【正文】 故障全國中斷營業(yè) 4小時某行海南分行供電中斷導(dǎo)致停業(yè) 小時2023年銀聯(lián)跨行交易全面中斷 8小時屢次發(fā)生的網(wǎng)絡(luò)安全事件：2023年 初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊2023年底我省某行網(wǎng)銀系統(tǒng)遭受 DDos攻擊2023年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件2023年奧運(yùn)開幕式某國有銀行網(wǎng)絡(luò)遭攻擊….….2023 2023 2023?近年來，隨著銀行機(jī)構(gòu)系統(tǒng)網(wǎng)絡(luò)化、數(shù)據(jù)集中化，科技風(fēng)險問題日益突出?科技風(fēng)險的特點(diǎn)是 風(fēng)險變化快、蔓延快、影響范圍大 銀監(jiān)會信息科技監(jiān)管歷程2023 2023 2023 2023 2023?發(fā)布信息科技風(fēng)險管理指引?開展信息科技風(fēng)險內(nèi)部和外部評價審計(jì)?開展信息科技風(fēng)險奧運(yùn)專項(xiàng)自查?發(fā)布新的 《 商業(yè)銀行信息科技風(fēng)險管理指引 》?《 銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法 》? 部署信息科技風(fēng)險非現(xiàn)場系統(tǒng)?《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 》v自 2023年 8月發(fā)布 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引 》 開始， 銀監(jiān)會正式對銀行科技風(fēng)險進(jìn)行監(jiān)管，近年來推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)范化。信息科技風(fēng)險監(jiān)管目標(biāo)v連續(xù)性事件案例167。 案例 3： 2023年 2月 3日某全國性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫故障導(dǎo)致全國柜面等各項(xiàng)業(yè)務(wù)中斷近四小時。 案例 2： 某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動用客戶資金的案件。 案例 5： 近期，某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “特征碼識別程序 ”自行編寫密碼猜解軟件，通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號的方式，對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號。 —— 支持設(shè)施（例如建筑、供電、供水、空調(diào)等）167。 資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點(diǎn)。 風(fēng)險值 =R(A,T,V)=R(安全事件可能性 ,安全事件造成的損失)167。 比較當(dāng)前信息科技風(fēng)險程度和最低信息科技風(fēng)險程度基本概念v 風(fēng)險評估資產(chǎn)識別 威脅識別 脆弱性識別 已有安全措施確認(rèn)人員 病毒 病情 預(yù)防措施信息安全風(fēng)險評估人員健康查體檢風(fēng)險管理實(shí)施流程圖風(fēng)險評估準(zhǔn)備威脅識別資產(chǎn)識別 脆弱性識別已有安全措施的確認(rèn)風(fēng)險計(jì)算風(fēng)險是否接受制定風(fēng)險處理計(jì)劃并評估殘余風(fēng)險是否接受殘余風(fēng)險實(shí)施風(fēng)險管理保持已有的安全措施評估過程文檔評估過程文檔評估過程文檔是否風(fēng)險評估文檔記錄風(fēng)險分析否……信息科技風(fēng)險管理 /監(jiān)管手段v銀行機(jī)構(gòu)167。 組織協(xié)調(diào)、促進(jìn)資源共享 三、 主要監(jiān)管制度介紹主要監(jiān)管制度介紹銀監(jiān)會擬發(fā)布制度v《銀監(jiān)會行政許可事項(xiàng)中信息科技核準(zhǔn)條件的補(bǔ)充規(guī)定》和《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》v《商業(yè)銀行首席信息官管理辦法》 《 商業(yè)銀行信息科技風(fēng)險管理指引 》信息科技風(fēng)險管理信息科技治理信息科技審計(jì)業(yè)務(wù)持續(xù)性管理信息安全管理 信息科技運(yùn)行 項(xiàng)目開發(fā)、 測試 外包管理v主要概念：167。 信息科技治理? 明確商業(yè)銀行董事會職責(zé)? 要求設(shè)立首席信息官，明確了首席信息官職責(zé)? 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險管理、信息科技審計(jì)的責(zé)任部門和職責(zé)內(nèi)容? 風(fēng)險管理部門職責(zé)：– 將科技風(fēng)險納入總體風(fēng)險管理體系– 負(fù)責(zé)制定信息科技風(fēng)險管理策略– 負(fù)責(zé)持續(xù)開展信息科技風(fēng)險識別、監(jiān)測、計(jì)量、評估– 根據(jù)風(fēng)險評估結(jié)果制定風(fēng)險防范措施 ? 審計(jì)部門職責(zé)：– 組織開展內(nèi)部和外部審計(jì)– 要求配備具有專業(yè)能力的信息科技審計(jì)人員獨(dú)立開展審計(jì)– 至少每三年開展一次全面審計(jì) 《 商業(yè)銀行信息科技風(fēng)險管理指引 》v要點(diǎn)：167。 v 主要概念167。 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) 167。 同城災(zāi)備中心：同一地理區(qū)域，一般距離數(shù)十公里，可防火災(zāi)、建筑物破壞、電力或通信中斷167。 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問責(zé)方案 》v要點(diǎn)167。167。n 重要信息系統(tǒng)重大變動影響業(yè)務(wù)正常運(yùn)行。n 本機(jī)構(gòu)系統(tǒng)恢復(fù)依賴于外部機(jī)構(gòu)的恢復(fù)設(shè)施，外部機(jī)構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響本機(jī)構(gòu)的系統(tǒng)恢復(fù)。n 項(xiàng)目資源不足使項(xiàng)目難以按時、按質(zhì)完成，進(jìn)而影響業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。 業(yè)務(wù)量是機(jī)構(gòu)信息系統(tǒng)所承載交易壓力的直接體現(xiàn)。 基層銀行機(jī)構(gòu)科技監(jiān)管的內(nèi)容? 開展調(diào)查，摸清全轄銀行機(jī)構(gòu)科技風(fēng)險管理情況? 建立聯(lián)系人制度? 定期收集評估銀行機(jī)構(gòu)科技運(yùn)行情況? 開展信息科技風(fēng)險現(xiàn)場檢查? 督促銀行落實(shí)銀監(jiān)會各項(xiàng)監(jiān)管要求（報告制度等）? 組織開展銀行機(jī)構(gòu)信息科技管理橫向交流167。 科技人員道德風(fēng)險187。 主要制度依據(jù)167。行業(yè)平均值行業(yè)平均值參數(shù)調(diào)節(jié)因子參數(shù)調(diào)節(jié)因子統(tǒng)一維護(hù)，生效后才能評分固有風(fēng)險評分流程指標(biāo)評 分 關(guān)鍵風(fēng)險因素評分 子領(lǐng)域評分 ? 關(guān)鍵風(fēng)險因素得分 =∑(指標(biāo)得分 /5*指標(biāo)分值 )? 子領(lǐng)域得分 =∑關(guān)鍵風(fēng)險因素得分固有風(fēng)險評分 ? 固有風(fēng)險得分 =∑(子領(lǐng)域得分 *子領(lǐng)域權(quán)值 )? 5分制，先系統(tǒng)自動評分，再人工調(diào)整固有風(fēng)險評分固有風(fēng)險評分固有風(fēng)險評估示例監(jiān)管關(guān)注度評分流程監(jiān)管關(guān)注度指標(biāo)評 分 監(jiān)管關(guān)注度評 分 監(jiān)管關(guān)注度調(diào)節(jié)因子? 監(jiān)管關(guān)注度得分 =60時， 調(diào)節(jié)因子=；60監(jiān)管關(guān)注度得分 =75時， 調(diào)節(jié)因子 =；75監(jiān)管關(guān)注度得分 =90時， 調(diào)節(jié)因子 =；90監(jiān)管關(guān)注度得分 =100時，調(diào)節(jié)因子=。外包商性質(zhì)及提供服務(wù)的形式對機(jī)構(gòu)的可能影響。其數(shù)據(jù)基礎(chǔ)源自生產(chǎn)數(shù)據(jù)。n 數(shù)據(jù)中心與災(zāi)備中心（場所）地理位置分布對機(jī)構(gòu)應(yīng)對災(zāi)難產(chǎn)生不利影響。信息科技固有風(fēng)險可以通過獲取相關(guān)信息進(jìn)行衡量和評價，其識別與評估是一個全面信息收集與綜合分析研判的過程。 包括 1份年度報告、 14張年度報表、 6張季度報表、 7張實(shí)時報表 《 商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南 》v要點(diǎn)167。167。 重要信息系統(tǒng)投產(chǎn)前至少 20個工作日、變更前至少 10個工作日向監(jiān)管部門報告，實(shí)施后 1個月內(nèi)提交投產(chǎn)或變更情況報告 《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 》v 概念167。 要求銀行機(jī)構(gòu)建立信息科技風(fēng)險防范體系，制定信息系統(tǒng) RTO（ 最短恢復(fù)時間目標(biāo)）、 RPO（ 最近恢復(fù)點(diǎn)目標(biāo)）指標(biāo) 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》正常處理 初始響應(yīng) 激活 恢復(fù)流程 積壓業(yè)務(wù) 正常處理最近備份備份 備份恢復(fù)結(jié)束目標(biāo)恢復(fù)點(diǎn)事件 在成功恢復(fù)