信息安全培训试题
一、单选
1、信息科技风险指在商业银行运用过程中,由于自然因素、(B )、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
A 制度落实
B 技术标准
C 人为因素
D 不可抗力
2、信息科技风险管理的第一责任人是(A )。
A 银行的法定代表人
B 信息技术部负责人
C CIO
D 其他
3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A ),建立完整的管理组织架构,制订完善的管理制度和流程。
A 信息科技治理
B 信息安全管理
C 系统持续性管理
D 突发事件管理
4、所有科技风险事件都可以归于信息系统连续性或(D )出问题的事件。
A 保密性
B 完整性
C 可用性
D 安全性
5、设立或指派一个特定部门负责信息科技(D )管理工作,该部门为信息科技突发事件应急响应小组的成员之一。
A 安全
B 审计
C 合规
D 风险
6、内部审计部门设立专门的信息科技风险审计岗位,负责(A )进行审计。
A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等
B 制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等
C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等
D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划等
7、信息科技风险管理策略,包括但不限于下述领域(C )。
A 信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全
B 信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置
C 信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置
D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置
8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C )为原则、审批和授权、验证和调节。。
A 以“最小授权”
B 以“必需知道”
C 以“必需知道”和“最小授权”
D 以上都不是
9、信息科技风险管理应制定明确的(D )等,定期进行更新和公示A 信息科技风险管理制度
B 技术标准
C 操作规程
D 信息科技风险管理制度、技术标准和操作规程
10、制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求;明确定义包括(A )等不同用户组的访问权限。
A 终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员
B 终端用户、计算机操作人员、系统管理员和用户管理员
C 系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员
D 终端用户、系统开发人员、系统测试人员、计算机操作人员
11、商业银行应保证(C )中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要。
A 交易日志
B 系统日志
C 交易日志和系统日志
D 监控日志
12、对信息系统的(C )管理制定制度和流程。。
A 立项
B 投产
C 全生命周期
D 终止
13、制定信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性。应包括以下要求: (C )
A 生产系统与开发系统、测试系统有效隔离。
B 生产系统与开发系统、测试系统的管理职能相分离。
C 生产系统与开发系统、测试系统有效隔离,生产系统与开发系统、测试系统的管理职能相分离。
D 生产系统与开发系统、测试系统有限隔离。
14、除得到管理层批准执行紧急修复任务外,禁止(C )进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
A 应用程序开发
B 维护人员
C 应用程序开发和维护人员
D 所有人员
15、将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应得到(C )的批准,并对变更进行及时记录和定期复查。
A 信息科技部门
B 业务部门
C 信息科技部门和业务部门
D 机房管理人员
16、所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行(A ),以便必要时可以恢复原来的系统版本和数据文件。
A 备份
B 验证
C 测试
D 制定方案
17、严格控制(C )进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控。
A 业务人员
B 维护人员
C 第三方人员(如服务供应商)
D 开发人员
18、针对(C ),尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。
A 临时聘用的技术人员和承包商
B 长期聘用的技术人员和承包商
C 长期或临时聘用的技术人员和承包商
D 来访人员
19、商业银行应采取(C )等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
A 系统恢复
B 双机热备处理
C 系统恢复和双机热备处理
D 冗余方式
20、商业银行实施重要外包(如数据中心和信息科技基础设施等)
应格外谨慎,在准备实施重要外包时应以书面材料正式报告(C )。
A 银监会
B 人民银行
C 银监会或其派出机构
D 董事会
21、所有信息科技外包合同应由(C )和信息科技管理委员会审核通过。
A 信息科技部门
B 审计部门
C 信息科技风险管理部门、法律部门
D 董事会
22、至少应每(C )年进行一次全面审计。
A 一
B 二
C 三
D 四
23、业务连续性管理是指商业银行为有效应对(C ),建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
A 系统宕机
B 通讯中断
C 重要业务运营中断事件
D 系统运行效率降低
24、商业银行业务连续性组织架构包括(C )
A 日常管理组织架构
B 应急处置组织架构
C 日常管理组织架构和应急处置组织架构
D 信息科技管理组织架构
25、业务连续性管理主管部门是(B )
A 办公室
B 风险管理部
C 信息科技部
D 审计部
26、信息科技部门是(A )。
A 业务连续性管理执行部门
B 业务连续性管理保障部门
C 业务连续性管理审计部门
D 业务连续性管理主管部门
27、应急处置组织架构应急决策层由(A )组成,负责决定应急处置重大事宜。
A 商业银行高级管理人员
B 信息科技部门人员
C 风险管理部门人员
D 业务条线管理部门人员
28、根据业务重要程度实现差异化管理,商业银行确定各业务恢复优先顺序和恢复指标,商业银行应当至少每(C )年开展一次全面业务影响分析,并形成业务影响分析报告。
A 一
B 二
C 三
D 四
29、原则上,重要业务恢复时间目标不得大于(D )小时。
A 一
B 二
C 三
D 四
30、原则上,重要业务恢复点目标不得大于(D )小时
A 0.1
B 0.2
C 0.4
D 0.5
31、商业银行应当通过分析(A )的对应关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统RTO 、信息系统RPO ,明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。
A 业务与信息系统
B 开发测试与生产环境
C 重要系统与非重要系统
D 以上都不对
32、商业银行应当重点加强信息系统关键资源的建设,实现信息系统的(C ),保障信息系统的持续运行并减少信息系统中断后的恢复时间。
A 安全运行
B 顺利投产
C 高可用性
D 高可靠性
33、商业银行应当设立统一的(A ),用于应急决策、指挥与联络,指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。
A 运营中断事件指挥中心场所
B 技术标准
C 规章制度
D 组织架构
34、商业银行应当建立(D )等备用信息技术资源和备用信息系统运行场所资源,并满足银监会关于数据中心相关监管要求。
A 数据中心
B 技术中心
C 研发中心
D 灾备中心
35、商业银行应当明确关键岗位的备份人员及其备份方式,并确保
(C )可用,降低关键岗位人员无法及时履职风险。
A 在岗人员
B 运维人员
C 备份人员
D 科技人员
36、商业银行应当至少每(C )年对全部重要业务开展一次业务连续性计划演练。
A 一
B 二
C 三
D 四
37、商业银行应当至少(A )对业务连续性管理体系的完整性、合理性、有效性组织一次自评估,或者委托第三方机构进行评估,并向高级管理层提交评估报告。
A 每年
B 6个月
C 两年
D 3个月
38、当运营中断事件同时满足多个级别的定级条件时,按(B )级别确定事件等级。
A 最低
B 最高
C 平均水平
D 其他
39、灾备中心同城模式是指灾备中心与生产中心位于(A ),一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事件。
A 同一地理区域
B 不同地理区域
C 距离较远地区
D 同一地点
40、总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,及省级农村信用联合社应设立(C )。
A 备份介质存储中心
B 同城模式灾备中心
C 异地模式灾备中心
D 其他
41、应具备机房环境监控系统,对基础设施设备、机房环境状况、安防系统状况进行(A )实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。
A 7x24小时
B 5 x8小时
C 5x24小时
D 其他
42、数据中心应用(B )通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。
A 一家
B 两家或多家
C 两家
D 其他
43、商业银行应(A )至少进行一次重要信息系统专项灾备切换演练,每三年至少进行一次重要信息系统全面灾备切换演练,以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。
A 每年
B 每两年
C 每半年
D 每季度
44、商业银行应充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。商业银行在实施数据中心整体服务外包以及涉及影响业务、管理和客户敏感数据信息安全的外包前,应向(C )报告。
A 银监会
B 银监会派出机构
C 中国银监会或其派出机构
D 其他
45、突发事件是指银行业金融机构(A )以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。
A 重要信息系统
B 桌面计算机系统
C 内部办公系统
D 笔记本电脑系统
46、突发事件依照其影响范围及持续时间等因素分级。当突发事件同时满足多个级别的定级条件时,按(A )确定突发事件等级。
A 最高级别
B 最低级别
C 系统分类
D 其他
47、恢复时间目标(RTO )指(B )恢复正常的时间要求。
A 系统功能
B 业务功能
C 系统重启
D 事件关闭
48、恢复点目标(RPO ):业务功能恢复时能够容忍的(D )。
A 业务数据丢失量
B 客户数据丢失量
C 设备损坏数量
D 数据丢失量
49、银行业金融机构应对关键信息技术资源建立(B )以及相关的日常监测与预警机制。
A 备份策略
B 监测指标体系
C 场景模拟
D 风险评估机制
50、银行业金融机构应根据RTO 和RPO ,结合风险控制策略,从基础设施、网络、信息系统等不同方面,分类制定本机构(B )。
A 应急组织机构
B 应急预案
C 应急报告路线
D 应急保障团队
51、应急预案应包括系统恢复流程和应急处置操作手册,尽可能将操作代码化、(A ),降低应急处置过程中产生的操作风险;
A 自动化
B 可回溯
C 全面性
D 可中断
52、应急预案应明确(B ),确保信息系统恢复正常业务处理能力。
A 系统重启步骤
B 系统重建步骤
C 系统验证步骤
D 应急评估指标
53、实施应急演练应严格控制应急演练引起的信息系统变更风险,避免因演练导致(C )。
A 数据丢失
B 系统宕机
C 服务中断
D 网络中断
54、应急演练应选择在(D )进行。
A 法定节假日
B 停业时段
C 主要业务时段
D 非主要业务时段
55、应急演练完成后,应保证实施应急预案所需的各项资源(A )。
A 恢复正常
B 恢复初始状态
C 恢复备份数据
D 被验证
56、对于应急预案没有覆盖的突发事件,应立即报告(A )进行应急决策。
A 应急领导小组
B 应急执行小组
C 应急保障小组
D 其他
57、银行业金融机构应在重要信息系统突发事件后(C )分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告;
A 15
B 30
C 60
D 120
58、对造成经济秩序混乱或重大经济损失、影响金融稳定的,或对银行、客户、公众的利益造成损害的突发事件,银行业金融机构要(C )。
A 在规定时间上报
B 立即上报
C 按规定路线报告
D 及时处置,结束后上报
59、银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构,直至(C )。Ⅰ级突发事件发生后,银行业金融机构应每2小时将应急处置进展情况上报,直至(C )。
A 应急操作完成
B 数据恢复
C 应急结束
D 正常营业
60、重要信息系统(A )即为应急结束。
A 恢复正常服务
B 数据恢复
C 主机运行正常
D 网络恢复
61、银行业金融机构应采取必要的(C ),确保应急响应通讯及时有效。
A 备份介质保存措施
B 设备备份措施
C 通讯保障措施
D 人员备份措施
62、银行业金融机构应每年开展一次对突发事件风险防范措施的(C ),包括评估风险识别、分析和控制措施的有效性、应急预案的完备性、应急演练的全面性和及时性等,检验防范措施的有效性,并及时发现新的风险,改进风险控制措施,进一步完善应急预案,形成风险防范措施的持续改进。
A 全面评估
B 审计活动
C 全面评估和审计活动
D 全面检查
63、业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织(B ),保证业务资源投入。
A 联调测试
B 用户测试
C 应急演练
D 系统验收
64、审计部门应开展重要信息系统(D )审计工作,针对问题发现提出整改意见。
A 立项
B 变更
C 投产
D 投产及变更
65、银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。按照(C ),采取与风险程度相适应的重要信息系统投产及变更策略。
A 上线时间顺序
B 系统重要性
C 对业务影响最小原则
D 对系统影响最小原则
66、银行业金融机构应合理避开(A )安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。
A 业务高峰期和敏感时段
B 敏感时段
C 业务高峰期
D 法定节假日
67、银行业金融机构应建立充分、完整的测试体系,测试结果应经过(D )确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。。
A 风险管理部门
B 业务部门
C 审计部门
D 信息科技部门和相关业务部门
68、银行业金融机构应建立(C )的测试环境,测试环境应模拟生产环境的真实情况。
A 运行在生产设备
B 与生产环境互通
C 与生产环境相隔离
D 与生产环境不一致
69、银行业金融机构应建立完善的(B ),制定严格的审批、控制和操作流程,保存完整的日志记录。
A 上线方案
B 版本管理制度
C 上线评审制度
D 版本审批流程
70、银行业金融机构应制定重要信息系统投产及变更(A ),制定系统回退和应急处置计划和流程,必要时应实施演练。
A 应急预案
B 上线方案
C 绿灯测试方案
D 测试方案
71、应对重要信息系统投产及变更过程产生的各类(B )进行管理,确保(B )的完整性、及时性和有效性,并满足独立审计要求。
A 上线方案
B 文档资料
C 管理制度
D 研发成果
72、银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。应在重要信息系统投产前至少(C )个工作日、变更前至少(B )个工作日向中国银监会或其派出机构报告。
A 5
B 10
C 20
D 30
73、银行业金融机构应在重要信系统投产及变更实施后(A )个月内向中国银监会或其派出机构提交总结报告材料。
A 1
B 2
C 3
D 6
74、向银监会及其派出机构提交的投产及变更总结报告材料内容包括但不限于:(D )等
A 后续改进措施
B 问题发现和处理情况
C 投产及变更方案执行情况、效果
D 投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施
75、计划内事件(预期事件):由上级行或本级行部署实施的可能影响信息科技服务的增加、修改或删除等变更事件。包括(D )等。 A 软硬件维护
B 应用系统变更或升级
C 基础设施变更
D 软硬件维护、应用系统变更或升级、基础设施变更
76、计划外事件(非预期事件):因各种非预期原因影响或可能影响业务应用、系统环境、网络通信、机器设备、机房设施的正常有效运行的事件。包括硬件故障、软件故障、(D )、内外部攻击等。 A 网络故障
C 基础设施故障
D 基础设施故障、网络故障、操作不当
77、计划内事件应至少提前(C )个工作日通过系统报告相关事项。
A 1
B 3
C 5
D10
78、计划外事件在事件发生后(A )小时内将相关情况电话报告至天津银监局信息科技监管部门,12小时内通过“报备系统”提交书面报告。
A 1
B 2
C 4
D 8
79、要建立有效的部门间协作机制,严格变更管理,杜绝生产变更的(C )。
A. 无序性
B. 有序性
C. 随意性
D. 任意性
80、落实岗位责任制,杜绝混岗、(C )和一人多岗现象。
A. 无岗
B. 空岗
C. 代岗
D. 其他
81、要采取主动预防措施,加强日常巡检,(B )进行重要设备的深度可用性检查。
A. 不定期
B. 定期
C. 每日
D. 每月
82、要实施自动化管理,加强系统及网络的(B )审计,实现数据中心各项操作的有效稽核。
A. 风险
B. 安全
C. 保密
D. 合规
83、对重要信息的传输、存储要采取一定强度的( D ) 措施,规范和强化密钥管理。
A. 密级
B. 绝密
C. 保密
D. 加密
84、利用国际互联网提供金融服务的信息系统要与办公网实现(D )
A. 完全隔离
B. 物理隔离
C. 软件隔离
85、根据信息资产重要程度,合理定级,实施信息( D )
A. 风险评估
B. 合规审计
C. 加密
D. 安全等级保护
86、要适时备份和安全保存业务数据,定期对冗余备份系统、备份介质进行深度(A )检查。
A. 可用性
B 、安全性
C 、时效性
D. 合理性
87、信息系统安全管理是对信息系统的(C )全过程实施符合安全责任要求的管理。
A. 数据访问
B. 建设实施
C. 全生命周期
D. 服务运行
88、行内严禁使用盗版软件和破解工具,不能(A ),严禁安装各种游戏软件。
A 私自安装应用软件
B 更改口令
C 更新软件
89、未经批准,严禁在银行内部架设(D )等服务器。
A FTP
B DHCP
C DNS
D FTP,DHCP ,DNS
90、任何部门和个人不得私自将包括(D )等网络设备接入到行内网络和计算机设备。
A HUB及交换机
B 路由器
C 无线上网卡
D HUB及交换机、路由器、无线上网卡
91、严禁卸载或关闭安全防护软件和防病毒软件,及时更新(D )。
A 数据库
B 更改口令
C 用户
D 病毒库
92、办公用机不得保存(C )。(C )使用要严格遵照生产系统数据使用的制度要求,进行申请、审批和清除。
A 用户数据
B 参数数据
C 客户信息数据
D 业务数据
93、信息技术部承担着总行信息委办公室及本部门双重职能,是全行IT 研究与应用的主管部门,负责全行IT 系统的运行维护、信息技术项目的开发和推广以及信息系统的(D )。
B 信息科技风险管理
C 信息科技审计
D 安全管理
94、信息安全管理要求建立有效管理(C )的流程。
A 用户认证
B 访问控制
C 用户认证和访问控制
D 灾备管理
95、应急演练应做到(D )相结合,一般情况下,银行业金融机构每年至少应组织一次全系统范围内的应急演练。
A 平战结合
B 全面演练
C 专项演练
D 全面演练和专项演练
96、银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,(B ),组织必要的培训,确保投产及变更实施后业务顺利开展。
A 明确业务管理职责
B 明确业务及运行管理职责
C 明确运行管理职责
D 明确风险管理职责
97、突发事件判定的重要依据指由于重要信息系统服务异常,在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达(A )个小时(含)以上的突发事件。
A 0.5
B 1
C 1.5
D0.2
98、银行应组建应急团队,在发生信息系统突发事件时,能够做到及时实施专项应急处置工作。应急团队应包括但不限于(D )。
A 应急领导小组
B 应急执行小组
C 支持保障小组
D 应急领导小组、应急执行小组、支持保障小组
98、(B )应制订应急管理政策和基本管理制度并报董事会和高级管理层审定,统一组织、协调、指导、检查本机构信息系统突发事件应急管理。
A 信息科技部门
B 风险管理部门
C 内部审计部门
D 信息科技管理委员会
100、商业银行应当依据业务恢复策略,确定(C )。
A 灾难恢复资源获取方式
B 灾难恢复等级
C 灾难恢复资源获取方式和灾难恢复等级
D 灾难恢复流程
二、多选
1、信息科技风险管理的关键是要建立三道防线,分别是(A\D\C)。
A 、信息科技管理、
B 、合规管理
C 、审计监督
D 、风险管理
2、商业银行应确保设立物理安全保护区域,包括(A\B)等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
A 、计算机中心或数据中心
B 、存储机密信息或放置网络设备
C 、项目开发区域
D 、设备库房
3、商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现(A\B\C\D\E)等。
A 、网络内容过滤
B 、逻辑访问控制
C 、传输加密
D 、网络监控
E 、记录活动日志
4、商业银行应评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:(A\B\C)
A 、内外部资源的故障或缺失(如人员、系统或其他资产)
B 、信息丢失或受损
C 、外部事件(如战争、地震或台风等)
D 、其他
4、商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,()。
A 、制定业务连续性计划
B 、配置必要的资源
C 、有效处置运营中断事件
D 、开展演练和业务连续性管理的评估改进
5、商业银行业务连续性日常管理组织架构中包括(A\B\C)
A 、执行部门
B 、保障部门
C 、审计部门
D 、其他部门
6、商业银行业务连续性应急处置理组织架构中包括(A\B\C\D)
A 、应急决策层
B 、应急指挥层
C 、应急执行层
D 、应急保障层
7、应急处置组织机构的应急指挥层由商业银行的()负责人组成,负责运营中断事件处置应急指挥和组织协调,督导应急处置实施。应急处置组织架构
A 、业务连续性管理主管部门
B 、业务连续性管理执行部门
C 、业务连续性管理保障部门
D 、业务连续性管理科技部门
8、数据中心包括(A\C)
A 、生产中心
B 、研发中心
C 、灾难备份中心
D 、备份中心
9、商业银行应于取得金融许可证后两年内,设立(C );生产中心设立后两年内,设立(D )。
A 、研发中心
B 、数据中心
C 、生产中心
D 、灾备中心
10、数据中心服务外包包括(B\C)
A 、项目开发类
B 、基础设施类
C 、运营维护类
D 、其他类型
11、重要信息系统主要包括(A\B\C)的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
A 、面向客户
B 、涉及账务处理
C 、时效性要求较高
D 、内部办公用
12、银行业金融机构在(A\B\C\D)等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时,应重新识别、分析、控制风险,并更新剩余风险评估和风险事件监测与预警。
A 、系统上线
B 、系统升级
C 、网络改造
D 、设备更新
13、应急预案应说明重要信息系统的业务影响范围、(B\C)以及信息系统包括的系统资源,明确资源的物理位置、设备型号、软件资源、网络配置等关键信息。
A 、系统功能
B 、恢复时间目标
C 、恢复点目标
D 、系统运维责任人
14、应急预案应说明应急场景,至少覆盖电力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、(A\B\C\D)以及其他各类与信息系统相关的故障;
A 、计算机硬件故障
B 、操作系统故障
C 、系统漏洞、
D 、应用系统故障
15、在技术保障方面应达到以下要求:(A\B)
A 、建立应急事件预警平台,确保及时发现应急事件,并及时通知有关人员启动应急响应
B 、明确相关厂商的技术支持服务水平,确保应急处置过程中相关厂商能够提供及时有效的技术支持
C 、储备一定数量应急设备或物资,并确保物资供应渠道畅通
D 、建立应急响应专项资金预算管理与审批制度,确保应急响应过程中及时进行应急物资采购
16、重要信息系统投产及变更主要指(A\B\C\D)
A 、重要信息系统投产
B 、支撑重要信息系统运行的机房和网络基础设施投产。
C 、影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
D 、其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
17、信息科技部门应建立重要信息系统(B\C),承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
A 、检测机制
B 、投产及变更管理机制
C 、制度与流程
D 、运行维护流程
18银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括(A\B\C\D)或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
A 、系统功能缺陷
B 、客户信息泄露
C 、业务中断、
D 、交易缓慢
19、测试环境中使用的敏感生产数据应进行(A\B)处理
A 、脱敏
B 、变形
C 、备份、
D 、核对
20、历史数据迁移需要的,应制定详细的数据迁移计划,并提前进行(A\C\D),确保迁移后数据的完整性、安全性和可用性。
A 、数据迁移测试
B 、数据清洗
C 、数据有效性验证
D 、数据兼容性验证
21、银行业金融机构应按照属地监管原则提交报告材料,报送路线如下(A\B)
A 、银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
B 、银行业金融机构分行组织实施投产及变更的,由分行向所在地中国银监会派出机构提交报告材料。
C 、银行业金融机构法人组织实施投产及变更的,由分行向所在地中国银监会派出机构提交报告材料。
D 、银行业金融机构分行组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
22、因信息科技基础设施或计算机信息系统原因引发或可能引发天津市辖内全部或部分银行业务无法正常开展的事件,应向监管部门报备, 包括(B\D)。
A 、应急演练
B 、计划内事件
C 、突发事件
D 、计划外事件
23、银行业金融机构应将(B\C)的变更信息向监管部门报备
A 、法人代表
B 、信息科技风险管理“三道防线”相关负责人
C 、和信息科技风险报备联络人
D 、信息科技委员会主任
24、符合以下哪些条件的计算机安全事件必须报告:(A\B\C\D )
A. 计算机信息系统中断或运行不正常超过4小时
B. 造成直接经济损失超过100万元
C. 严重威胁银行资金安全
D. 因计算机安全事件造成银行不能正常运营,且影响范围超过一个县级行政区域
25、灾难恢复策略主要包括:(ABCD )
A .灾难恢复建设计划
B. 灾难恢复能力等级
C. 灾难恢复建设模式
D. 灾难备份中心布局
26、行内重点工作岗位严格限制使用包括(A\B\C\D)等的移动存储设备。
A 、移动硬盘
B 、U 盘
C 、MP3
D 、带存储卡的设备
27、不得以任何方式将银行计算机系统信息(包括(A\B\C\D)等)告知不相关的人员。
A 、网络拓扑
B 、IP 地址
C 、安全策略、
D 、帐号或口令
28、内部计算机的操作系统、中间件软件、数据库以及各种系统应用中,必须设置用户口令,严禁使用(A\B\C)。
A 、空口令
B 、弱口令
C 、缺省口令
D 、高强度口令
29、信息安全管理要求采取加密技术,防范涉密信息在(A\B\C)过程中出现泄露或被篡改的风险,并建立密码设备管理制度。
A 、传输
B 、处理
C 、存储
D 、转移
30、信息安全管理要求制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发(A\B\C\D)。
A 、备份
B 、恢复
C 、清理
D 、销毁
三、判断
1、我行信息技术部是全行信息科技管理、信息科技应用、新产品开发和安全运维的决策与协调机构。(×)
2、中国人民银行、中国银行业监督管理委员会是商业银行信息安全监督管理部门,按照属地监管原则实施监管职能。(√)
3、信息安全策略应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。(√)
4、用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。(√)
5、用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。(√)
6、商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域。(√)
7、对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。(√)
8、商业银行可以将其信息科技管理责任外包。(×)
9、被审计的商业银行应根据外部审计机构出具的审计报告提出整改计划,并在规定的时间内实施整改。(√)
10、重要业务恢复时间目标指业务RTO (√)
11、商业银行应当开展业务连续性计划演练,检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断事件的综合处置能力。(√)
12、灾备中心异地模式是指灾备中心与生产中心处于不同地理区域,一般距离在几十公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。(×)
13、商业银行内部审计部门应至少每三年进行一次数据中心内部审计。商业银行在采取有效信息安全控制措施的前提下,可聘请合格的外部审计机构定期对数据中心进行审计。(√)
14、业务服务时段是指银行业金融机构重要信息系统所承载业务对客户提供服务的时间。(√)
15、特别重大突发事件(Ⅰ级)指:(1)银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对公众利益
造成特别严重损害的突发事件;(2)由于重要信息系统服务异常,在业务服务时段导致银行业金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的突发事件;(3)业务服务时段以外,重要信息系统出现的故障或事件救治未果,可能产生上述1至2类的突发事件。(√)
16、重大突发事件(Ⅱ级)指:(1)银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的突发事件;(2)由于重要信息系统服务异常,在业务服务时段导致银行金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达半个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的突发事件;(3)业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。(√)
17、较大突发事件(Ⅲ级)指:(1)银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的突发事件;(2)由于重要信息系统服务异常,在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的突发事件;(3)业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。(√)
18、在突发事件处置的人员保障方面应确保主、备岗机制的落实和确保主、备岗人员定期进行互换,避免一人兼过多的岗位。(√)
19、银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定投产及变更规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。(×)
20、重要信息系统投产及变更如失败需要重新安排的,银行业金融机构不必再次向中国银监会或其派出机构报告。(×)
21、银行业金融机构接受外部审计、外部检查时,如外部人员需对核心业务系统和客户信息直接访问,应按计划内事件类别向监管部门报备。(√)
22、原则上外来设备可以接入银行内部网络,如有业务需要,需申请审批通过后方可使用。(×)
23、开发用机未经批准,严禁转移到行内业务网络、或将业务电脑转移到开发内网使用(√)
24、离开电脑可以不锁屏(×)
25、未经许可可以开启和使用远程访问端口(telnet 、FTP 等)。(×)
26、业务连续性管理保障部门(包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门)。(×)
27、应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门人员组成,负责运营中断事件处置应急指挥和组织协调,督导应急处置实施。(×)
28、生产中心与灾备中心的场所应保持合理距离,避免同时遭受同类风险; 应选址于电力供给可靠,交通、通信便捷地区; 远离水灾和火灾隐患区域; 远离易燃、易爆场所等危险区域; 远离强振源和强噪声源,避开强电磁场干扰; 避免选址于地震、地质灾害高发区域。(√)
29、生产中心与灾备中心应具备机房环境监控系统,对基础设施设备、机房环境状况、安防系统状况进行7x24小时实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。(√)
30、银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。(√)
银行网络安全自查报告(3篇) 银行网络安全自查报告第一篇: 今年以来,我行积极落实从严治行的方针,做好安全保卫工作,完善内控程度,强化内部管理,切实防范金融风险,杜绝案件事故的发生,取得了较好的成效,保证了我行安全稳健高效经营。 一、加强组织领导,落实工作责任制。 我行成立了支行安全保卫、综合治理(创安、禁毒、普法和依法治行)领导小组,认真落实安全保卫目标管理和领导责任制,将安全保卫工作纳入全年工作计划,与支行营业部、各分理处负责人都签订了安全保卫目标管理责任书,做到谁主管、谁负责。并根据市人行要求和本行实际制定印发了乐清工行200*年创建金融安全区工作意见,明确各级负责人安全保卫工作职责,做到一级抓一级,分工到位、职责明确、相互配合、层层落实。 二、不断健全内控外防机制,切实落实各项规章制度。 一是做好日常安全保卫基础工作。首先是积极组织全行员工认真学习《中国工商银行员工行为守则》(以下简称《守则》)、《中国工商银行关于对违反规章制度人员处理暂行规定》、《中国工商银行内部控制暂行规定》、《安全保卫责任书》等,加强全行员工法制教育,提高全行员工安全保卫意识。其次是加强经警队伍建设。今年多次组织全行保卫、经警、交接人员的制度学习和培训,规范保卫工作操作。特别是强化了经警军事业务训练、防爆枪训练及经警人员的考核工
作,对经警进行技能考核,优留劣汰,进一步提高了保卫队伍的整体素质。同时做好员工动态管理工作,积极掌握员工工作和业余生活情况,对怀疑有不良行为的或经商行为的员工进行重点监控,并对广大员工进行防抢预案演习,熟练掌握有关安全保卫设施操作要领,明确报警电话。还拔出大量保卫专项资金,及时更新一部分已老化的技防设备。总之,在技防、物防、人防上进行大投入,把好人防、技防、物防关,及时消除案件事故隐患,防患于未然。 二是定期召开防范案件分析会,及时传达上级行有关文件精神,通报有关案情,研究工作中出现的新问题、新情况、新特点,分析本行管理工作的薄弱环节和漏洞隐患,并针对本行的薄弱环节,采取相应对策,对不良苗头立足于早发现、早教育、早防范,防患于未然。 三是定期或不定期地对所辖各机构部门进行严格检查,包括进行现场检查与考核,强化我行各项规章制度的全面落实,经常组织专业部门人员加强对重点部位、重点岗位和重要环节执行规章制度情况的检查,对发现有违规违法行为严厉查处,及时整改。尤其是不断强化安全保卫工作的检查落实,坚持每周的保卫科长检查制度及每月的分行行长检查制度,对各项安全工作的管理落实到岗、到人,强化报告制度,及时掌握本系统的安全保卫情况,努力防范案件事故的发生。今年以来,我行先后开展了职业道德、规章制度和法制教育活动、规章制度执行月大检查活动、业务高风险点检查活动、抓内部管理,促业务发展活动,积极检查我行业务经营发展中存在的问题,对检查中暴露出来的问题进行认真整改,消除隐患,不断完善内控机制,建立
XXX银行生产网络安全规划建议书 2006年6月
目录 1项目情况概述 (3) 2网络结构调整与安全域划分 (5) 3XXX银行网络需求分析 (7) 3.1网上银行安全风险和安全需求 (8) 3.2生产业务网络安全风险和安全需求 (9) 4总体安全技术框架建议 (11) 4.1网络层安全建议 (11) 4.2系统层安全建议 (13) 4.3管理层安全建议 (14) 5详细网络架构及产品部署建议 (15) 5.1网上银行安全建议 (15) 5.2省联社生产网安全建议 (17) 5.3地市联社生产网安全建议 (19) 5.4区县联社生产网安全建议 (19) 5.5全行网络防病毒系统建议 (20) 5.6网络安全管理平台建议 (21) 5.6.1部署网络安全管理平台的必要性 (21) 5.6.2网络安全管理平台部署建议 (22) 5.7建立专业的安全服务体系建议 (23) 5.7.1现状调查和风险评估 (24) 5.7.2安全策略制定及方案设计 (24) 5.7.3安全应急响应方案 (25) 6安全规划总结 (28) 7产品配置清单 (29)
1项目情况概述 Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加,已经形成了一个横纵联系,错综复杂的网络。从纵向来看,目前XXX银行网络分为四层,第一层为省联社网络,第二层为地市联社网络,第三层为县(区)联社网络,第四层为分理处网络。 从横向来看,省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上,还包括网上银行、测试子网和MIS子网三个单独的子网。其整个网络的结构示意图如下: 图1.1 XXX银行网络结构示意图 XXX银行网络是一个正在新建的网络,目前业务系统刚刚上线运行,还没有进行信息安全方面的建设。而对于XXX银行网络来说,生产网是网络中最重要的部分,所有的应用也业务系统都部署在生产网上。一旦生产网出现问题,造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。
金融业网络安全自查报告 欢迎来到,下面是给大家整理收集的关于金融业网络安全自查报告,供大家阅读参考。 为认真贯彻关于州银监局转发的《开展银行业金融机构网络安全自查工作的通知》精神,我行专门召开了以网络安全为主题的会议,并草拟了网络安全责任制和有关规章制度,由我行科技部统一管理,各科室负责各自的网络安全工作。严格落实有关网络安全方面的各项规定,采取了多种措施防范安全有关事件的发生,总体上看,我行网络安全工作做得比较扎实,效果也比较好,近年来未发现泄密问题。 一、计算机涉密信息管理情况 今年以来,我行加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了安全措施,到目前为止,未发生一起计算机失密、泄密事故。 二、计算机和网络安全情况 一是网络安全方面。我行配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好内网、外网和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括邮件系统、资源库管理、软 件管理等。 三、硬件设备使用合理,软件设置规范,设备运行状况良好。 我行每台终端机都安装了防病毒软件,系统相关设备的应用一 直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷 设备运行基本稳定,没有出现雷击事故;UPS基本运转正常。网站系 统安全有效,无任何安全隐患。 四、通讯设备运转正常 我行网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴 定合格后才投入使用的,自安装以来运转基本正常。 五、严格管理、规范设备维护 我行对电脑及其设备实行“谁使用、谁管理、谁负责”的管理 制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在行内开展网络安全知识宣传,使全
网络安全自检自查报告 为了加强我局网络安全管理,保护系统的安全,促进我局网络技术的应用和成长,保障各项网络工作的顺利开展,现将自检自查情况报告如下: 一、落实网络安全工作领导责任制 我局领导高度重视网络安全工作,本着加强检查、明确责任、落实制度的指导思想,成立意识形态工作领导小组,重点强调了网络安全工作的领导责任,形成了由主要领导亲自抓,分管领导具体抓,全办处室和直属单位认真落实的工作格局。根据此项工作的检查要求,我局明确各处室、直属单位根据工作内容逐条对照检查,全面开展网络安全自查自改,对存在的问题及时总结纠正,确保整改工作落到实处、取得实效,保障网络安全工作的顺利实施。 二、健全网络安全工作流程机制 依托政务服务综合管理系统,多措并举,加大对网络宣传信息及需公开发布的信息内部审核力度,确保信息的准确性、严肃性和安全性。 一是完善信息发布审核。我局明确信息发布审核流程和审核要求,并对入驻部门单位进行绩效考核,制定《窗口单位绩效考评实施细则》,明确考核标准,细化考核分值,明确要求各处室、直属单位、窗口单位报送信息时,由具体的信息员报送给处室、直属单位的负责人、窗口的首席代表审核把关,针对信息内容有误、信息审核流程不规范等问题予
以扣分,以考评压力倒逼各入驻窗口加强审批信息内容的完整性和准确性,切实解决内容不实、标准不符等情况。 二是强化拟文发布程序。我局遵循“谁制作、谁公开、谁负责”原则,在办公系统拟文模块设置信息公开审查流程,严格按照《中华人民共和国保守国家秘密法》及其他实施办法等相关规定,对拟公开的政府信息进行保密审查。主动公开信息应参照“南京市政务办政府信息主动公开审查流程”进行审查;依申请公开信息应参照“南京市政务办政府信息依申请公开办理流程”进行审查;涉及国家秘密或工作秘密的信息一律不得上网发布。 三是完善门户网站管理机制。我局按照“谁主管谁负责、谁运行谁负责、谁发布谁负责”的要求,明确职责分工,确保网络安全管理机制有序运行,同时强化对门户网站信息的督促检查,采用定期或不定期抽查方式,对各处室负责的栏目内容更新情况进行专项检查。 三、加强网络安全保密管理工作 信息保密工作是维护国家和单位安全和利益的工作,做好信息保密工作是做好网络安全工作的基础和前提,我局涉密工作不多,但领导也高度重视认真部署,始终坚持以领导审签制度为原则,采取专人负责和纵向传递,严格落实各项管理制度。 一是完善信息系统和信息设备保密管理工作。目前我局共有涉密计算机三台,贴有密级标识,涉密计算机不接入互联网及其他公共信息网络,涉密计算机存放在保密室。为了
目录 1 银行系统的安全设计 1 1.1 非法访问 (1) 1.2 窃取PIN/密钥等敏感数据 (1) 1.3 假冒终端/操作员 (1) 1.4 截获和篡改传输数据 (1) 1.5 网络系统可能面临病毒的侵袭和扩散的威胁 (1) 1.6 其他安全风险 (1) 2 银行系统的网络拓扑图及说明 (2) 3 银行系统的网络安全部署图及说明 (3) 3.1 敏感数据区的保护 (3) 3.2 通迅线路数据加密 (3) 3.3 防火墙自身的保护 (4) 4 系统的网络设备选型及说明 (5) 4.1 核心层交换机 (5) 4.2 汇聚层交换机 (5) 4.3 接入层交换机 (6) 4.4 路由器 (6) 4.5 服务器 (7) 5 安全配置说明 (8) 5.1 防火墙技术 (8) 5.2 网络防病毒体系 (8) 5.3 网络入侵检测技术 (8) 5.4 网络安全审计技术 (9) 5.5 VPN技术 (9) 总结 (10) 一.银行系统的安全设计
银行网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前银行面临的主要风险和威胁有: 1.1非法访问:银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。 1.2窃取PIN/密钥等敏感数据:银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。 1.3假冒终端/操作员:银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。 1.4截获和篡改传输数据:银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。 1.5网络系统可能面临病毒的侵袭和扩散的威胁: (1)黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。 (2)计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘、终端或其它方式进入计算机系统或计算机网络,引起整个系统或网络紊乱,甚至造成瘫痪。 1.6其他安全风险:主要有系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等。 二.银行系统的网络拓扑图及说明 随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证
影响网上银行的安全因素和风险防范对策参考文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
影响网上银行的安全因素和风险防范对 策参考文本 使用指引:此安全管理资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 网络时代为大家提供了便捷、有效的手段。在这个追 求效率的社会,(略) 一、网上银行的发展现状及其优势 正当传统银行仍陶醉在开设众多分行以扩张版图之 际,看不见摸不着的网上银行正悄悄攻占市场。冲击着整 个金融业的网上银行革命已经展开,网上银行的产生把传 统银行业带入一个全新的时代,是时代的要求,也将是时 代的结果。 (一)网上银行的产生发展及其现状 1995年10月,美国三家银行联合在互联网上成立了 全球第一家真正意义上的网上银行-安全第一网络银行
(Securty First Network Bank),它通过互联网提供全球范围的金融服务,客户足不出户便可以办理存款、取款、转账、付款等业务,网上银行由此诞生。 网上银行就是信息技术、互联网与传统银行等三要素融为一体,为客户提供综合、统一、安全、实时金融服务的银行形态。 网上银行实际上是银行业务在网络上的延伸,是信息革命在世纪之交贡献给金融电子化领域的最新创意。网上银行(略) (二)网上银行与传统银行相比存在的显著优势 网上银行从一诞生,便显示了强大的生命力,美国和欧洲是网上银行发展最为迅速的国家和地区,其网上银行业务量之和约占整个市场的90%以上。网上银行之所以飞速发展,是因为与传统银行相比,具有以下显著的优势:第一、网上银行具有“3A”式服务的特点,即任何时
******关于自建系统网络安全的自 查报告 XX中心: 为进一步加强******公司(以下简称“本行”)自建系统网络安全管理,提高网络安全意识,提高信息安全建设水平,及时发现网络安全隐患,有效防范网络安全隐患,降低信息安全风险,确保各项业务系统安全稳定运行。根据《XX 文件通知》文件要求,本行高度重视,成立了自建系统网络安全自查工作小组,认真开展自查工作,现将自查的具体情况汇报如下: 一、成立工作小组,明确工作职责 本行成立了由XX领导任组长的自建系统网络安全自查工作小组,成员为科技XX全体员工,负责执行上级部门关于自建系统网络安全的相关要求,对本行自建系统的网络安全情况开展全面自查工作,定时向上级部门汇报自查工作的开展情况,并按照要求及时上报自查报告。 二、自查情况 本行互联网业务网络接入系统包含**系统、**系统、**系统、***系统、***系统及致***等X个系统;移动通讯专网接入的系统包含XX、XX、XX等XX个系统;外联业务网络接入包含**、**及**等X个系统;内网自建系统包含**、**、**、**、**及**等X个系统。 1.互联网架构实施情况。本行互联网建设由XX科技有限公司严格按照XX文件要求进行设计和实施,将互联网业
务的安全域划分为非安全区、半安全区、安全区、核心安全区等四个不同安全级别的安全区域,控制数据的逻辑流向,安全策略的配置遵循安全最小授权和策略最大化原则,访问逻辑精确到IP地址和服务端口,日志审计系统日志记录保存180天以上。 2.方案上报情况。本行按照XX文件要求将互联网业务系统相关资料和技术方案以正式文件的方式向XX请示,XX 中心作了《XX回复》文件。 3.制度建设及日常管理情况。本行制定了《******网络安全管理办法》《******计算机信息系统安全管理办法》《****计算机信息系统应急预案》《******数据中心机房管理制度》等制度,设立了计算机信息安全领导小组、计算机信息系统安全管理小组、计算机信息系统安全管理员,明确了工作职责,定期对机房的巡检,计算机信息系统安全管理员时时关注互联网系统的运行情况,定期更新和检查安全设备的策略情况。 4.安全服务评估情况。本行与XX公司合作开展了一次全面的信息系统安全评估工作,包含代码审计、渗透性测试、漏洞扫描、基线配置核查、网络基础架构、边界安全、安全管理评估等几大方面,目前已经完成了初测和复评工作,待最终安全评估报告完成后将上报XX中心备案。 5.网络拓扑图。 三、存在问题
银行互联网出口安全的保障 通过安全需求分析,本着适度建设的总体原则,Fortinet采用先进的安全技术和相应的安全产品,为某银行提出适合的网络安全解决方案。整个方案包括两部分,第一部分是为以银行总部为基础的互联网及办公网安全建设,第二部分是为以分行为例的业务网安全建设。 本方案在允许员工访问互联网的情况下,有效防范了来自外部和内部的安全威胁,建立一个完整、动态的互联网安全防御体系。 网络组成 该银行的网络由三个独立网络组成,即互联网业务、银行内部办公网和业务网。其中,互联网业务主要以内部员工上网获取信息和网上银行及企业邮件系统为主,办公网以内部OA和内部办公业务系统为主,业务网则以目前银行主营业务和A TM系统为主。 互联网和办公网物理上为同一个网络,通过接入路由器适当访问控制列表区分业务类型。业务网完全与其他两个网络保持物理隔离。整个网络采用星型结构,分别使用独立的专线系统连接各级分行和总行。在网络条件不具备的地区采用接入路由器区分不同的业务系统。同时,银行业务存在大量的外联系统,它们不直接与其他网络连接。 保护内部业务系统的安全是系统安全防护的重要环节。 安全目标 银行网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。而系统安全风险主要体现在网络系统、操作系统和应用系统三个方面。整个系统安全设计应该遵循安全性、整体性、先进性、实用性、可适应性、技术与管理相结合的原则。 该银行系统安全建设的目标是: ◆保护网络系统的可用性 ◆保护网络资源的合法使用性 ◆防范入侵者的恶意攻击与破坏 ◆保护信息通过网上传输的机密性、完整性及不可抵赖性 ◆防范病毒的侵害 ◆防范垃圾邮件对内部邮件系统的侵害 ◆防范来自网络内外的攻击 ◆有效的日志管理为安全运维提供支持 解决方案和安全部署 本方案着重解决如何实现员工访问互联网的安全建设的技术问题。方案的选择首先要保证网络结构的安全,对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁传播到整个网络系统。 在总行和省行进行安全产品的部署,当地支行通过省行出口访问互联网资源,目前各省行采取的接入方式是专线接入当地ISP或通过ADSL接入互联网。这样的设计既方便集中管理,又能节约建设成本,也符合银行未来的网络整体规划。 该银行总部互联网出口安全产品部署如图所示。 某银行互联网出口安全建设部署拓扑图 安全网关的部署:互联网出口采用两层异构防火墙系统接口,外层防火墙为已经部署的安全设备,内层防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关。所有安全网关均采用双机热备工作方式,即高可用性HA方式,任何一台设备出现问题,备机均可以迅速替换工作,网络仍能正常运转。在内层FortiGate防病毒安全网关上启用相应的安全策略,
银行网络安全防范措施 银行网络安全防范措施 □建行北京分行石景山支行郭亚力 随着金融业务的拓展与金融电子化进程的加快,计算机网络通信技术在金融领域中的应用越来越广。与此同时,金融电子化也带来了高科技下的新风险。计算机系统本身的不安全和人为的攻击破坏,以及计算机安全管理制度的不完善都潜伏着很多安全隐患,严重的可能导致计算机系统的瘫痪,影响银行的业务和声誉,造成巨大的经济损失和不良的社会影响。因此,加强银行网络系统安全体系的建设,保证其正常运行,防范犯罪分子对它的入侵,已成为金融电子化建设中极为重要的工作。 网络安全的基本要求是保密、完整、可用、可控和可审查。从技术角度讲,银行网络系统的安全体系应包括:操作系统和数据库安全、加密技术、访问控制、身份认证、攻击监控、防火墙技术、防病毒技术、备份和灾难恢复等。从管理角度看,应着力健全计算机管理制度和运行规程,加强员工管理,不断提高员工的安全防范意识和责任感,杜绝内部作案的可能性,建立起良好的故障处理反应机制。 网络系统技术安全措施 1.操作系统及数据库 操作系统是计算机最重要的系统软件,它控制和管理着计算机系统的硬件和软件资源,是计算机的指挥中枢。目前银行网络系统常用的操作系统有Unix、Windows NT等,安全等级都是C2级,可以说是相对安全、严密的系统,但并非无懈可击。 许多银行业务系统使用Unix网络系统,黑客可利用网络监听工具截取重要数据;利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令;利用具有suid权限的系统软件的安全漏洞;利用Unix平台提供的工具,如finger命令查找有关用户的信息,获得大部分的用户名;利用IP欺骗技术;利用exrc文件等获得对系统的控制权。针对这些安全缺陷,我们应定期检查日志文件;检查具有suid 权限的文件;检查/etc/passwd是否被修改;检查系统网络配置中是否有非法项;检查系统上非正常的隐藏文件;检查/etc/inetd.conf和/etc/rc2.d/*文件,并采取以下措施: 1)及时安装操作系统的补丁程序;2)将系统的安全级别设置为最高,停止不必要的服务,该关的功能关闭;3)安装过滤路由器;4)加强账号和口令的安全管理,定期检查/etc/passwd和/etc/shadow文件,经常更换各账号口令,查看su日志文件和拒绝登录消息日志文件。 对于Windows NT网络系统,可采取以下措施:1)使用NTFS文件系统,它可以对文件和目录使用ACL存取控制表;2)将系统管理员账号由原先的“Administrator”改名,使非法登录用户不但要猜准口令,还要先猜出用户名;3)对于提供Internet公共服务的计算机,废止Guest账号,移走或限制所有的其他用户账号;4)打开审计系统,审计各种操作成功和失败的情况,及时发现问题前兆,定期备份日志文件;5)及时安装补丁程序。 数据库的安全就是要保证数据库信息的完整、保密和可用。通常用安全管理、存取控制和数据加密来实现。安全管理一般分为集中控制和分散控制两种方式。集中控制就是由单个授权者来控制系统的整个安全维护,分散控制则是采用不同的管理程序控制数据库的不同部分。存取控制包括最小特权策略(用户只能了解与自己工作有关的信息,其他信息被屏蔽)、最大共享策略(信息在保密控制条件下得到最大共享,并不是随意存取信息)、开放与封闭系统(开放:不明确禁止,即可访问;封闭:明确授权,才能访问)、按名存取策略、按上下文存取策略、按存取历史的存取策略等。数据加密可从三个方面进行,即库内加密(库内的一条记录或记录的某一属性作为文件被加密)、整库加密(整个数据库包括数据结构和内容作为文件被加密)和硬件加密。 2.网络加密技术 网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。
银行征信信息安全自查汇报 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制 度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则
办理查询业务。 自查人:xx (二)系统管理情况我行健全内部控制制度, 通过权限管理设置, 加强对X-PAD 系统、CRM系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任, 确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况2 为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1 、银行卡业务管理 (1)在发卡审核环节,对所有申请进件进行了100%电核,对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关规定, 正确使用和设置特约商户的结算账户。落实特约商户实名制,在充分了解核实商户相关信息的同时,在人民银行联网核查系统和中国银联的不良信息系统核实商户法定代表人或负责人、授权经办人的个人身份和资信。严格执行商户调
附件 网上银行系统信息安全通用规范 (试行) 中国人民银行
目录 1?使用范围和要求?错误!未定义书签。 2?规范性引用文件 ............................................................................................ 错误!未定义书签。3?术语和定义 .................................................................................................... 错误!未定义书签。4?符号和缩略语 ................................................................................................ 错误!未定义书签。5网上银行系统概述?错误!未定义书签。 5.1?系统标识 ............................................................................................. 错误!未定义书签。 5.2系统定义.................................................................................... 错误!未定义书签。 5.3?系统描述 ........................................................................................ 错误!未定义书签。 5.4?安全域 .............................................................................................. 错误!未定义书签。6?安全规范 ........................................................................................................ 错误!未定义书签。 6.1?安全技术规范 ................................................................................. 错误!未定义书签。 6.2?安全管理规范 ................................................................................... 错误!未定义书签。 6.3业务运作安全规范?错误!未定义书签。 附1基本的网络防护架构参考图......................................................... 错误!未定义书签。 附2增强的网络防护架构参考图?错误!未定义书签。 ?前言 1 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
银行外联网络安全解决方案全攻略(doc 15页)
银行外联网络安全解决方案全攻略 网络的发展,正在引发一场人类文明的根本变革。网络已成为一个国家最为关键的政治、经济、军事资源,成为国家实力的新象征。同时,发展网络技术也是国民经济现代化建设不可缺的一个必要条件。能否把握网络给中国发展带来的机遇,将会直接影响21世纪中国的生存。另一方面,网络的发展也在不断改变人们的工作、生活方式,使信息的获取、传递、处理和利用更加高效、迅速。随着科学技术不断发展,网络已经成为人们生活的一个组成部分。 随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。 然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:"信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点"。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。 一银行外联网络安全现状 1、银行外联种类 按业务分为: 银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。 按单位分: 随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。
关于逊克支行网络科技风险 自查报告 关于我行按照市行相关的文件要求,组织科技人员对我银行中心机房和网点的设备及线路进行了自查,现将自查情况汇报如下: 一、加强领导,明确各自职责 科技部为确实落实此次活动,成立了由陈经理为组长、科技部全员负责全行网络科技风险防范工作,并负责以后网络科技风险防范的统筹布署指导及网点信息科技工作的应急事项;对网点的易出现的故障点进行检查,切实做好风险防范工作,确保我行综合业务网络系统安全、持续、稳定运行。 二、组织开展自查,保障综合业务网络系统安全运行 一是对我行机房的设备、线路、电力保障系统、消防系统、防雷措施进行检查,检查中发现UPS电源逆变时存在故障,经与厂家维修人员联系更换了出现故障的老化蓄电池一块,及时的消除了隐患;并于网通公司联系,取得技术支持,密切关注网点的运行状态,出现问题及时沟通,争取在最短的时间内解决。二是明确“谁主管谁负责”的原则,要求检察员对机房机柜设备、通讯线路、电力系统进行了自查,在检查中存在机柜上方摆放杂物,设备尘土过多等问题,及时进行了整改和清理,以免影响设备的正常运行;并提出保障供电,出现问题及时启动发电机的应急设备,保证网点正常营业。 三、对备品、备件进行了检查,重新核实了备品、备件的数量,并对其进行加电测试,保证设备处于良好运行状态,出现故障时能够应急使用。 四、严格执行值班制度,科技部安排了节日期间值班表,密切关注营业期
间设备的运行状况,存在问题第一时间到达现场进行故障排查并及时解决;明确了网点的签到及签退时间,有特殊情况不能及时签退的必须与科技部联系说明情况。 五、对接入综合业务网络系统的PC机进行了检查,对存在的内、外网混用现象及时进行了整改,对杀毒软件未安装升级的及时进行了升级,有效的防范了网络病毒的攻击。 科技部 2011年4月19日
银行网点消防安全自查报告 XX支行综合管理部: 根据我行《关于进一步加强冬季防火安全工作的通知》要求,XX分理处以“严防冬季火灾事故,切实保护人民群众生命财产安全”为指引,高度重视年前防范火灾各项工作,积极开展消防安全自查自纠,有效防止各类火灾事故隐患,确保网点绝对安全稳定。现将工作开展情况报告如下: 一、思想高度重视、落实安全责任 针对“严格落实消防安全责任制”要求,分理处高度重视,专门召集全体员工研究部署,落实制度、责任到人;本着“谁主管、谁负责”的原则,认真开展各点位安全自查工作。同时在朝会上传达通报了上级有关精神,要求全体员工以案例警示为镜鉴,举一反三,切实提高警惕,坚决杜绝类似事件发生。 二、认真自查自纠、切实消除隐患 从检查的结果来看,我分理处消防安全总体情况良好,各个消防通道畅通无堵塞现象。各项防火标志及疏散标志明显,消防器材配备齐全,录像监控设备运行良好。 三、加大宣传力度,切实提高警惕 一是全面加强消防安全宣传工作,提高所属人员的治安保卫和消防安全意识。通过传达学习、研讨交流等形式的教育活动,使消防安全知识人人皆知,切实营造一个全员参与
消防工作的良好氛围。 二是加大消防培训工作的力度,促使全员掌握火灾通报流程及灭火设备的操作。一是会扑救初期火灾,能够及时准确报告火灾发生的地点、场所以及联系方式,懂得使用灭火器,懂得处置初起火灾;二是会自救逃生,能够随时掌握所处环境的疏散路线和安全出口,懂得疏散通道、安全出口不畅的危险性,维护自己的消防安全权益,在火灾发生时懂得如何自救和协助派出所及武警消防官兵疏散。 三是加强消防安全隐患整治行动,确保“一畅”问题得到有效解决。即确保消防安全疏散通道和安全出口畅通,疏散指示标志和应急照明灯具齐备有效。 通过宣传、培训、检查使全体员工提高了消防安全意识,提高了一旦出现火情的处置能力,确保年终岁末消防工作万无一失,夯实了安全基础。 XXX分理处二〇一五年十一月十五日
银行业网络安全现状 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
一.银行业信息化现状 21世纪的今天,信息技术的发展完全改变了人们传统的生活方式和生活观念,在以网络应用为核心的数字化时代到来之际,金融界率先引进了电子信息和网络技术,计算机网络与信息技术不仅深入了金融企业的内部管理体系,也使我们在注入银行卡、网上交易等业务中,越来越多的享受到了信息化所带来的高效和便利。网络银行的出现,使得银行客户在任何地方和任何时候都能得到银行的服务,它拓展了银行的业务发展空间,使用因特网进行的商务活动突破了时间与空间的限制。 目前,全球发达国家大约有85%的主要银行已经建有自己的业务网站,中国银行,,%)界实现银行机构信誉化的进程也在不断地加快,可以说开拓数字化、网络化的电子金融业业务,已经成为国内金融界发展的战略重点。据报道,中国银行业金融电子化建设已经具有相当的规模,计算机和通信网络在银行已经得到普遍的应用,银行系统的存款贷款、代理、结算,ATM,信用卡同城清算,已经基本实现了计算机和网络化,据不完全统计,中国银行、中国交通银行,计算机化已经达到了100%,中国建设银行达到了90%以上,中国交通银行达到了85%以上,农业银行也达到了80%以上。 我国金融业拥有世界先进水平的大型计算机、小型计算机、PC 服务器、刀片服务器等各类计算机,建立了覆盖全国的网络通信系统,开发了大量金融信息和业务处理系统,形成了比较完整的金融信息基础设施体系。数据集中工程基本完成。以国有商业银行为代
表的各金融机构实现了业务数据的集中处理,统一、规范了业务操作流程,重新设计了营运流程。建立了集中式的数据中心,有效提高了数据处理能力和整体可靠性,为管理信息系统提供了基础数据,为下一步实现经营集约化、管理信息化、决策智能化奠定了基础。 核心业务系统成功投产。以数据集中为依托,部分商业银行研制开发了涵盖全行业务处理、经营管理、决策分析和服务渠道的全功能银行业务系统。部分保险公司陆续启动了“集中的财务系统”、“保险数据仓库”、“集中的IT运行平台”、和“网络安全系统”等信息化建设项目,提高了信息系统的整合应用能力,为业务发展提供了有力的支撑。 二.未来几年我国银行业信息化发展的趋势 1.加强IT治理,提高信息化管理水平。未来几年,银行业要建立起适应数据大集中技术环境和银行组织变革要求的信息组织体系,合理配置科技资源,努力构建面向业务、服务导向、分工合理、协作紧密、运作高效的专业信息化组织架构。 要建立IT战略和计划的流程,保证IT战略与企业战略的一致性,确保IT技术投资决策符合本行远景。建立统一的项目管控组织和制度流程,加强项目协调和管控,加强需求、方案设计、投产验证等关键阶段的管理,确保项目过程的有效控制。建立统一的IT策略,推进企业IT技术标准化,统一IT架构、规范IT技术采用,提高效率、降低成本。进一步完善供应商管理机制,加强供应商的有效控制,为银行信息化发展提供安全高效的外部资源支持。
##银行关于信息科技风险 防控工作自查报告 自##年数据大集中以来,我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。目前,根据我行现有业务要求和信息科技发展的规划,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。 一、将信息科技风险管理和信息安全纳入我行“十二五”信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,我行于年初制定了“十二五”信息科技发展规划,信息科技风险管理和信息安全成为科技规划的重要组成部分之一。科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、内外网严格的物理隔离、做好了生产运行风险控制,就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。 三、我行在信息科技风险治理方面的措施主要包括三方面。 a)认真学习和领会监管机构对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以电子银行部、合规部、稽核部为主体的信息科技风险三道防线;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。 b)建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行流程银行建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。 c)采取有效的信息科技风险管理的制度,防范和化解信