课件：信息系统操作风险防范

正确性、各类应急资源的有效性和各类应
急处理人员的适应性的重要方法。通过应
急演练，可以熟悉应急流程并验证各类应
急条件的准备情况。
•
应急演练的基本要求
• 一、应急演练应选择对业务影响最小的时 间进行，明确应急演练所涉及的范围；
• 二、各级中心对各类应急事件应至少每年 在生产系统进行一次应急演练；在生产运
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 第X条 有下列行为之一的，给予有关责任 人开除处分：
• 一、故意破坏计算机系统及关键配套设施 的；
• 二、在系统维护过程中，故意预留后门、 漏洞，设置非法程序的；
• 三、利用系统漏洞，恶意攻击计算机信息 系统的；
• 四、通过生产系统擅自修改业务数据，窃 取本社资金或达到其他非法目的的；
信息系统风险防范
信息系统风险防范是指避免 各种非故意的错误与损坏，防止计算 机系统及数据被非法利用或破坏，保 证计算机会计信息系统正常运行。
操作风险的四大因素
• 1、人员因素 • 2、流程因素 • 3、系统因素 • 4、外部因素
一、风险的种类
• 1、网络安全风险 • 2、硬件风险 • 3、舞弊风险 • 4、内部控制风险 • 5、业务操作风险
占比％
37.9 29.5 7.3
31.9 25.6 16.5
11.9 11.1 11
1、网络安全的防范
• 1、在信息系统中严禁使用U盘等存储介质 设备
• 2、内外网物理隔离 • 3、使用硬件放火墙
拓扑图
2、硬件风险的防范
县级
县级备份路由器 县级拨号备份路由器
图例 E1网点接入 拨号备份 AR46
1.按风险种类
Backdoor.Trojan
905
W32.Spybot.Worm
705
W32.Imaut.AS
174
2.按地区
汉中
762
渭南
613
西安
395
3.按计算机 wn_dl-鲁安_3455052 ea195635c83446e（西安 蓝田） WN_DL_宏全_3455052
285 265 262
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 第九条 有下列行为之一的，给予有关责任 人记大过至开除处分：
• 一、泄露计算机系统有关配置参数的； • 二、擅自编制、使用、修改业务应用程序
和系统参数的；
• 三、擅自修改业务数据、统计信息或泄漏 上述机密资料的；
• 四、违反规定擅自开启、关闭计算机系统、 设备或开启、关闭某项重要服务进程，造 成重大事故或经营风险的；
应急准备
• 应急管理的职能部门应建立应急体系， 内容包括：人员、设备、软件、数据等资 源的准备和详细的《应急操作手册》。
• 应急条件的准备 一、关键资源的备份 二、重要技术岗位的备份 三、应根据《应急操作手册》定期组织
人员培训，确保各类应急资料处于可用状 态并便于查阅。
应急演练
•
应急演练是验证《应急操作手册》的
AR28
PSTN网
营业网点
网点接入路由器
营业网点
陕西信合三级骨干网络结构图
硬件风险的防范
• 1、建立灾备数据库（长安） • 2、建立备件库 • 3、安全的网络工作环境 • 4、高可靠的电源质量 • 5、健全的管理制度
3、舞弊的风险
• 1、复核制度 • 2、抹帐审批授权 • 3、大额授权
4、内部控制风险的防范
• 四、未按要求配置前台服务器终端连接数 量的；
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 七、一人单独执行系统维护操作的； • 八、进入系统的操作人员未使用本人真实
姓名的柜员号、口令执行操作的；
• 九、系统内同一操作员拥有不同类别柜员 号两个及以上的；将自己柜员号交与他人 操作系统的；
信息系统操作风险防范
王军奇 2014年4月 陕西·眉县
摘要
信息技术的发展推动了商业银行服务质量和服 务效率的提高，但接踵而至的是风险的明显增加。 除市场风险和信用风险以外，信息系统操作风险 已成为商业银行最为重要的风险之一。操作风险 是指由不完善或有问题的内部程序、人员及系统 或外部事件所造成的风险，包括业务操作、业务 中断和系统失败以及执行、交割和流程管理等内 容。
2、硬件风险
• 硬件损坏风险。在发生火灾、地震等不可 抗力的灾害或硬盘发生故障时，数据的丢 失是不可逆的，即使能够通过专业的公司 进行数据恢复，其花费也是巨大的，一旦 数据不可恢复，将给信用社带来不可估量 的损失 。
3、舞弊风险
• 信用社会计人员、管理人员及其他可以直 接接触会计信息系统的人员出于利益关系 而篡改会计数据，从而导致会计信息失真， 很多人不注意密码的设置，常常使用诸如 “1 2 3 4 5”等简易的初使化的口令来登陆系 统，一旦被别有用心的人发现，就会为他 人恶意篡改数据提供了可能。临潼联社案 件已为大家敲响 了警钟。
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 六、私自卸载或屏蔽计算机安全软件； • 七、应用非法软件或非法操作，对生产系
统造成损害的； • 八、利用工作之便，非法窃取客户资料的； • 九、利用计算机设备和网络系统制造、传
播计算机病毒； • 十、涉密岗位管理人员未执行保密规定，
泄漏信息系统秘密信息的； • 十一、违反其他规定造成较大损失的。
陕西省农村合作金融机构信息系统安全运行管理 处罚办法
• 第X条 系统运行管理有下列情形之一的， 视情节轻重，给予责任人X-Y元罚款。
• 一、未经批准，擅自变更或调整系统参数、 配置信息的；
• 二、未经批准，擅自泄露系统配置信息及 数据的；
• 三、在综合业务网络系统内私自使用和安 装未经省联社批准的软件的；
• 十、系统内柜员信息维护不完整的； • 十一、系统内操作、维护人员在离开所操
作设备（终端、服务器、PC机等）时，没 有退出登录用户的就离开的；
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 十四、系统管理员身份柜员未按相关规定 办理各类系统维护操作的；
• 十五、柜员违反操作规程办理交易，造成 省信息中心周期调度不能正常执行的；
应急启动、应急处理
• 应急处理过程的基本要求 • 一、应急处理工作必须由中心负责人到场
指挥；负责人无法及时到场时，应指定人 员现场指挥并尽快开展工作；应急牵头部 门负责组织和协调各项应急处理工作。 • 二、参与应急处理的各部门要服从统一指 挥，全力配合做好各项应急处理工作，必 要时由牵头部门及时联系设备或技术服务 供应商尽快赶赴现场工作。 • 三、应急管理的牵头部门应组织有关科技
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 八、未按规定操作或操作中有重大失误， 造成损失的；
• 九、未按规定做好设备维护管理、应急预 案处置、系统故障上报，造成停业运行重 大事故的；
• 十、系统管理和操作人员离岗时不按规定 退出系统的；
• 十一、未按规定定期更换密钥、口令、密 码的；
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
• 第十条 有下列行为之一的，给予有关责任 人警告至记大过处分：
• 一、操作人员未实行一人一码，相互借用， 共用密码的；
• 二、操作人员岗位变动后，不及时更改操 作权限的；
• 三、系统管理员和操作员超权、越权操作 的；
• 四、丢失或未经审批私自将本社计算机软 件或重要文档资料据为已有、复印或转借
1、网络安全风险
• 计算机病毒引起的风险。在计算机使用过 程中，病毒是无法规避的，小的病毒可能 只会影响个别用户的计算机无法正常使用， 但严重的会影响服务器的正常运行，甚至 导致信息系统崩溃和整个局域网的瘫痪， 其危害后果的严重性不容忽视。
• 黑客恶意攻击导致数据被窃取或篡改引起 的风险。信息技术的日新月异，许多“黑 客”通攻击互联网上的服务器来展示自己 的计算机水平，获满足感，而信息系统承
管理混乱，重要资料严重缺矢的； • 十九、机房值班人员擅自离岗或不按规定时间和要求监测、监视或监控的信
息系统运行状态的 • 二十、违反机房管理相关规定，操作他人管理的设备，在机房内吸烟、吃喝、
聊天，携带易燃、易爆、物品进入机房，擅自允许无关人员特别是外来人员 进入机房重地的； • 二十一、机房工作人员对机房存在的隐患及设备故障未及时报告，未及时协 调解决、处理的； • 二十二、违反其他规定造成一定损失的。
• 十二、未按规定上报和处理操作故障的
陕西省农村合作金融机构信息系统安全运行管理处罚办法
• 十六、违反操作系统、数据库、应用系统操作与维护管理规程的； • 十七、违反规定在生产用机上进行与业务无关的操作，或安装、使用未经批
准使用的软件的； • 十八、违反档案管理规定，未按规定登记管理操作日志，系统日常运行文档
• 十六、各类接入综合业务网络系统的征信、 反洗钱等业务所使用PC机未安装正版防病 毒及病毒库更新的；
• 十七、接入综合业务网络系统的各类设备 没有与互联网络断开连接的；
• 十八、机房区域未加装安全装置，进出机 房未实行登记制度且记录资料不齐全的；
陕西省农村合作金融机构信息系统安全运行管理处罚办 法
4、内部控制风险
• 传统手工会计信息处理的一条重要原则就 是职务分享，职权不相容，这使会计进行 核算和监督有了操作的高度集中，许多 岗位可以合并，会计工作人员大大减少， 从而使这一些不相容的职务无法分享，降 低了会计人员之间相互牵制的效力。另外， 系统管理人员范围及职能扩大，滥用会计 信息系统的“反记账”、“反结账”功能，
5、业务操作风险
• 计算机环境下数据录入主要还是由会计人 员操作因此存在着篡改输入的风险主要表 现为虚构业务数据修改业务数据删除业务 数据等等；其次计算机终究是由人来操作 的对于计算机的输出结果可以利用人为因 素进行修改即修改计算机操作程序。
二、信息系统风险防
治的措施
• 1、网络安全的防范
名称
占比％
• 1、不同岗位使用不同角色 • 2、岗位不相容 • 3、ID+IC
5、业务操作风险的防范
• 银行办理业务或内部管理出了差错 。 • 1、认真严肃的工作态度 • 2、谨慎的工作作风 • 3、完善的内部管理制度
信息系统应急管理
• 信息系统应急管理是对信息系统应急准备、 应急演练、应急启动、应急处理、应急恢 复和总结的总称
• 第X条 其他管理方面有下列情形之一的， 视情节轻重，给予责任人X-Y元罚款。
• 一、发生重大问题在10分钟内未及时上报 的；
• 二、发生的重大问题在30分钟内不能解决， 未将处理情况及时上报的；
• 三、发生一般问题在1小时内未及时上报的； • 四、不按规定时间签退，被通报后，仍不
按时办理签退的；
应急恢复和总结
• 应急处理结束后，牵头部门必须尽快组 织恢复生产运行环境，并进行严格的检查 和验证，确保各类业务正常运行。
• 应急处理结束后，应急牵头部门应当组 织各有关部门认真总结应急事件的发生原 因、处理过程和经验教训，提出整改措施 和方案，形成《应急处理总结报告》；同 时，根据应急处理的过程对《应急操作手 册》进行补充和完善。