【正文】 和 安全性保護(hù)銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)）保護(hù)存款人利益維護(hù)社會(huì)穩(wěn)定信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)v連續(xù)性：167。v安全性：167。167。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)v連續(xù)性事件案例167。167。攻擊來自互聯(lián)網(wǎng)多個(gè)地方和多臺(tái)機(jī)器，持續(xù)時(shí)間 500分鐘。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁服務(wù)器系統(tǒng)資源壓力迅速增大，進(jìn)程達(dá)到系統(tǒng)最大進(jìn)程數(shù)，超過日常監(jiān)控進(jìn)程數(shù)四倍。 案例 3： 2023年 2月 3日某全國性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫故障導(dǎo)致全國柜面等各項(xiàng)業(yè)務(wù)中斷近四小時(shí)。 案例 4： 2023年 12月 16日 11： 05至 13： 57，某分行綜合前置機(jī)系統(tǒng)出現(xiàn)故障，造成全轄 15個(gè)網(wǎng)點(diǎn)對(duì)外營業(yè)中斷近三個(gè)小時(shí)。 案例 1： 2023年 12月 31日至 2023年 1月 4日，某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件，涉及被盜帳號(hào) 12個(gè)，總金額 12萬元。犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對(duì)轉(zhuǎn)出卡號(hào)、轉(zhuǎn)入帳號(hào)客戶隸屬關(guān)系進(jìn)行校驗(yàn)，而且主機(jī)系統(tǒng)對(duì)網(wǎng)銀服務(wù)端上傳的個(gè)別交易數(shù)據(jù)驗(yàn)證不充分的程序邏輯缺陷，通過模擬瀏覽器與服務(wù)端通訊的方式，非法截取并篡改交易數(shù)據(jù)，盜取他人資金。 案例 2： 某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動(dòng)用客戶資金的案件。黃某利用自己作為管理員保管 “管理證書 ”之便，進(jìn)入系統(tǒng)，修改了某對(duì)公客戶的網(wǎng)銀證書和密碼，再通過集團(tuán)理財(cái)帳戶實(shí)行網(wǎng)銀轉(zhuǎn)帳，動(dòng)用客戶帳戶上 。 案例 3： 某行柜員在為客戶辦理購買基金手續(xù)過程中 ,利用電腦終端畫面可以屏幕打印功能 ,沒有進(jìn)行實(shí)際交易 ,套打基金交易憑證交予客戶 ,將客戶資金轉(zhuǎn)入其控制的賬戶 .涉案金額 85萬元。 案例 4： 近期，某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “特征碼識(shí)別程序 ”自行編寫密碼猜解軟件，通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式，對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào)、查詢密碼等信息。 案例 5： 近期，某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “特征碼識(shí)別程序 ”自行編寫密碼猜解軟件，通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式，對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào)。 案例 6 ： 某行借記卡被通過手機(jī)銀行猜解密碼，涉及 1007張借記卡 。 信息科技風(fēng)險(xiǎn)（包括連續(xù)性和安全性風(fēng)險(xiǎn)）的計(jì)量167。 對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。 —— 支持設(shè)施（例如建筑、供電、供水、空調(diào)等）167。 —— 信息資產(chǎn)（例如數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序等）167。 —— 生產(chǎn)能力或服務(wù)能力167。 —— 無形資產(chǎn)（例如信譽(yù)、形象等）167。 資產(chǎn)的重要程度或敏感程度的表征。 （出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P1） 基本概念v 威脅 167。167。（出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P P9） 基本概念v 脆弱性167。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點(diǎn)。 保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制。 采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。 風(fēng)險(xiǎn)值 =R(A,T,V)=R(安全事件可能性 ,安全事件造成的損失)167。 T—— 威脅167。 安全事件的可能性 = L（ T， V） = L（ 威脅出現(xiàn)頻率，脆弱性）167。 計(jì)量當(dāng)前信息科技風(fēng)險(xiǎn)程度167。 比較當(dāng)前信息科技風(fēng)險(xiǎn)程度和最低信息科技風(fēng)險(xiǎn)程度基本概念v 風(fēng)險(xiǎn)評(píng)估資產(chǎn)識(shí)別 威脅識(shí)別 脆弱性識(shí)別 已有安全措施確認(rèn)人員 病毒 病情 預(yù)防措施信息安全風(fēng)險(xiǎn)評(píng)估人員健康查體檢風(fēng)險(xiǎn)管理實(shí)施流程圖風(fēng)險(xiǎn)評(píng)估準(zhǔn)備威脅識(shí)別資產(chǎn)識(shí)別 脆弱性識(shí)別已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受制定風(fēng)險(xiǎn)處理計(jì)劃并評(píng)估殘余風(fēng)險(xiǎn)是否接受殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理保持已有的安全措施評(píng)估過程文檔評(píng)估過程文檔評(píng)估過程文檔是否風(fēng)險(xiǎn)評(píng)估文檔記錄風(fēng)險(xiǎn)分析否……信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段v銀行機(jī)構(gòu)167。 管理層面? 科技部門? 風(fēng)險(xiǎn)部門? 審計(jì)部門167。 保護(hù)系統(tǒng)連續(xù)性和安全性的具體手段：? 基礎(chǔ)設(shè)施建設(shè)（機(jī)房、網(wǎng)絡(luò)、主機(jī)）– 災(zāi)備中心– 雙機(jī)熱備– 雙運(yùn)營上線路? 信息安全防護(hù)體系– 防火墻、 IPS– 桌面管理系統(tǒng)? 日常系統(tǒng)運(yùn)行監(jiān)控? 項(xiàng)目開發(fā)、外包過程管理? 應(yīng)急管理（應(yīng)急預(yù)案、應(yīng)急保障、應(yīng)急演練）信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段v監(jiān)管部門167。 非現(xiàn)場監(jiān)管和現(xiàn)場檢查167。 組織協(xié)調(diào)、促進(jìn)資源共享 三、 主要監(jiān)管制度介紹主要監(jiān)管制度介紹銀監(jiān)會(huì)擬發(fā)布制度v《銀監(jiān)會(huì)行政許可事項(xiàng)中信息科技核準(zhǔn)條件的補(bǔ)充規(guī)定》和《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》v《商業(yè)銀行首席信息官管理辦法》 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》信息科技風(fēng)險(xiǎn)管理信息科技治理信息科技審計(jì)業(yè)務(wù)持續(xù)性管理信息安全管理 信息科技運(yùn)行 項(xiàng)目開發(fā)、 測(cè)試 外包管理v主要概念：167。 —— 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 第四條167。 信息科技風(fēng)險(xiǎn)管理的目標(biāo)? 是通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的 識(shí)別、計(jì)量、監(jiān)測(cè)和控制 ，促進(jìn)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。 三道防線? 信息科技風(fēng)險(xiǎn)管理的關(guān)鍵是要建立三道防線，第一道防線是指信息科技管理，需要全員參與，主要職責(zé)落在 科技部門 ，第二道防線是風(fēng)險(xiǎn)管理，即從風(fēng)險(xiǎn)的角度如何防范，職責(zé)落在 風(fēng)險(xiǎn)部門 ，第三道防線是審計(jì)監(jiān)督，即內(nèi)審和外審，職責(zé)落在 審計(jì)部門 ，三道防線相互作用，形成立體防護(hù)網(wǎng)。 信息科技治理? 明確商業(yè)銀行董事會(huì)職責(zé)? 要求設(shè)立首席信息官，明確了首席信息官職責(zé)? 明確三道防線要求：明確信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)的責(zé)任部門和職責(zé)內(nèi)容? 風(fēng)險(xiǎn)管理部門職責(zé)：– 將科技風(fēng)險(xiǎn)納入總體風(fēng)險(xiǎn)管理體系– 負(fù)責(zé)制定信息科技風(fēng)險(xiǎn)管理策略– 負(fù)責(zé)持續(xù)開展信息科技風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)、計(jì)量、評(píng)估– 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)防范措施 ? 審計(jì)部門職責(zé)：– 組織開展內(nèi)部和外部審計(jì)– 要求配備具有專業(yè)能力的信息科技審計(jì)人員獨(dú)立開展審計(jì)– 至少每三年開展一次全面審計(jì) 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》v要點(diǎn)：167。? 業(yè)務(wù)影響分析：人員、系統(tǒng)或其他資產(chǎn)的故障或缺失，信息丟失、戰(zhàn)爭、臺(tái)風(fēng)、地震? 采取雙機(jī)熱備、制定應(yīng)急計(jì)劃、購買商業(yè)保險(xiǎn) 《 商業(yè)銀行信