信息科技风险报告-副本

第一篇：信息科技风险报告-副本信息科技风险自查报告按照上级领导的指示，认真贯彻《XX通知》（XX文件）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：一、组织架构、制度建设及管理情况1、信息科技治理组织架构信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制成立了信息科技部，加强了信息科技管理。2、信息科技管理制度建设（1）安全管理对安全管理活动中的各类管理内容建立安全管理制度，制定了《南乐县农村信用社计算机信息系统安全管理制度》等，并且及时发现缺漏或不足对制度进行修订。（2）应急处理建立较为完善的信息计算机信息系统管理办法，制定中心机房关键基础设施专项应急预案。二、信息系统的技术措施情况1、物理和环境建设（1）机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。（2）系统密码均由专门人员掌管，计算机终端无人看管时锁定；（3）机房采用集中监控，监控清晰全面，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。（4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。（5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统安全有效，给排风系统工作正常。（6）中心机房有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，确保机房正常运转。2、网络服务连续性、冗余性1.所有重要通信线路均有备份线路且采用不同运营商，确保网络无断点。2.网络设备的冗余性：网络设备均有备份。核心网络设备，核心生产系统设备均采用双机热备，确保关键生产设备运行的可靠性。3.访问线路的带宽完全能够满足各信息系统的带宽需求，无网络拥塞现象。4.网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、安全；3、应用安全1.业务应用系统的用户授权及鉴别认证措施业务应用系统用户密码相关业务人员各自保管，通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。2.业务应用系统的用户访问控制系统软件用户访问实现权限控制，各级人员只能进行权限内操作三、不足和改进方法需将管理与技术相结合，进一步加强信息安全管理手段1、从IT风险管理手段来看，部分系统的风险控制不够先进，缺乏专业的风险技术支持，事前预防作用有限，事中控制不够。缺乏对科技风险的集中审计。2、从组织上保证信息风险有具体人员来承担责任，强化执行力和合规性。将日常信息风险管理从传统的检查模式逐步过渡到基于评估、规划、执行和监督全面循环改进的模式。制订详细的信息科技风险管理架构，确立信息服务管理与信息风险管理的关系，明确信息风险管理的范围、职责，制订符合信用社实际情况的管理流程，出台可操作性强的安全技术规范，从而有效地防范科技风险。第二篇：银行业信息科技风险监管报告探索银行业信息科技风险监管框架银行业信息科技风险监管概述信息科技风险是随着信息科技技术广泛应用而新生的词汇，最早出现在上世纪九十年代，目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势，即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础，通过约束银行资本，达到控制行业规模和风险的目的。在新资本协议关注的三大风险中，信息科技风险被默认为操作风险的一部分，未对信息科技风险的管理提出具体要求。信息科技稳定运行是银行业务正常经营的基本条件，银行数据集中造成了风险的高度集中，科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性：一是风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高；二是由于管理因素、技术因素多重作用，导致偶发性和不确定性突出；三是信息科技一般不直接造成经济损失，其造成的间接损失难以计量；四是单个信息系统可影响多个业务，影响范围广且具有不确定性。科技风险与操作风险当前处在不同的发展阶段，其管理理论、管理方法等方面有着一定的差异性。在管理体系方面，信息科技风险管理的理论已进入风险导向的科技风险管理阶段，但以风险为导向的识别、监测、计量方面尚不成体系；在管理方法方面，信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素；在损失特点方面，信息科技风险通常不产生直接的风险损失，这决定了通常情况下科技风险损失往往难以使用货