【正文】 信息科技風險監(jiān)管培訓v組織開展信息科技風險現(xiàn)場檢查v推動實施信息科技非現(xiàn)場監(jiān)管v組織開展重要時點信息科技自查整改v及時發(fā)布各類信息科技風險提示銀行機構(gòu)信息科技風險狀況v科技風險管控意識提高v科技治理架構(gòu)初步建立v科技基礎(chǔ)設(shè)施不斷完善v運行維護能力不斷加強v重視加強災(zāi)備建設(shè)及開展應(yīng)急演練銀行機構(gòu)信息科技風險狀況v個別銀行科技治理認識不到位v重眼前建設(shè)輕長遠規(guī)劃v科技治理架構(gòu)未有效運行v應(yīng)急演練開展實戰(zhàn)性不足v基層銀行機構(gòu)科技力量薄弱二、 信息科技風險監(jiān)管目標與手段信息科技風險監(jiān)管目標降低信息系統(tǒng)連續(xù)性和安全性風險程度到可接受范圍保障 信息系統(tǒng)連續(xù)性 和 安全性保護銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)）保護存款人利益維護社會穩(wěn)定信息科技風險監(jiān)管目標v連續(xù)性：167。167。167。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁服務(wù)器系統(tǒng)資源壓力迅速增大，進程達到系統(tǒng)最大進程數(shù)，超過日常監(jiān)控進程數(shù)四倍。 案例 4： 2023年 12月 16日 11： 05至 13： 57，某分行綜合前置機系統(tǒng)出現(xiàn)故障，造成全轄 15個網(wǎng)點對外營業(yè)中斷近三個小時。犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對轉(zhuǎn)出卡號、轉(zhuǎn)入帳號客戶隸屬關(guān)系進行校驗，而且主機系統(tǒng)對網(wǎng)銀服務(wù)端上傳的個別交易數(shù)據(jù)驗證不充分的程序邏輯缺陷，通過模擬瀏覽器與服務(wù)端通訊的方式，非法截取并篡改交易數(shù)據(jù)，盜取他人資金。黃某利用自己作為管理員保管 “管理證書 ”之便，進入系統(tǒng)，修改了某對公客戶的網(wǎng)銀證書和密碼，再通過集團理財帳戶實行網(wǎng)銀轉(zhuǎn)帳，動用客戶帳戶上 。 案例 4： 近期，某銀行機構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “特征碼識別程序 ”自行編寫密碼猜解軟件，通過鎖定某一固定密碼反復輪訓帳號的方式，對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號、查詢密碼等信息。 案例 6 ： 某行借記卡被通過手機銀行猜解密碼，涉及 1007張借記卡 。 對組織具有價值的信息或資源，是安全策略保護的對象。 —— 信息資產(chǎn)（例如數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序等）167。 —— 無形資產(chǎn)（例如信譽、形象等）167。 （出處： 信息安全風險評估規(guī)范 P1） 基本概念v 威脅 167。（出處： 信息安全風險評估規(guī)范 P P9） 基本概念v 脆弱性167。 保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制。 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。 T—— 威脅167。 計量當前信息科技風險程度167。 管理層面? 科技部門? 風險部門? 審計部門167。 非現(xiàn)場監(jiān)管和現(xiàn)場檢查167。 —— 《 商業(yè)銀行信息科技風險管理指引 》 第四條167。 三道防線? 信息科技風險管理的關(guān)鍵是要建立三道防線，第一道防線是指信息科技管理，需要全員參與，主要職責落在 科技部門 ，第二道防線是風險管理，即從風險的角度如何防范，職責落在 風險部門 ，第三道防線是審計監(jiān)督，即內(nèi)審和外審，職責落在 審計部門 ，三道防線相互作用，形成立體防護網(wǎng)。? 業(yè)務(wù)影響分析：人員、系統(tǒng)或其他資產(chǎn)的故障或缺失，信息丟失、戰(zhàn)爭、臺風、地震? 采取雙機熱備、制定應(yīng)急計劃、購買商業(yè)保險 《 商業(yè)銀行信息科技風險管理指引 》v要點：167。 信息安全管理? 安全策略（物理安全 、 人員安全、訪問控制、數(shù)據(jù)加密等）? 活動日志保存（交易日志、系統(tǒng)日志） 《 商業(yè)銀行信息科技風險管理指引 》 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》v 作用：167。 明確定義了董事會及高管層、風險管理部門、信息科技管理部門和業(yè)務(wù)管理部門在突發(fā)事件中的職責要求，明確了應(yīng)急領(lǐng)導小組、應(yīng)急執(zhí)行小組、應(yīng)急保障小組的職責分工 167。 對銀行機構(gòu)制定應(yīng)急預(yù)案、開展應(yīng)急演練、應(yīng)急響應(yīng)及報告機制、日常應(yīng)急保障等應(yīng)急管理內(nèi)容提出了具體要求。v 要點167。 災(zāi)備中心：商業(yè)銀行為保障業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、聽短或癱瘓后，能夠接替生產(chǎn)中心運行，具備專用場所、進行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運行的組織。v 要求：167。 對數(shù)據(jù)中心選址、基本配置提出明確要求 167。 對管理失職造成不良后果的，追究責任 《 銀行業(yè)金融機構(gòu)信息科技非現(xiàn)場監(jiān)管報表 》v 要點：167。167。 四、 信息科技風險監(jiān)管架構(gòu)信息科技風險監(jiān)管體系信息科技風險監(jiān)管年度計劃數(shù)據(jù)采集與審核信息科技風險分析與評估信息科技風險現(xiàn)場檢查信息科技風險監(jiān)測風險提示、預(yù)警及應(yīng)急處理年度信息科技監(jiān)管評級年度信息科技監(jiān)管報告體系概述 — 總體框架固有風險 控制有效性 = 剩余風險固有風險指標 控制有效性指標信息科技綜合風險水平信息科技風險評估指標固有風險水平 控制有效性風險評估流程方法體系概述 — 剩余風險綜合分析矩陣剩余 風險 控制有效性強 中 強 中弱 弱固有風險高 三 級 四 級 五 級 六 級中高 二 級 三 級 四 級 五 級中低 一 級 二 級 三 級 四 級低 一 級 一 級 二 級 三 級體系概述 — 基礎(chǔ)定義《 體系 》 基礎(chǔ)定義：【 固有風險 】 是指在不考慮內(nèi)部控制結(jié)構(gòu)的前提下，由于內(nèi)部因素和客觀環(huán)境的影響，經(jīng)營運作可能發(fā)生重大錯誤的風險。【 風險評估 】 是通過對信息科技風險種類、風險程度和風險發(fā)展趨勢進行識別分析，對信息科技的風險狀況、風險管理的充分性以及外部風險因素的影響做出判斷，并在此基礎(chǔ)上對機構(gòu)的整體風險水平做出評估。n 關(guān)鍵信息系統(tǒng)缺乏穩(wěn)定性以致影響業(yè)務(wù)正常運行。指標體系 — 固有風險指標系統(tǒng)恢復及數(shù)據(jù)保護 子領(lǐng)域 風險成因系統(tǒng)恢復及數(shù)據(jù)保護n 除負責本機構(gòu)系統(tǒng)恢復外，機構(gòu)還提供對外部機構(gòu)共享本機構(gòu)系統(tǒng)恢復設(shè)施的服務(wù)。n 生產(chǎn)數(shù)據(jù)脫離生產(chǎn)環(huán)境進入辦公環(huán)境或互聯(lián)網(wǎng)環(huán)境。指標體系 — 固有風險指標信息科技項目子領(lǐng)域 風險成因信息科技項目n 項目變動不可避免，若變動頻繁、隨意性大，可能導致項目目標無法按要求實現(xiàn)。n 過度依賴外包商，導致出現(xiàn) “太依賴而不能替換的外包商 ”。指標體系 — 固有風險指標監(jiān)管關(guān)注度子領(lǐng)域 風險成因監(jiān)管關(guān)注度n 規(guī)模（ 資產(chǎn)規(guī)模、網(wǎng)點規(guī)模、電子銀行用戶）。重點關(guān)注以往重大信息系統(tǒng)突發(fā)事件情況、信息科技人員涉案情況等。 基層銀行機構(gòu)科技管理的特點? 分支機構(gòu)為主? 數(shù)據(jù)上收? 科技人員少? 操作風險事件多發(fā)167。 信息科技風險監(jiān)管概貌了解167。 基層銀行機構(gòu)信息科技風險監(jiān)管基層銀行機構(gòu)科技風險監(jiān)管的思考