版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
中国银监会信息科技风险评价审计培训–技术风险管理案例研究目标介绍如何在信息科技风险监管中,将科技风险管理知识应用于实践在个案内办认出有关科技风险管控的问题,并提供适合的解决方案厘清有关科技风险管理的疑问案例分析ABCBank-
背景信息一家内地注册的银行,总行位于北京,全国拥有160家分行;总资产:15亿元人民币员工总数:3,000人
(信息科技部门员工60人)截至2005年12月,信息科技部门总支出占全行支出
的8%;提供各类银行和金融服务:
零售银行(包括:存款、银行卡、住房按揭贷款、证券买卖等)商业和投资银行业务(包括:贸易金融、现金管理、信托服务等)与IT有关的委员会机构信息科技安全评估委员会(ITSecurityReviewCommittee)负责评估和监测信息安全措施、标准、规程的制定、实施和管理;自动化委员会(AutomationCommittee)负责管理银行办公场所的办公自动化工作;特别筹备建立项目管理委员会(ProjectSteeringCommittees)负责信息科技项目的管理和监督;但是:没有设立信息科技督导委员会(ITSteeringCommittee)负责总体管理银行的各项信息科技战略和政策;没有设立科技风险管理部门没有正式成文的信息科技内部控制政策和制度信息科技部门设置信息安全监督员系統开发经理信息科技部主任系统操作经理技术支援经理系统编程数据輸入系统操作监督员/操作员应用程式开发
档案管理
职位
岗位职责
系统操作经理 -数据中心操作运行(包括:信息处理和数据输入)系统开发经理 -应用系统开发及修改技术支援经理
-计算机网络,设备监测,维护升级信息安全监督员 -数据和网络安全,监测和评估信息系统三种主要系统:大型机主机系统–主要银行系统小型机AS/400系统
–信用卡业务系统Windows操作平台(98SE,NT,2000,XP)办公电脑–办公自动化应用(如:文字处理、电子表格等)面谈资料及结果信息科技部主任“所有的信息科技有关规定和流程都已经建立,信息科技部人员都能够有效地执行规定。信息科技部人员经验丰富,专业背景强,能够充分满足需求部门的要求。”
但是:发现其它部门总是抱怨,信息科技部更改银行系统增加新功能需要花费很长时间(至少5—6月)。人力资源部门负责人也发现信息科技部人员的流动率高于其他部门,存在许多职位空缺(当时达到20个).评估结果(续)系统操作经理“进出数据中心受到严格管理,只有系统操作部门和开发部门的员工具有进出数据中心的权限;进出数据中心必须使用出入卡.数据中心安装有监控摄像设备用于监测”
但是,检查人员发现:数据中心的出入许可名单上仍包括一名6个月前已辞职的系统操作员的名字;没有启动监控摄像设备以及物理访问系统的登录、记录功能。评估结果(续)系统操作监督员“对大多数重要的系統操作制定有操作规程;在实施补丁和变更之前对重要的系统设置进行备份。所有的计算机操作人员都知道如何处理变更事项,所以详细的备份和变更管理规程是不需要的;每日都对关键系统制有备份磁带。因为备份磁带由第三方快递公司负责从数据中心到备份地的安全运送,因此不需要对备份磁带中的数据进行加密;根据数据中心操作手册的规定,对主要系统的容量评估每月均进行一次,中心的员工是富有经验的信息科技专业人员,因此不需要再制定正式的评估指引;评估结果(续)系統开发经理“我们的工作组是负责采购、开发以及修改銀行的系统。我们严格按照规范的“系统开发流程”开发系统。正因如此,我们觉得不需要针对这个流程制定任何正式的书面文件。对于变更控制有一个非常简略的书面规程,但其中没有必要包括紧急变更的操作规程,因为这种变更极少会发生。为了加快系统的投产,我们在项目开发过程中,并不会就系统安全的要求征询信息安全监督员。为了保证拥有全方位的测试案例,全部采用生产数据进行新系统的用户接受性(Useracceptance)测试”。评估结果(续)技术支援经理“我的工作组负责计算机网络、基础设施、系统软件等等。我自己负责在操作系统、系统軟件上(Systemlevel)的保安管理(例如,为信息科技部人员设定系统用户名)。由于我以前是信息安全监督员,所以我现在还负责银行业务人员在银行系统(corebankingsystem)中用户名的保安管理。因为网络的设计完善,网络很稳定,我们不需要定期监控网络功能。由于人员短缺,没有开展对网络设备日常活动审计记录的定期检查。评估结果(续)信息安全监督员信息安全的政策和程序都已制定。
所有用户需要输入用户名和密码来登录银行的系统,密码至少要求3位字符。信息安全的政策明确规定对所有银行保密数据的数据要加密。定期检查银行系统的安全日志
(每月一次).”其它问题在銀行分行,柜员系统上使用了虚拟用户名(DummyuserIDs,即不需要密码登录的用户名
)。
系統操作人员共用一些系統用户名稱进行某些系統操作,例如“文件传输”(filetransfer)等。很多的技术支持人员拥有系统的特权用户户口密码(如“管理员用户户口”)。信息科技人员的培训只根
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《装饰施工图范例》课件
- 2023年水处理剂项目筹资方案
- 危险废物相关法律法规及规范化管理培训 课件
- 机械制图测试题及参考答案
- 东莞市长安实验中学2023-2024学年八年级上学期期末考试数学试卷
- 养老院老人生活娱乐设施管理制度
- 养老院老人健康监测服务质量管理制度
- 投资养殖合同(2篇)
- 2024年版:临时建设设施买卖合同规范
- 2025年阿克苏货运车从业考试题
- 齐白石介绍课件
- 《建设工程施工合同(示范文本)》(GF-2017-0201)
- 网络与信息安全管理员(高级技师)资格理论考试题及答案
- 公共关系服务合同
- 期中(试题)-2024-2025学年人教PEP版(2024)英语三年级上册
- 城市经济学课件:可持续发展理论与循环经济
- 广东省肇庆市2023-2024学年高二上学期期末教学质量检测试题 政治试题 附答案
- 2024年新高考全国Ⅰ卷语文高考真题(答案版)
- 2024年度战略顾问聘用协议范本版
- 街道社区城管工作目标考核细则
- 国开电大专科《Dreamweaver网页设计》2023-2024期末试题及答案(试卷号:2445)
评论
0/150
提交评论