银行IT风险管理体系

控制目标的产生
COBIT 4.0 ISO 17799 NIST SP 800-53 World Bank Checklist 信息系统安全等级保护
IT风险 控制目标
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 19
现有几个标准比较表
2020/4/25
PAFIRC银行IT风险管理体系
计算安全 事件的损失
计算安全事件 发生的可能性
确定风 险等级
确定风 险处理 优先级
风险分析
确定风险值
安全等级保护 差距分析
风险评价
确定风 险主题
确定风 险主题 优先级
风险值=R（A，T，V，M）= R(C(A，T，V，M)，L(T，V，M ))
确定银行 信息安全需求
分析IT风险对 操作风险 的影响
安全事 件信息
注重 IT风险管理
2020/4/25
PAFIRC银行IT风险管理体系
3
银行风险框架
IT风险管理的 必要性
IT风险管理与 IT治理
银行监管 的要求
IT
风险
银行IT风险 的类型
操作 风险
市场 风险
银行 风险
2020/4/25
PAFIRC银行IT风险管理体系
信用 风险
PAFIRC 4
银行IT风险的类型
➢银行IT风险管理的核心是对IT资产的管理，IT资产总是
等级保护 归属于一定的子系统的，风险管理要考虑成本-收益就必须
对系统进行等级划分，实施不同的程度地保护，划分考虑 资产所在子系统的等级以及资产在子系统中的等级
责任主体
➢IT资产必须进行分类管理、明确责任的同时要 划定资产的名义归属者
2020/4/25
IT环境风险
✓法律遵循性风险 ✓战略风险 ✓组织风险 ✓物理环境风险 ✓外包风险
IT运行风险
✓IT资产脆弱性风险 ✓误操作风险 ✓计算机欺诈风险 ✓信息披露风险 ✓系统中断风险
2020/4/25
银行IT风险
基于IT的金融产品 或服务风险
PAFIRC银行IT风险管理体系
PAFIRC 5
银行监管的要求
披露
Basel II和萨
监
班斯法案的
要求
控
与
咨 制定详细的风险
接受风险？
YES
审
询
处理计划
NO
风险处理
查
明确风险 处理措施
实施风险 处理措施
残余风险 处理
分析IT风险处理对 操作风险的影响
维护
监视
风险控制
事件响应
安全意识、 培训和教育
再评估 与认证
Basel II的要 求
2020/4/25
审核 申请
PAFIRC 22
wenku.baidu.com
举例：PO阶段控制目标
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 23
IT资产配置与变更流程
流程图
2020/4/25
安全保护等级 不同的IT资产有 不同的安全控制要求
PAFIRC银行IT风险管理体系
PAFIRC 24
IT资产配置与变更流程图
2020/4/25
2020/4/25
PAFIRC银行IT风险管理体系
16
国际知名金融机构IT风险管理案例
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 17
信息系统生命周期
设计与获取
交付与实施
计划与组织
系统生命周期
废弃与终止
运行与维护
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 18
•报告主题 银行IT风险管理体系
北京大学ACOM金融信息化研究中心
2020/4/25
PAFIRC银行IT风险管理体系
1
报告提纲
银行IT 风险管理背景 风险管理框架 银行IT风险管理实际应用 Q&A
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 2
911事件后 摩根银行 在几小时内 迅速恢复营业
• IT审计的法律法规环境
• 《PAFIRC银行 IT风险管理遵循性指引》：萨班斯404条款的要求， 巴塞尔协议对金融监管的要求，以及国内法规条例的符合性程度等。
2020/4/25
PAFIRC银行IT风险管理体系
27
pafirc.pku.edu/
2020/4/25
PAFIRC银行IT风险管理体系
28
❖X轴
❖Z轴
2020/4/25
PAFIRC银行IT风险管理体系
8
银行IT风险管理流程
国际标准
AS-NZS 4360 NIST
SP800-60
IT风险 管理流程
国内标准
GB 信息安全 风险评估规范
GB 信息安全等级 保护系列标准
国际知名金融机构IT风险管理案例
2020/4/25
PAFIRC银行IT风险管理体系
审核 处理
审核与批准
批准 申请
批准 处理
持续 监督
信息披露
PAFIRC银行IT风险管理体系 IT风险管理对 操作风险的影响
操作风险抵减对 银行业务的影响
萨班斯法案的要 求
10
信息系统安全等级保护调查表
2020/4/25
PAFIRC银行IT风险管理体系
11
pafirc.pku.edu
信息系统对象确立报告
2020/4/25
PAFIRC银行IT风险管理体系
6
IT风险管理的动机
信息技术的双刃性
新巴塞尔协议、 萨班斯法案以及银监会的要求
银行内控的要求
IT风险管理
2020/4/25
PAFIRC银行IT风险管理体系
7
IT风险管理的三维模型
❖Y轴
在银行信息系统生命周期各阶段， 依照IT风险管理流程，以风险控制 目标为驱动，实施IT风险管理，抵 减银行IT风险。
9
确定信息系统安全 保护等级
风险管理准备
确立风险 管理对象
制定风险 管理计划
制定风险 评估计划
检查表
输出表格
资产登记表
风险要素识别与评价
资产识别 与评价
威胁识别 与评价
脆弱性识 别与评价
已有安全 措施识别
与评价
Basel II的要求
GB信息 安全等级保护
风险权重
沟 通 与
安全事件 识别与归档
风险数据入 风险库
PAFIRC银行IT风险管理体系
PAFIRC 25
PAFIRC研究理念
➢银行IT系统具备生命周期,IT风险管理理所当然应当贯
生命周期 穿生命周期的始终，IT风险控制的目标要根据系统所
在生命周期阶段的不同,制定不同阶段的安全控制要求
过程控制
➢IT风险的管理和控制不是一劳永逸的活动，而是随着 经营环境、业务目标，企业战略等的改变相应提高控 制要求，开始新的循环。所以银行的IT风险管理活动 是持续改进的控制过程
2020/4/25
PAFIRC银行IT风险管理体系
12
pafirc.pku.edu
资产登记表
安全-责任 矩阵
2020/4/25
PAFIRC银行IT风险管理体系
13
安全-责任矩阵
2020/4/25
PAFIRC银行IT风险管理体系
14
checklist
由风险控制 目标导出
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 15
W (1,2,. .1 .1 ,)
计算各风险的权重: 应用AHP、群决策及聚类分析法
➢ 应用AHP理论，建立银行IT风险层次结构模型
➢ 应用群决策思想和AHP理论，多个专家决策群体给出各自的风险判断矩阵 ➢ 应用群决策思想、AHP理论和最短距离聚类分析法，计算专家的权值 ➢ 计算判断矩阵可信度权值 ➢ 计算各风险的权重
在分阶段制定控制目标的基础上制定系 统生命周期各阶段通用的控制目标。
Text
37个一级控制目标，212个二级控制目标； 二级控制目标分为基本要求和补充要求。
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 21
举例：通用类——安全策略
2020/4/25
PAFIRC银行IT风险管理体系
PAFIRC 20
IT风险控制目标
通用控制目标
•安全策略 •安全组织 •资产管理 •人力资源安全 •物理和环境安全 •通信及运行管理 •访问控制 •系统的获取、研发与维护 •信息安全事件管理 •业务持续性管理 •遵循性管理
Text
风 险 控 制 目 标
分阶段制定的控制目标
•PO ：计划与组织 •DA ：设计与获取 •DI ： 交付与实施 •OM：运行与维护 •DT ：废弃与终止
PAFIRC银行IT风险管理体系
26
银行IT风险管理的应用IT审计
➢ IT审计的参考标准
• 《PAFIRC银行IT风险阶段控制目标》可以作为IT审计的标准参考， 检查IT风险管理的绩效
➢ IT审计内部控制调查
• 《PAFIRC银行IT风险安全检查表》：作为基础调研工具，识别关键 风险和威胁，作为风险分析的前提也可以作为内部控制调查的依据