一、网络运行风险
来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展,计算机技术在农村信用社各项业务中的广泛应用,部分员工因病毒防范意识较为薄弱,加上计算机水平又是参差不齐,有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级,U盘滥用且从不进行病毒扫描,这样就容易造成内部信息泄漏或网络阻塞,中断重要业务的正常运行。
二、操作流程风险
随着业务的更新和科技步伐的加快,员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:
1、操作行为不规范,安全防范意识差。目前,我区农村信用社计算机操作员一般只通过了短期辅导培训,未能全面掌握计算机理论知识及运用技术,主要表现在:
一是一些操作人员对计算机知识的缺乏,经常出现操作性错误;
二是操作人员基本安全意识不强,缺乏安全防范意识;
三是人员调离或岗位变动时不及时注销操作员,导致操作员不便于管理;
四是人离机不退,个别人随意离开工作岗位,也不签退,给他人可乘之机,造成了严重的信息安全隐患。
2、不严格执行操作流程,造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐,对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。
一是操作人员不严格执行硬件设备的操作流程,造成设备损坏,致使重要业务中断的风险;
二是没有定期对机器除尘、保养,使微机在较恶劣环境下带“病”工作,计算机运行报错或元器件损坏时有发生,影响了信用社窗口的服务效率和形象;
三是不严格按照业务操作流程操作业务系统程序,给他人或科技结算中心造成不必要的负担。
为此我们将严格按照省市联社关于计算机管理的一系列相关要求,对日常计算机信息管理中存在的问题经行重点监督和整改:
1、严格业务系统、办公系统与因特网等公众系统的隔离,无法隔离的要随时升级杀毒程序,同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训,提高员工的电脑操作技能,制定防毒策略,养成良好的上网习惯,严防病毒侵害。
2、加强对一线人员的操作流程、各项基本规定的培训,加强对信息专管员的培训,提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式,坚决杜绝各种混岗现象,严格遵循管理制度。
3、严格操作规范及操作权限管理
随着农村信用社的发展,信贷系统,财务系统,OA系统的成功上线并投入使用,操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改,并严格按规定设置操作员及操作员密码,还需定期修改密码,多用字母或符号,严禁使用6位相同数字或电话号码或生日号码等,严禁口头或电话告知操作密码。
4、加强内控建设,强化监督,完善防范机制。首先,建立柜员岗位制约为主,做到责任到岗、落实到人、相互制约、互相监督。其次,全面落实以主任、内勤主任为主的监管体系,确保做到实时监管,及时发现问题,及时进行整改,消除风险隐患。再则,加强会计事后监督和电视监控系统管理,加大查处力度,重点是督促基层社各项计算机制度执行与落实,提升基层执行力,以此推进和完善防范制度,切实做到防患于未然。
5、日常维护方面,由基社信息专管员负责每周一次对机房卫生清理和设备故障排查,发现问题及时上报科技信息部处理;每月在各基社网点信息专管员的配合下,对网络设备的运行和管理进行维护和检查至少一次,全辖的ATM和POS机由科技信息部统一管理,落实基社网点专人负责,加大专管人员的培训,使日常操作、维护工作和安全防范措施得以落实。
金融业是国家重点建设和保护行业,因此,金融业网络系统的稳定运行对保障国家金融业的健康发展有着重要的意义,根据塔银办【2018】83号文件要求,xxxx村镇银行(以下简称:我行)高度重视,结合《金融城域网网络安全基线》内容及相关要求,认真组织落实,开展自查工作,现将自查情况报告如下:
一、接入情况概述;
我行2016年通过乌鲁木齐县xxxx村镇银行接口接入人民银行金融城域网,参与并接入了人行身份联网核查、人民币账户管理、金融统计、等重要信息系统。目前,各信息系统运行稳定性和安全性良好,业务开展正常。
二、自查情况;
(一)机房方面
因我行使用各类服务器配置地址在河南xxxx管理部,并由专人进行运维管理,我行设置仅设备机房一个,无数据信息、文件存储、应用程序等服务器,配置防火墙、路由器各一台用于与河南中心服务器数据通讯,并配备30kw不间断电源(UPS)。机房地址:乌苏市海河西路10号,银行办公新大楼2017年1月交工,周围无危险建筑,机房面积为30平米,无易燃易爆物品,区域划分为主机房区及监控机房区;配置电子门禁系统一套,进出入由机房管理人员通过指纹验证进入,同时设有机房进出入登记薄,对外来人员进行记录,档案永久保存。综合布线清晰合理、安全规范、易于维护扩展,安装一套机房环境监控设备设施,布有中央空调一台,二氧化碳、水基灭火器各一个,地面铺设防静电地板,已经当地消防部门验收通过。
(二)网络安全:
xxxx村镇银行网络要求参照河南xxxx管理部现有要求,按业务种类将网络划分为业务内网与外部网络,不同网络通过路由器、交换机、网卡实现物理隔离,严禁相互访问、接入。同时,依照国家等级保护原则,不同网络区域安全保护等级设置有级别:业务网最高,办公网其次。为保障业务网络正常运行,已通过租用电信、联通双线路备份,采用中高端网络设备,以双机热备模式部署,实现设备冗余、自动切换,确保业务连续性。建立健全机房、网络、计算机等管理制度18份,以规范、标准、约束、指导的员工行为。配备机房管理人员2名(A岗、B岗),定期对机房设备、内外网络、办公电脑进行巡查运维。
(三)信息管理
我行定期(每周三)开展员工业务培训,对业务、制度、操作流程、法律法规、风险案列等进行统一学习,提升员工业务能力的同时,亦树立员工正确的人生观、价值观,同时增强我行市场竞争力。单位在用每个信息业务系统均设置专人专岗,加大加强用户密码和屏保口令等安全防护措施,信息安全管理人员的配备和变更情况如有变动及时向当地人民银行报告备案。所有终端、计算机安装有病毒防护软件,定期杀毒并查询杀毒日志。严格管理移动存储介质,定期核查所配发移动存储介质的使用情况,严禁违规使用移动存储介质。建立重大信息安全事件报告制度,明确了事件报告内容及流程。目前我行无外包服务。
(四)运维管理
已成立xxxx村镇银行计算机安全工作领导小组,明确安全事件报告制度和处置管理制度,明确要求计算机操作系统、业务系统均设置有8位以上字母加数字混合密码,单位使用计算机严禁安装非本单位下发软件,严禁私接乱插个人或外单位人员存储介质,防止恶意代码软件,定期对使用该项工作进行检查。建立相应计算机使用、存储介质、数据查询等制度为依据。
(五)组织机构管理
已成立xxxx村镇银行计算机安全工作领导小组,由行长任组长,各部室经理、各支行长任组员,负责协调本单位信息安全管理工作,决策信息安全重大事宜,组织、指导、协调信息安全管理工作。按岗位设置系统管理员、网络管理员、机房管理员等岗位,并配备AB角;建立机房、网络、主机、信息安全等方面运维及管理制度或操作技术规范,制度齐全,能保证业务持续运行。
三、存在的问题;
1、科技配备人员不足,技术水平相对他行较为薄弱;
2、科技培训方面开展次数较少,员工计算机操作水平有待提;
3、科技工作不好开展,很多业务需要科技支撑,但只能依靠上级开发、指导、培训,不能参与到开发过程去;
4、系统功能开发不到位,结算渠道较少;跟不上金融发展趋势;
四、后期工作方向;
1、加大本行员工科技方面的培训工作,不断更新新知识、新技能,培养一批高素质、高效率、充满活力、爱岗敬业的队伍。
2、严格要求计算机、网络、业务系统、各类软件的使用,加大操作规范及操作权限管理,加强制度执行力的管理,保障各类系统稳定运行。
3、加强内控建设,强化监督,完善防范机制,做到责任到岗、落实到人、相互制约、相互监督,积极开展内部检查,发现问题及时整改,消除风险隐患。
4、积极开展日常计算机及网络维护工作,机关、营业网点配备计算机管理员1名,定时对机房设备运行、计算机使用、卫生清理进行管理,总行负责监督落实。
5、继续加大科技资金投入,用于加快推动科技建设步伐,提升我行科技水平能力。
农业发展银行作为唯一家农业政策性金融机构是中国金融体系的重要组成部分,按照wto规划和中国金融对外开放步伐的.加快,其业务范围将随其金融职能和政策性金融作用将全面凸现。农发行业务具有“双重性”,即政策性和经营性,这就对农发行的保密工作提出了更高的要求。现阶段农发行保密工作存在诸多隐患,主要表现在以下几个方面:
1、对保密工作必要性和重要性认识不足。
保密工作是基层农发行业务工作的重要组成部分,作为政策性银行必须确保执行政策的严肃性和时效性,保密工作必须提到我们工作的议事日程上。否则,将会出现政策执行不到位现象,其危害性从小的方面讲损坏了农发行的社会形象,可能恶化党群干部关系;从大的方面讲就有可能损害农民的利益,有可能影响国家货币政策的传导和宏观调控目标的实现,甚至关系到员工生命和财产安全,因此,保密工作时刻伴随着我们,要像安保工作一样警钟常常敲。
2、对保密工作的范围和职责不清。
大多数人认为保密工作就是保密部门和工作人员及领导们的事,与自己没有太大的关系;保密只不过对涉及国家机密的文件等按规定的范围和时间进行公布,对基层农发行及员工来说没有很大的必要;有的人认为只保密农发行有关信息,与自己有业务关联部门及企业的信息不在保密范围之内等等。这些观点都具有片面性,上述对保密工作的必要性和重要性已作了简单的介绍,实际上我们每个人的工作都涉及到保密问题,每个员工都有保密职责,凡是有可能对农发行业务开展和内部工作协调及其它部门、企业工作带来不利影响的信息都属于保密的范围。
3、对保密工作重视不够。
从现实状况来看,基层农发行保密工作做的怎样,似乎对各方面工作开展影响不大,对保密工作存在麻痹思想、重视不够。
一是缺乏相应配套的保密设备等设施;
二是保密规章制度体系不够健全和完善;
三是基层行基本上没有配备专(兼)职保密人员,既使配备了专(兼)职工员也仅是应付检查等,没有切实有效地开展工作;
四是对保密工作说起来重要,实际检查指导少,岗位工作职责不到位。
针对上述存在的问题和不足,要确保基层农发行各项工作顺利开展,形成大保密工作的局面,对此谈一点肤浅的看法。
一、加强领导,统一思想,提高全员保密意识
为强化基层农发行的保密工作,应当在系统内自上而下成立“一把手”任组长,分管行长为副组长,有关部负责人为成员的保密工作领导小组,配备专(兼)职保密干部,使保密工作层层有人抓、事事有人管,形成网络管理状态。同时,要把保密工作纳入议事日程、纳入目标考核中,采取与责任人工资、政绩挂钩的办法,增强保密工作人员的责任感。
二、健全制度,细化职责,规范保密工作建设
首先要建立健全和完善各项保密工作制度。如:机要文件传阅制度、密押管理制度、出纳制度、保卫制度、档案管理保密制度、保密工作责任制等,并要将这些制度印成册子,分发到涉密人员手中,有些制度还可采取放大上墙的办法,使人人都能熟悉操作,为把这些制度落到实处,还应科学规定有关涉密部室的保密事项。如:办公室机要文件传阅、借阅;会计部门联行密押的使用和印章、重要空白凭证的管理、现金调运计划、运钞路线的管理;信贷计划部门的资金构成、资产质量、数据及传输等,这些都要求各专业操作履行岗位责任,遵守保密制度,使银行的保密工作步入规范化、制度化轨道。
三、加大投入,狠抓落实,促进各项工展开展
农发行作为政策性银行,担负着粮油收储企业收购资金安全高效运营的重任。在开展业务活动中,除接触到国家政策性收购资金的秘密外,自身还不断产生出大量的内部秘密,如稍有不慎都会给国家造成难以挽回的损失,怎样搞好保密工作,不但要采取一系列行之有效的措施,更重要的是抓好措施的落实。
一是机要文件的存放要实行“三铁”,即铁门、铁窗、铁柜;
二是在机要文件的收发上要实行“三簿一卡”,即收文登记簿、发文登记簿、借阅登记簿、文件传阅卡,阅文、传文按保密程序办理;
三是在机要文件的管理上要达到“三专”,即专人、专柜、专室管理;
四是在安全保密工作中要落实“三个检查”,即保密领导小组对其成员进行定期检查,看保密制度是否贯彻落实;对涉密部门进行定期检查,看有无违背保密制度的行为;对基层营业网点进行定期检查,看有无违背操作制度的行为和失泄密漏洞,只有这样才能搞好基层农发行的保密工作,遏制各类泄密事件的发生,更好的服务于农发行业务发展。