【正文】 打印功能 ,沒有進(jìn)行實際交易 ,套打基金交易憑證交予客戶 ,將客戶資金轉(zhuǎn)入其控制的賬戶 .涉案金額 85萬元 。 ? 威脅的分類可按照造成威脅的因素分為人為因素威脅和環(huán)境因素威脅，按照威脅的表現(xiàn)形式可以分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不倒位、惡意代碼、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。 —— 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 第五條 ? 三道防線 ? 信息科技風(fēng)險管理的關(guān)鍵是要建立三道防線，第一道防線是指信息科技管理，需要全員參與，主要職責(zé)落在 科技部門 ，第二道防線是風(fēng)險管理，即從風(fēng)險的角度如何防范，職責(zé)落在 風(fēng)險部門 ，第三道防線是審計監(jiān)督，即內(nèi)審和外審，職責(zé)落在 審計部門 ，三道防線相互作用，形成立體防護(hù)網(wǎng)。 ? 正式運營前至少 20個工作日向監(jiān)管部門報告，變更數(shù)據(jù)中心場所要提前 2月報告 ? 對數(shù)據(jù)中心選址、基本配置提出明確要求 ? 災(zāi)難恢復(fù)等級達(dá)到 5級 ? 災(zāi)難恢復(fù)等級達(dá)到 5級：數(shù)據(jù)實施備份， 4級：數(shù)據(jù)定期備份 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 ?災(zāi)難恢復(fù)等級達(dá)到 4級：電子傳輸及完整設(shè)備支持，數(shù)據(jù)定期備份 ?災(zāi)難恢復(fù)等級達(dá)到 5級：實時數(shù)據(jù)傳輸及完整設(shè)備支持，數(shù)據(jù)實施備份 ?災(zāi)難恢復(fù)等級達(dá)到 5級：數(shù)據(jù)零丟失和遠(yuǎn)程集群支持。 【 風(fēng)險評估 】 是通過對信息科技風(fēng)險種類、風(fēng)險程度和風(fēng)險發(fā)展趨勢進(jìn)行識別分析，對信息科技的風(fēng)險狀況、風(fēng)險管理的充分性以及外部風(fēng)險因素的影響做出判斷，并在此基礎(chǔ)上對機構(gòu)的整體風(fēng)險水平做出評估。 指標(biāo)體系 — 固有風(fēng)險指標(biāo) 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護(hù) 子領(lǐng)域 風(fēng)險成因 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護(hù) ? 除負(fù)責(zé)本機構(gòu)系統(tǒng)恢復(fù)外，機構(gòu)還提供對外部機構(gòu)共享本機構(gòu)系統(tǒng)恢復(fù)設(shè)施的服務(wù)。 指標(biāo)體系 — 固有風(fēng)險指標(biāo) 信息科技項目子領(lǐng)域 風(fēng)險成因 信息科技項目 ? 項目變動不可避免，若變動頻繁、隨意性大，可能導(dǎo)致項目目標(biāo)無法按要求實現(xiàn)。 指標(biāo)體系 — 固有風(fēng)險指標(biāo) 監(jiān)管關(guān)注度子領(lǐng)域 風(fēng)險成因 監(jiān)管關(guān)注度 ? 規(guī)模（ 資產(chǎn)規(guī)模、網(wǎng)點規(guī)模、電子銀行用戶）。 科技人員道德風(fēng)險 187。重點關(guān)注以往重大信息系統(tǒng)突發(fā)事件情況、信息科技人員涉案情況等。 ? 過度依賴外包商，導(dǎo)致出現(xiàn)“太依賴而不能替換的外包商”。 ? 生產(chǎn)數(shù)據(jù)脫離生產(chǎn)環(huán)境進(jìn)入辦公環(huán)境或互聯(lián)網(wǎng)環(huán)境。 ? 關(guān)鍵信息系統(tǒng)缺乏穩(wěn)定性以致影響業(yè)務(wù)正常運行。 四、 信息科技風(fēng)險監(jiān)管架構(gòu) 信息科技風(fēng)險監(jiān)管體系 信息科技風(fēng)險 監(jiān)管年度計劃 數(shù)據(jù)采集 與審核 信息科技風(fēng)險 分析與評估 信息科技風(fēng)險 現(xiàn)場檢查 信息科技 風(fēng)險監(jiān)測 風(fēng)險提示、 預(yù)警 及應(yīng)急處理 年度信息科技 監(jiān)管評級 年度信息科技 監(jiān)管報告 體系概述 — 總體框架 固有風(fēng)險 控制有效性 = 剩余風(fēng)險 固有風(fēng)險指標(biāo) 控制有效性指標(biāo) 信息科技綜合風(fēng)險水平 信息科技風(fēng)險評估指標(biāo) 固有風(fēng)險水平 控制有效性 風(fēng)險評估流程方法 體系概述 — 剩余風(fēng)險綜合分析矩陣 剩余風(fēng)險 控制有效性 強 中強 中弱 弱 固有風(fēng)險 高 三級 四級 五級 六級 中高 二級 三級 四級 五級 中低 一級 二級 三級 四級 低 一級 一級 二級 三級 體系概述 — 基礎(chǔ)定義 《 體系 》 基礎(chǔ)定義： 【 固有風(fēng)險 】 是指在不考慮內(nèi)部控制結(jié)構(gòu)的前提下，由于內(nèi)部因素和客觀環(huán)境的影響，經(jīng)營運作可能發(fā)生重大錯誤的風(fēng)險。 重要突發(fā)事件發(fā)生后 60分鐘內(nèi)將情況報監(jiān)管部門、 12小時內(nèi)提交正式報告、一級事件每兩小時報告進(jìn)展 《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》 ?概念 ? 重要信息系統(tǒng)：指支撐銀行業(yè)金融機構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) ? 投產(chǎn)和變更內(nèi)容 ： 支撐重要信息系統(tǒng)運行的機房、網(wǎng)絡(luò)設(shè)施投產(chǎn)、機房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。 （出處： 信息安全風(fēng)險評估規(guī)范 P2） 基本概念 ? 剩余風(fēng)險 ? 采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。 信息科技風(fēng)險監(jiān)管目標(biāo) ? 如何判斷是否達(dá)到目標(biāo) ？ ? 信息科技風(fēng)險 （ 包括連續(xù)性和安全性風(fēng)險 ） 的計量 ? 判斷信息科技風(fēng)險程度是否在可接受范圍 基本概念 ? 資產(chǎn) ? 對組織具有價值的信息或資源，是安全策略保護(hù)的對象。 犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對轉(zhuǎn)出卡號 、 轉(zhuǎn)入帳號客戶隸屬關(guān)系進(jìn)行校驗 ， 而且主機系統(tǒng)對網(wǎng)銀服務(wù)端上傳的個別交易數(shù)據(jù)驗證不充分的程序邏輯缺陷 ， 通過模擬瀏覽器與服務(wù)端通訊的方式 ， 非法截取并篡改交易數(shù)據(jù) ， 盜取他人資金 。 ? 案例 2： 2023年 12月 21日 ， 某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因 DDOS攻擊引發(fā)的系統(tǒng)故障 ， 經(jīng)內(nèi)外部專家診斷為外部分布式攻擊 。 ?安全性： ? 保證數(shù)據(jù)的保密性 、 完整性 、 可用性 ， 通俗地說就是數(shù)據(jù) “ 不能丟 ” 。 ? 案例 4： 2023年 12月 16日 11： 05至 13： 57， 某分行綜合前置機系統(tǒng)出現(xiàn)故障 ， 造成全轄 15個網(wǎng)點對外營業(yè)中斷近三個小時 。 電腦終端可隨意進(jìn)行屏幕打印 ,存在明顯缺陷 ,使作案人有機可乘 信息科技風(fēng)險監(jiān)管目標(biāo) ?安全性事件案例 ? 案例 4： 近期 ， 某銀行機構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識別程序 ” 自行編寫密碼猜解軟件 ， 通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號的方式 ， 對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊 ，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號 、 查詢密碼等信息 。 （出處： 信息安全風(fēng)險評估規(guī)范 P P9） 基本概念 ? 脆弱性 ? 可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 ?要點： ? 信息科技治理 ? 明確商業(yè)銀行董事會職責(zé) ? 要求設(shè)立首席信息官，明確了首席信息官職責(zé) ? 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險管理、信息科技審計的責(zé)任部門和職責(zé)內(nèi)容 ? 風(fēng)險管理部門職責(zé)： – 將科技風(fēng)險納入總體風(fēng)險管理體系 – 負(fù)責(zé)制定信息科技風(fēng)險管理策略 – 負(fù)責(zé)持續(xù)開展信息科技風(fēng)險識別、監(jiān)測、計量、評估 – 根據(jù)風(fēng)險評估結(jié)果制定風(fēng)險防范措施 ? 審計部門職責(zé)： – 組織開展內(nèi)部和外部審計 – 要求配備具有專業(yè)能力的信息科技審計人員獨立開展審計 – 至少每三年開展一次全面審計 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 ?要點： ? 業(yè)務(wù)連續(xù)性管理 ? 制定業(yè)務(wù)連續(xù)性規(guī)劃，確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)。 《銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案》 ?要點 ? 要求法人銀行機構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書，明確高管人員對信息系統(tǒng)安全保障的管理責(zé)任 ? 對管理失職造成不良后果的，追究責(zé)任 《 銀行業(yè)金融機構(gòu)信息科技非現(xiàn)場監(jiān)管報表 》 ? 要點： ? 明確信息科技風(fēng)險部門為報送責(zé)任部門 ? 包括 1份年度報告、 1