信息科技風險管理淺談陳文雄2009年11月1信息科技風險管理淺談陳文雄1提綱一、信息科技現(xiàn)狀二、防范信息科技風險的要點2提綱一、信息科技現(xiàn)狀21、我國銀行業(yè)電子化和信息化建設經(jīng)過二三十年的發(fā)展，取得了世界矚目的成績。同時面臨許多挑戰(zhàn)2、我國銀行業(yè)金融機構信息化水平發(fā)展很不平衡

用戶數(shù)

交易量一、信息科技現(xiàn)狀31、我國銀行業(yè)電子化和信息化建設經(jīng)過二三十年的發(fā)展，取得了世3、信息科技治理不到位

治理文化未形成、公司治理與IT治理、治理架構不全、責任不清晰、人員不足、培訓不到位4、信息科技的價值不能充分體現(xiàn)

信息資產(chǎn)與財務資產(chǎn)無標準與有標準一、信息科技現(xiàn)狀43、信息科技治理不到位一、信息科技現(xiàn)狀4一、信息科技現(xiàn)狀5、信息科技風險的定位不清楚或不恰當。信息科技風險與總體風險的關系過于間接，在新巴塞爾協(xié)議中，把信息科技風險定位為操作風險的一部分，實際上，與其他風險相比，信息科技風險的影響比其他風險大得多

流動性與系統(tǒng)問題水能載舟也能覆舟6、信息技術是萬能的處理能力強記憶無限場所無限智能與弱智電梯運行5一、信息科技現(xiàn)狀5、信息科技風險的定位不清楚或不恰當。信息科7、信息安全面臨挑戰(zhàn)

一是銀行業(yè)金融機構之間的差異性大，用一個標準衡量，既不利于大銀行的信息安全保障，也不利于小機構的發(fā)展；二是我國銀行業(yè)開放參與國際合作，面臨來自資本市場、會計準則和信息披露要求等方面的嚴峻挑戰(zhàn)；三是公眾意識淡?。凰氖前踩珳y評不到位;五是金融危機影響IT的投入，外包方有變數(shù)；六是新資本協(xié)議的實施對系統(tǒng)產(chǎn)生的新要求;七是混業(yè)經(jīng)營帶來新的管理壓力。一、信息科技現(xiàn)狀67、信息安全面臨挑戰(zhàn)

一是銀行業(yè)金融機構之間的一、信息科技現(xiàn)狀8

、業(yè)務處理同質(zhì)化

87年股市黑色星期一

多家機構共用同一服務商9、信息科技只定為支持服務

只關注業(yè)務的需求不關注決策7一、信息科技現(xiàn)狀8、業(yè)務處理同質(zhì)化710、內(nèi)控目標不合理

合規(guī)不是內(nèi)控最終目標

“要我做變我要做”

過度崇拜認證和形式主義不用信息科技防范整體風險一、信息科技現(xiàn)狀810、內(nèi)控目標不合理一、信息科技現(xiàn)狀8一、信息科技現(xiàn)狀11、信息科技工作的實際情況“說起來很重要、做起來急著要、排起隊來次要、出了問題什么都不要”信息科技管理是“一把手”工程信息科技風險管理靠“事件推動”好了傷疤忘了痛信息科技風險管理本身“燈下黑”信息科技工作評價標準重建輕管對事件零容忍100與60分9一、信息科技現(xiàn)狀11、信息科技工作的實際情況9二、防范信息科技風險的要點1、定位

信息科技是支柱

風險防范還處于初級階段治理是關鍵2、講特色，要以“我”為主、與文化交融

特色是提高風險管控能力和發(fā)展業(yè)務的根本。應多元化地開展信息科技風險管理工作手機短信一卡通3、建立中國特色的治理文化

解決西方文化與東方文化的融合

10二、防范信息科技風險的要點1、定位104、憂患

IT事件頻發(fā)

911數(shù)據(jù)保護與責任

外部因素影響

電源、通信、軟硬件、人員網(wǎng)絡威脅信息泄露美國電網(wǎng)5、價值觀念

風險與價值的關系

地震滑坡樓房坍塌

鮮明的時段特色

常態(tài)化

安全目標與投入同城備份和異地備份（效率與概率）

二、防范信息科技風險的要點114、憂患二、防范信息科技風險的要點116、用“三貼近”轉(zhuǎn)變IT價值

貼近領導戰(zhàn)略一致、決策支持提高話語權貼近業(yè)務率先分析研究技術應用的發(fā)展引領業(yè)務體現(xiàn)生產(chǎn)力的作用貼近最終用戶以高水準的服務提高認同感用服務水平承諾來明確服務內(nèi)容

變無目標、無標準為有目標和標

準化二、防范信息科技風險的要點126、用“三貼近”轉(zhuǎn)變IT價值二、防范信息科技風險的要點127、全員參與信息安全人人有責（木桶原理）

安全要有明確的目標，達到目標要有相應的投入信息安全的要求需要人人了解和遵守，全員要在安全和便利中找到折中點安全責任的單一化會造成應負責任旁落業(yè)務需求不足或不準確會引發(fā)業(yè)務系統(tǒng)重大事故和系統(tǒng)可擴展性差

系統(tǒng)開發(fā)和更新的反復

奧運票務二、防范信息科技風險的要點137、全員參與二、防范信息科技風險的要點13緊急變更對系統(tǒng)穩(wěn)定性影響重大

地震捐款規(guī)劃

業(yè)務發(fā)展規(guī)劃輿情會無限擴大信息系統(tǒng)故障的危害

應對輿情要發(fā)揮大家的力量社會責任二、防范信息科技風險的要點14緊急變更對系統(tǒng)穩(wěn)定性影響重大二、防范信息科技風險的要點1終端用戶的安全意識淡薄對知識產(chǎn)權、計算機網(wǎng)絡的安全會產(chǎn)生嚴重影響

自主產(chǎn)權保護隨意安裝屏幕保護口令

共享資料共享管理帳戶（信任、責任與保護）

客戶等敏感信息的保護業(yè)務連續(xù)性與應急

業(yè)務連續(xù)性的要求知曉度新應急要求(按影響的人數(shù))擺脫就技術論技術人工服務（帳篷銀行、吹的價值）橫向的聯(lián)系和合作風險的識別、計量、監(jiān)測和控制(可知與可控)二、防范信息科技風險的要點15終端用戶的安全意識淡薄對知識產(chǎn)權、計算機網(wǎng)絡的安全會產(chǎn)生嚴重謝謝！16謝謝！16演講完畢，謝謝觀看！演講完畢，謝謝觀看！信息科技風險管理淺談陳文雄2009年11月18信息科技風險管理淺談陳文雄1提綱一、信息科技現(xiàn)狀二、防范信息科技風險的要點19提綱一、信息科技現(xiàn)狀21、我國銀行業(yè)電子化和信息化建設經(jīng)過二三十年的發(fā)展，取得了世界矚目的成績。同時面臨許多挑戰(zhàn)2、我國銀行業(yè)金融機構信息化水平發(fā)展很不平衡

用戶數(shù)

交易量一、信息科技現(xiàn)狀201、我國銀行業(yè)電子化和信息化建設經(jīng)過二三十年的發(fā)展，取得了世3、信息科技治理不到位

治理文化未形成、公司治理與IT治理、治理架構不全、責任不清晰、人員不足、培訓不到位4、信息科技的價值不能充分體現(xiàn)

信息資產(chǎn)與財務資產(chǎn)無標準與有標準一、信息科技現(xiàn)狀213、信息科技治理不到位一、信息科技現(xiàn)狀4一、信息科技現(xiàn)狀5、信息科技風險的定位不清楚或不恰當。信息科技風險與總體風險的關系過于間接，在新巴塞爾協(xié)議中，把信息科技風險定位為操作風險的一部分，實際上，與其他風險相比，信息科技風險的影響比其他風險大得多

流動性與系統(tǒng)問題水能載舟也能覆舟6、信息技術是萬能的處理能力強記憶無限場所無限智能與弱智電梯運行22一、信息科技現(xiàn)狀5、信息科技風險的定位不清楚或不恰當。信息科7、信息安全面臨挑戰(zhàn)

一是銀行業(yè)金融機構之間的差異性大，用一個標準衡量，既不利于大銀行的信息安全保障，也不利于小機構的發(fā)展；二是我國銀行業(yè)開放參與國際合作，面臨來自資本市場、會計準則和信息披露要求等方面的嚴峻挑戰(zhàn)；三是公眾意識淡?。凰氖前踩珳y評不到位;五是金融危機影響IT的投入，外包方有變數(shù)；六是新資本協(xié)議的實施對系統(tǒng)產(chǎn)生的新要求;七是混業(yè)經(jīng)營帶來新的管理壓力。一、信息科技現(xiàn)狀237、信息安全面臨挑戰(zhàn)

一是銀行業(yè)金融機構之間的一、信息科技現(xiàn)狀8

、業(yè)務處理同質(zhì)化

87年股市黑色星期一

多家機構共用同一服務商9、信息科技只定為支持服務

只關注業(yè)務的需求不關注決策24一、信息科技現(xiàn)狀8、業(yè)務處理同質(zhì)化710、內(nèi)控目標不合理

合規(guī)不是內(nèi)控最終目標

“要我做變我要做”

過度崇拜認證和形式主義不用信息科技防范整體風險一、信息科技現(xiàn)狀2510、內(nèi)控目標不合理一、信息科技現(xiàn)狀8一、信息科技現(xiàn)狀11、信息科技工作的實際情況“說起來很重要、做起來急著要、排起隊來次要、出了問題什么都不要”信息科技管理是“一把手”工程信息科技風險管理靠“事件推動”好了傷疤忘了痛信息科技風險管理本身“燈下黑”信息科技工作評價標準重建輕管對事件零容忍100與60分26一、信息科技現(xiàn)狀11、信息科技工作的實際情況9二、防范信息科技風險的要點1、定位

信息科技是支柱

風險防范還處于初級階段治理是關鍵2、講特色，要以“我”為主、與文化交融

特色是提高風險管控能力和發(fā)展業(yè)務的根本。應多元化地開展信息科技風險管理工作手機短信一卡通3、建立中國特色的治理文化

解決西方文化與東方文化的融合

27二、防范信息科技風險的要點1、定位104、憂患

IT事件頻發(fā)

911數(shù)據(jù)保護與責任

外部因素影響

電源、通信、軟硬件、人員網(wǎng)絡威脅信息泄露美國電網(wǎng)5、價值觀念

風險與價值的關系

地震滑坡樓房坍塌

鮮明的時段特色

常態(tài)化

安全目標與投入同城備份和異地備份（效率與概率）

二、防范信息科技風險的要點284、憂患二、防范信息科技風險的要點116、用“三貼近”轉(zhuǎn)變IT價值

貼近領導戰(zhàn)略一致、決策支持提高話語權貼近業(yè)務率先分析研究技術應用的發(fā)展引領業(yè)務體現(xiàn)生產(chǎn)力的作用貼近最終用戶以高水準的服務提高認同感用服務水平承諾來明確服務內(nèi)容

變無目標、無標準為有目標和標

準化二、防范信息科技風險的要點296、用“三貼近”轉(zhuǎn)變IT價值二、防范信息科技風險的要點127、全員參與信息安全人人有責（木桶原理）

安全要有明確的目標，達到目標要有相應的投入信息安全的要求需要人人了解和遵守，全員要在安全和便利中找到折中點安全責任的單一化會造成應負責任旁落業(yè)務需求不足或不準確會引發(fā)業(yè)務系統(tǒng)重大事故和系統(tǒng)可擴展性差

系統(tǒng)開發(fā)和更新的反復

奧運票務二、防范信息科技風險的要點307、全員參與二、防范信息科技風險的要點13緊急變更對系統(tǒng)穩(wěn)定性影響重大

地震捐款規(guī)劃

業(yè)務發(fā)展規(guī)劃輿情會無限擴大信息系統(tǒng)故障的危害

應對輿情要發(fā)揮大家的力量社會責任二、防范信息科技風險的要點31緊急變更對系統(tǒng)穩(wěn)定性影響重大二、防范信息科技風險的要點1終端用戶的安全意識淡薄對知識產(chǎn)權、計算機網(wǎng)絡的安全會產(chǎn)生嚴重影響

自主產(chǎn)權保護隨意安裝屏幕