银行中小法人机构信息科技风险状况摸底调查问卷

1、附件2：中小法人机构信息科技风险状况摸底调查问卷一、基本信息基本信息机构名称： 大连华信信托股份有限公司 填报日期： 2012.04.10 填报人员： 王革 联系方式： （0411）83634807二、组织架构1.机构基本情况资产总额： 37.17 （亿元），同比增加： 11.49 （%）分 行： 0 （个）， 同比增加： 0 （%）员工总数： 123 （名）， 同比增加： 11 （%）部门设置： 16 （个）2.信息科技职能部门部门名称： 信息技术部 分管行长： 崔相斌 ，电话： （0411）83688573 部门负责人： 王革 ，电话： （0411）8363480

2、7 下设科室（或团队）：1： ，人数： ，职能： 2： ，人数： ，职能： n： ，人数： ，职能： 3.信息科技人员部门总人数： 5 ，占全行员工比例： 4% （%），其中：正式员工人数： 5 ，合同制员工人数： 0 ，驻场外包人员人数： 0 上年度离职人员数（正式员工、合同制员工）： 1 信息科技关键岗位：1： 软件系统管理员 ，人数： 2 ，职责： 软件系统管理 2： 硬件系统管理员 ，人数： 3 ，职责： 硬件管理、网络管理 n： ，人数： ，职责： 信息科技关键岗位职责分离情况：软件系统管理员负责应用软件系统管理，掌握应用软件系统管理员密码，负责分管系统数据备份管理；硬件系统管理员负

3、责硬件、网络管理，掌握服务器操作系统及网络管理员密码，负责信息技术档案及数据备份保管 4.是否设立独立的信息科技内审职能部门（岗位）？ 独立内审部门 r 独立信息科技部内审岗位 未设立 人 数： 2 ，具有专业背景的人数： 2 报告路线： 审计委员会 注：专业背景指持有cia、cisa、cissp等国内外认可的审计资质或信息安全资质证书。 5.是否设立独立的信息科技风险管理职能部门（岗位）？ 独立风险管理部门 r 独立信息科技部风险管理岗位 未设立人 数： 1 报告路线： 风险控制委员会 主要职能： 信息科技风险管理 三、信息科技基本情况1.信息科技投入情况资产总额： 37.17 （亿元）上年

4、度信息科技预算： （万元），上年度机构总预算： 8,700 （万元）上年度信息科技实际投入： 195.54 （万元），上年度机构总费用： 8,605.24 （万元）信息科技实际投入中： 信息科技项目费： 82 万元 电子设备运转费： 32.62 万元 信息科技固定资产： 73 万元 邮电费（线路租用费等）： 1.92 万元其他： 6 万元2.是否独立研发系统？ r 否 是开发模式： 自主研发 外包 r 两者结合主要外包单位： 用友软件股份有限公司 近三年来主要研发工作介绍： 正在开发综合业务管理系统 3.近三年发生的重大信息科技案件、事件、突发事件情况简要描述： 无 四、内外部审计近三年完成的

5、内外部审计项目情况1： 2009年信息系统内部审计 ，实施单位： 华信信托 审计部 发现问题： 10 （个），已经整改： 10 （个）主要高风险问题： 重要设备的停机维护 2： 2010年信息技术内部审计，实施单位：华信信托 审计部发现问题： 6 （个），已经整改： 6 （个）主要高风险问题： 重要设备的停机维护、新系统的应急备用方案 3： 2011年关于系统开发情况的专项调研 ，实施单位：华信信托 审计部发现问题： 4 （个），已经整改： 4 （个）主要高风险问题： 新系统的应急备用方案、新系统的制度保障 五、信息系统基本情况1.主要信息系统情况系统总数： 2 ，其中：系统： 金证资金信托发

6、行管理系统 主要功能： 资金信托发行、受益权管理、收益及本金兑付 系统类型：r业务主机在本行 业务主机托管在其他机构，为： 与该系统业务关联的系统： 无 与该系统共用服务器平台的系统： 无 主机备份方式： 集群 热备 r 冷备 无备份上年度计划内停机或切换备机次数： 0 因故障导致停机或切换备机次数： 0 次，总时长： 0 分钟系统2： 金蝶会计核算系统 主要功能： 自有及信托业务会计核算及管理 系统类型：r业务主机在本行 业务主机托管在其他机构，为： 与该系统业务关联的系统： 无 与该系统共用服务器平台的系统： 无 主机备份方式： 集群 热备 r 冷备 无备份上年度计划内停机或切换备机次数：

7、 0 因故障导致停机或切换备机次数： 0 次，总时长： 0 分钟系统： 主要功能： 系统类型：业务主机在本行 业务主机托管在其他机构，为： 与该系统业务关联的系统： 与该系统共用服务器平台的系统： 主机备份方式： 集群 热备 冷备 无备份上年度计划内停机或切换备机次数： 因故障导致停机或切换备机次数： 次，总时长： 分钟2.电子渠道建设atm： 0 （台），其中：在行式： （台），离行式： （台），无线式： （台）存款机： （台），取款机： （台），存取款一体机： （台） pos： （台）网上银行:是否开办该业务：r 否 是截至2011年底客户数： （万），同比增加： %2011年度交易笔数：

8、 （万），同比增加： %2011年度交易金额： （万），同比增加： %身份认证和交易确认的技术方式，简要描述： 手机银行: 是否开办该业务：r 否 是截至2011年底客户数： （万），同比增加： %2011年度交易笔数： （万），同比增加： %2011年度交易金额： （万），同比增加： %身份认证和交易确认的技术方式，简要描述： 第三方支付: 与第三方支付机构的合作情况，及系统接入方式： 无 六、业务连续性管理1.应急与业务连续性的制度、小组等基本情况制度制定： 否 r是，制度名称： 信息系统应急计划 业务连续性组织架构：未建立 r已建立，包含部门：信息、财务、理财中心、办公室 应急处置组织架

9、构： 未建立 r已建立，包含部门：信息、财务、理财中心、办公室2.应急预案的定义与演练情况r设备类， 理财中心用备用服务器应急启动 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 0 %r系统类， 公司网站应急处理方案 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 100 %r网络类， 外网从联通线路切换到电信线路 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 0 %r供电类， 机房供电系统应急方案 ，上年度演练过 1 （次），其他部门（含支行和第三方厂商）的参与率： 100 %其他类， ，上年度演练过 （次），其他部门（含

10、支行和第三方厂商）的参与率： %3.应急演练的情况演练记录保存： 否 r 是演练结果是否领导签字：r 否 是参加部门： 信息技术部、理财中心、办公室 4.突发事件的情况事件分级：未建立r已建立，包含：i级（特别重大）、ii级（重大）、iii级（较大）和iv级（一般）上年度突发事件情况：内部级别4： 停电,ups自动供电 ，次数： 3 ，其中上报监管部门的次数： 0 内部级别4： 网站故障，人工切换到备用 ，次数： 2 ，其中上报监管部门的次数： 0 内部级别4： 防火墙故障，人工切换到备用，次数： 1 ，其中上报监管部门的次数： 0 七、外包管理1.外包管理基本情况外包管理制度制定： 否 r

11、是，制度名称：信息科技保障制度-外包服务保障 上年度外包费用占信息科技费用的比率： 42 %是否具备外包风险评估机制： 否 r 是是否与外包商和外包人员签订保密协议： 否 r 是是否对外包人员开展背景调查：r 否 是 ，开展方式： 是否对驻场外包人员的设备进行技术控制： 否 r 是控制方式： 限定ip、限制联网范围、限制使用的程序 2.外包合同情况（可多项选择）审批部门： 公司 包含内容：r知识产权与保密条款 r服务水平约定 r应急支持约定 r罚则3.外包项目的签署情况2011年开始或正在实施的外包项目中，费用位于前5名的有（少于5个以实际为准）：1： 综合业务管理系统 ，外包商：用友软件股份

12、有限公司2： ，外包商： 3： ，外包商： 4： ，外包商： 5： ，外包商： 八、机房情况1.机房的基本情况主机房：地 址： 大连市西岗区大公街34号 投产日期： 2005 年 12 月 1 日，面积： 43 （平米）设计等级：a类 b类 rc类 通过年检：否 r是年检内容：r电气系统 r防雷接地 r安防系统 r消防系统 r其他系统是否配有灾备机房：否 是 r建设中灾备机房情况（如配备灾备机房请填写）：地 址： 投产日期或预计投产日期： 年 月 日，面积： （平米）设计等级：a类 b类 c类灾备等级：一级 二级 三级 四级 五级 六级通过年检：否 是年检内容：电气系统 防雷接地 安防系统 消

13、防系统 其他系统2.机房供电情况主机房：双路市电接入： 否 r是双路市电来自不同变电所：r否 是发电机归属： r自有 租用发电机油料储备可用时间： 8 （小时）ups电池满载可用时间： 4 （小时）ups实际使用率： 40%-70% 灾备机房情况（如配备灾备机房请填写）：双路市电接入： 否 是双路市电来自不同变电所：否 是发电机归属： 自有 租用发电机油料储备可用时间： （小时）ups电池满载可用时间： （小时）待添加的隐藏文字内容2ups实际使用率： % 3.机房空调情况主机房：精密空调 吸顶空调其他类型： 柜式空调 灾备机房情况（如配备灾备机房请填写）：精密空调 吸顶空调其他类型： 4.机

14、房网络情况主机房：至其他机构：线路条数 11 （条），不同运营商 3 （家），带宽使用率峰值 100 %至分行：线路条数 （条），不同运营商 （家），带宽使用率峰值 %至灾备：线路条数 （条），不同运营商 （家），带宽使用率峰值 %灾备机房情况（如配备灾备机房请填写）：至其他机构：线路条数 （条），不同运营商 （家），带宽使用率峰值 %至分行：线路条数 （条），不同运营商 （家），带宽使用率峰值 %至主机房：线路条数 （条），不同运营商 （家），带宽使用率峰值 %5.机房的安保与门禁情况主机房：24小时安保人员： 配备 r未配备安保人员所属部门： 门禁类型： ic卡 指纹 虹膜 其他门禁记录保

15、存时间： 月灾备机房情况（如配备灾备机房请填写）：24小时安保人员： 配备 未配备安保人员所属部门： 门禁类型： ic卡 指纹 虹膜 其他门禁记录保存时间： 月6.机房值班情况主机房：24小时值班人员：配备 r未配备平均值班人数： 是否外包： 否 是是否专职： 否 是灾备机房情况（如配备灾备机房请填写）：24小时值班人员：配备 未配备平均值班人数： 是否外包： 否 是是否专职： 否 是7.机房监控内容及报警方式主机房：r环境监控，报警方式：r声音 r高亮 r短信 邮件 电话 其他 主机监控，报警方式：声音 高亮 短信 邮件 电话 其他 网络监控，报警方式：声音 高亮 短信 邮件 电话 其他 交

16、易监控，报警方式：声音 高亮 短信 邮件 电话 其他 网点监控，报警方式：声音 高亮 短信 邮件 电话 其他 灾备机房情况（如配备灾备机房请填写）：环境监控，报警方式：声音 高亮 短信 邮件 电话 其他 主机监控，报警方式：声音 高亮 短信 邮件 电话 其他 网络监控，报警方式：声音 高亮 短信 邮件 电话 其他 交易监控，报警方式：声音 高亮 短信 邮件 电话 其他 网点监控，报警方式：声音 高亮 短信 邮件 电话 其他 九、运行管理1.变更管理制度制定： 否 r是，制度名称：信息科技保障制度-变更管理保障 审批流程： 业务人员-系统管理员-业务部门总经理-分管总裁-总裁 变更过程： r事先

17、制定操作方案 r事先制定回退方案 r事先备份 r保存操作记录 r变更后签字确认2.事件管理制度制定： 否 r是，制度名称： 信息科技保障制度-事件管理保障，信息系统应急计划 服务请求事件是否登记：r否 是生产故障事件是否登记：否 r是生产故障事件分级： i级（特别重大）、ii级（重大）、iii级（较大）和iv级（一般） 生产故障事件上报时限：一般(iv级)1日内，较大(iii级)1小时内，重大(ii级)和特别重大(i级)立即上报；生产故障事件上报路线：发生部门-系统管理员-信息技术部总经理、相关部门-信息系统应急工作领导小组 7*24小时值班人员： 配备 r未配备工作时间值班人数： 5 非工作

18、时间值班人数： 是否外包： r否 是是否专职： r否 是3.操作管理（可多项选择）科技运维岗具备的资料：r设备及系统的运维操作手册r设备及系统的应急处理手册 r服务对象及技术支持的通讯录生产用户操作： r事前审批r密码申请或授权 r密码定期修改，修改周期：每 4 月修改一次4.备份管理制度制定： 否 r是，制度名称：信息技术管理细则-系统数据备份管理 备份介质存放：r机房建筑内 同城网点 异地介质存放环境：普通柜子 r保险箱 其他， 介质保存时间： 永久 月备份介质及数据的可用性验证：r不定期 定期 频度： 主要系统的备份特点：1：金证资金信托发行管理系统，频度： 每天 ，方式（全/增/差）：

19、 差 2：金证资金信托发行管理系统，频度： 每月 ，方式（全/增/差）： 全 3：金蝶会计核算系统 ，频度： 每天 ，方式（全/增/差）： 全 n： ，频度： ，方式（全/增/差）： 上年度在生产环境中进行数据恢复的次数： 0 备份数据是否进行数据清理： r不定期 定期网络设备配置信息的备份覆盖率： 100 %5.关键网络设备高可用管理情况核心路由器： cisco 2811 采用的高可用技术：双机热备 双机冷备 负载均衡 r存在单点 内存使用峰值： 50 %，cpu使用峰值： 50 %核心交换机： cisco 3750 采用的高可用技术：双机热备 双机冷备 负载均衡 r存在单点 内存使用峰值：

20、 50 %，cpu使用峰值： 50 %核心网络安全设备： 天融信 采用的高可用技术：双机热备 r双机冷备 负载均衡 存在单点 内存使用峰值： 50 %，cpu使用峰值： 50 %6.开发管理的情况开发人员与运行人员职责分离：否 r是专门的开发测试环境（与生产环境物理隔离）：否 r是开发环境与测试环境独立：否 r是7.系统安全的部署情况桌面电脑操作系统补丁升级： 否 r手工升级通过补丁系统自动升级 客户端补丁更新率： 30 %服务器操作系统补丁升级： 否 r手工升级通过补丁系统自动升级 客户端补丁更新率： 50 %防病毒系统： 否 r是 客户端病毒库更新率： 100%软件白名单管理： r否 是8

21、.网络安全的部署情况网络域划分： 外网、内网、资金信托业务 网络边界控制措施： 物理隔离 地址的使用： 事先申请并审批 r使用与规划一致 离职人员的ip及时收回互联网访问控制： 经过代理服务器 r对非法网站或软件封堵行外人员接入内网：r事先申请并审批 r保存访问记录9.数据安全的部署情况操作系统和数据库管理员密码的保管方式： 封存归档 操作系统和数据库管理员密码的定期修改期限： 每年4次 操作系统和数据库管理员密码的回收流程： 领导批准 普通用户离职后： 账户删除 r账户禁用数据访问人员授权：r按需进行区分和最小必要授权不区分，授予相同权限无授权机制重要数据的存储介质过期后是否销毁：否 r是 销毁机构名称： 信息技术部 人员变动时电脑磁盘信息是否清理或删除：否 r是 销毁方式： 自行清理后重装 10.软件正版化情况服务器操作系统软件的正版率： 100 %，主要品牌型号： windows、linux 桌面操作系统软件的正版率： 100 %，主要品牌型号：windows、linux 数据库管理系统软件的正版率： 100 %，主要品牌型号： oracle、sql server 应用系统软件的正版率： 100 %，主要品牌型号： 金证2.0、金蝶k3 中间件软件的正版率： 100 %，主要品牌型号： weblogic 防病毒软件的正版率： 100