商业银行信息科技风险监管讲座

CopyrightbyCHENYL信息科技风险监管知识讲座2010年8月主要内容一、信息科技风险监管概况二、信息科技风险监管目标和手段三、主要监管制度介绍四、信息科技风险监管体系简介五、基层银行机构科技风险监管的思考

一、信息科技风险监管概况信息科风险监管背景某银行核心系统故障全国中断营业4小时某行海南分行供电中断导致停业7.5小时2006年银联跨行交易全面中断8小时屡次发生的网络安全事件：2010年初多家银行网银系统遭受攻击2009年底我省某行网银系统遭受DDos攻击2009年底某行成都分行发生网银客户资金被盗事件2008年奥运开幕式某国有银行网络遭攻击….….200620082010近年来，随着银行机构系统网络化、数据集中化，科技风险问题日益突出科技风险的特点是风险变化快、蔓延快、影响范围大

银监会信息科技监管历程20062007200820092010发布信息科技风险管理指引开展信息科技风险内部和外部评价审计开展信息科技风险奥运专项自查发布新的《商业银行信息科技风险管理指引》《银行业重要信息系统投产与变更管理办法》部署信息科技风险非现场系统《商业银行数据中心监管指引》自2006年8月发布《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，监管工作逐步走向规范化。银监会开展的主要工作制定一系列制度和标准持续开展信息科技风险监管培训组织开展信息科技风险现场检查推动实施信息科技非现场监管组织开展重要时点信息科技自查整改及时发布各类信息科技风险提示银行机构信息科技风险状况科技风险管控意识提高科技治理架构初步建立科技基础设施不断完善运行维护能力不断加强重视加强灾备建设及开展应急演练银行机构信息科技风险状况个别银行科技治理认识不到位重眼前建设轻长远规划科技治理架构未有效运行应急演练开展实战性不足基层银行机构科技力量薄弱二、信息科技风险监管目标与手段信息科技风险监管目标降低信息系统连续性和安全性风险程度到可接受范围保障信息系统连续性和安全性保护银行信息资产（信息系统、数据）保护存款人利益维护社会稳定目标层次宏观具体信息息科科技技风风险险监监管管目目标标连续续性性：：即业业务务连连续续性性，，保保证证信信息息系系统统稳稳定定、、持持续续地地提提供供服服务务，，通通俗俗地地说说就就是是系系统统“不能能断断”。安全全性性：：保证证数数据据的的保保密密性性、、完完整整性性、、可可用用性性，，通通俗俗地地说说就就是是数数据据““不不能能丢丢””。。所有有科科技技风风险险事事件件都都可可以以归归于于信信息息系系统统连连续续性性或或安安全全性性出出问问题题的的事事件件。。信息息科科技技风风险险监监管管目目标标连续续性性事事件件案案例例案例例1：：2008年年11月月上上旬旬，，某某大大型型银银行行某某省省分分行行在在供供电电部部门门预预先先通通知知停停电电的的情情况况下下，，因因发发电电机机故故障障、、主主机机存存储储控控制制卡卡损损坏坏等等原原因因，，造造成成全全省省业业务务无无法法正正常常运运营营达达7小小时时15分分钟钟。。案例例2：：2009年12月月21日日，，某某行行网网上上银银行行系系统统发发生生一一起起因因DDOS攻击击引引发发的的系系统统故故障障，，经经内内外外部部专专家家诊诊断断为为外外部部分分布布式式攻攻击击。。攻攻击击来来自自互互联联网网多多个个地地方方和和多多台台机机器器，，持持续续时时间间500分分钟钟。。故故障障刚刚发发生生阶阶段段的的现现象象表表现现为为网网银银客客户户登登录录网网银银主主页页面面缓缓慢慢或或超超时时无无法法访访问问。。监监控控系系统统显显示示网网上上银银行行主主页页服服务务器器系系统统资资源源压压力力迅迅速速增增大大，，进进程程达达到到系系统统最最大大进进程程数数，，超超过过日日常常监监控控进进程程数数四四倍倍。。案例例3：：2010年年2月月3日日某某全全国国性性银银行行核核心心业业务务系系统统数数据据库库故故障障导导致致全全国国柜柜面面等等各各项项业业务务中中断断近近四四小小时时。。案例例4：：2007年12月月16日日11：：05至至13：：57，，某某分分行行综综合合前前置置机机系系统统出出现现故故障障，，造造成成全全辖辖15个个网网点点对对外外营营业业中中断断近近三三个个小小时时。。信息息科科技技风风险险监监管管目目标标安全全性性事事件件案案例例案例例1：：2008年年12月月31日日至至2009年年1月月4日日，，某某银银行行成成都都分分行行发发生生一一起起网网上上银银行行客客户户资资金金被被盗盗案案件件，，涉涉及及被被盗盗帐帐号号12个个，，总总金金额额12万万元元。。犯犯罪罪嫌嫌疑疑人人通通过过本本人人及及雇雇用用他他人人在在银银行行办办理理借借记记卡卡并并开开通通个个人人网网银银业业务务，，以以合合法法身身份份进进入入该该银银行行大大众众版版网网银银系系统统，，然然后后利利用用网网络络下下载载的的黑黑客客软软件件对对该该银银行行大大众众版版网网银银系系统统进进行行攻攻击击和和破破译译，，发发现现漏漏洞洞后后作作案案。。犯犯罪罪嫌嫌疑疑人人利利用用网网银银客客户户端端交交易易数数据据包包未未对对转转出出卡卡号号、、转转入入帐帐号号客客户户隶隶属属关关系系进进行行校校验验，，而而且且主主机机系系统统对对网网银银服服务务端端上上传传的的个个别别交交易易数数据据验验证证不不充充分分的的程程序序逻逻辑辑缺缺陷陷，，通通过过模模拟拟浏浏览览器器与与服服务务端端通通讯讯的的方方式式，，非非法法截截取取并并篡篡改改交交易易数数据据，，盗盗取取他他人人资资金金。。信息科技风风险监管目目标安全性事件件案例案例2：某行市分行行发生一起起内部员工工违规利用用网银动用用客户资金金的案件。。2008年10月月份，支行行客户部网网银操作员员及复核员员在为客户户办理网银银业务时发发现操作IC卡已经过期期，遂联系系市分行网网银管理员员黄某办理理换卡事宜宜，并告知知其操作密密码。黄某某利用自己己作为管理理员保管““管理证书书”之便，，进入系统统，修改了了某对公客客户的网银银证书和密密码，再通通过集团理理财帐户实实行网银转转帐，动用用客户帐户户上233.7万元元用于炒权权证。案例3：某行柜员在在为客户办办理购买基基金手续过过程中,利利用电脑终终端画面可可以屏幕打打印功能,没有进行行实际交易易,套打基基金交易凭凭证交予客客户,将客客户资金转转入其控制制的账户.涉案金额额85万元。电脑脑终端可随随意进行屏屏幕打印,存在明显显缺陷,使使作案人有有机可乘信息科技风风险监管目目标安全性事件件案例案例4：近期，某银银行机构发发现不法分分子根据互互联网上下下载的“特特征码识别别程序”自自行编写密密码猜解软软件，通过过锁定某一一固定密码码反复轮训训帐号的方方式，对多多家银行网网银系统发发起暴力猜猜测攻击，，最终非法法获取两家家银行数百百个客户的的网银帐号号、查询密密码等信息息。案例5：近期，某银银行机构发发现不法分分子根据互互联网上下下载的“特特征码识别别程序”自自行编写密密码猜解软软件，通过过锁定某一一固定密码码反复轮训训帐号的方方式，对多多家银行网网银系统发发起暴力猜猜测攻击，，最终非法法获取两家家银行数百百个客户的的网银帐号号。案例6：：某行借记卡卡被通过手手机银行猜猜解密码，，涉及1007张借借记卡。信息科技风风险监管目目标如何判断是是否达到目目标？信息科技风风险（包括括连续性和和安全性风风险）的计计量判断信息科科技风险程程度是否在在可接受范范围基本概念资产对组织具有有价值的信信息或资源源，是安全全策略保护护的对象。。主要包括括：——支持设施（（例如建筑筑、供电、、供水、空空调等）——硬件资产（（例如计算算机设备、、路由交换换机、交换换机等）——信息资产（（例如数据据库和数据据文档、系系统文件、、用户手册册、培训资资料、操作作和支持程程序等）——软件资产（（例如应用用软件、系系统软件、、开发工具具和使用程程序等）——生产能力或或服务能力力——人员——无形资产（（例如信誉誉、形象等等）——其他（参照：1、信息安安全风险评评估规范P1；2、、信息系统安安全管理要要求P53）基本概念资产价值资产的重要要程度或敏敏感程度的的表征。资资产价值是是资产的属属性，也是是进行资产产识别的主主要内容。。（出处：1、信息安安全风险评评估规范P1）基本概念威胁可能导致对对系统或组组织危害的的不希望事事故的潜在在起因。威胁的分类类可按照造造成威胁的的因素分为为人为因素素威胁和环环境因素威威胁，按照照威胁的表表现形式可可以分为软软硬件故障障、物理环环境影响、、无作为或或操作失误误、管理不不倒位、恶恶意代码、、越权或滥滥用、网络络攻击、物物理攻击、、泄密、篡篡改、抵赖赖等。（出处：1、信息安安全风险评评估规范P2、P9）基本概念脆弱性可能被威胁胁所利用的的资产或若若干资产的的薄弱环节节。资产的的脆弱性包包括物理布布局、组织织、规程、、人事、管管理、行行政、硬件件、软件或或信息等的的弱点。（出处：1、信息安安全风险评评估规范P3；2、、信息系统安安全管理要要求P54）基本概念安全措施保护资产、、抵御威胁胁、减少脆脆弱性、降降低安全事事件的影响响，以及打打击信息犯犯罪而实施施的各种实实践、规程程和机制。。（出处：1、信息安安全风险评评估规范P2）基本概念剩余风险采取了安全全措施后，，信息系统统仍然可能能存在的风风险。（出处：1、信息安安全风险评评估规范3）基本概念风险的计量量人为或自然然的威胁利利用信息系系统及其管管理体系中中存在的脆脆弱性导致致安全事件件的发生及及其对组织织造成的影影响。风险值=R(A,T,V)=R(安全事件可可能性,安安全事件造造成的损失失)A——资产T——威胁V——脆弱性安全事件的的可能性=L（T，V）=L（威胁出现频频率，脆弱弱性）安全事件造造成的损失失=F（Ia，，Va）=（资产价值，，脆弱性严严重程度））风险计量原原理图威胁识别脆弱性识别别资产识别脆弱性的严严重程度威胁出现的的频率资产价价值安全事事件造造成的的损失失安全事事件的的可能能性风险值值信息科科技风风险要要素关关系图图信息科科技风风险监监管目目标如何判判断信信息科科技风风险程程度是是否在在可接接受范范围？？计量当当前信信息科科技风风险程程度计量最最低信信息科科技风风险程程度依据：：国家规规范银监会会制度度法规规行业标标准自身接接受程程度（（投入入成本本<=损失失成本本）比较当当前信信息科科技风风险程程度和和最低低信息息科技技风险险程度度基本概概念风险评评估资产识识别威胁识识别脆弱性性识别别已有安安全措措施确确认人员病毒病情预防措措施信息安安全风风险评评估人员健健康查查体检检风险管管理实实施流流程图图风险评评估准准备威胁识识别资产识识别脆弱性性识别别已有安安全措措施的的确认认风险计计算风险是是否接接受制定风风险处处理计计划并评估估残余余风险险是否接接受残残余风风险实施风风险管管理保持已已有的的安全全措施施评估过过程文文档评估过过程文文档评估过过程文文档是否风险评评估文文档记记录风险分分析否……信息科科技风风险管管理/监管管手段段银行机机构治理层层面明确董董事会会职责责、成成立信信息科科技风风险管管理委委员会会建立科科技风风险三三道防防线（（科技技、风风险、、审计计部门门）制定全全行信信息科科技风风险管管理战战略规规划管理层层面科技部部门风险部部门审计部部门具体手手段信息科科技风风险管管理/监管管手段段银行机机构保护系系统连连续性性和安安全性性的具具体手手段：：基础设设施建建设（（机房房、网网络、、主机机）灾备中中心双机热热备双运营营上线线路信息安安全防防护体体系防火墙墙、IPS桌面管管理系系统日常系系统运运行监监控项目开开发、、外包包过程程管理理应急管管理（（应急急预案案、应应急保保障、、应急急演练练）信息科科技风风险管管理/监管管手段段监管部部门制度标标准制制定非现场场监管管和现现场检检查准入审审核及及机构构评级级荷兰央央行：：银行行执照照、人人员任任免、、计提提资本本、罚罚款组织协协调、、促进进资源源共享享三、主要监监管制制度介介绍主要监监管制制度介介绍银监会会拟发发布制制度《银监监会行行政许许可事事项中中信息息科技技核准准条件件的补补充规规定》》和《《银行行业金金融机机构重重要信信息系系统投投产及及变更更管理理办法法》《商业业银行行首席席信息息官管管理办办法》》1、《商业银银行信信息科科技风风险管管理指指引》信息科科技风风险管管理信息科科技治治理信息科科技审审计业务持持续性性管理理信息安安全管管理信息科科技运运行项目开开发、、测试外包管管理主要概概念：：信息科科技风风险是指信信息科科技在在商业业银行行运用用过程程中，，由于于自然因因素、、人为为因素素、技技术漏漏洞和和管理理缺陷陷产生的的操作作、法法律和和声誉誉风险险。——《《商业银银行信信息科科技风风险管管理指指引》第四条条信息科科技风风险与与操作作风险险的关关系——莆田网网银案案件信息科科技风风险管管理的的目标标是通过过建立立有效效的机机制，，实现现对商商业银银行信信息科科技风风险的的识别、、计量量、监监测和和控制制，促进进银行行安全全、持持续、、稳健健运行行，推推动业业务创创新，，提高高信息息技术术使用用水平平，增增强核核心竞竞争力力和可可持续续发展展能力力。——《《商业银银行信信息科科技风风险管管理指指引》第五条三道防线线信息科技技风险管管理的关关键是要要建立三三道防线线，第一一道防线线是指信信息科技技管理，，需要全全员参与与，主要要职责落落在科技部门门，第二道道防线是是风险管管理，即即从风险险的角度度如何防防范，职职责落在在风险部门门，第三道道防线是是审计监监督，即即内审和和外审，，职责落落在审计部门门，三道防防线相互互作用，，形成立立体防护护网。1、《商业银行行信息科科技风险险管理指指引》要点：信息科技技治理明确商业业银行董董事会职职责要求设立立首席信信息官，，明确了了首席信信息官职职责明确三道道防线要要求：明明确信息息科技管管理、信信息科技技风险管管理、信信息科技技审计的的责任部部门和职职责内容容风险管理理部门职职责：将科技风风险纳入入总体风风险管理理体系负责制定定信息科科技风险险管理策策略负责持续续开展信信息科技技风险识识别、监监测、计计量、评评估根据风险险评估结结果制定定风险防防范措施施审计部门门职责：：组织开展展内部和和外部审审计要求配备备具有专专业能力力的信息息科技审审计人员员独立开开展审计计至少每三三年开展展一次全全面审计计1、《商业银行行信息科科技风险险管理指指引》要点：业务连续续性管理理制定业务务连续性性规划，，确保在在出现无无法预见见的中断断时，系系统仍能能持续运运行并提提供服务务。业务影响响分析：：人员、、系统或或其他资资产的故故障或缺缺失，信信息丢失失、战争争、台风风、地震震采取双机机热备、、制定应应急计划划、购买买商业保保险1、《商业银行行信息科科技风险险管理指指引》要点：项目开发发、测试试管理开发环境境和生产产环境物物理隔离离禁止开发发和维护护人员随随意进入入生产系系统组织开展展系统上上线后评评价外包管理理重要外包包报告外包风险险评估服务水平平协议安全保密密要求（（包含敏敏感客户户信息））应急措施施1、《商业银行行信息科科技风险险管理指指引》要点：系统运行行管理制定详细细的运行行操作说说明系统运行行监控容量规划划变更管理理事件管理理信息安全全管理安全策略略（物理理安全、人员安全全、访问问控制、、数据加加密等））活动日志志保存（（交易日日志、系系统日志志）1、《商业银行行信息科科技风险险管理指指引》2、《银行业重重要信息息系统突突发事件件应急管管理规范范（试行行）》作用：规范并促促进了银银行业金金融机构构做好重重要信息息系统突突发事件件应急管管理，提提高对突突发事件件的综合合管理能能力和应应急处置置能力。。主要概念念重要信息息系统：：指支撑撑银行业业金融机机构关键键业务，，其信息息安全和和系统服服务安全全关系公公民、法法人和组组织权益益或社会会秩序和和公共利利益，甚甚至影响响国家安安全的信信息系统统要点：明确定义义了董事事会及高高管层、、风险管管理部门门、信息息科技管管理部门门和业务务管理部部门在突突发事件件中的职职责要求求，明确确了应急急领导小小组、应应急执行行小组、、应急保保障小组组的职责责分工对突发事事件进行行分级定定义，将将突发事事件按照照影响范范围和持持续时间间分为特特别重大大突发事事件（两两个以上上省业务务中断超超过3小小时或一一个省超超过6小小时）、重大突发发事件（（两个以以上省业业务中断断半小时时或一个个省超3小时））、交大突发发事件（（一个省省业务中中断超半半小时）三个级别别2、《银行业重重要信息息系统突突发事件件应急管管理规范范（试行行）》要点：要求银行行机构建建立信息息科技风风险防范范体系，，制定信信息系统统RTO（（最短恢复复时间目目标）、、RPO（（最近恢复复点目标标）指标标2、《银行业重重要信息息系统突突发事件件应急管管理规范范（试行行）》正常处理理初始响应应激活恢复流程程积压业务务正常处理理最近备份份备份备份恢复结束束目标恢复复点事件在成功恢恢复之前前，数据可能能会遗失失、损坏、或或无法获获取目标恢复复阶段（（RTO））处理间隙隙：位于于损坏点与恢恢复正常常处理之间的滞滞后时间间段灾难声明明2、《银行业重重要信息息系统突突发事件件应急管管理规范范（试行行）》要点：对信息科科技风险险识别、、评估、、监测、、预警的的各个环环节提出出了具体体要求对银行机机构制定定应急预预案、开开展应急急演练、、应急响响应及报报告机制制、日常常应急保保障等应应急管理理内容提提出了具具体要求求。重要突发发事件发发生后60分钟钟内将情情况报监监管部门门、12小时内内提交正正式报告告、一级级事件每每两小时时报告进进展3、《银行业重重要信息息系统投投产与变变更管理理办法》概念重要信息息系统：：指支撑撑银行业业金融机机构关键键业务，，其信息息安全和和系统服服务安全全关系公公民、法法人和组组织权益益或社会会秩序和和公共利利益，甚甚至影响响国家安安全的信信息系统统投产和变变更内容容：支撑重要要信息系系统运行行的机房房、网络络设施投投产、机机房场地地迁移、、网络及及核心业业务系统统应用架架构变更更、核心心业务系系统版本本变更等等。要点加强和规规范银行行机构信信息系统统投产和和变更管管理，避避免系统统投产或或变更过过程造成成业务中中断或数数据丢失失情况重要信息息系统投投产前至至少20个工作作日、变变更前至至少10个工作作日向监监管部门门报告，，实施后后1个月内提提交投产产或变更更情况报报告4、《商业银行行数据中中心监管管指引》概念数据中心心：生产产中心和和灾备中中心灾备中心心：商业业银行为为保障业业务连续续性，在在生产中中心故障障、听短短或瘫痪痪后，能能够接替替生产中中心运行行，具备备专用场场所、进进行数据据处理和和支持重重要业务务持续运运行的组组织。同城灾备备中心：：同一地地理区域域，一般般距离数数十公里里，可防防火灾、、建筑物物破坏、、电力或或通信中中断异地灾备备中心：：不同地地理区域域、距离离数百公公里以上上，不会会同是面面临地震震、台风风、洪水水等同类类灾难风风险。要求：总资产1千亿元元人民币币且跨省省经营的的法人银银行及省省级农信信社要建建立异地地灾备中中心，灾灾难恢复复等级达达到5级级以上，，其他法法人银行行应设立立同城灾灾备中心心并实现现数据异异地备份份，灾难难恢复等等级达到到4级以以上。正式运营营前至少少20个个工作日日向监管管部门报报告，变变更数据据中心场场所要提提前2月月报告对数据中中心选址址、基本本配置提提出明确确要求灾难难恢恢复复等等级级达达到到5级级灾难难恢恢复复等等级级达达到到5级级：：数数据据实实施施备备份份，，4级级：：数数据据定定期期备备份份4、《商业业银银行行数数据据中中心心监监管管指指引引》灾难难恢恢复复等等级级达达到到4级级：：电电子子传传输输及及完完整整设设备备支支持持，，数数据据定定期期备备份份灾难难恢恢复复等等级级达达到到5级级：：实实时时数数据据传传输输及及完完整整设设备备支支持持，，数数据据实实施施备备份份灾难难恢恢复复等等级级达达到到5级级：：数数据据零零丢丢失失和和远远程程集集群群支支持持。。5、《银行行业业金金融融机机构构信信息息系系统统安安全全保保障障问问责责方方案案》要点点要求求法法人人银银行行机机构构签签署署信信息息系系统统安安全全保保障障责责任任书书，，明明确确高高管管人人员员对对信信息息系系统统安安全全保保障障的的管管理理责责任任对管管理理失失职职造造成成不不良良后后果果的的，，追追究究责责任任6、《银行行业业金金融融机机构构信信息息科科技技非非现现场场监监管管报报表表》要点点：：明确确信信息息科科技技风风险险部部门门为为报报送送责责任任部部门门包括括1份份年年度度报报告告、、14张张年年度度报报表表、、6张张季季度度报报表表、、7张张实实时时报报表表7、《商业业银银行行信信息息科科技技风风险险现现场场检检查查指指南南》要点点明确确了了商商业业银银行行目目前前主主要要的的信信息息科科技技风风险险领领域域、、主主要要风风险险点点，，阐阐明明了了检检查查思思路路和和主主要要方方法法，，帮帮助助检检查查人人员员明明确确检检查查目目标标，，从从而而提提高高信信息息科科技技风风险险现现场场检检查查的的有有效效性性和和针针对对性性，，提提升升现现场场检检查查质质量量。。提供供评评价价银银行行信信息息科科技技风风险险管管理理各各领领域域状状况况的的参参考考标标准准，，并并提提出出了了具具体体的的检检查查要要求求和和步步骤骤，，进进一一步步规规范范了了信信息息科科技技风风险险现现场场检检查查的的程程序序、、手手段段和和行行为为，，是是银银监监会会及及各各级级派派出出机机构构实实施施现现场场检检查查工工作作的的一一个个重重要要参参考考依依据据和和检检查查指指导导工工具具。。指明明商商业业银银行行信信息息科科技技风风险险防防控控的的重重点点领领域域、、方方向向和和关关键键风风险险点点，，提提出出了了风风险险识识别别、、预预警警和和控控制制的的具具体体手手段段，，商商业业银银行行可可以以充充分分借借鉴鉴《《指指南南》》内内的的信信息息科科技技风风险险防防控控原原则则和和指指导导思思想想，，应应用用到到银银行行信信息息科科技技建建设设和和管管理理实实践践中中，，成成为为指指导导银银行行全全面面开开展展科科技技风风险险防防控控、、提提升升管管理理能能力力的的有有力力武武器器。。四、、信息息科科技技风风险险监监管管架架构构信息息科科技技风风险险监监管管体体系系信息息科科技技风风险险监管管年年度度计计划划数据据采采集集与审审核核信息息科科技技风风险险分析析与与评评估估信息息科科技技风风险险现场场检检查查信息息科科技技风险险监监测测风险险提提示示、、预警警及应应急急处处理理年度度信信息息科科技技监管管评评级级年度度信信息息科科技技监管管报报告告体系系概概述述—总体体框框架架固有有风风险险-控制制有有效效性性=剩余余风风险险固有有风风险险指指标标控制制有有效效性性指指标标信息息科科技技综综合合风风险险水水平平信息息科科技技风风险险评评估估指指标标固有有风风险险水水平平控制制有有效效性性风险险评评估估流流程程方方法法体系系概概述述—剩余余风风险险综综合合分分析析矩矩阵阵剩余风险控制有效性强中强中弱弱固有风险高三级四级五级六级中高二级三级四级五级中低一级二级三级四级低一级一级二级三级体系系概概述述—基础础定定义义《体系系》基础础定定义义：：【固有有风风险险】是指指在在不不考考虑虑内内部部控控制制结结构构的的前前提提下下，，由由于于内内部部因因素素和和客客观观环环境境的的影影响响，，经经营营运运作作可可能能发发生生重重大大错错误误的的风风险险。。【信息息科科技技固固有有风风险险】是固固有有风风险险的的重重要要组组成成部部分分，，特特指指机机构构在在运运用用信信息息技技术术的的运运用用过过程程中中所所面面对对的的固固有有风风险险。。信信息息科科技技固固有有风风险险可可以以通通过过获获取取相相关关信信息息进进行行衡衡量量和和评评价价，，其其识识别别与与评评估估是是一一个个全全面面信信息息收收集集与与综综合合分分析析研研判判的的过过程程。。【控制有有效性性】是指机机构所所采用用的信信息科科技风风险控控制措措施的的设计计与执执行效效果满满足监监管机机构和和信息息科技技风险险管理理要求求的程程度。。【风险评评估】是通过过对信信息科科技风风险种种类、、风险险程度度和风风险发发展趋趋势进进行识识别分分析，，对信信息科科技的的风险险状况况、风风险管管理的的充分分性以以及外外部风风险因因素的的影响响做出出判断断，并并在此此基础础上对对机构构的整整体风风险水水平做做出评评估。。体系概概述—数据关关系风险评评估指指标非现场场监管管报表表其他监管干预现场检检查结结果风险评估监管评评级现场检检查结果结果结果指标体体系—固有风风险指指标重要信息系系统数据中中心运运行与灾备信息科科技项项目信息科科技服务外外包系统恢恢复及及数据保保护监管关关注度度信息科科技固有风风险指指标固有风险子领域指标体体系—固有风风险指指标重要信息系统子领域风险成因重要信息系系统核心业业务系系统替替换后后影响响未消消除，，导致致业务务无法法正常常运行行。重要信信息系系统重重大变变动影影响业业务正正常运运行。。重要信信息系系统复复杂程程度高高，存存在安安全性性和完完整性性问题题。关键信信息系系统缺缺乏稳稳定性性以致致影响响业务务正常常运行行。指标体体系—固有风风险指指标数据中心运行与灾备子领域风险成因数据中中心运运行与灾备数据中中心的的重大大变动动对信信息科科技正正常运运行产产生不不利影影响。。数据中中心与与灾备备中心心（场场所））地理理位置置分布布对机机构应应对灾灾难产产生不不利影影响。。公共基基础设设施（（电力力、电电信、、交通通、机机房建建筑等等）服服务中中断、、异常常，对对机构构业务务持续续运行行产生生不利利影响响。指标体体系—固有风风险指指标系统恢复及数据保护子领域风险成因系统恢恢复及及数据保保护除负责责本机机构系系统恢恢复外外，机机构还还提供供对外外部机机构共共享本本机构构系统统恢复复设施施的服服务。。本机机构系系统恢恢复设设施的的失效效可能能影响响对方方的系系统恢恢复，，增加加本机机构在在经济济责任任、法法律及及声誉誉等方方面的的风险险。本机构构系统统恢复复依赖赖于外外部机机构的的恢复复设施施，外外部机机构系系统恢恢复设设施的的失效效可能能影响响本机机构的的系统统恢复复。仍在使使用已已过时时或缺缺乏厂厂商技技术支支持的的系统统恢复复设施施或技技术。。生产数数据脱脱离生生产环环境进进入办办公环环境或或互联联网环环境。。例如如，基基于数数据仓仓库技技术的的商业业智能能系统统的运运用。。其数数据基基础源源自生生产数数据。。外部机机构拥拥有或或分享享本机机构生生产数数据的的控制制权，，例如如：监监管要要求、、审计计需要要、外外包等等。指标体体系—固有风风险指指标信息科技项目子领域风险成因信息科科技项项目项目变变动不不可避避免，，若变变动频频繁、、随意意性大大，可可能导导致项项目目目标无无法按按要求求实现现。项目规规模及及复杂杂度难难以驾驾驭。。项目资资源不不足使使项目目难以以按时时、按按质完完成，，进而而影响响业务务目标标的实实现。。指标体体系—固有风风险指指标信息科技服务外包子领域风险成因信息科科技服服务外外包外包人人员变变动导导致外外包服服务持持续性性受影影响，，导致致服务务质量量下降降、进进度拖拖延等等可能能性。。过度依依赖外外包商商，导导致出出现“太依赖赖而不不能替替换的的外包包商”。外包商商完全全位于于境外外或。。外包包商性性质及及提供供服务务的形形式对对机构构的可可能影影响。。如：：境外外外包包商，，外包包商采采用非非授权权工具具提供供服务务，外外包商商常驻驻机构构与其其内部部员工工共同同进行行现场场作业业等。。指标体体系—固有风风险指指标监管关注度子领域风险成因监管关关注度度规模（（资产规规模、、网点点规模模、电电子银银行用用户））。信息科科技支支持能能力应应与机机构规规模相相适应应，并并在一一定时时期内内能够够持续续满足足对网网点规规模增增长的的需求求）业务量量。业务量量是机机构信信息系系统所所承载载交易易压力力的直直接体体现。。信息科科技风风险历历史记记录。。重点点关注注以往往重大大信息息系统统突发发事件件情况况、信信息科科技人人员涉涉案情情况等等。指标体体系—控制有有效性性指标标信息科科技治治理控制有有效性性指标控制有效性子领域信息科科技风风险管管理信息系系统开开发、、测试试与维维护信息科科技审审计灾难恢恢复与与应急急管理理信息科科技外外包信息安安全（（一般般控制制）信息科科技运运行指标体体系—控制有有效性性指标标信息科技治理子领域关键要素信息科科技治治理是否具具有信信息科科技治治理领领导力力？（（或信信息科科技在在高管管层中中的地地位如如何））？信息科科技战战略能能否有有效支支持业业务目目标？？信息科科技未未得到到足够够的财财务支支持？？信息科科技治治理职职能与与责任任划分分是否否明确确、合合理？？信息科科技治治理执执行力力如何何？信息科科技治治理是是否与与企业业治理理兼容容？指标体体系—控制有有效性性指标标信息科技风险管理子领域关键要素信息科科技风风险管管理风险容容忍度度？风险管管理流流程是是否完完整？？（应应包括括：识识别风风险、、评估估风险险、控控制风风险、、监测测风险险、预预警风风险））风险管管理是是否有有效运运作？？主要要体现现在风风险根根源分分析机机制持持续运运作？？信息科科技风风险管管理与与业务务风险险管理理的关关系是是否理理顺？？风险控控制措措施是是否有有效覆覆盖被被识别别的风风险点点？是否有有足够够的专专业人人才开开展风风险管管理工工作？？风险意识持持续培养？？指标体系—控制有效性性指标信息科技审计子领域关键要素信息科技审审计信息科技审审计部门及及人员的独独立性如何何？信息科技审审计部门与与人员是否否合理授权？信息科技审审计人员的的专业性如如何？审计发现整整改率？审计分支机机构覆盖率率？是否建立信信息系统的的应用控制制及审计方方法？指标体系—控制有效性性指标信息系统开发、测试与维护子领域关键要素信息系统开开发、测试与维护护有无项目管管理组织统统一安排、、协调各类类项目？如何保障项项目质量？？有无项目财财务管理和和监督？开发、测试试环境的管管理？项目的设计计阶段是否否充分考虑虑了信息安安全、保密密、灾难恢恢复等需求求？项目结束后后是否进行行业务价值值评价和审审计？指标体系—控制有效性性指标信息科技运行子领域关键要素信息科技运运行运行操作岗岗位设置是是否合理？？事件管理如如何？问题管理如如何？可用性管理理如何？容量管理如如何？变更与维护护管理如何何？运行过程监监控如何？？指标体系—控制有效性性指标灾难恢复与应急管理子领域关键要素灾难恢复与与应急管理理灾难恢复计计划或应急急预案的演演练与更新新情况？重要信息系系统灾难恢恢复计划覆覆盖率？重要信息系系统应急预预案覆盖率率？指标体系—控制有效性性指标外包子领域关键要素外包有无外包商商资质、服服务水平的的考核指标标？如何选择正正确的外包包服务商？？如何防止外外包人员接接触生产数数据或敏感感信息？外包合同是是否经法规规或审计部部门审核？？有无可迅速速替换的外外包商？指标体系—控制有效性性指标信息安全管理子领域关键要素信息安全管管理信息资产普普查与分级级？跨部门协调调的信息安安全执行组组织？物理安全？？物理访问控控制？逻辑访问控控制？版本管理？？配置管理？？日志管理？？网络管理？？数据安全？？评估指标定量指标74个固有风险：：23个监管关注度度：9个控制有效性性：42个定性指标90个固有风险：：10个(手工2个)控制有效性性：80个(手工8个)固有风险：：33个监管关注度度：9个控制有效性性：122个指标合计164个基本思想自动化自动抽得指指标结果、、自动评分分、自动汇汇总、自动动分级灵活性标准化审核标准规规范化、评评分规则标标准化、参参数标准化化得分可调整整、结果可可调整、参参数调节因因子评估流程综合风险水平非现场监管管报表监管人员评判调整指标得分系统自动生成指标得分监管关注度调节因子固有风险分级结果控制有效性分级结果生成后续监管工作参数值监管关注度调节因子固有风险分级结果控制有效性分级结果抽取评估打分表表示例指标分值及及意义固有风险5分制，分值值越高，固固有风险越越高控制有效性性监管关注度度5分制，分值值越高，关关注度越高高5分制，分值值越高，控控制有效性性越强参数表参数值参数值=行业基准值值×参数调节因子行业基准值值：行业平平均值或手手工设定的的经验值参数调节因因子：用于于调整行业业基准值的的因子，可可根据评估估结果进行行手动调节节行业平均值值1.全行业2.按资产规模模分三类：：大、中、、小，划分分标准可调调整3.按机构类型型分七类：：政策性银银行、国有有商业银行行及邮政储蓄银银行、股份制商商业银行、、城市商业业银行及城城市信用社社、省联社社及农村商商业银行、、农村合作作银行及农村信用社、外外资法人商商业银行参数值行业平均值值参数值行业平均值值