【正文】 外包服務(wù)商？ ? 如何防止外包人員接觸生產(chǎn)數(shù)據(jù)或敏感信息？ ? 外包合同是否經(jīng)法規(guī)或?qū)徲?jì)部門審核？ ? 有無(wú)可迅速替換的外包商？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息安全管理子領(lǐng)域 關(guān)鍵要素 信息安全管理 ? 信息資產(chǎn)普查與分級(jí)？ ? 跨部門協(xié)調(diào)的信息安全執(zhí)行組織 ？ ? 物理安全？ ? 物理訪問(wèn)控制？ ? 邏輯訪問(wèn)控制？ ? 版本管理？ ? 配置管理？ ? 日志管理？ ? 網(wǎng)絡(luò)管理？ ? 數(shù)據(jù)安全？ 評(píng)估指標(biāo) 定量指標(biāo) 74個(gè) 固有風(fēng)險(xiǎn)： 23個(gè) 監(jiān)管關(guān)注度： 9個(gè) 控制有效性： 42個(gè) 定性指標(biāo) 90個(gè) 固有風(fēng)險(xiǎn)： 10個(gè) (手工 2個(gè) ) 控制有效性： 80個(gè) (手工 8個(gè) ) 固有風(fēng)險(xiǎn)： 33個(gè) 監(jiān)管關(guān)注度： 9個(gè) 控制有效性： 122個(gè) 指標(biāo)合計(jì) 164個(gè) 基本思想 自動(dòng)化 自動(dòng)抽得指標(biāo)結(jié)果、自動(dòng)評(píng)分、自動(dòng)匯總、自動(dòng)分級(jí) 靈活性 標(biāo)準(zhǔn)化 審核標(biāo)準(zhǔn)規(guī)范化、評(píng)分規(guī)則標(biāo)準(zhǔn)化、參數(shù)標(biāo)準(zhǔn)化 得分可調(diào)整、結(jié)果可調(diào)整、參數(shù)調(diào)節(jié)因子 評(píng)估流程 綜合風(fēng)險(xiǎn)水平 非現(xiàn)場(chǎng)監(jiān)管報(bào)表 監(jiān)管人員評(píng)判調(diào)整指標(biāo)得分 系統(tǒng)自動(dòng)生成指標(biāo)得分 監(jiān)管關(guān)注度調(diào)節(jié)因子 固有風(fēng)險(xiǎn)分級(jí)結(jié)果 控制有效性分級(jí)結(jié)果 生成 后續(xù)監(jiān)管工作 參數(shù)值 監(jiān)管關(guān)注度調(diào)節(jié)因子 固有風(fēng)險(xiǎn)分級(jí)結(jié)果 控制有效性分級(jí)結(jié)果 抽取 評(píng)估打分表示例 指標(biāo)分值及意義 固有風(fēng)險(xiǎn) 5分制，分值越高，固有風(fēng)險(xiǎn)越高 控制有效性 監(jiān)管關(guān)注度 5分制，分值越高，關(guān)注度越高 5分制，分值越高，控制有效性越強(qiáng) 參數(shù)表 參數(shù)值 參數(shù)值 =行業(yè)基準(zhǔn)值 參數(shù) 調(diào)節(jié)因子 行業(yè)基準(zhǔn)值 ： 行業(yè)平均值 或 手工設(shè)定 的經(jīng)驗(yàn)值 參數(shù)調(diào)節(jié)因子： 用于 調(diào)整 行業(yè) 基準(zhǔn) 值的 因子 ，可根據(jù)評(píng)估結(jié)果進(jìn)行手動(dòng)調(diào)節(jié) 行業(yè)平均值 ：大、中、小，劃分標(biāo)準(zhǔn)可調(diào)整 ：政策性銀行、國(guó)有商業(yè)銀行及 郵政儲(chǔ)蓄銀行 、股份制商業(yè)銀行、城市商業(yè)銀行及城市信用社、省聯(lián)社及農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及 農(nóng)村 信用社、外資法人商業(yè)銀行 行業(yè)平均值 使用行業(yè)固定值時(shí)，調(diào)節(jié)因子通常設(shè)為 1； 固有風(fēng)險(xiǎn)指標(biāo)的參數(shù)調(diào)節(jié)因子設(shè)為 ，平均值相當(dāng)于得 70分（中低上限）； 監(jiān)管關(guān)注度指標(biāo)的調(diào)節(jié)因子設(shè)為 ，平均值相當(dāng)于得 75分（監(jiān)管關(guān)注度調(diào)節(jié)因子 ）； 控制有效的指標(biāo)的調(diào)節(jié)因子為 ，平均值得 70分（中弱上限）。 參數(shù)調(diào)節(jié)因子 統(tǒng)一維護(hù)，生效后才能評(píng)分 固有風(fēng)險(xiǎn)評(píng)分流程 指標(biāo)評(píng) 分 關(guān)鍵風(fēng)險(xiǎn)因素評(píng)分 子領(lǐng)域評(píng)分 ? 關(guān)鍵風(fēng)險(xiǎn)因素得分 =∑(指標(biāo)得分 /5*指標(biāo)分值 ) ? 子領(lǐng)域得分 =∑關(guān)鍵風(fēng)險(xiǎn)因素得分 固有風(fēng)險(xiǎn)評(píng)分 ? 固有風(fēng)險(xiǎn)得分 =∑(子領(lǐng)域得分 *子領(lǐng)域權(quán)值 ) ? 5分制，先系統(tǒng)自動(dòng)評(píng)分，再人工調(diào)整 固有風(fēng)險(xiǎn)評(píng)分 固有風(fēng)險(xiǎn)評(píng)估示例 監(jiān)管關(guān)注度評(píng)分流程 監(jiān)管關(guān)注度指標(biāo)評(píng) 分 監(jiān)管關(guān)注度評(píng) 分 監(jiān)管關(guān)注度調(diào)節(jié)因子 ? 監(jiān)管關(guān)注度得分 =60時(shí)， 調(diào)節(jié)因子=； 60監(jiān)管關(guān)注度得分 =75時(shí)， 調(diào)節(jié)因子 =； 75監(jiān)管關(guān)注度得分 =90時(shí)， 調(diào)節(jié)因子 =； 90監(jiān)管關(guān)注度得分 =100時(shí)，調(diào)節(jié)因子=。 ? 5分制，先系統(tǒng)自動(dòng)評(píng)分，再人工調(diào)整 ? 監(jiān)管關(guān)注度得分 =∑(指標(biāo)得分 /5*指標(biāo)分值 ) 固有風(fēng)險(xiǎn)調(diào)整后得分 = 固有風(fēng)險(xiǎn)得分 監(jiān)管關(guān)注度調(diào)節(jié)因子 監(jiān)管關(guān)注度評(píng)分 固有風(fēng)險(xiǎn)調(diào)整 固有風(fēng)險(xiǎn)評(píng)估分級(jí) 固有風(fēng)險(xiǎn)分級(jí) 低： (0固有風(fēng)險(xiǎn)調(diào)整后得分 =50) 中低： (50固有風(fēng)險(xiǎn)調(diào)整后得分 =70) 中高： (70固有風(fēng)險(xiǎn)調(diào)整后得分 =90) 高： (90固有風(fēng)險(xiǎn)調(diào)整后得分=100) 控制有效性評(píng)估分級(jí) 控制有效性分級(jí) 弱： (0控制有效性得分 =50) 中弱： (50控制有效性得分 =70) 中強(qiáng)： (70控制有效性得分 =90) 強(qiáng)： (90控制有效性得分 =100) 綜合風(fēng)險(xiǎn)水平 綜合風(fēng)險(xiǎn)水平 1級(jí) 1 級(jí) 1級(jí) 2 級(jí) 1級(jí) 3 級(jí) 1級(jí) 4 級(jí) 1級(jí) 5 級(jí) 1級(jí) 6 級(jí) 固有風(fēng)險(xiǎn) 低 中低 中高 高 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 綜合評(píng)估矩陣 綜合風(fēng)險(xiǎn)水平 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 固有風(fēng)險(xiǎn) 高 三級(jí) 四級(jí) 五級(jí) 六級(jí) 中高 二級(jí) 三級(jí) 四級(jí) 五級(jí) 中低 一級(jí) 二級(jí) 三級(jí) 四級(jí) 低 一級(jí) 一級(jí) 二級(jí) 三級(jí) 綜合風(fēng)險(xiǎn)水平 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 固有風(fēng)險(xiǎn) 高 中高 中高 高 高 中高 中低 中低 中高 高 中低 低 中低 中高 中高 低 低 低 中低 中低 綜合評(píng)估矩陣 綜合評(píng)估卡 綜合評(píng)估結(jié)論 綜合評(píng)估結(jié)果調(diào)整 ?綜合考慮固有風(fēng)險(xiǎn)水平、控制有效性、風(fēng)險(xiǎn)發(fā)展趨勢(shì)、極端 評(píng)估指標(biāo)和領(lǐng)域、監(jiān)管經(jīng)驗(yàn)及機(jī)構(gòu)實(shí)際情況 ?遵循 “ 風(fēng)險(xiǎn)多監(jiān)管、低風(fēng)險(xiǎn)少監(jiān)管 ” 的原則 ?對(duì)信息科技風(fēng)險(xiǎn)水平、監(jiān)管意見(jiàn)進(jìn)行描述 ?對(duì)固有風(fēng)險(xiǎn)較高的領(lǐng)域和控制有效性較弱的領(lǐng)域進(jìn)行簡(jiǎn)要描述 綜合評(píng)估結(jié)論 評(píng)估結(jié)果運(yùn)用 掌握風(fēng)險(xiǎn)狀況 識(shí)別、判斷 機(jī)構(gòu) 的風(fēng)險(xiǎn)狀況和嚴(yán)重程度 （生成報(bào)表） 實(shí)施分類監(jiān)管 明確監(jiān)管重點(diǎn) 明確 非現(xiàn)場(chǎng)監(jiān)管、現(xiàn)場(chǎng)檢查的頻率和范圍 針對(duì)性地采取監(jiān)管措施，提高監(jiān)管有效性 五、 基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考 基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考 ? 基層銀行機(jī)構(gòu)科技管理的特點(diǎn) ? 分支機(jī)構(gòu)為主 ? 數(shù)據(jù)上收 ? 科技人員少 ? 操作風(fēng)險(xiǎn)事件多發(fā) ? 基層銀行機(jī)構(gòu)科技監(jiān)管的目標(biāo) ? 連續(xù)性 ? 安全性 基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考 ? 基層銀行機(jī)構(gòu)科技監(jiān)管的內(nèi)容 ? 開展調(diào)查 ， 摸清全轄銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)管理情況 ? 建立聯(lián)系人制度 ? 定期收集評(píng)估銀行機(jī)構(gòu)科技運(yùn)行情況 ? 開展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查 ? 督促銀行落實(shí)銀監(jiān)會(huì)各項(xiàng)監(jiān)管要求 （ 報(bào)告制度等 ） ? 組織開展銀行機(jī)構(gòu)信息科技管理橫向交流 ? 現(xiàn)場(chǎng)檢查的方式內(nèi)容 ? 功能監(jiān)管和機(jī)構(gòu)監(jiān)管結(jié)合 ? 操作風(fēng)險(xiǎn)和科技風(fēng)險(xiǎn)兼顧 ? 現(xiàn)場(chǎng)檢查的重點(diǎn)： 總結(jié) ? 信息科技風(fēng)險(xiǎn)監(jiān)管概貌了解 ? 目標(biāo) ： 連續(xù)性和安全性 手段：銀行 /監(jiān)管部門 ? 主要制度依據(jù) ? 信息科技風(fēng)險(xiǎn)監(jiān)管體系 ? 基層銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管 基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考 ? 現(xiàn)場(chǎng)檢查的內(nèi)容 ： ? 從常見(jiàn)問(wèn)題 、 薄弱環(huán)節(jié)入手 – 高管意識(shí) – 環(huán)境安全 – 內(nèi)控管理 187。 科技人員道德風(fēng)險(xiǎn) 187。 操作風(fēng)險(xiǎn)（初始密碼管理、代發(fā)工資卡） – 應(yīng)急管理 Copyright by CHENYL Thank You ! 演講完畢，謝謝觀看！