银行科技自查报告.docx

1、银行科技自查报告银行科技自查报告 关于银行卡系统科技风险现场检查通知 的自查整改报告 近年来，银行卡在我省迅速发展，已成为广大人民群众购物消费、存取款、转账支付等金融活动的重要载体，但在银行卡业务快速发展的同时，也暴露出了诸多风险，有效地防范和控制风险是当前必须要解决的问题。根据豫银监办发 号文关于开展银行卡系统科技风险现场检查 _，我社对银行卡业务的相关管理情况进行了自查，主要有以下几个方面： 一、关于制度建设和岗位设置方面：县联社关于银行卡业务方面制定了详细的相关管理规定和操作细则，我社根据市银行卡中心相关管理规定对我社银行卡业务涉及的各岗位进行了明确的岗位分工，组织员工学习了关于银行卡操

2、作的具体流程、重点风险防范和控制等内容，对于银行卡的开卡、收回、销卡等都设置了授权复核、专项登记等，务求达到外部监督和内控管理的有效结合，相互制约和防范银行卡操作风险。 二、关于业务管理情况方面：对于银行卡的开销户、挂失、冲销、补正等分险类交易我社在实际业务操作中都严格按照县联社的相关管理规定进行操作，严格审查客户资料的真实性和有效性，杜绝违规操作，同时，我社也时常向客户派发关于银行卡安全用卡方面的宣传手册给前来办理业务的客户，向他们宣传有关防范银行业务风险的相关知识，确保我社银行卡业务健康安全地向前发展。 三、关于自助设备业务管理情况方面： 1是ATM保险柜钥匙和密码必须双人分别掌管，即管理

3、员管ATM保险柜密码，出纳员掌管ATM保险柜和电子门钥匙。2是密码必须不定期更换，每月至少更换一次。3是装入或取出ATM现钞，必须做到双人操作（特别是离行式的ATM机）、及时清点，交叉复核，中途不得换人。4是所有加钞、点钞、清机过程必须选择监控器下进行。5是装钞完毕对外营业前，管理员必须进行实地测试，检查钱箱位置放置是否错位及吐钞面额是否正确，测试无误后方可投入使用。6是在外部服务商提供ATM维护服务时已经做到全程陪同，保证ATM机不受到外部人员控制，确保ATM机正常运行。 四、关于科技开发管理情况方面：此项业务主要由县联社相关部门负责。 五、关于检查监督情况方面：对于银行卡的各项业务操作，包

4、括开销卡、挂失、冲正、卡保管等我社领导班子都定期或不定期进行检查，县联社稽核部门也会不定期派人前来进行检查指导工作，务求对银行卡业务的监督检查达到防范风险要求，使我们的广大客户能够安全用卡、放心用卡。 信息科技风险自查报告 *农商行 按照上级领导的指示，我行认真贯彻关于加强xx年重要时期金融信息安全保障工作 _（银发xx57号文件）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下： 一、组织架构、制度建设及管理情况 1.信息科技治理

5、组织架构 （1）我行在董事会下设科技信息安全管理委员会，行长室下设信息科技管理委员会，信息安全管理委员会下设应急处理领导小组。 科技信息安全管理委员会全面负责领导和协调本行科技信息安全。 科技管理委员会负责统一规划全行的信息化建设，指导和监督科技部门的各项工作，审议全行计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。 信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制 （2）我行成立了科技管理部和科技开发部，做到科技运维和科技开发有效分离，加强了

6、信息科技治理。 （3）科技风险审计工作由我行稽核审计部完成，信息科技风险管理由风险管理部门完成。 （4）在支行层面则设立合规员，负责各支行科技信息相关风险监控和报告 2.信息科技管理制度建设 （1）安全管理 对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理总则江苏*农村商业银行计算机信息系统安全管理制度，安全管理制度经信息安全领导小组审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订，并有修订记录 （2）事件管理 制订了安全事件报告和处置管理制度信息安全事件管理制度明确安全事件类型，规定安全事件的现场处理、 事件报告和后

7、期恢复的管理职责，并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对安全事件进行等级划分，制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置方法等，并对发现的安全弱点和可疑事件有异常情况上报规定 （3）应急处理 建立较为完善的信息系统应急恢复策略江苏*农村商业银行计算机信息系统应急处理方案，对各业务信息系统进行分类，按照重要程度，确定保障级别，制定了各信息系统突发事件专项应急预案。制定数据中心、灾备中心机房关键基础设施专项应急预案。 （4）安全操作规范及管理流程 我行有完整的信息安全管理流程，控制信息安全管理。包括介质管理、网络管理、维护及故障处理制

8、度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理部各项流程。 （5）岗位职责与分工 配备一定数量的系统管理员、网络管理员、安全管理员等。每个岗位设立2个以上操作维护人员。重要系统均配备A/B角 ， A/B角定期轮换。明确岗位职责科技管理部岗位设置科技开发部工作职责科技管理部岗位百分考核办法 （6）密级管理制度 录用人员签署保密协议；制定人员离岗管理流程规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限；与外包商签订保密协议；有密级的安全管理制度，注明安全管理制度密级，并进行密级管理。 二、信息系统的技术措施情况 1. 物理和环境建设 （1

9、）机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。 （2）系统密码均由专门人员掌管，计算机终端无人看管时锁定； （3）机房采用集中监控，监控清晰全面，机房环境设施均有专人岗位值班管理，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。 （4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。 （5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统安全有效，给排风系统工作正常。 （6）中心机房和灾备机房均有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，确保机 房正常运转。 （7）机房技术文档完备、有

10、效：制定了*农村商业银行计算机信息系统安全管理制度、科技部信息部中心机房监控制度，*农村商业银行计算机系统运行维护管理制度为机房维护制定详细的规范文档。 2. 网络管理 我行根据文件要求，对重要网络设施(包括网络传输线路、网络设备、网络安全设备)进行了详细的自查，情况如下: 1. 网络安全策略 （1）内网的安全管理情况； 内网网络安全管理： 外联单位互联安全保护措施：通过两台PIX525防火墙连接外联单位，两台防火墙通过FAILOVER形成热备，在防火墙上配置安全策略，严格控制进出生产网的数据。 在对外路由器上设置过滤规则，形成防护网。使用过滤规则设置功能，作过滤防护，形成银行网络与外联单位之

11、间的第一道防护网。正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略的配置和管理，为企业的重要数据和内部网络系统提供了一层可靠的安全保障。 使用地址转换的通信策略，防火墙对内部地址进行转 XX银行电子银行业务自查报告 为进一步完善我行电子银行业务管理，不断提高风险识别、防范能力，实现电子银行业务制度化、规范化，依据XX银行关于开展业务全面自查活动 _要求，对我行电子银行业务进行全面自查，自查报告如下： 一、业务层面 （一）是否建立了安全保障、检查监督、人员管理、统计分析、信息反馈、信息披露、重大事项报告制度等管理制度和风险识别、预警、评估、监测、控制机制。是否建立了能够完整涵盖业务的

12、全过程和各风险点的业务操作规程和实施细则，操作规程各业务环节是否具备有效的控制手段，控制环节的设臵是否合理，控制职能的划分是否清楚。是否建立了健全的岗位责任制，各岗位职责之间能否相互监督和制约。是否根据需要及时修改和完善已制定的各项管理制度、操作规程和实施细则。 自查说明：建立了电子银行业务管理制度，建立了业务操作规程和实施细则，建立了健全的岗位责任制。 相关材料：XX银行股份有限公司银行卡业务管理办法（试行）、XX银行股份有限公司自助设备管理办法（试行）、XX银行借记卡业务操作规程（试行）、XX银行股份有限公司银行卡风险管理办法（试行）、XX银行股份有限公司银行卡（借记卡）系统事件、事故 报

13、告制度（试行）、XX银行电子银行部岗位计划 （二）电子银行业务的相关部门和人员是否严格执行了电子银行业务的各项内部控制制度。经营电子银行业务的相关各部门和人员之间是否存在分工不清、缺乏制约等问题。 自查说明：制定了管理办法，对相关部门和人员的责任进行了说明，并列明了违反规定后的处罚措施。 相关材料：XX银行股份有限公司银行卡业务管理办法（试行） 第三章 管理机构和职责、第十一章违规责任； XX银行股份有限公司自助设备管理办法（试行）第二章 管理体系及岗位职责、第八章 自助设备的检查、考核及责任追究。 （三）在客户申请某项电子银行业务品种时，是否向客户说明和公开各种电子银行业务品种的交易规则，是

14、否向客户说明该品种的交易风险及其在具体交易中的权利与义务。 自查说明：银行卡客户申请书背面印有龙祥卡章程，对龙祥卡的申领条件、使用、挂失、销户、计息与收费、权利义务进行了全面的公开，对持卡人的权利、义务进行了说明。 相关材料：XX银行股份有限公司龙祥卡章程 二、运营管理层面 银行是否建立了全面、综合、系统的电子银行业务授权管理、会计核算、账务核对等管理制度，是否及时核对电子银行业务的全部账务，会计数据与统计数据是否相符一致。 自查说明：我行已建立了电子银行业务授权管理、会计核算、账 务核对管理制度，及时核对电子银行业务的账务，使会计数据与统计数据相符。 相关材料：运营管理部有关授权管理的管理制

15、度； XX银行股份有限公司银行卡会计核算管理办法（试行）中“第六章 银行卡业务会计核算处理、第七章 ATM业务会计核算处理、 第九章 账务核对”； 中国银联差错处理平台； XX银行监管报送系统。 三、科技信息层面 （一）银行是否遵守了国家有关计算机信息系统安全、商用密码管理、消费者权益保护等方面的法律、法规和规章。是否根据需要设定转账限额。是否设定电子银行业务密码试输次数、试输时间的限制。 自查说明：银行卡客户申请书背面印有龙祥卡章程，章程中列明了持卡人的权利义务，并规定了持卡人在境内ATM上使用龙祥卡取款时，每卡每日累计取现金额不得超过20000元（含）；人民币持卡人可申请开通ATM自助转账

16、功能，使用龙祥卡转账时，每卡每日转出累计金额不得超过50000元（含）人民币；持卡人将密码连续错误输入6次时，系统将自动锁定其账户，客户可持本人有效 _件到柜台进行解锁或密码挂失。 相关材料：XX银行股份有限公司龙祥卡章程第三章 使用 第七章 权利义务； XX银行股份有限公司银行卡业务管理办法（试行）第七章 银行卡特殊业务处理。 （二）是否制定并实施充分的物理安全措施，有效防范外部或内部非授权人员对关键设备的非法接触。是否采用合适的加密技术和措施，以确认电子银行业务用户身份和授权。是否实施有效的措施，防止电子银行业务交易系统不受计算机病毒侵袭。 自查说明：我行制定了自助设备管理办法，要求1、自

17、助设备安装要符合公安部门金融安全防范标准以及设备物理安装标准的要求，无风险隐患；设备及场所的装修要符合总行统一要求，有完善的防晒、防雨和隐形监控等设施，标识醒目，方便客户全天候的操作需求。2、网点自助设备管理员和复核员须经过操作培训方能上岗，网点更换自助设备管理员和复核员应提前10个工作日报电子银行部备案。 相关材料：XX银行股份有限公司自助设备管理办法（试行） 第三章 设备管理、第七章 风险控制。 （三）银行是否制定必要的系统运行考核指标，定期或不定期测试银行网络系统、业务操作系统的运作情况，及时发现系统隐患和黑客对系统的入侵。是否具有预警止付功能。是否将电子银行业务操作系统纳入银行应急计划

18、和业务连续性计划之中。 （四）银行是否根据业务发展需要，及时对从业人员进行培训，及时更新系统安全保障技术和设备。是否建立电子银行业务运作重大事项报告制度，是否及时向银行监管部门 报告电子银行业务经营过程中发生的重大泄密、黑客侵入、网址更名等重大事项。是否接受银行监管部门认可的权威评估机构对其业务操作系统的安全性进行评估。 自查说明：xx年12月27日上午8：30在总行九楼会议室举办银行卡业务培训班，培训内容为银行卡业务、自助设备业务；xx年2月28日在总行9楼会议室举办了自助设备业务培训班；xx年3月1日至6日，金电公司对我行银行卡系统进行了检测。 相关材料：银行卡业务培训课件自助设备管理培训

19、课件 金电公司XX市商业银行借记卡系统检测报告 四、发展战略层面 董事会和高级管理层是否确立了与自身相适应的电子银行业务发展战略和运行安全策略。 自查说明：我行已初步确立了发展战略和安全策略，拟定了濮 阳 银 行 电 子 银 行业 务 发 展 战 略、濮 阳 银 行 电 子 银 行 业 务 运 行 安 全 策 略。 五、内控稽核层面 银行内审部门是否配备专门的电子银行业务审计力量。是否定期对电子银行业务进行审计。内部审计的范围是否全面，效果是否良好。 自查说明：银行卡、自助银行等电子银行业务属xx年以来新开办的业务品种，我行将按照有关规定组织对电子银行业务进行定期审计，使内部审计的范围全面。 内容仅供参考