浅析信息科技合规管理

浅析信息科技合规管理演示文稿当前1页，总共25页。优选浅析信息科技合规管理当前2页，总共25页。四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容当前3页，总共25页。合规是现代商业银行经营与管理的底线，同时又是监管当局维护金融稳定的必然要求，也是银行提升自身核心竞争力的内在需求。以“治顽疾、树新风、促合规”为主题，遵循“查找问题、分析问题、整改问题”的客观规律，通过开展合规学习、合规讨论等专项活动，促进全行员工依法合规经营。我行活动目标：努力实现“切实解决重点问题、建设良好合规文化、促进旺季各项业务高质量发展、建立合规长效机制”。当前4页，总共25页。四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容当前5页，总共25页。信息科技风险分类业务中断风险数据安全风险IT外包风险系统漏洞风险电子银行风险当前6页，总共25页。1业务中断风险：保障业务连续性是商业银行信息科技安全工作中最重要的组成部分。一旦产生软硬件故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的中断。2数据安全风险包括两方面的含义。一是数据窃取，即数据在存储介质中或在传输过程中遭到窃取甚至恶意篡改，由于权限控制不严导致无关人员接触到核心数据并导致机密数据外泄等。二是数据丢失，即由于自然灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中部分或全部数据丢失。3系统漏洞风险是指银行应用系统的设计者由于对业务流程不熟悉，对风险点未能全盘考虑，导致系统存在缺陷进而被发现并利用。一般说来，系统漏洞风险在设计之初难以发现，随着系统的推广及运行，风险才逐步暴露出来，因此系统漏洞风险最能体现风险的潜伏性。当前7页，总共25页。45电子银行风险主要指的是电子支付安全问题，包括利用信用卡和ATM进行诈骗，或者利用钓鱼网站、木马程序盗取客户的账号和密码等一系列的犯罪行为。由于利用电子银行的诈骗案件的侦破较为困难，所造成的损失很多都无法挽回。案件的背后，固然有客户防范意识薄弱、甄别能力不强的原因，但也有银行电子银行系统安全保障措施不完善、安全宣传不到位等原因，这有可能会引发银行的法律风险和声誉风险，给银行造成损失。IT外包风险首先在于服务商能否长期稳定地为银行提供高质量服务，对于信息系统故障能否及时响应并修复，以保障银行业务的连续性。其次，外包服务商在和银行密切往来过程中会获取一些银行的内部机密信息，给银行带来商业秘密泄露的风险。再次，银行对于外包服务商的过度依赖性也是一种风险，将导致银行在合同谈判中处于不利地位，同时也会造成银行自身员工IT服务水平和创新能力受到限制。此外，外包公司人员长期和银行来往甚至常驻银行，但对银行规章制度的理解与执行上和银行员工相比存在一定差距，也可能会带来风险隐患等。当前8页，总共25页。通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力.制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。

商业银行应制定全面的信息科技风险管理策略信息科技风险管理目标当前9页，总共25页。系统开发、测试和维护业务连续性与应急处置信息分级与保护访问控制物理安全人员安全信息科技风险管理策略包括但不限于下述领域当前10页，总共25页。四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容当前11页，总共25页。某行海南分行供电中断导致停业7.5小时2006年银联跨行交易全面中断8小时某银行核心系统数据库故障全国中断营业4小时某银行供电中断核心系统、网银、卡系统等80多个应用系统中断服务2010200820062011商业银行业务连续性风险形势当前12页，总共25页。典型案例介绍当前13页，总共25页。案例一、某银行核心系统数据库故障业务中断案例某银行核心系统长期以来一直依靠外包服务商进行开发。现正在使用的系统设计时最大日均处理能力为80万笔，但随着业务的发展，现日均处理能力要求达到210万笔，导致该行系统处理能力与系统负载之间缺口极大。而外包服务商已不再对该核心系统提供升级服务，并且该行自2009年起，没有购买维保服务。2010年，终于由于数据库“长事务”引发逻辑故障，导致业务中断。而由于该行的技术人员不掌握该系统的核心技术，加之对外包服务商缺乏有效的管理，导致系统维修不及时，致使业务中断时间长达4小时20分钟，在全国引发了极大的声誉风险。当前14页，总共25页。案例二、XX银行数据中心设备掉电业务中断案例2011年9月21日0点30分，某银行数据中心的物业公司电工误操作，导致该行一个机房内所有设备掉电，包括核心系统、网银、卡系统等80多个应用系统中断服务。事发后，银监会对该行及其外包服务机构进行了现场核查。事件背景与情况该行所在集团统筹集团内科技资源配置和信息化建设，指派一家专业化、独立核算子公司统一承担集团各子公司的信息化建设和咨询、机房与系统运维服务，并建立了集团集中的数据中心。该行的信息系统开发、基础平台（网络、硬件设备及操作系统、数据库等）运维服务、机房基础设施运维服务（包括生产及灾备机房）均外包给此公司，该公司又将机房电力维护服务转包给了物业公司。当前15页，总共25页。案例二、XX银行数据中心设备掉电业务中断案例（续）9月20日23点50分，根据供电局线路检修要求，集团数据中心的物业公司对高压线路进行例行切换操作。切换后高压开关异常跳闸断电，柴油发电机组自动启动为机房供电。值班巡检的物业电工误认为柴油发电机组异常，关闭了柴油发电机组供电，导致机房外部供电中断，UPS放电为机房供电。数据中心机房值班人员21日凌晨0点10分发现UPS放电报警，随后通知UPS厂商到现场支持，但未与物业电工沟通，至0点30分UPS电池电量全部耗尽，包括该行主要业务系统在内的数据中心机房电力中断，所有设备掉电。物业电工最终于O点35分发现高压电闸开关跳闸，闭合电闸后机房市电供应恢复。但一台保存了五十多个系统数据的存储设备（HPXP2400）在启动后出现异常，至7点问题仍未解决，随后该行启用异地灾备系统，至12点直接面向客户的关键业务系统均能正常对外提供服务，其他如信贷等管理系统至当日下午18点45分恢复。当前16页，总共25页。案例三、工行内部通报6.23系统故障2013年6月23日上午，全国多地中国工商银行柜台、ATM、网银业务出现故障，持续近1个小时。工行内部通报6.23系统故障系IBM软件缺陷惹祸，作为服务2.92亿个人客户及400多万公司客户的全国金融服务巨头，工行此次故障波及北京、上海、广州、武汉、哈尔滨等多个大中型城市。当日，工行将该事故对外模糊描述为：“中国工商银行部分地区因计算机系统升级原因造成柜面和电子渠道业务办理缓慢。”这也是迄今为止工行就6·23事件向用户发布的唯一公开解释。当前17页，总共25页。四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容当前18页，总共25页。132

网络应用安全存在的问题：生产网设备违规接入互联网；网络边界无安全设备。解决措施：绑定所有接入的设备，在网络边界部署NIDS或NIPS等安全设备。密码管理安全存在的问题：登陆未退出就离开操作现场；密码设定简单；未能定期更换密码；保密意识不强解决措施：完善密码管理制度，加强培训，增强密码安全管理的意识，对发现的问题严肃追究责任。数据安全存在的问题：数据使用周期无法控制；使用单位对敏感信息要求太全面；存储设备未无法做消磁处理。解决措施：通过技术手段控制数据的使用和销毁，加强数据安全保密的培训，制定对敏感信息传输、使用、销毁的技术控制手段。当前19页，总共25页。465机房安全存在的问题：缺乏基础设施运维人员（配电、UPS、精密空调），无入侵检测设备解决措施：组织科技部人员学习相关基础知识，培训基本技能，做好基本的操作和问题判断；系统安全存在的问题：关键岗位难以做到彻底权限制约；基础运维人员缺乏，均为兼职，存在风险隐患。解决措施：加强部门的系统安全管理和意识教育，建议分行对信息科技工作进行审计。风险管理制度建设存在的问题：相关制度及应急预案不健全。解决措施：完善相关制度和应急预案，按要求进行各项演练。当前20页，总共25页。四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容当前21页，总共25页。1.建立完善的信息科技风险管理制度

制度是安全生产的生命线，要有效防控信息科技风险，首要的是建立完善的信息科技安全管理制度，以制度约束人的行为，以制度明确人的责任，以制度指导人的思想。商业银行必须高度重视信息科技安全管理制度的建立与完善，以安全生产为主线，深入分析信息系统风险点，有的放矢，从快、从严建立内部管理制度。同时还应积极跟踪信息系统运行状况，及时发现新问题、新风险点，并及时完善制度，从源头上尽可能地降低风险事件发生的可能性。对整个信息科技风险的防控工作全盘把握，其责任覆盖商业银行自上而下的信息科技风险管理体系。

当前22页，总共25页。2.构建全面的信息科技风险监测和保障体系

通过完善的质量控制和测试体系，对信息系统的开发进行严格的风险论证和风险测试，是控制信息系统风险的首要工作。商业银行应该系统开发与系统运行并重，在做好系统开发、测试工作的同时，构建全面的信息科技风险监测和保障体系，给信息系统建立一道抵御风险的有力屏障。一方面，商业银行应该对信息系统的运行状况进行全程监控，主干网络是否通畅、自助设备是否正常运行、数据库系统是否正常服务、是否有网络遭受外部非法入侵等都必须纳入实时监控范围，以保障在发生故障的第一时间作出响应。另一方面，商业银行必须未雨绸缪，制定应急预案，做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作，并加强灾备演练，以保障在突如其来的灾难性事故面前，能从容应对，迅速恢复生产，尽可能降低事故造成的损失。当前23页，总共25页。3.积极推进信息科技队伍建设，提高IT服务水平

商业银行要树立“以人为本”的科学管理理念，注重培养员工风险防范意识和风险防范能力，提高员工的信息科技水平。首先，商业银行要建立与信息科技工作岗位相适应、与业务发展程度紧密联系的培训制度，同时还应鼓励员工积极参与国家认可的考试认证,以提高信息科技工作者的业务水平和对各项信息科技风险的认知深度,从而也能提升整个商业银行的IT服务档次。其次，要对人员采取适当的激励措施，建立与经济发展相协调、与银行业金融机构工资水平相适应、与工作业绩挂钩的工资决定机制，以吸引人才、使用人才，尽可能地调动人才的主观能动性，充分发挥其聪明才智。有了相当的人才储备，从长远来说，不仅仅是对于商业银行的信息科技风险防范水平的提升，整个商业银行的服务水平都将得到质的提高。当前24页，总共25页。4.鼓励信息科技风险防范技术创新性研究