《对于对银行科技信息风险管理进行专项审计报告计划.docx》由会员分享,可在线阅读,更多相关《对于对银行科技信息风险管理进行专项审计报告计划.docx(5页珍藏版)》请在金锄头文库上搜索。
1、优选文档关于对XX银行科技信息风险管理进行专项审计的报告(模板)为有效防范、控制、化解利用信息系统进行业务办理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、连续、庄重发展,依照商业银行内部控制指引、商业银行信息科技风险管理指引和相关信息系统管理的法规、XXX联社审计部依照市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告以下:一、基本情况略。二、审计依照银监会商业银行信息科技风险管理指引、银监会商业银行数据中心看守指引及省联社信息科技相关制度和本联社信息科技相关管理文件。三、组织架构、制度建设及管理情况1、信息科技治理组织架构1)县联社董事会
2、下设科技信息安全管理委员会,信息安全管理委员会下设应急办理领导小组。科技管理委员会负责一致规划全社的信息化建设,指导和督查科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设施招标和一致采买及平常管理中重要问题的研究和建议。5信息系统应急办理领导小组负责组织拟定全辖应急办理的推行细则,一致组织、协调、指导、检查全辖应急办理的管理;负责全辖信息系统突发事件的应急指挥、组织协调停过程控制(2)建立了科技部,加强了科技运维信息治理。(3)科技风险审计工作由联社稽核审计部完成。2、信息科技管理制度(1)安全管理对安全管理活动中的各样管理内容,依照省联社相关制度建立安全管理制度,拟定了由安
3、全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度判定周期为一年一次,并且实时发现缺漏或不足对制度进行校正,并有校正记录(2)事件管理拟定了安全事件报告和办理管理制度信息安全事件管理制度明确安全事件种类,规定安全事件的现场办理、事件报告和后期恢复的管理职责,并依照国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,拟定安全事件报告和响应办理程序,确定事件的报告流程,响应和办理方法等,并对发现的安全缺点和可疑事件有异常情况上报规定(3)应急办理建立较为完满的信息系统应急恢复策略河北省农村信用社联合社计算机信息系统应急办理方案,对各业务
4、信息系统进行分类,依照重要程度,确定保障级别,拟定了各信息系统突发事件专项应急方案。(4)安全操作规范及管理流程联社有完满的信息安全管理流程,控制信息安全管理。包括介质管理、网络管理、保护及故障办理制度、软硬件变更流程、备份管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理各项流程。四、信息科技风险管理情况(一)物理环境管理1、机房的物理接见控制:机房实现门禁控制,严防外部人员进入机房擅自操作。2、系统密码均由特地人员掌管,计算机终端无人看守时锁定;3、机房采用集中监控,监控清楚全面,机房环境设施均有专人岗位值班管理,参数推行24小时不中止监控,岗位人员具备管理监控专业素质。4、机房供电
5、系统均采用双UPS供电,线路冗余性好,负载能力强,完满能够满足机房电力需求。、机房空调系统的有效性和冗余性,给排风系统的有效性:机房空调系统安全有效,给排风系统工作正常。6、中心计房配套防盗窃、防雷、防火、防水、防静电、温湿度控制等措施,保证机房正常运转。(二)网络管理综合业务系统与外面办公系统严格隔断,不存在混接现象。中心计房装备路由器、交换机各两套,承载业务转接,数据传输,互为备份。县到市骨干线路为电信和联通,县到网点线路为搬动和联通线路,保障生产通讯线路畅达运转。网络设施管理配置均由专人分管负责,保证合理操作,保障网络畅达、安全;(三)应用安全1、业务应用系统的用户授权及鉴别认证措施。业
6、务应用系统用户密码相关业务人员各自保留,经过操作号和密码进行身份鉴别认证。人员走开时应设置屏幕密码保护或退出到登陆状态。2、业务应用系统的用户接见控制。系统软件用户接见实现权限控制,各级人员只能进行权限内操作(四)数据管理本联社信息系统的数据是实时存放于省中心,数据备份工作也由省中心一致完成。(五)设施管理本联社按要求推行严格的内、外网隔断,对不同样的设施推行不同样的安全防范措施。对接入内网的PC机已在省联社的一致部署下安装卡巴斯基防病毒客户端,由后台服务器如期升级,实时有效防范计算机病毒入侵;关于柜面用终端安装卡巴斯基防病毒软件,有效控制病毒经过U盘等搬动储藏设施进行流传和有效鉴别所有接入设施;关于工作需要装备的外网办公用机,安装杀毒软件,实时在线升级防范。五、检查发现存在的不足检查发现工作日志对停电没有记录;存在外包机构开发人员用自带电脑同时接入本社内外网情况;各网点均存在wifi无线密码控制能力弱问题。经过检查联社管理层级和信息科技风险管理部门,以工作制度和岗位责任制的形式规定了其管理职责的工作内容与操作要求,为各部门推行相应的信息科技风险管理活动提供了依照和指导。XXX银行审计部2017年10月30日
