信息科技风险监管讲座共97页
合集下载
信息科技风险防范讲座课件
“国际上出现的信息科技事故表明,如果银行系 统中断1小时,将直接影响该行的基本支付业务; 中断1天,将对其声誉造成极大伤害;中断2-3天 以上不能恢复,将直接危及其他银行乃至整个金 融系统的稳定。”
-----刘明康主席
信息科技风险与其他领域的风险相比,具有其 自身的特点,主要表现为风险发生时影响较大、 风险出现具有不确定性、对风险的估计或防范 手段不足。
信息科技风险防范
“信息科技风险”,是指信息科技在规划、设 计、研发或采购、运行、维护、监控及报废过 程中由于人为因素、技术漏洞和管理缺陷产生 的操作、法律、金融和声誉等风险。
信息科技的广泛应用,一方面使商业银行大 大提升了数据和业务处理的速度和能力,另一 方面也给银行的经营管理和信息安全带来了一 系列的风险隐患和突出问题。
3、2007年10月18日,建设银行股民保证金第 三方存管系统出现故障,与券商的交易无法正常 进行,事故持续了两个小时,在证券交易收盘后 才恢复正常;
4、2007年12月21日,招商银行因运行中心核 心网络设备出现故障,造成业务无法正常进行, 虽然启动了应急预案,但仍然中断营业近一个小 时;
5、2008年1月7日,北京银行因主干专线的入户 接入设备发生故障,造成在京的117家支行所属 网点柜台交易缓慢,业务无法正常进行,故障持 续一个多小时之后才得以解决。
3、2006 年日本最大的美资银行花旗银行 (Citibank Japan)出现交易系统故障,5天内 约27.5万笔公用事业缴费遭重复扣划,或交易 后未作月结记录,造成该行在日本的重大声誉损 失。
银监会通报5起事件: 1、2007年3月21日,交通银行因主机监控软 件存在缺陷,导致业务交易阻塞,系统瘫痪近 四个小时,所有营业网点无法正常开展业务; 2、2007年8月15日,工商银行对计算机系统 进行升级,但由于没有避开业务高峰期,导致 个人业务系统运行不畅,在持续五个半小时之 后,系统才逐步恢复正常;
风险管理-信息科技风险监管知识培训讲座(ppt96页)
攻击
….
….
银监会信息科技监管历程
2006 2007 2008
2009
2010
•发布ቤተ መጻሕፍቲ ባይዱ息科技风险管理指引
•开展信息科技风险内部和外 部评价审计
•开展信息科技风险奥运专项自查
•发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》
• 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
自2006年8月发布《银行业金融机构信息系统风险管理指引》开始, 银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,
监管工作逐步走向规范化。
银监会开展的主要工作
制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示
安全性:
保证数据的保密性、完整性、可用性,通俗地说就是 数据“不能丢”。
所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
连续性事件案例
案例1:2008年11月上旬,某大型银行某省分行在供电部门预先通 知停电的情况下,因发电机故障、主机存储控制卡损坏等原因, 造成全省业务无法正常运营达7小时15分钟。
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5
小时
2006
2008
某银行核心系统 故障全国中断营
业4小时
2010
屡次发生的网络安 全事件:
2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos
攻击 2009年底某行成都 分行发生网银客户
….
….
银监会信息科技监管历程
2006 2007 2008
2009
2010
•发布ቤተ መጻሕፍቲ ባይዱ息科技风险管理指引
•开展信息科技风险内部和外 部评价审计
•开展信息科技风险奥运专项自查
•发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》
• 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
自2006年8月发布《银行业金融机构信息系统风险管理指引》开始, 银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,
监管工作逐步走向规范化。
银监会开展的主要工作
制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示
安全性:
保证数据的保密性、完整性、可用性,通俗地说就是 数据“不能丢”。
所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
连续性事件案例
案例1:2008年11月上旬,某大型银行某省分行在供电部门预先通 知停电的情况下,因发电机故障、主机存储控制卡损坏等原因, 造成全省业务无法正常运营达7小时15分钟。
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5
小时
2006
2008
某银行核心系统 故障全国中断营
业4小时
2010
屡次发生的网络安 全事件:
2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos
攻击 2009年底某行成都 分行发生网银客户
信息科技风险监管知识培训讲座PPT(96张)
二、信息科技风险监管目标与手段
信息科技风险监管目标
具 体
宏 观目标层次
降低信息系统连续性和 安全性风险程度到可接受范围
保障信息系统连续性和安全性
保护银行信息资产(信息系统、数据) 保护存款人利益
维护社会稳定
信息科技风险监管目标
连续性:
即业务连续性,保证信息系统稳定、持续地提供服务, 通俗地说就是系统“不能断”。
信息科技风险监管知识讲座
2010 年 8 月
Copyright by CHENYL
主要内容
一、信息科技风险监管概况 二、信息科技风险监管目标和手段 三、主要监管制度介绍 四、信息科技风险监管体系简介 五、基层银行机构科技风险监管的思考
一、信息科技风险监管概况
信息科风险监管背景
•近年来,随着银行机构系统网络化、数据集中化,科技风险问题日益突出 •科技风险的特点是风险变化快、蔓延快、影响范围大
• 依据:
– 国家规范 – 银监会制度法规 – 行业标准 – 自身接受程度(投入成本<=损失成本)
比较当前信息科技风险程度和最低信息科技风险程度
基本概念
风险评估
信息安全风险评估
资产识别
威胁识别
脆弱性识别
已有安全措施确认
人员
病毒
病情
人员健康查体检
预防措施
风险管理实施流程图
风险评估准备
资产识别
信息科技风险监管目标
安全性事件案例
案例2:某行市分行发生一起内部员工违规利用网银动 用客户资金的案件。2008年10月份,支行客户部网银 操作员及复核员在为客户办理网银业务时发现操作IC 卡已经过期,遂联系市分行网银管理员黄某办理换卡 事宜,并告知其操作密码。黄某利用自己作为管理员 保管“管理证书”之便,进入系统,修改了某对公客 户的网银证书和密码,再通过集团理财帐户实行网银 转帐,动用客户帐户上233.7万元用于炒权证。
商业银行信息科技风险监管讲座
v 科技风险管控意识提高 v 科技治理架构初步建立 v 科技基础设施不断完善 v 运行维护能力不断加强 v 重视加强灾备建设及开展应急演练
商业银行信息科技风险监管讲座
银行机构信息科技风险状况
v 个别银行科技治理认识不到位 v 重眼前建设轻长远规划 v 科技治理架构未有效运行 v 应急演练开展实战性不足 v 基层银行机构科技力量薄弱
商业银行信息科技风险监管讲座
银监会拟发布制度
v 《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》
v 《商业银行首席信息官管理办法》
商业银行信息科技风险监管讲座
1、《商业银行信息科技风险管理指引》
•信息科技治理
•信息科技风险管理
•信息科技审计
商业银行信息科技风险监管讲座
基本概念
v 脆弱性
§ 可能被威胁所利用的资产或若干资产的薄弱环节。 资产的脆弱性包括物理布局、组织、规程、人事、 管理 、行政、硬件、软件或信息等的弱点。
v (出处:1、信息安全风险评估规范P3;2、信息系统安全管理 要求P54)
商业银行信息科技风险监管讲座
基本概念
v 安全措施
•已有安全措施确认
•人员
•病毒
•病情
•人员健康查体检
•预防措施
商业银行信息科技风险监管讲座
风险管理实施流程图
•风险评估准备
•资产识别
•威胁识别 •已有安全措施的确认
•风险分析
•保持已有的安全措施
•风险计算
•风险是否接受
•否
•制定风险处理计划 •并评估残余风险
•是否接受残余风险 •否
•是
•实施风险管理
•…•…
商业银行信息科技风险监管讲座
银行机构信息科技风险状况
v 个别银行科技治理认识不到位 v 重眼前建设轻长远规划 v 科技治理架构未有效运行 v 应急演练开展实战性不足 v 基层银行机构科技力量薄弱
商业银行信息科技风险监管讲座
银监会拟发布制度
v 《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》
v 《商业银行首席信息官管理办法》
商业银行信息科技风险监管讲座
1、《商业银行信息科技风险管理指引》
•信息科技治理
•信息科技风险管理
•信息科技审计
商业银行信息科技风险监管讲座
基本概念
v 脆弱性
§ 可能被威胁所利用的资产或若干资产的薄弱环节。 资产的脆弱性包括物理布局、组织、规程、人事、 管理 、行政、硬件、软件或信息等的弱点。
v (出处:1、信息安全风险评估规范P3;2、信息系统安全管理 要求P54)
商业银行信息科技风险监管讲座
基本概念
v 安全措施
•已有安全措施确认
•人员
•病毒
•病情
•人员健康查体检
•预防措施
商业银行信息科技风险监管讲座
风险管理实施流程图
•风险评估准备
•资产识别
•威胁识别 •已有安全措施的确认
•风险分析
•保持已有的安全措施
•风险计算
•风险是否接受
•否
•制定风险处理计划 •并评估残余风险
•是否接受残余风险 •否
•是
•实施风险管理
•…•…
信息科技风险监管知识讲座
信息科技风险监管知识讲座尊敬的听众们,非常荣幸能够在今天向大家分享关于信息科技风险监管的知识。
信息科技在现代社会中起着至关重要的作用,它极大地促进了社会的发展和进步。
然而,信息科技也带来了一定的风险。
盗窃个人信息、网络攻击、数据泄露等问题已经成为我们工作和生活中的严重威胁。
因此,为了确保我们的信息安全,监管机构必须采取措施监督和管理信息科技行业。
下面是一些关于信息科技风险监管的重要知识。
首先,了解信息科技风险是非常重要的。
信息科技风险指的是由信息系统和网络使用所带来的可能造成损失的事件。
常见的信息科技风险包括计算机病毒、黑客攻击、数据丢失等。
了解这些风险可以帮助我们更好地预防和避免它们的发生。
其次,了解相关的法律法规对信息科技风险监管起到了关键作用。
一些国家和地区已建立了规范信息科技行业的法律框架,以确保公司和个人在信息科技领域的活动合法、安全和透明。
了解这些法律法规有助于我们更好地了解自己的权益和责任。
第三,加强国际合作与信息共享。
由于信息科技是跨国界的,各国之间的信息共享和合作对于解决信息科技风险至关重要。
国际合作可以帮助共同应对跨国黑客攻击和网络犯罪行为,形成一个共同防线。
最后,个人责任也不可忽视。
除了监管机构的工作,每个人都应意识到自己在信息科技风险监管中的角色。
我们应该保护个人信息,遵守网络安全规定,不参与网络犯罪活动,同时教育普及信息安全知识。
综上所述,信息科技风险监管是一项重要且复杂的任务。
我们需要了解和预防信息科技风险,关注相关法律法规,加强国际合作,同时也要承担个人责任。
只有通过这些努力,我们才能共同构建一个安全、稳定和可信赖的信息科技环境。
谢谢大家的聆听。
继续上面的话题,我将为大家详细介绍信息科技风险监管的相关内容。
一、信息科技风险的特征与类型信息科技领域的风险主要表现为技术性风险和非技术性风险。
技术性风险包括:计算机病毒、黑客入侵、数据丢失、系统故障等;非技术性风险包括:人为疏忽、管理失误、合规问题等。
信息科技风险监管知识讲座97页PPT
43、重复别人所说的话,只需要教育; 而要挑战别人所说的话,则需要头脑。—— 玛丽·佩蒂博恩·普尔
44、卓越的人一大优点是:在不利与艰 难的遭遇里百折不饶。——贝多芬
45、自己的饭量自己知道。——苏联
41、学问是异常珍贵的东西,从任何源泉吸 收都不可耻。——阿卜·日·法拉兹
42、只有在人群中间,才能认识自 己。——德国
33、如果惧怕前面跌宕的山岩,生命 就永远 只能是 死水一 潭。 34、当你眼泪忍不住要流出来的时候 ,睁大 眼睛, 千万别 眨眼!你会看到 世界由 清晰变 模糊的 全过程 ,心会 在你泪 水落下 的那一 刻变得 清澈明 晰。盐 。注定 要融化 的,也 许是用 眼泪的 方式。
35、不要以为自己成功一次就可以了 ,也不 要以为 过去的 光荣可 以ቤተ መጻሕፍቲ ባይዱ永 远肯定 。
信息科技风险监管知识讲座
31、别人笑我太疯癫,我笑他人看不 穿。(名 言网) 32、我不想听失意者的哭泣,抱怨者 的牢骚 ,这是 羊群中 的瘟疫 ,我不 能被它 传染。 我要尽 量避免 绝望, 辛勤耕 耘,忍 受苦楚 。我一 试再试 ,争取 每天的 成功, 避免以 失败收 常在别 人停滞 不前时 ,我继 续拼搏 。
44、卓越的人一大优点是:在不利与艰 难的遭遇里百折不饶。——贝多芬
45、自己的饭量自己知道。——苏联
41、学问是异常珍贵的东西,从任何源泉吸 收都不可耻。——阿卜·日·法拉兹
42、只有在人群中间,才能认识自 己。——德国
33、如果惧怕前面跌宕的山岩,生命 就永远 只能是 死水一 潭。 34、当你眼泪忍不住要流出来的时候 ,睁大 眼睛, 千万别 眨眼!你会看到 世界由 清晰变 模糊的 全过程 ,心会 在你泪 水落下 的那一 刻变得 清澈明 晰。盐 。注定 要融化 的,也 许是用 眼泪的 方式。
35、不要以为自己成功一次就可以了 ,也不 要以为 过去的 光荣可 以ቤተ መጻሕፍቲ ባይዱ永 远肯定 。
信息科技风险监管知识讲座
31、别人笑我太疯癫,我笑他人看不 穿。(名 言网) 32、我不想听失意者的哭泣,抱怨者 的牢骚 ,这是 羊群中 的瘟疫 ,我不 能被它 传染。 我要尽 量避免 绝望, 辛勤耕 耘,忍 受苦楚 。我一 试再试 ,争取 每天的 成功, 避免以 失败收 常在别 人停滞 不前时 ,我继 续拼搏 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息科技风险监管讲座
16、自己选择的路、跪着也要把它走 完。 17、一有成就 ,以后 才能更 辉煌。
18、敢于向黑暗宣战的人,心里必须 充满光 明。 19、学习的关键--重复。
20、懦弱的人只会裹足不前,莽撞的 人只能 引为烧 身,只 有真正 勇敢的 人才能 所向披 靡。
31、只有永远躺在泥坑里的人,才不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭,生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍,就是一下子不要学很多。——洛克