中國(guó)銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)評(píng)價(jià)審計(jì)培訓(xùn)–技術(shù)風(fēng)險(xiǎn)管理案例研究目標(biāo)介紹如何在信息科技風(fēng)險(xiǎn)監(jiān)管中，將科技風(fēng)險(xiǎn)管理知識(shí)應(yīng)用于實(shí)踐在個(gè)案內(nèi)辦認(rèn)出有關(guān)科技風(fēng)險(xiǎn)管控的問題，并提供適合的解決方案厘清有關(guān)科技風(fēng)險(xiǎn)管理的疑問案例分析ABCBank-

背景信息一家內(nèi)地注冊(cè)的銀行，總行位于北京，全國(guó)擁有160家分行；總資產(chǎn)：15億元人民幣員工總數(shù)：3,000人

(信息科技部門員工60人)截至2005年12月，信息科技部門總支出占全行支出

的8%；提供各類銀行和金融服務(wù)：

零售銀行(包括：存款、銀行卡、住房按揭貸款、證券買賣等)商業(yè)和投資銀行業(yè)務(wù)(包括：貿(mào)易金融、現(xiàn)金管理、信托服務(wù)等)與IT有關(guān)的委員會(huì)機(jī)構(gòu)信息科技安全評(píng)估委員會(huì)（ITSecurityReviewCommittee）負(fù)責(zé)評(píng)估和監(jiān)測(cè)信息安全措施、標(biāo)準(zhǔn)、規(guī)程的制定、實(shí)施和管理；自動(dòng)化委員會(huì)（AutomationCommittee）負(fù)責(zé)管理銀行辦公場(chǎng)所的辦公自動(dòng)化工作；特別籌備建立項(xiàng)目管理委員會(huì)（ProjectSteeringCommittees）負(fù)責(zé)信息科技項(xiàng)目的管理和監(jiān)督；但是：沒有設(shè)立信息科技督導(dǎo)委員會(huì)（ITSteeringCommittee）負(fù)責(zé)總體管理銀行的各項(xiàng)信息科技戰(zhàn)略和政策；沒有設(shè)立科技風(fēng)險(xiǎn)管理部門沒有正式成文的信息科技內(nèi)部控制政策和制度信息科技部門設(shè)置信息安全監(jiān)督員系統(tǒng)開發(fā)經(jīng)理信息科技部主任系統(tǒng)操作經(jīng)理技術(shù)支援經(jīng)理系統(tǒng)編程數(shù)據(jù)輸入系統(tǒng)操作監(jiān)督員/操作員應(yīng)用程式開發(fā)

檔案管理

職位

崗位職責(zé)

系統(tǒng)操作經(jīng)理 -數(shù)據(jù)中心操作運(yùn)行（包括：信息處理和數(shù)據(jù)輸入）系統(tǒng)開發(fā)經(jīng)理 -應(yīng)用系統(tǒng)開發(fā)及修改技術(shù)支援經(jīng)理

-計(jì)算機(jī)網(wǎng)絡(luò)，設(shè)備監(jiān)測(cè)，維護(hù)升級(jí)信息安全監(jiān)督員 -數(shù)據(jù)和網(wǎng)絡(luò)安全，監(jiān)測(cè)和評(píng)估信息系統(tǒng)三種主要系統(tǒng):大型機(jī)主機(jī)系統(tǒng)–主要銀行系統(tǒng)小型機(jī)AS/400系統(tǒng)

–信用卡業(yè)務(wù)系統(tǒng)Windows操作平臺(tái)(98SE,NT,2000,XP)辦公電腦–辦公自動(dòng)化應(yīng)用(如：文字處理、電子表格等)面談資料及結(jié)果信息科技部主任“所有的信息科技有關(guān)規(guī)定和流程都已經(jīng)建立，信息科技部人員都能夠有效地執(zhí)行規(guī)定。信息科技部人員經(jīng)驗(yàn)豐富，專業(yè)背景強(qiáng)，能夠充分滿足需求部門的要求?！?/p>

但是：發(fā)現(xiàn)其它部門總是抱怨，信息科技部更改銀行系統(tǒng)增加新功能需要花費(fèi)很長(zhǎng)時(shí)間（至少5—6月）。人力資源部門負(fù)責(zé)人也發(fā)現(xiàn)信息科技部人員的流動(dòng)率高于其他部門，存在許多職位空缺（當(dāng)時(shí)達(dá)到20個(gè)）.評(píng)估結(jié)果（續(xù)）系統(tǒng)操作經(jīng)理“進(jìn)出數(shù)據(jù)中心受到嚴(yán)格管理，只有系統(tǒng)操作部門和開發(fā)部門的員工具有進(jìn)出數(shù)據(jù)中心的權(quán)限；進(jìn)出數(shù)據(jù)中心必須使用出入卡.數(shù)據(jù)中心安裝有監(jiān)控?cái)z像設(shè)備用于監(jiān)測(cè)”

但是，檢查人員發(fā)現(xiàn)：數(shù)據(jù)中心的出入許可名單上仍包括一名6個(gè)月前已辭職的系統(tǒng)操作員的名字；沒有啟動(dòng)監(jiān)控?cái)z像設(shè)備以及物理訪問系統(tǒng)的登錄、記錄功能。評(píng)估結(jié)果（續(xù)）系統(tǒng)操作監(jiān)督員“對(duì)大多數(shù)重要的系統(tǒng)操作制定有操作規(guī)程；在實(shí)施補(bǔ)丁和變更之前對(duì)重要的系統(tǒng)設(shè)置進(jìn)行備份。所有的計(jì)算機(jī)操作人員都知道如何處理變更事項(xiàng)，所以詳細(xì)的備份和變更管理規(guī)程是不需要的；每日都對(duì)關(guān)鍵系統(tǒng)制有備份磁帶。因?yàn)閭浞荽艓в傻谌娇爝f公司負(fù)責(zé)從數(shù)據(jù)中心到備份地的安全運(yùn)送，因此不需要對(duì)備份磁帶中的數(shù)據(jù)進(jìn)行加密；根據(jù)數(shù)據(jù)中心操作手冊(cè)的規(guī)定，對(duì)主要系統(tǒng)的容量評(píng)估每月均進(jìn)行一次，中心的員工是富有經(jīng)驗(yàn)的信息科技專業(yè)人員，因此不需要再制定正式的評(píng)估指引；評(píng)估結(jié)果（續(xù)）系統(tǒng)開發(fā)經(jīng)理“我們的工作組是負(fù)責(zé)采購(gòu)、開發(fā)以及修改銀行的系統(tǒng)。我們嚴(yán)格按照規(guī)范的“系統(tǒng)開發(fā)流程”開發(fā)系統(tǒng)。正因如此，我們覺得不需要針對(duì)這個(gè)流程制定任何正式的書面文件。對(duì)于變更控制有一個(gè)非常簡(jiǎn)略的書面規(guī)程，但其中沒有必要包括緊急變更的操作規(guī)程，因?yàn)檫@種變更極少會(huì)發(fā)生。為了加快系統(tǒng)的投產(chǎn)，我們?cè)陧?xiàng)目開發(fā)過程中，并不會(huì)就系統(tǒng)安全的要求征詢信息安全監(jiān)督員。為了保證擁有全方位的測(cè)試案例，全部采用生產(chǎn)數(shù)據(jù)進(jìn)行新系統(tǒng)的用戶接受性（Useracceptance）測(cè)試”。評(píng)估結(jié)果（續(xù)）技術(shù)支援經(jīng)理“我的工作組負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、系統(tǒng)軟件等等。我自己負(fù)責(zé)在操作系統(tǒng)、系統(tǒng)軟件上（Systemlevel）的保安管理(例如，為信息科技部人員設(shè)定系統(tǒng)用戶名)。由于我以前是信息安全監(jiān)督員，所以我現(xiàn)在還負(fù)責(zé)銀行業(yè)務(wù)人員在銀行系統(tǒng)（corebankingsystem)中用戶名的保安管理。因?yàn)榫W(wǎng)絡(luò)的設(shè)計(jì)完善，網(wǎng)絡(luò)很穩(wěn)定，我們不需要定期監(jiān)控網(wǎng)絡(luò)功能。由于人員短缺，沒有開展對(duì)網(wǎng)絡(luò)設(shè)備日?；顒?dòng)審計(jì)記錄的定期檢查。評(píng)估結(jié)果（續(xù)）信息安全監(jiān)督員信息安全的政策和程序都已制定。

所有用戶需要輸入用戶名和密碼來登錄銀行的系統(tǒng)，密碼至少要求3位字符。信息安全的政策明確規(guī)定對(duì)所有銀行保密數(shù)據(jù)的數(shù)據(jù)要加密。定期檢查銀行系統(tǒng)的安全日志

(每月一次).”其它問題在銀行分行，柜員系統(tǒng)上使用了虛擬用戶名(DummyuserIDs，即不需要密碼登錄的用戶名

)。

系統(tǒng)操作人員共用一些系統(tǒng)用戶名稱進(jìn)行某些系統(tǒng)操作，例如“文件傳輸”(filetransfer)等。很多的技術(shù)支持人員擁有系統(tǒng)的特權(quán)用戶戶口密碼（如“管理員用戶戶口”）。信息科技人員的培訓(xùn)只根