信息科技风险监管知识讲座97页PPT

商业银行应建立信息科技风险监控和预警机制，实时监测和预警信息科技风险事件，提高 风险应对能力。
04
商业银行信息科技风险监管实践
信息科技风险现场检查要点与方法
现场检查要点
检查商业银行信息科技治理、信息系统开发、测试和维护、信息安全、业务连 续性管理等关键环节的风险控制措施是否健全、有效，并核实风险控制的实际 效果。
实施严格的信息科技风险分类管理
根据风险程度和影响范围，对信息科技风险进行分类，并采取相应的 控制措施。
建立信息科技风险报告机制
及时向上级监管部门报告信息科技风险情况，以便及时采取应对措施。
强化内部审计和外部监管
通过内部审计和外部监管机构对商业银行信息科技风险进行监督和评 估，确保各项控制措施的有效实施。
强化信息科技基础设施建设
提高信息系统的安全性、稳定性和可靠性 ，包括加强网络安全、数据加密、身份认 证等方面的建设。
定期进行信息科技风险评估
提高员工的信息科技风险意识
及时发现和解决存在的风险隐患，并针对 不同风险制定相应的防范措施。
通过培训、宣传等方式，增强员工对信息 科技风险的认知和防范意识。
信息科技风险的控制手段
识别信息科技风险的工具
系统安全风险、数据安全风险、业务 连续性风险、人员操作风险等。
风险矩阵、风险热图、风险清单等。
信息科技风险的识别
通过内部审计、外部监管、风险评估 等多种方式，对商业银行的信息科技 风险进行全面识别和评估。
02
商业银行信息科技风险管理
信息科技风险管理的概念与原则
总结词
信息科技风险管理的概念与原则概述
03
商业银行信息科技风险监管政策 与法规
国际信息科技风险监管政策与法规

攻击
….
….
银监会信息科技监管历程
2006 2007 2008
2009
2010
•发布ቤተ መጻሕፍቲ ባይዱ息科技风险管理指引
•开展信息科技风险内部和外 部评价审计
•开展信息科技风险奥运专项自查
•发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》
• 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
自2006年8月发布《银行业金融机构信息系统风险管理指引》开始， 银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，
监管工作逐步走向规范化。
银监会开展的主要工作
制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示
安全性：
保证数据的保密性、完整性、可用性，通俗地说就是 数据“不能丢”。
所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
连续性事件案例
案例1：2008年11月上旬，某大型银行某省分行在供电部门预先通 知停电的情况下，因发电机故障、主机存储控制卡损坏等原因， 造成全省业务无法正常运营达7小时15分钟。
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5
小时
2006
2008
某银行核心系统 故障全国中断营
业4小时
2010
屡次发生的网络安 全事件：
2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos
攻击 2009年底某行成都 分行发生网银客户

二、信息科技风险监管目标与手段
信息科技风险监管目标
具 体
宏 观目标层次
降低信息系统连续性和 安全性风险程度到可接受范围
保障信息系统连续性和安全性
保护银行信息资产（信息系统、数据） 保护存款人利益
维护社会稳定
信息科技风险监管目标
连续性：
即业务连续性，保证信息系统稳定、持续地提供服务， 通俗地说就是系统“不能断”。
信息科技风险监管知识讲座
2010 年 8 月
Copyright by CHENYL
主要内容
一、信息科技风险监管概况 二、信息科技风险监管目标和手段 三、主要监管制度介绍 四、信息科技风险监管体系简介 五、基层银行机构科技风险监管的思考
一、信息科技风险监管概况
信息科风险监管背景
•近年来，随着银行机构系统网络化、数据集中化，科技风险问题日益突出 •科技风险的特点是风险变化快、蔓延快、影响范围大
• 依据：
– 国家规范 – 银监会制度法规 – 行业标准 – 自身接受程度（投入成本<=损失成本）
比较当前信息科技风险程度和最低信息科技风险程度
基本概念
风险评估
信息安全风险评估
资产识别
威胁识别
脆弱性识别
已有安全措施确认
人员
病毒
病情
人员健康查体检
预防措施
风险管理实施流程图
风险评估准备
资产识别
信息科技风险监管目标
安全性事件案例
案例2：某行市分行发生一起内部员工违规利用网银动 用客户资金的案件。2008年10月份，支行客户部网银 操作员及复核员在为客户办理网银业务时发现操作IC 卡已经过期，遂联系市分行网银管理员黄某办理换卡 事宜，并告知其操作密码。黄某利用自己作为管理员 保管“管理证书”之便，进入系统，修改了某对公客 户的网银证书和密码，再通过集团理财帐户实行网银 转帐，动用客户帐户上233.7万元用于炒权证。

信息科技风险监管讲座
16、自己选择的路、跪着也要把它走 完。 17、一有成就 ，以后 才能更 辉煌。
18、敢于向黑暗宣战的人，心里必须 充满光 明。 19、学习的关键--重复。
20、懦弱的人只会裹足不前，莽撞的 人只能 引为烧 身，只 有真正 勇敢的 人才能 所向披 靡。
31、只有永远躺在泥坑里的人，才不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭，生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍，就是一下子不要学很多。——洛克

信息科技风险监管知识讲座
56、极端的法规，就是极端的不公。 ——西 塞罗 57、法律一旦成为人们的需要，人们 就不再 配享受 自由了 。—— 毕达哥 拉斯 58、法律规定的惩罚不是为了私人的 利益， 而是为 了公共 的利益 ；一部 分靠有 害的强 制，一 部分靠 榜样的 效力。 ——格 老秀斯 59、假如没有法律他们会更快乐的话 ，那么 法律作 为一件 无用之 物自己 就会消 灭。— —洛克
60、人民的幸Leabharlann 是至高无个的法。— —西塞 罗1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事，无字句处读书。——周恩来 5、阅读使人充实，会谈使人敏捷，写作使人精确。——培根

v 科技风险管控意识提高 v 科技治理架构初步建立 v 科技基础设施不断完善 v 运行维护能力不断加强 v 重视加强灾备建设及开展应急演练
商业银行信息科技风险监管讲座
银行机构信息科技风险状况
v 个别银行科技治理认识不到位 v 重眼前建设轻长远规划 v 科技治理架构未有效运行 v 应急演练开展实战性不足 v 基层银行机构科技力量薄弱
商业银行信息科技风险监管讲座
银监会拟发布制度
v 《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》
v 《商业银行首席信息官管理办法》
商业银行信息科技风险监管讲座
1、《商业银行信息科技风险管理指引》
•信息科技治理
•信息科技风险管理
•信息科技审计
商业银行信息科技风险监管讲座
基本概念
v 脆弱性
§ 可能被威胁所利用的资产或若干资产的薄弱环节。 资产的脆弱性包括物理布局、组织、规程、人事、 管理 、行政、硬件、软件或信息等的弱点。
v （出处：1、信息安全风险评估规范P3；2、信息系统安全管理 要求P54）
商业银行信息科技风险监管讲座
基本概念
v 安全措施
•已有安全措施确认
•人员
•病毒
•病情
•人员健康查体检
•预防措施
商业银行信息科技风险监管讲座
风险管理实施流程图
•风险评估准备
•资产识别
•威胁识别 •已有安全措施的确认
•风险分析
•保持已有的安全措施
•风险计算
•风险是否接受
•否
•制定风险处理计划 •并评估残余风险
•是否接受残余风险 •否
•是
•实施风险管理
•…•…