【正文】 軟件 ， 通過鎖定某一固定密碼反復輪訓帳號的方式 ， 對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊 ，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號 、 查詢密碼等信息 。主要包括： ? —— 支持設施（例如建筑、供電、供水、空調等） ? —— 硬件資產(chǎn)（例如計算機設備、路由交換機、交換機等） ? —— 信息資產(chǎn)（例如數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序等） ? —— 軟件資產(chǎn)（例如應用軟件、系統(tǒng)軟件、開發(fā)工具和使用程序等） ? —— 生產(chǎn)能力或服務能力 ? —— 人員 ? —— 無形資產(chǎn)（例如信譽、形象等） ? —— 其他 （參照： 信息安全風險評估規(guī)范 P1； 信息系統(tǒng)安全管理要求P53） 基本概念 ? 資產(chǎn)價值 ? 資產(chǎn)的重要程度或敏感程度的表征。 （出處： 信息安全風險評估規(guī)范 P P9） 基本概念 ? 脆弱性 ? 可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。 （出處： 信息安全風險評估規(guī)范 3） 基本概念 ? 風險的計量 ? 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。 《 商業(yè)銀行信息科技風險管理指引 》 ?要點： ? 信息科技治理 ? 明確商業(yè)銀行董事會職責 ? 要求設立首席信息官，明確了首席信息官職責 ? 明確三道防線要求：明確信息科技管理、信息科技風險管理、信息科技審計的責任部門和職責內(nèi)容 ? 風險管理部門職責： – 將科技風險納入總體風險管理體系 – 負責制定信息科技風險管理策略 – 負責持續(xù)開展信息科技風險識別、監(jiān)測、計量、評估 – 根據(jù)風險評估結果制定風險防范措施 ? 審計部門職責： – 組織開展內(nèi)部和外部審計 – 要求配備具有專業(yè)能力的信息科技審計人員獨立開展審計 – 至少每三年開展一次全面審計 《 商業(yè)銀行信息科技風險管理指引 》 ?要點： ? 業(yè)務連續(xù)性管理 ? 制定業(yè)務連續(xù)性規(guī)劃，確保在出現(xiàn)無法預見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務。 ?要點 ? 加強和規(guī)范銀行機構信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過程造成業(yè)務中斷或數(shù)據(jù)丟失情況 ? 重要信息系統(tǒng)投產(chǎn)前至少 20個工作日、變更前至少 10個工作日向監(jiān)管部門報告，實施后 1個月內(nèi)提交投產(chǎn)或變更情況報告 《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 》 ? 概念 ? 數(shù)據(jù)中心：生產(chǎn)中心和災備中心 ? 災備中心：商業(yè)銀行為保障業(yè)務連續(xù)性，在生產(chǎn)中心故障、聽短或癱瘓后，能夠接替生產(chǎn)中心運行，具備專用場所、進行數(shù)據(jù)處理和支持重要業(yè)務持續(xù)運行的組織。 《 銀行業(yè)金融機構信息系統(tǒng)安全保障問責方案 》 ?要點 ? 要求法人銀行機構簽署信息系統(tǒng)安全保障責任書，明確高管人員對信息系統(tǒng)安全保障的管理責任 ? 對管理失職造成不良后果的，追究責任 《 銀行業(yè)金融機構信息科技非現(xiàn)場監(jiān)管報表 》 ? 要點： ? 明確信息科技風險部門為報送責任部門 ? 包括 1份年度報告、 14張年度報表、 6張季度報表、 7張實時報表 《 商業(yè)銀行信息科技風險現(xiàn)場檢查指南 》 ?要點 ? 明確了商業(yè)銀行目前主要的信息科技風險領域、主要風險點，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標，從而提高信息科技風險現(xiàn)場檢查的有效性和針對性，提升現(xiàn)場檢查質量。 【 信息科技固有風險 】 是固有風險的重要組成部分，特指機構在運用信息技術的運用過程中所面對的固有風險。 體系概述 — 數(shù)據(jù)關系 風險評估指標 非現(xiàn)場監(jiān)管報表 其 他 監(jiān) 管 干 預 現(xiàn)場檢查結果 風險 評估 監(jiān)管評級 現(xiàn)場檢查 結果 指標體系 — 固有風險指標 重要 信息系統(tǒng) 數(shù)據(jù)中心運行 與 災備 信息科技項目 信息科技 服務外包 系統(tǒng)恢復及 數(shù)據(jù)保護 監(jiān)管關注度 信息科技 固有風險指標 固有風險 子領域 指標體系 — 固有風險指標 重要 信息系統(tǒng)子領域 風險成因 重要 信息系統(tǒng) ? 核心業(yè)務系統(tǒng)替換后影響未消除，導致業(yè)務無法正常運行。 指標體系 — 固有風險指標 數(shù)據(jù)中心運行 與 災備子領域 風險成因 數(shù)據(jù)中心運行 與 災備 ? 數(shù)據(jù)中心的重大變動對信息科技正常運行產(chǎn)生不利影響。本機構系統(tǒng)恢復設施的失效可能影響對方的系統(tǒng)恢復，增加本機構在經(jīng)濟責任、法律及聲譽等方面的風險。例如，基于數(shù)據(jù)倉庫技術的商業(yè)智能系統(tǒng)的運用。 ? 項目規(guī)模及復雜度難以駕馭。 ? 外包商完全位于境外或。信息科技支持能力應與機構規(guī)模相適應，并在一定時期內(nèi)能夠持續(xù)滿足對網(wǎng)點規(guī)模增長的需求） ? 業(yè)務量。 指標體系 — 控制有效性指標 信息科技治理 控制有效性 指標 控制有效性 子領域 信息科技風險管理 信息系統(tǒng)開發(fā)、測試與維護 信息科技審計 災難恢復與應急管理 信息科技外包 信息安全（一般控制） 信息科技運行 指標體系 — 控制有效性指標 信息科技治理子領域 關鍵要素 信息科技治理 ? 是否具有信息科技治理領導力？（或信息科技在高管層中的地位如何）？ ? 信息科技戰(zhàn)略能否有效支持業(yè)務目標？ ? 信息科技未得到足夠的財務支持？ ? 信息科技治理職能與責任劃分是否明確、合理？ ? 信息科技治理執(zhí)行力如何？ ? 信息科技治理是否與企業(yè)治理兼容？ 指標體系 — 控制有效性指標 信息科技風險管理 子領域 關鍵要素 信息科技風險管理 ? 風險容忍度？ ? 風險管理流程是否完整？（應包括：識別風險、評估風險、控制風險、監(jiān)測風險、預警風險） ? 風險管理是否有效運作？主要體現(xiàn)在風險根源分析機制持續(xù)運作？ ? 信息科技風險管理與業(yè)務風險管理的關系是否理順？ ? 風險控制措施是否有效覆蓋被識別的風險點？ ? 是否有足夠的專業(yè)人才開展風險管理工作？ ? 風險意識持續(xù)培養(yǎng)？ 指標體系 — 控制有效性指標 信息科技審計 子領域 關鍵要素 信息科技審計 ? 信息科技審計部門及人員的獨立性如何？ ? 信息科技審計部門與人員是否 合理授權 ？ ? 信息科技審計人員的專業(yè)性如何？ ? 審計發(fā)現(xiàn)整改率？ ? 審計分支機構覆蓋率？ ? 是否建立信息系統(tǒng)的應用控制及審計方法？ 指標體系 — 控制有效性指標 信息系統(tǒng)開發(fā)、測試與維護 子領域 關鍵要素 信息系統(tǒng)開發(fā)、 測試與維護 ? 有無項目管理組織統(tǒng)一安排、協(xié)調各類項目？ ? 如何保障項目質量？ ? 有無項目財務管理和監(jiān)督？ ? 開發(fā)、測試環(huán)境的管理？ ? 項目的設計階段是否充分考慮了信息安全、保密、災難恢復等需求？ ? 項目結束后是否進行業(yè)務價值評價和審計？ 指標體系 — 控制有效性指標 信息科技運行子領域 關鍵要素 信息科技運行 ? 運行操作崗位設置是否