信息科技风险监管讲座讲义课件
风险管理-信息科技风险监管知识培训讲座(ppt96页)
….
….
银监会信息科技监管历程
2006 2007 2008
2009
2010
•发布ቤተ መጻሕፍቲ ባይዱ息科技风险管理指引
•开展信息科技风险内部和外 部评价审计
•开展信息科技风险奥运专项自查
•发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》
• 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
自2006年8月发布《银行业金融机构信息系统风险管理指引》开始, 银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,
监管工作逐步走向规范化。
银监会开展的主要工作
制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示
安全性:
保证数据的保密性、完整性、可用性,通俗地说就是 数据“不能丢”。
所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
连续性事件案例
案例1:2008年11月上旬,某大型银行某省分行在供电部门预先通 知停电的情况下,因发电机故障、主机存储控制卡损坏等原因, 造成全省业务无法正常运营达7小时15分钟。
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5
小时
2006
2008
某银行核心系统 故障全国中断营
业4小时
2010
屡次发生的网络安 全事件:
2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos
攻击 2009年底某行成都 分行发生网银客户
信息科技风险监管知识培训讲座PPT(96张)
二、信息科技风险监管目标与手段
信息科技风险监管目标
具 体
宏 观目标层次
降低信息系统连续性和 安全性风险程度到可接受范围
保障信息系统连续性和安全性
保护银行信息资产(信息系统、数据) 保护存款人利益
维护社会稳定
信息科技风险监管目标
连续性:
即业务连续性,保证信息系统稳定、持续地提供服务, 通俗地说就是系统“不能断”。
信息科技风险监管知识讲座
2010 年 8 月
Copyright by CHENYL
主要内容
一、信息科技风险监管概况 二、信息科技风险监管目标和手段 三、主要监管制度介绍 四、信息科技风险监管体系简介 五、基层银行机构科技风险监管的思考
一、信息科技风险监管概况
信息科风险监管背景
•近年来,随着银行机构系统网络化、数据集中化,科技风险问题日益突出 •科技风险的特点是风险变化快、蔓延快、影响范围大
• 依据:
– 国家规范 – 银监会制度法规 – 行业标准 – 自身接受程度(投入成本<=损失成本)
比较当前信息科技风险程度和最低信息科技风险程度
基本概念
风险评估
信息安全风险评估
资产识别
威胁识别
脆弱性识别
已有安全措施确认
人员
病毒
病情
人员健康查体检
预防措施
风险管理实施流程图
风险评估准备
资产识别
信息科技风险监管目标
安全性事件案例
案例2:某行市分行发生一起内部员工违规利用网银动 用客户资金的案件。2008年10月份,支行客户部网银 操作员及复核员在为客户办理网银业务时发现操作IC 卡已经过期,遂联系市分行网银管理员黄某办理换卡 事宜,并告知其操作密码。黄某利用自己作为管理员 保管“管理证书”之便,进入系统,修改了某对公客 户的网银证书和密码,再通过集团理财帐户实行网银 转帐,动用客户帐户上233.7万元用于炒权证。
信息科技风险防范讲座课件
区块链技术
02
区块链技术可以提高数据的安全性和透明度,但也可能增加数
据泄露和篡改的风险。
5G和物联网
03
5G和物联网技术的普及将增加网络攻击面,使得安全防护更加
困难。
未来信息科技风险防范的挑战与机遇
挑战
不断变化的威胁环境、复杂的系统架 构、数据安全和隐私保护等。
机遇
新技术的发展也带来了新的安全解决 方案,如基于人工智能的安全检测、 区块链技术的数据验证等。
PART 02
信息科技风险识别与评估
风险识别方法
01
02
03
问卷调查法
通过设计问卷,收集相关 人员对信息科技风险的看 法和意见,识别潜在风险 。
流程图分析法
绘制业务流程图,分析流 程中可能存在的风险点。
事件树分析法
从初始事件出发,分析事 件发展的各种可能性及后 果,识别风险。
风险评估标准
可能性评估
背景
随着互联网和信息技术的快速发 展,信息科技风险日益突出,成 为企业和个人面临的重要挑战。
信息科技风险的定义和分类
定义
信息科技风险是指由于信息技术及其应用所带来的潜在威胁、漏洞或意外事故,可能导致数据泄露、系统瘫痪、 财务损失等不良后果。
分类
信息科技风险可分为技术风险、管理风险、合规风险和业务风险等。其中,技术风险主要涉及系统安全、网络安 全、数据安全等方面;管理风险涉及人员管理、流程管理和制度管理等方面;合规风险涉及法律法规、行业标准 和道德规范等方面;业务风险涉及市场变化、竞争态势和业务模式等方面。
响程度。
风险应对
根据风险评估结果,制定相应 的风险应对措施,如风险规避
、降低、转移等。
风险监控
信息科技风险监管讲座
§ 治理层面
• 明确董事会职责、成立信息科技风险管理委员会 • 建立科技风险三道防线(科技、风险、审计部门) • 制定全行信息科技风险管理战略规划
§ 管理层面
• 科技部门 • 风险部门 • 审计部门
§ 具体手段
信息科技风险监管讲座
信息科技风险管理/监管手段
v 银行机构
§ 保护系统连续性和安全性的具体手段:
威胁识别 脆弱性识别 资产识别
威胁出现的频率
安全事件的可能性
脆弱性的严重程度 安全事件造成的损失
资产价值
风险值
信息科技风险监管讲座
信息科技风险要素关系图
信息科技风险监管讲座
信息科技风险监管目标
v 如何判断信息科技风险程度是否在可接受范围?
§ 计量当前信息科技风险程度 § 计量最低信息科技风险程度
攻击
….
….
信息科技风险监管讲座
银监会信息科技监管历程
2006 2007 2008
2009
2010
•发布信息科技风险管理指引
•开展信息科技风险内部和外 部评价审计
•开展信息科技风险奥运专项自查
•发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》
• 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
• 荷兰央行:银行执照、人员任免、计提资本、罚款
§ 组织协调、促进资源共享
信息科技风险监管讲座
三、主要监管制度介绍
信息科技风险监管讲座
主要监管制度介绍
信息科技风险监管讲座
银监会拟发布制度
v 《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》
商业银行信息科技风险监管讲座
商业银行信息科技风险监管讲座
银行机构信息科技风险状况
v 个别银行科技治理认识不到位 v 重眼前建设轻长远规划 v 科技治理架构未有效运行 v 应急演练开展实战性不足 v 基层银行机构科技力量薄弱
商业银行信息科技风险监管讲座
银监会拟发布制度
v 《银监会行政许可事项中信息科技核准条件的补 充规定》和《银行业金融机构重要信息系统投产 及变更管理办法》
v 《商业银行首席信息官管理办法》
商业银行信息科技风险监管讲座
1、《商业银行信息科技风险管理指引》
•信息科技治理
•信息科技风险管理
•信息科技审计
商业银行信息科技风险监管讲座
基本概念
v 脆弱性
§ 可能被威胁所利用的资产或若干资产的薄弱环节。 资产的脆弱性包括物理布局、组织、规程、人事、 管理 、行政、硬件、软件或信息等的弱点。
v (出处:1、信息安全风险评估规范P3;2、信息系统安全管理 要求P54)
商业银行信息科技风险监管讲座
基本概念
v 安全措施
•已有安全措施确认
•人员
•病毒
•病情
•人员健康查体检
•预防措施
商业银行信息科技风险监管讲座
风险管理实施流程图
•风险评估准备
•资产识别
•威胁识别 •已有安全措施的确认
•风险分析
•保持已有的安全措施
•风险计算
•风险是否接受
•否
•制定风险处理计划 •并评估残余风险
•是否接受残余风险 •否
•是
•实施风险管理
•…•…
信息科技风险管理浅谈(3)PPT课件
信息科技管理是“一把手”工程 信息科技风险管理靠“事件推动”好了伤疤忘了
痛
信息科技风险管理本身“灯下黑” 信息科技工作评价标准 重建轻管 对事件零容忍
100与60分
9
二、防范信息科技风险的要点
1、定位
信息科技是支柱 风险防范还处于初级阶段 治理是关键
2、讲特色,要以“我”为主、与文化交融
6
一、信息科技现状 8 、业务处理同质化
87年股市黑色星期一 多家机构共用同一服务商
9、信息科技只定为支持服务
只关注业务的需求不关注决策
7
一、信息科技现状 10、内控目标不合理
合规不是内控最终目标 “要我做变我要做” 过度崇拜认证和形式主义 不用信息科技防范整体风险
8
一、信息科技现状
11、信息科技工作的实际情况 “说起来很重要、做起来急着要、排起队
13
二、防范信息科技风险的要点
紧急变更对系统稳定性影响重大
地震捐款
规划
业务发展规划
舆情会无限扩大信息系统故障的危害
应对舆情要发挥大家的力量 社会责任
14
二、防范信息科技风险的要点
终端用户的安全意识淡薄对知识产权、计算 机网络的安全会产生严重影响
自主产权保护 随意安装 屏幕保护 口令 共享资料 共 享管理帐户(信任、责任与保护) 客户等敏感信息的保护
特色是提高风险管控能力和发展业务的根本。应 多元化地开展信息科技风险管理工作
手机短信 一卡通
3、建立中国特色的治理文化
解决西方文化与东方文化的融合
10
二、防范信息科技风险的要点
4、忧患
IT事件频发 911数据保护与责任 外部因素影响 电源、通信、软硬件、人员 网络威胁 信息泄露 美国电网
矿产
矿产资源开发利用方案编写内容要求及审查大纲
矿产资源开发利用方案编写内容要求及《矿产资源开发利用方案》审查大纲一、概述
㈠矿区位置、隶属关系和企业性质。
如为改扩建矿山, 应说明矿山现状、
特点及存在的主要问题。
㈡编制依据
(1简述项目前期工作进展情况及与有关方面对项目的意向性协议情况。
(2 列出开发利用方案编制所依据的主要基础性资料的名称。
如经储量管理部门认定的矿区地质勘探报告、选矿试验报告、加工利用试验报告、工程地质初评资料、矿区水文资料和供水资料等。
对改、扩建矿山应有生产实际资料, 如矿山总平面现状图、矿床开拓系统图、采场现状图和主要采选设备清单等。
二、矿产品需求现状和预测
㈠该矿产在国内需求情况和市场供应情况
1、矿产品现状及加工利用趋向。
2、国内近、远期的需求量及主要销向预测。
㈡产品价格分析
1、国内矿产品价格现状。
2、矿产品价格稳定性及变化趋势。
三、矿产资源概况
㈠矿区总体概况
1、矿区总体规划情况。
2、矿区矿产资源概况。
3、该设计与矿区总体开发的关系。
㈡该设计项目的资源概况
1、矿床地质及构造特征。
2、矿床开采技术条件及水文地质条件。
矿产
矿产资源开发利用方案编写内容要求及审查大纲
矿产资源开发利用方案编写内容要求及《矿产资源开发利用方案》审查大纲一、概述
㈠矿区位置、隶属关系和企业性质。
如为改扩建矿山, 应说明矿山现状、
特点及存在的主要问题。
㈡编制依据
(1简述项目前期工作进展情况及与有关方面对项目的意向性协议情况。
(2 列出开发利用方案编制所依据的主要基础性资料的名称。
如经储量管理部门认定的矿区地质勘探报告、选矿试验报告、加工利用试验报告、工程地质初评资料、矿区水文资料和供水资料等。
对改、扩建矿山应有生产实际资料, 如矿山总平面现状图、矿床开拓系统图、采场现状图和主要采选设备清单等。
二、矿产品需求现状和预测
㈠该矿产在国内需求情况和市场供应情况
1、矿产品现状及加工利用趋向。
2、国内近、远期的需求量及主要销向预测。
㈡产品价格分析
1、国内矿产品价格现状。
2、矿产品价格稳定性及变化趋势。
三、矿产资源概况
㈠矿区总体概况
1、矿区总体规划情况。
2、矿区矿产资源概况。
3、该设计与矿区总体开发的关系。
㈡该设计项目的资源概况
1、矿床地质及构造特征。
2、矿床开采技术条件及水文地质条件。
矿产
矿产资源开发利用方案编写内容要求及审查大纲
矿产资源开发利用方案编写内容要求及《矿产资源开发利用方案》审查大纲一、概述
㈠矿区位置、隶属关系和企业性质。
如为改扩建矿山, 应说明矿山现状、
特点及存在的主要问题。
㈡编制依据
(1简述项目前期工作进展情况及与有关方面对项目的意向性协议情况。
(2 列出开发利用方案编制所依据的主要基础性资料的名称。
如经储量管理部门认定的矿区地质勘探报告、选矿试验报告、加工利用试验报告、工程地质初评资料、矿区水文资料和供水资料等。
对改、扩建矿山应有生产实际资料, 如矿山总平面现状图、矿床开拓系统图、采场现状图和主要采选设备清单等。
二、矿产品需求现状和预测
㈠该矿产在国内需求情况和市场供应情况
1、矿产品现状及加工利用趋向。
2、国内近、远期的需求量及主要销向预测。
㈡产品价格分析
1、国内矿产品价格现状。
2、矿产品价格稳定性及变化趋势。
三、矿产资源概况
㈠矿区总体概况
1、矿区总体规划情况。
2、矿区矿产资源概况。
3、该设计与矿区总体开发的关系。
㈡该设计项目的资源概况
1、矿床地质及构造特征。
2、矿床开采技术条件及水文地质条件。
矿产
矿产资源开发利用方案编写内容要求及审查大纲
矿产资源开发利用方案编写内容要求及《矿产资源开发利用方案》审查大纲一、概述
㈠矿区位置、隶属关系和企业性质。
如为改扩建矿山, 应说明矿山现状、
特点及存在的主要问题。
㈡编制依据
(1简述项目前期工作进展情况及与有关方面对项目的意向性协议情况。
(2 列出开发利用方案编制所依据的主要基础性资料的名称。
如经储量管理部门认定的矿区地质勘探报告、选矿试验报告、加工利用试验报告、工程地质初评资料、矿区水文资料和供水资料等。
对改、扩建矿山应有生产实际资料, 如矿山总平面现状图、矿床开拓系统图、采场现状图和主要采选设备清单等。
二、矿产品需求现状和预测
㈠该矿产在国内需求情况和市场供应情况
1、矿产品现状及加工利用趋向。
2、国内近、远期的需求量及主要销向预测。
㈡产品价格分析
1、国内矿产品价格现状。
2、矿产品价格稳定性及变化趋势。
三、矿产资源概况
㈠矿区总体概况
1、矿区总体规划情况。
2、矿区矿产资源概况。
3、该设计与矿区总体开发的关系。
㈡该设计项目的资源概况
1、矿床地质及构造特征。
2、矿床开采技术条件及水文地质条件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自2006年8月发布《银行业金融机构信息系统风险管理指引》开始, 银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施, 监管工作逐步走向规范化。
银监会开展的主要工作
制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示
信息科技风险监管知识讲座
主要内容
一、信息科技风险监管概况
二、信息科技风险监管目标和手段
三、主要监管制度介绍
四、信息科技风险监管体系简介
五、基层银行机构科技风险监管的思考
一、信息科技风险监管概况
信息科风险监管背景
•近年来,随着银行机构系统网络化、数据集中化,科技风险问题日益突出 •科技风险的特点是风险变化快、蔓延快、影响范围大
某银行核心系统 故障全国中断营 业4小时
2006
2008
2010
…. ….
银监会信息科技监管历程
2006 2007 2008 2009 2010
•发布信息科技风险管理指引 •开展信息科技风险内部和外 部评价审计 •开展信息科技风险奥运专项自查 •发布新的《商业银行信息科技风险管理指引》 •《银行业重要信息系统投产与变更管理办法》 • 部署信息科技风险非现场系统 •《商业银行数据中心监管指引》
二、信息科技风险监管目标与手段
信息科技风险监管目标
降低信息系统连续性和 安全性风险程度到可接受范围
保障信息系统连续性和安全性
保护银行信息资产(信息系统、数据)
保护存款ቤተ መጻሕፍቲ ባይዱ利益
维护社会稳定
信息科技风险监管目标
连续性:
即业务连续性,保证信息系统稳定、持续地提供服务, 通俗地说就是系统“不能断”。
信息科技风险监管目标
安全性事件案例
案例1:2008年12月31日至2009年1月4日,某银行成都分行发生一 起网上银行客户资金被盗案件,涉及被盗帐号12个,总金额12万 元。犯罪嫌疑人通过本人及雇用他人在银行办理借记卡并开通个 人网银业务,以合法身份进入该银行大众版网银系统,然后利用 网络下载的黑客软件对该银行大众版网银系统进行攻击和破译, 发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转 出卡号、转入帐号客户隶属关系进行校验,而且主机系统对网银 服务端上传的个别交易数据验证不充分的程序逻辑缺陷,通过模 拟浏览器与服务端通讯的方式,非法截取并篡改交易数据,盗取 他人资金。
屡次发生的网络安 全事件: 2010年 初多家银行 网银系统遭受攻击 2009年底我省某行 网银系统遭受DDos 攻击 2009年底某行成都 分行发生网银客户 资金被盗事件 2008年奥运开幕式 某国有银行网络遭 攻击
2006年银联 跨行交易全 面中断8小时
某行海南分 行供电中断 导致停业7.5 小时
银行机构信息科技风险状况
科技风险管控意识提高 科技治理架构初步建立 科技基础设施不断完善 运行维护能力不断加强 重视加强灾备建设及开展应急演练
银行机构信息科技风险状况
个别银行科技治理认识不到位 重眼前建设轻长远规划 科技治理架构未有效运行 应急演练开展实战性不足 基层银行机构科技力量薄弱
信息科技风险监管目标
安全性事件案例
案例2:某行市分行发生一起内部员工违规利用网银动 用客户资金的案件。 2008 年 10 月份,支行客户部网银 操作员及复核员在为客户办理网银业务时发现操作 IC 卡已经过期,遂联系市分行网银管理员黄某办理换卡 事宜,并告知其操作密码。黄某利用自己作为管理员 保管“管理证书”之便,进入系统,修改了某对公客 户的网银证书和密码,再通过集团理财帐户实行网银 转帐,动用客户帐户上233.7万元用于炒权证。 案例3:某行柜员在为客户办理购买基金手续过程中,利 用电脑终端画面可以屏幕打印功能 ,没有进行实际交易, 套打基金交易凭证交予客户 , 将客户资金转入其控制的 账户.涉案金额85万元。电脑终端可随意进行屏幕打印 , 存在明显缺陷,使作案人有机可乘
安全性:
保证数据的保密性、完整性、可用性,通俗地说就是 数据“不能丢”。
所有科技风险事件都可以归于信息系统连续性 或安全性出问题的事件。
信息科技风险监管目标
连续性事件案例
案例1:2008年11月上旬,某大型银行某省分行在供电部门预先通 知停电的情况下,因发电机故障、主机存储控制卡损坏等原因, 造成全省业务无法正常运营达7小时15分钟。 案例2:2009年12月21日,某行网上银行系统发生一起因DDOS攻击 引发的系统故障,经内外部专家诊断为外部分布式攻击。攻击来 自互联网多个地方和多台机器,持续时间500分钟。故障刚发生阶 段的现象表现为网银客户登录网银主页面缓慢或超时无法访问。 监控系统显示网上银行主页服务器系统资源压力迅速增大,进程 达到系统最大进程数,超过日常监控进程数四倍。 案例3:2010年2月3日某全国性银行核心业务系统数据库故障导致 全国柜面等各项业务中断近四小时。 案例4:2007年12月16日11:05至13:57,某分行综合前臵机系统 出现故障,造成全辖15个网点对外营业中断近三个小时。
信息科技风险监管目标
如何判断是否达到目标?
信息科技风险(包括连续性和安全性风险)的计量 判断信息科技风险程度是否在可接受范围
基本概念
信息科技风险监管目标
安全性事件案例
案例4:近期,某银行机构发现不法分子根据互联网上下载的“特 征码识别程序”自行编写密码猜解软件,通过锁定某一固定密码 反复轮训帐号的方式,对多家银行网银系统发起暴力猜测攻击, 最终非法获取两家银行数百个客户的网银帐号、查询密码等信息。 案例5:近期,某银行机构发现不法分子根据互联网上下载的“特 征码识别程序”自行编写密码猜解软件,通过锁定某一固定密码 反复轮训帐号的方式,对多家银行网银系统发起暴力猜测攻击, 最终非法获取两家银行数百个客户的网银帐号。 案例6 :某行借记卡被通过手机银行猜解密码,涉及1007张借记 卡。