信息科技风险监管讲座

月发布《 自2006年8月发布《银行业金融机构信息系统风险管理指引》开始， 年 月发布 银行业金融机构信息系统风险管理指引》开始， 银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施， 银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施， 监管工作逐步走向规范化。 监管工作逐步走向规范化。
基本概念
资产价值
资产的重要程度或敏感程度的表征。资产价值是资 产的属性，也是进行资产识别的主要内容。
（出处：1、信息安全风险评估规范 ） 出处： 、信息安全风险评估规范P1）
基本概念
威胁
可能导致对系统或组织危害的不希望事故的潜在 起因。 威胁的分类可按照造成威胁的因素分为人为因素 威胁和环境因素威胁，按照威胁的表现形式可以 分为软硬件故障、物理环境影响、无作为或操作 失误、管理不倒位、恶意代码、越权或滥用、网 络攻击、物理攻击、泄密、篡改、抵赖等。
监管部门
制度标准制定 非现场监管和现场检查 准入审核及机构评级
• 荷兰央行：银行执照、人员任免、计提资本、罚款
组织协调、促进资源共享
三、主要监管制度介绍
主要监管制度介绍
1 《商业银行信息科技风险管理指引》 商业银行信息科技风险管理指引》 2 《 行 重 信 系 投 与 更 理 法 银 业 要 息 统 产 变 管 办 》 3 《 业 行 据 心 管 引 商 银 数 中 监 指 》 4 《 行 重 信 系 突 事 应 管 规 （ 行 》 银 业 要 息 统 发 件 急 理 范 试 ） 5 《 行 金 机 信 系 安 保 问 方 》 银 业 融 构 息 统 全 障 责 案 6 《 行 金 机 信 科 非 场 管 表 银 业 融 构 息 技 现 监 报 》 7 《 业 行 息 技 险 场 查 南 商 银 信 科 风 现 检 指 》 2009年 月 3 2009年 月 12 2010年 月 4 2008年 月 4 2008年 月 7 2009年 月 12 2009年 月 9
具体手段
信息科技风险管理/监管手段
银行机构
保护系统连续性和安全性的具体手段：
• 基础设施建设（机房、网络、主机）
–灾备中心 –双机热备 –双运营上线路
• 信息安全防护体系
–防火墙、IPS –桌面管理系统
• 日常系统运行监控 • 项目开发、外包过程管理 • 应急管理（应急预案、应急保障、应急演练）
信息科技风险管理/监管手段
信息科技风险监管目标
如何判断是否达到目标？
信息科技风险（包括连续性和安全性风险）的计量 判断信息科技风险程度是否在可接受范围
基本概念
资产
对组织具有价值的信息或资源，是安全策略保护的对象。主要 对组织具有价值的信息或资源，是安全策略保护的对象。 包括： 包括： ——支持设施（例如建筑、供电、供水、空调等） 支持设施（ 支持设施 例如建筑、供电、供水、空调等） ——硬件资产（例如计算机设备、路由交换机、交换机 硬件资产（ 硬件资产 例如计算机设备、路由交换机、 等） ——信息资产（例如数据库和数据文档、系统文件、用 信息资产（ 信息资产 例如数据库和数据文档、系统文件、 户手册、培训资料、操作和支持程序等） 户手册、培训资料、操作和支持程序等） ——软件资产（例如应用软件、系统软件、开发工具和 软件资产（ 软件资产 例如应用软件、系统软件、 使用程序等） 使用程序等） ——生产能力或服务能力 ——人员 ——无形资产（例如信誉、形象等） 无形资产（例如信誉、形象等） ——其他 （参照：1、信息安全风险评估规范 ；2、信息系统安全管理要求 参照： 、信息安全风险评估规范P1； 、 P53） ）
源自文库
基本概念
风险的计量 人为或自然的威胁利用信息系统及其管理体系中存在的脆 弱性导致安全事件的发生及其对组织造成的影响。 风险值=R(A,T,V)=R(安全事件可能性,安全事件造成的损失) A——资产 T——威胁 V——脆弱性 安全事件的可能性 = L（T，V）= L（威胁出现频率，脆弱 性） 安全事件造成的损失 = F（Ia，Va）=（资产价值，脆弱性 严重程度）
保护存款人利益
维护社会稳定
信息科技风险监管目标
连续性：
即业务连续性，保证信息系统稳定、持续地提供服务， 通俗地说就是系统“不能断”。
安全性：
保证数据的保密性、完整性、可用性，通俗地说就是 数据“不能丢”。
所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
连续性事件案例
某银行核心系统 故障全国中断营 业4小时
2006
2008
2010
…. ….
银监会信息科技监管历程
2006 2007 2008 2009 2010
•发布信息科技风险管理指引 发布信息科技风险管理指引 •开展信息科技风险内部和外 部评价审计 •开展信息科技风险奥运专项自查 •发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》 • 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
信息科技风险监管目标
安全性事件案例
案例4： 案例 ：近期，某银行机构发现不法分子根据互联网上下载的“特 征码识别程序”自行编写密码猜解软件，通过锁定某一固定密码 反复轮训帐号的方式，对多家银行网银系统发起暴力猜测攻击， 最终非法获取两家银行数百个客户的网银帐号、查询密码等信息。 案例5： 案例 ：近期，某银行机构发现不法分子根据互联网上下载的“特 征码识别程序”自行编写密码猜解软件，通过锁定某一固定密码 反复轮训帐号的方式，对多家银行网银系统发起暴力猜测攻击， 最终非法获取两家银行数百个客户的网银帐号。 案例6 案例 ：某行借记卡被通过手机银行猜解密码，涉及1007张借记 卡。
比较当前信息科技风险程度和最低信息科技风险程度
基本概念
风险评估
信息安全风险评估
资产识别 威胁识别 脆弱性识别 已有安全措施确认
人员
病毒
病情
预防措施
人员健康查体检
风险管理实施流程图
风险评估准备 资产识别 威胁识别 已有安全措施的确认 评估过程文档 风险计算 评估过程文档 脆弱性识别
风险分析
保持已有的安全措施
银监会开展的主要工作
制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示
银行机构信息科技风险状况
科技风险管控意识提高 科技治理架构初步建立 科技基础设施不断完善 运行维护能力不断加强 重视加强灾备建设及开展应急演练
银行机构信息科技风险状况
个别银行科技治理认识不到位 重眼前建设轻长远规划 科技治理架构未有效运行 应急演练开展实战性不足 基层银行机构科技力量薄弱
二、信息科技风险监管目标与手段
信息科技风险监管目标
降低信息系统连续性和 安全性风险程度到可接受范围
保障信息系统连续性和安全性
保护银行信息资产（信息系统、数据）
（出处：1、信息安全风险评估规范 、P9） 出处： 、信息安全风险评估规范P2、 ）
基本概念
脆弱性
可能被威胁所利用的资产或若干资产的薄弱环节。 资产的脆弱性包括物理布局、组织、规程、人事、 管理 、行政、硬件、软件或信息等的弱点。
（出处：1、信息安全风险评估规范P3；2、信息系统安全管理 要求P54）
信息科技风险监管知识讲座
2010 年 8 月
Copyright by CHENYL
主要内容
一、信息科技风险监管概况 二、信息科技风险监管目标和手段 三、主要监管制度介绍 四、信息科技风险监管体系简介
五、基层银行机构科技风险监管的思考
一、信息科技风险监管概况
信息科风险监管背景
•近年来，随着银行机构系统网络化、数据集中化，科技风险问题日益突出 近年来，随着银行机构系统网络化、数据集中化， 近年来 •科技风险的特点是风险变化快、蔓延快、影响范围大 科技风险的特点是风险变化快、蔓延快、
屡次发生的网络安 全事件： 2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos 攻击 2009年底某行成都 分行发生网银客户 资金被盗事件 2008年奥运开幕式 某国有银行网络遭 攻击
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5 小时
信息科技风险监管目标
安全性事件案例
案例1： 案例 ：2008年12月31日至2009年1月4日，某银行成都分行发生一 起网上银行客户资金被盗案件，涉及被盗帐号12个，总金额12万 元。犯罪嫌疑人通过本人及雇用他人在银行办理借记卡并开通个 人网银业务，以合法身份进入该银行大众版网银系统，然后利用 网络下载的黑客软件对该银行大众版网银系统进行攻击和破译， 发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转 出卡号、转入帐号客户隶属关系进行校验，而且主机系统对网银 服务端上传的个别交易数据验证不充分的程序逻辑缺陷，通过模 拟浏览器与服务端通讯的方式，非法截取并篡改交易数据，盗取 他人资金。
银监会拟发布制度
《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》 《商业银行首席信息官管理办法》
1、《商业银行信息科技风险管理指引》 商业银行信息科技风险管理指引》
风险是否接受
……
否
制定风险处理计划 并评估残余风险
是否接受残余风险
是
否
评估过程文档
风险评估文档记录
实施风险管理
信息科技风险管理/监管手段
银行机构
治理层面
• 明确董事会职责、成立信息科技风险管理委员会 • 建立科技风险三道防线（科技、风险、审计部门） • 制定全行信息科技风险管理战略规划
管理层面
• 科技部门 • 风险部门 • 审计部门
案例1： 案例 ：2008年11月上旬，某大型银行某省分行在供电部门预先通 知停电的情况下，因发电机故障、主机存储控制卡损坏等原因， 造成全省业务无法正常运营达7小时15分钟。 案例2： 案例 ：2009年12月21日，某行网上银行系统发生一起因DDOS攻击 引发的系统故障，经内外部专家诊断为外部分布式攻击。攻击来 自互联网多个地方和多台机器，持续时间500分钟。故障刚发生阶 段的现象表现为网银客户登录网银主页面缓慢或超时无法访问。 监控系统显示网上银行主页服务器系统资源压力迅速增大，进程 达到系统最大进程数，超过日常监控进程数四倍。 案例3 案例3：2010年2月3日某全国性银行核心业务系统数据库故障导致 全国柜面等各项业务中断近四小时。 案例4 案例4：2007年12月16日11：05至13：57，某分行综合前置机系统 出现故障，造成全辖15个网点对外营业中断近三个小时。
信息科技风险监管目标
安全性事件案例
案例2：某行市分行发生一起内部员工违规利用网银动 用客户资金的案件。 2008 年 10 月份，支行客户部网银 操作员及复核员在为客户办理网银业务时发现操作 IC 卡已经过期，遂联系市分行网银管理员黄某办理换卡 事宜，并告知其操作密码。黄某利用自己作为管理员 保管“管理证书”之便，进入系统，修改了某对公客 户的网银证书和密码，再通过集团理财帐户实行网银 转帐，动用客户帐户上233.7万元用于炒权证。 案例3：某行柜员在为客户办理购买基金手续过程中,利 用电脑终端画面可以屏幕打印功能,没有进行实际交易, 套打基金交易凭证交予客户, 将客户资金转入其控制的 账户.涉案金额85万元。电脑终端可随意进行屏幕打印, 存在明显缺陷,使作案人有机可乘
风险计量原理图
威胁识别
威胁出现的频率 安全事件的可能性
脆弱性识别
脆弱性的严重程度 安全事件造成的损失
风险值
资产识别
资产价值
信息科技风险要素关系图
信息科技风险监管目标
如何判断信息科技风险程度是否在可接受范围？
计量当前信息科技风险程度 计量最低信息科技风险程度
• 依据：
– – – – 国家规范 银监会制度法规 行业标准 自身接受程度（投入成本<=损失成本）
基本概念
安全措施
保护资产、抵御威胁、减少脆弱性、降低 安全事件的影响，以及打击信息犯罪而实 施的各种实践、规程和机制。
（出处：1、信息安全风险评估规范 ） 出处： 、信息安全风险评估规范P2）
基本概念
剩余风险
采取了安全措施后，信息系统仍然可能存在的风 险。
（出处：1、信息安全风险评估规范 ） 出处： 、信息安全风险评估规范3）