程、技术手段等方面,以及评估的各个环节上严格把关,适时提出安排意见,有效地保证了测评工作的顺利进行。目前,共完成评估报告份,我县农村信用社信息安全风险评估工作基本完成。
三、积极行动,有效整改。
通过风险评估,各有关单位对现有信息网络和信息系统的资产、运行状况、存在问题等有了全面翔实的了解,针对网络和系统客观存在的安全隐患和安全风险,各单位正在积极研究有效解决方案。牟家坝信用社在评估结果出来后,认识高、行动快、安全意识强,于1月 日在社内发文,对PC 机、终端和有关应用系统等进行全面清查,同时,还提出了重新设置密码和PC 权限,加强对敏感信息的管理,清除非法软件等措施。
三、加强维护、建立了网络和信息安全应急预案。
我县联社高度重视网络信息安全防范工作,建立了网络信息
安全应急预案,为避免出现不安全情况,对潜在的突发事件和重大操作,事先有预防措施、应急处置程序和恢复控制办法;明确了各责任区域责任人及其工作职责;定期进行应急预案演练,检验其操作性和效果;各社确定专人,作为信用社系统管理人员(兼),提供工作条件和培训机会,建立了多层次的系统维护管理人员体系,提高了处理突发事件的效率和能力。
通过此次风险评估工作,找出了信息系统存在的不安全因
素,发现了一些安全隐患,制定了整改措施,增强了系统的安全性。我们认识到,信息安全工作是一项长期的任务,这次评估工作仅仅是一个起点。今后,我们要将评估工作长期开展下去,逐步扩大评估范围,加深评估工作的深度,贯彻落实整改措施,不断提高我县农村信用社信息系统的安全性,完整性和可用性,以保证各项工作顺利进行。
二00八年一月十日
点击咨询 