【正文】 行編寫密碼猜解軟件 ， 通過(guò)鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式 ， 對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊 ，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào) 、 查詢密碼等信息 。主要包括： ? —— 支持設(shè)施（例如建筑、供電、供水、空調(diào)等） ? —— 硬件資產(chǎn)（例如計(jì)算機(jī)設(shè)備、路由交換機(jī)、交換機(jī)等） ? —— 信息資產(chǎn)（例如數(shù)據(jù)庫(kù)和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序等） ? —— 軟件資產(chǎn)（例如應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和使用程序等） ? —— 生產(chǎn)能力或服務(wù)能力 ? —— 人員 ? —— 無(wú)形資產(chǎn)（例如信譽(yù)、形象等） ? —— 其他 （參照： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P1； 信息系統(tǒng)安全管理要求P53） 基本概念 ? 資產(chǎn)價(jià)值 ? 資產(chǎn)的重要程度或敏感程度的表征。 （出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P P9） 基本概念 ? 脆弱性 ? 可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。 （出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 3） 基本概念 ? 風(fēng)險(xiǎn)的計(jì)量 ? 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 信息科技治理 ? 明確商業(yè)銀行董事會(huì)職責(zé) ? 要求設(shè)立首席信息官，明確了首席信息官職責(zé) ? 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)的責(zé)任部門和職責(zé)內(nèi)容 ? 風(fēng)險(xiǎn)管理部門職責(zé)： – 將科技風(fēng)險(xiǎn)納入總體風(fēng)險(xiǎn)管理體系 – 負(fù)責(zé)制定信息科技風(fēng)險(xiǎn)管理策略 – 負(fù)責(zé)持續(xù)開(kāi)展信息科技風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)、計(jì)量、評(píng)估 – 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)防范措施 ? 審計(jì)部門職責(zé)： – 組織開(kāi)展內(nèi)部和外部審計(jì) – 要求配備具有專業(yè)能力的信息科技審計(jì)人員獨(dú)立開(kāi)展審計(jì) – 至少每三年開(kāi)展一次全面審計(jì) 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 業(yè)務(wù)連續(xù)性管理 ? 制定業(yè)務(wù)連續(xù)性規(guī)劃，確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)。 ?要點(diǎn) ? 加強(qiáng)和規(guī)范銀行機(jī)構(gòu)信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過(guò)程造成業(yè)務(wù)中斷或數(shù)據(jù)丟失情況 ? 重要信息系統(tǒng)投產(chǎn)前至少 20個(gè)工作日、變更前至少 10個(gè)工作日向監(jiān)管部門報(bào)告，實(shí)施后 1個(gè)月內(nèi)提交投產(chǎn)或變更情況報(bào)告 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 ? 概念 ? 數(shù)據(jù)中心：生產(chǎn)中心和災(zāi)備中心 ? 災(zāi)備中心：商業(yè)銀行為保障業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、聽(tīng)短或癱瘓后，能夠接替生產(chǎn)中心運(yùn)行，具備專用場(chǎng)所、進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案》 ?要點(diǎn) ? 要求法人銀行機(jī)構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書(shū)，明確高管人員對(duì)信息系統(tǒng)安全保障的管理責(zé)任 ? 對(duì)管理失職造成不良后果的，追究責(zé)任 《 銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場(chǎng)監(jiān)管報(bào)表 》 ? 要點(diǎn)： ? 明確信息科技風(fēng)險(xiǎn)部門為報(bào)送責(zé)任部門 ? 包括 1份年度報(bào)告、 14張年度報(bào)表、 6張季度報(bào)表、 7張實(shí)時(shí)報(bào)表 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南 》 ?要點(diǎn) ? 明確了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的有效性和針對(duì)性，提升現(xiàn)場(chǎng)檢查質(zhì)量。 【 信息科技固有風(fēng)險(xiǎn) 】 是固有風(fēng)險(xiǎn)的重要組成部分，特指機(jī)構(gòu)在運(yùn)用信息技術(shù)的運(yùn)用過(guò)程中所面對(duì)的固有風(fēng)險(xiǎn)。 體系概述 — 數(shù)據(jù)關(guān)系 風(fēng)險(xiǎn)評(píng)估指標(biāo) 非現(xiàn)場(chǎng)監(jiān)管報(bào)表 其 他 監(jiān) 管 干 預(yù) 現(xiàn)場(chǎng)檢查結(jié)果 風(fēng)險(xiǎn) 評(píng)估 監(jiān)管評(píng)級(jí) 現(xiàn)場(chǎng)檢查 結(jié)果 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 重要 信息系統(tǒng) 數(shù)據(jù)中心運(yùn)行 與 災(zāi)備 信息科技項(xiàng)目 信息科技 服務(wù)外包 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護(hù) 監(jiān)管關(guān)注度 信息科技 固有風(fēng)險(xiǎn)指標(biāo) 固有風(fēng)險(xiǎn) 子領(lǐng)域 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 重要 信息系統(tǒng)子領(lǐng)域 風(fēng)險(xiǎn)成因 重要 信息系統(tǒng) ? 核心業(yè)務(wù)系統(tǒng)替換后影響未消除，導(dǎo)致業(yè)務(wù)無(wú)法正常運(yùn)行。 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 數(shù)據(jù)中心運(yùn)行 與 災(zāi)備子領(lǐng)域 風(fēng)險(xiǎn)成因 數(shù)據(jù)中心運(yùn)行 與 災(zāi)備 ? 數(shù)據(jù)中心的重大變動(dòng)對(duì)信息科技正常運(yùn)行產(chǎn)生不利影響。本機(jī)構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響對(duì)方的系統(tǒng)恢復(fù)，增加本機(jī)構(gòu)在經(jīng)濟(jì)責(zé)任、法律及聲譽(yù)等方面的風(fēng)險(xiǎn)。例如，基于數(shù)據(jù)倉(cāng)庫(kù)技術(shù)的商業(yè)智能系統(tǒng)的運(yùn)用。 ? 項(xiàng)目規(guī)模及復(fù)雜度難以駕馭。 ? 外包商完全位于境外或。信息科技支持能力應(yīng)與機(jī)構(gòu)規(guī)模相適應(yīng)，并在一定時(shí)期內(nèi)能夠持續(xù)滿足對(duì)網(wǎng)點(diǎn)規(guī)模增長(zhǎng)的需求） ? 業(yè)務(wù)量。 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技治理 控制有效性 指標(biāo) 控制有效性 子領(lǐng)域 信息科技風(fēng)險(xiǎn)管理 信息系統(tǒng)開(kāi)發(fā)、測(cè)試與維護(hù) 信息科技審計(jì) 災(zāi)難恢復(fù)與應(yīng)急管理 信息科技外包 信息安全（一般控制） 信息科技運(yùn)行 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技治理子領(lǐng)域 關(guān)鍵要素 信息科技治理 ? 是否具有信息科技治理領(lǐng)導(dǎo)力？（或信息科技在高管層中的地位如何）？ ? 信息科技戰(zhàn)略 能否有效 支持業(yè)務(wù)目標(biāo) ？ ? 信息科技未得到足夠的財(cái)務(wù)支持 ？ ? 信息科技治理職能與責(zé)任劃分是否明確、合理？ ? 信息科技治理執(zhí)行力如何？ ? 信息科技治理是否與企業(yè)治理兼容？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技風(fēng)險(xiǎn)管理 子領(lǐng)域 關(guān)鍵要素 信息科技風(fēng)險(xiǎn)管理 ? 風(fēng)險(xiǎn)容忍度？ ? 風(fēng)險(xiǎn)管理流程是否完整？（應(yīng)包括：識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、監(jiān)測(cè)風(fēng)險(xiǎn)、預(yù)警風(fēng)險(xiǎn)） ? 風(fēng)險(xiǎn)管理是否有效運(yùn)作？主要體現(xiàn)在風(fēng)險(xiǎn)根源分析機(jī)制持續(xù)運(yùn)作？ ? 信息科技風(fēng)險(xiǎn)管理與業(yè)務(wù)風(fēng)險(xiǎn)管理的關(guān)系是否理順？ ? 風(fēng)險(xiǎn)控制措施是否有效覆蓋被識(shí)別的風(fēng)險(xiǎn)點(diǎn)？ ? 是否有足夠的專業(yè)人才開(kāi)展風(fēng)險(xiǎn)管理工作？ ? 風(fēng)險(xiǎn)意識(shí)持續(xù)培養(yǎng)？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技審計(jì) 子領(lǐng)域 關(guān)鍵要素 信息科技審計(jì) ? 信息科技審計(jì)部門及人員的獨(dú)立性如何？ ? 信息科技審計(jì)部門與人員是否 合理授權(quán) ？ ? 信息科技審計(jì)人員的專業(yè)性如何？ ? 審計(jì)發(fā)現(xiàn)整改率？ ? 審計(jì)分支機(jī)構(gòu)覆蓋率？ ? 是否建立信息系統(tǒng)的應(yīng)用控制及審計(jì)方法？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息系統(tǒng)開(kāi)發(fā)、測(cè)試與維護(hù) 子領(lǐng)域 關(guān)鍵要素 信息系統(tǒng)開(kāi)發(fā)、 測(cè)試與維護(hù) ? 有無(wú)項(xiàng)目管理組織統(tǒng)一安排、協(xié)調(diào)各類項(xiàng)目？ ? 如何保障項(xiàng)目質(zhì)量？ ? 有無(wú)項(xiàng)目財(cái)務(wù)管理和監(jiān)督？ ? 開(kāi)發(fā)、測(cè)試環(huán)境的管理？ ? 項(xiàng)目的設(shè)計(jì)階段是否充分考慮了信息安全、保密、災(zāi)難恢復(fù)等需求？ ? 項(xiàng)目結(jié)束后是否進(jìn)行業(yè)務(wù)價(jià)值評(píng)價(jià)和審計(jì)？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技運(yùn)行子領(lǐng)域 關(guān)鍵要素 信息科技運(yùn)行 ? 運(yùn)行操作崗位設(shè)置是否