信息科技风险防范讲座PPT课件.ppt

信息科技信息科技风险风险防范防范1.“信息科技风险”，是指信息科技在规划、设计、研发或采购、运行、维护、监控及报废过程中由于人为因素、技术漏洞和管理缺陷产生的操作、法律、金融和声誉等风险。2.信息科技的广泛信息科技的广泛应应用，一方面使商用，一方面使商业银业银行大行大大提升了数据和大提升了数据和业务处业务处理的速度和能力，另一方理的速度和能力，另一方面也面也给银给银行的行的经营经营管理和信息安全管理和信息安全带带来了一系列来了一系列的的风险隐风险隐患和突出患和突出问题问题。3.国内外金融国内外金融领领域近年来爆域近年来爆发发的一系列与信息的一系列与信息科技有关的科技有关的风险风险事件，事件，给给我我们们留下了深刻的教留下了深刻的教训训和启示。和启示。1、2003年年1月，美国月，美国银银行行(Bank of America)13000台台ATM机因病毒瞬机因病毒瞬间间宕机，宕机，该该行客行客户户无法通无法通过过ATM完成存取款交易；完成存取款交易；4.2、2005年12月，日本瑞穗证券公司（Mizuho Securities）误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”，东京股票交易所（Tokyo Stock Exchange）电脑系统对该公司取消下单的指令不能给予回应，随后瑞穗的错单全部成交，引发了投资者抛售股票，使日经指数重挫超过300点，瑞穗证券损失超过400亿日元；5.3、2006 年日本最大的美资银行花旗银行（Citibank Japan）出现交易系统故障，5天内约27.5万笔公用事业缴费遭重复扣划，或交易后未作月结记录,造成该行在日本的重大声誉损失。6.银监会通报5起事件：1、2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近四个小时，所有营业网点无法正常开展业务；2、2007年8月15日，工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，在持续五个半小时之后，系统才逐步恢复正常；7.3、2007年10月18日，建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行，事故持续了两个小时，在证券交易收盘后才恢复正常；4、2007年12月21日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行，虽然启动了应急预案，但仍然中断营业近一个小时；8.5、2008年1月7日，北京银行因主干专线的入户接入设备发生故障，造成在京的117家支行所属网点柜台交易缓慢，业务无法正常进行，故障持续一个多小时之后才得以解决。9.“国际上出现的信息科技事故表明，如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2-3天以上不能恢复，将直接危及其他银行乃至整个金融系统的稳定。”-刘明康主席10.信息科技风险与其他领域的风险相比，具有其自身的特点，主要表现为风险发生时影响较大、风险出现具有不确定性、对风险的估计或防范手段不足。11.金融行业具有金融数据和客户数据高度集中，服务对象构成复杂、分布广泛，所提供服务与个人、企业利益乃至国民经济息息相关等特点。IT服务一旦中断，所带来的危害，仅用企业经济损失来度量远远不够。中国银监会确定把信息科技风险纳入银行总体风险监管框架。12.银银行行业业信息科技管理存在的主要信息科技管理存在的主要风险风险（一）科技软硬件基础设施薄弱。1、核心设备存在单点故障隐患和性能不足问题。2、一些地方法人银行业金融机构尚未实现数据异地实时备份，未建立异地灾备中心，一旦出现重大灾难事故，数据无法及时完整恢复，业务无法持续办理。3、机房建设不达标。13.（二）信息系统运行保障能力不足。1、个别银行对信息系统运行保障工作重视不够；2、个别银行数据备份只采取单一的文本备份方式；3、有的银行未针对系统运行的薄弱环节制定应急预案，未对备份数据进行有效性检验和恢复演练，备份数据的可恢复性难以保证。14.（三）信息系统安全存在隐患。1、对信息系统实体安全风险防范不足。2、信息科技内控不严。3、网络及数据安全存在隐患。4、个别银行信息系统的超级管理员密码保管不严。15.（四）信息科技项目开发和外包风险较大1、对外包公司缺乏有效的管理，造成大量系统核心源代码、关键配置信息为外部人员所掌握；2、个别银行对项目开发质量缺乏有效控制，对软件开发未实行严格项目管理，造成软件质量难以保证，投产的系统可能存在缺陷。16.（五）业务系统内控功能不完善有的银行业务系统功能与内控要求不配套，存在操作风险。（六）部分银行业金融机构科技力量薄弱。17.做好信息科技做好信息科技风险风险管理的措施管理的措施一、银行业金融机构的董事会和高级管理层应认真履行信息科技风险管理职责;二、完善信息科技组织架构和治理框架;三、加大对员工信息科技风险安全教育和管理;四、提升信息科技风险管控水平;五、提高信息科技应急管理能力;六、加强对信息科技风险的审计与监管。18.19.20.