銀行業(yè)科技風(fēng)險(xiǎn)管理之案例研究課件

1、中國(guó)銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn)中國(guó)銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn)科科技風(fēng)險(xiǎn)管理技風(fēng)險(xiǎn)管理案例案例研究研究目標(biāo)目標(biāo) 介紹如何在信息科技風(fēng)險(xiǎn)監(jiān)管中，將科技風(fēng)險(xiǎn)管理知識(shí)應(yīng)用于實(shí)踐 在個(gè)案內(nèi)辦認(rèn)出有關(guān)科技風(fēng)險(xiǎn)管控的問題，并提供適合的解決方案 厘清有關(guān)科技風(fēng)險(xiǎn)管理的疑問案例分析案例分析ABCABC銀行銀行ABCABC銀行銀行- - 背景信息背景信息一家內(nèi)地注冊(cè)的銀行，總行位于北京，全國(guó)擁有160家分行；總資產(chǎn)：15億元人民幣員工總數(shù)：3,000人 (信息科技部門員工60人)截至200年12月，信息科技部門總支出占全行支出 的8%；提供各類銀行和金融服務(wù)：零售銀行(包括：存款、銀行卡、住房按揭貸款、證券買賣等

2、)商業(yè)和投資銀行業(yè)務(wù) (包括：貿(mào)易金融、現(xiàn)金管理、信托服務(wù)等)與與信息科技信息科技有關(guān)的委員會(huì)機(jī)構(gòu)有關(guān)的委員會(huì)機(jī)構(gòu) 信息科技信息科技安全評(píng)估委員會(huì)（安全評(píng)估委員會(huì)（IT Security Review CommitteeIT Security Review Committee）負(fù)責(zé)評(píng)估和監(jiān)測(cè)信息安全措施、標(biāo)準(zhǔn)、規(guī)程的制定、實(shí)施和管理； 自動(dòng)化委員會(huì)（自動(dòng)化委員會(huì)（Automation CommitteeAutomation Committee）負(fù)責(zé)管理銀行辦公場(chǎng)所的辦公自動(dòng)化工作； 特別籌備建立項(xiàng)目管理委員會(huì)（特別籌備建立項(xiàng)目管理委員會(huì)（Project Steering CommitteesP

3、roject Steering Committees）負(fù)責(zé)信息科技項(xiàng)目的管理和監(jiān)督；但是：但是： 沒有設(shè)立信息科技督導(dǎo)委員會(huì)（IT Steering Committee）負(fù)責(zé)總體管理銀行的各項(xiàng)信息科技戰(zhàn)略和政策； 沒有設(shè)立科技風(fēng)險(xiǎn)管理部門 沒有正式成文的信息科技內(nèi)部控制政策和制度信息科技部門設(shè)置信息科技部門設(shè)置系統(tǒng)開發(fā)經(jīng)理系統(tǒng)開發(fā)經(jīng)理信息科技部信息科技部主任主任系統(tǒng)操作經(jīng)理系統(tǒng)操作經(jīng)理技術(shù)技術(shù)支援支援經(jīng)理經(jīng)理（兼任（兼任信息安全監(jiān)督員信息安全監(jiān)督員) )系統(tǒng)編程系統(tǒng)編程數(shù)據(jù)輸入數(shù)據(jù)輸入系統(tǒng)操作監(jiān)督系統(tǒng)操作監(jiān)督員員/ / 操作員操作員應(yīng)用程序開應(yīng)用程序開發(fā)發(fā)檔案管理檔案管理職位職位 崗位職責(zé)崗位

4、職責(zé)系統(tǒng)操作系統(tǒng)操作經(jīng)理經(jīng)理 - - 數(shù)據(jù)中心操作運(yùn)行（包括：信息處理和數(shù)據(jù)輸入）系統(tǒng)系統(tǒng)開發(fā)經(jīng)理開發(fā)經(jīng)理 - - 應(yīng)用系統(tǒng)開發(fā)及修改技術(shù)技術(shù)支援經(jīng)理支援經(jīng)理- - 計(jì)算機(jī)網(wǎng)絡(luò)，設(shè)備監(jiān)測(cè)，維護(hù)升級(jí)信息安全信息安全監(jiān)督監(jiān)督員員- 數(shù)據(jù)和網(wǎng)絡(luò)安全，監(jiān)測(cè)和評(píng)估數(shù)據(jù)中心數(shù)據(jù)中心信息系統(tǒng)信息系統(tǒng)三種主要系統(tǒng):大型機(jī)主機(jī)系統(tǒng) 主要銀行系統(tǒng)小型機(jī)AS/400 系統(tǒng) 信用卡業(yè)務(wù)系統(tǒng)Windows 操作平臺(tái) (98SE, NT, 2000, XP) 辦公電腦 辦公自動(dòng)化應(yīng)用 (如：文字處理、電子表格等)其它資料其它資料檢查人員發(fā)現(xiàn)：- 其它部門總是抱怨，信息科技部更改銀行系統(tǒng)增加新功能需要花費(fèi)很長(zhǎng)時(shí)間（至少56

5、月）。- 人力資源部門負(fù)責(zé)人也發(fā)現(xiàn)信息科技部人員的流動(dòng)率高于其它部門，存在許多職位空缺（當(dāng)時(shí)達(dá)到20個(gè)）.- 信息安全監(jiān)督員的職位現(xiàn)由技術(shù)支援經(jīng)理兼任其它資料其它資料檢查人員發(fā)現(xiàn)：- 數(shù)據(jù)中心的出入許可名單上仍包括一名6個(gè)月前已辭職的系統(tǒng)操作員的名字；- 沒有啟動(dòng)監(jiān)控?cái)z像設(shè)備以及物理訪問系統(tǒng)的登錄、記錄功能。其它資料其它資料在銀行分行，柜員系統(tǒng)上使用了虛擬用戶名(Dummy user IDs，即不需要密碼登錄的用戶名 )。系統(tǒng)操作人員共享一些系統(tǒng)用戶名稱進(jìn)行某些系統(tǒng)操作，例如“文件傳輸”(file transfer)等。很多的技術(shù)支持人員擁有系統(tǒng)的特權(quán)用戶戶口密碼（如“管理員用戶戶口”）。信息科技人員的培訓(xùn)只根據(jù)個(gè)別需要進(jìn)行安排，沒有專門的機(jī)制來識(shí)別員工的技能差距。沒有為銀行員工提供定期的安全意識(shí)培訓(xùn)。面談資料面談資料信息科技部主任信息科技部主任 “所有的信息科技有關(guān)規(guī)定和流程都已經(jīng)建立，信息科技部人員都能夠有效地執(zhí)行規(guī)定。 信息科技部人員經(jīng)驗(yàn)豐富，專業(yè)背景強(qiáng)，能夠充分滿足需求部門的要求?！?其它面談安排其它面談安排 系統(tǒng)操作經(jīng)理系統(tǒng)操作經(jīng)理 系統(tǒng)開發(fā)經(jīng)理系統(tǒng)開發(fā)經(jīng)理 技術(shù)技術(shù)支援支援經(jīng)理經(jīng)理面談環(huán)節(jié)準(zhǔn)備好了嗎?面談面談系統(tǒng)操作經(jīng)理面談面談系統(tǒng)開發(fā)經(jīng)理面談面談技術(shù)支