信息科技风险自评估报告

　 XX 县信用联社相关对 对 信息科技风险自评定工作 汇报

　X 联社 XX 办事处: 根据办事处《转发银监会办公厅相关落实银行业金融机构信息科技风险评价审计整改和开展信息科技风险自评定工作通知》要求,我县联社快速组成自评定调查小组,根据全方面、系统要求,认真进行自评定分析,现将情况汇报以下: ﹙一﹚ 、提升认识，建立健全了信息系统安全风险防范 体系。

　伴随电子化建设不停走向深入，信用社关键业务逐步依靠于计算机综合业务系统，随之而来系统和网络安全已成为安全管理关键步骤和微弱步骤，尤其自二 00 六年五月底我县农村信用社顺利并入全 X 农信社通存通兑网络后，网络安全运行工作事关全县农村信用社改革，经营、管理大局。我县联社从防范科技风险高度充足认识到加强系统和网络安全运行工作必需性和关键意义，正确处理了发展和安全关系，一手抓电子化建设，一手抓风险防范。截止现在，已经初步根据上级主管部门统一标准建立起较完善网络和信息安全风险防范体系。我们关键做到了以下几方面工作:

　一、加强制度建设，规范操作行为

　,我们从健全制度入手,前后修改完善了《XX 县农村信用社综合业务网络系统柜员管理措施》、《XX 县农村信用社综合业务网络系统业务授权管理措施》、《XX 县农村信用社综合业务网络系统网点运行管理制度》、《XX 县农村信用社综合业务网络系统设备管理制度》、《XX 县农村信用社综合业务网络系统突发事件应急处理预案》、《XX 县信用联社防范病毒管理制度》、《XX 县信用联社机房管理制度》，修改制订了《XX 县农村信用社综合业务网络系统安全运行管理处罚措施》等制度、要求，切实将我县农村信用社网络安全管理责任落到实处。

　二、加强硬件及网络环境建设，避免系统风险。

　1、实现了内网和外网严格物理分离，内网根本路为光纤专线，备份线路为音频专线，相关内网用机确保了专机专用。

　2、为每个网点制做了规范地线，并为网络设备配置了专用机柜。和综合业务网络系统相关机房、办公室、营业网点全部配置有消防器材。

　3、定时对中心机房及网点计算机专用供电线路及网络线路进行专题整改，对老化线路进行了更新，对有隐患线路进行了整改。

　4、全部网点全部有不间断电源保护。并定时对老化设备，如 UPS，参数稳压器，发电机进行统一更新。对网点所用设备全部按一定百分比配齐了备用设备。

　5、上线早期，即制订下发了《计算机业务管理制度（暂行）》，规范了业务操作、授权和口令和人员和设备管理。明确要求业务人员离开时，业务终端必需退出。在随即数次检验中没有发觉不规范操作现象。

　6、制订了《XX 县信用联社防范病毒管理制度》，确定了专员进行全辖病毒防治工作。

　7、组织相关系统集成方和线路运行方对县中心机房进行安全风险测试，排除隐患。

　8、制订了《XX 县信用联社机房管理制度》，建立了机房工作人员及非工作人员出入管理要求。

　 ﹙二﹚ 、加强领导，落实了网络和信息安全责任制。

　为加强信息科技和信息安全管理，严格落实信息安全责任制，联社成立网络和信息安全工作领导小组，各信用社也成立了对应工作小组，全方面负责本单位信息安全和运行管理工作，联社建立了信息科技及技术风险管理部门，设置了专职管理人员，网络和信息安全责任落实到位。主动地做好了信息安全工作组织领导和指导监督工作,从加强职员安全教育和业务培训入手,避免出现管理风险、结算风险、操作风险，确保了网络和信息系统安全稳定运行。在此次自评定中，各级领导对评定工作高度重视，风险评定工作得到了广泛认同和支持，顺利地开展并卓有成效地进行，取得了客观、真实和有效评定结果。

　一、领导重视，相互配合。

　在自评定过程中，联社关键领导很重视，召开专门会议，指定部门和专员负责评定工作。分管领导数次听取情况汇报，立即提出要求，进行工作布署。信息管理部门责任人亲自带队参与评定工作，抓好落实。各相关企业及线路运行商派来有丰富经验技术工程师参与测评工作，提前做好准备工作。信息安全风险评定工作包含信息系统主管部门、建设单位、运行维护部门、使用部门、安全管理部门和技术支持单位和产品或服务提供商。在各方协调配合下，评定小组相互支持，谨慎从事、认真负责、主动协作，很好地完成了风险评定工作。

　二、严格审查，确保质量。

　信息安全风险评定是一项崭新工作，其专业性、技术性很强，为了确保测评工作质量，联社运管部根据银监会下发《信息安全风险评定指南》，从工作内容、测评目标、操作规程、技术手段等方面，和评定各个步骤上严格把关，适时提出安排意见，有效地确保了测评工作顺利进行。现在，共完成评定汇报

　 份，我县农村信用社信息安全风险评定工作基础完成。

　三、主动行动，有效整改。

　经过风险评定，各相关单位对现有信息网络和信息系统资产、运行情况、存在问题等有了全方面翔实了解，针对网络和系统客观存在安全隐患和安全风险，各单位正在主动研究有效处

　理方案。牟家坝信用社在评定结果出来后，认识高、行动快、安全意识强，于 1 月 日在社内发文，对 PC 机、终端和相关应用系统等进行全方面清查，同时，还提出了重新设置密码和 PC 权限，加强对敏感信息管理，清除非法软件等方法。

　三、加强维护、建立了网络和信息安全应急预案。

　我县联社高度重视网络信息安全防范工作，建立了网络信息安全应急预案，为避免出现不安全情况,对潜在突发事件和重大操作，事先有预防方法、应急处理程序和恢复控制措施；明确了各责任区域责任人及其工作职责；定时进行应急预案演练，检验其操作性和效果;各社确定专员,作为信用社系统管理人员(兼),提供工作条件和培训机会,建立了多层次系统维护管理人员体系，提升了处理突发事件效率和能力。

　经过此次风险评定工作，找出了信息系统存在不安全原因，发觉了部分安全隐患，制订了整改方法，增强了系统安全性。我们认识到，信息安全工作是一项长久任务，这次评定工作仅仅是一个起点。以后，我们要将评定工作长久开展下去，逐步扩大评定范围，加深评定工作深度，落实落实整改方法，不停提升我县农村信用社信息系统安全性，完整性和可用性，以确保各项工作顺利进行。

　 二 00 八年一月十日