【正文】 2022萬美元匯至斯里蘭卡一個非營利組織時，卻把收款機構名稱中的“ foundation”(基金會 )，誤拼成“ fandation”，促使負責轉賬的德意志銀行向孟加拉國央行要求驗證，進而阻止了這筆交易，以及其余約 億美元的未處理指令。提高信息科技風險防范意識和防護技能 ， 對于 保障銀行業(yè)務連續(xù)性和數據安全至關重要。這 位新西蘭 黑客準備的 演講題目 為 《 入侵人體 》 ”。 第三 ，推動網絡經濟創(chuàng)新發(fā)展，促進共同繁榮 ?！? 習近平 2022年 2月 27日，中央網絡安全和信息化領導小組成立 14 “網絡 安全和信息化是相輔相成的。 24 業(yè)務系統中斷 原因分析 序號 業(yè)務中斷原因 范圍 1 數據中心基礎設施故障 風、火、水、電 2 關鍵信息基礎設施故障 主機、網絡、數據庫、中間件 3 關鍵業(yè)務應用系統缺陷 源代碼設計缺陷、編譯環(huán)境漏洞 4 內部人員誤操作或惡意破壞 疏忽、謀財、泄憤 5 外部惡意攻擊 黑客、商業(yè)間諜、敵對方 6 自然災害 地震、洪水、火災、臺風 25 ? 銀行信息系統被惡意入侵 孟加拉國央行 韓國農協銀行 花旗銀行 26 27 Vladimir Levin 全球首次黑客侵入銀行系統并盜取巨額資金事件 1994年 ， 弗拉迪米 .列文通過花旗銀行的電匯系統獲取幾個公司的賬號和密碼，把總額 1070萬美金的巨款轉移到自己位于美國、芬蘭、荷蘭、以色列和德國的帳戶。在網上，我有志同道合的朋友，也有很多‘客戶’。此外，根據個人信息“品質”的不同，價格也分為“三六九等”，每條價格從２分錢到５元錢不等 。 《 銀行業(yè)金融機構 信息科技 外包風險管理指引 》 銀監(jiān)發(fā) ［ 2022］ 5號 第二十四條 銀行業(yè)金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作 ， 至少每三年對重要的外包服務活動進行一次全面審計 。 公安部 58 ① PCIDSS 支付卡行業(yè)數據安全標準 PCI DSS: Payment Card Industry Data Security Standard 國際組織 59 ?信息系統審計的價值 ? 開展審計調研，摸清信息科技工作家底； ? 實施現場審計，揭示信息科技工作主要風險； ? 總結行業(yè)經驗，提出改進建議； ? 制定審計規(guī)范，協助建立信息科技風險“三道防線”； 就信息科技工作向管理層提供： 信心和信任！ 60 ? 利用信息系統審計建立信息科技風險防范三道防線 傳遞價值，“授人以漁” 61 信息系統審計在金融機構業(yè)務環(huán)境中的位置 審計 IT 財務 計算機輔助審計 信息系統 審計 傳統審計 財務 信息化 62 ?信息系統審計 的目的和目標 ? 揭示信息科技風險 ? 監(jiān)督和威懾 ? 提供改進建議 “ 推進對各部門 、單位計算機信息系統安全性、可靠性和經濟 性的審計 ” ?《 國務院關于加強審計工作的意見 》 （國發(fā) [2022]48號） 63 從認識我們的審計對象入手 信息科技治理 ? 如何開展信息系統審計 64 65 ?在金融行業(yè)，信息科技風險審計主要是依據銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》（銀監(jiān)發(fā)［ 2022］ 19號）要求，按照銀監(jiān)會《商業(yè)銀行信息科技風險現場檢查指南》和審計署《信息系統審計指南》，對商業(yè)銀行實施現場審計。 ? 業(yè)務數據審計模型示例 ： 銀行員工貸款炒股 71 ? 違規(guī)情形： 銀 行的員工作為較特殊的銀行客戶，在貸款時一般會獲得一些方便， 容易取得貸款。 73 o 信息系統審計人員匱乏 ； o 對信息系統審計的認識存在誤區(qū) ； o 信息系統審計知識不足； o 信息系統審計基礎教育剛剛萌芽； ? 信息系統審計教育培訓 74 主要內容 1. 近期 國家網絡安全政策形勢 2. 銀行會面臨哪些信息科技風險 3. 利用審計建立風險防范第三道防線 4. 問與答 75 Best Efforts in Everything We Do. 76