【正文】 ? 開發(fā)、測試環(huán)境的管理？ ? 項目的設計階段是否充分考慮了信息安全、保密、災難恢復等需求？ ? 項目結束后是否進行業(yè)務價值評價和審計？ 指標體系 — 控制有效性指標 信息科技運行子領域 關鍵要素 信息科技運行 ? 運行操作崗位設置是否合理？ ? 事件管理如何？ ? 問題管理如何？ ? 可用性管理如何？ ? 容量管理如何？ ? 變更與維護管理如何？ ? 運行過程監(jiān)控如何？ 指標體系 — 控制有效性指標 災難恢復與應急管理子領域 關鍵要素 災難恢復與應急管理 ? 災難恢復計劃或應急預案的演練與更新情況？ ? 重要信息系統(tǒng)災難恢復計劃覆蓋率？ ? 重要信息系統(tǒng)應急預案覆蓋率？ 指標體系 — 控制有效性指標 外包子領域 關鍵要素 外包 ? 有無外包商資質(zhì)、服務水平的考核指標？ ? 如何選擇正確的外包服務商？ ? 如何防止外包人員接觸生產(chǎn)數(shù)據(jù)或敏感信息？ ? 外包合同是否經(jīng)法規(guī)或?qū)徲嫴块T審核？ ? 有無可迅速替換的外包商？ 指標體系 — 控制有效性指標 信息安全管理子領域 關鍵要素 信息安全管理 ? 信息資產(chǎn)普查與分級？ ? 跨部門協(xié)調(diào)的信息安全執(zhí)行組織 ？ ? 物理安全？ ? 物理訪問控制？ ? 邏輯訪問控制？ ? 版本管理？ ? 配置管理？ ? 日志管理？ ? 網(wǎng)絡管理？ ? 數(shù)據(jù)安全？ 評估指標 定量指標 74個 固有風險： 23個 監(jiān)管關注度： 9個 控制有效性： 42個 定性指標 90個 固有風險： 10個 (手工 2個 ) 控制有效性： 80個 (手工 8個 ) 固有風險： 33個 監(jiān)管關注度： 9個 控制有效性： 122個 指標合計 164個 基本思想 自動化 自動抽得指標結果、自動評分、自動匯總、自動分級 靈活性 標準化 審核標準規(guī)范化、評分規(guī)則標準化、參數(shù)標準化 得分可調(diào)整、結果可調(diào)整、參數(shù)調(diào)節(jié)因子 評估流程 綜合風險水平 非現(xiàn)場監(jiān)管報表 監(jiān)管人員評判調(diào)整指標得分 系統(tǒng)自動生成指標得分 監(jiān)管關注度調(diào)節(jié)因子 固有風險分級結果 控制有效性分級結果 生成 后續(xù)監(jiān)管工作 參數(shù)值 監(jiān)管關注度調(diào)節(jié)因子 固有風險分級結果 控制有效性分級結果 抽取 評估打分表示例 指標分值及意義 固有風險 5分制，分值越高，固有風險越高 控制有效性 監(jiān)管關注度 5分制，分值越高，關注度越高 5分制，分值越高，控制有效性越強 參數(shù)表 參數(shù)值 參數(shù)值 =行業(yè)基準值 參數(shù) 調(diào)節(jié)因子 行業(yè)基準值：行業(yè)平均值或手工設定的經(jīng)驗值 參數(shù)調(diào)節(jié)因子：用于調(diào)整行業(yè)基準值的因子，可根據(jù)評估結果進行手動調(diào)節(jié) 行業(yè)平均值 ：大、中、小，劃分標準可調(diào)整 ：政策性銀行、國有商業(yè)銀行及 郵政儲蓄銀行 、股份制商業(yè)銀行、城市商業(yè)銀行及城市信用社、省聯(lián)社及農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及 農(nóng)村 信用社、外資法人商業(yè)銀行 行業(yè)平均值 使用行業(yè)固定值時，調(diào)節(jié)因子通常設為 1； 固有風險指標的參數(shù)調(diào)節(jié)因子設為 ，平均值相當于得 70分（中低上限）； 監(jiān)管關注度指標的調(diào)節(jié)因子設為 ，平均值相當于得 75分（監(jiān)管關注度調(diào)節(jié)因子 ）； 控制有效的指標的調(diào)節(jié)因子為 ，平均值得 70分（中弱上限）。 ? 外包商完全位于境外或。例如，基于數(shù)據(jù)倉庫技術的商業(yè)智能系統(tǒng)的運用。 指標體系 — 固有風險指標 數(shù)據(jù)中心運行 與 災備子領域 風險成因 數(shù)據(jù)中心運行 與 災備 ? 數(shù)據(jù)中心的重大變動對信息科技正常運行產(chǎn)生不利影響。 【 信息科技固有風險 】 是固有風險的重要組成部分，特指機構在運用信息技術的運用過程中所面對的固有風險。 ?要點 ? 加強和規(guī)范銀行機構信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過程造成業(yè)務中斷或數(shù)據(jù)丟失情況 ? 重要信息系統(tǒng)投產(chǎn)前至少 20個工作日、變更前至少 10個工作日向監(jiān)管部門報告，實施后 1個月內(nèi)提交投產(chǎn)或變更情況報告 《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 》 ? 概念 ? 數(shù)據(jù)中心：生產(chǎn)中心和災備中心 ? 災備中心：商業(yè)銀行為保障業(yè)務連續(xù)性，在生產(chǎn)中心故障、聽短或癱瘓后，能夠接替生產(chǎn)中心運行，具備專用場所、進行數(shù)據(jù)處理和支持重要業(yè)務持續(xù)運行的組織。 （出處： 信息安全風險評估規(guī)范 3） 基本概念 ? 風險的計量 ? 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。主要包括： ? —— 支持設施（例如建筑、供電、供水、空調(diào)等） ? —— 硬件資產(chǎn)（例如計算機設備、路由交換機、交換機等） ? —— 信息資產(chǎn)（例如數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序等） ? —— 軟件資產(chǎn)（例如應用軟件、系統(tǒng)軟件、開發(fā)工具和使用程序等） ? —— 生產(chǎn)能力或服務能力 ? —— 人員 ? —— 無形資產(chǎn)（例如信譽、形象等） ? —— 其他 （參照： 信息安全風險評估規(guī)范 P1； 信息系統(tǒng)安全管理要求P53） 基本概念 ? 資產(chǎn)價值 ? 資產(chǎn)的重要程度或敏感程度的表征。 信息科技風險監(jiān)管目標 ?安全性事件案例 ? 案例 2： 某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動用客戶資金的案件 。 攻擊來自互聯(lián)網(wǎng)多個地方和多臺機器 ， 持續(xù)時間 500分鐘 。 銀監(jiān)會開展的主要工作 ?制定一系列制度和標準 ?持續(xù)開展信息科技風險監(jiān)管培訓 ?組織開展信息科技風險現(xiàn)場檢查 ?推動實施信息科技非現(xiàn)場監(jiān)管 ?組織開展重要時點信息科技自查整改 ?及時發(fā)布各類信息科技風險提示 銀行機構信息科技風險狀況 ?科技風險管控意識提高 ?科技治理架構初步建立 ?科技基礎設施不斷完善 ?運行維護能力不斷加強 ?重視加強災備建設及開展應急演練 銀行機構信息科技風險狀況 ?個別銀行科技治理認識不到位 ?重眼前建設輕長遠規(guī)劃 ?科技治理架構未有效運行 ?應急演練開展實戰(zhàn)性不足 ?基層銀行機構科技力量薄弱 二、 信息科技風險監(jiān)管目標與手段 信息科技風險監(jiān)管目標 降低信息系統(tǒng)連續(xù)性和 安全性風險程度到可接受范圍 保障 信息系統(tǒng)連續(xù)性 和 安全性 保護銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)） 保護存款人利益 維護社會穩(wěn)定 信息科技風險監(jiān)管目標 ?連續(xù)性： ? 即業(yè)務連續(xù)性 ， 保證信息系統(tǒng)穩(wěn)定 、 持續(xù)地提供服務 ，通俗地說就是系統(tǒng) “ 不能斷 ” 。 ? 案例 3： 2023年 2月 3日某全國性銀行核心業(yè)務系統(tǒng)數(shù)據(jù)庫故障導致全國柜面等各項業(yè)務中斷近四小時 。 ? 案例 3： 某行柜員在為客戶辦理購買基金手續(xù)過程中 ,利用電腦終端畫面可以屏幕打印功能 ,沒有進行實際