银行IT风险管理体系课件

银行IT风险管理体系2007-04-11北京大学ACOM金融信息化研究中心报告主题2022/11/241PAFIRC报告提纲银行IT风险管理实际应用

风险管理框架银行IT风险管理背景Q&A2022/11/242911事件后摩根银行在几小时内迅速恢复营业注重IT风险管理2022/11/243PAFIRC银行风险框架市场风险银行风险操作风险信用风险IT风险银行IT风险的类型IT风险管理的必要性IT风险管理与IT治理返回银行监管的要求2022/11/244PAFIRC银行IT风险的类型IT运行风险IT资产脆弱性风险误操作风险计算机欺诈风险信息披露风险系统中断风险银行IT风险

基于IT的金融产品或服务风险IT环境风险法律遵循性风险战略风险组织风险物理环境风险外包风险返回2022/11/245银行监管的要求2022/11/246IT风险管理IT风险管理的动机

信息技术的双刃性新巴塞尔协议、萨班斯法案以及银监会的要求

银行内控的要求

返回2022/11/247IT风险管理的三维模型返回Z轴X轴Y轴在银行信息系统生命周期各阶段，依照IT风险管理流程，以风险控制目标为驱动，实施IT风险管理，抵减银行IT风险。2022/11/248银行IT风险管理流程IT风险管理流程国际知名金融机构IT风险管理案例国际标准AS-NZS4360NISTSP800-60国内标准GB信息安全风险评估规范返回GB信息安全等级保护系列标准2022/11/249资产登记表检查表风险值=R（A，T，V，M）=R(C(A，T，V，M)，L(T，V，M))风险权重返回确定信息系统安全保护等级GB信息安全等级保护BaselII和萨班斯法案的要求BaselII的要求萨班斯法案的要求制定详细的风险处理计划输出表格BaselII的要求2022/11/2410信息系统安全等级保护调查表返回2022/11/2411信息系统对象确立报告返回2022/11/2412资产登记表返回安全-责任矩阵2022/11/2413安全-责任矩阵返回2022/11/2414PAFIRCchecklist返回由风险控制目标导出2022/11/2415计算各风险的权重:

应用AHP、群决策及聚类分析法应用AHP理论，建立银行IT风险层次结构模型应用群决策思想和AHP理论，多个专家决策群体给出各自的风险判断矩阵应用群决策思想、AHP理论和最短距离聚类分析法，计算专家的权值计算判断矩阵可信度权值计算各风险的权重返回2022/11/2416PAFIRC国际知名金融机构IT风险管理案例返回2022/11/2417PAFIRC信息系统生命周期计划与组织设计与获取交付与实施运行与维护废弃与终止系统生命周期返回2022/11/2418PAFIRC控制目标的产生返回COBIT4.0ISO17799NISTSP800-53IT风险控制目标WorldBankChecklist信息系统安全等级保护2022/11/2419PAFIRC现有几个标准比较表返回2022/11/2420PAFIRCIT风险控制目标风险控制目标安全策略安全组织资产管理人力资源安全物理和环境安全通信及运行管理访问控制系统的获取、研发与维护信息安全事件管理业务持续性管理遵循性管理PO：计划与组织DA

：设计与获取DI：交付与实施OM：运行与维护DT：废弃与终止通用控制目标Text分阶段制定的控制目标Text在分阶段制定控制目标的基础上制定系统生命周期各阶段通用的控制目标。37个一级控制目标，212个二级控制目标；二级控制目标分为基本要求和补充要求。返回2022/11/2421PAFIRC举例：通用类——安全策略返回2022/11/2422PAFIRC举例：PO阶段控制目标返回2022/11/2423PAFIRCIT资产配置与变更流程流程图返回安全保护等级不同的IT资产有不同的安全控制要求2022/11/2424IT资产配置与变更流程图PAFIRC2022/11/2425PAFIRC研究理念银行IT系统具备生命周期,IT风险管理理所当然应当贯穿生命周期的始终，IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求生命周期IT风险的管理和控制不是一劳永逸的活动，而是随着经营环境、业务目标，企业战略等的改变相应提高控制要求，开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程过程控制银行IT风险管理的核心是对IT资产的管理，IT资产总是归属于一定的子系统的，风险管理要考虑成本-收益就必须对系统进行等级划分，实施不同的程度地保护，划分考虑资产所在子系统的等级以及资产在子系统中的等级等级保护IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者责任主体2022/11/2426银行IT风险管理的应用-

IT审计IT审计的参考标准《PAFIRC银行IT风险阶段控制目标》可以作为IT审计的标准参考，检查IT风险管理的绩效IT审计内部控制调查《PAFIRC银行IT风险安全检查表》：作为基础调研工具，识别关键风险和威胁，作为风险分析的前提也可以作为内部