浅析信息科技合规管理PPT课件.ppt

信息科技合规管理浅析 科技发展部2013年10月 四 信息科技风险管理存在主要问题 二 信息科技风险的分类与目标 三 银行业信息科技风险案例 一 开展合规大讨论的意义 五 信息科技风险管理的策略和重点 主要内容 合规是现代商业银行经营与管理的底线 同时又是监管当局维护金融稳定的必然要求 也是银行提升自身核心竞争力的内在需求 以 治顽疾 树新风 促合规 为主题 遵循 查找问题 分析问题 整改问题 的客观规律 通过开展合规学习 合规讨论等专项活动 促进全行员工依法合规经营 我行活动目标 努力实现 切实解决重点问题 建设良好合规文化 促进旺季各项业务高质量发展 建立合规长效机制 四 信息科技风险管理存在主要问题 二 信息科技风险的分类与目标 三 银行业信息科技风险案例 一 开展合规大讨论的意义 五 信息科技风险管理的策略和重点 主要内容 业务中断风险 数据安全风险 IT外包风险 系统漏洞风险 电子银行风险 1 业务中断风险 保障业务连续性是商业银行信息科技安全工作中最重要的组成部分 一旦产生软硬件故障 系统超负荷运行 主干网络断开 病毒传播 人为非法操作造成系统不稳定等因素 极易造成银行业务的中断 2 数据安全风险包括两方面的含义 一是数据窃取 即数据在存储介质中或在传输过程中遭到窃取甚至恶意篡改 由于权限控制不严导致无关人员接触到核心数据并导致机密数据外泄等 二是数据丢失 即由于自然灾害 房屋倒塌等突发事件造成的存储介质毁坏 导致存储介质中部分或全部数据丢失 3 系统漏洞风险是指银行应用系统的设计者由于对业务流程不熟悉 对风险点未能全盘考虑 导致系统存在缺陷进而被发现并利用 一般说来 系统漏洞风险在设计之初难以发现 随着系统的推广及运行 风险才逐步暴露出来 因此系统漏洞风险最能体现风险的潜伏性 信息科技风险管理策略包括但不限于下述领域 四 信息科技风险管理存在主要问题 二 信息科技风险的分类与目标 三 银行业信息科技风险案例 一 开展合规大讨论的意义 五 信息科技风险管理的策略和重点 主要内容 某行海南分行供电中断导致停业7 5小时 2006年银联跨行交易全面中断8小时 某银行核心系统数据库故障全国中断营业4小时 某银行供电中断核心系统 网银 卡系统等80多个应用系统中断服务 2010 2008 2006 2011 商业银行业务连续性风险形势 案例一 某银行核心系统数据库故障业务中断案例 某银行核心系统长期以来一直依靠外包服务商进行开发 现正在使用的系统设计时最大日均处理能力为80万笔 但随着业务的发展 现日均处理能力要求达到210万笔 导致该行系统处理能力与系统负载之间缺口极大 而外包服务商已不再对该核心系统提供升级服务 并且该行自2009年起 没有购买维保服务 2010年 终于由于数据库 长事务 引发逻辑故障 导致业务中断 而由于该行的技术人员不掌握该系统的核心技术 加之对外包服务商缺乏有效的管理 导致系统维修不及时 致使业务中断时间长达4小时20分钟 在全国引发了极大的声誉风险 案例二 XX银行数据中心设备掉电业务中断案例 2011年9月21日0点30分 某银行数据中心的物业公司电工误操作 导致该行一个机房内所有设备掉电 包括核心系统 网银 卡系统等80多个应用系统中断服务 事发后 银监会对该行及其外包服务机构进行了现场核查 事件背景与情况该行所在集团统筹集团内科技资源配置和信息化建设 指派一家专业化 独立核算子公司统一承担集团各子公司的信息化建设和咨询 机房与系统运维服务 并建立了集团集中的数据中心 该行的信息系统开发 基础平台 网络 硬件设备及操作系统 数据库等 运维服务 机房基础设施运维服务 包括生产及灾备机房 均外包给此公司 该公司又将机房电力维护服务转包给了物业公司 案例二 XX银行数据中心设备掉电业务中断案例 续 9月20日23点50分 根据供电局线路检修要求 集团数据中心的物业公司对高压线路进行例行切换操作 切换后高压开关异常跳闸断电 柴油发电机组自动启动为机房供电 值班巡检的物业电工误认为柴油发电机组异常 关闭了柴油发电机组供电 导致机房外部供电中断 UPS放电为机房供电 数据中心机房值班人员21日凌晨0点10分发现UPS放电报警 随后通知UPS厂商到现场支持 但未与物业电工沟通 至0点30分UPS电池电量全部耗尽 包括该行主要业务系统在内的数据中心机房电力中断 所有设备掉电 物业电工最终于O点35分发现高压电闸开关跳闸 闭合电闸后机房市电供应恢复 但一台保存了五十多个系统数据的存储设备 HPXP2400 在启动后出现异常 至7点问题仍未解决 随后该行启用异地灾备系统 至12点直接面向客户的关键业务系统均能正常对外提供服务 其他如信贷等管理系统至当日下午18点45分恢复 案例三 工行内部通报6 23系统故障 2013年6月23日上午 全国多地中国工商银行柜台 ATM 网银业务出现故障 持续近1个小时 工行内部通报6 23系统故障系IBM软件缺陷惹祸 作为服务2 92亿个人客户及400多万公司客户的全国金融服务巨头 工行此次故障波及北京 上海 广州 武汉 哈尔滨等多个大中型城市 当日 工行将该事故对外模糊描述为 中国工商银行部分地区因计算机系统升级原因造成柜面和电子渠道业务办理缓慢 这也是迄今为止工行就6 23事件向用户发布的唯一公开解释 四 信息科技风险管理存在主要问题 二 信息科技风险的分类与目标 三 银行业信息科技风险案例 一 开展合规大讨论的意义 五 信息科技风险管理的策略和重点 主要内容 网络应用安全存在的问题 生产网设备违规接入互联网 网络边界无安全设备 解决措施 绑定所有接入的设备 在网络边界部署NIDS或NIPS等安全设备 密码管理安全存在的问题 登陆未退出就离开操作现场 密码设定简单 未能定期更换密码 保密意识不强解决措施 完善密码管理制度 加强培训 增强密码安全管理的意识 对发现的问题严肃追究责任 数据安全存在的问题 数据使用周期无法控制 使用单位对敏感信息要求太全面 存储设备未无法做消磁处理 解决措施 通过技术手段控制数据的使用和销毁 加强数据安全保密的培训 制定对敏感信息传输 使用 销毁的技术控制手段 机房安全存在的问题 缺乏基础设施运维人员 配电 UPS 精密空调 无入侵检测设备解决措施 组织科技部人员学习相关基础知识 培训基本技能 做好基本的操作和问题判断 系统安全存在的问题 关键岗位难以做到彻底权限制约 基础运维人员缺乏 均为兼职 存在风险隐患 解决措施 加强部门的系统安全管理和意识教育 建议分行对信息科技工作进行审计 风险管理制度建设存在的问题 相关制度及应急预案不健全 解决措施 完善相关制度和应急预案 按要求进行各项演练 四 信息科技风险管理存在主要问题 二 信息科技风险的分类与目标 三 银行业信息科技风险案例 一 开展合规大讨论的意义 五 信息科技风险管理的策略和重点 主要内容 1 建立完善的信息科技风险管理制度 制度是安全生产的生命线 要有效防控信息科技风险 首要的是建立完善的信息科技安全管理制度 以制度约束人的行为 以制度明确人的责任 以制度指导人的思想 商业银行必须高度重视信息科技安全管理制度的建立与完善 以安全生产为主线 深入分析信息系统风险点 有的放矢 从快 从严建立内部管理制度 同时还应积极跟踪信息系统运行状况 及时发现新问题 新风险点 并及时完善制度 从源头上尽可能地降低风险事件发生的可能性 对整个信息科技风险的防控工作全盘把握 其责任覆盖商业银行自上而下的信息科技风险管理体系 2 构建全面的信息科技风险监测和保障体系 通过完善的质量控制和测试体系 对信息系统的开发进行严格的风险论证和风险测试 是控制信息系统风险的首要工作 商业银行应该系统开发与系统运行并重 在做好系统开发 测试工作的同时 构建全面的信息科技风险监测和保障体系 给信息系统建立一道抵御风险的有力屏障 一方面 商业银行应该对信息系统的运行状况进行全程监控 主干网络是否通畅 自助设备是否正常运行 数据库系统是否正常服务 是否有网络遭受外部非法入侵等都必须纳入实时监控范围 以保障在发生故障的第一时间作出响应 另一方面 商业银行必须未雨绸缪 制定应急预案 做好业务连续性规划 业务恢复机制 风险化解和转移措施 数据备份方案等多方面的工作 并加强灾备演练 以保障在突如其来的灾难性事故面前 能从容应对 迅速恢复生产 尽可能降低事故造成的损失 3 积极推进信息科技队伍建设 提高IT服务水平 商业银行要树立 以人为本 的科学管理理念 注重培养员工风险防范意识和风险防范能力 提高员工的信息科技水平 首先 商业银行要建立与信息科技工作岗位相适应 与业务发展程度紧密联系的培训制度 同时还应鼓励员工积极参与国家认可的考试认证 以提高信息科技工作者的业务水平和对各项信息科技风险的认知深度 从而也能提升整个商业银行的IT服务档次 其次 要对人员采取适当的激励措施 建立与经济发展相协调 与银行业金融机构工资水平相适应 与工作业绩挂钩的工资决定机制 以吸引人才 使用人才 尽可能地调动人才的主观能动性 充分发挥其聪明才智 有了相当的人才储备 从长远来说 不仅仅是对于商业银行的信息科技风险防范水平的提升 整个商业银行的服务水平都将得到质的提高 4 鼓励信息科技风险防范技术创新性研究 加强金融技术创新性研究 用新技术装备信息系统 以提高信息系统的自我风险抵御能力 是商业银行提高信息科技风险防御能力的一个重要方法 只有不断通过创新性技术完善信息系统 抵御新的风险 才能有效提高信息系统的安全性 电子支付系统由于直接面向客户 其脆弱点更容易为外界所悉并利用 因此 各商业银行应重点关注电子银行系统的风险防范创新性技术 一方面是通过智力投入并辅以激励机制提高内部员工的创新能力 另一方面 商业银行可以借助科研机构力量 提供业务需求 而由科研机构完成具体的研发工作 5 提高IT外包服务管理的精细度 IT外包风险存在于外包服务过程中的每一个环节 需要对外包服务进行全程的精细化管理 一是通过对外包服务商的水平作全面准确的评估 选择一个值得信赖 具有相当资质 能够长期合作的IT服务商 这是对技术外包服务进行精细化管理的前提条件 二是签署详细 全面的外包合同 包括外包服务的内容和服务范围 双方在合同中的权利和义务 产权转移方式 后续维护方案 安全性和保密性的要求等 三是在IT外包合同执行期间 银行要对服务商进行持续 有效的监督 IT专家 风险管理专家 审计专家要定期和不定期地对服务商进行检查 及时掌握合同的履行情况 并督促服务商按期保质地完成合同规定的各项任务 四是在外包服务中 商业银行要积极主动地学习 积累经验 尽可能地掌握技术要点 以降低依赖性风险 并争取开发和生产具有完全自主知识产权的信息系统 谢谢