浅析信息科技合规管理.ppt

1、信息科技合规管理浅析信息科技合规管理浅析科技发展部科技发展部2013年年10月月四四、信息科技风险管理存在主要问题信息科技风险管理存在主要问题二、信息科技风险二、信息科技风险的分类与目标的分类与目标三、银行业信息科技风险案例三、银行业信息科技风险案例一、开展合规大讨论的意义一、开展合规大讨论的意义五、信息科技风险管理的五、信息科技风险管理的策略策略和重点和重点主要内容主要内容合规是现代商业银行经营与管理的底线，同时合规是现代商业银行经营与管理的底线，同时又是监管当局维护金融稳定的必然要求，也是又是监管当局维护金融稳定的必然要求，也是银行提升自身核心竞争力的内在需求银行提升自身核心竞争力的内在需

2、求。以以“治顽疾、树新风、促合规治顽疾、树新风、促合规”为主题，遵循为主题，遵循“查查找问题、分析问题、整改问题找问题、分析问题、整改问题”的客观规律，通的客观规律，通过开展合规学习、合规讨论等专项活动，促进过开展合规学习、合规讨论等专项活动，促进全行员工依法合规经营全行员工依法合规经营。我行活动目标：努力实现我行活动目标：努力实现“切实解决重点问题、切实解决重点问题、建设良好合规文化、促进旺季各项业务高质建设良好合规文化、促进旺季各项业务高质量发展、建立合规长效机制量发展、建立合规长效机制”。四四、信息科技风险管理存在主要问题信息科技风险管理存在主要问题二、信息科技风险二、信息科技风险的分类

3、与目标的分类与目标三、银行业信息科技风险案例三、银行业信息科技风险案例一、开展合规大讨论的意义一、开展合规大讨论的意义五、信息科技风险管理的五、信息科技风险管理的策略策略和重点和重点主要内容主要内容信息科技风险分类业务中断风险数据安全风险IT外包风险系统漏洞风险电子银行风险1业务中断风险：业务中断风险：保障业务连续性是商业银行信息科技安全工作中最重要保障业务连续性是商业银行信息科技安全工作中最重要的组成部分。一旦产生软硬件故障、系统超负荷运行、主干网络断开、的组成部分。一旦产生软硬件故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的病毒传播、人为

4、非法操作造成系统不稳定等因素，极易造成银行业务的中断中断。2数据安全风险包括两方面的含义。一是数据窃取，即数据在存储介质中数据安全风险包括两方面的含义。一是数据窃取，即数据在存储介质中或在传输过程中遭到窃取甚至恶意篡改，由于权限控制不严导致无关人或在传输过程中遭到窃取甚至恶意篡改，由于权限控制不严导致无关人员接触到核心数据并导致机密数据外泄等。二是数据丢失，即由于自然员接触到核心数据并导致机密数据外泄等。二是数据丢失，即由于自然灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中部分灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中部分或全部数据丢失。或全部数据丢失。3系统漏洞风

5、险是指银行应用系统的设计者由于对业务流程不熟悉，对风系统漏洞风险是指银行应用系统的设计者由于对业务流程不熟悉，对风险点未能全盘考虑，导致系统存在缺陷进而被发现并利用。一般说来，险点未能全盘考虑，导致系统存在缺陷进而被发现并利用。一般说来，系统漏洞风险在设计之初难以发现，随着系统的推广及运行，风险才逐系统漏洞风险在设计之初难以发现，随着系统的推广及运行，风险才逐步暴露出来，因此系统漏洞风险最能体现风险的潜伏性。步暴露出来，因此系统漏洞风险最能体现风险的潜伏性。45电子银行风险主要指的是电子支付安全问题，包括利用信用卡和电子银行风险主要指的是电子支付安全问题，包括利用信用卡和ATM进进行诈骗，或者

6、利用钓鱼网站、木马程序盗取客户的账号和密码等一系列行诈骗，或者利用钓鱼网站、木马程序盗取客户的账号和密码等一系列的犯罪行为。由于利用电子银行的诈骗案件的侦破较为困难，所造成的的犯罪行为。由于利用电子银行的诈骗案件的侦破较为困难，所造成的损失很多都无法挽回。案件的背后，固然有客户防范意识薄弱、甄别能损失很多都无法挽回。案件的背后，固然有客户防范意识薄弱、甄别能力不强的原因，但也有银行电子银行系统安全保障措施不完善、安全宣力不强的原因，但也有银行电子银行系统安全保障措施不完善、安全宣传不到位等原因，这有可能会引发银行的法律风险和声誉风险，给银行传不到位等原因，这有可能会引发银行的法律风险和声誉风险

7、给银行造成损失。造成损失。IT外包风险首先在于服务商能否长期稳定地为银行提供高质量服务，对于外包风险首先在于服务商能否长期稳定地为银行提供高质量服务，对于信息系统故障能否及时响应并修复，以保障银行业务的连续性。其次，外信息系统故障能否及时响应并修复，以保障银行业务的连续性。其次，外包服务商在和银行密切往来过程中会获取一些银行的内部机密信息，给银包服务商在和银行密切往来过程中会获取一些银行的内部机密信息，给银行带来商业秘密泄露的风险。再次，银行对于外包服务商的过度依赖性也行带来商业秘密泄露的风险。再次，银行对于外包服务商的过度依赖性也是一种风险，将导致银行在合同谈判中处于不利地位，同时也会造成

8、银行是一种风险，将导致银行在合同谈判中处于不利地位，同时也会造成银行自身员工自身员工IT服务水平和创新能力受到限制。此外，外包公司人员长期和银服务水平和创新能力受到限制。此外，外包公司人员长期和银行来往甚至常驻银行，但对银行规章制度的理解与执行上和银行员工相比行来往甚至常驻银行，但对银行规章制度的理解与执行上和银行员工相比存在一定差距，也可能会带来风险隐患等。存在一定差距，也可能会带来风险隐患等。通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力.制定符合银行总体业务规划的

9、信息科制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科财力资源，维持稳定、安全的信息科技环境。技环境。商业银行应制定全面的信息科技风险管理策略信息科技风险管理目标系统开发、测系统开发、测试和维护试和维护业务连续性与业务连续性与应急处置应急处置信息分级与保护信息分级与保护访问控制访问控制物理安全物理安全人员安全人员安全信息科技风险管理策略包括但不限于下述领域四四、信息科技风险管理存在主要问题信息科技风险管理存在主要问题二、信息科技风险二、信息科技风险

10、的分类与目标的分类与目标三、银行业信息科技风险案例三、银行业信息科技风险案例一、开展合规大讨论的意义一、开展合规大讨论的意义五、信息科技风险管理的五、信息科技风险管理的策略策略和重点和重点主要内容主要内容某行海南某行海南分行供电分行供电中断导致中断导致停业停业7.5小小时时2006年银联年银联跨行交易全跨行交易全面中断面中断8小时小时某银行核心系统某银行核心系统数据库故障全国数据库故障全国中断营业中断营业4 4小时小时某银行供电中断某银行供电中断核心系统、网银、核心系统、网银、卡系统等卡系统等80 80 多多个应用系统中断个应用系统中断服务服务2010200820062011商业银行业务连续性

11、风险形势商业银行业务连续性风险形势典型案例介绍案例一、案例一、某银行核心系统数据库故障业务中断案例某银行核心系统数据库故障业务中断案例 某银行核心系统长期以来一直依靠外包服务商进行开发。现正在使用的系统设计时最大日均处理能力为80万笔，但随着业务的发展，现日均处理能力要求达到210万笔，导致该行系统处理能力与系统负载之间缺口极大。而外包服务商已不再对该核心系统提供升级服务，并且该行自2009年起，没有购买维保服务。2010年，终于由于数据库“长事务”引发逻辑故障，导致业务中断。而由于该行的技术人员不掌握该系统的核心技术，加之对外包服务商缺乏有效的管理，导致系统维修不及时，致使业务中断时间长达4

12、小时20分钟，在全国引发了极大的声誉风险。案例二、案例二、XX银行数据中心设备掉电业务中断案例 2011年9月21日0点30分，某银行数据中心的物业公司电工误操作，导致该行一个机房内所有设备掉电，包括核心系统、网银、卡系统等80多个应用系统中断服务。事发后，银监会对该行及其外包服务机构进行了现场核查。事件背景与情况 该行所在集团统筹集团内科技资源配置和信息化建设，指派一家专业化、独立核算子公司统一承担集团各子公司的信息化建设和咨询、机房与系统运维服务，并建立了集团集中的数据中心。该行的信息系统开发、基础平台（网络、硬件设备及操作系统、数据库等）运维服务、机房基础设施运维服务（包括生产及灾备机房

13、均外包给此公司，该公司又将机房电力维护服务转包给了物业公司。案例二、案例二、XX银行数据中心设备掉电业务中断案例（续）9月20日23点50分，根据供电局线路检修要求，集团数据中心的物业公司对高压线路进行例行切换操作。切换后高压开关异常跳闸断电，柴油发电机组自动启动为机房供电。值班巡检的物业电工误认为柴油发电机组异常，关闭了柴油发电机组供电，导致机房外部供电中断，UPS 放电为机房供电。数据中心机房值班人员21日凌晨0点10分发现UPS 放电报警，随后通知UPS 厂商到现场支持，但未与物业电工沟通，至0点30分UPS 电池电量全部耗尽，包括该行主要业务系统在内的数据中心机房电力中断，所有设备掉

14、电。物业电工最终于O点35分发现高压电闸开关跳闸，闭合电闸后机房市电供应恢复。但一台保存了五十多个系统数据的存储设备（HP XP2400）在启动后出现异常，至7点问题仍未解决，随后该行启用异地灾备系统，至12点直接面向客户的关键业务系统均能正常对外提供服务，其他如信贷等管理系统至当日下午18点45分恢复。案例三、案例三、工行内部通报工行内部通报6.23系统故障系统故障 2013年6月23日上午，全国多地中国工商银行柜台、ATM、网银业务出现故障，持续近1个小时。工行内部通报6.23系统故障系 IBM软件缺陷惹祸，作为服务2.92亿个人客户及400多万公司客户的全国金融服务巨头，工行此次故障波及

15、北京、上海、广州、武汉、哈尔滨等多个大中型城市。当日，工行将该事故对外模糊描述为：“中国工商银行部分地区因计算机系统升级原因造成柜面和电子渠道业务办理缓慢。”这也是迄今为止工行就623事件向用户发布的唯一公开解释。四四、信息科技风险管理存在主要问题信息科技风险管理存在主要问题二、信息科技风险二、信息科技风险的分类与目标的分类与目标三、银行业信息科技风险案例三、银行业信息科技风险案例一、开展合规大讨论的意义一、开展合规大讨论的意义五、信息科技风险管理的五、信息科技风险管理的策略策略和重点和重点主要内容主要内容1 13 32 2 网络应用网络应用安全安全存存在在的的问问题题：生生产产网网设设备备违

16、违规规接接入入互互联联网网；网络边界无安全设备。网络边界无安全设备。解解决决措措施施：绑绑定定所所有有接接入入的的设设备备，在在网网络络边边 界界 部部 署署 NIDS或或NIPS等安全设备。等安全设备。密码管理安全密码管理安全存存在在的的问问题题：登登陆陆未未退退出出就就离离开开操操作作现现场场；密密码码设设定定简简单单；未未能能定定期期更更换换密密码码；保保密密意意识识不不强强解解决决措措施施：完完善善密密码码管管理理制制度度，加加强强培培训训，增增强强密密码码安安全全管管理理的的意意识识，对对发发现现的的问问题题严严肃肃追追究责任。究责任。数据安全数据安全存在的问题：数据使存在的问题：数

17、据使用周期无法控制；使用周期无法控制；使用单位对敏感信息要用单位对敏感信息要求太全面；存储设备求太全面；存储设备未无法做消磁处理。未无法做消磁处理。解决措施：通过技术解决措施：通过技术手段控制数据的使用手段控制数据的使用和销毁，加强数据安和销毁，加强数据安全保密的培训，制定全保密的培训，制定对敏感信息传输、使对敏感信息传输、使用、销毁的技术控制用、销毁的技术控制手段。手段。4 46 65 5机房安全机房安全存在的问题：缺乏存在的问题：缺乏基础设施运维人员基础设施运维人员（配电、（配电、UPS、精、精密空调），无入侵密空调），无入侵检测设备检测设备解决措施：组织科解决措施：组织科技部人员学习相关

18、技部人员学习相关基础知识，培训基基础知识，培训基本技能，做好基本本技能，做好基本的操作和问题判断；的操作和问题判断；系统安全系统安全存在的问题：存在的问题：关键关键岗位难以做到岗位难以做到彻底彻底权限制约权限制约；基础运；基础运维人员缺乏，均为维人员缺乏，均为兼职，存在风险隐兼职，存在风险隐患。患。解决措施：加强部解决措施：加强部门的系统安全管理门的系统安全管理和意识教育，建议和意识教育，建议分行对信息科技工分行对信息科技工作进行审计。作进行审计。风险管理制度建设风险管理制度建设存在的问题：相关存在的问题：相关制度及应急预案不制度及应急预案不健全。健全。解决措施：完善相解决措施：完善相关制度和

19、应急预案，关制度和应急预案，按要求进行各项演按要求进行各项演练。练。四四、信息科技风险管理存在主要问题信息科技风险管理存在主要问题二、信息科技风险二、信息科技风险的分类与目标的分类与目标三、银行业信息科技风险案例三、银行业信息科技风险案例一、开展合规大讨论的意义一、开展合规大讨论的意义五、信息科技风险管理的五、信息科技风险管理的策略策略和重点和重点主要内容主要内容1.建立完善的信息科技风险管理制度建立完善的信息科技风险管理制度 制制度度是是安安全全生生产产的的生生命命线线，要要有有效效防防控控信信息息科科技技风风险险，首首要要的的是是建建立立完完善善的的信信息息科科技技安安全全管管理理制制度度

20、以以制制度度约约束束人人的的行行为为，以以制制度度明明确确人人的的责责任任，以以制制度度指指导导人人的的思思想想。商商业业银银行行必必须须高高度度重重视视信信息息科科技技安安全全管管理理制制度度的的建建立立与与完完善善，以以安安全全生生产产为为主主线线，深深入入分分析析信信息息系系统统风风险险点点，有有的的放放矢矢，从从快快、从从严严建建立立内内部部管管理理制制度度。同同时时还还应应积积极极跟跟踪踪信信息息系系统统运运行行状状况况，及及时时发发现现新新问问题题、新新风风险险点点，并并及及时时完完善善制制度度，从从源源头头上上尽尽可可能能地地降降低低风风险险事事件件发发生生的的可可能能性性。对

21、对整整个个信信息息科科技技风风险险的的防防控控工工作作全全盘盘把把握握，其其责责任任覆覆盖盖商商业业银银行行自自上上而而下下的的信信息息科科技技风风险险管管理理体系。体系。2.构建全面的信息科技风险监测和保障体系构建全面的信息科技风险监测和保障体系 通通过过完完善善的的质质量量控控制制和和测测试试体体系系，对对信信息息系系统统的的开开发发进进行行严严格格的的风风险险论论证证和和风风险险测测试试，是是控控制制信信息息系系统统风风险险的的首首要要工工作作。商商业业银银行行应应该该系系统统开开发发与与系系统统运运行行并并重重，在在做做好好系系统统开开发发、测测试试工工作作的的同同时时，构构建建全全面

22、面的的信信息息科科技技风风险险监监测测和和保保障障体体系系，给给信信息息系系统统建建立立一一道道抵抵御御风风险险的的有有力力屏障。屏障。一一方方面面，商商业业银银行行应应该该对对信信息息系系统统的的运运行行状状况况进进行行全全程程监监控控，主主干干网网络络是是否否通通畅畅、自自助助设设备备是是否否正正常常运运行行、数数据据库库系系统统是是否否正正常常服服务务、是是否否有有网网络络遭遭受受外外部部非非法法入入侵侵等等都都必必须须纳纳入入实实时时监监控控范范围围，以以保保障障在在发发生生故故障障的的第第一一时时间间作作出出响响应应。另另一一方方面面，商商业业银银行行必必须须未未雨雨绸绸缪缪，制制定

23、定应应急急预预案案，做做好好业业务务连连续续性性规规划划、业业务务恢恢复复机机制制、风风险险化化解解和和转转移移措措施施、数数据据备备份份方方案案等等多多方方面面的的工工作作，并并加加强强灾灾备备演演练练，以以保保障障在在突突如如其其来来的的灾灾难难性性事事故故面面前前，能能从从容容应应对对，迅迅速速恢恢复复生生产产，尽尽可可能能降降低低事事故故造造成成的的损失。损失。3.积极推进信息科技队伍建设，提高积极推进信息科技队伍建设，提高IT服务水平服务水平 商商业业银银行行要要树树立立“以以人人为为本本”的的科科学学管管理理理理念念，注注重重培培养养员员工工风风险险防防范范意意识识和和风风险险防防

24、范范能能力力，提提高高员员工工的的信信息息科科技技水水平平。首首先先，商商业业银银行行要要建建立立与与信信息息科科技技工工作作岗岗位位相相适适应应、与与业业务务发发展展程程度度紧紧密密联联系系的的培培训训制制度度，同同时时还还应应鼓鼓励励员员工工积积极极参参与与国国家家认认可可的的考考试试认认证证,以以提提高高信信息息科科技技工工作作者者的的业业务务水水平平和和对对各各项项信信息息科科技技风风险险的的认认知知深深度度,从从而而 也也能能提提升升整整个个商商业业银银行行的的IT服服务务档档次次。其其次次，要要对对人人员员采采取取适适当当的的激激励励措措施施，建建立立与与经经济济发发展展相相协协调

25、调、与与银银行行业业金金融融机机构构工工资资水水平平相相适适应应、与与工工作作业业绩绩挂挂钩钩的的工工资资决决定定机机制制，以以吸吸引引人人才才、使使用用人人才才，尽尽可可能能地地调调动动人人才才的的主主观观能能动动性性，充充分分发发挥挥其其聪聪明明才才智智。有有了了相相当当的的人人才才储储备备，从从长长远远来来说说，不不仅仅仅仅是是对对于于商商业业银银行行的的信信息息科科技技风风险险防防范范水水平平的的提提升升，整整个商业银行的服务水平都将得到质的提高。个商业银行的服务水平都将得到质的提高。4.鼓励信息科技风险防范技术创新性研究鼓励信息科技风险防范技术创新性研究 加加强强金金融融技技术术创创

26、新新性性研研究究，用用新新技技术术装装备备信信息息系系统统，以以提提高高信信息息系系统统的的自自我我风风险险抵抵御御能能力力，是是商商业业银银行行提提高高信信息息科科技技风风险险防防御御能能力力的的一一个个重重要要方方法法。只只有有不不断断通通过过创创新新性性技技术术完完善善信信息息系系统统，抵抵御御新新的的风风险险，才才能能有有效效提提高高信信息息系系统统的的安安全全性性。电电子子支支付付系系统统由由于于直直接接面面向向客客户户，其其脆脆弱弱点点更更容容易易为为外外界界所所悉悉并并利利用用，因因此此，各各商商业业银银行行应应重重点点关关注注电电子子银银行行系系统统的的风风险险防防范范创创新新

27、性性技技术术。一一方方面面是是通通过过智智力力投投入入并并辅辅以以激激励励机机制制提提高高内内部部员员工工的的创创新新能能力力；另另一一方方面面，商商业业银银行行可可以以借借助助科科研研机机构构力力量量，提提供供业业务务需需求求，而而由由科科研研机机构构完完成成具体的研发工作。具体的研发工作。5.提高提高IT外包服务管理的精细度外包服务管理的精细度 IT外外包包风风险险存存在在于于外外包包服服务务过过程程中中的的每每一一个个环环节节，需需要要对对外外包包服服务务进进行行全全程程的的精精细细化化管管理理。一一是是通通过过对对外外包包服服务务商商的的水水平平作作全全面面准准确确的的评评估估，选选择

28、择一一个个值值得得信信赖赖、具具有有相相当当资资质质、能能够够长长期期合合作作的的IT服服务务商商，这这是是对对技技术术外外包包服服务务进进行行精精细细化化管管理理的的前前提提条条件件。二二是是签签署署详详细细、全全面面的的外外包包合合同同，包包括括外外包包服服务务的的内内容容和和服服务务范范围围、双双方方在在合合同同中中的的权权利利和和义义务务、产产权权转转移移方方式式、后后续续维维护护方方案案、安安全全性性和和保保密密性性的的要要求求等等。三三是是在在IT外外包包合合同同执执行行期期间间，银银行行要要对对服服务务商商进进行行持持续续、有有效效的的监监督督，IT专专家家、风风险险管管理理专专家家、审审计计专专家家要要定定期期和和不不定定期期地地对对服服务务商商进进行行检检查查，及及时时掌掌握握合合同同的的履履行行情情况况，并并督督促促服服务务商商按按期期保保质质地地完完成成合合同同规规定定的的各各项项任任务务。四四是是在在外外包包服服务务中中，商商业业银银行行要要积积极极主主动动地地学学习习，积积累累经经验验，尽尽可可能能地地掌掌握握技技术术要要点点，以以降降低低依依赖赖性性风风险险，并并争争取取开发和生产具有完全自主知识产权的信息系统。开发和生产具有完全自主知识产权的信息系统。谢谢！谢谢！