【正文】 打印功能 ,沒(méi)有進(jìn)行實(shí)際交易 ,套打基金交易憑證交予客戶(hù) ,將客戶(hù)資金轉(zhuǎn)入其控制的賬戶(hù) .涉案金額 85萬(wàn)元 。 ? 威脅的分類(lèi)可按照造成威脅的因素分為人為因素威脅和環(huán)境因素威脅，按照威脅的表現(xiàn)形式可以分為軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不倒位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴(lài)等。 —— 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 第五條 ? 三道防線 ? 信息科技風(fēng)險(xiǎn)管理的關(guān)鍵是要建立三道防線，第一道防線是指信息科技管理，需要全員參與，主要職責(zé)落在 科技部門(mén) ，第二道防線是風(fēng)險(xiǎn)管理，即從風(fēng)險(xiǎn)的角度如何防范，職責(zé)落在 風(fēng)險(xiǎn)部門(mén) ，第三道防線是審計(jì)監(jiān)督，即內(nèi)審和外審，職責(zé)落在 審計(jì)部門(mén) ，三道防線相互作用，形成立體防護(hù)網(wǎng)。 ? 正式運(yùn)營(yíng)前至少 20個(gè)工作日向監(jiān)管部門(mén)報(bào)告，變更數(shù)據(jù)中心場(chǎng)所要提前 2月報(bào)告 ? 對(duì)數(shù)據(jù)中心選址、基本配置提出明確要求 ? 災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí) ? 災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)：數(shù)據(jù)實(shí)施備份， 4級(jí)：數(shù)據(jù)定期備份 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 ?災(zāi)難恢復(fù)等級(jí)達(dá)到 4級(jí)：電子傳輸及完整設(shè)備支持，數(shù)據(jù)定期備份 ?災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)：實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持，數(shù)據(jù)實(shí)施備份 ?災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)：數(shù)據(jù)零丟失和遠(yuǎn)程集群支持。 【 風(fēng)險(xiǎn)評(píng)估 】 是通過(guò)對(duì)信息科技風(fēng)險(xiǎn)種類(lèi)、風(fēng)險(xiǎn)程度和風(fēng)險(xiǎn)發(fā)展趨勢(shì)進(jìn)行識(shí)別分析，對(duì)信息科技的風(fēng)險(xiǎn)狀況、風(fēng)險(xiǎn)管理的充分性以及外部風(fēng)險(xiǎn)因素的影響做出判斷，并在此基礎(chǔ)上對(duì)機(jī)構(gòu)的整體風(fēng)險(xiǎn)水平做出評(píng)估。 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護(hù) 子領(lǐng)域 風(fēng)險(xiǎn)成因 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護(hù) ? 除負(fù)責(zé)本機(jī)構(gòu)系統(tǒng)恢復(fù)外，機(jī)構(gòu)還提供對(duì)外部機(jī)構(gòu)共享本機(jī)構(gòu)系統(tǒng)恢復(fù)設(shè)施的服務(wù)。 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 信息科技項(xiàng)目子領(lǐng)域 風(fēng)險(xiǎn)成因 信息科技項(xiàng)目 ? 項(xiàng)目變動(dòng)不可避免，若變動(dòng)頻繁、隨意性大，可能導(dǎo)致項(xiàng)目目標(biāo)無(wú)法按要求實(shí)現(xiàn)。 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 監(jiān)管關(guān)注度子領(lǐng)域 風(fēng)險(xiǎn)成因 監(jiān)管關(guān)注度 ? 規(guī)模（ 資產(chǎn)規(guī)模、網(wǎng)點(diǎn)規(guī)模、電子銀行用戶(hù)）。 科技人員道德風(fēng)險(xiǎn) 187。重點(diǎn)關(guān)注以往重大信息系統(tǒng)突發(fā)事件情況、信息科技人員涉案情況等。 ? 過(guò)度依賴(lài)外包商，導(dǎo)致出現(xiàn)“太依賴(lài)而不能替換的外包商”。 ? 生產(chǎn)數(shù)據(jù)脫離生產(chǎn)環(huán)境進(jìn)入辦公環(huán)境或互聯(lián)網(wǎng)環(huán)境。 ? 關(guān)鍵信息系統(tǒng)缺乏穩(wěn)定性以致影響業(yè)務(wù)正常運(yùn)行。 四、 信息科技風(fēng)險(xiǎn)監(jiān)管架構(gòu) 信息科技風(fēng)險(xiǎn)監(jiān)管體系 信息科技風(fēng)險(xiǎn) 監(jiān)管年度計(jì)劃 數(shù)據(jù)采集 與審核 信息科技風(fēng)險(xiǎn) 分析與評(píng)估 信息科技風(fēng)險(xiǎn) 現(xiàn)場(chǎng)檢查 信息科技 風(fēng)險(xiǎn)監(jiān)測(cè) 風(fēng)險(xiǎn)提示、 預(yù)警 及應(yīng)急處理 年度信息科技 監(jiān)管評(píng)級(jí) 年度信息科技 監(jiān)管報(bào)告 體系概述 — 總體框架 固有風(fēng)險(xiǎn) 控制有效性 = 剩余風(fēng)險(xiǎn) 固有風(fēng)險(xiǎn)指標(biāo) 控制有效性指標(biāo) 信息科技綜合風(fēng)險(xiǎn)水平 信息科技風(fēng)險(xiǎn)評(píng)估指標(biāo) 固有風(fēng)險(xiǎn)水平 控制有效性 風(fēng)險(xiǎn)評(píng)估流程方法 體系概述 — 剩余風(fēng)險(xiǎn)綜合分析矩陣 剩余風(fēng)險(xiǎn) 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 固有風(fēng)險(xiǎn) 高 三級(jí) 四級(jí) 五級(jí) 六級(jí) 中高 二級(jí) 三級(jí) 四級(jí) 五級(jí) 中低 一級(jí) 二級(jí) 三級(jí) 四級(jí) 低 一級(jí) 一級(jí) 二級(jí) 三級(jí) 體系概述 — 基礎(chǔ)定義 《 體系 》 基礎(chǔ)定義： 【 固有風(fēng)險(xiǎn) 】 是指在不考慮內(nèi)部控制結(jié)構(gòu)的前提下，由于內(nèi)部因素和客觀環(huán)境的影響，經(jīng)營(yíng)運(yùn)作可能發(fā)生重大錯(cuò)誤的風(fēng)險(xiǎn)。 重要突發(fā)事件發(fā)生后 60分鐘內(nèi)將情況報(bào)監(jiān)管部門(mén)、 12小時(shí)內(nèi)提交正式報(bào)告、一級(jí)事件每?jī)尚r(shí)報(bào)告進(jìn)展 《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》 ?概念 ? 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會(huì)秩序和公共利益，甚至影響國(guó)家安全的信息系統(tǒng) ? 投產(chǎn)和變更內(nèi)容 ： 支撐重要信息系統(tǒng)運(yùn)行的機(jī)房、網(wǎng)絡(luò)設(shè)施投產(chǎn)、機(jī)房場(chǎng)地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。 （出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P2） 基本概念 ? 剩余風(fēng)險(xiǎn) ? 采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ? 如何判斷是否達(dá)到目標(biāo) ？ ? 信息科技風(fēng)險(xiǎn) （ 包括連續(xù)性和安全性風(fēng)險(xiǎn) ） 的計(jì)量 ? 判斷信息科技風(fēng)險(xiǎn)程度是否在可接受范圍 基本概念 ? 資產(chǎn) ? 對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。 犯罪嫌疑人利用網(wǎng)銀客戶(hù)端交易數(shù)據(jù)包未對(duì)轉(zhuǎn)出卡號(hào) 、 轉(zhuǎn)入帳號(hào)客戶(hù)隸屬關(guān)系進(jìn)行校驗(yàn) ， 而且主機(jī)系統(tǒng)對(duì)網(wǎng)銀服務(wù)端上傳的個(gè)別交易數(shù)據(jù)驗(yàn)證不充分的程序邏輯缺陷 ， 通過(guò)模擬瀏覽器與服務(wù)端通訊的方式 ， 非法截取并篡改交易數(shù)據(jù) ， 盜取他人資金 。 ? 案例 2： 2023年 12月 21日 ， 某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因 DDOS攻擊引發(fā)的系統(tǒng)故障 ， 經(jīng)內(nèi)外部專(zhuān)家診斷為外部分布式攻擊 。 ?安全性： ? 保證數(shù)據(jù)的保密性 、 完整性 、 可用性 ， 通俗地說(shuō)就是數(shù)據(jù) “ 不能丟 ” 。 ? 案例 4： 2023年 12月 16日 11： 05至 13： 57， 某分行綜合前置機(jī)系統(tǒng)出現(xiàn)故障 ， 造成全轄 15個(gè)網(wǎng)點(diǎn)對(duì)外營(yíng)業(yè)中斷近三個(gè)小時(shí) 。 電腦終端可隨意進(jìn)行屏幕打印 ,存在明顯缺陷 ,使作案人有機(jī)可乘 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?安全性事件案例 ? 案例 4： 近期 ， 某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識(shí)別程序 ” 自行編寫(xiě)密碼猜解軟件 ， 通過(guò)鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式 ， 對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊 ，最終非法獲取兩家銀行數(shù)百個(gè)客戶(hù)的網(wǎng)銀帳號(hào) 、 查詢(xún)密碼等信息 。 （出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P P9） 基本概念 ? 脆弱性 ? 可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 信息科技治理 ? 明確商業(yè)銀行董事會(huì)職責(zé) ? 要求設(shè)立首席信息官，明確了首席信息官職責(zé) ? 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)的責(zé)任部門(mén)和職責(zé)內(nèi)容 ? 風(fēng)險(xiǎn)管理部門(mén)職責(zé)： – 將科技風(fēng)險(xiǎn)納入總體風(fēng)險(xiǎn)管理體系 – 負(fù)責(zé)制定信息科技風(fēng)險(xiǎn)管理策略 – 負(fù)責(zé)持續(xù)開(kāi)展信息科技風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)、計(jì)量、評(píng)估 – 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)防范措施 ? 審計(jì)部門(mén)職責(zé)： – 組織開(kāi)展內(nèi)部和外部審計(jì) – 要求配備具有專(zhuān)業(yè)能力的信息科技審計(jì)人員獨(dú)立開(kāi)展審計(jì) – 至少每三年開(kāi)展一次全面審計(jì) 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 業(yè)務(wù)連續(xù)性管理 ? 制定業(yè)務(wù)連續(xù)性規(guī)劃，確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)。 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案》 ?要點(diǎn) ? 要求法人銀行機(jī)構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書(shū)，明確高管人員對(duì)信息系統(tǒng)安全保障的管理責(zé)任 ? 對(duì)管理失職造成不良后果的，追究責(zé)任 《 銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場(chǎng)監(jiān)管報(bào)表 》 ? 要點(diǎn)： ? 明確信息科技風(fēng)險(xiǎn)部門(mén)為報(bào)送責(zé)任部門(mén) ? 包括 1份年度報(bào)告、 1