商业银行信息科技风险监管讲座

二、信息科技风险监管目标与手段
信息科技风险监管目标
降低信息系统连续性和 安全性风险程度到可接受范围
保障信息系统连续性和安全性
保护银行信息资产（信息系统、数据） 保护存款人利益
维护社会稳定
信息科技风险监管目标
❖连续性：
▪ 即业务连续性，保证信息系统稳定、持续地提供服务， 通俗地说就是系统“不能断”。
▪ 案例3：2010年2月3日某全国性银行核心业务系统数据库故障导 致全国柜面等各项业务中断近四小时。
▪ 案例4：2007年12月16日11：05至13：57，某分行综合前置机 系统出现故障，造成全辖15个网点对外营业中断近三个小时。
信息科技风险监管目标
❖ 安全性事件案例
▪ 案例1：2008年12月31日至2009年1月4日，某银行成都分行发生一 起网上银行客户资金被盗案件，涉及被盗帐号12个，总金额12万 元。犯罪嫌疑人通过本人及雇用他人在银行办理借记卡并开通个 人网银业务，以合法身份进入该银行大众版网银系统，然后利用 网络下载的黑客软件对该银行大众版网银系统进行攻击和破译， 发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转 出卡号、转入帐号客户隶属关系进行校验，而且主机系统对网银 服务端上传的个别交易数据验证不充分的程序逻辑缺陷，通过模 拟浏览器与服务端通讯的方式，非法截取并篡改交易数据，盗取 他人资金。
性） ▪ 安全事件造成的损失 = F（Ia，Va）=（资产价值，脆弱性
严重程度）
风险计量原理图
威胁识别 脆弱性识别 资产识别
威胁出现的频率
安全事件的可能性
脆弱性的严重程度 安全事件造成的损失
资产价值
风险值
信息科技风险要素关系图
信息科技风险监管目标
❖ 如何判断信息科技风险程度是否在可接受范围？
▪ 计量当前信息科技风险程度 ▪ 计量最低信息科技风险程度
▪ 案例3：某行柜员在为客户办理购买基金手续过程中,利 用电脑终端画面可以屏幕打印功能,没有进行实际交易, 套打基金交易凭证交予客户,将客户资金转入其控制的 账户.涉案金额85万元。电脑终端可随意进行屏幕打印, 存在明显缺陷,使作案人有机可乘
信息科技风险监管目标
❖ 安全性事件案例
▪ 案例4：近期，某银行机构发现不法分子根据互联网上下载的“特 征码识别程序”自行编写密码猜解软件，通过锁定某一固定密码 反复轮训帐号的方式，对多家银行网银系统发起暴力猜测攻击， 最终非法获取两家银行数百个客户的网银帐号、查询密码等信息。
——信息资产（例如数据库和数据文档、系统文件、用
户手册、培训资料、操作和支持程序等）
▪
——软件资产（例如应用软件、系统软件、开发工具和
使用程序等）
▪
——生产能力或服务能力
▪
——人员
▪
——无形资产（例如信誉、形象等）
▪
——其他
（参照：1、信息安全风险评估规范P1；2、信息系统安全管理要求 P53）
基本概念
信息科技风险监管目标
❖安全性事件案例
▪ 案例2：某行市分行发生一起内部员工违规利用网银动 用客户资金的案件。2008年10月份，支行客户部网银 操作员及复核员在为客户办理网银业务时发现操作IC 卡已经过期，遂联系市分行网银管理员黄某办理换卡 事宜，并告知其操作密码。黄某利用自己作为管理员 保管“管理证书”之便，进入系统，修改了某对公客 户的网银证书和密码，再通过集团理财帐户实行网银 转帐，动用客户帐户上233.7万元用于炒权证。
（出处：1、信息安全风险评估规范P2）
基本概念
❖ 剩余风险
▪ 采取了安全措施后，信息系统仍然可能存在的风 险。
（出处：1、信息安全风险评估规范3）
基本概念
❖ 风险的计量
▪ 人为或自然的威胁利用信息系统及其管理体系中存在的脆
弱性导致安全事件的发生及其对组织造成的影响。
▪ 风险值=R(A,T,V)=R(安全事件可能性,安全事件造成的损失) ▪ A——资产 ▪ T——威胁 ▪ V——脆弱性 ▪ 安全事件的可能性 = L（T，V）= L（威胁出现频率，脆弱
2009年3月 2009年12月 2010年4月 2008年4月 2008年7月 2009年12月 2009年9月
银监会拟发布制度
❖《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》
❖ 《商业银行首席信息官管理办法》
1、《商业银行信息科技风险管理指引》
攻击
….
….
银监会信息科技监管历程
2006 2007 2008
2009
2010
•发布信息科技风险管理指引
•开展信息科技风险内部和外 部评价审计
•开展信息科技风险奥运专项自查
•发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》
• 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
❖安全性：
▪ 保证数据的保密性、完整性、可用性，通俗地说就是 数据“不能丢”。
▪ 所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
❖ 连续性事件案例
▪ 案例1：2008年11月上旬，某大型银行某省分行在供电部门预先通 知停电的情况下，因发电机故障、主机存储控制卡损坏等原因， 造成全省业务无法正常运营达7小时15分钟。
（出处：1、信息安全风险评估规范P2、P9）
基本概念
❖ 脆弱性
▪ 可能被威胁所利用的资产或若干资产的薄弱环节。 资产的脆弱性包括物理布局、组织、规程、人事、 管理 、行政、硬件、软件或信息等的弱点。
❖ （出处：1、信息安全风险评估规范P3；2、信息系统安全管理 要求P54）
基本概念
❖ 安全措施
▪ 保护资产、抵御威胁、减少脆弱性、降低 安全事件的影响，以及打击信息犯罪而实 施的各种实践、规程和机制。
▪ 案例2：2009年12月21日，某行网上银行系统发生一起因DDOS 攻击引发的系统故障，经内外部专家诊断为外部分布式攻击。攻 击来自互联网多个地方和多台机器，持续时间500分钟。故障刚 发生阶段的现象表现为网银客户登录网银主页面缓慢或超时无法 访问。监控系统显示网上银行主页服务器系统资源压力迅速增大， 进程达到系统最大进程数，超过日常监控进程数四倍。
▪ 信息科技风险与操作风险的关系——莆田网银案件 ▪ 信息科技风险管理的目标
• 是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测 和控制，促进银行安全、持续、稳健运行，推动业务创新，提高信息技术使 用水平，增强核心竞争力和可持续发展能力。
——《商业银行信息科技风险管理指引》第五条
▪ 三道防线
• 依据：
– 国家规范 – 银监会制度法规 – 行业标准 – 自身接受程度（投入成本<=损失成本）
▪ 比较当前信息科技风险程度和最低信息科技风险程度
基本概念
❖ 风险评估
信息安全风险评估
资产识别
威胁识别
脆弱性识别
已有安全措施确认
人员
病毒
病情
人员健康查体检
预防措施
风险管理实施流程图
风险评估准备
资产识别
• 信息科技风险管理的关键是要建立三道防线，第一道防线是指信息科技管理， 需要全员参与，主要职责落在科技部门，第二道防线是风险管理，即从风险 的角度如何防范，职责落在风险部门，第三道防线是审计监督，即内审和外 审，职责落在审计部门，三道防线相互作用，形成立体防护网。
1、《商业银行信息科技风险管理指引》
❖ 资产价值
▪ 资产的重要程度或敏感程度的表征。资产价值是资 产的属性，也是进行资产识别的主要内容。
（出处：1、信息安全风险评估规范P1）
基本概念
❖ 威胁
▪ 可能导致对系统或组织危害的不希望事故的潜在 起因。
▪ 威胁的分类可按照造成威胁的因素分为人为因素 威胁和环境因素威胁，按照威胁的表现形式可以 分为软硬件故障、物理环境影响、无作为或操作 失误、管理不倒位、恶意代码、越权或滥用、网 络攻击、物理攻击、泄密、篡改、抵赖等。
❖ 如何判断是否达到目标？
▪ 信息科技风险（包括连续性和安全性风险）的计量 ▪ 判断信息科技风险程度是否在可接受范围
基本概念
❖ 资产
▪ 对组织具有价值的信息或资源，是安全策略保护的对象。主要
包括：
▪
——支持设施（例如建筑、供电、供水、空调等）
▪
——硬件资产（例如计算机设备、路由交换机、交换机
等）
▪
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5
小时
2006
2008
某银行核心系统 故障全国中断营
业4小时
2010
屡次发生的网络安 全事件：
2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos
攻击 2009年底某行成都 分行发生网银客户
资金被盗事件 2008年奥运开幕式 某国有银行网络遭
信息科技风险监管知识讲座
2010 年 8 月
Copyright by CHENYL
主要内容
一、信息科技风险监管概况 二、信息科技风险监管目标和手段 三、主要监管制度介绍 四、信息科技风险监管体系简介 五、基层银行机构科技风险监管的思考
一、信息科技风险监管概况
信息科风险监管背景
•近年来，随着银行机构系统网络化、数据集中化，科技风险问题日益突出 •科技风险的特点是风险变化快、蔓延快、影响范围大
威胁识别 已有安全措施的确认
风险分析
保持已有的安全措施
风险计算
风险是否接受
否
制定风险处理计划 并评估残余风险
是否接受残余风险 否
是Βιβλιοθήκη Baidu
实施风险管理
脆弱性识别 评估过程文档 评估过程文档
评估过程文档
风险评估文档记录
……
信息科技风险管理/监管手段
❖ 银行机构
▪ 治理层面
• 明确董事会职责、成立信息科技风险管理委员会 • 建立科技风险三道防线（科技、风险、审计部门） • 制定全行信息科技风险管理战略规划
▪ 管理层面
• 科技部门 • 风险部门 • 审计部门
▪ 具体手段
信息科技风险管理/监管手段
❖ 银行机构
▪ 保护系统连续性和安全性的具体手段：
• 基础设施建设（机房、网络、主机）
–灾备中心 –双机热备 –双运营上线路
• 信息安全防护体系
–防火墙、IPS –桌面管理系统
• 日常系统运行监控 • 项目开发、外包过程管理 • 应急管理（应急预案、应急保障、应急演练）
❖ 要点：
▪ 信息科技治理
• 明确商业银行董事会职责 • 要求设立首席信息官，明确了首席信息官职责 • 明确三道防线要求：明确信息科技管理、信息科技风险管理、信息科
▪ 案例5：近期，某银行机构发现不法分子根据互联网上下载的“特 征码识别程序”自行编写密码猜解软件，通过锁定某一固定密码 反复轮训帐号的方式，对多家银行网银系统发起暴力猜测攻击， 最终非法获取两家银行数百个客户的网银帐号。
▪ 案例6 ：某行借记卡被通过手机银行猜解密码，涉及1007张借记卡。
信息科技风险监管目标
银行机构信息科技风险状况
❖科技风险管控意识提高 ❖科技治理架构初步建立 ❖科技基础设施不断完善 ❖运行维护能力不断加强 ❖重视加强灾备建设及开展应急演练
银行机构信息科技风险状况
❖个别银行科技治理认识不到位 ❖重眼前建设轻长远规划 ❖科技治理架构未有效运行 ❖应急演练开展实战性不足 ❖基层银行机构科技力量薄弱
信息科技治理
信息科技风险管理
信息科技审计
业务持续性管理
信息安全管理 信息科技运行
项目开发、 测试
外包管理
1、《商业银行信息科技风险管理指引》
❖ 主要概念：
▪ 信息科技风险
• 是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞 和管理缺陷产生的操作、法律和声誉风险。
——《商业银行信息科技风险管理指引》第四条
信息科技风险管理/监管手段
❖ 监管部门
▪ 制度标准制定 ▪ 非现场监管和现场检查 ▪ 准入审核及机构评级
• 荷兰央行：银行执照、人员任免、计提资本、罚款
▪ 组织协调、促进资源共享
三、主要监管制度介绍
主要监管制度介绍
1 《商业银行信息科技风险管理指引》 2 《银行业重要信息系统投产与变更管理办法》 3 《商业银行数据中心监管指引》 4 《银行业重要信息系统突发事件应急管理规范（试行）》 5 《银行业金融机构信息系统安全保障问责方案》 6 《银行业金融机构信息科技非现场监管报表》 7 《商业银行信息科技风险现场检查指南》
❖自2006年8月发布《银行业金融机构信息系统风险管理指引》开始， 银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，
监管工作逐步走向规范化。
银监会开展的主要工作
❖ 制定一系列制度和标准 ❖ 持续开展信息科技风险监管培训 ❖ 组织开展信息科技风险现场检查 ❖ 推动实施信息科技非现场监管 ❖ 组织开展重要时点信息科技自查整改 ❖ 及时发布各类信息科技风险提示