【正文】 攻擊 ，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào) 。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點(diǎn)。 ? 風(fēng)險(xiǎn)值 =R(A,T,V)=R(安全事件可能性 ,安全事件造成的損失 ) ? A—— 資產(chǎn) ? T—— 威脅 ? V—— 脆弱性 ? 安全事件的可能性 = L（ T， V） = L（ 威脅出現(xiàn)頻率，脆弱性） ? 安全事件造成的損失 = F（ Ia， Va） =（ 資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度） 風(fēng)險(xiǎn)計(jì)量原理圖 威脅識(shí)別 脆弱性識(shí)別 資產(chǎn)識(shí)別 脆弱性的嚴(yán)重程度 威脅出現(xiàn)的頻率 資產(chǎn)價(jià)值 安全事件造成的損失 安全事件的可能性 風(fēng)險(xiǎn)值 信息科技風(fēng)險(xiǎn)要素關(guān)系圖 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ? 如何判斷信息科技風(fēng)險(xiǎn)程度是否在可接受范圍？ ? 計(jì)量當(dāng)前信息科技風(fēng)險(xiǎn)程度 ? 計(jì)量最低信息科技風(fēng)險(xiǎn)程度 ? 依據(jù)： – 國(guó)家規(guī)范 – 銀監(jiān)會(huì)制度法規(guī) – 行業(yè)標(biāo)準(zhǔn) – 自身接受程度（投入成本 =損失成本） ? 比較當(dāng)前信息科技風(fēng)險(xiǎn)程度和最低信息科技風(fēng)險(xiǎn)程度 基本概念 ? 風(fēng)險(xiǎn)評(píng)估 資產(chǎn)識(shí)別 威脅識(shí)別 脆弱性識(shí)別 已有安全措施確認(rèn) 人員 病毒 病情 預(yù)防措施 信息安全風(fēng)險(xiǎn)評(píng)估 人員健康查體檢 風(fēng)險(xiǎn)管理實(shí)施流程圖 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 威脅識(shí)別 資產(chǎn)識(shí)別 脆弱性識(shí)別 已有安全措施的確認(rèn) 風(fēng)險(xiǎn)計(jì)算 風(fēng)險(xiǎn)是否接受 制定風(fēng)險(xiǎn)處理計(jì)劃 并評(píng)估殘余風(fēng)險(xiǎn) 是否接受殘余風(fēng)險(xiǎn) 實(shí)施風(fēng)險(xiǎn)管理 保持已有的安全措施 評(píng)估過程文檔 評(píng)估過程文檔 評(píng)估過程文檔 是 否 風(fēng)險(xiǎn)評(píng)估文檔記錄 風(fēng)險(xiǎn)分析 否 … … 信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段 ?銀行機(jī)構(gòu) ? 治理層面 ? 明確董事會(huì)職責(zé) 、 成立信息科技風(fēng)險(xiǎn)管理委員會(huì) ? 建立科技風(fēng)險(xiǎn)三道防線 （ 科技 、 風(fēng)險(xiǎn) 、 審計(jì)部門 ） ? 制定全行信息科技風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃 ? 管理層面 ? 科技部門 ? 風(fēng)險(xiǎn)部門 ? 審計(jì)部門 ? 具體手段 信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段 ?銀行機(jī)構(gòu) ? 保護(hù)系統(tǒng)連續(xù)性和安全性的具體手段： ? 基礎(chǔ)設(shè)施建設(shè) （ 機(jī)房 、 網(wǎng)絡(luò) 、 主機(jī) ） – 災(zāi)備中心 – 雙機(jī)熱備 – 雙運(yùn)營(yíng)上線路 ? 信息安全防護(hù)體系 – 防火墻 、 IPS – 桌面管理系統(tǒng) ? 日常系統(tǒng)運(yùn)行監(jiān)控 ? 項(xiàng)目開發(fā) 、 外包過程管理 ? 應(yīng)急管理 （ 應(yīng)急預(yù)案 、 應(yīng)急保障 、 應(yīng)急演練 ） 信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段 ?監(jiān)管部門 ? 制度標(biāo)準(zhǔn)制定 ? 非現(xiàn)場(chǎng)監(jiān)管和現(xiàn)場(chǎng)檢查 ? 準(zhǔn)入審核及機(jī)構(gòu)評(píng)級(jí) ? 荷蘭央行：銀行執(zhí)照 、 人員任免 、 計(jì)提資本 、 罰款 ? 組織協(xié)調(diào) 、 促進(jìn)資源共享 三、 主要監(jiān)管制度介紹 主要監(jiān)管制度介紹 1 《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》 2023 年 3 月2 《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》 2023 年 12 月3 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 2023 年 4 月4 《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》 2023 年 4 月5 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問責(zé)方案》 2023 年 7 月6 《銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場(chǎng)監(jiān)管報(bào)表》 2023 年 12 月7 《商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南》 2023 年 9 月銀監(jiān)會(huì)擬發(fā)布制度 ?《 銀監(jiān)會(huì)行政許可事項(xiàng)中信息科技核準(zhǔn)條件的補(bǔ)充規(guī)定 》 和 《 銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法 》 ?《 商業(yè)銀行首席信息官管理辦法 》 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 信息科技風(fēng)險(xiǎn)管理 信息科技治理 信息科技審計(jì) 業(yè)務(wù)持續(xù)性管理 信息安全管理 信息科技運(yùn)行 項(xiàng)目開發(fā)、 測(cè)試 外包管理 ?主要概念： ? 信息科技風(fēng)險(xiǎn) ? 是指信息科技在商業(yè)銀行運(yùn)用過程中，由于 自然因素、人為因素、技術(shù)漏洞和管理缺陷 產(chǎn)生的操作、法律和聲譽(yù)風(fēng)險(xiǎn)。 ? 業(yè)務(wù)影響分析：人員、系統(tǒng)或其他資產(chǎn)的故障或缺失，信息丟失、戰(zhàn)爭(zhēng)、臺(tái)風(fēng)、地震 ? 采取雙機(jī)熱備、制定應(yīng)急計(jì)劃、購(gòu)買商業(yè)保險(xiǎn) 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 項(xiàng)目開發(fā)、測(cè)試管理 ? 開發(fā)環(huán)境和生產(chǎn)環(huán)境物理隔離 ? 禁止開發(fā)和維護(hù)人員隨意進(jìn)入生產(chǎn)系統(tǒng) ? 組織開展系統(tǒng)上線后評(píng)價(jià) ? 外包管理 ? 重要外包報(bào)告 ? 外包風(fēng)險(xiǎn)評(píng)估 ? 服務(wù)水平協(xié)議 ? 安全保密要求（包含敏感客戶信息） ? 應(yīng)急措施 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 系統(tǒng)運(yùn)行管理 ? 制定詳細(xì)的運(yùn)行操作說明 ? 系統(tǒng)運(yùn)行監(jiān)控 ? 容量規(guī)劃 ? 變更管理 ? 事件管理 ? 信息安全管理 ? 安全策略（物理安全 、 人員安全、訪問控制、數(shù)據(jù)加密等） ? 活動(dòng)日志保存（交易日志、系統(tǒng)日志） 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 作用： ? 規(guī)范并促進(jìn)了銀行業(yè)金融機(jī)構(gòu)做好重要信息系統(tǒng)突發(fā)事件應(yīng)急管理，提高對(duì)突發(fā)事件的綜合管理能力和應(yīng)急處置能力。 ? 同城災(zāi)備中心：同一地理區(qū)域，一般距離數(shù)十公里，可防火災(zāi)、建筑物破壞、電力或通信中斷 ? 異地災(zāi)備中心：不同地理區(qū)域、距離數(shù)百公里以上，不會(huì)同是面臨地震、臺(tái)風(fēng)、洪水等同類災(zāi)難風(fēng)險(xiǎn)。 ? 提供評(píng)價(jià)銀行信息科技風(fēng)險(xiǎn)管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的程序、手段和行為，是銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)檢查工作的一個(gè)重要參考依據(jù)和檢查指導(dǎo)工具。信息科技固有風(fēng)險(xiǎn)可以通過獲取相關(guān)信息進(jìn)行衡量和評(píng)價(jià)，其識(shí)別與評(píng)估是一個(gè)全面信息收集與綜合分析研判的過程。 ? 重要信息系統(tǒng)重大變動(dòng)影響業(yè)務(wù)正常運(yùn)行。 ? 數(shù)據(jù)中心與災(zāi)備中心（場(chǎng)所）地理位置分布對(duì)機(jī)構(gòu)應(yīng)對(duì)災(zāi)難產(chǎn)生不利影響。 ? 本機(jī)構(gòu)系統(tǒng)恢復(fù)依賴于外部機(jī)構(gòu)的恢復(fù)設(shè)施，外部機(jī)構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響本機(jī)構(gòu)的系統(tǒng)恢復(fù)。其數(shù)據(jù)基礎(chǔ)源自生產(chǎn)數(shù)據(jù)。 ? 項(xiàng)目資源不足使項(xiàng)目難以按時(shí)、按質(zhì)完成，進(jìn)而影響業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。外包商性質(zhì)及提供服務(wù)的形式對(duì)機(jī)構(gòu)的可能影響。 業(yè)務(wù)量是機(jī)構(gòu)信息系統(tǒng)所承載交易壓力的直接體現(xiàn)。 參數(shù)調(diào)節(jié)因子 統(tǒng)一維護(hù)，生效后才能評(píng)分 固有風(fēng)險(xiǎn)評(píng)分流程 指標(biāo)評(píng) 分 關(guān)鍵風(fēng)險(xiǎn)因素評(píng)分 子領(lǐng)域評(píng)分 ? 關(guān)鍵風(fēng)險(xiǎn)因素得分 =∑(指標(biāo)得分 /5*指標(biāo)分值 ) ? 子領(lǐng)域得分 =∑關(guān)鍵風(fēng)險(xiǎn)因素得分 固有風(fēng)險(xiǎn)評(píng)分 ? 固有風(fēng)險(xiǎn)得分 =∑(子領(lǐng)域得分 *子領(lǐng)域權(quán)值 ) ? 5分制，先系統(tǒng)自動(dòng)評(píng)分，再人工調(diào)整 固有風(fēng)險(xiǎn)評(píng)分 固有風(fēng)險(xiǎn)評(píng)估示例 監(jiān)管關(guān)注度評(píng)分流程 監(jiān)管關(guān)注度指標(biāo)評(píng) 分 監(jiān)管關(guān)注度評(píng) 分 監(jiān)管關(guān)注度調(diào)節(jié)因子 ? 監(jiān)管關(guān)注度得分 =60時(shí)， 調(diào)節(jié)因子=； 60監(jiān)管關(guān)注度得分 =75時(shí)， 調(diào)節(jié)因子 =； 75監(jiān)管關(guān)注度得分 =90時(shí)， 調(diào)節(jié)因子 =； 90監(jiān)管關(guān)注度得分 =100時(shí)，調(diào)節(jié)因子