关于对XX银行科技信息风险管理进行专项审计的报告

科技信息风险管理进行专项审计的报告〔模板〕

为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进XXX农村信用社平安、持续、稳健开展，根据?商业银行内部控制指引?、?商业银行信息科技风险管理指引?和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排，对本联社的科技信息风险管理进行了专项审计，现将审计情况报告如下：

一、根本情况 略。

二、审计依据

银监会?商业银行信息科技风险管理指引?、银监会?商业银行数据中心监管指引?及省联社信息科技相关制度和本联社信息科技相关管理文件。

三、组织架构、制度建设及管理情况

1、信息科技治理组织架构

〔1〕县联社董事会下设科技信息平安管理委员会，信息平安管理委员会下设应急处理领导小组。

科技管理委员会负责统一规划全社的信息化建设，指导和监督科技部门的各项工作，审议全社计算机网络的设计方案、软件工程招标、设备招标和统一采购及日常管理中重大问题的研究和建议。

供学习参考

信息系统应急处理领导小组负责组织制定全辖应急处置的实施细那么，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制

〔2〕成立了科技部，加强了科技运维信息治理。 〔3〕科技风险审计工作由联社稽核审计部完成。 2、信息科技管理制度 〔1〕平安管理

对平安管理活动中的各类管理内容，依据省联社相关制度建立平安管理制度，制定了由平安策略、管理制度、操作规程等构成的全面的信息平安管理。平安管理制度审定周期为一年一次，并且及时发现缺漏或缺乏对制度进行修订，并有修订记录

〔2〕事件管理

制订了平安事件报告和处置管理制度—?信息平安事件管理制度?明确平安事件类型，规定平安事件的现场处理、事件报告和后期恢复的管理职责，并根据国家相关管理部门对计算机平安事件等级划分方法和平安事件对本系统产生的影响，对平安事件进行等级划分，制定平安事件报告和响应处理程序，确定事件的报告流程，响应和处置方法等，并对发现的平安弱点和可疑事件有?异常情况上报规定?

〔3〕应急处理

建立较为完善的信息系统应急恢复策略?河北省农村信用社联合社计算机信息系统应急处理方案?，对各业务信息

供学习参考

系统进行分类，按照重要程度，确定保障级别，制定了各信息系统突发事件专项应急预案。

〔4〕平安操作标准及管理流程

联社有完整的信息平安管理流程，控制信息平安管理。包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理各项流程。

四、信息科技风险管理情况 〔一〕物理环境管理

1、机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。

2、系统密码均由专门人员掌管，计算机终端无人看管时锁定；

3、机房采用集中监控，监控清晰全面，机房环境设施均有专人岗位值班管理，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。

4、机房供电系统均采用双UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。

5、机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统平安有效，给排风系统工作正常。

6、中心机房配套防盗窃、防雷、防火、防水、防静电、温湿度控制等措施，确保机房正常运转。

〔二〕网络管理

综合业务系统与外围办公系统严格隔离，不存在混接现

供学习参考

象。中心机房配备路由器、交换机各两套，承载业务转接，数据传输，互为备份。县到市主干线路为电信和联通，县到网点线路为移动和联通线路，保障生产通讯线路通畅运行。网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、平安； 〔三〕应用平安

1、业务应用系统的用户授权及鉴别认证措施。业务应用系统用户密码相关业务人员各自保管，通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。

2、业务应用系统的用户访问控制。系统软件用户访问实现权限控制，各级人员只能进行权限内操作

〔四〕数据管理

本联社信息系统的数据是实时存放于省中心，数据备份工作也由省中心统一完成。

〔五〕设备管理

本联社按要求实行严格的内、隔离，对不同的设备实行不同的平安防护措施。对接入内网的PC机已在省联社的统一部署下安装卡巴斯基防病毒客户端，由后台效劳器定期升级，实时有效防止计算机病毒入侵；对于柜面用终端安装卡巴斯基防病毒软件，有效控制病毒通过U盘等移动存储设备进行传播和有效识别所有接入设备；对于工作需要配备的办公用机，安装杀毒软件，实时在线升级防护。

五、检查发现存在的缺乏

供学习参考

检查发现工作日志对停电没有记录；存在外包机构开发人员用自带电脑同时接入本社内情况；各网点均存在wifi无线密码控制能力弱问题。

通过检查联社管理层级和信息科技风险管理部门，以工作制度和岗位责任制的形式规定了其管理职责的工作内容与操作要求，为各部门实施相应的信息科技风险管理活动提供了依据和指导。

XXX银行审计部

2021年10月30日

供学习参考