浅析信息科技合规管理讲解

我行活动目标：努力实现“切实解决重点问 题、建设良好合规文化、促进旺季各项业务 高质量发展、建立合规长效机制”。
一、开展合规大讨论的意义
二、信息科技风险的分类与目标
主要内容
三、银行业信息科技风险案例 四、信息科技风险管理存在主要问题 五、信息科技风险管理的策略和重点
业务中 断风险
数据安 全风险
信息科技 风险分类
2
3
系统漏洞风险是指银行应用系统的设计者由于对业务流程不熟悉，对风 险点未能全盘考虑，导致系统ቤተ መጻሕፍቲ ባይዱ在缺陷进而被发现并利用。一般说来， 系统漏洞风险在设计之初难以发现，随着系统的推广及运行，风险才逐 步暴露出来，因此系统漏洞风险最能体现风险的潜伏性。
4
电子银行风险主要指的是电子支付安全问题，包括利用信用卡和ATM进 行诈骗，或者利用钓鱼网站、木马程序盗取客户的账号和密码等一系列 的犯罪行为。由于利用电子银行的诈骗案件的侦破较为困难，所造成的 损失很多都无法挽回。案件的背后，固然有客户防范意识薄弱、甄别能 力不强的原因，但也有银行电子银行系统安全保障措施不完善、安全宣 传不到位等原因，这有可能会引发银行的法律风险和声誉风险，给银行 造成损失。
案例二、XX银行数据中心设备掉电业务中断案例
2011年9月21日0点30分，某银行数据中心的物业公司电工 误操作，导致该行一个机房内所有设备掉电，包括核心系统、 网银、卡系统等80多个应用系统中断服务。事发后，银监会对 该行及其外包服务机构进行了现场核查。 事件背景与情况 该行所在集团统筹集团内科技资源配置和信息化建设，指派 一家专业化、独立核算子公司统一承担集团各子公司的信息化 建设和咨询、机房与系统运维服务，并建立了集团集中的数据 中心。该行的信息系统开发、基础平台 （网络、硬件设备及操 作系统、数据库等）运维服务、机房基础设施运维服务（包括 生产及灾备机房）均外包给此公司，该公司又将机房电力维护 服务转包给了物业公司。
5
IT外包风险首先在于服务商能否长期稳定地为银行提供高质量服务，对于 信息系统故障能否及时响应并修复，以保障银行业务的连续性。其次，外 包服务商在和银行密切往来过程中会获取一些银行的内部机密信息，给银 行带来商业秘密泄露的风险。再次，银行对于外包服务商的过度依赖性也 是一种风险，将导致银行在合同谈判中处于不利地位，同时也会造成银行 自身员工IT服务水平和创新能力受到限制。此外，外包公司人员长期和银 行来往甚至常驻银行，但对银行规章制度的理解与执行上和银行员工相比 存在一定差距，也可能会带来风险隐患等。
通过建立有效的机制，实现对商业银 行信息科技风险的识别、计量、监测 和控制，促进商业银行安全、持续、 稳健运行，推动业务创新，提高信息 技术使用水平，增强核心竞争力和可 持续发展能力. 制定符合银行总体业务规划的信息科 技战略、信息科技运行计划和信息科 技风险评估计划，确保配置足够人力、 财力资源，维持稳定、安全的信息科 技环境。
商业银行业务连续性风险形势
2006年银联 跨行交易全 面中断8小时
某行海南 分行供电 中断导致 停业7.5小 时
某银行核心系统 数据库故障全国 中断营业4小时
某银行供电中断 核心系统、网银 、卡系统等80 多个应用系统中 断服务
2006
2008
2010
2011
典型案例介绍
案例一、某银行核心系统数据库故障业务中断案例
信息科技 风险管理 目标
商业银行应制定全面的信息科技风 险管理策略
信息分级与保护
系统开发、测 试和维护
信息科技 风险管理 策略包括 但不限于 下述领域
访问控制
业务连续性与 应急处置
物理安全 人员安全
一、开展合规大讨论的意义
二、信息科技风险的分类与目标
主要内容
三、银行业信息科技风险案例 四、信息科技风险管理存在主要问题 五、信息科技风险管理的策略和重点
IT外包 风险 电子银 行风险
系统漏 洞风险
1
业务中断风险：保障业务连续性是商业银行信息科技安全工作中最重要 的组成部分。一旦产生软硬件故障、系统超负荷运行、主干网络断开、 病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的 中断。 数据安全风险包括两方面的含义。一是数据窃取，即数据在存储介质中 或在传输过程中遭到窃取甚至恶意篡改，由于权限控制不严导致无关人 员接触到核心数据并导致机密数据外泄等。二是数据丢失，即由于自然 灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中部分 或全部数据丢失。
某银行核心系统长期以来一直依靠外包服务商进行开发。 现正在使用的系统设计时最大日均处理能力为 80万笔，但随着 业务的发展，现日均处理能力要求达到210万笔，导致该行系统 处理能力与系统负载之间缺口极大。而外包服务商已不再对该 核心系统提供升级服务，并且该行自2009年起，没有购买维保 服务。2010年，终于由于数据库“长事务”引发逻辑故障，导 致业务中断。而由于该行的技术人员不掌握该系统的核心技术， 加之对外包服务商缺乏有效的管理，导致系统维修不及时，致 使业务中断时间长达4小时20分钟，在全国引发了极大的声誉风 险。
案例二、XX银行数据中心设备掉电业务中断案例（续）
9月20日23点50分，根据供电局线路检修要求，集团数据中心的 物业公司对高压线路进行例行切换操作。切换后高压开关异常跳闸断 电，柴油发电机组自动启动为机房供电。值班巡检的物业电工误认为 柴油发电机组异常，关闭了柴油发电机组供电，导致机房外部供电中 断，UPS 放电为机房供电。数据中心机房值班人员21日凌晨0点10分 发现UPS 放电报警，随后通知UPS 厂商到现场支持，但未与物业电 工沟通，至0点30分UPS 电池电量全部耗尽，包括该行主要业务系统 在内的数据中心机房电力中断，所有设备掉电。物业电工最终于O点 35分发现高压电闸开关跳闸，闭合电闸后机房市电供应恢复。但一台 保存了五十多个系统数据的存储设备（HP XP2400）在启动后出现异 常，至7点问题仍未解决，随后该行启用异地灾备系统，至12点直接 面向客户的关键业务系统均能正常对外提供服务，其他如信贷等管理 系统至当日下午18点45分恢复。
信息科技合规管理浅析
科技发展部 2013年10月
一、开展合规大讨论的意义
二、信息科技风险的分类与目标
主要内容
三、银行业信息科技风险案例 四、信息科技风险管理存在主要问题 五、信息科技风险管理的策略和重点
合规是现代商业银行经营与管理的底线，同时 又是监管当局维护金融稳定的必然要求，也是 银行提升自身核心竞争力的内在需求。 以“治顽疾、树新风、促合规”为主题，遵循 “查找问题、分析问题、整改问题”的客观规 律，通过开展合规学习、合规讨论等专项活动， 促进全行员工依法合规经营。