农发行山东省分行-商业银行分支机构信息科技风险快速巡查单
更新时间:2023-08-24 13:16:01 阅读量: 教育文库 文档下载
- 农发行改制为商业银行推荐度:
- 相关推荐
商业银行分支机构信息科技风险
快速巡查单
一、基本信息
二、巡查方法
现场巡查以访谈、实地查看为主,抽样查阅资料、安全测试为辅,其中抽样规则原则上定义为:
1.文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的5%为抽样基准,也可根据访谈情况做出判定;如出现小数点,以四舍五入取整数;如果计算出的抽样数小于2,则至少取2个样例,如抽样数大于5,则取5个样例;
2.设备类、系统类原则上抽样5台(套),同时注意样本分布结构;
3.如需对网点进行巡查,网点的巡查数量控制在3家之内,随机抽取。
三、巡查内容:
第一部分:组织架构
审阅信息科技风险评估报告并组织制定风险控制策略: □是 ■否
审阅信息科技审计报告并督促整改: ■是 备 □否 注(事实依据):
巡查方法:访谈和抽样 需关注的问题(根据需要填写): 高管层未组织制定风险控制策略。 3. 是否建立完整的信息安全管理组织架构,并正常开展工作? 设立信息安全岗位负责机构信息安全的日常管理工作: ■是 □否
定期开展信息安全管理开展工作并有相应的文档资料: ■是 □否
制定信息安全责任制度: ■有 □无
员工信息安全职责明确: ■是 备 □否 注(事实依据):
巡查方法:访谈和抽样 需关注的问题(根据需要填写):
4. 科技岗位设置是否符合规定? 信息技术部科室、岗位设臵按照总行要求进行: ■是 □否
项目维护人员有A/B角设臵: ■是 □否
关键业务操作(如:重要密码输入、重要参数修改等)采用双人 进行:□是 ■否
信息科技运行与系统开发和维护分离: ■是 备 □否 注 (事实依据) 信息科技处不
承担涉及生产系统的开发。 :
巡查方法:访谈 需关注的问题(根据需要填写): 1.信息科技处明确了岗位和职责,但由于人员较少,兼岗现 象比较突出;重要岗位未制定详细完整的工作手册并适时更新。 2.各运维人员共用所维护系统的同一用户、密码,且全部使 用超级用户,不能满足最小权限原则。
5. 是否进行人员安全管理? 招聘新员工时,要求技术人员具备良好的职业道德,并掌握履行 信息系统相关岗位职责所需的专业知识和技能:
■是
□否
技术人员未经岗前培训或培训不合格者不得上岗: ■是 □否
经考核不合格的技术人员,及时进行调整: ■是 □否
与重要岗位人员签订保密协议: ■是 □否
当技术人员调离重要岗位时按保密协议对其设臵脱密期, 并进行 审查: ■是 备 □否
注(事实依据):
巡查方法:访谈和抽样 需关注的问题(根据需要填写):
6.制度落实情况如何? 以适当的方式将监管部门和上级行的信息科技工作要求传达给 所有员工:□是 ■否
根据监管部门和上级行的制度要求制订适合实际的操作流程和 实施细则:□是 ■否
总行或分行对制度的落实情况定期进行检查,有详细的检查报 告: ■是 □否
第二部分:机房管理
1. 新(改)建机房建设是否符合规定? 可行性报告: □有 □无 □否 □否
向监管部门报告:□是 获得总行的批复:□是
通过有资质的质检部门和消防部门等有关部门的检查验收: □是 □否
按照功能区域实现不同等级的物理分区: □是 □否 备 注 (事实依据) 机房近几年内未进行大规模机房新 : (改)
建工作。 巡查方法:实地查看和查阅资料 需关注的问题(根据需要填写): 1. 机房空间较小,功能区域划分不规范;机房存放了带易 燃包装盒的库存设备及物品。 2.机房布局不合理, 进入机房存放空调、 等设备的区域, UPS 需穿过存放服务器和网络设备的核心区域。
2. 机房监控是否有效? 电视监控录像的保存时间达到 3 个月: 监控覆盖哪些重要场所:
■主机房 ■网络机房 ■是 □否
■电源室
□运行、监控值班室
■中心机房走道
■外门
□部分业务部门的重要机房 (银行卡打 卡室、SWIFT 室) 摄像头电源由 UPS 专线供电: ■是 重要场所监控是否无死角: 备 注(事实依据): □是 □否 ■否
巡查方法:实地查看和抽样 需关注的问题(根据需要填写): 机房内共有 3 路视频监控,存在盲区;检查时点,其中一路 视频监控失效。
3. 机房网络布线是否整齐? 机柜上方和地板下方用线槽整齐: 机柜内线整理整齐: 机房各类布线贴有标签: 标签内容规范: 标签位臵合理: 备 注(事实依据): ■是 ■是 ■是 □是 ■是 □否 □否 □否 ■否 □否
巡查方法:实地查看 需关注的问题(根据需要填写): 设备标签内容较为简单。
4. 中心机房是否落实值班要求? 机房安保 24 小时值班: 科技部门已安排 7*24 小时在行值班: ■是 □是 □否 ■否
值班人员记录所有可疑故障和实际发生的事故, 并同时记录处理 过程、处理人、处理时间、影响业务时间: ■是 □否 ■是 □否 □否 □否
出入机房已实行审批登记:
机房运行值班人员与开发、维护人员分离:■是 值班人员定期进行巡检: 备 ■是
注 (事实依据) 值班人员对机房的巡检频率是每天两次。 :
巡查方法:访谈和抽样 需关注的问题(根据需要填写): 机房值班及巡检信息录入 “信息技术综合管理系统” ITMS) ( , 但该系统用户权限管理不严格,个人用户可修改已登记信息,且 可以查看、修改其他用户的登记信息。
5. 机房是否实行门禁管理? 制、读卡等门禁管理工作统一管理:■是 生产机房采用门禁系统: 进入生产机房实行书面授权: ■是 ■是 □否 □否 □否
外来人员进入机房采取的控制措施:■严格授权 □固定区域 □规定时间 □禁止摄影、录像、录音或其他记录设备 备 注(事实依据):
■专人陪同
巡查方法:访谈 需关注的问题(根据需要填写):
6. 机房是否实行消防安全管理? 消防报警系统是否年检并有证书: 配备灭火器并按规定定期检查灭火器材: ■是 ■是 □否 □否 □否
定期进行消防演练和培训并保存相关记录:■是
使用何种类型的消防灭火器材(在备注栏填写具体型号) 备 注(事实依据):使用七氟丙烷的消防灭火器材
巡查方法:访谈和实地查看 需关注的问题(根据需要填写):
7. 机房照明是否有保障? 机房内有应急照明: 应急照明接入 UPS: ■是 ■是 □否 □否 □否
机房内视频监控的区域有值班照明:■是
视频监控区域值班照明接入 UPS: 备 注(事实依据):
■是
□否
巡查
方法:实地查看 需关注的问题(根据需要填写):
8. 机房 UPS 供电是否有保障? 机房配电系统为双路供电: UPS 为机房设备供电专用: ■是 ■是 □否 □否 □否 □2N+1 ■值班照明
供电系统设臵防雷击保护装臵:■是 UPS 配备模式: UPS 供电范围: ■应急照明 ■主机系统 ■N+1
■网络通讯设备
UPS 负载小于有效输出功率的 80%:■是 UPS 满载后备时间大于 30 分钟:■是 UPS 电池定期放电检测: ■是
□否
□否 □否 □否
UPS 有专业公司进行维护保养: ■是 备 注(事实依据):
巡查方法:访谈和实地查看 需关注的问题(根据需要填写):
9. 机房其他供电情况是否可用? 发电机功率能保证对机房 UPS 供电: □是 □否
发电机定期保养(备注填写本季度保养的时间及内容): □是 □否 发电机定期进行切换演练: □是 □否 发电机切换演练有记录: □是 □否 发电机为机房 UPS 供电备份专用: □是 □否 未配备发电机使用其他供电保障措施或方案 (备注填写供电保障措施): ■是 备 □否 注(事实依据):无自有发电机,租用发电车。
巡查方法:访谈和抽样 需关注的问题(根据需要填写):
10. 机房空调管理是否符合要求? 机房温度控制在 22℃左右: 机房湿度在 45%--65%: ■是 ■是 □否 □否
第三部分:运行管理
1. 运维管理是否符合安全要求? 非正常工作时间进出工作场所经过批准且有相关记录: ■有 □无
禁止异地远程维护生产系统和生产数据(除总行之外): ■是 □否
是否收集、保管各类日志,并定期审核: □是 ■否 备 注(事实依据):未进行 24 小时运维值班,非正常工作
时间内无进入机房需求。 巡查方法:访谈和抽样 需关注的问题(根据需要填写): 1.未建立事件和问题管理机制, 未建立问题根源分析及跟踪 解决机制。 2.未建立日志管理流程,未对门
禁、网络设备、操作系统、 数据库、应用系统等各种日志进行集中保存,也未对日志进行定 期分析。
2. 是否实施变更管理? 变更管理有严格的授权办法、操作流程: □有 ■无 □否 □否 □否
生产变更在非工作时段或业务空闲时段进行:■是 生产变更有书面计划: 变更经过测试、审批、上线、验收: ■是 ■是
生产变更双人操作、复核: 生产变更有详细操作记录: 变更管理是否有回退机制: 备 注(事实依据):
■是 □有 ■有
□否 ■无 □无
巡查方法:访谈和抽样 需关注的问题(根据需要填写): 变更管理机制尚不完善,未建立变更管理制度,未根据对业 务影响大小进行变更分级,变更应急回退措施较为简单。
3. 是否实施备份管理? 前臵机和重要信息系统的操作系统、日志、应用程序、数据库、 生产数据、配臵信息定期进行备份: ■是 □否 □否 ■否
定期对备份的可用性进行检查或抽查并做记录:■是 备份的传送、存放、使用和销毁符合规定: 备 □是
注(事实依据):通过 ftp 方式将大小额系统、验印系统
数据库备份至位于泰安的异地备份中心。 巡查方法:访谈和抽样 需关注的问题(根据需要填写): 1.未建立专门的数据管理办法、备份办法或策略,也无数据 销毁的相关规定。
2.ftp 属简单网络传输协议,不能保障数据传输安全。
4. 是否实施网络管理? 制定网络运行管理的相关规定、操作流程: ■是 □否
规范记录或者监控网络配臵修改等维护修改操作: □是 ■否 各部门计算机经相关部门批准后方可接入国际互联网: ■是 □否
本机构与总行、网点、灾备中心通讯线路有备份: ■有 □无
本机构与重要外联单位(如银联等)通讯线路有备份: ■有 □无 ■是 □否 □无
定期检查备份通讯线路:
网络故障有记录及原因分析:■有 备
注(事实依据):外联单位仅有人民银行与银监局。
巡查方法:访谈和抽样 需关注的问题(根据需要填写): 1.办公网部分计算机采用动态 IP,无 IP 地址管理措施。 2.生产网计算机采用静态 IP,但未登记 IP 使用人员。 3.未建立客户端计算机准入、认证机制。 4.网络故障记录及原因分析不完善。
5. 是否实施安全产品管理? 安全专用产品属于总行统一选型: 安全专用产品及时进行升级和维护并登记备案: 使用总行统一的网络防病毒产品: ■是 ■是 ■是 □否 □否 □否 □无 □否 ■否 □否 □否 ■否
所有 windows 终端及服务器均安装病毒防护软件:■有 定期进行防病毒软件升级: 建立病毒发现响应策略和处理流程: 部署安装 IDS,控制台正常: 对 IDS 日志记录进行分析
: 本机构与外联单位网络边界部署防火墙: 备 ■是 □是 ■是 ■是 □是
注(事实依据):外联单位仅有人民银行与银监局;生产
网、 办公网均出现中毒计算机。 省行的网络结构由总行统一制定, 部署了外部防火墙,具有边界防火墙的功能。 巡查方法:访谈和抽样 需关注的问题(根据需要填写): 对 IDS 事件分析不完善。
6. 是否实施设备管理? 存储机密、秘密资源设备维修、更换或报废时: ■删除数据 ■拆除涉密部件
废弃、销毁含机密资源或秘密资源的介质有审批手续和登记记 录: □有 ■无 不使用互联网计算机处理涉密材料和储存秘密级以上文件: ■是 □否
离开办公座位时,工作桌面上所有内部资料、存有机密或敏感信 息的磁盘或其他可移动介质等妥善锁入文件柜中或存放在指定 的保险箱中,并锁定计算机: 移动存储设备使用符合规定: □是 备 ■否 注(事实依据): □是 ■否
巡查方法:访谈和抽样 需关注的问题(根据需要填写): 未采用技术手段控制移动介质在网间交叉使用。
7. 数据安全的部署情况如何? 系统管理员密码保管与回收流程:多人完全掌握 普通用户离职后:■账户删除 □账户禁用
数据访问人员授权:□按需进行区分和最小必要授权 □ 不区分,授予相同权限 ■无授权机制
重要数据的存储介质过期后是否销毁:■是 销毁机构名称:办公室、信息科技处
□否
人员变动时办公用计算机磁盘信息是否清理或删除: ■是 备 □否 注(事实依据):
巡查方法:访谈和实地查看 需关注的问题(根据需要填写):
8. 是否采取措施避免信息泄露? 不存在敏感信息泄漏的现象(如密码,IP 等): ■是 □否
生产系统设臵带密码的屏幕保护: □是 ■否
系统无人使用时,处于锁定状态: □是 ■否
对公共开放区域的信息设备采取有效的保护控制措施 (如网点营 业厅等公开区域的设备是否采用专人监控,屏幕密码保护等措 施): □是 □否
网点自助区不存在网线、端口外露的现象: □是 □否 备 注(事实依据):没有公共开放区域及网点自助区的信息
正在阅读:
农发行山东省分行-商业银行分支机构信息科技风险快速巡查单08-24
学校领导干部个人重大事项报告制度04-06
重庆一中初2014级13—14学年度下期第二次定时作业语文试卷06-24
《格列佛游记》.练习题211-09
快乐的云娃娃作文500字06-19
中国教育模型行业市场前景分析预测年度报告(目录) - 图文03-18
4000t铅锌选矿厂设计说明书11-17
五年级上册小数简便运算150题练习03-09
某暗渠施组10-15
《威尼斯商人》扩展阅读0105-26
- exercise2
- 铅锌矿详查地质设计 - 图文
- 厨余垃圾、餐厨垃圾堆肥系统设计方案
- 陈明珠开题报告
- 化工原理精选例题
- 政府形象宣传册营销案例
- 小学一至三年级语文阅读专项练习题
- 2014.民诉 期末考试 复习题
- 巅峰智业 - 做好顶层设计对建设城市的重要意义
- (三起)冀教版三年级英语上册Unit4 Lesson24练习题及答案
- 2017年实心轮胎现状及发展趋势分析(目录)
- 基于GIS的农用地定级技术研究定稿
- 2017-2022年中国医疗保健市场调查与市场前景预测报告(目录) - 图文
- 作业
- OFDM技术仿真(MATLAB代码) - 图文
- Android工程师笔试题及答案
- 生命密码联合密码
- 空间地上权若干法律问题探究
- 江苏学业水平测试《机械基础》模拟试题
- 选课走班实施方案
- 商业银行
- 农发行
- 山东省
- 巡查
- 分行
- 分支
- 风险
- 快速
- 机构
- 科技
- 信息
- 幼儿算术---10以内加减法练习题
- 《国家基本公共卫生服务规范(第三版)》考试全部试题(90分以上)
- 风险管理的主要步骤包括( )。 A.风险识别B.风险跟踪C.风险预测D
- 第2讲 数学规划模型的建立1
- 专业英语4-8级13000纯英文单词背诵表
- 居住区规划设计步骤(2)
- 2亚洲分区地理--东南亚
- 上海市各区2017-2018年高三英语一模试题汇编--听力部分-老师版(带答案已经校对)
- 2015-2022年中国毛方巾市场研究及投资战略研究报告
- 大学物理期末考试试卷(含答案)
- VMware8.0简介还有序列号
- PCB加工流程详解大全
- 信息安全等级保护测评机构申请表下载
- 人教版高中数学课本目录
- 4.4.16汽轮机本体安装分部工程强制性条文执行情况检查表
- 2016-2020年中国基因工程药物产业发展前景预测与投资策略规划分析报告(目录
- 人教版九年级物理导学案全套
- 看一看初学吉他的五个步骤
- 机电设备安装工程重大危险源清单
- 淘米2014校园招聘笔试题