信息科技风险监管讲座.ppt
《信息科技风险监管讲座.ppt》由会员分享,可在线阅读,更多相关《信息科技风险监管讲座.ppt(95页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息科技风险监管知识讲座信息科技风险监管知识讲座2010 年年 8 月月Copyright by CHENYL第一页,编辑于星期五:二点 十七分。主要内容主要内容一、信息科技风险监管概况一、信息科技风险监管概况二、二、信息科技风险监管目标和手段信息科技风险监管目标和手段三、三、主要监管制度介绍主要监管制度介绍四、信息科技风险监管体系简介四、信息科技风险监管体系简介五、基层银行机构科技风险监管的思考五、基层银行机构科技风险监管的思考 第二页,编辑于星期五:二点 十七分。一、信息科技风险监管概况一、信息科技风险监管概况第三页,编辑于星期五:二点 十七分。信息科风险监管背景信息科风险监管背景某银行核
2、心系统故障全国中断营业4小时某行海南分行供电中断导致停业7.5小时2006年银联跨行交易全面中断8小时屡次发生的网络安全事件:2010年 初多家银行网银系统遭受攻击2009年底我省某行网银系统遭受DDos攻击2009年底某行成都分行发生网银客户资金被盗事件2008年奥运开幕式某国有银行网络遭攻击.200620082010近年来,随着银行机构系统网络化、数据集中化,科技风险问题日益突出近年来,随着银行机构系统网络化、数据集中化,科技风险问题日益突出科技风险的特点是科技风险的特点是风险变化快、蔓延快、影响范围大风险变化快、蔓延快、影响范围大 第四页,编辑于星期五:二点 十七分。银监会信息科技监管历
3、程银监会信息科技监管历程20062007200820092010发布信息科技风险管理指引发布信息科技风险管理指引开展信息科技风险内部和外部评价审计开展信息科技风险奥运专项自查发布新的商业银行信息科技风险管理指引银行业重要信息系统投产与变更管理办法 部署信息科技风险非现场系统商业银行数据中心监管指引v自自2006年年8月发布月发布银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引开始,开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,监管工作银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,监管工作逐步走向规范化。逐步走向规范化。第五页,编辑于星期
4、五:二点 十七分。银监会开展的主要工作银监会开展的主要工作v制定一系列制度和标准v持续开展信息科技风险监管培训v组织开展信息科技风险现场检查v推动实施信息科技非现场监管v组织开展重要时点信息科技自查整改v及时发布各类信息科技风险提示第六页,编辑于星期五:二点 十七分。银行机构信息科技风险状况银行机构信息科技风险状况v科技风险管控意识提高v科技治理架构初步建立v科技基础设施不断完善v运行维护能力不断加强v重视加强灾备建设及开展应急演练第七页,编辑于星期五:二点 十七分。银行机构信息科技风险状况银行机构信息科技风险状况v个别银行科技治理认识不到位v重眼前建设轻长远规划v科技治理架构未有效运行v应急
5、演练开展实战性不足v基层银行机构科技力量薄弱第八页,编辑于星期五:二点 十七分。二、二、信息科技风险监管目标与手段第九页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标降低信息系统连续性和降低信息系统连续性和安全性风险程度到可接受范围安全性风险程度到可接受范围保障信息系统连续性信息系统连续性和安全性安全性保护银行信息资产(信息系统、数据)保护存款人利益维护社会稳定第十页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v连续性:即业务连续性,保证信息系统稳定、持续地提供服务,通俗地说就是系统“不能断”。v安全性:保证数据的保密性、完整性、可用性,通俗地
6、说就是数据“不能丢”。所有科技风险事件都可以归于信息系统连续性或安全性出问题的事件。第十一页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v连续性事件案例案案例例1:2008年11月上旬,某大型银行某省分行在供电部门预先通知停电的情况下,因发电机故障、主机存储控制卡损坏等原因,造成全省业务无法正常运营达7小时15分钟。案案例例2:2009年12月21日,某行网上银行系统发生一起因DDOS攻击引发的系统故障,经内外部专家诊断为外部分布式攻击。攻击来自互联网多个地方和多台机器,持续时间500分钟。故障刚发生阶段的现象表现为网银客户登录网银主页面缓慢或超时无法访问。监控系统显
7、示网上银行主页服务器系统资源压力迅速增大,进程达到系统最大进程数,超过日常监控进程数四倍。案案例例3 3:2010年2月3日某全国性银行核心业务系统数据库故障导致全国柜面等各项业务中断近四小时。案案例例4 4:2007年12月16日11:05至13:57,某分行综合前置机系统出现故障,造成全辖15个网点对外营业中断近三个小时。第十二页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v安全性事件案例案案例例1:2008年12月31日至2009年1月4日,某银行成都分行发生一起网上银行客户资金被盗案件,涉及被盗帐号12个,总金额12万元。犯罪嫌疑人通过本人及雇用他人在银行办理
8、借记卡并开通个人网银业务,以合法身份进入该银行大众版网银系统,然后利用网络下载的黑客软件对该银行大众版网银系统进行攻击和破译,发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转出卡号、转入帐号客户隶属关系进行校验,而且主机系统对网银服务端上传的个别交易数据验证不充分的程序逻辑缺陷,通过模拟浏览器与服务端通讯的方式,非法截取并篡改交易数据,盗取他人资金。第十三页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v安全性事件案例案案例例2:某行市分行发生一起内部员工违规利用网银动用客户资金的案件。2008年10月份,支行客户部网银操作员及复核员在为客户办理网银业务时发现操
9、作IC卡已经过期,遂联系市分行网银管理员黄某办理换卡事宜,并告知其操作密码。黄某利用自己作为管理员保管“管理证书”之便,进入系统,修改了某对公客户的网银证书和密码,再通过集团理财帐户实行网银转帐,动用客户帐户上233.7万元用于炒权证。案案例例3:某行柜员在为客户办理购买基金手续过程中,利用电脑终端画面可以屏幕打印功能,没有进行实际交易,套打基金交易凭证交予客户,将客户资金转入其控制的账户.涉案金额85万元。电脑终端可随意进行屏幕打印,存在明显缺陷,使作案人有机可乘第十四页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v安全性事件案例案案例例4:近期,某银行机构发现不法
10、分子根据互联网上下载的“特征码识别程序”自行编写密码猜解软件,通过锁定某一固定密码反复轮训帐号的方式,对多家银行网银系统发起暴力猜测攻击,最终非法获取两家银行数百个客户的网银帐号、查询密码等信息。案案例例5:近期,某银行机构发现不法分子根据互联网上下载的“特征码识别程序”自行编写密码猜解软件,通过锁定某一固定密码反复轮训帐号的方式,对多家银行网银系统发起暴力猜测攻击,最终非法获取两家银行数百个客户的网银帐号。案例案例6:某行借记卡被通过手机银行猜解密码,涉及1007张借记卡。第十五页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v如何判断是否达到目标?信息科技风险(包括
11、连续性和安全性风险)的计量判断信息科技风险程度是否在可接受范围第十六页,编辑于星期五:二点 十七分。基本概念基本概念 v资产 对组织具有价值的信息或资源,是安全策略保护的对象。主要包括:对组织具有价值的信息或资源,是安全策略保护的对象。主要包括:支持设施(例如建筑、供电、供水、空调等)支持设施(例如建筑、供电、供水、空调等)硬件资产(例如计算机设备、路由交换机、交换机等)硬件资产(例如计算机设备、路由交换机、交换机等)信息资产(例如数据库和数据文档、系统文件、用户手信息资产(例如数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序等)册、培训资料、操作和支持程序等)软件资产(例如应用
12、软件、系统软件、开发工具和使软件资产(例如应用软件、系统软件、开发工具和使用程序等)用程序等)生产能力或服务能力生产能力或服务能力 人员人员 无形资产(例如信誉、形象等)无形资产(例如信誉、形象等)其他其他(参照:(参照:1、信息安全风险评估规范、信息安全风险评估规范P1;2、信息系统安全管理要求信息系统安全管理要求P53)第十七页,编辑于星期五:二点 十七分。基本概念基本概念v资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。(出处:(出处:1、信息安全风险评估规范、信息安全风险评估规范P1)第十八页,编辑于星期五:二点 十七分。基本概念基本概念v威胁
13、 可能导致对系统或组织危害的不希望事故的潜在起因。威胁的分类可按照造成威胁的因素分为人为因素威胁和环境因素威胁,按照威胁的表现形式可以分为软硬件故障、物理环境影响、无作为或操作失误、管理不倒位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。(出处:(出处:1、信息安全风险评估规范、信息安全风险评估规范P2、P9)第十九页,编辑于星期五:二点 十七分。基本概念基本概念v脆弱性可能被威胁所利用的资产或若干资产的薄弱环节。资产的脆弱性包括物理布局、组织、规程、人事、管理、行政、硬件、软件或信息等的弱点。v(出处:1、信息安全风险评估规范P3;2、信息系统安全管理要求P54)第二十页,
14、编辑于星期五:二点 十七分。基本概念基本概念v安全措施 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。(出处:(出处:1、信息安全风险评估规范、信息安全风险评估规范P2)第二十一页,编辑于星期五:二点 十七分。基本概念基本概念v剩余风险 采取了安全措施后,信息系统仍然可能存在的风险。(出处:(出处:1、信息安全风险评估规范、信息安全风险评估规范3)第二十二页,编辑于星期五:二点 十七分。基本概念基本概念v风险的计量风险的计量人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。风险值=R(A,T,V)=
15、R(安全事件可能性,安全事件造成的损失)A资产T威胁V脆弱性安全事件的可能性=L(T,V)=L(威胁出现频率,脆弱性)安全事件造成的损失=F(Ia,Va)=(资产价值,脆弱性严重程度)第二十三页,编辑于星期五:二点 十七分。风险计量原理图风险计量原理图威胁识别脆弱性识别资产识别脆弱性的严重程度威胁出现的频率资产价值安全事件造成的损失安全事件的可能性风险值第二十四页,编辑于星期五:二点 十七分。信息科技风险要素关系图信息科技风险要素关系图第二十五页,编辑于星期五:二点 十七分。信息科技风险监管目标信息科技风险监管目标v如何判断信息科技风险程度是否在可接受范围?计量当前信息科技风险程度计量最低信息
16、科技风险程度依据:国家规范银监会制度法规行业标准自身接受程度(投入成本=损失成本)比较当前信息科技风险程度和最低信息科技风险程度第二十六页,编辑于星期五:二点 十七分。基本概念基本概念v风险评估资产识别资产识别威胁识别威胁识别脆弱性识别脆弱性识别已有安全措施确认已有安全措施确认人员人员病毒病毒病情病情预防措施预防措施信息安全风险评估信息安全风险评估人员健康查体检人员健康查体检第二十七页,编辑于星期五:二点 十七分。风险管理实施流程图风险管理实施流程图风险评估准备威胁识别资产识别脆弱性识别已有安全措施的确认风险计算风险是否接受制定风险处理计划并评估残余风险是否接受残余风险实施风险管理保持已有的安
17、全措施评估过程文档评估过程文档评估过程文档是否风险评估文档记录风险分析否第二十八页,编辑于星期五:二点 十七分。信息科技风险管理信息科技风险管理/监管手段监管手段v银行机构治理层面明确董事会职责、成立信息科技风险管理委员会建立科技风险三道防线(科技、风险、审计部门)制定全行信息科技风险管理战略规划管理层面科技部门风险部门审计部门具体手段第二十九页,编辑于星期五:二点 十七分。信息科技风险管理信息科技风险管理/监管手段监管手段v银行机构保护系统连续性和安全性的具体手段:基础设施建设(机房、网络、主机)灾备中心双机热备双运营上线路信息安全防护体系防火墙、IPS桌面管理系统日常系统运行监控项目开发、
18、外包过程管理应急管理(应急预案、应急保障、应急演练)第三十页,编辑于星期五:二点 十七分。信息科技风险管理信息科技风险管理/监管手段监管手段v监管部门 制度标准制定非现场监管和现场检查 准入审核及机构评级荷兰央行:银行执照、人员任免、计提资本、罚款组织协调、促进资源共享 第三十一页,编辑于星期五:二点 十七分。三、三、主要监管制度介绍第三十二页,编辑于星期五:二点 十七分。主要监管制度介绍主要监管制度介绍第三十三页,编辑于星期五:二点 十七分。银监会拟发布制度银监会拟发布制度v银监会行政许可事项中信息科技核准条件的补充规定和银行业金融机构重要信息系统投产及变更管理办法v商业银行首席信息官管理办
19、法第三十四页,编辑于星期五:二点 十七分。1、商业银行信息科技风险管理指引商业银行信息科技风险管理指引信息科技风险管理信息科技治理信息科技审计业务持续性管理信息安全管理信息科技运行项目开发、测试外包管理第三十五页,编辑于星期五:二点 十七分。v主要概念:信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。商业银行信息科技风险管理指引商业银行信息科技风险管理指引第四条第四条信息科技风险与操作风险的关系莆田网银案件信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、
20、监测和控制识别、计量、监测和控制,促进银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。商业银行信息科技风险管理指引商业银行信息科技风险管理指引第五条第五条三道防线信息科技风险管理的关键是要建立三道防线,第一道防线是指信息科技管理,需要全员参与,主要职责落在科技部门科技部门,第二道防线是风险管理,即从风险的角度如何防范,职责落在风险部门风险部门,第三道防线是审计监督,即内审和外审,职责落在审计部门审计部门,三道防线相互作用,形成立体防护网。1、商业银行信息科技风险管理指引商业银行信息科技风险管理指引第三十六页,编辑于星期五:二点 十七分。v要点:信息
21、科技治理明确商业银行董事会职责要求设立首席信息官,明确了首席信息官职责明确三道防线要求:明确信息科技管理、信息科技风险管理、信息科技审计的责任部门和职责内容风险管理部门职责:将科技风险纳入总体风险管理体系负责制定信息科技风险管理策略负责持续开展信息科技风险识别、监测、计量、评估根据风险评估结果制定风险防范措施 审计部门职责:组织开展内部和外部审计要求配备具有专业能力的信息科技审计人员独立开展审计至少每三年开展一次全面审计1、商业银行信息科技风险管理指引商业银行信息科技风险管理指引第三十七页,编辑于星期五:二点 十七分。v要点:业务连续性管理制定业务连续性规划,确保在出现无法预见的中断时,系统仍
22、能持续运行并提供服务。业务影响分析:人员、系统或其他资产的故障或缺失,信息丢失、战争、台风、地震采取双机热备、制定应急计划、购买商业保险1、商业银行信息科技风险管理指引商业银行信息科技风险管理指引第三十八页,编辑于星期五:二点 十七分。v要点:项目开发、测试管理开发环境和生产环境物理隔离禁止开发和维护人员随意进入生产系统组织开展系统上线后评价外包管理重要外包报告外包风险评估服务水平协议安全保密要求(包含敏感客户信息)应急措施1、商业银行信息科技风险管理指引商业银行信息科技风险管理指引第三十九页,编辑于星期五:二点 十七分。v要点:系统运行管理制定详细的运行操作说明系统运行监控容量规划变更管理事
23、件管理信息安全管理安全策略(物理安全、人员安全、访问控制、数据加密等)活动日志保存(交易日志、系统日志)1、商业银行信息科技风险管理指引商业银行信息科技风险管理指引第四十页,编辑于星期五:二点 十七分。2、银行业重要信息系统突发事件应急管理规范(试行)银行业重要信息系统突发事件应急管理规范(试行)v作用:规范并促进了银行业金融机构做好重要信息系统突发事件应急管理,提高对突发事件的综合管理能力和应急处置能力。v主要概念重要信息系统:指支撑银行业金融机构关键业务,其信息安全和系统服务安全关系公民、法人和组织权益或社会秩序和公共利益,甚至影响国家安全的信息系统 v要点:明确定义了董事会及高管层、风险
24、管理部门、信息科技管理部门和业务管理部门在突发事件中的职责要求,明确了应急领导小组、应急执行小组、应急保障小组的职责分工 对突发事件进行分级定义,将突发事件按照影响范围和持续时间分为特别重大突发事件(两个以上省业务中断超过3小时或一个省超过6小时)、重大突发事件(两个以上省业务中断半小时或一个省超3小时)、交大突发事件(一个省业务中断超半小时)三个级别 第四十一页,编辑于星期五:二点 十七分。2、银行业重要信息系统突发事件应急管理规范(试银行业重要信息系统突发事件应急管理规范(试行)行)v要点:要求银行机构建立信息科技风险防范体系,制定信息系统RTO(最短恢复时间目标)、RPO(最近恢复点目标
25、)指标 第四十二页,编辑于星期五:二点 十七分。2、银行业重要信息系统突发事件应急管理规范(试银行业重要信息系统突发事件应急管理规范(试行)行)正常处理初始响应激活恢复流程积压业务正常处理最近备份备份备份恢复结束目标恢复点事件 在成功恢复之前,数据可能会遗失、损坏、或无法获取目标恢复阶段(RTO)处理间隙:位于损坏点与恢复正常处理之间的滞后时间段灾难声明第四十三页,编辑于星期五:二点 十七分。2、银行业重要信息系统突发事件应急管理规范(试行)银行业重要信息系统突发事件应急管理规范(试行)v要点:对信息科技风险识别、评估、监测、预警的各个环节提出了具体要求对银行机构制定应急预案、开展应急演练、应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 科技 风险 监管 讲座
限制150内