銀行科技條線風險點自查
一、資訊科技管理部門人員配備不足
科技人員對潛在的資訊科技風險因素難以做到充分的識別、精確的計量和動態的監測與控制。科技人員知識水平不高大部分機構缺乏專業高素質人員,科技人員的教育培訓跟不上資訊科技的更新換代。資訊科 技風險管理和控制方面的培訓更少,缺少完整、系統的資訊科技風險專業知識和管理技術手段。對資訊系統開發、升級 、變更的管理、業務可持續性測試和規劃等認識比較模糊,極易忽視對資訊科技漏洞和隱患的排查 、除險 ,在 認知上存在著對風險防範的盲區和誤區。
二、制度建設不完善、不繫統
資訊科技風險管理和控制措施多分散於其他管理制度中,沒有專門的科技風險管理度。管理制度滯後於資訊系統、資訊科技的發展,沒有隨著新購買裝置、設施而及時更新 、完善相關的管理制度.沒有隨著資訊系統的升級換代而重新修訂,難以起到防範資訊科技風險的作用。
三、硬體基礎設施薄弱
現在 ,在物理層面上實現了內、外網路的隔離,但針對U盤 、行動硬碟等裝置尚沒有建立防護策略和有效的管理制約手段.外網病毒容易通過上述裝置侵入到內部網路,導致內網頻寬被侵佔,影響綜合業務系統的正常執行。 .
四、應急預案徒有形式
制定了系統應急預案 ,但大部分基層網點尚未根據預案對電力裝置、網路裝置等實施壓力測試 ,也沒有進行過應急演練。應急預案還只是停留在形式上,出現突發故障或緊急事件時不一定能達到預期的處置結果。另外,有些應急預案涵蓋的專案過多,針對性和可操作性不強,影響應急預案的實效。