商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座

CopyrightbyCHENYL信息科技風(fēng)險(xiǎn)監(jiān)管知識(shí)講座2010年8月主要內(nèi)容一、信息科技風(fēng)險(xiǎn)監(jiān)管概況二、信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)和手段三、主要監(jiān)管制度介紹四、信息科技風(fēng)險(xiǎn)監(jiān)管體系簡(jiǎn)介五、基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考

一、信息科技風(fēng)險(xiǎn)監(jiān)管概況信息科風(fēng)險(xiǎn)監(jiān)管背景某銀行核心系統(tǒng)故障全國(guó)中斷營(yíng)業(yè)4小時(shí)某行海南分行供電中斷導(dǎo)致停業(yè)7.5小時(shí)2006年銀聯(lián)跨行交易全面中斷8小時(shí)屢次發(fā)生的網(wǎng)絡(luò)安全事件：2010年初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊2009年底我省某行網(wǎng)銀系統(tǒng)遭受DDos攻擊2009年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件2008年奧運(yùn)開幕式某國(guó)有銀行網(wǎng)絡(luò)遭攻擊….….200620082010近年來(lái)，隨著銀行機(jī)構(gòu)系統(tǒng)網(wǎng)絡(luò)化、數(shù)據(jù)集中化，科技風(fēng)險(xiǎn)問(wèn)題日益突出科技風(fēng)險(xiǎn)的特點(diǎn)是風(fēng)險(xiǎn)變化快、蔓延快、影響范圍大

銀監(jiān)會(huì)信息科技監(jiān)管歷程20062007200820092010發(fā)布信息科技風(fēng)險(xiǎn)管理指引開展信息科技風(fēng)險(xiǎn)內(nèi)部和外部評(píng)價(jià)審計(jì)開展信息科技風(fēng)險(xiǎn)奧運(yùn)專項(xiàng)自查發(fā)布新的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》部署信息科技風(fēng)險(xiǎn)非現(xiàn)場(chǎng)系統(tǒng)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》自2006年8月發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》開始，銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管，近年來(lái)推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)范化。銀監(jiān)會(huì)開展的主要工作制定一系列制度和標(biāo)準(zhǔn)持續(xù)開展信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn)組織開展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查推動(dòng)實(shí)施信息科技非現(xiàn)場(chǎng)監(jiān)管組織開展重要時(shí)點(diǎn)信息科技自查整改及時(shí)發(fā)布各類信息科技風(fēng)險(xiǎn)提示銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況科技風(fēng)險(xiǎn)管控意識(shí)提高科技治理架構(gòu)初步建立科技基礎(chǔ)設(shè)施不斷完善運(yùn)行維護(hù)能力不斷加強(qiáng)重視加強(qiáng)災(zāi)備建設(shè)及開展應(yīng)急演練銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況個(gè)別銀行科技治理認(rèn)識(shí)不到位重眼前建設(shè)輕長(zhǎng)遠(yuǎn)規(guī)劃科技治理架構(gòu)未有效運(yùn)行應(yīng)急演練開展實(shí)戰(zhàn)性不足基層銀行機(jī)構(gòu)科技力量薄弱二、信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)與手段信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)降低信息系統(tǒng)連續(xù)性和安全性風(fēng)險(xiǎn)程度到可接受范圍保障信息系統(tǒng)連續(xù)性和安全性保護(hù)銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)）保護(hù)存款人利益維護(hù)社會(huì)穩(wěn)定目標(biāo)層次宏觀具體信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)管管目目標(biāo)標(biāo)連續(xù)續(xù)性性：：即業(yè)業(yè)務(wù)務(wù)連連續(xù)續(xù)性性，，保保證證信信息息系系統(tǒng)統(tǒng)穩(wěn)穩(wěn)定定、、持持續(xù)續(xù)地地提提供供服服務(wù)務(wù)，，通通俗俗地地說(shuō)說(shuō)就就是是系系統(tǒng)統(tǒng)“不能能斷斷”。安全全性性：：保證證數(shù)數(shù)據(jù)據(jù)的的保保密密性性、、完完整整性性、、可可用用性性，，通通俗俗地地說(shuō)說(shuō)就就是是數(shù)數(shù)據(jù)據(jù)““不不能能丟丟””。。所有有科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)事事件件都都可可以以歸歸于于信信息息系系統(tǒng)統(tǒng)連連續(xù)續(xù)性性或或安安全全性性出出問(wèn)問(wèn)題題的的事事件件。。信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)管管目目標(biāo)標(biāo)連續(xù)續(xù)性性事事件件案案例例案例例1：：2008年年11月月上上旬旬，，某某大大型型銀銀行行某某省省分分行行在在供供電電部部門門預(yù)預(yù)先先通通知知停停電電的的情情況況下下，，因因發(fā)發(fā)電電機(jī)機(jī)故故障障、、主主機(jī)機(jī)存存儲(chǔ)儲(chǔ)控控制制卡卡損損壞壞等等原原因因，，造造成成全全省省業(yè)業(yè)務(wù)務(wù)無(wú)無(wú)法法正正常常運(yùn)運(yùn)營(yíng)營(yíng)達(dá)達(dá)7小小時(shí)時(shí)15分分鐘鐘。。案例例2：：2009年12月月21日日，，某某行行網(wǎng)網(wǎng)上上銀銀行行系系統(tǒng)統(tǒng)發(fā)發(fā)生生一一起起因因DDOS攻擊擊引引發(fā)發(fā)的的系系統(tǒng)統(tǒng)故故障障，，經(jīng)經(jīng)內(nèi)內(nèi)外外部部專專家家診診斷斷為為外外部部分分布布式式攻攻擊擊。。攻攻擊擊來(lái)來(lái)自自互互聯(lián)聯(lián)網(wǎng)網(wǎng)多多個(gè)個(gè)地地方方和和多多臺(tái)臺(tái)機(jī)機(jī)器器，，持持續(xù)續(xù)時(shí)時(shí)間間500分分鐘鐘。。故故障障剛剛發(fā)發(fā)生生階階段段的的現(xiàn)現(xiàn)象象表表現(xiàn)現(xiàn)為為網(wǎng)網(wǎng)銀銀客客戶戶登登錄錄網(wǎng)網(wǎng)銀銀主主頁(yè)頁(yè)面面緩緩慢慢或或超超時(shí)時(shí)無(wú)無(wú)法法訪訪問(wèn)問(wèn)。。監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)顯顯示示網(wǎng)網(wǎng)上上銀銀行行主主頁(yè)頁(yè)服服務(wù)務(wù)器器系系統(tǒng)統(tǒng)資資源源壓壓力力迅迅速速增增大大，，進(jìn)進(jìn)程程達(dá)達(dá)到到系系統(tǒng)統(tǒng)最最大大進(jìn)進(jìn)程程數(shù)數(shù)，，超超過(guò)過(guò)日日常常監(jiān)監(jiān)控控進(jìn)進(jìn)程程數(shù)數(shù)四四倍倍。。案例例3：：2010年年2月月3日日某某全全國(guó)國(guó)性性銀銀行行核核心心業(yè)業(yè)務(wù)務(wù)系系統(tǒng)統(tǒng)數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)故故障障導(dǎo)導(dǎo)致致全全國(guó)國(guó)柜柜面面等等各各項(xiàng)項(xiàng)業(yè)業(yè)務(wù)務(wù)中中斷斷近近四四小小時(shí)時(shí)。。案例例4：：2007年12月月16日日11：：05至至13：：57，，某某分分行行綜綜合合前前置置機(jī)機(jī)系系統(tǒng)統(tǒng)出出現(xiàn)現(xiàn)故故障障，，造造成成全全轄轄15個(gè)個(gè)網(wǎng)網(wǎng)點(diǎn)點(diǎn)對(duì)對(duì)外外營(yíng)營(yíng)業(yè)業(yè)中中斷斷近近三三個(gè)個(gè)小小時(shí)時(shí)。。信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)管管目目標(biāo)標(biāo)安全全性性事事件件案案例例案例例1：：2008年年12月月31日日至至2009年年1月月4日日，，某某銀銀行行成成都都分分行行發(fā)發(fā)生生一一起起網(wǎng)網(wǎng)上上銀銀行行客客戶戶資資金金被被盜盜案案件件，，涉涉及及被被盜盜帳帳號(hào)號(hào)12個(gè)個(gè)，，總總金金額額12萬(wàn)萬(wàn)元元。。犯犯罪罪嫌嫌疑疑人人通通過(guò)過(guò)本本人人及及雇雇用用他他人人在在銀銀行行辦辦理理借借記記卡卡并并開開通通個(gè)個(gè)人人網(wǎng)網(wǎng)銀銀業(yè)業(yè)務(wù)務(wù)，，以以合合法法身身份份進(jìn)進(jìn)入入該該銀銀行行大大眾眾版版網(wǎng)網(wǎng)銀銀系系統(tǒng)統(tǒng)，，然然后后利利用用網(wǎng)網(wǎng)絡(luò)絡(luò)下下載載的的黑黑客客軟軟件件對(duì)對(duì)該該銀銀行行大大眾眾版版網(wǎng)網(wǎng)銀銀系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行攻攻擊擊和和破破譯譯，，發(fā)發(fā)現(xiàn)現(xiàn)漏漏洞洞后后作作案案。。犯犯罪罪嫌嫌疑疑人人利利用用網(wǎng)網(wǎng)銀銀客客戶戶端端交交易易數(shù)數(shù)據(jù)據(jù)包包未未對(duì)對(duì)轉(zhuǎn)轉(zhuǎn)出出卡卡號(hào)號(hào)、、轉(zhuǎn)轉(zhuǎn)入入帳帳號(hào)號(hào)客客戶戶隸隸屬屬關(guān)關(guān)系系進(jìn)進(jìn)行行校校驗(yàn)驗(yàn)，，而而且且主主機(jī)機(jī)系系統(tǒng)統(tǒng)對(duì)對(duì)網(wǎng)網(wǎng)銀銀服服務(wù)務(wù)端端上上傳傳的的個(gè)個(gè)別別交交易易數(shù)數(shù)據(jù)據(jù)驗(yàn)驗(yàn)證證不不充充分分的的程程序序邏邏輯輯缺缺陷陷，，通通過(guò)過(guò)模模擬擬瀏瀏覽覽器器與與服服務(wù)務(wù)端端通通訊訊的的方方式式，，非非法法截截取取并并篡篡改改交交易易數(shù)數(shù)據(jù)據(jù)，，盜盜取取他他人人資資金金。。信息科技風(fēng)風(fēng)險(xiǎn)監(jiān)管目目標(biāo)安全性事件件案例案例2：某行市分行行發(fā)生一起起內(nèi)部員工工違規(guī)利用用網(wǎng)銀動(dòng)用用客戶資金金的案件。。2008年10月月份，支行行客戶部網(wǎng)網(wǎng)銀操作員員及復(fù)核員員在為客戶戶辦理網(wǎng)銀銀業(yè)務(wù)時(shí)發(fā)發(fā)現(xiàn)操作IC卡已經(jīng)過(guò)期期，遂聯(lián)系系市分行網(wǎng)網(wǎng)銀管理員員黃某辦理理?yè)Q卡事宜宜，并告知知其操作密密碼。黃某某利用自己己作為管理理員保管““管理證書書”之便，，進(jìn)入系統(tǒng)統(tǒng)，修改了了某對(duì)公客客戶的網(wǎng)銀銀證書和密密碼，再通通過(guò)集團(tuán)理理財(cái)帳戶實(shí)實(shí)行網(wǎng)銀轉(zhuǎn)轉(zhuǎn)帳，動(dòng)用用客戶帳戶戶上233.7萬(wàn)元元用于炒權(quán)權(quán)證。案例3：某行柜員在在為客戶辦辦理購(gòu)買基基金手續(xù)過(guò)過(guò)程中,利利用電腦終終端畫面可可以屏幕打打印功能,沒(méi)有進(jìn)行行實(shí)際交易易,套打基基金交易憑憑證交予客客戶,將客客戶資金轉(zhuǎn)轉(zhuǎn)入其控制制的賬戶.涉案金額額85萬(wàn)元。電腦腦終端可隨隨意進(jìn)行屏屏幕打印,存在明顯顯缺陷,使使作案人有有機(jī)可乘信息科技風(fēng)風(fēng)險(xiǎn)監(jiān)管目目標(biāo)安全性事件件案例案例4：近期，某銀銀行機(jī)構(gòu)發(fā)發(fā)現(xiàn)不法分分子根據(jù)互互聯(lián)網(wǎng)上下下載的“特特征碼識(shí)別別程序”自自行編寫密密碼猜解軟軟件，通過(guò)過(guò)鎖定某一一固定密碼碼反復(fù)輪訓(xùn)訓(xùn)帳號(hào)的方方式，對(duì)多多家銀行網(wǎng)網(wǎng)銀系統(tǒng)發(fā)發(fā)起暴力猜猜測(cè)攻擊，，最終非法法獲取兩家家銀行數(shù)百百個(gè)客戶的的網(wǎng)銀帳號(hào)號(hào)、查詢密密碼等信息息。案例5：近期，某銀銀行機(jī)構(gòu)發(fā)發(fā)現(xiàn)不法分分子根據(jù)互互聯(lián)網(wǎng)上下下載的“特特征碼識(shí)別別程序”自自行編寫密密碼猜解軟軟件，通過(guò)過(guò)鎖定某一一固定密碼碼反復(fù)輪訓(xùn)訓(xùn)帳號(hào)的方方式，對(duì)多多家銀行網(wǎng)網(wǎng)銀系統(tǒng)發(fā)發(fā)起暴力猜猜測(cè)攻擊，，最終非法法獲取兩家家銀行數(shù)百百個(gè)客戶的的網(wǎng)銀帳號(hào)號(hào)。案例6：：某行借記卡卡被通過(guò)手手機(jī)銀行猜猜解密碼，，涉及1007張借借記卡。信息科技風(fēng)風(fēng)險(xiǎn)監(jiān)管目目標(biāo)如何判斷是是否達(dá)到目目標(biāo)？信息科技風(fēng)風(fēng)險(xiǎn)（包括括連續(xù)性和和安全性風(fēng)風(fēng)險(xiǎn)）的計(jì)計(jì)量判斷信息科科技風(fēng)險(xiǎn)程程度是否在在可接受范范圍基本概念資產(chǎn)對(duì)組織具有有價(jià)值的信信息或資源源，是安全全策略保護(hù)護(hù)的對(duì)象。。主要包括括：——支持設(shè)施（（例如建筑筑、供電、、供水、空空調(diào)等）——硬件資產(chǎn)（（例如計(jì)算算機(jī)設(shè)備、、路由交換換機(jī)、交換換機(jī)等）——信息資產(chǎn)（（例如數(shù)據(jù)據(jù)庫(kù)和數(shù)據(jù)據(jù)文檔、系系統(tǒng)文件、、用戶手冊(cè)冊(cè)、培訓(xùn)資資料、操作作和支持程程序等）——軟件資產(chǎn)（（例如應(yīng)用用軟件、系系統(tǒng)軟件、、開發(fā)工具具和使用程程序等）——生產(chǎn)能力或或服務(wù)能力力——人員——無(wú)形資產(chǎn)（（例如信譽(yù)譽(yù)、形象等等）——其他（參照：1、信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范P1；2、、信息系統(tǒng)安安全管理要要求P53）基本概念資產(chǎn)價(jià)值資產(chǎn)的重要要程度或敏敏感程度的的表征。資資產(chǎn)價(jià)值是是資產(chǎn)的屬屬性，也是是進(jìn)行資產(chǎn)產(chǎn)識(shí)別的主主要內(nèi)容。。（出處：1、信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范P1）基本概念威脅可能導(dǎo)致對(duì)對(duì)系統(tǒng)或組組織危害的的不希望事事故的潛在在起因。威脅的分類類可按照造造成威脅的的因素分為為人為因素素威脅和環(huán)環(huán)境因素威威脅，按照照威脅的表表現(xiàn)形式可可以分為軟軟硬件故障障、物理環(huán)環(huán)境影響、、無(wú)作為或或操作失誤誤、管理不不倒位、惡惡意代碼、、越權(quán)或?yàn)E濫用、網(wǎng)絡(luò)絡(luò)攻擊、物物理攻擊、、泄密、篡篡改、抵賴賴等。（出處：1、信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范P2、P9）基本概念脆弱性可能被威脅脅所利用的的資產(chǎn)或若若干資產(chǎn)的的薄弱環(huán)節(jié)節(jié)。資產(chǎn)的的脆弱性包包括物理布布局、組織織、規(guī)程、、人事、管管理、行行政、硬件件、軟件或或信息等的的弱點(diǎn)。（出處：1、信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范P3；2、、信息系統(tǒng)安安全管理要要求P54）基本概念安全措施保護(hù)資產(chǎn)、、抵御威脅脅、減少脆脆弱性、降降低安全事事件的影響響，以及打打擊信息犯犯罪而實(shí)施施的各種實(shí)實(shí)踐、規(guī)程程和機(jī)制。。（出處：1、信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范P2）基本概念剩余風(fēng)險(xiǎn)采取了安全全措施后，，信息系統(tǒng)統(tǒng)仍然可能能存在的風(fēng)風(fēng)險(xiǎn)。（出處：1、信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范3）基本概念風(fēng)險(xiǎn)的計(jì)量量人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導(dǎo)致致安全事件件的發(fā)生及及其對(duì)組織織造成的影影響。風(fēng)險(xiǎn)值=R(A,T,V)=R(安全事件可可能性,安安全事件造造成的損失失)A——資產(chǎn)T——威脅V——脆弱性安全事件的的可能性=L（T，V）=L（威脅出現(xiàn)頻頻率，脆弱弱性）安全事件造造成的損失失=F（Ia，，Va）=（資產(chǎn)價(jià)值，，脆弱性嚴(yán)嚴(yán)重程度））風(fēng)險(xiǎn)計(jì)量原原理圖威脅識(shí)別脆弱性識(shí)別別資產(chǎn)識(shí)別脆弱性的嚴(yán)嚴(yán)重程度威脅出現(xiàn)的的頻率資產(chǎn)價(jià)價(jià)值安全事事件造造成的的損失失安全事事件的的可能能性風(fēng)險(xiǎn)值值信息科科技風(fēng)風(fēng)險(xiǎn)要要素關(guān)關(guān)系圖圖信息科科技風(fēng)風(fēng)險(xiǎn)監(jiān)監(jiān)管目目標(biāo)如何判判斷信信息科科技風(fēng)風(fēng)險(xiǎn)程程度是是否在在可接接受范范圍？？計(jì)量當(dāng)當(dāng)前信信息科科技風(fēng)風(fēng)險(xiǎn)程程度計(jì)量最最低信信息科科技風(fēng)風(fēng)險(xiǎn)程程度依據(jù)：：國(guó)家規(guī)規(guī)范銀監(jiān)會(huì)會(huì)制度度法規(guī)規(guī)行業(yè)標(biāo)標(biāo)準(zhǔn)自身接接受程程度（（投入入成本本<=損失失成本本）比較當(dāng)當(dāng)前信信息科科技風(fēng)風(fēng)險(xiǎn)程程度和和最低低信息息科技技風(fēng)險(xiǎn)險(xiǎn)程度度基本概概念風(fēng)險(xiǎn)評(píng)評(píng)估資產(chǎn)識(shí)識(shí)別威脅識(shí)識(shí)別脆弱性性識(shí)別別已有安安全措措施確確認(rèn)人員病毒病情預(yù)防措措施信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估人員健健康查查體檢檢風(fēng)險(xiǎn)管管理實(shí)實(shí)施流流程圖圖風(fēng)險(xiǎn)評(píng)評(píng)估準(zhǔn)準(zhǔn)備威脅識(shí)識(shí)別資產(chǎn)識(shí)識(shí)別脆弱性性識(shí)別別已有安安全措措施的的確認(rèn)認(rèn)風(fēng)險(xiǎn)計(jì)計(jì)算風(fēng)險(xiǎn)是是否接接受制定風(fēng)風(fēng)險(xiǎn)處處理計(jì)計(jì)劃并評(píng)估估殘余余風(fēng)險(xiǎn)險(xiǎn)是否接接受殘殘余風(fēng)風(fēng)險(xiǎn)實(shí)施風(fēng)風(fēng)險(xiǎn)管管理保持已已有的的安全全措施施評(píng)估過(guò)過(guò)程文文檔評(píng)估過(guò)過(guò)程文文檔評(píng)估過(guò)過(guò)程文文檔是否風(fēng)險(xiǎn)評(píng)評(píng)估文文檔記記錄風(fēng)險(xiǎn)分分析否……信息科科技風(fēng)風(fēng)險(xiǎn)管管理/監(jiān)管管手段段銀行機(jī)機(jī)構(gòu)治理層層面明確董董事會(huì)會(huì)職責(zé)責(zé)、成成立信信息科科技風(fēng)風(fēng)險(xiǎn)管管理委委員會(huì)會(huì)建立科科技風(fēng)風(fēng)險(xiǎn)三三道防防線（（科技技、風(fēng)風(fēng)險(xiǎn)、、審計(jì)計(jì)部門門）制定全全行信信息科科技風(fēng)風(fēng)險(xiǎn)管管理戰(zhàn)戰(zhàn)略規(guī)規(guī)劃管理層層面科技部部門風(fēng)險(xiǎn)部部門審計(jì)部部門具體手手段信息科科技風(fēng)風(fēng)險(xiǎn)管管理/監(jiān)管管手段段銀行機(jī)機(jī)構(gòu)保護(hù)系系統(tǒng)連連續(xù)性性和安安全性性的具具體手手段：：基礎(chǔ)設(shè)設(shè)施建建設(shè)（（機(jī)房房、網(wǎng)網(wǎng)絡(luò)、、主機(jī)機(jī)）災(zāi)備中中心雙機(jī)熱熱備雙運(yùn)營(yíng)營(yíng)上線線路信息安安全防防護(hù)體體系防火墻墻、IPS桌面管管理系系統(tǒng)日常系系統(tǒng)運(yùn)運(yùn)行監(jiān)監(jiān)控項(xiàng)目開開發(fā)、、外包包過(guò)程程管理理應(yīng)急管管理（（應(yīng)急急預(yù)案案、應(yīng)應(yīng)急保保障、、應(yīng)急急演練練）信息科科技風(fēng)風(fēng)險(xiǎn)管管理/監(jiān)管管手段段監(jiān)管部部門制度標(biāo)標(biāo)準(zhǔn)制制定非現(xiàn)場(chǎng)場(chǎng)監(jiān)管管和現(xiàn)現(xiàn)場(chǎng)檢檢查準(zhǔn)入審審核及及機(jī)構(gòu)構(gòu)評(píng)級(jí)級(jí)荷蘭央央行：：銀行行執(zhí)照照、人人員任任免、、計(jì)提提資本本、罰罰款組織協(xié)協(xié)調(diào)、、促進(jìn)進(jìn)資源源共享享三、主要監(jiān)監(jiān)管制制度介介紹主要監(jiān)監(jiān)管制制度介介紹銀監(jiān)會(huì)會(huì)擬發(fā)發(fā)布制制度《銀監(jiān)監(jiān)會(huì)行行政許許可事事項(xiàng)中中信息息科技技核準(zhǔn)準(zhǔn)條件件的補(bǔ)補(bǔ)充規(guī)規(guī)定》》和《《銀行行業(yè)金金融機(jī)機(jī)構(gòu)重重要信信息系系統(tǒng)投投產(chǎn)及及變更更管理理辦法法》《商業(yè)業(yè)銀行行首席席信息息官管管理辦辦法》》1、《商業(yè)銀銀行信信息科科技風(fēng)風(fēng)險(xiǎn)管管理指指引》信息科科技風(fēng)風(fēng)險(xiǎn)管管理信息科科技治治理信息科科技審審計(jì)業(yè)務(wù)持持續(xù)性性管理理信息安安全管管理信息科科技運(yùn)運(yùn)行項(xiàng)目開開發(fā)、、測(cè)試外包管管理主要概概念：：信息科科技風(fēng)風(fēng)險(xiǎn)是指信信息科科技在在商業(yè)業(yè)銀行行運(yùn)用用過(guò)程程中，，由于于自然因因素、、人為為因素素、技技術(shù)漏漏洞和和管理理缺陷陷產(chǎn)生的的操作作、法法律和和聲譽(yù)譽(yù)風(fēng)險(xiǎn)險(xiǎn)?！丁渡虡I(yè)銀銀行信信息科科技風(fēng)風(fēng)險(xiǎn)管管理指指引》第四條條信息科科技風(fēng)風(fēng)險(xiǎn)與與操作作風(fēng)險(xiǎn)險(xiǎn)的關(guān)關(guān)系——莆田網(wǎng)網(wǎng)銀案案件信息科科技風(fēng)風(fēng)險(xiǎn)管管理的的目標(biāo)標(biāo)是通過(guò)過(guò)建立立有效效的機(jī)機(jī)制，，實(shí)現(xiàn)現(xiàn)對(duì)商商業(yè)銀銀行信信息科科技風(fēng)風(fēng)險(xiǎn)的的識(shí)別、、計(jì)量量、監(jiān)監(jiān)測(cè)和和控制制，促進(jìn)進(jìn)銀行行安全全、持持續(xù)、、穩(wěn)健健運(yùn)行行，推推動(dòng)業(yè)業(yè)務(wù)創(chuàng)創(chuàng)新，，提高高信息息技術(shù)術(shù)使用用水平平，增增強(qiáng)核核心競(jìng)競(jìng)爭(zhēng)力力和可可持續(xù)續(xù)發(fā)展展能力力。——《《商業(yè)銀銀行信信息科科技風(fēng)風(fēng)險(xiǎn)管管理指指引》第五條三道防線線信息科技技風(fēng)險(xiǎn)管管理的關(guān)關(guān)鍵是要要建立三三道防線線，第一一道防線線是指信信息科技技管理，，需要全全員參與與，主要要職責(zé)落落在科技部門門，第二道道防線是是風(fēng)險(xiǎn)管管理，即即從風(fēng)險(xiǎn)險(xiǎn)的角度度如何防防范，職職責(zé)落在在風(fēng)險(xiǎn)部門門，第三道道防線是是審計(jì)監(jiān)監(jiān)督，即即內(nèi)審和和外審，，職責(zé)落落在審計(jì)部門門，三道防防線相互互作用，，形成立立體防護(hù)護(hù)網(wǎng)。1、《商業(yè)銀行行信息科科技風(fēng)險(xiǎn)險(xiǎn)管理指指引》要點(diǎn)：信息科技技治理明確商業(yè)業(yè)銀行董董事會(huì)職職責(zé)要求設(shè)立立首席信信息官，，明確了了首席信信息官職職責(zé)明確三道道防線要要求：明明確信息息科技管管理、信信息科技技風(fēng)險(xiǎn)管管理、信信息科技技審計(jì)的的責(zé)任部部門和職職責(zé)內(nèi)容容風(fēng)險(xiǎn)管理理部門職職責(zé)：將科技風(fēng)風(fēng)險(xiǎn)納入入總體風(fēng)風(fēng)險(xiǎn)管理理體系負(fù)責(zé)制定定信息科科技風(fēng)險(xiǎn)險(xiǎn)管理策策略負(fù)責(zé)持續(xù)續(xù)開展信信息科技技風(fēng)險(xiǎn)識(shí)識(shí)別、監(jiān)監(jiān)測(cè)、計(jì)計(jì)量、評(píng)評(píng)估根據(jù)風(fēng)險(xiǎn)險(xiǎn)評(píng)估結(jié)結(jié)果制定定風(fēng)險(xiǎn)防防范措施施審計(jì)部門門職責(zé)：：組織開展展內(nèi)部和和外部審審計(jì)要求配備備具有專專業(yè)能力力的信息息科技審審計(jì)人員員獨(dú)立開開展審計(jì)計(jì)至少每三三年開展展一次全全面審計(jì)計(jì)1、《商業(yè)銀行行信息科科技風(fēng)險(xiǎn)險(xiǎn)管理指指引》要點(diǎn)：業(yè)務(wù)連續(xù)續(xù)性管理理制定業(yè)務(wù)務(wù)連續(xù)性性規(guī)劃，，確保在在出現(xiàn)無(wú)無(wú)法預(yù)見見的中斷斷時(shí)，系系統(tǒng)仍能能持續(xù)運(yùn)運(yùn)行并提提供服務(wù)務(wù)。業(yè)務(wù)影響響分析：：人員、、系統(tǒng)或或其他資資產(chǎn)的故故障或缺缺失，信信息丟失失、戰(zhàn)爭(zhēng)爭(zhēng)、臺(tái)風(fēng)風(fēng)、地震震采取雙機(jī)機(jī)熱備、、制定應(yīng)應(yīng)急計(jì)劃劃、購(gòu)買買商業(yè)保保險(xiǎn)1、《商業(yè)銀行行信息科科技風(fēng)險(xiǎn)險(xiǎn)管理指指引》要點(diǎn)：項(xiàng)目開發(fā)發(fā)、測(cè)試試管理開發(fā)環(huán)境境和生產(chǎn)產(chǎn)環(huán)境物物理隔離離禁止開發(fā)發(fā)和維護(hù)護(hù)人員隨隨意進(jìn)入入生產(chǎn)系系統(tǒng)組織開展展系統(tǒng)上上線后評(píng)評(píng)價(jià)外包管理理重要外包包報(bào)告外包風(fēng)險(xiǎn)險(xiǎn)評(píng)估服務(wù)水平平協(xié)議安全保密密要求（（包含敏敏感客戶戶信息））應(yīng)急措施施1、《商業(yè)銀行行信息科科技風(fēng)險(xiǎn)險(xiǎn)管理指指引》要點(diǎn)：系統(tǒng)運(yùn)行行管理制定詳細(xì)細(xì)的運(yùn)行行操作說(shuō)說(shuō)明系統(tǒng)運(yùn)行行監(jiān)控容量規(guī)劃劃變更管理理事件管理理信息安全全管理安全策略略（物理理安全、人員安全全、訪問(wèn)問(wèn)控制、、數(shù)據(jù)加加密等））活動(dòng)日志志保存（（交易日日志、系系統(tǒng)日志志）1、《商業(yè)銀行行信息科科技風(fēng)險(xiǎn)險(xiǎn)管理指指引》2、《銀行業(yè)重重要信息息系統(tǒng)突突發(fā)事件件應(yīng)急管管理規(guī)范范（試行行）》作用：規(guī)范并促促進(jìn)了銀銀行業(yè)金金融機(jī)構(gòu)構(gòu)做好重重要信息息系統(tǒng)突突發(fā)事件件應(yīng)急管管理，提提高對(duì)突突發(fā)事件件的綜合合管理能能力和應(yīng)應(yīng)急處置置能力。。主要概念念重要信息息系統(tǒng)：：指支撐撐銀行業(yè)業(yè)金融機(jī)機(jī)構(gòu)關(guān)鍵鍵業(yè)務(wù)，，其信息息安全和和系統(tǒng)服服務(wù)安全全關(guān)系公公民、法法人和組組織權(quán)益益或社會(huì)會(huì)秩序和和公共利利益，甚甚至影響響國(guó)家安安全的信信息系統(tǒng)統(tǒng)要點(diǎn)：明確定義義了董事事會(huì)及高高管層、、風(fēng)險(xiǎn)管管理部門門、信息息科技管管理部門門和業(yè)務(wù)務(wù)管理部部門在突突發(fā)事件件中的職職責(zé)要求求，明確確了應(yīng)急急領(lǐng)導(dǎo)小小組、應(yīng)應(yīng)急執(zhí)行行小組、、應(yīng)急保保障小組組的職責(zé)責(zé)分工對(duì)突發(fā)事事件進(jìn)行行分級(jí)定定義，將將突發(fā)事事件按照照影響范范圍和持持續(xù)時(shí)間間分為特特別重大大突發(fā)事事件（兩兩個(gè)以上上省業(yè)務(wù)務(wù)中斷超超過(guò)3小小時(shí)或一一個(gè)省超超過(guò)6小小時(shí)）、重大突發(fā)發(fā)事件（（兩個(gè)以以上省業(yè)業(yè)務(wù)中斷斷半小時(shí)時(shí)或一個(gè)個(gè)省超3小時(shí)））、交大突發(fā)發(fā)事件（（一個(gè)省省業(yè)務(wù)中中斷超半半小時(shí)）三個(gè)級(jí)別別2、《銀行業(yè)重重要信息息系統(tǒng)突突發(fā)事件件應(yīng)急管管理規(guī)范范（試行行）》要點(diǎn)：要求銀行行機(jī)構(gòu)建建立信息息科技風(fēng)風(fēng)險(xiǎn)防范范體系，，制定信信息系統(tǒng)統(tǒng)RTO（（最短恢復(fù)復(fù)時(shí)間目目標(biāo)）、、RPO（（最近恢復(fù)復(fù)點(diǎn)目標(biāo)標(biāo)）指標(biāo)標(biāo)2、《銀行業(yè)重重要信息息系統(tǒng)突突發(fā)事件件應(yīng)急管管理規(guī)范范（試行行）》正常處理理初始響應(yīng)應(yīng)激活恢復(fù)流程程積壓業(yè)務(wù)務(wù)正常處理理最近備份份備份備份恢復(fù)結(jié)束束目標(biāo)恢復(fù)復(fù)點(diǎn)事件在成功恢恢復(fù)之前前，數(shù)據(jù)可能能會(huì)遺失失、損壞、或或無(wú)法獲獲取目標(biāo)恢復(fù)復(fù)階段（（RTO））處理間隙隙：位于于損壞點(diǎn)與恢恢復(fù)正常常處理之間的滯滯后時(shí)間間段災(zāi)難聲明明2、《銀行業(yè)重重要信息息系統(tǒng)突突發(fā)事件件應(yīng)急管管理規(guī)范范（試行行）》要點(diǎn)：對(duì)信息科科技風(fēng)險(xiǎn)險(xiǎn)識(shí)別、、評(píng)估、、監(jiān)測(cè)、、預(yù)警的的各個(gè)環(huán)環(huán)節(jié)提出出了具體體要求對(duì)銀行機(jī)機(jī)構(gòu)制定定應(yīng)急預(yù)預(yù)案、開開展應(yīng)急急演練、、應(yīng)急響響應(yīng)及報(bào)報(bào)告機(jī)制制、日常常應(yīng)急保保障等應(yīng)應(yīng)急管理理內(nèi)容提提出了具具體要求求。重要突發(fā)發(fā)事件發(fā)發(fā)生后60分鐘鐘內(nèi)將情情況報(bào)監(jiān)監(jiān)管部門門、12小時(shí)內(nèi)內(nèi)提交正正式報(bào)告告、一級(jí)級(jí)事件每每?jī)尚r(shí)時(shí)報(bào)告進(jìn)進(jìn)展3、《銀行業(yè)重重要信息息系統(tǒng)投投產(chǎn)與變變更管理理辦法》概念重要信息息系統(tǒng)：：指支撐撐銀行業(yè)業(yè)金融機(jī)機(jī)構(gòu)關(guān)鍵鍵業(yè)務(wù)，，其信息息安全和和系統(tǒng)服服務(wù)安全全關(guān)系公公民、法法人和組組織權(quán)益益或社會(huì)會(huì)秩序和和公共利利益，甚甚至影響響國(guó)家安安全的信信息系統(tǒng)統(tǒng)投產(chǎn)和變變更內(nèi)容容：支撐重要要信息系系統(tǒng)運(yùn)行行的機(jī)房房、網(wǎng)絡(luò)絡(luò)設(shè)施投投產(chǎn)、機(jī)機(jī)房場(chǎng)地地遷移、、網(wǎng)絡(luò)及及核心業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)應(yīng)用架架構(gòu)變更更、核心心業(yè)務(wù)系系統(tǒng)版本本變更等等。要點(diǎn)加強(qiáng)和規(guī)規(guī)范銀行行機(jī)構(gòu)信信息系統(tǒng)統(tǒng)投產(chǎn)和和變更管管理，避避免系統(tǒng)統(tǒng)投產(chǎn)或或變更過(guò)過(guò)程造成成業(yè)務(wù)中中斷或數(shù)數(shù)據(jù)丟失失情況重要信息息系統(tǒng)投投產(chǎn)前至至少20個(gè)工作作日、變變更前至至少10個(gè)工作作日向監(jiān)監(jiān)管部門門報(bào)告，，實(shí)施后后1個(gè)月內(nèi)提提交投產(chǎn)產(chǎn)或變更更情況報(bào)報(bào)告4、《商業(yè)銀行行數(shù)據(jù)中中心監(jiān)管管指引》概念數(shù)據(jù)中心心：生產(chǎn)產(chǎn)中心和和災(zāi)備中中心災(zāi)備中心心：商業(yè)業(yè)銀行為為保障業(yè)業(yè)務(wù)連續(xù)續(xù)性，在在生產(chǎn)中中心故障障、聽短短或癱瘓瘓后，能能夠接替替生產(chǎn)中中心運(yùn)行行，具備備專用場(chǎng)場(chǎng)所、進(jìn)進(jìn)行數(shù)據(jù)據(jù)處理和和支持重重要業(yè)務(wù)務(wù)持續(xù)運(yùn)運(yùn)行的組組織。同城災(zāi)備備中心：：同一地地理區(qū)域域，一般般距離數(shù)數(shù)十公里里，可防防火災(zāi)、、建筑物物破壞、、電力或或通信中中斷異地災(zāi)備備中心：：不同地地理區(qū)域域、距離離數(shù)百公公里以上上，不會(huì)會(huì)同是面面臨地震震、臺(tái)風(fēng)風(fēng)、洪水水等同類類災(zāi)難風(fēng)風(fēng)險(xiǎn)。要求：總資產(chǎn)1千億元元人民幣幣且跨省省經(jīng)營(yíng)的的法人銀銀行及省省級(jí)農(nóng)信信社要建建立異地地災(zāi)備中中心，災(zāi)災(zāi)難恢復(fù)復(fù)等級(jí)達(dá)達(dá)到5級(jí)級(jí)以上，，其他法法人銀行行應(yīng)設(shè)立立同城災(zāi)災(zāi)備中心心并實(shí)現(xiàn)現(xiàn)數(shù)據(jù)異異地備份份，災(zāi)難難恢復(fù)等等級(jí)達(dá)到到4級(jí)以以上。正式運(yùn)營(yíng)營(yíng)前至少少20個(gè)個(gè)工作日日向監(jiān)管管部門報(bào)報(bào)告，變變更數(shù)據(jù)據(jù)中心場(chǎng)場(chǎng)所要提提前2月月報(bào)告對(duì)數(shù)據(jù)中中心選址址、基本本配置提提出明確確要求災(zāi)難難恢恢復(fù)復(fù)等等級(jí)級(jí)達(dá)達(dá)到到5級(jí)級(jí)災(zāi)難難恢恢復(fù)復(fù)等等級(jí)級(jí)達(dá)達(dá)到到5級(jí)級(jí)：：數(shù)數(shù)據(jù)據(jù)實(shí)實(shí)施施備備份份，，4級(jí)級(jí)：：數(shù)數(shù)據(jù)據(jù)定定期期備備份份4、《商業(yè)業(yè)銀銀行行數(shù)數(shù)據(jù)據(jù)中中心心監(jiān)監(jiān)管管指指引引》災(zāi)難難恢恢復(fù)復(fù)等等級(jí)級(jí)達(dá)達(dá)到到4級(jí)級(jí)：：電電子子傳傳輸輸及及完完整整設(shè)設(shè)備備支支持持，，數(shù)數(shù)據(jù)據(jù)定定期期備備份份災(zāi)難難恢恢復(fù)復(fù)等等級(jí)級(jí)達(dá)達(dá)到到5級(jí)級(jí)：：實(shí)實(shí)時(shí)時(shí)數(shù)數(shù)據(jù)據(jù)傳傳輸輸及及完完整整設(shè)設(shè)備備支支持持，，數(shù)數(shù)據(jù)據(jù)實(shí)實(shí)施施備備份份災(zāi)難難恢恢復(fù)復(fù)等等級(jí)級(jí)達(dá)達(dá)到到5級(jí)級(jí)：：數(shù)數(shù)據(jù)據(jù)零零丟丟失失和和遠(yuǎn)遠(yuǎn)程程集集群群支支持持。。5、《銀行行業(yè)業(yè)金金融融機(jī)機(jī)構(gòu)構(gòu)信信息息系系統(tǒng)統(tǒng)安安全全保保障障問(wèn)問(wèn)責(zé)責(zé)方方案案》要點(diǎn)點(diǎn)要求求法法人人銀銀行行機(jī)機(jī)構(gòu)構(gòu)簽簽署署信信息息系系統(tǒng)統(tǒng)安安全全保保障障責(zé)責(zé)任任書書，，明明確確高高管管人人員員對(duì)對(duì)信信息息系系統(tǒng)統(tǒng)安安全全保保障障的的管管理理責(zé)責(zé)任任對(duì)管管理理失失職職造造成成不不良良后后果果的的，，追追究究責(zé)責(zé)任任6、《銀行行業(yè)業(yè)金金融融機(jī)機(jī)構(gòu)構(gòu)信信息息科科技技非非現(xiàn)現(xiàn)場(chǎng)場(chǎng)監(jiān)監(jiān)管管報(bào)報(bào)表表》要點(diǎn)點(diǎn)：：明確確信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)部部門門為為報(bào)報(bào)送送責(zé)責(zé)任任部部門門包括括1份份年年度度報(bào)報(bào)告告、、14張張年年度度報(bào)報(bào)表表、、6張張季季度度報(bào)報(bào)表表、、7張張實(shí)實(shí)時(shí)時(shí)報(bào)報(bào)表表7、《商業(yè)業(yè)銀銀行行信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查指指南南》要點(diǎn)點(diǎn)明確確了了商商業(yè)業(yè)銀銀行行目目前前主主要要的的信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)領(lǐng)領(lǐng)域域、、主主要要風(fēng)風(fēng)險(xiǎn)險(xiǎn)點(diǎn)點(diǎn)，，闡闡明明了了檢檢查查思思路路和和主主要要方方法法，，幫幫助助檢檢查查人人員員明明確確檢檢查查目目標(biāo)標(biāo)，，從從而而提提高高信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查的的有有效效性性和和針針對(duì)對(duì)性性，，提提升升現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查質(zhì)質(zhì)量量。。提供供評(píng)評(píng)價(jià)價(jià)銀銀行行信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理各各領(lǐng)領(lǐng)域域狀狀況況的的參參考考標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，并并提提出出了了具具體體的的檢檢查查要要求求和和步步驟驟，，進(jìn)進(jìn)一一步步規(guī)規(guī)范范了了信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查的的程程序序、、手手段段和和行行為為，，是是銀銀監(jiān)監(jiān)會(huì)會(huì)及及各各級(jí)級(jí)派派出出機(jī)機(jī)構(gòu)構(gòu)實(shí)實(shí)施施現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查工工作作的的一一個(gè)個(gè)重重要要參參考考依依據(jù)據(jù)和和檢檢查查指指導(dǎo)導(dǎo)工工具具。。指明明商商業(yè)業(yè)銀銀行行信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)防防控控的的重重點(diǎn)點(diǎn)領(lǐng)領(lǐng)域域、、方方向向和和關(guān)關(guān)鍵鍵風(fēng)風(fēng)險(xiǎn)險(xiǎn)點(diǎn)點(diǎn)，，提提出出了了風(fēng)風(fēng)險(xiǎn)險(xiǎn)識(shí)識(shí)別別、、預(yù)預(yù)警警和和控控制制的的具具體體手手段段，，商商業(yè)業(yè)銀銀行行可可以以充充分分借借鑒鑒《《指指南南》》內(nèi)內(nèi)的的信信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)防防控控原原則則和和指指導(dǎo)導(dǎo)思思想想，，應(yīng)應(yīng)用用到到銀銀行行信信息息科科技技建建設(shè)設(shè)和和管管理理實(shí)實(shí)踐踐中中，，成成為為指指導(dǎo)導(dǎo)銀銀行行全全面面開開展展科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)防防控控、、提提升升管管理理能能力力的的有有力力武武器器。。四、、信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)管管架架構(gòu)構(gòu)信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)管管體體系系信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)管管年年度度計(jì)計(jì)劃劃數(shù)據(jù)據(jù)采采集集與審審核核信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)分析析與與評(píng)評(píng)估估信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)現(xiàn)場(chǎng)場(chǎng)檢檢查查信息息科科技技風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)測(cè)測(cè)風(fēng)險(xiǎn)險(xiǎn)提提示示、、預(yù)警警及應(yīng)應(yīng)急急處處理理年度度信信息息科科技技監(jiān)管管評(píng)評(píng)級(jí)級(jí)年度度信信息息科科技技監(jiān)管管報(bào)報(bào)告告體系系概概述述—總體體框框架架固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)-控制制有有效效性性=剩余余風(fēng)風(fēng)險(xiǎn)險(xiǎn)固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)指指標(biāo)標(biāo)控制制有有效效性性指指標(biāo)標(biāo)信息息科科技技綜綜合合風(fēng)風(fēng)險(xiǎn)險(xiǎn)水水平平信息息科科技技風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估指指標(biāo)標(biāo)固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)水水平平控制制有有效效性性風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估流流程程方方法法體系系概概述述—剩余余風(fēng)風(fēng)險(xiǎn)險(xiǎn)綜綜合合分分析析矩矩陣陣剩余風(fēng)險(xiǎn)控制有效性強(qiáng)中強(qiáng)中弱弱固有風(fēng)險(xiǎn)高三級(jí)四級(jí)五級(jí)六級(jí)中高二級(jí)三級(jí)四級(jí)五級(jí)中低一級(jí)二級(jí)三級(jí)四級(jí)低一級(jí)一級(jí)二級(jí)三級(jí)體系系概概述述—基礎(chǔ)礎(chǔ)定定義義《體系系》基礎(chǔ)礎(chǔ)定定義義：：【固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)】是指指在在不不考考慮慮內(nèi)內(nèi)部部控控制制結(jié)結(jié)構(gòu)構(gòu)的的前前提提下下，，由由于于內(nèi)內(nèi)部部因因素素和和客客觀觀環(huán)環(huán)境境的的影影響響，，經(jīng)經(jīng)營(yíng)營(yíng)運(yùn)運(yùn)作作可可能能發(fā)發(fā)生生重重大大錯(cuò)錯(cuò)誤誤的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。【信息息科科技技固固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)】是固固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)的的重重要要組組成成部部分分，，特特指指機(jī)機(jī)構(gòu)構(gòu)在在運(yùn)運(yùn)用用信信息息技技術(shù)術(shù)的的運(yùn)運(yùn)用用過(guò)過(guò)程程中中所所面面對(duì)對(duì)的的固固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。信信息息科科技技固固有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)可可以以通通過(guò)過(guò)獲獲取取相相關(guān)關(guān)信信息息進(jìn)進(jìn)行行衡衡量量和和評(píng)評(píng)價(jià)價(jià)，，其其識(shí)識(shí)別別與與評(píng)評(píng)估估是是一一個(gè)個(gè)全全面面信信息息收收集集與與綜綜合合分分析析研研判判的的過(guò)過(guò)程程。。【控制有有效性性】是指機(jī)機(jī)構(gòu)所所采用用的信信息科科技風(fēng)風(fēng)險(xiǎn)控控制措措施的的設(shè)計(jì)計(jì)與執(zhí)執(zhí)行效效果滿滿足監(jiān)監(jiān)管機(jī)機(jī)構(gòu)和和信息息科技技風(fēng)險(xiǎn)險(xiǎn)管理理要求求的程程度。。【風(fēng)險(xiǎn)評(píng)評(píng)估】是通過(guò)過(guò)對(duì)信信息科科技風(fēng)風(fēng)險(xiǎn)種種類、、風(fēng)險(xiǎn)險(xiǎn)程度度和風(fēng)風(fēng)險(xiǎn)發(fā)發(fā)展趨趨勢(shì)進(jìn)進(jìn)行識(shí)識(shí)別分分析，，對(duì)信信息科科技的的風(fēng)險(xiǎn)險(xiǎn)狀況況、風(fēng)風(fēng)險(xiǎn)管管理的的充分分性以以及外外部風(fēng)風(fēng)險(xiǎn)因因素的的影響響做出出判斷斷，并并在此此基礎(chǔ)礎(chǔ)上對(duì)對(duì)機(jī)構(gòu)構(gòu)的整整體風(fēng)風(fēng)險(xiǎn)水水平做做出評(píng)評(píng)估。。體系概概述—數(shù)據(jù)關(guān)關(guān)系風(fēng)險(xiǎn)評(píng)評(píng)估指指標(biāo)非現(xiàn)場(chǎng)場(chǎng)監(jiān)管管報(bào)表表其他監(jiān)管干預(yù)現(xiàn)場(chǎng)檢檢查結(jié)結(jié)果風(fēng)險(xiǎn)評(píng)估監(jiān)管評(píng)評(píng)級(jí)現(xiàn)場(chǎng)檢檢查結(jié)果結(jié)果結(jié)果指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)重要信息系系統(tǒng)數(shù)據(jù)中中心運(yùn)運(yùn)行與災(zāi)備信息科科技項(xiàng)項(xiàng)目信息科科技服務(wù)外外包系統(tǒng)恢恢復(fù)及及數(shù)據(jù)保保護(hù)監(jiān)管關(guān)關(guān)注度度信息科科技固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)固有風(fēng)險(xiǎn)子領(lǐng)域指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)重要信息系統(tǒng)子領(lǐng)域風(fēng)險(xiǎn)成因重要信息系系統(tǒng)核心業(yè)業(yè)務(wù)系系統(tǒng)替替換后后影響響未消消除，，導(dǎo)致致業(yè)務(wù)務(wù)無(wú)法法正常常運(yùn)行行。重要信信息系系統(tǒng)重重大變變動(dòng)影影響業(yè)業(yè)務(wù)正正常運(yùn)運(yùn)行。。重要信信息系系統(tǒng)復(fù)復(fù)雜程程度高高，存存在安安全性性和完完整性性問(wèn)題題。關(guān)鍵信信息系系統(tǒng)缺缺乏穩(wěn)穩(wěn)定性性以致致影響響業(yè)務(wù)務(wù)正常常運(yùn)行行。指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)數(shù)據(jù)中心運(yùn)行與災(zāi)備子領(lǐng)域風(fēng)險(xiǎn)成因數(shù)據(jù)中中心運(yùn)運(yùn)行與災(zāi)備數(shù)據(jù)中中心的的重大大變動(dòng)動(dòng)對(duì)信信息科科技正正常運(yùn)運(yùn)行產(chǎn)產(chǎn)生不不利影影響。。數(shù)據(jù)中中心與與災(zāi)備備中心心（場(chǎng)場(chǎng)所））地理理位置置分布布對(duì)機(jī)機(jī)構(gòu)應(yīng)應(yīng)對(duì)災(zāi)災(zāi)難產(chǎn)產(chǎn)生不不利影影響。。公共基基礎(chǔ)設(shè)設(shè)施（（電力力、電電信、、交通通、機(jī)機(jī)房建建筑等等）服服務(wù)中中斷、、異常常，對(duì)對(duì)機(jī)構(gòu)構(gòu)業(yè)務(wù)務(wù)持續(xù)續(xù)運(yùn)行行產(chǎn)生生不利利影響響。指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)系統(tǒng)恢復(fù)及數(shù)據(jù)保護(hù)子領(lǐng)域風(fēng)險(xiǎn)成因系統(tǒng)恢恢復(fù)及及數(shù)據(jù)保保護(hù)除負(fù)責(zé)責(zé)本機(jī)機(jī)構(gòu)系系統(tǒng)恢恢復(fù)外外，機(jī)機(jī)構(gòu)還還提供供對(duì)外外部機(jī)機(jī)構(gòu)共共享本本機(jī)構(gòu)構(gòu)系統(tǒng)統(tǒng)恢復(fù)復(fù)設(shè)施施的服服務(wù)。。本機(jī)機(jī)構(gòu)系系統(tǒng)恢恢復(fù)設(shè)設(shè)施的的失效效可能能影響響對(duì)方方的系系統(tǒng)恢恢復(fù)，，增加加本機(jī)機(jī)構(gòu)在在經(jīng)濟(jì)濟(jì)責(zé)任任、法法律及及聲譽(yù)譽(yù)等方方面的的風(fēng)險(xiǎn)險(xiǎn)。本機(jī)構(gòu)構(gòu)系統(tǒng)統(tǒng)恢復(fù)復(fù)依賴賴于外外部機(jī)機(jī)構(gòu)的的恢復(fù)復(fù)設(shè)施施，外外部機(jī)機(jī)構(gòu)系系統(tǒng)恢恢復(fù)設(shè)設(shè)施的的失效效可能能影響響本機(jī)機(jī)構(gòu)的的系統(tǒng)統(tǒng)恢復(fù)復(fù)。仍在使使用已已過(guò)時(shí)時(shí)或缺缺乏廠廠商技技術(shù)支支持的的系統(tǒng)統(tǒng)恢復(fù)復(fù)設(shè)施施或技技術(shù)。。生產(chǎn)數(shù)數(shù)據(jù)脫脫離生生產(chǎn)環(huán)環(huán)境進(jìn)進(jìn)入辦辦公環(huán)環(huán)境或或互聯(lián)聯(lián)網(wǎng)環(huán)環(huán)境。。例如如，基基于數(shù)數(shù)據(jù)倉(cāng)倉(cāng)庫(kù)技技術(shù)的的商業(yè)業(yè)智能能系統(tǒng)統(tǒng)的運(yùn)運(yùn)用。。其數(shù)數(shù)據(jù)基基礎(chǔ)源源自生生產(chǎn)數(shù)數(shù)據(jù)。。外部機(jī)機(jī)構(gòu)擁?yè)碛谢蚧蚍窒硐肀緳C(jī)機(jī)構(gòu)生生產(chǎn)數(shù)數(shù)據(jù)的的控制制權(quán)，，例如如：監(jiān)監(jiān)管要要求、、審計(jì)計(jì)需要要、外外包等等。指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)信息科技項(xiàng)目子領(lǐng)域風(fēng)險(xiǎn)成因信息科科技項(xiàng)項(xiàng)目項(xiàng)目變變動(dòng)不不可避避免，，若變變動(dòng)頻頻繁、、隨意意性大大，可可能導(dǎo)導(dǎo)致項(xiàng)項(xiàng)目目目標(biāo)無(wú)無(wú)法按按要求求實(shí)現(xiàn)現(xiàn)。項(xiàng)目規(guī)規(guī)模及及復(fù)雜雜度難難以駕駕馭。。項(xiàng)目資資源不不足使使項(xiàng)目目難以以按時(shí)時(shí)、按按質(zhì)完完成，，進(jìn)而而影響響業(yè)務(wù)務(wù)目標(biāo)標(biāo)的實(shí)實(shí)現(xiàn)。。指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)信息科技服務(wù)外包子領(lǐng)域風(fēng)險(xiǎn)成因信息科科技服服務(wù)外外包外包人人員變變動(dòng)導(dǎo)導(dǎo)致外外包服服務(wù)持持續(xù)性性受影影響，，導(dǎo)致致服務(wù)務(wù)質(zhì)量量下降降、進(jìn)進(jìn)度拖拖延等等可能能性。。過(guò)度依依賴外外包商商，導(dǎo)導(dǎo)致出出現(xiàn)“太依賴賴而不不能替替換的的外包包商”。外包商商完全全位于于境外外或。。外包包商性性質(zhì)及及提供供服務(wù)務(wù)的形形式對(duì)對(duì)機(jī)構(gòu)構(gòu)的可可能影影響。。如：：境外外外包包商，，外包包商采采用非非授權(quán)權(quán)工具具提供供服務(wù)務(wù)，外外包商商常駐駐機(jī)構(gòu)構(gòu)與其其內(nèi)部部員工工共同同進(jìn)行行現(xiàn)場(chǎng)場(chǎng)作業(yè)業(yè)等。。指標(biāo)體體系—固有風(fēng)風(fēng)險(xiǎn)指指標(biāo)監(jiān)管關(guān)注度子領(lǐng)域風(fēng)險(xiǎn)成因監(jiān)管關(guān)關(guān)注度度規(guī)模（（資產(chǎn)規(guī)規(guī)模、、網(wǎng)點(diǎn)點(diǎn)規(guī)模模、電電子銀銀行用用戶））。信息科科技支支持能能力應(yīng)應(yīng)與機(jī)機(jī)構(gòu)規(guī)規(guī)模相相適應(yīng)應(yīng)，并并在一一定時(shí)時(shí)期內(nèi)內(nèi)能夠夠持續(xù)續(xù)滿足足對(duì)網(wǎng)網(wǎng)點(diǎn)規(guī)規(guī)模增增長(zhǎng)的的需求求）業(yè)務(wù)量量。業(yè)務(wù)量量是機(jī)機(jī)構(gòu)信信息系系統(tǒng)所所承載載交易易壓力力的直直接體體現(xiàn)。。信息科科技風(fēng)風(fēng)險(xiǎn)歷歷史記記錄。。重點(diǎn)點(diǎn)關(guān)注注以往往重大大信息息系統(tǒng)統(tǒng)突發(fā)發(fā)事件件情況況、信信息科科技人人員涉涉案情情況等等。指標(biāo)體體系—控制有有效性性指標(biāo)標(biāo)信息科科技治治理控制有有效性性指標(biāo)控制有效性子領(lǐng)域信息科科技風(fēng)風(fēng)險(xiǎn)管管理信息系系統(tǒng)開開發(fā)、、測(cè)試試與維維護(hù)信息科科技審審計(jì)災(zāi)難恢恢復(fù)與與應(yīng)急急管理理信息科科技外外包信息安安全（（一般般控制制）信息科科技運(yùn)運(yùn)行指標(biāo)體體系—控制有有效性性指標(biāo)標(biāo)信息科技治理子領(lǐng)域關(guān)鍵要素信息科科技治治理是否具具有信信息科科技治治理領(lǐng)領(lǐng)導(dǎo)力力？（（或信信息科科技在在高管管層中中的地地位如如何））？信息科科技戰(zhàn)戰(zhàn)略能能否有有效支支持業(yè)業(yè)務(wù)目目標(biāo)？？信息科科技未未得到到足夠夠的財(cái)財(cái)務(wù)支支持？？信息科科技治治理職職能與與責(zé)任任劃分分是否否明確確、合合理？？信息科科技治治理執(zhí)執(zhí)行力力如何何？信息科科技治治理是是否與與企業(yè)業(yè)治理理兼容容？指標(biāo)體體系—控制有有效性性指標(biāo)標(biāo)信息科技風(fēng)險(xiǎn)管理子領(lǐng)域關(guān)鍵要素信息科科技風(fēng)風(fēng)險(xiǎn)管管理風(fēng)險(xiǎn)容容忍度度？風(fēng)險(xiǎn)管管理流流程是是否完完整？？（應(yīng)應(yīng)包括括：識(shí)識(shí)別風(fēng)風(fēng)險(xiǎn)、、評(píng)估估風(fēng)險(xiǎn)險(xiǎn)、控控制風(fēng)風(fēng)險(xiǎn)、、監(jiān)測(cè)測(cè)風(fēng)險(xiǎn)險(xiǎn)、預(yù)預(yù)警風(fēng)風(fēng)險(xiǎn)））風(fēng)險(xiǎn)管管理是是否有有效運(yùn)運(yùn)作？？主要要體現(xiàn)現(xiàn)在風(fēng)風(fēng)險(xiǎn)根根源分分析機(jī)機(jī)制持持續(xù)運(yùn)運(yùn)作？？信息科科技風(fēng)風(fēng)險(xiǎn)管管理與與業(yè)務(wù)務(wù)風(fēng)險(xiǎn)險(xiǎn)管理理的關(guān)關(guān)系是是否理理順？？風(fēng)險(xiǎn)控控制措措施是是否有有效覆覆蓋被被識(shí)別別的風(fēng)風(fēng)險(xiǎn)點(diǎn)點(diǎn)？是否有有足夠夠的專專業(yè)人人才開開展風(fēng)風(fēng)險(xiǎn)管管理工工作？？風(fēng)險(xiǎn)意識(shí)持持續(xù)培養(yǎng)？？指標(biāo)體系—控制有效性性指標(biāo)信息科技審計(jì)子領(lǐng)域關(guān)鍵要素信息科技審審計(jì)信息科技審審計(jì)部門及及人員的獨(dú)獨(dú)立性如何何？信息科技審審計(jì)部門與與人員是否否合理授權(quán)？信息科技審審計(jì)人員的的專業(yè)性如如何？審計(jì)發(fā)現(xiàn)整整改率？審計(jì)分支機(jī)機(jī)構(gòu)覆蓋率率？是否建立信信息系統(tǒng)的的應(yīng)用控制制及審計(jì)方方法？指標(biāo)體系—控制有效性性指標(biāo)信息系統(tǒng)開發(fā)、測(cè)試與維護(hù)子領(lǐng)域關(guān)鍵要素信息系統(tǒng)開開發(fā)、測(cè)試與維護(hù)護(hù)有無(wú)項(xiàng)目管管理組織統(tǒng)統(tǒng)一安排、、協(xié)調(diào)各類類項(xiàng)目？如何保障項(xiàng)項(xiàng)目質(zhì)量？？有無(wú)項(xiàng)目財(cái)財(cái)務(wù)管理和和監(jiān)督？開發(fā)、測(cè)試試環(huán)境的管管理？項(xiàng)目的設(shè)計(jì)計(jì)階段是否否充分考慮慮了信息安安全、保密密、災(zāi)難恢恢復(fù)等需求求？項(xiàng)目結(jié)束后后是否進(jìn)行行業(yè)務(wù)價(jià)值值評(píng)價(jià)和審審計(jì)？指標(biāo)體系—控制有效性性指標(biāo)信息科技運(yùn)行子領(lǐng)域關(guān)鍵要素信息科技運(yùn)運(yùn)行運(yùn)行操作崗崗位設(shè)置是是否合理？？事件管理如如何？問(wèn)題管理如如何？可用性管理理如何？容量管理如如何？變更與維護(hù)護(hù)管理如何何？運(yùn)行過(guò)程監(jiān)監(jiān)控如何？？指標(biāo)體系—控制有效性性指標(biāo)災(zāi)難恢復(fù)與應(yīng)急管理子領(lǐng)域關(guān)鍵要素災(zāi)難恢復(fù)與與應(yīng)急管理理災(zāi)難恢復(fù)計(jì)計(jì)劃或應(yīng)急急預(yù)案的演演練與更新新情況？重要信息系系統(tǒng)災(zāi)難恢恢復(fù)計(jì)劃覆覆蓋率？重要信息系系統(tǒng)應(yīng)急預(yù)預(yù)案覆蓋率率？指標(biāo)體系—控制有效性性指標(biāo)外包子領(lǐng)域關(guān)鍵要素外包有無(wú)外包商商資質(zhì)、服服務(wù)水平的的考核指標(biāo)標(biāo)？如何選擇正正確的外包包服務(wù)商？？如何防止外外包人員接接觸生產(chǎn)數(shù)數(shù)據(jù)或敏感感信息？外包合同是是否經(jīng)法規(guī)規(guī)或?qū)徲?jì)部部門審核？？有無(wú)可迅速速替換的外外包商？指標(biāo)體系—控制有效性性指標(biāo)信息安全管理子領(lǐng)域關(guān)鍵要素信息安全管管理信息資產(chǎn)普普查與分級(jí)級(jí)？跨部門協(xié)調(diào)調(diào)的信息安安全執(zhí)行組組織？物理安全？？物理訪問(wèn)控控制？邏輯訪問(wèn)控控制？版本管理？？配置管理？？日志管理？？網(wǎng)絡(luò)管理？？數(shù)據(jù)安全？？評(píng)估指標(biāo)定量指標(biāo)74個(gè)固有風(fēng)險(xiǎn)：：23個(gè)監(jiān)管關(guān)注度度：9個(gè)控制有效性性：42個(gè)定性指標(biāo)90個(gè)固有風(fēng)險(xiǎn)：：10個(gè)(手工2個(gè))控制有效性性：80個(gè)(手工8個(gè))固有風(fēng)險(xiǎn)：：33個(gè)監(jiān)管關(guān)注度度：9個(gè)控制有效性性：122個(gè)指標(biāo)合計(jì)164個(gè)基本思想自動(dòng)化自動(dòng)抽得指指標(biāo)結(jié)果、、自動(dòng)評(píng)分分、自動(dòng)匯匯總、自動(dòng)動(dòng)分級(jí)靈活性標(biāo)準(zhǔn)化審核標(biāo)準(zhǔn)規(guī)規(guī)范化、評(píng)評(píng)分規(guī)則標(biāo)標(biāo)準(zhǔn)化、參參數(shù)標(biāo)準(zhǔn)化化得分可調(diào)整整、結(jié)果可可調(diào)整、參參數(shù)調(diào)節(jié)因因子評(píng)估流程綜合風(fēng)險(xiǎn)水平非現(xiàn)場(chǎng)監(jiān)管管報(bào)表監(jiān)管人員評(píng)判調(diào)整指標(biāo)得分系統(tǒng)自動(dòng)生成指標(biāo)得分監(jiān)管關(guān)注度調(diào)節(jié)因子固有風(fēng)險(xiǎn)分級(jí)結(jié)果控制有效性分級(jí)結(jié)果生成后續(xù)監(jiān)管工作參數(shù)值監(jiān)管關(guān)注度調(diào)節(jié)因子固有風(fēng)險(xiǎn)分級(jí)結(jié)果控制有效性分級(jí)結(jié)果抽取評(píng)估打分表表示例指標(biāo)分值及及意義固有風(fēng)險(xiǎn)5分制，分值值越高，固固有風(fēng)險(xiǎn)越越高控制有效性性監(jiān)管關(guān)注度度5分制，分值值越高，關(guān)關(guān)注度越高高5分制，分值值越高，控控制有效性性越強(qiáng)參數(shù)表參數(shù)值參數(shù)值=行業(yè)基準(zhǔn)值值×參數(shù)調(diào)節(jié)因子行業(yè)基準(zhǔn)值值：行業(yè)平平均值或手手工設(shè)定的的經(jīng)驗(yàn)值參數(shù)調(diào)節(jié)因因子：用于于調(diào)整行業(yè)業(yè)基準(zhǔn)值的的因子，可可根據(jù)評(píng)估估結(jié)果進(jìn)行行手動(dòng)調(diào)節(jié)節(jié)行業(yè)平均值值1.全行業(yè)2.按資產(chǎn)規(guī)模模分三類：：大、中、、小，劃分分標(biāo)準(zhǔn)可調(diào)調(diào)整3.按機(jī)構(gòu)類型型分七類：：政策性銀銀行、國(guó)有有商業(yè)銀行行及郵政儲(chǔ)蓄銀銀行、股份制商商業(yè)銀行、、城市商業(yè)業(yè)銀行及城城市信用社社、省聯(lián)社社及農(nóng)村商商業(yè)銀行、、農(nóng)村合作作銀行及農(nóng)村信用社、外外資法人商商業(yè)銀行參數(shù)值行業(yè)平均值值參數(shù)值行業(yè)平均值值