【正文】 攻擊 ，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號 。資產(chǎn)價值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點(diǎn)。 ? 風(fēng)險值 =R(A,T,V)=R(安全事件可能性 ,安全事件造成的損失 ) ? A—— 資產(chǎn) ? T—— 威脅 ? V—— 脆弱性 ? 安全事件的可能性 = L（ T， V） = L（ 威脅出現(xiàn)頻率，脆弱性） ? 安全事件造成的損失 = F（ Ia， Va） =（ 資產(chǎn)價值，脆弱性嚴(yán)重程度） 風(fēng)險計量原理圖 威脅識別 脆弱性識別 資產(chǎn)識別 脆弱性的嚴(yán)重程度 威脅出現(xiàn)的頻率 資產(chǎn)價值 安全事件造成的損失 安全事件的可能性 風(fēng)險值 信息科技風(fēng)險要素關(guān)系圖 信息科技風(fēng)險監(jiān)管目標(biāo) ? 如何判斷信息科技風(fēng)險程度是否在可接受范圍？ ? 計量當(dāng)前信息科技風(fēng)險程度 ? 計量最低信息科技風(fēng)險程度 ? 依據(jù)： – 國家規(guī)范 – 銀監(jiān)會制度法規(guī) – 行業(yè)標(biāo)準(zhǔn) – 自身接受程度（投入成本 =損失成本） ? 比較當(dāng)前信息科技風(fēng)險程度和最低信息科技風(fēng)險程度 基本概念 ? 風(fēng)險評估 資產(chǎn)識別 威脅識別 脆弱性識別 已有安全措施確認(rèn) 人員 病毒 病情 預(yù)防措施 信息安全風(fēng)險評估 人員健康查體檢 風(fēng)險管理實施流程圖 風(fēng)險評估準(zhǔn)備 威脅識別 資產(chǎn)識別 脆弱性識別 已有安全措施的確認(rèn) 風(fēng)險計算 風(fēng)險是否接受 制定風(fēng)險處理計劃 并評估殘余風(fēng)險 是否接受殘余風(fēng)險 實施風(fēng)險管理 保持已有的安全措施 評估過程文檔 評估過程文檔 評估過程文檔 是 否 風(fēng)險評估文檔記錄 風(fēng)險分析 否 … … 信息科技風(fēng)險管理 /監(jiān)管手段 ?銀行機(jī)構(gòu) ? 治理層面 ? 明確董事會職責(zé) 、 成立信息科技風(fēng)險管理委員會 ? 建立科技風(fēng)險三道防線 （ 科技 、 風(fēng)險 、 審計部門 ） ? 制定全行信息科技風(fēng)險管理戰(zhàn)略規(guī)劃 ? 管理層面 ? 科技部門 ? 風(fēng)險部門 ? 審計部門 ? 具體手段 信息科技風(fēng)險管理 /監(jiān)管手段 ?銀行機(jī)構(gòu) ? 保護(hù)系統(tǒng)連續(xù)性和安全性的具體手段： ? 基礎(chǔ)設(shè)施建設(shè) （ 機(jī)房 、 網(wǎng)絡(luò) 、 主機(jī) ） – 災(zāi)備中心 – 雙機(jī)熱備 – 雙運(yùn)營上線路 ? 信息安全防護(hù)體系 – 防火墻 、 IPS – 桌面管理系統(tǒng) ? 日常系統(tǒng)運(yùn)行監(jiān)控 ? 項目開發(fā) 、 外包過程管理 ? 應(yīng)急管理 （ 應(yīng)急預(yù)案 、 應(yīng)急保障 、 應(yīng)急演練 ） 信息科技風(fēng)險管理 /監(jiān)管手段 ?監(jiān)管部門 ? 制度標(biāo)準(zhǔn)制定 ? 非現(xiàn)場監(jiān)管和現(xiàn)場檢查 ? 準(zhǔn)入審核及機(jī)構(gòu)評級 ? 荷蘭央行：銀行執(zhí)照 、 人員任免 、 計提資本 、 罰款 ? 組織協(xié)調(diào) 、 促進(jìn)資源共享 三、 主要監(jiān)管制度介紹 主要監(jiān)管制度介紹 1 《商業(yè)銀行信息科技風(fēng)險管理指引》 2023 年 3 月2 《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》 2023 年 12 月3 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 2023 年 4 月4 《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》 2023 年 4 月5 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問責(zé)方案》 2023 年 7 月6 《銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場監(jiān)管報表》 2023 年 12 月7 《商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南》 2023 年 9 月銀監(jiān)會擬發(fā)布制度 ?《 銀監(jiān)會行政許可事項中信息科技核準(zhǔn)條件的補(bǔ)充規(guī)定 》 和 《 銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法 》 ?《 商業(yè)銀行首席信息官管理辦法 》 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 信息科技風(fēng)險管理 信息科技治理 信息科技審計 業(yè)務(wù)持續(xù)性管理 信息安全管理 信息科技運(yùn)行 項目開發(fā)、 測試 外包管理 ?主要概念： ? 信息科技風(fēng)險 ? 是指信息科技在商業(yè)銀行運(yùn)用過程中，由于 自然因素、人為因素、技術(shù)漏洞和管理缺陷 產(chǎn)生的操作、法律和聲譽(yù)風(fēng)險。 ? 業(yè)務(wù)影響分析：人員、系統(tǒng)或其他資產(chǎn)的故障或缺失，信息丟失、戰(zhàn)爭、臺風(fēng)、地震 ? 采取雙機(jī)熱備、制定應(yīng)急計劃、購買商業(yè)保險 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 ?要點(diǎn)： ? 項目開發(fā)、測試管理 ? 開發(fā)環(huán)境和生產(chǎn)環(huán)境物理隔離 ? 禁止開發(fā)和維護(hù)人員隨意進(jìn)入生產(chǎn)系統(tǒng) ? 組織開展系統(tǒng)上線后評價 ? 外包管理 ? 重要外包報告 ? 外包風(fēng)險評估 ? 服務(wù)水平協(xié)議 ? 安全保密要求（包含敏感客戶信息） ? 應(yīng)急措施 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 ?要點(diǎn)： ? 系統(tǒng)運(yùn)行管理 ? 制定詳細(xì)的運(yùn)行操作說明 ? 系統(tǒng)運(yùn)行監(jiān)控 ? 容量規(guī)劃 ? 變更管理 ? 事件管理 ? 信息安全管理 ? 安全策略（物理安全 、 人員安全、訪問控制、數(shù)據(jù)加密等） ? 活動日志保存（交易日志、系統(tǒng)日志） 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 作用： ? 規(guī)范并促進(jìn)了銀行業(yè)金融機(jī)構(gòu)做好重要信息系統(tǒng)突發(fā)事件應(yīng)急管理，提高對突發(fā)事件的綜合管理能力和應(yīng)急處置能力。 ? 同城災(zāi)備中心：同一地理區(qū)域，一般距離數(shù)十公里，可防火災(zāi)、建筑物破壞、電力或通信中斷 ? 異地災(zāi)備中心：不同地理區(qū)域、距離數(shù)百公里以上，不會同是面臨地震、臺風(fēng)、洪水等同類災(zāi)難風(fēng)險。 ? 提供評價銀行信息科技風(fēng)險管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險現(xiàn)場檢查的程序、手段和行為，是銀監(jiān)會及各級派出機(jī)構(gòu)實施現(xiàn)場檢查工作的一個重要參考依據(jù)和檢查指導(dǎo)工具。信息科技固有風(fēng)險可以通過獲取相關(guān)信息進(jìn)行衡量和評價，其識別與評估是一個全面信息收集與綜合分析研判的過程。 ? 重要信息系統(tǒng)重大變動影響業(yè)務(wù)正常運(yùn)行。 ? 數(shù)據(jù)中心與災(zāi)備中心（場所）地理位置分布對機(jī)構(gòu)應(yīng)對災(zāi)難產(chǎn)生不利影響。 ? 本機(jī)構(gòu)系統(tǒng)恢復(fù)依賴于外部機(jī)構(gòu)的恢復(fù)設(shè)施，外部機(jī)構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響本機(jī)構(gòu)的系統(tǒng)恢復(fù)。其數(shù)據(jù)基礎(chǔ)源自生產(chǎn)數(shù)據(jù)。 ? 項目資源不足使項目難以按時、按質(zhì)完成，進(jìn)而影響業(yè)務(wù)目標(biāo)的實現(xiàn)。外包商性質(zhì)及提供服務(wù)的形式對機(jī)構(gòu)的可能影響。 業(yè)務(wù)量是機(jī)構(gòu)信息系統(tǒng)所承載交易壓力的直接體現(xiàn)。 參數(shù)調(diào)節(jié)因子 統(tǒng)一維護(hù)，生效后才能評分 固有風(fēng)險評分流程 指標(biāo)評 分 關(guān)鍵風(fēng)險因素評分 子領(lǐng)域評分 ? 關(guān)鍵風(fēng)險因素得分 =∑(指標(biāo)得分 /5*指標(biāo)分值 ) ? 子領(lǐng)域得分 =∑關(guān)鍵風(fēng)險因素得分 固有風(fēng)險評分 ? 固有風(fēng)險得分 =∑(子領(lǐng)域得分 *子領(lǐng)域權(quán)值 ) ? 5分制，先系統(tǒng)自動評分，再人工調(diào)整 固有風(fēng)險評分 固有風(fēng)險評估示例 監(jiān)管關(guān)注度評分流程 監(jiān)管關(guān)注度指標(biāo)評 分 監(jiān)管關(guān)注度評 分 監(jiān)管關(guān)注度調(diào)節(jié)因子 ? 監(jiān)管關(guān)注度得分 =60時， 調(diào)節(jié)因子=； 60監(jiān)管關(guān)注度得分 =75時， 調(diào)節(jié)因子 =； 75監(jiān)管關(guān)注度得分 =90時， 調(diào)節(jié)因子 =； 90監(jiān)管關(guān)注度得分 =100時，調(diào)節(jié)因子