1、Copyright by CHENYL,信息科技風(fēng)險監(jiān)管知識講座,2010 年 8 月,主要內(nèi)容,一、信息科技風(fēng)險監(jiān)管概況,二、信息科技風(fēng)險監(jiān)管目標和手段,三、主要監(jiān)管制度介紹,四、信息科技風(fēng)險監(jiān)管體系簡介,五、基層銀行機構(gòu)科技風(fēng)險監(jiān)管的思考,一、信息科技風(fēng)險監(jiān)管概況,信息科風(fēng)險監(jiān)管背景,某銀行核心系統(tǒng)故障全國中斷營業(yè)4小時,某行海南分行供電中斷導(dǎo)致停業(yè)7.5小時,2006年銀聯(lián)跨行交易全面中斷8小時,屢次發(fā)生的網(wǎng)絡(luò)安全事件： 2010年 初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊 2009年底我省某行網(wǎng)銀系統(tǒng)遭受DDos攻擊 2009年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件 2008年奧運開幕式某國有銀行網(wǎng)

2、絡(luò)遭攻擊 . .,2006,2008,2010,近年來，隨著銀行機構(gòu)系統(tǒng)網(wǎng)絡(luò)化、數(shù)據(jù)集中化，科技風(fēng)險問題日益突出 科技風(fēng)險的特點是風(fēng)險變化快、蔓延快、影響范圍大,銀監(jiān)會信息科技監(jiān)管歷程,2006,2007,2008,2009,2010,發(fā)布信息科技風(fēng)險管理指引,開展信息科技風(fēng)險內(nèi)部和外部評價審計,開展信息科技風(fēng)險奧運專項自查,發(fā)布新的商業(yè)銀行信息科技風(fēng)險管理指引 銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法,部署信息科技風(fēng)險非現(xiàn)場系統(tǒng) 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引,自2006年8月發(fā)布銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引開始， 銀監(jiān)會正式對銀行科技風(fēng)險進行監(jiān)管，近年來推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)

3、范化。,銀監(jiān)會開展的主要工作,制定一系列制度和標準 持續(xù)開展信息科技風(fēng)險監(jiān)管培訓(xùn) 組織開展信息科技風(fēng)險現(xiàn)場檢查 推動實施信息科技非現(xiàn)場監(jiān)管 組織開展重要時點信息科技自查整改 及時發(fā)布各類信息科技風(fēng)險提示,銀行機構(gòu)信息科技風(fēng)險狀況,科技風(fēng)險管控意識提高 科技治理架構(gòu)初步建立 科技基礎(chǔ)設(shè)施不斷完善 運行維護能力不斷加強 重視加強災(zāi)備建設(shè)及開展應(yīng)急演練,銀行機構(gòu)信息科技風(fēng)險狀況,個別銀行科技治理認識不到位 重眼前建設(shè)輕長遠規(guī)劃 科技治理架構(gòu)未有效運行 應(yīng)急演練開展實戰(zhàn)性不足 基層銀行機構(gòu)科技力量薄弱,二、信息科技風(fēng)險監(jiān)管目標與手段,信息科技風(fēng)險監(jiān)管目標,降低信息系統(tǒng)連續(xù)性和 安全性風(fēng)險程度到可接受范

4、圍,保障信息系統(tǒng)連續(xù)性和安全性,保護銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)）,保護存款人利益,維護社會穩(wěn)定,目標層次,宏觀,具體,信息科技風(fēng)險監(jiān)管目標,連續(xù)性： 即業(yè)務(wù)連續(xù)性，保證信息系統(tǒng)穩(wěn)定、持續(xù)地提供服務(wù)，通俗地說就是系統(tǒng)“不能斷”。 安全性： 保證數(shù)據(jù)的保密性、完整性、可用性，通俗地說就是數(shù)據(jù)“不能丟”。 所有科技風(fēng)險事件都可以歸于信息系統(tǒng)連續(xù)性或安全性出問題的事件。,信息科技風(fēng)險監(jiān)管目標,連續(xù)性事件案例 案例1：2008年11月上旬，某大型銀行某省分行在供電部門預(yù)先通知停電的情況下，因發(fā)電機故障、主機存儲控制卡損壞等原因，造成全省業(yè)務(wù)無法正常運營達7小時15分鐘。 案例2：2009年12月21日

5、，某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因DDOS攻擊引發(fā)的系統(tǒng)故障，經(jīng)內(nèi)外部專家診斷為外部分布式攻擊。攻擊來自互聯(lián)網(wǎng)多個地方和多臺機器，持續(xù)時間500分鐘。故障剛發(fā)生階段的現(xiàn)象表現(xiàn)為網(wǎng)銀客戶登錄網(wǎng)銀主頁面緩慢或超時無法訪問。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁服務(wù)器系統(tǒng)資源壓力迅速增大，進程達到系統(tǒng)最大進程數(shù)，超過日常監(jiān)控進程數(shù)四倍。 案例3：2010年2月3日某全國性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫故障導(dǎo)致全國柜面等各項業(yè)務(wù)中斷近四小時。 案例4：2007年12月16日11：05至13：57，某分行綜合前置機系統(tǒng)出現(xiàn)故障，造成全轄15個網(wǎng)點對外營業(yè)中斷近三個小時。,信息科技風(fēng)險監(jiān)管目標,安全性事件案例 案例1：2008年12

6、月31日至2009年1月4日，某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件，涉及被盜帳號12個，總金額12萬元。犯罪嫌疑人通過本人及雇用他人在銀行辦理借記卡并開通個人網(wǎng)銀業(yè)務(wù)，以合法身份進入該銀行大眾版網(wǎng)銀系統(tǒng)，然后利用網(wǎng)絡(luò)下載的黑客軟件對該銀行大眾版網(wǎng)銀系統(tǒng)進行攻擊和破譯，發(fā)現(xiàn)漏洞后作案。犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對轉(zhuǎn)出卡號、轉(zhuǎn)入帳號客戶隸屬關(guān)系進行校驗，而且主機系統(tǒng)對網(wǎng)銀服務(wù)端上傳的個別交易數(shù)據(jù)驗證不充分的程序邏輯缺陷，通過模擬瀏覽器與服務(wù)端通訊的方式，非法截取并篡改交易數(shù)據(jù)，盜取他人資金。,信息科技風(fēng)險監(jiān)管目標,安全性事件案例 案例2：某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動

7、用客戶資金的案件。2008年10月份，支行客戶部網(wǎng)銀操作員及復(fù)核員在為客戶辦理網(wǎng)銀業(yè)務(wù)時發(fā)現(xiàn)操作IC卡已經(jīng)過期，遂聯(lián)系市分行網(wǎng)銀管理員黃某辦理換卡事宜，并告知其操作密碼。黃某利用自己作為管理員保管“管理證書”之便，進入系統(tǒng)，修改了某對公客戶的網(wǎng)銀證書和密碼，再通過集團理財帳戶實行網(wǎng)銀轉(zhuǎn)帳，動用客戶帳戶上233.7萬元用于炒權(quán)證。 案例3：某行柜員在為客戶辦理購買基金手續(xù)過程中,利用電腦終端畫面可以屏幕打印功能,沒有進行實際交易,套打基金交易憑證交予客戶,將客戶資金轉(zhuǎn)入其控制的賬戶.涉案金額85萬元。電腦終端可隨意進行屏幕打印,存在明顯缺陷,使作案人有機可乘,信息科技風(fēng)險監(jiān)管目標,安全性事件案例

8、 案例4：近期，某銀行機構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的“特征碼識別程序”自行編寫密碼猜解軟件，通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號的方式，對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號、查詢密碼等信息。 案例5：近期，某銀行機構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的“特征碼識別程序”自行編寫密碼猜解軟件，通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號的方式，對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號。 案例6 ：某行借記卡被通過手機銀行猜解密碼，涉及1007張借記卡。,信息科技風(fēng)險監(jiān)管目標,如何判斷是否達到目標？ 信息科技風(fēng)險（包括連續(xù)性和安全性風(fēng)險）的

9、計量 判斷信息科技風(fēng)險程度是否在可接受范圍,基本概念,資產(chǎn) 對組織具有價值的信息或資源，是安全策略保護的對象。主要包括： 支持設(shè)施（例如建筑、供電、供水、空調(diào)等） 硬件資產(chǎn)（例如計算機設(shè)備、路由交換機、交換機等） 信息資產(chǎn)（例如數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、操作和支持程序等） 軟件資產(chǎn)（例如應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和使用程序等） 生產(chǎn)能力或服務(wù)能力 人員 無形資產(chǎn)（例如信譽、形象等） 其他 （參照：1、信息安全風(fēng)險評估規(guī)范P1；2、信息系統(tǒng)安全管理要求P53）,基本概念,資產(chǎn)價值 資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進行資產(chǎn)識別的主要內(nèi)容。 （出處：

10、1、信息安全風(fēng)險評估規(guī)范P1）,基本概念,威脅 可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故的潛在起因。 威脅的分類可按照造成威脅的因素分為人為因素威脅和環(huán)境因素威脅，按照威脅的表現(xiàn)形式可以分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不倒位、惡意代碼、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。 （出處：1、信息安全風(fēng)險評估規(guī)范P2、P9）,基本概念,脆弱性 可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點。 （出處：1、信息安全風(fēng)險評估規(guī)范P3；2、信息系統(tǒng)安全管理要求P54）,基本概念,安全措施 保護資產(chǎn)

11、、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制。 （出處：1、信息安全風(fēng)險評估規(guī)范P2）,基本概念,剩余風(fēng)險 采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。 （出處：1、信息安全風(fēng)險評估規(guī)范3）,基本概念,風(fēng)險的計量 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。 風(fēng)險值=R(A,T,V)=R(安全事件可能性,安全事件造成的損失) A資產(chǎn) T威脅 V脆弱性 安全事件的可能性 = L（T，V）= L（威脅出現(xiàn)頻率，脆弱性） 安全事件造成的損失 = F（Ia，Va）=（資產(chǎn)價值，脆弱性嚴重程度）,風(fēng)險計量原理

12、圖,威脅識別,脆弱性識別,資產(chǎn)識別,脆弱性的嚴重程度,威脅出現(xiàn)的頻率,資產(chǎn)價值,安全事件造成的損失,安全事件的可能性,風(fēng)險值,信息科技風(fēng)險要素關(guān)系圖,信息科技風(fēng)險監(jiān)管目標,如何判斷信息科技風(fēng)險程度是否在可接受范圍？ 計量當前信息科技風(fēng)險程度 計量最低信息科技風(fēng)險程度 依據(jù)： 國家規(guī)范 銀監(jiān)會制度法規(guī) 行業(yè)標準 自身接受程度（投入成本=損失成本） 比較當前信息科技風(fēng)險程度和最低信息科技風(fēng)險程度,基本概念,風(fēng)險評估,資產(chǎn)識別,威脅識別,脆弱性識別,已有安全措施確認,人員,病毒,病情,預(yù)防措施,信息安全風(fēng)險評估,人員健康查體檢,風(fēng)險管理實施流程圖,風(fēng)險評估準備,威脅識別,資產(chǎn)識別,脆弱性識別,已有安

13、全措施的確認,風(fēng)險計算,風(fēng)險是否接受,制定風(fēng)險處理計劃 并評估殘余風(fēng)險,是否接受殘余風(fēng)險,實施風(fēng)險管理,保持已有的安全措施,評估過程文檔,評估過程文檔,評估過程文檔,是,否,風(fēng)險評估文檔記錄,風(fēng)險分析,否,信息科技風(fēng)險管理/監(jiān)管手段,銀行機構(gòu) 治理層面 明確董事會職責(zé)、成立信息科技風(fēng)險管理委員會 建立科技風(fēng)險三道防線（科技、風(fēng)險、審計部門） 制定全行信息科技風(fēng)險管理戰(zhàn)略規(guī)劃 管理層面 科技部門 風(fēng)險部門 審計部門 具體手段,信息科技風(fēng)險管理/監(jiān)管手段,銀行機構(gòu) 保護系統(tǒng)連續(xù)性和安全性的具體手段： 基礎(chǔ)設(shè)施建設(shè)（機房、網(wǎng)絡(luò)、主機） 災(zāi)備中心 雙機熱備 雙運營上線路 信息安全防護體系 防火墻、IP

14、S 桌面管理系統(tǒng) 日常系統(tǒng)運行監(jiān)控 項目開發(fā)、外包過程管理 應(yīng)急管理（應(yīng)急預(yù)案、應(yīng)急保障、應(yīng)急演練）,信息科技風(fēng)險管理/監(jiān)管手段,監(jiān)管部門 制度標準制定 非現(xiàn)場監(jiān)管和現(xiàn)場檢查 準入審核及機構(gòu)評級 荷蘭央行：銀行執(zhí)照、人員任免、計提資本、罰款 組織協(xié)調(diào)、促進資源共享,三、主要監(jiān)管制度介紹,主要監(jiān)管制度介紹,銀監(jiān)會擬發(fā)布制度,銀監(jiān)會行政許可事項中信息科技核準條件的補充規(guī)定和銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法 商業(yè)銀行首席信息官管理辦法,1、商業(yè)銀行信息科技風(fēng)險管理指引,信息科技風(fēng)險管理,信息科技治理,信息科技審計,業(yè)務(wù)持續(xù)性管理,信息安全管理,信息科技運行,項目開發(fā)、 測試,外包管理,主

15、要概念： 信息科技風(fēng)險 是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽風(fēng)險。 商業(yè)銀行信息科技風(fēng)險管理指引第四條 信息科技風(fēng)險與操作風(fēng)險的關(guān)系莆田網(wǎng)銀案件 信息科技風(fēng)險管理的目標 是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。 商業(yè)銀行信息科技風(fēng)險管理指引第五條 三道防線 信息科技風(fēng)險管理的關(guān)鍵是要建立三道防線，第一道防線是指信息科技管理，需要全員參與，主要職責(zé)落在科技部門，第二道防線是風(fēng)險管理，即從風(fēng)險的角度如何防范

16、，職責(zé)落在風(fēng)險部門，第三道防線是審計監(jiān)督，即內(nèi)審和外審，職責(zé)落在審計部門，三道防線相互作用，形成立體防護網(wǎng)。,1、商業(yè)銀行信息科技風(fēng)險管理指引,要點： 信息科技治理 明確商業(yè)銀行董事會職責(zé) 要求設(shè)立首席信息官，明確了首席信息官職責(zé) 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險管理、信息科技審計的責(zé)任部門和職責(zé)內(nèi)容 風(fēng)險管理部門職責(zé)： 將科技風(fēng)險納入總體風(fēng)險管理體系 負責(zé)制定信息科技風(fēng)險管理策略 負責(zé)持續(xù)開展信息科技風(fēng)險識別、監(jiān)測、計量、評估 根據(jù)風(fēng)險評估結(jié)果制定風(fēng)險防范措施 審計部門職責(zé)： 組織開展內(nèi)部和外部審計 要求配備具有專業(yè)能力的信息科技審計人員獨立開展審計 至少每三年開展一次全面審

17、計,1、商業(yè)銀行信息科技風(fēng)險管理指引,要點： 業(yè)務(wù)連續(xù)性管理 制定業(yè)務(wù)連續(xù)性規(guī)劃，確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)。 業(yè)務(wù)影響分析：人員、系統(tǒng)或其他資產(chǎn)的故障或缺失，信息丟失、戰(zhàn)爭、臺風(fēng)、地震 采取雙機熱備、制定應(yīng)急計劃、購買商業(yè)保險,1、商業(yè)銀行信息科技風(fēng)險管理指引,要點： 項目開發(fā)、測試管理 開發(fā)環(huán)境和生產(chǎn)環(huán)境物理隔離 禁止開發(fā)和維護人員隨意進入生產(chǎn)系統(tǒng) 組織開展系統(tǒng)上線后評價 外包管理 重要外包報告 外包風(fēng)險評估 服務(wù)水平協(xié)議 安全保密要求（包含敏感客戶信息） 應(yīng)急措施,1、商業(yè)銀行信息科技風(fēng)險管理指引,要點： 系統(tǒng)運行管理 制定詳細的運行操作說明 系統(tǒng)運行監(jiān)控 容

18、量規(guī)劃 變更管理 事件管理 信息安全管理 安全策略（物理安全、人員安全、訪問控制、數(shù)據(jù)加密等） 活動日志保存（交易日志、系統(tǒng)日志）,1、商業(yè)銀行信息科技風(fēng)險管理指引,2、銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）,作用： 規(guī)范并促進了銀行業(yè)金融機構(gòu)做好重要信息系統(tǒng)突發(fā)事件應(yīng)急管理，提高對突發(fā)事件的綜合管理能力和應(yīng)急處置能力。 主要概念 重要信息系統(tǒng)：指支撐銀行業(yè)金融機構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) 要點： 明確定義了董事會及高管層、風(fēng)險管理部門、信息科技管理部門和業(yè)務(wù)管理部門在突發(fā)事件中的職責(zé)要求，明確了應(yīng)急領(lǐng)導(dǎo)

19、小組、應(yīng)急執(zhí)行小組、應(yīng)急保障小組的職責(zé)分工 對突發(fā)事件進行分級定義，將突發(fā)事件按照影響范圍和持續(xù)時間分為特別重大突發(fā)事件（兩個以上省業(yè)務(wù)中斷超過3小時或一個省超過6小時）、重大突發(fā)事件（兩個以上省業(yè)務(wù)中斷半小時或一個省超3小時）、交大突發(fā)事件（一個省業(yè)務(wù)中斷超半小時）三個級別,2、銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）,要點： 要求銀行機構(gòu)建立信息科技風(fēng)險防范體系，制定信息系統(tǒng)RTO（最短恢復(fù)時間目標）、RPO（最近恢復(fù)點目標）指標,2、銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）,正常處理,初始響應(yīng),激活,恢復(fù)流程,積壓業(yè)務(wù),正常處理,最近備份,備份,備份,恢復(fù)結(jié)束,目標恢復(fù)點,事

20、件,在成功恢復(fù)之前， 數(shù)據(jù)可能會遺失、 損壞、或無法獲取,目標恢復(fù)階段（RTO）,處理間隙：位于損 壞點與恢復(fù)正常處理 之間的滯后時間段,災(zāi)難聲明,2、銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）,要點： 對信息科技風(fēng)險識別、評估、監(jiān)測、預(yù)警的各個環(huán)節(jié)提出了具體要求 對銀行機構(gòu)制定應(yīng)急預(yù)案、開展應(yīng)急演練、應(yīng)急響應(yīng)及報告機制、日常應(yīng)急保障等應(yīng)急管理內(nèi)容提出了具體要求。 重要突發(fā)事件發(fā)生后60分鐘內(nèi)將情況報監(jiān)管部門、12小時內(nèi)提交正式報告、一級事件每兩小時報告進展,3、銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法,概念 重要信息系統(tǒng)：指支撐銀行業(yè)金融機構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和

21、組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) 投產(chǎn)和變更內(nèi)容：支撐重要信息系統(tǒng)運行的機房、網(wǎng)絡(luò)設(shè)施投產(chǎn)、機房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。 要點 加強和規(guī)范銀行機構(gòu)信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過程造成業(yè)務(wù)中斷或數(shù)據(jù)丟失情況 重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向監(jiān)管部門報告，實施后1個月內(nèi)提交投產(chǎn)或變更情況報告,4、商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引,概念 數(shù)據(jù)中心：生產(chǎn)中心和災(zāi)備中心 災(zāi)備中心：商業(yè)銀行為保障業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、聽短或癱瘓后，能夠接替生產(chǎn)中心運行，具備專用場所、進行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運行

22、的組織。 同城災(zāi)備中心：同一地理區(qū)域，一般距離數(shù)十公里，可防火災(zāi)、建筑物破壞、電力或通信中斷 異地災(zāi)備中心：不同地理區(qū)域、距離數(shù)百公里以上，不會同是面臨地震、臺風(fēng)、洪水等同類災(zāi)難風(fēng)險。 要求： 總資產(chǎn)1千億元人民幣且跨省經(jīng)營的法人銀行及省級農(nóng)信社要建立異地災(zāi)備中心，災(zāi)難恢復(fù)等級達到5級以上，其他法人銀行應(yīng)設(shè)立同城災(zāi)備中心并實現(xiàn)數(shù)據(jù)異地備份，災(zāi)難恢復(fù)等級達到4級以上。 正式運營前至少20個工作日向監(jiān)管部門報告，變更數(shù)據(jù)中心場所要提前2月報告 對數(shù)據(jù)中心選址、基本配置提出明確要求 災(zāi)難恢復(fù)等級達到5級 災(zāi)難恢復(fù)等級達到5級：數(shù)據(jù)實施備份，4級：數(shù)據(jù)定期備份,4、商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引,災(zāi)難恢復(fù)等

23、級達到4級：電子傳輸及完整設(shè)備支持，數(shù)據(jù)定期備份 災(zāi)難恢復(fù)等級達到5級：實時數(shù)據(jù)傳輸及完整設(shè)備支持，數(shù)據(jù)實施備份 災(zāi)難恢復(fù)等級達到5級：數(shù)據(jù)零丟失和遠程集群支持。,5、銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案,要點 要求法人銀行機構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書，明確高管人員對信息系統(tǒng)安全保障的管理責(zé)任 對管理失職造成不良后果的，追究責(zé)任,6、銀行業(yè)金融機構(gòu)信息科技非現(xiàn)場監(jiān)管報表,要點： 明確信息科技風(fēng)險部門為報送責(zé)任部門 包括1份年度報告、14張年度報表、6張季度報表、7張實時報表,7、商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南,要點 明確了商業(yè)銀行目前主要的信息科技風(fēng)險領(lǐng)域、主要風(fēng)險點，闡明了檢查思路和主

24、要方法，幫助檢查人員明確檢查目標，從而提高信息科技風(fēng)險現(xiàn)場檢查的有效性和針對性，提升現(xiàn)場檢查質(zhì)量。 提供評價銀行信息科技風(fēng)險管理各領(lǐng)域狀況的參考標準，并提出了具體的檢查要求和步驟，進一步規(guī)范了信息科技風(fēng)險現(xiàn)場檢查的程序、手段和行為，是銀監(jiān)會及各級派出機構(gòu)實施現(xiàn)場檢查工作的一個重要參考依據(jù)和檢查指導(dǎo)工具。 指明商業(yè)銀行信息科技風(fēng)險防控的重點領(lǐng)域、方向和關(guān)鍵風(fēng)險點，提出了風(fēng)險識別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒指南內(nèi)的信息科技風(fēng)險防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實踐中，成為指導(dǎo)銀行全面開展科技風(fēng)險防控、提升管理能力的有力武器。,四、信息科技風(fēng)險監(jiān)管架構(gòu),信息科技風(fēng)險監(jiān)管

25、體系,信息科技風(fēng)險 監(jiān)管年度計劃,數(shù)據(jù)采集 與審核,信息科技風(fēng)險 分析與評估,信息科技風(fēng)險 現(xiàn)場檢查,信息科技 風(fēng)險監(jiān)測,風(fēng)險提示、 預(yù)警 及應(yīng)急處理,年度信息科技 監(jiān)管評級,年度信息科技 監(jiān)管報告,體系概述總體框架,固有風(fēng)險 - 控制有效性 = 剩余風(fēng)險,固有風(fēng)險指標,控制有效性指標,信息科技綜合風(fēng)險水平,信息科技風(fēng)險評估指標,固有風(fēng)險水平,控制有效性,風(fēng)險評估流程方法,體系概述剩余風(fēng)險綜合分析矩陣,體系概述基礎(chǔ)定義,體系基礎(chǔ)定義： 【固有風(fēng)險】是指在不考慮內(nèi)部控制結(jié)構(gòu)的前提下，由于內(nèi)部因素和客觀環(huán)境的影響，經(jīng)營運作可能發(fā)生重大錯誤的風(fēng)險。 【信息科技固有風(fēng)險】是固有風(fēng)險的重要組成部分，特指

26、機構(gòu)在運用信息技術(shù)的運用過程中所面對的固有風(fēng)險。信息科技固有風(fēng)險可以通過獲取相關(guān)信息進行衡量和評價，其識別與評估是一個全面信息收集與綜合分析研判的過程。 【控制有效性】是指機構(gòu)所采用的信息科技風(fēng)險控制措施的設(shè)計與執(zhí)行效果滿足監(jiān)管機構(gòu)和信息科技風(fēng)險管理要求的程度。 【風(fēng)險評估】是通過對信息科技風(fēng)險種類、風(fēng)險程度和風(fēng)險發(fā)展趨勢進行識別分析，對信息科技的風(fēng)險狀況、風(fēng)險管理的充分性以及外部風(fēng)險因素的影響做出判斷，并在此基礎(chǔ)上對機構(gòu)的整體風(fēng)險水平做出評估。,體系概述數(shù)據(jù)關(guān)系,風(fēng)險評估指標,非現(xiàn)場監(jiān)管報表,其 他 監(jiān) 管 干 預(yù),現(xiàn)場檢查結(jié)果,監(jiān)管評級,現(xiàn)場檢查,結(jié)果,結(jié)果,結(jié)果,指標體系固有風(fēng)險指標,重

27、要信息系統(tǒng),數(shù)據(jù)中心運行 與災(zāi)備,信息科技項目,信息科技 服務(wù)外包,系統(tǒng)恢復(fù)及 數(shù)據(jù)保護,監(jiān)管關(guān)注度,信息科技 固有風(fēng)險指標,指標體系固有風(fēng)險指標,重要信息系統(tǒng),核心業(yè)務(wù)系統(tǒng)替換后影響未消除，導(dǎo)致業(yè)務(wù)無法正常運行。 重要信息系統(tǒng)重大變動影響業(yè)務(wù)正常運行。 重要信息系統(tǒng)復(fù)雜程度高，存在安全性和完整性問題。 關(guān)鍵信息系統(tǒng)缺乏穩(wěn)定性以致影響業(yè)務(wù)正常運行。,指標體系固有風(fēng)險指標,數(shù)據(jù)中心運行 與災(zāi)備,數(shù)據(jù)中心的重大變動對信息科技正常運行產(chǎn)生不利影響。 數(shù)據(jù)中心與災(zāi)備中心（場所）地理位置分布對機構(gòu)應(yīng)對災(zāi)難產(chǎn)生不利影響。 公共基礎(chǔ)設(shè)施（電力、電信、交通、機房建筑等）服務(wù)中斷、異常，對機構(gòu)業(yè)務(wù)持續(xù)運行產(chǎn)生不

28、利影響。,指標體系固有風(fēng)險指標,系統(tǒng)恢復(fù)及 數(shù)據(jù)保護,除負責(zé)本機構(gòu)系統(tǒng)恢復(fù)外，機構(gòu)還提供對外部機構(gòu)共享本機構(gòu)系統(tǒng)恢復(fù)設(shè)施的服務(wù)。本機構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響對方的系統(tǒng)恢復(fù)，增加本機構(gòu)在經(jīng)濟責(zé)任、法律及聲譽等方面的風(fēng)險。 本機構(gòu)系統(tǒng)恢復(fù)依賴于外部機構(gòu)的恢復(fù)設(shè)施，外部機構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響本機構(gòu)的系統(tǒng)恢復(fù)。 仍在使用已過時或缺乏廠商技術(shù)支持的系統(tǒng)恢復(fù)設(shè)施或技術(shù)。 生產(chǎn)數(shù)據(jù)脫離生產(chǎn)環(huán)境進入辦公環(huán)境或互聯(lián)網(wǎng)環(huán)境。例如，基于數(shù)據(jù)倉庫技術(shù)的商業(yè)智能系統(tǒng)的運用。其數(shù)據(jù)基礎(chǔ)源自生產(chǎn)數(shù)據(jù)。 外部機構(gòu)擁有或分享本機構(gòu)生產(chǎn)數(shù)據(jù)的控制權(quán)，例如：監(jiān)管要求、審計需要、外包等。,指標體系固有風(fēng)險指標,信息科技項

29、目,項目變動不可避免，若變動頻繁、隨意性大，可能導(dǎo)致項目目標無法按要求實現(xiàn)。 項目規(guī)模及復(fù)雜度難以駕馭。 項目資源不足使項目難以按時、按質(zhì)完成，進而影響業(yè)務(wù)目標的實現(xiàn)。,指標體系固有風(fēng)險指標,信息科技服務(wù)外包,外包人員變動導(dǎo)致外包服務(wù)持續(xù)性受影響，導(dǎo)致服務(wù)質(zhì)量下降、進度拖延等可能性。 過度依賴外包商，導(dǎo)致出現(xiàn)“太依賴而不能替換的外包商”。 外包商完全位于境外或。外包商性質(zhì)及提供服務(wù)的形式對機構(gòu)的可能影響。如：境外外包商，外包商采用非授權(quán)工具提供服務(wù)，外包商常駐機構(gòu)與其內(nèi)部員工共同進行現(xiàn)場作業(yè)等。,指標體系固有風(fēng)險指標,監(jiān)管關(guān)注度,規(guī)模（資產(chǎn)規(guī)模、網(wǎng)點規(guī)模、電子銀行用戶）。信息科技支持能力應(yīng)與機

30、構(gòu)規(guī)模相適應(yīng)，并在一定時期內(nèi)能夠持續(xù)滿足對網(wǎng)點規(guī)模增長的需求） 業(yè)務(wù)量。業(yè)務(wù)量是機構(gòu)信息系統(tǒng)所承載交易壓力的直接體現(xiàn)。 信息科技風(fēng)險歷史記錄。重點關(guān)注以往重大信息系統(tǒng)突發(fā)事件情況、信息科技人員涉案情況等。,指標體系控制有效性指標,信息科技治理,控制有效性 指標,信息科技風(fēng)險管理,信息系統(tǒng)開發(fā)、測試與維護,信息科技審計,災(zāi)難恢復(fù)與應(yīng)急管理,信息科技外包,信息安全（一般控制）,信息科技運行,指標體系控制有效性指標,信息科技治理,是否具有信息科技治理領(lǐng)導(dǎo)力？（或信息科技在高管層中的地位如何）？ 信息科技戰(zhàn)略能否有效支持業(yè)務(wù)目標？ 信息科技未得到足夠的財務(wù)支持？ 信息科技治理職能與責(zé)任劃分是否明確、合

31、理？ 信息科技治理執(zhí)行力如何？ 信息科技治理是否與企業(yè)治理兼容？,指標體系控制有效性指標,信息科技風(fēng)險管理,風(fēng)險容忍度？ 風(fēng)險管理流程是否完整？（應(yīng)包括：識別風(fēng)險、評估風(fēng)險、控制風(fēng)險、監(jiān)測風(fēng)險、預(yù)警風(fēng)險） 風(fēng)險管理是否有效運作？主要體現(xiàn)在風(fēng)險根源分析機制持續(xù)運作？ 信息科技風(fēng)險管理與業(yè)務(wù)風(fēng)險管理的關(guān)系是否理順？ 風(fēng)險控制措施是否有效覆蓋被識別的風(fēng)險點？ 是否有足夠的專業(yè)人才開展風(fēng)險管理工作？ 風(fēng)險意識持續(xù)培養(yǎng)？,指標體系控制有效性指標,信息科技審計,信息科技審計部門及人員的獨立性如何？ 信息科技審計部門與人員是否合理授權(quán)？ 信息科技審計人員的專業(yè)性如何？ 審計發(fā)現(xiàn)整改率？ 審計分支機構(gòu)覆蓋率？

32、 是否建立信息系統(tǒng)的應(yīng)用控制及審計方法？,指標體系控制有效性指標,信息系統(tǒng)開發(fā)、 測試與維護,有無項目管理組織統(tǒng)一安排、協(xié)調(diào)各類項目？ 如何保障項目質(zhì)量？ 有無項目財務(wù)管理和監(jiān)督？ 開發(fā)、測試環(huán)境的管理？ 項目的設(shè)計階段是否充分考慮了信息安全、保密、災(zāi)難恢復(fù)等需求？ 項目結(jié)束后是否進行業(yè)務(wù)價值評價和審計？,指標體系控制有效性指標,信息科技運行,運行操作崗位設(shè)置是否合理？ 事件管理如何？ 問題管理如何？ 可用性管理如何？ 容量管理如何？ 變更與維護管理如何？ 運行過程監(jiān)控如何？,指標體系控制有效性指標,災(zāi)難恢復(fù)與應(yīng)急管理,災(zāi)難恢復(fù)計劃或應(yīng)急預(yù)案的演練與更新情況？ 重要信息系統(tǒng)災(zāi)難恢復(fù)計劃覆蓋率？

33、 重要信息系統(tǒng)應(yīng)急預(yù)案覆蓋率？,指標體系控制有效性指標,外包,有無外包商資質(zhì)、服務(wù)水平的考核指標？ 如何選擇正確的外包服務(wù)商？ 如何防止外包人員接觸生產(chǎn)數(shù)據(jù)或敏感信息？ 外包合同是否經(jīng)法規(guī)或?qū)徲嫴块T審核？ 有無可迅速替換的外包商？,指標體系控制有效性指標,信息安全管理,信息資產(chǎn)普查與分級？ 跨部門協(xié)調(diào)的信息安全執(zhí)行組織 ？ 物理安全？ 物理訪問控制？ 邏輯訪問控制？ 版本管理？ 配置管理？ 日志管理？ 網(wǎng)絡(luò)管理？ 數(shù)據(jù)安全？,評估指標,定量指標74個,固有風(fēng)險： 23個 監(jiān)管關(guān)注度： 9個 控制有效性：42個,定性指標90個,固有風(fēng)險： 10個(手工2個) 控制有效性：80個(手工8個),固有

34、風(fēng)險： 33個 監(jiān)管關(guān)注度： 9個 控制有效性：122個,指標合計164個,基本思想,自動化,自動抽得指標結(jié)果、自動評分、自動匯總、自動分級,靈活性,標準化,審核標準規(guī)范化、評分規(guī)則標準化、參數(shù)標準化,得分可調(diào)整、結(jié)果可調(diào)整、參數(shù)調(diào)節(jié)因子,評估流程,非現(xiàn)場監(jiān)管報表,參數(shù)值,評估打分表示例,指標分值及意義,固有風(fēng)險,5分制，分值越高，固有風(fēng)險越高,控制有效性,監(jiān)管關(guān)注度,5分制，分值越高，關(guān)注度越高,5分制，分值越高，控制有效性越強,參數(shù)表,參數(shù)值,參數(shù)值=行業(yè)基準值參數(shù)調(diào)節(jié)因子 行業(yè)基準值：行業(yè)平均值或手工設(shè)定的經(jīng)驗值 參數(shù)調(diào)節(jié)因子：用于調(diào)整行業(yè)基準值的因子，可根據(jù)評估結(jié)果進行手動調(diào)節(jié),行業(yè)平

35、均值,1.全行業(yè) 2.按資產(chǎn)規(guī)模分三類：大、中、小，劃分標準可調(diào)整 3.按機構(gòu)類型分七類：政策性銀行、國有商業(yè)銀行及郵政儲蓄銀行、股份制商業(yè)銀行、城市商業(yè)銀行及城市信用社、省聯(lián)社及農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及農(nóng)村信用社、外資法人商業(yè)銀行,參數(shù)值,行業(yè)平均值,參數(shù)值,行業(yè)平均值,行業(yè)平均值,使用行業(yè)固定值時，調(diào)節(jié)因子通常設(shè)為1； 固有風(fēng)險指標的參數(shù)調(diào)節(jié)因子設(shè)為1.42時，平均值相當于得70分（中低上限）； 監(jiān)管關(guān)注度指標的調(diào)節(jié)因子設(shè)為1.33時，平均值相當于得75分（監(jiān)管關(guān)注度調(diào)節(jié)因子1.1下限）； 控制有效的指標的調(diào)節(jié)因子為1.42時，平均值得70分（中弱上限）。,行業(yè)平均值,參數(shù)調(diào)節(jié)因子,統(tǒng)一維護，生效后才能評分,固有風(fēng)險評分流程,指標評分,關(guān)鍵風(fēng)險因素評分,子領(lǐng)域評分,關(guān)鍵風(fēng)險因素得分=(指標得分/5*指標分值),子領(lǐng)域得分=關(guān)鍵風(fēng)險因素得分,固有風(fēng)險評分,固有風(fēng)險得分=(子領(lǐng)域得分*子領(lǐng)域權(quán)值