前言:中文期刊网精心挑选了网络安全检查总结报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全检查总结报告范文1
关键词:农信社;科技风险;监管
近期,鹤岗银监分局对辖内农村信用社基层社信息科技风险管理工作进行了调研,分析了其现阶段存在的问题,并结合监督工作实际,提出了相关建议。
1 辖内农村信用社信息科技工作基本情况
截至2016年上半年,鹤岗市辖内有3家农村信用合作联社共计48个网点,其中基层社、分理处、储蓄所共45个,信息科技专职员工10人,占全辖农村信用社员工总人数的0.97%。3家农村信用合作联社外包服务由省农村信用社统一负责,未独立开展信息科技外包服务。辖内各联社均建立了信息安全责任制度和信息安全应急预案。指定了主管领导和管理机构,明确了职责分工,统一安装了计算机安全软件,未发生过因违反制度规定造成的信息安全事故。各联社均建立了严格的网络安全技术防护,所有重要信息系统均与互联网建立物理隔离,各个信息系统均建立了严格的身份认证、访问控制。由于实行数据大集中,重要信息系统服务器多集中在省联社,应急处置与容灾备份都在省联社层面进行。
2 辖内农村信用社信息科技工作存在的主要问题
2.1 治理机制不完善,科技风险管控工作建设流于表面化。辖内农信社虽然在制度上能建立相应的“三道防线”,并且建立了组织领导框架及信息科技安全管理责任制度,但科技风险管控工作建设流于表面化,在制度上尚未将信息安全纳入全面风险管理体系中,信息安全管理部门未履行好管理职责,没有部门和人员承担信息科技审计职能。各联社虽制订了详细的应急预案,但未定期开展专门的信息安全应急演练。
2.2 基础设施落后,机房建设不规范。各联社均不同程度存在机房建设不达标问题,特别是基层社由于建设时间较早,在这方面的问题反映比较突出:一是供电系统存在隐患。辖内基层社基本都是单路供电,一旦出现停电,无法及时实现电路切换,长时间停电容易造成中心机房系统服务中断。个别基层社甚至没有配备发电机,只用UPS电池做为后备电源。二是机房空调系统、防火系统和防雷系统建设检测不达标。部分基层社、分理处的机房没有安装空调,无法对其室内温度进行监控、控制。并且没有漏水报警装置,没有防鼠害的相关措施;个别机房的防火、防雷系统多年未经检测,严重威胁机房安全。三是监控录像保存时间短且存有死角。个别机构的机房监控录像保存时间仅为30天,与《商业银行数据中心监管指引》关于监测录像不低于3个月的规定差距较大。
2.3 应急管理不到位,应急预案不完善。一是开展应急演练的主动性不强。农信社各基层社均未开展全方位的应急演练,机构业务部门参与应急演练的意识不强,相关部门工作职责没有明确。二是应急预案不完善。个别信用社的应急预案虽然在形式上比较完整,各项要素较为齐全,但组织体系混乱,职责分工模糊,处置环节烦琐,突发性灾难事件难以得到高效处置。个别机构应急预案没有制定业务恢复优先级列表,与重要外部机构的联络沟通机制不畅通,应急预案更新不及时。
2.4 科技人员缺少业务基础知识。无论是业务系统研发需求,还是日常使用中对系统缺陷的发现、提出,科技和业务部门都必须密切配合。但目前农村中小金融机构科技人员受缺少银行业务知识等因素制约,只局限于硬件维护,对系统运行缺少动态跟踪检测,对业务部门反映的系统漏洞不能及时就地解决,基本就是负责上报,由此经常造成业务中断。
3 辖内农村信用社基层社现有科技风险原因分析
3.1 对信息科技风险认识不到位。长期以来,高管层更多关注的是能对效益产生直接影响的信用风险和市场风险,对信息科技风险普遍重视不够。分管科技的机构高管大多都不是科技专业出身,缺少完整、系统的信息科技风险的概念和相关专业知识。没有明确的中长期信息科技发展规划,对信息科技建设模式、标准等缺乏总体安排和长远考虑,对业务拓展、增值服务、经营决策等难以提供有效支持。
3.2 信息科技人员少,岗位设置不合理。基层社科技人员严重缺乏,基本都是综合岗兼职,无论是数量还是质量,科技人员都难以达到风险防范的需求。由于没有专业科技人员,大部分基层社都达不到不兼容岗位规定和重要信息系统“双人制”要求。此外,风控部门和审计部门也缺少信息科技领域的复合型人才,大部分机构的信息科技审计人员没有信息科技审计工作经历,也没有IT从业经验,无法确保内审部门有效开展信息科技内部审计工作。
3.3 软硬件建设资金投入不足。信息科技资金投入历年来占总投入比例较低,网点、产品、市场又在快速扩张,导致信息科技基础设施出现“小牛拉大车”的现象,固有风险不断扩大。虽然高管层从支撑业务发展的角度出发已认识到该问题,已经实施了信息科技规划,但投入资金需要经过复杂审批,进程较为缓慢。
4 推进农村信用社基层网点科技风险防范工作的建议
4.1 提高信息科技治理工作。辖内基层社领导层需要进一步提高全面风险管理意识,强化对信息科技风险工作的研究和推进,需要信息科技支撑的各项业务,要形成清晰的管理和发展战略。要强化信息科技合规建设,市级、县级联社要把信息科技合规管理纳入到合规管理框架之中,充分发挥技术部门安全检查、风险部门风险监控、审计部门适时监督的“三道防线”约束作用,形成完备的监测和纠错体系。同时,风险、内审部门要积极介入相关规划制定工作,增进对信息科技风险的了解和掌握,提高规划的完整性、操作性和有效性。
4.2 加强信息科技基础设施管理建设。基层社应切实加强机房、核心路由、交换机、服务器等重要IT基础设施的建设及管理,采取有效措施防范信息科技风险。一是加大科技资金投入。按照国家关于计算机机房管理规定,加快实现机房的物理分区和相关辅助设施的建设;加强机房电力改造进程,保证核心设备和重要信息系统为双路供电,且来自于不同组UPS设备,确保机房的正常运行。二是加大检查力度,建立有效的日常监控预警机制。应定期组织开展针对机房基础设施的安全检查,及时发现并排查风险隐患。
