银行中小法人机构信息科技风险状况摸底调查问卷

《银行中小法人机构信息科技风险状况摸底调查问卷》由会员分享，可在线阅读，更多相关《银行中小法人机构信息科技风险状况摸底调查问卷（15页珍藏版）》请在装配图网上搜索。

1、附件2：中小法人机构信息科技风险状况摸底调查问卷一、基本信息基本信息机构名称： 大连华信信托股份有限公司 填报日期： 填报人员： 王革 联系方式： （0411） 二、组织架构1.机构基本情况资产总额： 37.17 （亿元），同比增加： 11.49 （%）分 行： 0 （个）， 同比增加： 0 （%）员工总数： 123 （名）， 同比增加： 11 （%）部门设置： 16 （个）2.信息科技职能部门部门名称： 信息技术部 分管行长： 崔相斌 ，电话： （0411）83688573 部门负责人： 王革 ，电话： （0411）83634807 下设科室（或团队）：1： ，人数： ，职能： 2： ，人数

2、： ，职能： N： ，人数： ，职能： 3.信息科技人员部门总人数： 5 ，占全行员工比例： 4% （%），其中：正式员工人数： 5 ，合同制员工人数： 0 ，驻场外包人员人数： 0 上年度离职人员数（正式员工、合同制员工）： 1 信息科技关键岗位：1： 软件系统管理员 ，人数： 2 ，职责： 软件系统管理 2： 硬件系统管理员 ，人数： 3 ，职责： 硬件管理、网络管理 N： ，人数： ，职责： 信息科技关键岗位职责分离情况：软件系统管理员负责应用软件系统管理，掌握应用软件系统管理员密码，负责分管系统数据备份管理；硬件系统管理员负责硬件、网络管理，掌握服务器操作系统及网络管理员密码，负责信息

3、技术档案及数据备份保管 4.是否设立独立的信息科技内审职能部门（岗位）？ 独立内审部门 R 独立信息科技部内审岗位 未设立 人 数： 2 ，具有专业背景的人数： 2 报告路线： 审计委员会 注：专业背景指持有CIA、CISA、CISSP等国内外认可的审计资质或信息安全资质证书。 5.是否设立独立的信息科技风险管理职能部门（岗位）？ 独立风险管理部门 R 独立信息科技部风险管理岗位 未设立人 数： 1 报告路线： 风险控制委员会 主要职能： 信息科技风险管理 三、信息科技基本情况1.信息科技投入情况资产总额： 37.17 （亿元）上年度信息科技预算： （万元），上年度机构总预算： 8,700 （

4、万元）上年度信息科技实际投入： 195.54 （万元），上年度机构总费用： 8,605.24 （万元）信息科技实际投入中： 信息科技项目费： 82 万元 电子设备运转费： 32.62 万元 信息科技固定资产： 73 万元 邮电费（线路租用费等）： 1.92 万元其他： 6 万元2.是否独立研发系统？ R 否 是开发模式： 自主研发 外包 R 两者结合主要外包单位： 用友软件股份有限公司 近三年来主要研发工作介绍： 正在开发综合业务管理系统 3.近三年发生的重大信息科技案件、事件、突发事件情况简要描述： 无 四、内外部审计近三年完成的内外部审计项目情况1： 2009年信息系统内部审计 ，实施单位

5、： 华信信托 审计部 发现问题： 10 （个），已经整改： 10 （个）主要高风险问题： 重要设备的停机维护 2： 2010年信息技术内部审计，实施单位：华信信托 审计部发现问题： 6 （个），已经整改： 6 （个）主要高风险问题： 重要设备的停机维护、新系统的应急备用方案 3： 2011年关于系统开发情况的专项调研 ，实施单位：华信信托 审计部发现问题： 4 （个），已经整改： 4 （个）主要高风险问题： 新系统的应急备用方案、新系统的制度保障 五、信息系统基本情况1.主要信息系统情况系统总数： 2 ，其中：系统： 金证资金信托发行管理系统 主要功能： 资金信托发行、受益权管理、收益及本金兑

6、付 系统类型：R业务主机在本行 业务主机托管在其他机构，为： 与该系统业务关联的系统： 无 与该系统共用服务器平台的系统： 无 主机备份方式： 集群 热备 R 冷备 无备份上年度计划内停机或切换备机次数： 0 因故障导致停机或切换备机次数： 0 次，总时长： 0 分钟系统2： 金蝶会计核算系统 主要功能： 自有及信托业务会计核算及管理 系统类型：R业务主机在本行 业务主机托管在其他机构，为： 与该系统业务关联的系统： 无 与该系统共用服务器平台的系统： 无 主机备份方式： 集群 热备 R 冷备 无备份上年度计划内停机或切换备机次数： 0 因故障导致停机或切换备机次数： 0 次，总时长： 0 分

7、钟系统： 主要功能： 系统类型：业务主机在本行 业务主机托管在其他机构，为： 与该系统业务关联的系统： 与该系统共用服务器平台的系统： 主机备份方式： 集群 热备 冷备 无备份上年度计划内停机或切换备机次数： 因故障导致停机或切换备机次数： 次，总时长： 分钟2.电子渠道建设ATM： 0 （台），其中：在行式： （台），离行式： （台），无线式： （台）存款机： （台），取款机： （台），存取款一体机： （台） POS： （台）网上银行:是否开办该业务：R 否 是截至2011年底客户数： （万），同比增加： %2011年度交易笔数： （万），同比增加： %2011年度交易金额： （万），同比增

8、加： %身份认证和交易确认的技术方式，简要描述： 手机银行: 是否开办该业务：R 否 是截至2011年底客户数： （万），同比增加： %2011年度交易笔数： （万），同比增加： %2011年度交易金额： （万），同比增加： %身份认证和交易确认的技术方式，简要描述： 第三方支付: 与第三方支付机构的合作情况，及系统接入方式： 无 六、业务连续性管理1.应急与业务连续性的制度、小组等基本情况制度制定： 否 R是，制度名称： 信息系统应急计划 业务连续性组织架构：未建立 R已建立，包含部门：信息、财务、理财中心、办公室 应急处置组织架构： 未建立 R已建立，包含部门：信息、财务、理财中心、办公室

9、2.应急预案的定义与演练情况R设备类， 理财中心用备用服务器应急启动 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 0 %R系统类， 公司网站应急处理方案 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 100 %R网络类， 外网从联通线路切换到电信线路 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 0 %R供电类， 机房供电系统应急方案 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 100 %其他类， ，上年度演练过 （次），其他部门（含支行和第三方厂商）的参与率： %3.应急演练的情况演练记录保存

10、： 否 R 是演练结果是否领导签字：R 否 是参加部门： 信息技术部、理财中心、办公室 4.突发事件的情况事件分级：未建立R已建立，包含：I级（特别重大）、II级（重大）、III级（较大）和IV级（一般）上年度突发事件情况：内部级别4： 停电,UPS自动供电 ，次数： 3 ，其中上报监管部门的次数： 0 内部级别4： 网站故障，人工切换到备用 ，次数： 2 ，其中上报监管部门的次数： 0 内部级别4： 防火墙故障，人工切换到备用，次数： 1 ，其中上报监管部门的次数： 0 七、外包管理1.外包管理基本情况外包管理制度制定： 否 R 是，制度名称：信息科技保障制度-外包服务保障 上年度外包费用占

11、信息科技费用的比率： 42 %是否具备外包风险评估机制： 否 R 是是否与外包商和外包人员签订保密协议： 否 R 是是否对外包人员开展背景调查：R 否 是 ，开展方式： 是否对驻场外包人员的设备进行技术控制： 否 R 是控制方式： 限定IP、限制联网范围、限制使用的程序 2.外包合同情况（可多项选择）审批部门： 公司 包含内容：R知识产权与保密条款 R服务水平约定 R应急支持约定 R罚则3.外包项目的签署情况2011年开始或正在实施的外包项目中，费用位于前5名的有（少于5个以实际为准）：1： 综合业务管理系统 ，外包商：用友软件股份有限公司2： ，外包商： 3： ，外包商： 4： ，外包商：

12、5： ，外包商： 八、机房情况1.机房的基本情况主机房：地 址： 大连市西岗区大公街34号 投产日期： 2005 年 12 月 1 日，面积： 43 （平米）设计等级：A类 B类 RC类 通过年检：否 R是年检内容：R电气系统 R防雷接地 R安防系统 R消防系统 R其他系统是否配有灾备机房：否 是 R建设中灾备机房情况（如配备灾备机房请填写）：地 址： 投产日期或预计投产日期： 年 月 日，面积： （平米）设计等级：A类 B类 C类灾备等级：一级 二级 三级 四级 五级 六级通过年检：否 是年检内容：电气系统 防雷接地 安防系统 消防系统 其他系统2.机房供电情况主机房：双路市电接入： 否 R

13、是双路市电来自不同变电所：R否 是发电机归属： R自有 租用发电机油料储备可用时间： 8 （小时）UPS电池满载可用时间： 4 （小时）UPS实际使用率： 40%-70% 灾备机房情况（如配备灾备机房请填写）：双路市电接入： 否 是双路市电来自不同变电所：否 是发电机归属： 自有 租用发电机油料储备可用时间： （小时）UPS电池满载可用时间： （小时）UPS实际使用率： % 3.机房空调情况主机房：精密空调 吸顶空调其他类型： 柜式空调 灾备机房情况（如配备灾备机房请填写）：精密空调 吸顶空调其他类型： 4.机房网络情况主机房：至其他机构：线路条数 11 （条），不同运营商 3 （家），带宽使

14、用率峰值 100 %至分行：线路条数 （条），不同运营商 （家），带宽使用率峰值 %至灾备：线路条数 （条），不同运营商 （家），带宽使用率峰值 %灾备机房情况（如配备灾备机房请填写）：至其他机构：线路条数 （条），不同运营商 （家），带宽使用率峰值 %至分行：线路条数 （条），不同运营商 （家），带宽使用率峰值 %至主机房：线路条数 （条），不同运营商 （家），带宽使用率峰值 %5.机房的安保与门禁情况主机房：24小时安保人员： 配备 R未配备安保人员所属部门： 门禁类型： IC卡 指纹 虹膜 其他门禁记录保存时间： 月灾备机房情况（如配备灾备机房请填写）：24小时安保人员： 配备 未配备安

15、保人员所属部门： 门禁类型： IC卡 指纹 虹膜 其他门禁记录保存时间： 月6.机房值班情况主机房：24小时值班人员：配备 R未配备平均值班人数： 是否外包： 否 是是否专职： 否 是灾备机房情况（如配备灾备机房请填写）：24小时值班人员：配备 未配备平均值班人数： 是否外包： 否 是是否专职： 否 是7.机房监控内容及报警方式主机房：R环境监控，报警方式：R声音 R高亮 R短信 邮件 电话 其他 主机监控，报警方式：声音 高亮 短信 邮件 电话 其他 网络监控，报警方式：声音 高亮 短信 邮件 电话 其他 交易监控，报警方式：声音 高亮 短信 邮件 电话 其他 网点监控，报警方式：声音 高亮

16、 短信 邮件 电话 其他 灾备机房情况（如配备灾备机房请填写）：环境监控，报警方式：声音 高亮 短信 邮件 电话 其他 主机监控，报警方式：声音 高亮 短信 邮件 电话 其他 网络监控，报警方式：声音 高亮 短信 邮件 电话 其他 交易监控，报警方式：声音 高亮 短信 邮件 电话 其他 网点监控，报警方式：声音 高亮 短信 邮件 电话 其他 九、运行管理1.变更管理制度制定： 否 R是，制度名称：信息科技保障制度-变更管理保障 审批流程： 业务人员-系统管理员-业务部门总经理-分管总裁-总裁 变更过程： R事先制定操作方案 R事先制定回退方案 R事先备份 R保存操作记录 R变更后签字确认2.事

17、件管理制度制定： 否 R是，制度名称： 信息科技保障制度-事件管理保障，信息系统应急计划 服务请求事件是否登记：R否 是生产故障事件是否登记：否 R是生产故障事件分级： I级（特别重大）、II级（重大）、III级（较大）和IV级（一般） 生产故障事件上报时限：一般(IV级)1日内，较大(III级)1小时内，重大(II级)和特别重大(I级)立即上报；生产故障事件上报路线：发生部门-系统管理员-信息技术部总经理、相关部门-信息系统应急工作领导小组 7*24小时值班人员： 配备 R未配备工作时间值班人数： 5 非工作时间值班人数： 是否外包： R否 是是否专职： R否 是3.操作管理（可多项选择）科

18、技运维岗具备的资料：R设备及系统的运维操作手册R设备及系统的应急处理手册 R服务对象及技术支持的通讯录生产用户操作： R事前审批R密码申请或授权 R密码定期修改，修改周期：每 4 月修改一次4.备份管理制度制定： 否 R是，制度名称：信息技术管理细则-系统数据备份管理 备份介质存放：R机房建筑内 同城网点 异地介质存放环境：普通柜子 R保险箱 其他， 介质保存时间： 永久 月备份介质及数据的可用性验证：R不定期 定期 频度： 主要系统的备份特点：1：金证资金信托发行管理系统，频度： 每天 ，方式（全/增/差）： 差 2：金证资金信托发行管理系统，频度： 每月 ，方式（全/增/差）： 全 3：金

19、蝶会计核算系统 ，频度： 每天 ，方式（全/增/差）： 全 N： ，频度： ，方式（全/增/差）： 上年度在生产环境中进行数据恢复的次数： 0 备份数据是否进行数据清理： R不定期 定期网络设备配置信息的备份覆盖率： 100 %5.关键网络设备高可用管理情况核心路由器： CISCO 2811 采用的高可用技术：双机热备 双机冷备 负载均衡 R存在单点 内存使用峰值： 50 %，CPU使用峰值： 50 %核心交换机： CISCO 3750 采用的高可用技术：双机热备 双机冷备 负载均衡 R存在单点 内存使用峰值： 50 %，CPU使用峰值： 50 %核心网络安全设备： 天融信 采用的高可用技术：

20、双机热备 R双机冷备 负载均衡 存在单点 内存使用峰值： 50 %，CPU使用峰值： 50 %6.开发管理的情况开发人员与运行人员职责分离：否 R是专门的开发测试环境（与生产环境物理隔离）：否 R是开发环境与测试环境独立：否 R是7.系统安全的部署情况桌面电脑操作系统补丁升级： 否 R手工升级通过补丁系统自动升级 客户端补丁更新率： 30 %服务器操作系统补丁升级： 否 R手工升级通过补丁系统自动升级 客户端补丁更新率： 50 %防病毒系统： 否 R是 客户端病毒库更新率： 100%软件白名单管理： R否 是8.网络安全的部署情况网络域划分： 外网、内网、资金信托业务 网络边界控制措施： 物理

21、隔离 地址的使用： 事先申请并审批 R使用与规划一致 离职人员的IP及时收回互联网访问控制： 经过代理服务器 R对非法网站或软件封堵行外人员接入内网：R事先申请并审批 R保存访问记录9.数据安全的部署情况操作系统和数据库管理员密码的保管方式： 封存归档 操作系统和数据库管理员密码的定期修改期限： 每年4次 操作系统和数据库管理员密码的回收流程： 领导批准 普通用户离职后： 账户删除 R账户禁用数据访问人员授权：R按需进行区分和最小必要授权不区分，授予相同权限无授权机制重要数据的存储介质过期后是否销毁：否 R是 销毁机构名称： 信息技术部 人员变动时电脑磁盘信息是否清理或删除：否 R是 销毁方式

22、： 自行清理后重装 10.软件正版化情况服务器操作系统软件的正版率： 100 %，主要品牌型号： Windows、Linux 桌面操作系统软件的正版率： 100 %，主要品牌型号：Windows、Linux 数据库管理系统软件的正版率： 100 %，主要品牌型号： Oracle、SQL Server 应用系统软件的正版率： 100 %，主要品牌型号： 金证2.0、金蝶K3 中间件软件的正版率： 100 %，主要品牌型号： weblogic 防病毒软件的正版率： 100 %，主要品牌型号： 趋势、360 工具软件的正版率： 100 %，主要品牌型号： 11.信息安全对桌面终端实行安全控制：否 R

23、是，控制措施： 禁用超级用户、设置域安全策略、安装360安全卫士 对接入生产网、办公网移动存储设备实行安全控制：否 R是，控制措施： 未经同意不准接入，使用前进行安全检查 客户敏感信息保护制度：否 R是，制度名称及执行情况： 系统运行及安全管理制度，客户敏感信息由公司安排理财中心专人管理，其他人员包括系统管理员都无法接触 上年度信息安全培训开展情况： 共进行2次培训，主要内容包括信息管理相关规章制度，重点是网络安全管理、密码管理、Internet使用管理、综合业务管理系统使用 十、其他其他情况1、制度执行：上年度在落实相关制度方面存在哪些问题？原因是什么？没发现在制度执行方面存在什么问题。2、

24、系统运维：系统运维中，哪些环节相对问题较多？拟采取的改进措施？因为金证系统为2002年开发的旧系统，原开发单位已不能提供技术支持，目前只能靠自己维护，无法做大的改进，现在我们正在对新开发的综合业务管理系统进行测试及期初数据补录，待综合业务管理系统上线后将解决这个问题；系统核心网络设备存在单点故障风险，计划在今年网络安全改造中解决。3、主要困难：有效开展信息科技风险管理存在哪些主要困难（人、财、技术等方面）？ 目前看主要困难是缺少主机、网络、环境监控报警技术设备，下班后及节假日无法及时发现处理系统发生的问题。4、监管建议：对监管机构有何意见或建议？希望多组织一些信息科技风险控制相关的培训及经验交流。5、2012年度的信息科技工作计划。完成综合业务管理系统开发工作，进行系统安全改造，完善数据自动备份系统，配合支持公司业务开展。