银行 IT风险管理实务讲解.ppt

ITIT风险管理实务讲解风险管理实务讲解主讲 汪慧云2009年9月目录 1商业银行信息科技风险管理指引解读2IT风险管理体系建设构想3IT风险管理实务一、商业银行信息科技风险管理指引解读1.背景介绍2.新指引的内容大纲3.新旧指引内容纲要对照4.新指引特点1.1.背景介绍背景介绍中国银行业监督管理委员会（简称“银监会”）于2009年3月发布了最新版本的商业银行信息科技风险管理指引（简称“新指引”），同时废止了2006年11月发布的银行业金融机构信息系统风险管理指引（简称“旧指引”）。商业银行信息科技风险管理指引商业银行信息科技风险管理指引银行业金融机构信息科技风险管理指引银行业金融机构信息科技风险管理指引适用范围缩小，更有针对性：新指引明确了规范的主体为在中国境内依法设立的法人商业银行中国境内依法设立的法人商业银行，其他金融机构只是参照执行；而旧指引的主体是全部银行业金融机构2.2.新新指引指引的内容大纲的内容大纲第一章：总则第二章：信息科技治理第三章：信息科技风险管理第四章：信息安全第五章：信息系统开发、测试和维护第六章：信息科技运行第七章：业务连续性管理第八章：外包第九章：内部审计第十章：外部审计第十一章：附则3.3.新旧新旧指引指引的内容纲要对照的内容纲要对照新新指引指引第一章：总则第二章：信息科技治理第三章：信息科技风险管理第四章：信息安全第五章：信息系统开发、测试和维护第六章：信息科技运行第七章：业务连续性管理第八章：外包第九章：内部审计第十章：外部审计第十一章：附则旧旧指引指引第一章：总则第二章：机构职责第三章：总体风险控制第四章：研发风险控制第五章：运行维护风险控制第六章：外包风险控制第七章：审计第八章：附则r章节名称有所调整，更贴近中国银行业的一般说法章节名称有所调整，更贴近中国银行业的一般说法p原组织职责章节做了较大调整，并更名为原组织职责章节做了较大调整，并更名为ITIT治理治理p增加业务连续性管理章节增加业务连续性管理章节p部分章节一分为二，在细则上进行了完善部分章节一分为二，在细则上进行了完善4.4.新新指引指引特点特点全面风险管理理念更加清晰 重视信息科技治理重视人员在信息科技风险管理中的作用重视业务连续性管理重视对外包风险的防范高度重视审计的作用4.4.新新指引指引特点特点全面风险管理理念更加清晰全面风险管理理念更加清晰新指引对商业银行信息科技部门、风险管理部门、审计部门在信息科技风险管理方面的职责做了较为明确的划分。在信息科技日常工作中，要求风险与审计部门提前介入。第五十四条：“商业银行的业务连续性计划和年度应急演练结果应由信息科 技风险管理部门或信息科技管理委员会确认”第六十二条：“商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过”第六十六条：“商业银行进行大规模系统开发时，应要求信息科技风险管理 部门和内部审计部门参与，保证系统开发符合本银行信息科 技风险管理标准”4.4.新新指引指引特点特点全面风险管理理念更加清晰（续）全面风险管理理念更加清晰（续）新指引体现了对信息科技所需人财物等资源以及信息资产整个生命周期与相关重大环节的管理 第七条：“确保信息科技风险管理工作所需的资金”第十四条：“商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境”信息系统开发、测试和维护信息科技运行业务连续性管理外包 人财物方面 在信息资产生命周期及 相关重大环节管理方面 4.4.新新指引指引特点特点全面风险管理理念更加清晰（续）全面风险管理理念更加清晰（续）在方法论方面与现代银行风险管理的一般方法保持一致，将风险管理 划分为识别、计量、监测和控制四个关键过程与商业银行信用风险、市场风险、操作风险的管理方法在大框架方面相同，在需要时可比较容易地融为一体，形成商业银行全面风险管理的体系文件 4.4.新新指引指引特点特点重视信息科技治理重视信息科技治理第六条：“商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实”新指引法定代表人或主要负责人为信息系统风险管理责任人 旧指引第七条：“商业银行的董事会应履行以下信息科技管理职能”比如审查批准信息科技战略、确定可接受的风险级别、设立信息科技管理委员会、建立良好的信息科技治理组织结构等”银行业金融机构应认真履行信息系统 管理职责每年经董事会或其他决策机构审查后 向银监会及其派出机构报送信息系统 风险管理的年度报告银行业金融机构的董事会或其他决策 机构负责信息系统的战略规划、重大 项目和风险监督管理第八条：“商业银行应设立首席信息官，直接向行长汇报，并参与决策”4.4.新新指引指引特点特点重视人员在信息科技风险管理中的作用重视人员在信息科技风险管理中的作用 强调员工培训，确保员工理解信息科技风险管理的相关制度与流程加强员工风险防范及安全管理意识配置足够的人力资源，以确保稳定、安全的信息科技环境 第七条：“确保银行所有员工充分理解和遵守经其批准的信息科技风险管理 制度和流程，并安排相关培训”第九条：“各岗位人员应具有相应的专业指示和技能，重要岗位应制定详细 完整的工作手册并适时更新”第二十条：“商业银行应使所有员工都了解信息安全的重要性，并组织提供 必要的培训，让员工充分了解其职责范围内的信息保护流程”第三十一条：“商业银行应对所有员工进行必要的培训，使其充分掌握信息 科技风险管理制度和流程，了解违反规定的后果，并对违反 安全规定的行为采取零容忍政策”4.4.新新指引指引特点特点重视业务连续性管理重视业务连续性管理 旧指引仅在第四章“研发风险控制”第四十条中提到业务连续性计划，即“银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练。”而在新指引中，业务连续性管理占据独立的一个章节，可见银监会对此问题的重视。第五十一条：“商业银行应评估因意外事件导致其业务运行中断的可能性及 影响，包括评估可能因下述事件导致的破坏：内外部资源的 故障或缺失（如系统、人员或其他资产）；信息丢失或受损；外部事件（如战争、地震或台风等）”第五十四条：“业务连续性计划及年度演练结果应由风险管理部门或信息科 技管理委员会确认”第五十条：“业务连续性规划应定期进行演练以确认其有效性”4.4.新新指引指引特点特点重视对外包风险的防范重视对外包风险的防范 商业银行不得将其信息科技管理职责外包，应合理谨慎监督外包职能的履行第五十六条：“商业银行实施重要外包（如数据中心或信息科技基础设施等）应格外谨慎，在准备实施重要外包时应以书面材料正式报告 银监会或其派出机构”第六十一条：“商业银行应建立恰当的应急措施，应对外包商在服务中可能 出现的重大缺失。尤其需要考虑外包服务商的重大资源损失，重大财务损失和重要的人员变动，以及外包协议的意外终止”考虑到商业银行外包供应商（软硬件供应商）比较集中，新指引特别提示商业银行“关注可能存在的集中风险，如多家商业银行共用同一外包服务商带来的潜在业务连续性风险”。同时，新指引对外包风险的应急处理进行规定。4.4.新新指引指引特点特点高度重视审计的作用高度重视审计的作用 在内部审计方面，规定至少应三年进行一次全面审计。第六十六条：“商业银行在进行大规模系统开发时，应要求信息科技风险管 理部门和内部审计部门参与，保证系统开发符合本行信息科 技风险管理标准。”第七十条：“银监会及其派出机构必要时可指定具备相应资质的外部审计机 构对商业银行执行信息科技审计或相关检查。”外部审计方面第七十一条：“外部审计机构根据授权出具的审计报告，经银监会及其派出 机构审阅批准后具有与银监会及其派出机构出具的检查报告 同等的效力，被审计的商业银行应根据该审计报告提出整改 计划，并在规定的时间内实施整改。”第七十四条：“银监会依法对商业银行的信息科技风险管理实施监督检查”二、二、ITIT风险管理体系建设构想风险管理体系建设构想1.信息科技风险管理理念2.信息科技风险管理战略3.信息科技风险管理体系框架信息科技风险管理理念信息科技风险管理理念信息科技风险信息科技风险信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理信息科技风险管理通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测、和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息科技使用水平，增强核心竞争力和可持续发展能力。信息科技风险管理体系信息科技风险管理体系信息科技风险管理需要全面化、系统性的思考，从各个角度、多个层次实现。信息科技风险管理模式的转变信息科技风险管理模式的转变传统的管理模式静态的、局部的、事后补救的被动管理方式强调IT技术 普遍采用复杂的信息系统，但相应的管理措施不到位对IT风险的控制单独依靠技术手段来实现，其效果有限且被动技术与管理相结合加强信息系统的风险管理IT风险管理的技术手段由管理政策和标准来支持，以充分发挥技术作用，对环境的变化作主动的适应和调整信息科技风险管理模型信息科技风险管理模型动态的、动态的、全面的、全面的、主动主动预防式管理，预防式管理，建立信息科技风险评估基础上的动态建立信息科技风险评估基础上的动态的持续改进的管理系统的持续改进的管理系统二、二、ITIT风险管理体系建设构想风险管理体系建设构想1.信息科技风险管理理念2.信息科技风险管理战略3.信息科技风险管理体系框架信息科技风险管理战略信息科技风险管理战略信息科技风险管理战略则是从业务需求、合规性需求、信息科技风险管理需求出发，遵从风险管理的理念，在风险管理战略规划的基础上，为全面指导信息科技风险管控工作而制定的方针政策。制定原则制定原则整体规划、分步实施原则ITIT风险管理体系建设是系统工程，必须风险管理体系建设是系统工程，必须统一规划统一规划ITIT风险管理体系建设不可能一蹴而就，风险管理体系建设不可能一蹴而就，需要分步骤实施需要分步骤实施全员参与的原则ITIT风险管理绝不只是信息安全部门的责风险管理绝不只是信息安全部门的责任，而是全行每一名员工的职责任，而是全行每一名员工的职责全面保障的原则信息科技风险的控制需要多角度、多层信息科技风险的控制需要多角度、多层次，从各个环节入手进行全面的保障次，从各个环节入手进行全面的保障技术与管理并重原则技术是手段、管理是保障技术是手段、管理是保障积极防护、动态管理原则信息科技风险是动态发展的，因此须动信息科技风险是动态发展的，因此须动态的管理风险态的管理风险同步建设原则ITIT风险管理体系建设与信息化建设必风险管理体系建设与信息化建设必须同步须同步重点保护原则风险的控制有轻重缓急，必须把有限风险的控制有轻重缓急，必须把有限的资源集中到需重点防范的对象、环的资源集中到需重点防范的对象、环节节标准化原则技术和管理要规范化、标准化技术和管理要规范化、标准化适度保护原则风险永远不可能彻底消除，明确可接风险永远不可能彻底消除，明确可接受的风险，进行适度的保护是风险管受的风险，进行适度的保护是风险管理的精华所在理的精华所在合规性原则ITIT风险管理工作必须考虑外部法律法风险管理工作必须考虑外部法律法规的符合度规的符合度信息科技风险管理体系信息科技风险管理体系目标目标风险识别与发现风险识别与发现风险计量和风险计量和分析分析风险控制及风险控制及预估预估打造打造“全方位、主动型信息全方位、主动型信息科技风险防护体系科技风险防护体系”二、二、ITIT风险管理体系建设构想风险管理体系建设构想1.信息科技风险管理理念2.信息科技风险管理战略3.信息科技风险管理体系框架信息科技风险管理体系总体框架法律法规、标准符合性法律法规、标准符合性ITIT风险管理风险管理策略策略IT风险管理策略信息科技标准和规范信息科技指南和细则风险管理风险管理ITIT风险管理战略风险管理战略管理体系管理体系认知-宣传教育组织-管理控制审计-二次监督运作体系运作体系风险评估 风险控制 运行监控 应急恢复技术措施技术措施用户数据文档管理系统安全物理安全资产应用开发维护网络安全身份认证加密加固备份恢复访问控制防恶监控管理体系框架管理体系框架审计审计二次监督二次监督组织组织管理控制管理控制认知认知宣传教育宣传教育第一层第一层宣传教育宣传教育第二层第二层管理控制管理控制第三层第三层二次监督二次监督员工在风险管理方面的自我约束、自我控制，是信息科技风险管理的第一个层次。大部分的信息科技风险管理在运行中需要依靠员工的主观能动性。明确管理职责是信息科技风险管理工作的第二个层次，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。审计监督是企业内部风险控制的重要组成部分，因此需要相对独立的专职部门对IT风险管理效果进行二次监督。管理体系管理体系认知认知员工信息风险防范意识的强弱是企业风险管理工作的一个重要指标全体员工对信息科技风险的充分认知是信息科技风险管理全员参与原则的重要基础所有岗位的员工都必须了解自己在风险管理工作中扮演的角色和承担的职责风险管理专业技能是风险管理专职人员必须掌握的内容宣宣 传传 教教 育育管理体系管理体系组织组织决策机构决策机构管理机构管理机构监监 管管 机机 构构ITIT风险管理中的最高决策组织，风险管理中的最高决策组织，可以通过委员会的形式存在可以通过委员会的形式存在是是ITIT风险决策机构的决策支持者风险决策机构的决策支持者和决策执行者，负责根据决策制和决策执行者，负责根据决策制定风险管理方面的各种规章制度，定风险管理方面的各种规章制度，协调各执行机构的关系协调各执行机构的关系执行机构执行机构开发开发运行运行使用使用最终执行机构，涉最终执行机构，涉及到信息安全运作及到信息安全运作的各个方面的各个方面管理体系管理体系审计审计在信息科技风险管理体系中，审计工作是保障该体系得以有效运作的重要方法。信息安全审计以检查内部控制执行情况为主，其主要依据是：银行颁布实施的相关政策、标准和规范、实施细则及指南相关法律法规、国际通行的标准（如COBIT）运作体系框架运作体系框架运作流程运作流程运作对象运作对象风险评估风险评估风险评估风险评估风险控制风险控制风险控制风险控制运行监控运行监控运行监控运行监控应急应急应急应急恢复恢复恢复恢复用户用户用户用户资产资产资产资产数据和文档数据和文档数据和文档数据和文档应用开发和维护应用开发和维护应用开发和维护应用开发和维护系统安全系统安全系统安全系统安全网络安全网络安全网络安全网络安全物理安全物理安全物理安全物理安全运作流程运作流程风险评估风险评估N N N NY Y Y Y风险分析风险分析风险分析风险分析安全措施建议安全措施建议安全措施建议安全措施建议残余风险接受残余风险接受残余风险接受残余风险接受确确确确定定定定审审审审核核核核界界界界限限限限识别现有措施识别现有措施识别现有措施识别现有措施资资资资产产产产识识识识别别别别薄弱环节评估薄弱环节评估薄弱环节评估薄弱环节评估威胁评估威胁评估威胁评估威胁评估资产价值评估资产价值评估资产价值评估资产价值评估风风风风险险险险估估估估计计计计确确确确定定定定风风风风险险险险策策策策略略略略确确确确定定定定安安安安全全全全措措措措施施施施确确确确定定定定安安安安全全全全需需需需求求求求接接接接受受受受残残残残余余余余风风风风险险险险运作流程运作流程风险控制措施规划和实施风险控制措施规划和实施制定制定制定制定风险控制风险控制风险控制风险控制政策政策政策政策制定制定制定制定风险控制计划风险控制计划风险控制计划风险控制计划风险风险风险风险控制措施实施控制措施实施控制措施实施控制措施实施风险控制风险控制风险控制风险控制措施审批措施审批措施审批措施审批运作流程运作流程风险控制措施运行监控风险控制措施运行监控持续的信息安全持续的信息安全持续的信息安全持续的信息安全日常维护事件处理监控变更管理安全符合性检查运作流程运作流程应急恢复应急恢复应应应应急急急急恢恢恢恢复复复复业业业业务务务务重重重重建建建建报报报报告告告告紧紧紧紧急急急急情情情情况况况况估估估估计计计计损损损损失失失失启启启启动动动动应应应应急急急急计计计计划划划划应急响应应急响应技术措施技术措施 数据数据层层 应用应用层层 系统系统层层 网络层网络层 物理层物理层备份备份恢复恢复BRBR身份认证身份认证I&AI&A访问控制访问控制AMAM加密加密EncryptionEncryption监控监控MonitoringMonitoring恶意代码恶意代码防护防护MaliciousMaliciousProtectProtect系统加固系统加固SHSH三、IT风险管理实务1.IT风险管理工作成果2.奥运信息安全保障工作三、IT风险管理工作实践经验交流1.IT风险管理建设成果2.奥运信息安全保障工作奥运信息安全保障工作1.健全信息科技风险管理保障机制2.落实信息科技风险评估和预警机制3.夯实信息科技风险应急处置机制4.坚持信息安全防控工作的持续总结和改进机制1.1.健全信息科技风险管理保障机制健全信息科技风险管理保障机制构建信息科技风险管理组织体系，切实落实信息安全管理责任制 全面实施信息科技风险奥运专项自查工作深入开展奥运安全专项现场检查全力做好压力测试工作，深化信息系统保障机制 认真及时地落实银行业奥运信息安全保障例会的会议精神构建信息科技风险管理组织体系将信息科技风险管理纳入到总体风险管理的框架，全行信息安全管理工作在董事会的领导下，由内部控制委员会、风险管理委员会、IT管理委员会三个专门委员会具体负责为加强奥运安全保障组织建设，组建了以行领导、各相关部门负责人及骨干为主的奥运安全保障团队，下设奥运安全保障领导小组、奥运应急处置小组、奥运支持保障小组和奥运技术支持小组全面实施信息科技风险奥运专项自查工作全面实施信息科技风险奥运专项自查工作 在总、分行分别成立信息科技风险奥运专项自查工作领导小组和实施小组，全面负责自查工作的领导、组织和实施，并实行严格的问责制。从加强数据中心运行管理和安全保障，完善有效的业务连续性计划，做好重要系统压力测试，确保电子银行业务安全，完善银行系统跨行业应急机制，落实安全等级保护制度这六个方面着手，着重对信息科技服务的连续性、系统运行的稳定性、电子银行业务的安全性、应急管理体系的有效性，逐项提出明确具体的自查内容和整改目标深入开展奥运安全专项现场检查深入开展奥运安全专项现场检查结合自查整改结果，针对“外卡收单业务”、“服务连续性”、“应急管理”、“电子银行系统安全”等关键点，组织“奥运检查小组”对总行数据中心、灾备中心、信用卡中心及北京分行、上海分行、深圳分行、天津分行、沈阳分行、青岛分行等奥运承办城市分行开展了奥运安全专项现场检查，针对检查中发现的问题，组织相关单位研究讨论并积极采取相应的措施，全力做好整改工作。全力做好压力测试工作，深化信息系统保障机制全力做好压力测试工作，深化信息系统保障机制对个人网上银行系统、全国金卡系统、信用卡系统、第三方存管系统、呼叫中心系统等进行了针对性的压力测试，以当前系统峰值交易量两倍的预估量作为测试设置值，测试交易的范围涵盖了相关的所有卡业务完善信息安全保障体系，包括：企业级防病毒建设、全行入侵检测系统部署、日志分析以及对桌面安全管理系统建设落实银行业奥运信息安全保障例会的会议精神落实银行业奥运信息安全保障例会的会议精神 积极参加人民银行科技司和银监会信息中心定期召开的“银行业奥运信息安全保障周例会”，并于会后将人民银行科技司和银监会信息中心提示的信息科技风险和指导意见进行专项落实和整改2.2.建立完善的信息科技风险评估和预警机制建立完善的信息科技风险评估和预警机制 定期进行信息科技风险评估，有效提升信息科技运行风险监测预警水平 致力强化安全保障措施，消除潜在安全隐患，完善信息系统风险预警措施 全面评估网银系统风险，确保网银系统安全运行 落实人民银行和银监会的信息系统风险提示，认真排查风险点，加强应急协调沟通工作定期进行信息科技风险评估定期进行信息科技风险评估加快建立健全信息科技风险评估和预警机制，完善风险预警和风险评估流程化管理，以及早发现风险、识别风险聘请国内信息安全评估厂商和专家，定期进行信息科技风险评估、安全检测，通过不断自我评估、自我完善，消除各类风险隐患强化完善信息科技运行风险监测体系，通过总行运行中心监控平台、Tivoli系统、solarwind系统以及我行自主开发的应用系统可用性监控预警平台、交易健康状况预警监控系统等，对覆盖全行的机房基础设施、信息系统、网络等实施724小时不间断监控，及时识别风险因素，做出预警全面推进全行运行中心ITIL运维流程化管理进程，深入开展信息系统安全等级保护工作强化安全保障，消除安全隐患，完善信息系统风险预警措施强化安全保障，消除安全隐患，完善信息系统风险预警措施消除重要安全域的网络设备的单点故障，对流量占比最大的电信线路做双线路负载均衡改造消除重要电力设施的单点故障，对重要的电力基础设施做双回路设备的线路改造对重要应用系统数据库进行了清理和重构，主要包括网上银行系统数据库，STL系统数据库，小额支付系统数据库和小额支付管理平台数据库等约10多套重要信息系统对未纳入Tivoli监控系统监控的设备进行部署，实施全面覆盖重要信息系统可用性监控的建设724小时现场值守工作制，加强系统运行情况的监控与巡查 全面评估网银系统风险，确保网银系统安全运行全面评估网银系统风险，确保网银系统安全运行认真梳理检查网银系统的风险隐患，从网站系统存在的系统漏洞与风险、客户端身份认证存在的安全漏洞与风险到核心内网和后台应用系统存在的漏洞，进行了全面的研讨和评估，从中发现问题并提出积极有效的应对措施引入专业的安全技术团队对我行的网银系统和外联系统设备进行了全面的漏洞扫描及网络安全攻击检测，并根据检测结果对薄弱环节进行安全加固，同时制定了网银外部攻击应急预案加强对网银系统的应急演练工作为应对奥运期间网银系统客户数量和交易量剧增的情况，对个人网银系统进行了针对性的压力测试 3.3.建立高效的信息科技应急处置机制建立高效的信息科技应急处置机制发布了针对信息科技突发事件应急管理的制度，明确规定了重大突发事件的类型划分标准、处置基本原则、职能部门分工、责任追究等内容，确保重大突发事件发生后报告路线清晰、职责分工明确、处置流程畅通。充分考虑可能发生的各种场景，与分行、业务部门、外部厂商协同配合，深入开展信息系统应急演练。通过组织演练，全面检验了应急预案的完备性、可操作性和流程的合理性，有利于完善信息系统应急预案，优化应急响应流程，同时强化员工危机意识，提高了员工应对紧急突发事件的快速响应能力建立与外部单位的应急协调沟通机制建立与外部单位的应急协调沟通机制为应对夏季高温导致断电、供电不足问题，组织与大厦物业管理中心及电力部门研讨对策，从电力公司应急协调到大厦物业应急管理，从应急发电到柴油储备等多方面积极部署并落实应急方案，同时向福州市电业局发函要求对我行奥运期间供电安全进行重点保障为应对奥运期间业务量激增对网络产生较大压力的问题，组织与通讯运营商共商对策，建立了应急协调沟通机制，并提出了奥运期间网络重点保障的要求召开了应用系统第三方技术支持公司奥运运维保障会议，落实奥运会期间第三方公司的技术支持和服务保障工作4.坚持信息安全防控工作的持续总结和改进机制坚持信息安全防控工作的持续总结和改进机制 引入“KPI量化管理”与“责任追究”机制，持续推进了信息安全保障的工作目标管理，有效提升了全行信息安全保障水平贯彻落实以银监会指引为中心的信息风险管理制度建设工作，改进和完善了现有的信息安全保障相关制度和标准规范，形成了符合银监会指引要求的信息风险管理制度体系在对历次信息安全评估、检查和审计中发现问题实施整改的过程中，将已解决并且可行的内容加以标准化，纳入到有关的信息安全保障制度中，防止以后再发生类似问题Thank You谢谢！