信息系統應急演練總結

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息系統應急演練總結范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

信息系統應急演練總結范文第1篇

首先信息中心組織各信息系統相關各部門，對信息系統的業務連續性需求進行分析和判斷，從系統恢復時間點目標（RTO）和數據恢復點目標（RPO）兩個方面，分為財務損失和非財務損失進行分析，從各自的業務要求出發，對系統連續性的要求提出了指標。信息中心根據滿足各時間段連續運行和數據恢復的要求，進行建設成本估算，然后將業務要求和建設成本進行綜合分析，確定各系統的RTO和RPO，作為制定容災建設方案的基本參考指標。

2系統容災建設

根據業務需求分析的結果和建設成本的分析，制定切實可行的建設改造方案，并按照方案，對各信息系統進行改造和建設，以使其滿足相關指標的要求。根據各系統的特點和所支撐業務情況，制定全面的應急預案，包括系統恢復預案、系統恢復前的業務連續運行預案、系統恢復后數據處理預案等，保證業務運行盡可能不受系統中斷的影響或者將影響降到最低。

3應急預案演練

應急預案完成后，根據業務情況，策劃了應急預案的演練。模擬真實的環境，從各個層面檢驗應急預案的效果，已保證在真實災難發生時，能夠起到應有的作用。應急預案優化應急預案演練后，對演練過程和演練結果進行總結，從可行性、適宜性等方面對應急演練進行評價，并進行了優化和改進。以使其能夠持之以恒的滿足公司的業務連續管理的需要。

4總結

4.1增強企業應對各種災難的能力

（1）預防了潛在的威脅帶來的風險。（2）保護人員的生命財產安全。（3）使企業的業務中斷和損失最小化。（4）最大程度地減小了數據的丟失、收入的損失、客戶的流失。（5）增強了投資者、股東和消費者的信心。（6）維護了企業的形象和信譽。

4.2完善了公司的日常經營管理流程，提高了工作效率

信息系統應急演練總結范文第2篇

【關鍵詞】質監網絡安全事件；應急機制；演練

1引言

“隨著我國經濟的快速發展，我國網絡經濟空間發展也得到了非常明顯的發展，為促進信息技術服務做出巨大的貢獻，并且也逐漸向著更加智能以及將傳統領域方面相互融合的階段不斷發展。但是，在信息技術創新的過程當中，還存在一定的安全問題，這樣一來，就讓網絡空間的安全問題變得相對復雜，最終導致網絡安全風險逐漸增加。作為行政執法部門，近年來河北省質監局深化拓展信息化應用領域，發揮信息化特有的支撐引領作用，建設應用了覆蓋全部核心業務的信息化系統、搭建了質監數據中心，推進數據互聯互通和交換共享；核心機房接入了互聯網、省公務外網、公務內網、質監業務網、財政專網、總局數據網和視頻網等7大網絡，支撐著質監系統省市縣三級機關和直屬事業單位的監管執法工作；隨著“互聯網+”行動不斷深入推進，質監業務數據量逐年增加，預計到2020年質監數據中心理論計算存儲量為7.0T。面對安全問題越來越復雜、隱蔽的網絡空間，要求我們不但要從技術上加強安全防范措施，還要建立健全網絡安全事件應急工作機制，切實做好網絡安全事件實戰演練，提高應對網絡安全事件能力，預防和減少網絡安全事件造成的損失和危害，保障重要網絡和信息系統的安全穩定運行，保護公眾利益，維護國家安全和社會秩序。

2網絡安全事件應急機制

2.1工作原則

在網絡安全事件的應急機制當中，主要的工作原則是要服從領導指揮，對突況做出快速反映，并對其進行科學的處置，每個部門之間要充分發揮出各自的工作職能，完成好網絡安全事件的應急處置。

2.2事件分級

通常情況下，網絡安全事件應急響應主要分為四個等級，一是特別重大的網絡安全事件，二是重大網絡安全事件，三是較大網絡安全事件，四是一般網絡安全事件。

2.3領導機構與職責

在河北省質量技術監督局網絡安全以及信息化領導小組的指導過程中，省局網信領導小組辦公室積極配合并協助省局完成網絡安全事件應急工作，不斷完善網絡安全應急處置體系。如果在發生比較重大的網絡安全事件的時候，需成立省局局網絡安全事件應急指揮部，指揮部成員由網信領導小組相關成員組成，負責事件的處置、指揮和協調。

2.4監測與預警

（1）預警分級在網絡安全事件的預警過程當中，主要分為四個等級，從高到低分別由不同的顏色進行表示，比如紅色、橙色、黃色以及藍色。（2）預警研判和各處室、各直屬事業單位組織對監測信息進行研判，認為需要立即采取防范措施的，應當及時通知有關部門和單位，對可能發生重大及以上網絡安全事件的信息及時向省局網信辦報告。省局網信辦組織對上報信息進行研判，對可能發生特別重大網絡安全事件的信息及時向省委網信辦、質檢總局網信辦報告。（3）預警響應1）紅色預警響應第一，省局網信辦根據省委網信辦指示組織預警響應工作，聯系相關單位或部門和應急支援單位，組織對事態發展情況進行跟蹤研判，并共同協商制定出相應的防范措施以及多項預警相應應急工作方案，有效的組織并協調組織資源調度以及與其他部門進行合作的前期準備工作。第二，相關單位以及部門對于網絡安全事件的應急處置，要求相關機構實行24小時值班制度，并且與之相關的工作人員應該時刻保持聯絡通訊暢通。與此同時，還要不斷提高網絡安全事件監測以及事態發展信息的搜集工作，負責人員要對應急團隊進行正確指揮，其他相關單位要輔助完成工作，如果出現緊急情況一定要上報到省局網信辦。第三，網絡安全應急技術支撐隊伍、應急支援單位應時刻保持待命的狀態，并且還要根據紅色預警所提供的信息進行詳細的研究，制定出不同的應對方案，另外，還要保障應急設備、軟件工具以及車輛等使用正常。2）橙色預警響應第一，相關單位或部門網絡安全事件應急處置機構啟動相應的應急預案，根據省局網信辦指示組織開展預警響應工作，完成相關的風險評估工作，并提前做好應急準備。第二，當橙色預警相應時，有關單位以及部門應立刻把事情的具體狀況上報到省局網信辦公室。省局網信辦密切關注事態發展，有關重大事項及時通報相關單位或部門。第三，網絡安全應急技術支撐隊伍、應急支援單位保持聯絡暢通，檢查應急設備、軟件工具、車輛等，確保處于良好狀態。3）黃色、藍色預警響應事發單位或部門網絡安全事件應急處置機構啟動相應應急預案，指導組織開展預警響應。

2.5網絡安全事件的應急處置

（1）事件報告網絡安全事件的應急處置，主要在當網絡安全事件發生之后，事發單位要對網絡安全事件進行應急處置，一是要馬上對事件進行報告，先要啟動應急預案，對事件進行處置。二是事發單位的相關部門要將事態穩定住，保留證據，完成好相關的信息通報工作。（2）應急響應通常情況下，在網絡安全事件的四個等級當中，I級的網絡安全事件是屬于最高響應的級別。Ⅰ級響應：省局網信辦在接到事發單位或部門報告后組織對事件信息進行研判，屬特別重大網絡安全事件的，立即上報省委網信辦，同時向省局網信領導小組提出啟動Ⅰ級響應的建議，經網信領導小組批準后，成立專項應急響應指揮部。由專門的指揮部來實行應急處置工作的統一領導部署，并領導相關完成好協調職責。對于指揮部的成員來說，要時刻保持24小時的聯絡。其他單位以及部門要確保應急處置機構隨時保持應急狀態，然后當指揮部發出命令之后，完成相應的工作。Ⅱ級響應：省局網信辦在接到事發單位或部門報告后組織對事件信息進行研判，根據事件的性質和情況，屬重大網絡安全事件的，指示事發單位或部門啟動Ⅱ級響應。事發單位或部門的應急處置機構進入應急狀態，在省局網信辦指導下按照相關應急預案做好應急處置工作。處置中需要省局應急技術支撐隊伍和應急支援單位配合和支持的，商省局網信辦予以協調。事發單位或部門與省局應急技術支撐隊伍、應急支援單位應根據各自職責，積極配合、提供支持。Ⅲ級響應：網絡安全事件的Ⅲ級響應，由事發單位或部門根據事件的性質和情況確定。事發單位或部門跟蹤事態發展，有關事項及時通報有關部門和單位。Ⅳ級響應：事發單位或部門按相關預案進行應急響應。（3）應急結束Ⅰ級響應結束由指揮部提出建議，報省局網信領導小組批準后，及時通報相關單位。Ⅱ級響應結束由事發單位提出建議，報省局網信辦批準后，及時通報相關單位或部門。Ⅲ、Ⅳ級響應結束由事發單位或部門決定，通報有關部門和單位。

2.6調查與評估

特別重大網絡安全事件由指揮部組織相關單位或部門進行調查處理和總結評估，并按程序上報至省委網信辦、質檢總局網信辦。重大及以下網絡安全事件由事件發生單位或部門自行組織調查處理和總結評估，并將相關總結調查報告報省局網信辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。事件的調查處理和總結評估工作原則上在應急響應結束后30天內完成。

3網絡安全事件實戰演練

省局網信辦應協調各處室、各直屬事業單位定期組織演練，檢驗和完善預案，提高實戰能力。應急演練方案應明確演練內容和目的、準備工作、演練步驟和考核辦法。

3.1內容和目的

應急演練主要內容包括機房突發事件、設備故障、安全事件等三個方面。

3.2準備工作

明確與演練內容相關的人員、環境、設備和設施應滿足的條件、狀態。

3.3考核辦法

明確演練的考核對象、考核內容、完成時限、分值以及評分標準。一般情況下，每個演練項目考核滿分為十分，如得分少于6分，應進一步完善網絡安全事件應急預案。

信息系統應急演練總結范文第3篇

論文關鍵詞：醫院信息系統　安全體系　網絡安　全數據安全

論文摘要：分析了目前威脅醫院網絡信息安全的各種因素結合網絡安全與管理工作的實踐，探討了構建醫院信息安全防御體系的措施。

中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中：三級以上663家：三級以下31o2家)進行信息化現狀調查顯示，超過80％的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大，醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。

1醫院信息安全現狀分析

隨著我們對信息安全的認識不斷深入，目前醫院信息安全建設存在諸多問題。

1．1信息安全策略不明確

醫院信息化工作的特殊性，對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃，沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略，或者沒有根據網絡信息安全出現的一些新問題，及時調整醫院的信息安全策略。這些現象的出現，使醫院信息安全產品不能得到合理的配置和適當的優化，不能起到應有的作用。

1．2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生，危害日益嚴重

病毒泛濫、系統漏洞、黑客攻擊等諸多問題，已經直接影響到醫院的正常運營。目前，多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中，用戶終端不及時升級系統補丁和病毒庫的現象普遍存在；私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，是保證醫院網絡安全運行的前提，也是目前醫院網絡安全管理急需解決的問題。

1．3安全孤島現象嚴重

目前，在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施，但安全產品之間無法實現聯動，安全信息無法挖掘，安全防護效果低，投資重復，存在一定程度的安全孤島現象。另外，安全產品部署不均衡，各個系統部署了多個安全產品，但在系統邊界存在安全空白，沒有形成縱深的安全防護。

1．4信息安全意識不強，安全制度不健全

從許多安全案例來看，很多醫院要么未制定安全管理制度，要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。

2醫院信息安全防范措施

醫院信息安全的任務是多方面的，根據當前信息安全的現狀，醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。

2．1安全策略

醫院信息系統～旦投入運行，其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統，一些大中型醫院要求每天二十四小時不問斷運行，如門診掛號、收費、檢驗等系統，不能有太長時間的中斷，也絕對不允許數據丟失，稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用，使得各類信息越來越集中，構成醫院的數據、信息中心，如何合理分配訪問權限，控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要：pacs系統的應用以及電子病歷的應用，使得醫學數據量急劇膨脹，數據多樣化，以及數據安全性、實時性的要求越來越高，要求醫院信息系統(his)必須具有高可用性，完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍，制訂有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等，建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略，才能達到提高網絡信息系統安全性的目的。

在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容：制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。

2．2安全管理

從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，加強安全培訓，增強醫務人員的安全防范意識以及制定網絡安全應急方案等。

2．2．1安全機構建設。設立專門的信息安全領導小組，明確主要領導、分管領導和信息科的相應責任職責，嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。

2．2．2安全隊伍建設。通過引進、培訓等渠道，建設一支高水平、穩定的安全管理隊伍，是醫院信息系統能夠正常運行的保證。

2．2．3安全制度建設。建立一整套切實可行的安全制度，包括：物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度，確保醫療工作有序進行。

2．2．4應急預案的制定與應急演練

依據醫院業務特點，以病人的容忍時間為衡量指標，建立不同層面、不同深度的應急演練。定期人為制造“故障點”，進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段，分析信息系統的歷史性能數據，預測信息系統的運轉趨勢，提前優化系統結構，從而降低信息系統出現故障的概率；另一方面，不斷總結信息系統既往故障和處理經驗，不斷調整技術安全策略和團隊應急處理能力，確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗，而且還促進全員熟悉應急流程，提高應急處理能力，實現了技術和非技術的完美結合。

2．3安全技術

從安全技術實施上，要進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案。

2．3．1冗余技術

醫院信息網絡由于運行整個醫院的業務系統，需要保證網絡的正常運行，不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心，應充分考慮可靠性。網絡的可靠性通過冗余技術實現，包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。

2．3．2建立安全的數據中心

醫療系統的數據類型豐富，在不斷的對數據進行讀取和存儲的同時，也帶來了數據丟失，數據被非法調用，數據遭惡意破壞等安全隱患。為了保證系統數據的安全，建立安全可靠的數據中心，能夠很有效的杜絕安全隱患，加強醫療系統的數據安全等級，保證各個醫療系統的健康運轉，確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份／恢復，遠程優化等各個組件。

2．3．3加強客戶機管理

醫院信息的特點是分散處理、高度共享，用戶涉及醫生、護士、醫技人員和行政管理人員，因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限，加強網絡訪問控制的安全措施，控制用戶對特定數據的訪問，使每個用戶在整個系統中具有唯一的帳號，限定各用戶一定級別的訪問權限，如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的ip與mac地址以防用戶隨意更改ip地址和隨意更換網絡插口等惡意行為，檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等，從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。

2．3．4安裝安全監控系統

安全監控系統可充分利用醫院現有的網絡和安全投資，隨時監控和記錄各個終端以及網絡設備的運行情況，識別、隔離被攻擊的組件。與此同時，它可以強化行為管理，對各種網絡行為和操作進行實施監控，保持醫院內部安全策略的符合性。

2．3．5物理隔離

根據物理位置、功能區域、業務應用或者管理策略等劃分安全區域，不同的區域之間進行物理隔離。封閉醫療網絡中所有對外的接口，防止黑客、外部攻擊、避免病毒的侵入。

信息系統應急演練總結范文第4篇

一、加強工作體制建設，依法開展衛生應急工作

各級衛生行政部門、衛生監督機構、疾病預防控制機構和醫療機構要進一步完善應急領導組織和工作機制，進一步加強對衛生應急工作的組織領導。繼續完善各級、各部門應急工作體制建設。進一步加強應急工作的業務指導考核和督導檢查，實行責任制和責任追究制，規范開展衛生應急工作。

認真貫徹落實《中華人民共和國突發事件應對法》和《全國衛生部門衛生應急管理工作規范》，開展《應對法》和《工作規范》的培訓，依法應對各類突發公共衛生事件、開展各項衛生應急管理工作。

二、加強培訓和演練，提高衛生應急能力與水平

進一步完善和充實衛生監督、疾病防控、醫療救護、心理干預四支應急隊伍。進一步加強應急隊伍的能力建設，優化隊伍結構，形成梯隊。

按照自上而下，分期分批和逐級培訓的原則，加強對市、縣（區）衛生應急隊伍和基層醫務人員的培訓，重點是衛生應急法律法規、預案規范、自救與互救的知識和技能。開展多種形式的突發公共衛生事件應急演練，提高各級各類醫療衛生專業人員應對突發公共衛生事件的理論知識水平和實戰應急能力。今年，市衛生局將組織開展《職業危害應急預案》演練。

建立必要的應急物資儲備。嚴格按照《市衛生局關于印發市級衛生應急機動隊管理若干意見（試行）的通知》要求配備應急基本裝備。逐步配置現代化的交通、通訊、檢測、消殺防護和救治裝備。根據省衛生廳的統一部署，制定市級衛生應急物資儲備目錄和衛生應急基本裝備目錄。

三、完善預案體系，建立動態修訂機制

根據衛生應急工作有關法律法規要求和省、市應急預案，進一步完善和修訂各類應急預案。健全各類突發公共衛生事件應對處置程序、操作規范和技術方案，做到依法規范、科學有序、快速有效處置各類突發公共衛生事件。加強對基層衛生應急工作的指導，建立應急預案動態修訂機制，完善對預案的動態管理。

四、規范監測預警，提高報告質量和水平

進一步規范我市突發公共衛生事件的預測、預報和預警機制，完善監測預警系統。進一步完善市、縣（區）、鄉（鎮、街道）突發公共衛生事件相關信息報告網絡。認真貫徹落實《全國突發公共衛生事件相關信息報告管理工作規范（試行）》，依法規范突發公共衛生事件信息報告工作，提高報告質量和水平。

各縣（區）衛生行政部門要加強疾病預防控制、衛生監督和醫療機構間突發公共衛生事件信息報告的協調管理，加強信息的核實、審查和管理工作。

五、加大統籌協調，完善部門合作機制

要充分發揮公共衛生工作委員會的職責，進一步提高統籌協調能力，進一步完善與有關部門的合作機制。與教育部門加強學校突發公共衛生事件的預防處置合作機制；與農林部門加強禽流感、豬鏈球菌病等人畜共患病的防控工作機制；與檢疫、交通、民航等部門加強交通檢疫工作機制；認真做好市委、市政府交辦的和其他部門要求協辦的各項工作。

六、突出工作重點，做好突發事件應急處置

重點抓好霍亂、傳染性非典型肺炎、人感染高致病性禽流感等嚴重威脅公共安全的重大突發公共衛生事件的防范和應對。加快實驗室應急快速檢測能力建設，做好救災防病和中毒、放射事故等事件的緊急醫學救援工作。健全不明原因疾病暴發流行的處置機制，規范不明原因肺炎的排查，切實提高不明原因疾病等突發公共衛生事件的監測和應對能力，有效應對各種突發公共衛生事件。加強對突發公共衛生事件應急處置和救災防病工作的總結評估。

七、開展網絡直報，加強實驗室能力建設

開展醫療衛生機構實驗室病原學監測結果網絡直報工作。進一步健全市、縣（區）兩級應急檢測實驗室網絡體系，切實加強對重點傳染病、不明原因疾病、中毒、輻射等突發公共衛生事件的實驗室快速檢驗和檢測能力。

八、啟動應急指揮系統、推進衛生應急信息化建設

根據省衛生廳的統一部署，啟動全市衛生應急指揮信息系統建設。完善突發公共衛生事件醫療救助信息系統、衛生監督執法系統建設。通過對醫療服務信息系統及居民健康數據的動態采集，建立起疾病預警監測信息系統。逐步推進縣（區）應急指揮信息系統的試點工作，形成全市聯網，全面推進衛生應急信息化建設。

九、加強指導，提高基層衛生應急工作

根據省政府《關于加強農村公共衛生工作的實施意見》的精神，加強對基層公共衛生工作的指導，制定適合基層的突發公共衛生應急工作規范，依托社區公共衛生聯絡員和責任醫生，提高基層對突發公共衛生事件苗頭的發現、報告和處置能力。

信息系統應急演練總結范文第5篇

關鍵詞：農信社；科技風險；監管

近期，鶴崗銀監分局對轄內農村信用社基層社信息科技風險管理工作進行了調研，分析了其現階段存在的問題，并結合監督工作實際，提出了相關建議。

1 轄內農村信用社信息科技工作基本情況

截至2016年上半年，鶴崗市轄內有3家農村信用合作聯社共計48個網點，其中基層社、分理處、儲蓄所共45個，信息科技專職員工10人，占全轄農村信用社員工總人數的0.97%。3家農村信用合作聯社外包服務由省農村信用社統一負責，未獨立開展信息科技外包服務。轄內各聯社均建立了信息安全責任制度和信息安全應急預案。指定了主管領導和管理機構，明確了職責分工，統一安裝了計算機安全軟件，未發生過因違反制度規定造成的信息安全事故。各聯社均建立了嚴格的網絡安全技術防護，所有重要信息系統均與互聯網建立物理隔離，各個信息系統均建立了嚴格的身份認證、訪問控制。由于實行數據大集中，重要信息系統服務器多集中在省聯社，應急處置與容災備份都在省聯社層面進行。

2 轄內農村信用社信息科技工作存在的主要問題

2.1 治理機制不完善，科技風險管控工作建設流于表面化。轄內農信社雖然在制度上能建立相應的“三道防線”，并且建立了組織領導框架及信息科技安全管理責任制度，但科技風險管控工作建設流于表面化，在制度上尚未將信息安全納入全面風險管理體系中，信息安全管理部門未履行好管理職責，沒有部門和人員承擔信息科技審計職能。各聯社雖制訂了詳細的應急預案，但未定期開展專門的信息安全應急演練。

2.2 基礎設施落后，機房建設不規范。各聯社均不同程度存在機房建設不達標問題，特別是基層社由于建設時間較早，在這方面的問題反映比較突出：一是供電系統存在隱患。轄內基層社基本都是單路供電，一旦出現停電，無法及時實現電路切換，長時間停電容易造成中心機房系統服務中斷。個別基層社甚至沒有配備發電機，只用UPS電池做為后備電源。二是機房空調系統、防火系統和防雷系統建設檢測不達標。部分基層社、分理處的機房沒有安裝空調，無法對其室內溫度進行監控、控制。并且沒有漏水報警裝置，沒有防鼠害的相關措施；個別機房的防火、防雷系統多年未經檢測，嚴重威脅機房安全。三是監控錄像保存時間短且存有死角。個別機構的機房監控錄像保存時間僅為30天，與《商業銀行數據中心監管指引》關于監測錄像不低于3個月的規定差距較大。

2.3 應急管理不到位，應急預案不完善。一是開展應急演練的主動性不強。農信社各基層社均未開展全方位的應急演練，機構業務部門參與應急演練的意識不強，相關部門工作職責沒有明確。二是應急預案不完善。個別信用社的應急預案雖然在形式上比較完整，各項要素較為齊全，但組織體系混亂，職責分工模糊，處置環節煩瑣，突發性災難事件難以得到高效處置。個別機構應急預案沒有制定業務恢復優先級列表，與重要外部機構的聯絡溝通機制不暢通，應急預案更新不及時。

2.4 科技人員缺少業務基礎知識。無論是業務系統研發需求，還是日常使用中對系統缺陷的發現、提出，科技和業務部門都必須密切配合。但目前農村中小金融機構科技人員受缺少銀行業務知識等因素制約，只局限于硬件維護，對系統運行缺少動態跟蹤檢測，對業務部門反映的系統漏洞不能及時就地解決，基本就是負責上報，由此經常造成業務中斷。

3 轄內農村信用社基層社現有科技風險原因分析

3.1 對信息科技風險認識不到位。長期以來，高管層更多關注的是能對效益產生直接影響的信用風險和市場風險，對信息科技風險普遍重視不夠。分管科技的機構高管大多都不是科技專業出身，缺少完整、系統的信息科技風險的概念和相關專業知識。沒有明確的中長期信息科技發展規劃，對信息科技建設模式、標準等缺乏總體安排和長遠考慮，對業務拓展、增值服務、經營決策等難以提供有效支持。

3.2 信息科技人員少，崗位設置不合理。基層社科技人員嚴重缺乏，基本都是綜合崗兼職，無論是數量還是質量，科技人員都難以達到風險防范的需求。由于沒有專業科技人員，大部分基層社都達不到不兼容崗位規定和重要信息系統“雙人制”要求。此外，風控部門和審計部門也缺少信息科技領域的復合型人才，大部分機構的信息科技審計人員沒有信息科技審計工作經歷，也沒有IT從業經驗，無法確保內審部門有效開展信息科技內部審計工作。

3.3 軟硬件建設資金投入不足。信息科技資金投入歷年來占總投入比例較低，網點、產品、市場又在快速擴張，導致信息科技基礎設施出現“小牛拉大車”的現象，固有風險不斷擴大。雖然高管層從支撐業務發展的角度出發已認識到該問題，已經實施了信息科技規劃，但投入資金需要經過復雜審批，進程較為緩慢。

4 推進農村信用社基層網點科技風險防范工作的建議

4.1 提高信息科技治理工作。轄內基層社領導層需要進一步提高全面風險管理意識，強化對信息科技風險工作的研究和推進，需要信息科技支撐的各項業務，要形成清晰的管理和發展戰略。要強化信息科技合規建設，市級、縣級聯社要把信息科技合規管理納入到合規管理框架之中，充分發揮技術部門安全檢查、風險部門風險監控、審計部門適時監督的“三道防線”約束作用，形成完備的監測和糾錯體系。同時，風險、內審部門要積極介入相關規劃制定工作，增進對信息科技風險的了解和掌握，提高規劃的完整性、操作性和有效性。

4.2 加強信息科技基礎設施管理建設。基層社應切實加強機房、核心路由、交換機、服務器等重要IT基礎設施的建設及管理，采取有效措施防范信息科技風險。一是加大科技資金投入。按照國家關于計算機機房管理規定，加快實現機房的物理分區和相關輔助設施的建設；加強機房電力改造進程，保證核心設備和重要信息系統為雙路供電，且來自于不同組UPS設備，確保機房的正常運行。二是加大檢查力度，建立有效的日常監控預警機制。應定期組織開展針對機房基礎設施的安全檢查，及時發現并排查風險隱患。