【正文】 一系列制度和標(biāo)準(zhǔn) ?持續(xù)開展信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn) ?組織開展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查 ?推動(dòng)實(shí)施信息科技非現(xiàn)場(chǎng)監(jiān)管 ?組織開展重要時(shí)點(diǎn)信息科技自查整改 ?及時(shí)發(fā)布各類信息科技風(fēng)險(xiǎn)提示 銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況 ?科技風(fēng)險(xiǎn)管控意識(shí)提高 ?科技治理架構(gòu)初步建立 ?科技基礎(chǔ)設(shè)施不斷完善 ?運(yùn)行維護(hù)能力不斷加強(qiáng) ?重視加強(qiáng)災(zāi)備建設(shè)及開展應(yīng)急演練 銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況 ?個(gè)別銀行科技治理認(rèn)識(shí)不到位 ?重眼前建設(shè)輕長(zhǎng)遠(yuǎn)規(guī)劃 ?科技治理架構(gòu)未有效運(yùn)行 ?應(yīng)急演練開展實(shí)戰(zhàn)性不足 ?基層銀行機(jī)構(gòu)科技力量薄弱 二、 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)與手段 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) 降低信息系統(tǒng)連續(xù)性和 安全性風(fēng)險(xiǎn)程度到可接受范圍 保障 信息系統(tǒng)連續(xù)性 和 安全性 保護(hù)銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)） 保護(hù)存款人利益 維護(hù)社會(huì)穩(wěn)定 目標(biāo)層次 宏觀 具體 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?連續(xù)性： ? 即業(yè)務(wù)連續(xù)性 ， 保證信息系統(tǒng)穩(wěn)定 、 持續(xù)地提供服務(wù) ，通俗地說(shuō)就是系統(tǒng) “ 不能斷 ” 。 ? 所有科技風(fēng)險(xiǎn)事件都可以歸于信息系統(tǒng)連續(xù)性或安全性出問題的事件 。 ? 案例 2： 2023年 12月 21日 ， 某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因 DDOS攻擊引發(fā)的系統(tǒng)故障 ， 經(jīng)內(nèi)外部專家診斷為外部分布式攻擊 。 故障剛發(fā)生階段的現(xiàn)象表現(xiàn)為網(wǎng)銀客戶登錄網(wǎng)銀主頁(yè)面緩慢或超時(shí)無(wú)法訪問 。 ? 案例 3： 2023年 2月 3日某全國(guó)性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)故障導(dǎo)致全國(guó)柜面等各項(xiàng)業(yè)務(wù)中斷近四小時(shí) 。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?安全性事件案例 ? 案例 1： 2023年 12月 31日至 2023年 1月 4日 ， 某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件 ， 涉及被盜帳號(hào) 12個(gè) ， 總金額 12萬(wàn)元 。 犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對(duì)轉(zhuǎn)出卡號(hào) 、 轉(zhuǎn)入帳號(hào)客戶隸屬關(guān)系進(jìn)行校驗(yàn) ， 而且主機(jī)系統(tǒng)對(duì)網(wǎng)銀服務(wù)端上傳的個(gè)別交易數(shù)據(jù)驗(yàn)證不充分的程序邏輯缺陷 ， 通過模擬瀏覽器與服務(wù)端通訊的方式 ， 非法截取并篡改交易數(shù)據(jù) ， 盜取他人資金 。 2023年 10月份 ， 支行客戶部網(wǎng)銀操作員及復(fù)核員在為客戶辦理網(wǎng)銀業(yè)務(wù)時(shí)發(fā)現(xiàn)操作 IC卡已經(jīng)過期 ， 遂聯(lián)系市分行網(wǎng)銀管理員黃某辦理?yè)Q卡事宜 ， 并告知其操作密碼 。 ? 案例 3： 某行柜員在為客戶辦理購(gòu)買基金手續(xù)過程中 ,利用電腦終端畫面可以屏幕打印功能 ,沒有進(jìn)行實(shí)際交易 ,套打基金交易憑證交予客戶 ,將客戶資金轉(zhuǎn)入其控制的賬戶 .涉案金額 85萬(wàn)元 。 ? 案例 5： 近期 ， 某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識(shí)別程序 ” 自行編寫密碼猜解軟件 ， 通過鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式 ， 對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊 ，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào) 。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ? 如何判斷是否達(dá)到目標(biāo) ？ ? 信息科技風(fēng)險(xiǎn) （ 包括連續(xù)性和安全性風(fēng)險(xiǎn) ） 的計(jì)量 ? 判斷信息科技風(fēng)險(xiǎn)程度是否在可接受范圍 基本概念 ? 資產(chǎn) ? 對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。 ? 威脅的分類可按照造成威脅的因素分為人為因素威脅和環(huán)境因素威脅，按照威脅的表現(xiàn)形式可以分為軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不倒位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。資產(chǎn)的脆弱性包括物理布局、組織、規(guī)程、人事、管理 、行政、硬件、軟件或信息等的弱點(diǎn)。 （出處： 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 P2） 基本概念 ? 剩余風(fēng)險(xiǎn) ? 采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。 ? 風(fēng)險(xiǎn)值 =R(A,T,V)=R(安全事件可能性 ,安全事件造成的損失 ) ? A—— 資產(chǎn) ? T—— 威脅 ? V—— 脆弱性 ? 安全事件的可能性 = L（ T， V） = L（ 威脅出現(xiàn)頻率，脆弱性） ? 安全事件造成的損失 = F（ Ia， Va） =（ 資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度） 風(fēng)險(xiǎn)計(jì)量原理圖 威脅識(shí)別 脆弱性識(shí)別 資產(chǎn)識(shí)別 脆弱性的嚴(yán)重程度 威脅出現(xiàn)的頻率 資產(chǎn)價(jià)值 安全事件造成的損失 安全事件的可能性 風(fēng)險(xiǎn)值 信息科技風(fēng)險(xiǎn)要素關(guān)系圖 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ? 如何判斷信息科技風(fēng)險(xiǎn)程度是否在可接受范圍？ ? 計(jì)量當(dāng)前信息科技風(fēng)險(xiǎn)程度 ? 計(jì)量最低信息科技風(fēng)險(xiǎn)程度 ? 依據(jù)： – 國(guó)家規(guī)范 – 銀監(jiān)會(huì)制度法規(guī) – 行業(yè)標(biāo)準(zhǔn) – 自身接受程度（投入成本 =損失成本） ? 比較當(dāng)前信息科技風(fēng)險(xiǎn)程度和最低信息科技風(fēng)險(xiǎn)程度 基本概念 ? 風(fēng)險(xiǎn)評(píng)估 資產(chǎn)識(shí)別 威脅識(shí)別 脆弱性識(shí)別 已有安全措施確認(rèn) 人員 病毒 病情 預(yù)防措施 信息安全風(fēng)險(xiǎn)評(píng)估 人員健康查體檢 風(fēng)險(xiǎn)管理實(shí)施流程圖 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 威脅識(shí)別 資產(chǎn)識(shí)別 脆弱性識(shí)別 已有安全措施的確認(rèn) 風(fēng)險(xiǎn)計(jì)算 風(fēng)險(xiǎn)是否接受 制定風(fēng)險(xiǎn)處理計(jì)劃 并評(píng)估殘余風(fēng)險(xiǎn) 是否接受殘余風(fēng)險(xiǎn) 實(shí)施風(fēng)險(xiǎn)管理 保持已有的安全措施 評(píng)估過程文檔 評(píng)估過程文檔 評(píng)估過程文檔 是 否 風(fēng)險(xiǎn)評(píng)估文檔記錄 風(fēng)險(xiǎn)分析 否 … … 信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段 ?銀行機(jī)構(gòu) ? 治理層面 ? 明確董事會(huì)職責(zé) 、 成立信息科技風(fēng)險(xiǎn)管理委員會(huì) ? 建立科技風(fēng)險(xiǎn)三道防線 （ 科技 、 風(fēng)險(xiǎn) 、 審計(jì)部門 ） ? 制定全行信息科技風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃 ? 管理層面 ? 科技部門 ? 風(fēng)險(xiǎn)部門 ? 審計(jì)部門 ? 具體手段 信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段 ?銀行機(jī)構(gòu) ? 保護(hù)系統(tǒng)連續(xù)性和安全性的具體手段： ? 基礎(chǔ)設(shè)施建設(shè) （ 機(jī)房 、 網(wǎng)絡(luò) 、 主機(jī) ） – 災(zāi)備中心 – 雙機(jī)熱備 – 雙運(yùn)營(yíng)上線路 ? 信息安全防護(hù)體系 – 防火墻 、 IPS – 桌面管理系統(tǒng) ? 日常系統(tǒng)運(yùn)行監(jiān)控 ? 項(xiàng)目開發(fā) 、 外包過程管理 ? 應(yīng)急管理 （ 應(yīng)急預(yù)案 、 應(yīng)急保障 、 應(yīng)急演練 ） 信息科技風(fēng)險(xiǎn)管理 /監(jiān)管手段 ?監(jiān)管部門 ? 制度標(biāo)準(zhǔn)制定 ? 非現(xiàn)場(chǎng)監(jiān)管和現(xiàn)場(chǎng)檢查 ? 準(zhǔn)入審核及機(jī)構(gòu)評(píng)級(jí) ? 荷蘭央行：銀行執(zhí)照 、 人員任免 、 計(jì)提資本 、 罰款 ? 組織協(xié)調(diào) 、 促進(jìn)資源共享 三、 主要監(jiān)管制度介紹 主要監(jiān)管制度介紹 1 《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》 2023 年 3 月2 《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》 2023 年 12 月3 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 2023 年 4 月4 《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》 2023 年 4 月5 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問責(zé)方案》 2023 年 7 月6 《銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場(chǎng)監(jiān)管報(bào)表》 2023 年 12 月7 《商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南》 2023 年 9 月銀監(jiān)會(huì)擬發(fā)布制度 ?《 銀監(jiān)會(huì)行政許可事項(xiàng)中信息科技核準(zhǔn)條件的補(bǔ)充規(guī)定 》 和 《 銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理