【正文】 業(yè)務(wù)量是機構(gòu)信息系統(tǒng)所承載交易壓力的直接體現(xiàn)。 ? 本機構(gòu)系統(tǒng)恢復(fù)依賴于外部機構(gòu)的恢復(fù)設(shè)施，外部機構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響本機構(gòu)的系統(tǒng)恢復(fù)。 ? 提供評價銀行信息科技風(fēng)險管理各領(lǐng)域狀況的參考標準，并提出了具體的檢查要求和步驟，進一步規(guī)范了信息科技風(fēng)險現(xiàn)場檢查的程序、手段和行為，是銀監(jiān)會及各級派出機構(gòu)實施現(xiàn)場檢查工作的一個重要參考依據(jù)和檢查指導(dǎo)工具。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點。 信息科技風(fēng)險監(jiān)管目標 ?安全性事件案例 ? 案例 1： 2023年 12月 31日至 2023年 1月 4日 ， 某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件 ， 涉及被盜帳號 12個 ， 總金額 12萬元 。 信息科技風(fēng)險監(jiān)管目標 ?連續(xù)性事件案例 ? 案例 1： 2023年 11月上旬 ， 某大型銀行某省分行在供電部門預(yù)先通知停電的情況下 ， 因發(fā)電機故障 、 主機存儲控制卡損壞等原因 ，造成全省業(yè)務(wù)無法正常運營達 7小時 15分鐘 。 ? 案例 6 ： 某行借記卡被通過手機銀行猜解密碼 ， 涉及 1007張借記卡 。 ? 主要概念 ? 重要信息系統(tǒng)：指支撐銀行業(yè)金融機構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) ? 要點： ? 明確定義了董事會及高管層、風(fēng)險管理部門、信息科技管理部門和業(yè)務(wù)管理部門在突發(fā)事件中的職責要求，明確了應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急執(zhí)行小組、應(yīng)急保障小組的職責分工 ? 對突發(fā)事件進行分級定義，將突發(fā)事件按照影響范圍和持續(xù)時間分為特別重大突發(fā)事件（兩個以上省業(yè)務(wù)中斷超過 3小時或一個省超過 6小時） 、重大突發(fā)事件（兩個以上省業(yè)務(wù)中斷半小時或一個省超 3小時） 、 交大突發(fā)事件（一個省業(yè)務(wù)中斷超半小時 ） 三個級別 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 要點： ? 要求銀行機構(gòu)建立信息科技風(fēng)險防范體系，制定信息系統(tǒng) RTO（ 最短恢復(fù)時間目標）、 RPO（ 最近恢復(fù)點目標）指標 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 正常處理 初始響應(yīng) 激活 恢復(fù)流程 積壓業(yè)務(wù) 正常處理 最近備份 備份 備份 恢復(fù)結(jié)束 目標恢復(fù)點 事件 在成功恢復(fù)之前， 數(shù)據(jù)可能會遺失、 損壞、或無法獲取 目標恢復(fù)階段（ RTO） 處理間隙：位于損 壞點與恢復(fù)正常處理 之間的滯后時間段 災(zāi)難聲明 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 要點： ? 對信息科技風(fēng)險識別、評估、監(jiān)測、預(yù)警的各個環(huán)節(jié)提出了具體要求 ? 對銀行機構(gòu)制定應(yīng)急預(yù)案、開展應(yīng)急演練、應(yīng)急響應(yīng)及報告機制、日常應(yīng)急保障等應(yīng)急管理內(nèi)容提出了具體要求。 ? 重要信息系統(tǒng)復(fù)雜程度高，存在安全性和完整性問題。 指標體系 — 固有風(fēng)險指標 信息科技服務(wù) 外包 子領(lǐng)域 風(fēng)險成因 信息科技服務(wù)外包 ? 外包人員變動導(dǎo)致外包服務(wù)持續(xù)性受影響，導(dǎo)致服務(wù)質(zhì)量下降、進度拖延等可能性。 操作風(fēng)險（初始密碼管理、代發(fā)工資卡） – 應(yīng)急管理 Copyright by CHENYL 演講完畢，謝謝觀看！ 。 ? 項目規(guī)模及復(fù)雜度難以駕馭。 體系概述 — 數(shù)據(jù)關(guān)系 風(fēng)險評估指標 非現(xiàn)場監(jiān)管報表 其 他 監(jiān) 管 干 預(yù) 現(xiàn)場檢查結(jié)果 風(fēng)險 評估 監(jiān)管評級 現(xiàn)場檢查 結(jié)果 指標體系 — 固有風(fēng)險指標 重要 信息系統(tǒng) 數(shù)據(jù)中心運行 與 災(zāi)備 信息科技項目 信息科技 服務(wù)外包 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護 監(jiān)管關(guān)注度 信息科技 固有風(fēng)險指標 固有風(fēng)險 子領(lǐng)域 指標體系 — 固有風(fēng)險指標 重要 信息系統(tǒng)子領(lǐng)域 風(fēng)險成因 重要 信息系統(tǒng) ? 核心業(yè)務(wù)系統(tǒng)替換后影響未消除，導(dǎo)致業(yè)務(wù)無法正常運行。 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 ?要點： ? 信息科技治理 ? 明確商業(yè)銀行董事會職責 ? 要求設(shè)立首席信息官，明確了首席信息官職責 ? 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險管理、信息科技審計的責任部門和職責內(nèi)容 ? 風(fēng)險管理部門職責： – 將科技風(fēng)險納入總體風(fēng)險管理體系 – 負責制定信息科技風(fēng)險管理策略 – 負責持續(xù)開展信息科技風(fēng)險識別、監(jiān)測、計量、評估 – 根據(jù)風(fēng)險評估結(jié)果制定風(fēng)險防范措施 ? 審計部門職責： – 組織開展內(nèi)部和外部審計 – 要求配備具有專業(yè)能力的信息科技審計人員獨立開展審計 – 至少每三年開展一次全面審計 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 ?要點： ? 業(yè)務(wù)連續(xù)性管理 ? 制定業(yè)務(wù)連續(xù)性規(guī)劃，確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)。 電腦終端可隨意進行屏幕打印 ,存在明顯缺陷 ,使作案人有機可乘 信息科技風(fēng)險監(jiān)管目標 ?安全性事件案例 ? 案例 4： 近期 ， 某銀行機構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識別程序 ” 自行編寫密碼猜解軟件 ， 通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號的方式 ， 對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊 ，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號 、 查詢密碼等信息 。 ?安全性： ? 保證數(shù)據(jù)的保密性 、 完整性 、 可用性 ， 通俗地說就是數(shù)據(jù) “ 不能丟 ” 。 犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對轉(zhuǎn)出卡號 、 轉(zhuǎn)入帳號客戶隸屬關(guān)系進行校驗 ， 而且主機系統(tǒng)對網(wǎng)銀服務(wù)端上傳的個別交易數(shù)據(jù)驗證不充分的程序邏輯缺陷 ， 通過模擬瀏覽器與服務(wù)端通訊的方式 ， 非法截取并篡改交易數(shù)據(jù) ， 盜取他人資金 。 （出處： 信息安全風(fēng)險評估規(guī)范 P2） 基本概念 ? 剩余風(fēng)險 ? 采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。 四、 信息科技風(fēng)險監(jiān)管架構(gòu) 信息科技風(fēng)險監(jiān)管體系 信息科技風(fēng)險 監(jiān)管年度計劃 數(shù)據(jù)采集 與審核 信息科技風(fēng)險 分析與評估 信息科技風(fēng)險 現(xiàn)場檢查 信息科技 風(fēng)險監(jiān)測 風(fēng)險提示、 預(yù)警 及應(yīng)急處理 年度信息科技 監(jiān)管評級 年度信息科技 監(jiān)管報告 體系概述 — 總體框架 固有風(fēng)險 控制有效性 = 剩余風(fēng)險 固有風(fēng)險指標 控制有效性指標 信息科技綜合風(fēng)險水平 信息科技風(fēng)險評估指標 固有風(fēng)險水平 控制有效性 風(fēng)險評估流程方法 體系概述 — 剩余風(fēng)險綜合分析矩陣 剩余風(fēng)險 控制有效性 強 中強 中弱 弱 固有風(fēng)險 高 三級 四級 五級 六級 中高 二級 三級 四級 五級 中低 一級 二級 三級 四級 低 一級 一級 二級 三級 體系概述 — 基礎(chǔ)定義 《 體系 》 基礎(chǔ)定義： 【 固有風(fēng)險 】 是指在不考慮內(nèi)部控制結(jié)構(gòu)的前提下，由于內(nèi)部因素和客觀環(huán)境的影響，經(jīng)營運作可能發(fā)生重大錯誤的風(fēng)險。 ? 生產(chǎn)數(shù)據(jù)脫離生產(chǎn)環(huán)境進入辦公環(huán)境或互聯(lián)網(wǎng)環(huán)境。重點關(guān)注以往重大信息系統(tǒng)突發(fā)事件情況、信息科技人員涉