文档介绍:The Standardization Office was revised on the afternoon of December 13, 2020
银行信息科技风险防控报告
信息科技风险防控报告
风险防控,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警
,通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
上线数据脱敏系统:通过数据脱敏工具,实现数据的抽取、脱敏、装载的自动运行,减少不必要的人机交互过程;实现整个流程的批量化、自动化、智能化处理;保障数据脱敏效率和质量。在以后其他软件开发、测试和其他非生产环境中安全的使用脱敏后的真实数据。
组织制定全面的信息科技风险管理制度体系,开展信息科技风险识别评估、计量监测、处置报告和人员培训等风险管理工作。
通过开展信息安全培训,提升全行员工的信息安全意识;建立信息安全团队,签订安全保密协议进一步规范信息安全工作;加强日常信息安全检查,落实好信息安全工作:比如内外网物理隔离的检查,配合风险管理部和审计稽核部开展科技风险识别和评估,计量检测和审计报告。
牵头开展业务连续性管理工作,组织开展业务连续性管理制度和流程制订、业务影响分析和资源建设。制定并完善业务连续性制度,制定业务连续性流程,制定业务连续性风险预案。组建业务连续性组织架构,成立信息安全委员会,负责领导业务连续性管理工作,并提供所需要的资源。
开展业务连续性管理的业务影响分析。加强业务连续性管理的资源建设。完善业务连续性制度,统一业务连续性流程,明确人员职责。
制定系统连续性管理预案:预防业务中断,定期备份数据,把重要数据复制到本机以外地方,并加以安全保存。进行业务影响分析,定义关键业务优先级。
采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排等方式降低影响。规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施。
开展信息安全管理制度、信息安全风险、资产、人员、物理环境、操作、访问控制、密码、外包、系统和安全事件等方面的信息安全管理工作。
制定并完善信息安全制度、电子设备管理制度、访问控制管理制度、外包管理办法、密码密钥管理制度、计算机网络管理办法等。明确人员职责,制定并完善人员管理制度。
我行已建立资产管理系统、ITM主机监控系统、堡垒机系统、桌面管理系统、日志审计系统、网络监控系统、机房监控系统、360杀毒系统,并积极参与省联社进行的ATM防毒测试,计划近期上线ATM防毒系统。
网络方面,我行通过机房和网络监控系统,实时监控机房设备和网点网络情况;通过天玥网络安全审计系统,针对业务环境下的网络操作行为进行细粒度审计的合规性管理;通过TDA防毒和亚信安全系统,对内外网的网络进行病毒检测和查杀;通过360杀毒系统,对终端电脑进行防护;通过堡垒机系统,对远程的系统登陆进行记录和保护。
系统方面,我行通过ITM主机监控系统对重要系统的内存、CPU、硬盘空间等情况实时监控并预警;通过设立复杂密码、密码定期更换和超时退出等密码策略保护系统账户安全;通过密码和指纹