淺析信息科技合規(guī)管理

1、四、信息科技風險管理存在主要問題四、信息科技風險管理存在主要問題 二、信息科技風險的分類與目標二、信息科技風險的分類與目標 三、銀行業(yè)信息科技風險案例三、銀行業(yè)信息科技風險案例 一、開展合規(guī)大討論的意義一、開展合規(guī)大討論的意義 五、信息科技風險管理的策略和重點五、信息科技風險管理的策略和重點 主要內(nèi)容主要內(nèi)容 合規(guī)是現(xiàn)代商業(yè)銀行經(jīng)營與管理的底線，同時合規(guī)是現(xiàn)代商業(yè)銀行經(jīng)營與管理的底線，同時 又是監(jiān)管當局維護金融穩(wěn)定的必然要求，也是又是監(jiān)管當局維護金融穩(wěn)定的必然要求，也是 銀行提升自身核心競爭力的內(nèi)在需求。銀行提升自身核心競爭力的內(nèi)在需求。 以以“治頑疾、樹新風、促合規(guī)治頑疾、樹新風、促合規(guī)”為

2、主題，遵循為主題，遵循 “查找問題、分析問題、整改問題查找問題、分析問題、整改問題”的客觀規(guī)的客觀規(guī) 律，通過開展合規(guī)學習、合規(guī)討論等專項活動，律，通過開展合規(guī)學習、合規(guī)討論等專項活動， 促進全行員工依法合規(guī)經(jīng)營。促進全行員工依法合規(guī)經(jīng)營。 我行活動目標：努力實現(xiàn)我行活動目標：努力實現(xiàn)“切實解決重點問切實解決重點問 題、建設良好合規(guī)文化、促進旺季各項業(yè)務題、建設良好合規(guī)文化、促進旺季各項業(yè)務 高質量發(fā)展、建立合規(guī)長效機制高質量發(fā)展、建立合規(guī)長效機制”。 四、信息科技風險管理存在主要問題四、信息科技風險管理存在主要問題 二、信息科技風險的分類與目標二、信息科技風險的分類與目標 三、銀行業(yè)信息科技

3、風險案例三、銀行業(yè)信息科技風險案例 一、開展合規(guī)大討論的意義一、開展合規(guī)大討論的意義 五、信息科技風險管理的策略和重點五、信息科技風險管理的策略和重點 主要內(nèi)容主要內(nèi)容 信息科技 風險分類 業(yè)務中 斷風險 數(shù)據(jù)安 全風險 IT外包 風險 系統(tǒng)漏 洞風險 電子銀 行風險 1 業(yè)務中斷風險：保障業(yè)務連續(xù)性是商業(yè)銀行信息科技安全工作中最重要業(yè)務中斷風險：保障業(yè)務連續(xù)性是商業(yè)銀行信息科技安全工作中最重要 的組成部分。一旦產(chǎn)生軟硬件故障、系統(tǒng)超負荷運行、主干網(wǎng)絡斷開、的組成部分。一旦產(chǎn)生軟硬件故障、系統(tǒng)超負荷運行、主干網(wǎng)絡斷開、 病毒傳播、人為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務的病毒傳播、人

4、為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務的 中斷中斷。 2 數(shù)據(jù)安全風險包括兩方面的含義。一是數(shù)據(jù)竊取，即數(shù)據(jù)在存儲介質中數(shù)據(jù)安全風險包括兩方面的含義。一是數(shù)據(jù)竊取，即數(shù)據(jù)在存儲介質中 或在傳輸過程中遭到竊取甚至惡意篡改，由于權限控制不嚴導致無關人或在傳輸過程中遭到竊取甚至惡意篡改，由于權限控制不嚴導致無關人 員接觸到核心數(shù)據(jù)并導致機密數(shù)據(jù)外泄等。二是數(shù)據(jù)丟失，即由于自然員接觸到核心數(shù)據(jù)并導致機密數(shù)據(jù)外泄等。二是數(shù)據(jù)丟失，即由于自然 災害、房屋倒塌等突發(fā)事件造成的存儲介質毀壞，導致存儲介質中部分災害、房屋倒塌等突發(fā)事件造成的存儲介質毀壞，導致存儲介質中部分 或全部數(shù)據(jù)丟失?；蛉繑?shù)據(jù)丟

5、失。 3 系統(tǒng)漏洞風險是指銀行應用系統(tǒng)的設計者由于對業(yè)務流程不熟悉，對風系統(tǒng)漏洞風險是指銀行應用系統(tǒng)的設計者由于對業(yè)務流程不熟悉，對風 險點未能全盤考慮，導致系統(tǒng)存在缺陷進而被發(fā)現(xiàn)并利用。一般說來，險點未能全盤考慮，導致系統(tǒng)存在缺陷進而被發(fā)現(xiàn)并利用。一般說來， 系統(tǒng)漏洞風險在設計之初難以發(fā)現(xiàn)，隨著系統(tǒng)的推廣及運行，風險才逐系統(tǒng)漏洞風險在設計之初難以發(fā)現(xiàn)，隨著系統(tǒng)的推廣及運行，風險才逐 步暴露出來，因此系統(tǒng)漏洞風險最能體現(xiàn)風險的潛伏性。步暴露出來，因此系統(tǒng)漏洞風險最能體現(xiàn)風險的潛伏性。 4 5 電子銀行風險主要指的是電子支付安全問題，包括利用信用卡和電子銀行風險主要指的是電子支付安全問題，包括利

6、用信用卡和ATM進進 行詐騙，或者利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號和密碼等一系列行詐騙，或者利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號和密碼等一系列 的犯罪行為。由于利用電子銀行的詐騙案件的偵破較為困難，所造成的的犯罪行為。由于利用電子銀行的詐騙案件的偵破較為困難，所造成的 損失很多都無法挽回。案件的背后，固然有客戶防范意識薄弱、甄別能損失很多都無法挽回。案件的背后，固然有客戶防范意識薄弱、甄別能 力不強的原因，但也有銀行電子銀行系統(tǒng)安全保障措施不完善、安全宣力不強的原因，但也有銀行電子銀行系統(tǒng)安全保障措施不完善、安全宣 傳不到位等原因，這有可能會引發(fā)銀行的法律風險和聲譽風險，給銀行傳不到位等原

7、因，這有可能會引發(fā)銀行的法律風險和聲譽風險，給銀行 造成損失。造成損失。 IT外包風險首先在于服務商能否長期穩(wěn)定地為銀行提供高質量服務，對于外包風險首先在于服務商能否長期穩(wěn)定地為銀行提供高質量服務，對于 信息系統(tǒng)故障能否及時響應并修復，以保障銀行業(yè)務的連續(xù)性。其次，外信息系統(tǒng)故障能否及時響應并修復，以保障銀行業(yè)務的連續(xù)性。其次，外 包服務商在和銀行密切往來過程中會獲取一些銀行的內(nèi)部機密信息，給銀包服務商在和銀行密切往來過程中會獲取一些銀行的內(nèi)部機密信息，給銀 行帶來商業(yè)秘密泄露的風險。再次，銀行對于外包服務商的過度依賴性也行帶來商業(yè)秘密泄露的風險。再次，銀行對于外包服務商的過度依賴性也 是一種

8、風險，將導致銀行在合同談判中處于不利地位，同時也會造成銀行是一種風險，將導致銀行在合同談判中處于不利地位，同時也會造成銀行 自身員工自身員工IT服務水平和創(chuàng)新能力受到限制。此外，外包公司人員長期和銀服務水平和創(chuàng)新能力受到限制。此外，外包公司人員長期和銀 行來往甚至常駐銀行，但對銀行規(guī)章制度的理解與執(zhí)行上和銀行員工相比行來往甚至常駐銀行，但對銀行規(guī)章制度的理解與執(zhí)行上和銀行員工相比 存在一定差距，也可能會帶來風險隱患等。存在一定差距，也可能會帶來風險隱患等。 通過建立有效的機制，實現(xiàn)對商業(yè)銀 行信息科技風險的識別、計量、監(jiān)測 和控制，促進商業(yè)銀行安全、持續(xù)、 穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息 技

9、術使用水平，增強核心競爭力和可 持續(xù)發(fā)展能力. 制定符合銀行總體業(yè)務規(guī)劃的信息科制定符合銀行總體業(yè)務規(guī)劃的信息科 技戰(zhàn)略、信息科技運行計劃和信息科技戰(zhàn)略、信息科技運行計劃和信息科 技風險評估計劃，確保配置足夠人力、技風險評估計劃，確保配置足夠人力、 財力資源，維持穩(wěn)定、安全的信息科財力資源，維持穩(wěn)定、安全的信息科 技環(huán)境。技環(huán)境。 商業(yè)銀行應制定全面的信息科技風 險管理策略 信息科技 風險管理 目標 系統(tǒng)開發(fā)、測系統(tǒng)開發(fā)、測 試和維護試和維護 業(yè)務連續(xù)性與業(yè)務連續(xù)性與 應急處置應急處置 信息分級與保護信息分級與保護 訪問控制訪問控制 物理安全物理安全 人員安全人員安全 信息科技 風險管理 策略

10、包括 但不限于 下述領域 四、信息科技風險管理存在主要問題四、信息科技風險管理存在主要問題 二、信息科技風險的分類與目標二、信息科技風險的分類與目標 三、銀行業(yè)信息科技風險案例三、銀行業(yè)信息科技風險案例 一、開展合規(guī)大討論的意義一、開展合規(guī)大討論的意義 五、信息科技風險管理的策略和重點五、信息科技風險管理的策略和重點 主要內(nèi)容主要內(nèi)容 某行海南某行海南 分行供電分行供電 中斷導致中斷導致 停業(yè)停業(yè)7.5小小 時時 2006年銀聯(lián)年銀聯(lián) 跨行交易全跨行交易全 面中斷面中斷8小時小時 某銀行核心系統(tǒng)某銀行核心系統(tǒng) 數(shù)據(jù)庫故障全國數(shù)據(jù)庫故障全國 中斷營業(yè)中斷營業(yè)4 4小時小時 某銀行供電中斷某銀行供

11、電中斷 核心系統(tǒng)、網(wǎng)銀核心系統(tǒng)、網(wǎng)銀 、卡系統(tǒng)等、卡系統(tǒng)等80 80 多個應用系統(tǒng)中多個應用系統(tǒng)中 斷服務斷服務 201020082006 2011 商業(yè)銀行業(yè)務連續(xù)性風險形勢商業(yè)銀行業(yè)務連續(xù)性風險形勢 典型案例介紹 案例一、某銀行核心系統(tǒng)數(shù)據(jù)庫故障業(yè)務中斷案例案例一、某銀行核心系統(tǒng)數(shù)據(jù)庫故障業(yè)務中斷案例 某銀行核心系統(tǒng)長期以來一直依靠外包服務商進行開發(fā)。 現(xiàn)正在使用的系統(tǒng)設計時最大日均處理能力為80萬筆，但隨著 業(yè)務的發(fā)展，現(xiàn)日均處理能力要求達到210萬筆，導致該行系統(tǒng) 處理能力與系統(tǒng)負載之間缺口極大。而外包服務商已不再對該 核心系統(tǒng)提供升級服務，并且該行自2009年起，沒有購買維保 服務。

12、2010年，終于由于數(shù)據(jù)庫“長事務”引發(fā)邏輯故障，導 致業(yè)務中斷。而由于該行的技術人員不掌握該系統(tǒng)的核心技術， 加之對外包服務商缺乏有效的管理，導致系統(tǒng)維修不及時，致 使業(yè)務中斷時間長達4小時20分鐘，在全國引發(fā)了極大的聲譽風 險。 案例二、案例二、XX銀行數(shù)據(jù)中心設備掉電業(yè)務中斷案例 2011年9月21日0點30分，某銀行數(shù)據(jù)中心的物業(yè)公司電工 誤操作，導致該行一個機房內(nèi)所有設備掉電，包括核心系統(tǒng)、 網(wǎng)銀、卡系統(tǒng)等80多個應用系統(tǒng)中斷服務。事發(fā)后，銀監(jiān)會對 該行及其外包服務機構進行了現(xiàn)場核查。 事件背景與情況 該行所在集團統(tǒng)籌集團內(nèi)科技資源配置和信息化建設，指派 一家專業(yè)化、獨立核算子公司統(tǒng)

13、一承擔集團各子公司的信息化 建設和咨詢、機房與系統(tǒng)運維服務，并建立了集團集中的數(shù)據(jù) 中心。該行的信息系統(tǒng)開發(fā)、基礎平臺 （網(wǎng)絡、硬件設備及操 作系統(tǒng)、數(shù)據(jù)庫等）運維服務、機房基礎設施運維服務（包括 生產(chǎn)及災備機房）均外包給此公司，該公司又將機房電力維護 服務轉包給了物業(yè)公司。 案例二、案例二、XX銀行數(shù)據(jù)中心設備掉電業(yè)務中斷案例（續(xù)） 9月20日23點50分，根據(jù)供電局線路檢修要求，集團數(shù)據(jù)中心的 物業(yè)公司對高壓線路進行例行切換操作。切換后高壓開關異常跳閘斷 電，柴油發(fā)電機組自動啟動為機房供電。值班巡檢的物業(yè)電工誤認為 柴油發(fā)電機組異常，關閉了柴油發(fā)電機組供電，導致機房外部供電中 斷，UPS

14、放電為機房供電。數(shù)據(jù)中心機房值班人員21日凌晨0點10分 發(fā)現(xiàn)UPS 放電報警，隨后通知UPS 廠商到現(xiàn)場支持，但未與物業(yè)電 工溝通，至0點30分UPS 電池電量全部耗盡，包括該行主要業(yè)務系統(tǒng) 在內(nèi)的數(shù)據(jù)中心機房電力中斷，所有設備掉電。物業(yè)電工最終于O點 35分發(fā)現(xiàn)高壓電閘開關跳閘，閉合電閘后機房市電供應恢復。但一臺 保存了五十多個系統(tǒng)數(shù)據(jù)的存儲設備（HP XP2400）在啟動后出現(xiàn)異 常，至7點問題仍未解決，隨后該行啟用異地災備系統(tǒng)，至12點直接 面向客戶的關鍵業(yè)務系統(tǒng)均能正常對外提供服務，其他如信貸等管理 系統(tǒng)至當日下午18點45分恢復。 案例三、案例三、工行內(nèi)部通報工行內(nèi)部通報6.23系

15、統(tǒng)故障系統(tǒng)故障 2013年6月23日上午，全國多地中國工商銀行柜臺、ATM、 網(wǎng)銀業(yè)務出現(xiàn)故障，持續(xù)近1個小時。工行內(nèi)部通報6.23系統(tǒng)故 障系 IBM軟件缺陷惹禍，作為服務2.92億個人客戶及400多萬公 司客戶的全國金融服務巨頭，工行此次故障波及北京、上海、 廣州、武漢、哈爾濱等多個大中型城市。 當日，工行將該事故對外模糊描述為：“中國工商銀行部 分地區(qū)因計算機系統(tǒng)升級原因造成柜面和電子渠道業(yè)務辦理緩 慢?！边@也是迄今為止工行就623事件向用戶發(fā)布的唯一公開 解釋。 四、信息科技風險管理存在主要問題四、信息科技風險管理存在主要問題 二、信息科技風險的分類與目標二、信息科技風險的分類與目標

16、三、銀行業(yè)信息科技風險案例三、銀行業(yè)信息科技風險案例 一、開展合規(guī)大討論的意義一、開展合規(guī)大討論的意義 五、信息科技風險管理的策略和重點五、信息科技風險管理的策略和重點 主要內(nèi)容主要內(nèi)容 1 13 32 2 網(wǎng)絡應用安全網(wǎng)絡應用安全 存在的問題：生產(chǎn)網(wǎng)存在的問題：生產(chǎn)網(wǎng) 設備違規(guī)接入互聯(lián)網(wǎng)；設備違規(guī)接入互聯(lián)網(wǎng)； 網(wǎng)絡邊界無安全設備。網(wǎng)絡邊界無安全設備。 解決措施：綁定所有解決措施：綁定所有 接入的設備，在網(wǎng)絡接入的設備，在網(wǎng)絡 邊 界 部 署邊 界 部 署 N I D S 或或 NIPS等安全設備。等安全設備。 密碼管理安全密碼管理安全 存在的問題：登陸存在的問題：登陸 未退出就離開操作未退出

17、就離開操作 現(xiàn)場；密碼設定簡現(xiàn)場；密碼設定簡 單；未能定期更換單；未能定期更換 密碼；保密意識不密碼；保密意識不 強強 解決措施：完善密解決措施：完善密 碼管理制度，加強碼管理制度，加強 培訓，增強密碼安培訓，增強密碼安 全管理的意識，對全管理的意識，對 發(fā)現(xiàn)的問題嚴肅追發(fā)現(xiàn)的問題嚴肅追 究責任。究責任。 數(shù)據(jù)安全數(shù)據(jù)安全 存在的問題：數(shù)據(jù)使存在的問題：數(shù)據(jù)使 用周期無法控制；使用周期無法控制；使 用單位對敏感信息要用單位對敏感信息要 求太全面；存儲設備求太全面；存儲設備 未無法做消磁處理。未無法做消磁處理。 解決措施：通過技術解決措施：通過技術 手段控制數(shù)據(jù)的使用手段控制數(shù)據(jù)的使用 和銷毀，

18、加強數(shù)據(jù)安和銷毀，加強數(shù)據(jù)安 全保密的培訓，制定全保密的培訓，制定 對敏感信息傳輸、使對敏感信息傳輸、使 用、銷毀的技術控制用、銷毀的技術控制 手段。手段。 4 46 65 5 機房安全機房安全 存在的問題：缺乏存在的問題：缺乏 基礎設施運維人員基礎設施運維人員 （配電、（配電、UPS、精、精 密空調(diào)），無入侵密空調(diào)），無入侵 檢測設備檢測設備 解決措施：組織科解決措施：組織科 技部人員學習相關技部人員學習相關 基礎知識，培訓基基礎知識，培訓基 本技能，做好基本本技能，做好基本 的操作和問題判斷；的操作和問題判斷； 系統(tǒng)安全系統(tǒng)安全 存在的問題：關鍵存在的問題：關鍵 崗位難以做到徹底崗位難以做

19、到徹底 權限制約；基礎運權限制約；基礎運 維人員缺乏，均為維人員缺乏，均為 兼職，存在風險隱兼職，存在風險隱 患?；?。 解決措施：加強部解決措施：加強部 門的系統(tǒng)安全管理門的系統(tǒng)安全管理 和意識教育，建議和意識教育，建議 分行對信息科技工分行對信息科技工 作進行審計。作進行審計。 風險管理制度建設風險管理制度建設 存在的問題：相關存在的問題：相關 制度及應急預案不制度及應急預案不 健全。健全。 解決措施：完善相解決措施：完善相 關制度和應急預案，關制度和應急預案， 按要求進行各項演按要求進行各項演 練。練。 四、信息科技風險管理存在主要問題四、信息科技風險管理存在主要問題 二、信息科技風險的分

20、類與目標二、信息科技風險的分類與目標 三、銀行業(yè)信息科技風險案例三、銀行業(yè)信息科技風險案例 一、開展合規(guī)大討論的意義一、開展合規(guī)大討論的意義 五、信息科技風險管理的策略和重點五、信息科技風險管理的策略和重點 主要內(nèi)容主要內(nèi)容 1.建立完善的信息科技風險管理制度建立完善的信息科技風險管理制度 制度是安全生產(chǎn)的生命線，要有效防控信息科技風險，首制度是安全生產(chǎn)的生命線，要有效防控信息科技風險，首 要的是建立完善的信息科技安全管理制度，以制度約束人的行要的是建立完善的信息科技安全管理制度，以制度約束人的行 為，以制度明確人的責任，以制度指導人的思想。商業(yè)銀行必為，以制度明確人的責任，以制度指導人的思想

21、。商業(yè)銀行必 須高度重視信息科技安全管理制度的建立與完善，以安全生產(chǎn)須高度重視信息科技安全管理制度的建立與完善，以安全生產(chǎn) 為主線，深入分析信息系統(tǒng)風險點，有的放矢，從快、從嚴建為主線，深入分析信息系統(tǒng)風險點，有的放矢，從快、從嚴建 立內(nèi)部管理制度。同時還應積極跟蹤信息系統(tǒng)運行狀況，及時立內(nèi)部管理制度。同時還應積極跟蹤信息系統(tǒng)運行狀況，及時 發(fā)現(xiàn)新問題、新風險點，并及時完善制度，從源頭上盡可能地發(fā)現(xiàn)新問題、新風險點，并及時完善制度，從源頭上盡可能地 降低風險事件發(fā)生的可能性。對整個信息科技風險的防控工作降低風險事件發(fā)生的可能性。對整個信息科技風險的防控工作 全盤把握，其責任覆蓋商業(yè)銀行自上而下

22、的信息科技風險管理全盤把握，其責任覆蓋商業(yè)銀行自上而下的信息科技風險管理 體系。體系。 2.構建全面的信息科技風險監(jiān)測和保障體系構建全面的信息科技風險監(jiān)測和保障體系 通過完善的質量控制和測試體系，對信息系統(tǒng)的開發(fā)進行嚴格的風通過完善的質量控制和測試體系，對信息系統(tǒng)的開發(fā)進行嚴格的風 險論證和風險測試，是控制信息系統(tǒng)風險的首要工作。商業(yè)銀行應該系險論證和風險測試，是控制信息系統(tǒng)風險的首要工作。商業(yè)銀行應該系 統(tǒng)開發(fā)與系統(tǒng)運行并重，在做好系統(tǒng)開發(fā)、測試工作的同時，構建全面統(tǒng)開發(fā)與系統(tǒng)運行并重，在做好系統(tǒng)開發(fā)、測試工作的同時，構建全面 的信息科技風險監(jiān)測和保障體系，給信息系統(tǒng)建立一道抵御風險的有力的

23、信息科技風險監(jiān)測和保障體系，給信息系統(tǒng)建立一道抵御風險的有力 屏障。屏障。 一方面，商業(yè)銀行應該對信息系統(tǒng)的運行狀況進行全程監(jiān)控，主一方面，商業(yè)銀行應該對信息系統(tǒng)的運行狀況進行全程監(jiān)控，主 干網(wǎng)絡是否通暢、自助設備是否正常運行、數(shù)據(jù)庫系統(tǒng)是否正常服務、干網(wǎng)絡是否通暢、自助設備是否正常運行、數(shù)據(jù)庫系統(tǒng)是否正常服務、 是否有網(wǎng)絡遭受外部非法入侵等都必須納入實時監(jiān)控范圍，以保障在發(fā)是否有網(wǎng)絡遭受外部非法入侵等都必須納入實時監(jiān)控范圍，以保障在發(fā) 生故障的第一時間作出響應。另一方面，商業(yè)銀行必須未雨綢繆，制定生故障的第一時間作出響應。另一方面，商業(yè)銀行必須未雨綢繆，制定 應急預案，做好業(yè)務連續(xù)性規(guī)劃、業(yè)

24、務恢復機制、風險化解和轉移措施、應急預案，做好業(yè)務連續(xù)性規(guī)劃、業(yè)務恢復機制、風險化解和轉移措施、 數(shù)據(jù)備份方案等多方面的工作，并加強災備演練，以保障在突如其來的數(shù)據(jù)備份方案等多方面的工作，并加強災備演練，以保障在突如其來的 災難性事故面前，能從容應對，迅速恢復生產(chǎn)，盡可能降低事故造成的災難性事故面前，能從容應對，迅速恢復生產(chǎn)，盡可能降低事故造成的 損失。損失。 3.積極推進信息科技隊伍建設，提高積極推進信息科技隊伍建設，提高IT服務水平服務水平 商業(yè)銀行要樹立商業(yè)銀行要樹立“以人為本以人為本”的科學管理理念，注重培養(yǎng)員工風的科學管理理念，注重培養(yǎng)員工風 險防范意識和風險防范能力，提高員工的信息

25、科技水平。險防范意識和風險防范能力，提高員工的信息科技水平。 首先，商業(yè)首先，商業(yè) 銀行要建立與信息科技工作崗位相適應、與業(yè)務發(fā)展程度緊密聯(lián)系的銀行要建立與信息科技工作崗位相適應、與業(yè)務發(fā)展程度緊密聯(lián)系的 培訓制度，同時還應鼓勵員工積極參與國家認可的考試認證培訓制度，同時還應鼓勵員工積極參與國家認可的考試認證,以提高信以提高信 息科技工作者的業(yè)務水平和對各項信息科技風險的認知深度息科技工作者的業(yè)務水平和對各項信息科技風險的認知深度,從而從而 也也 能提升整個商業(yè)銀行的能提升整個商業(yè)銀行的IT服務檔次。其次，要對人員采取適當?shù)募罘諜n次。其次，要對人員采取適當?shù)募?措施，建立與經(jīng)濟發(fā)展相協(xié)調(diào)

26、、與銀行業(yè)金融機構工資水平相適應、措施，建立與經(jīng)濟發(fā)展相協(xié)調(diào)、與銀行業(yè)金融機構工資水平相適應、 與工作業(yè)績掛鉤的工資決定機制，以吸引人才、使用人才，盡可能地與工作業(yè)績掛鉤的工資決定機制，以吸引人才、使用人才，盡可能地 調(diào)動人才的主觀能動性，充分發(fā)揮其聰明才智。有了相當?shù)娜瞬艃?，調(diào)動人才的主觀能動性，充分發(fā)揮其聰明才智。有了相當?shù)娜瞬艃洌?從長遠來說，不僅僅是對于商業(yè)銀行的信息科技風險防范水平的提升，從長遠來說，不僅僅是對于商業(yè)銀行的信息科技風險防范水平的提升， 整個商業(yè)銀行的服務水平都將得到質的提高。整個商業(yè)銀行的服務水平都將得到質的提高。 4.鼓勵信息科技風險防范技術創(chuàng)新性研究鼓勵信息科

27、技風險防范技術創(chuàng)新性研究 加強金融技術創(chuàng)新性研究，用新技術裝備信息系統(tǒng)，以提高信加強金融技術創(chuàng)新性研究，用新技術裝備信息系統(tǒng)，以提高信 息系統(tǒng)的自我風險抵御能力，是商業(yè)銀行提高信息科技風險防御能息系統(tǒng)的自我風險抵御能力，是商業(yè)銀行提高信息科技風險防御能 力的一個重要方法。只有不斷通過創(chuàng)新性技術完善信息系統(tǒng)，抵御力的一個重要方法。只有不斷通過創(chuàng)新性技術完善信息系統(tǒng)，抵御 新的風險，才能有效提高信息系統(tǒng)的安全性。電子支付系統(tǒng)由于直新的風險，才能有效提高信息系統(tǒng)的安全性。電子支付系統(tǒng)由于直 接面向客戶，其脆弱點更容易為外界所悉并利用，因此，各商業(yè)銀接面向客戶，其脆弱點更容易為外界所悉并利用，因此，各

28、商業(yè)銀 行應重點關注電子銀行系統(tǒng)的風險防范創(chuàng)新性技術。一方面是通過行應重點關注電子銀行系統(tǒng)的風險防范創(chuàng)新性技術。一方面是通過 智力投入并輔以激勵機制提高內(nèi)部員工的創(chuàng)新能力；另一方面，商智力投入并輔以激勵機制提高內(nèi)部員工的創(chuàng)新能力；另一方面，商 業(yè)銀行可以借助科研機構力量，提供業(yè)務需求，而由科研機構完成業(yè)銀行可以借助科研機構力量，提供業(yè)務需求，而由科研機構完成 具體的研發(fā)工作。具體的研發(fā)工作。 5.提高提高IT外包服務管理的精細度外包服務管理的精細度 IT外包風險存在于外包服務過程中的每一個環(huán)節(jié)，需要對外包服外包風險存在于外包服務過程中的每一個環(huán)節(jié)，需要對外包服 務進行全程的精細化管理。一是通過

29、對外包服務商的水平作全面準確務進行全程的精細化管理。一是通過對外包服務商的水平作全面準確 的評估，選擇一個值得信賴、具有相當資質、能夠長期合作的的評估，選擇一個值得信賴、具有相當資質、能夠長期合作的IT服務服務 商，這是對技術外包服務進行精細化管理的前提條件。二是簽署詳細、商，這是對技術外包服務進行精細化管理的前提條件。二是簽署詳細、 全面的外包合同，包括外包服務的內(nèi)容和服務范圍、雙方在合同中的全面的外包合同，包括外包服務的內(nèi)容和服務范圍、雙方在合同中的 權利和義務、產(chǎn)權轉移方式、后續(xù)維護方案、安全性和保密性的要求權利和義務、產(chǎn)權轉移方式、后續(xù)維護方案、安全性和保密性的要求 等。三是在等。三是

30、在IT外包合同執(zhí)行期間，銀行要對服務商進行持續(xù)、有效的外包合同執(zhí)行期間，銀行要對服務商進行持續(xù)、有效的 監(jiān)督，監(jiān)督，IT專家、風險管理專家、審計專家要定期和不定期地對服務商專家、風險管理專家、審計專家要定期和不定期地對服務商 進行檢查，及時掌握合同的履行情況，并督促服務商按期保質地完成進行檢查，及時掌握合同的履行情況，并督促服務商按期保質地完成 合同規(guī)定的各項任務。四是在外包服務中，商業(yè)銀行要積極主動地學合同規(guī)定的各項任務。四是在外包服務中，商業(yè)銀行要積極主動地學 習，積累經(jīng)驗，盡可能地掌握技術要點，以降低依賴性風險，并爭取習，積累經(jīng)驗，盡可能地掌握技術要點，以降低依賴性風險，并爭取 開發(fā)和生

31、產(chǎn)具有完全自主知識產(chǎn)權的信息系統(tǒng)。開發(fā)和生產(chǎn)具有完全自主知識產(chǎn)權的信息系統(tǒng)。 謝謝！謝謝！ 合規(guī)是現(xiàn)代商業(yè)銀行經(jīng)營與管理的底線，同時合規(guī)是現(xiàn)代商業(yè)銀行經(jīng)營與管理的底線，同時 又是監(jiān)管當局維護金融穩(wěn)定的必然要求，也是又是監(jiān)管當局維護金融穩(wěn)定的必然要求，也是 銀行提升自身核心競爭力的內(nèi)在需求。銀行提升自身核心競爭力的內(nèi)在需求。 以以“治頑疾、樹新風、促合規(guī)治頑疾、樹新風、促合規(guī)”為主題，遵循為主題，遵循 “查找問題、分析問題、整改問題查找問題、分析問題、整改問題”的客觀規(guī)的客觀規(guī) 律，通過開展合規(guī)學習、合規(guī)討論等專項活動，律，通過開展合規(guī)學習、合規(guī)討論等專項活動， 促進全行員工依法合規(guī)經(jīng)營。促進全

32、行員工依法合規(guī)經(jīng)營。 我行活動目標：努力實現(xiàn)我行活動目標：努力實現(xiàn)“切實解決重點問切實解決重點問 題、建設良好合規(guī)文化、促進旺季各項業(yè)務題、建設良好合規(guī)文化、促進旺季各項業(yè)務 高質量發(fā)展、建立合規(guī)長效機制高質量發(fā)展、建立合規(guī)長效機制”。 4 5 電子銀行風險主要指的是電子支付安全問題，包括利用信用卡和電子銀行風險主要指的是電子支付安全問題，包括利用信用卡和ATM進進 行詐騙，或者利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號和密碼等一系列行詐騙，或者利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號和密碼等一系列 的犯罪行為。由于利用電子銀行的詐騙案件的偵破較為困難，所造成的的犯罪行為。由于利用電子銀行的詐騙案件的偵

33、破較為困難，所造成的 損失很多都無法挽回。案件的背后，固然有客戶防范意識薄弱、甄別能損失很多都無法挽回。案件的背后，固然有客戶防范意識薄弱、甄別能 力不強的原因，但也有銀行電子銀行系統(tǒng)安全保障措施不完善、安全宣力不強的原因，但也有銀行電子銀行系統(tǒng)安全保障措施不完善、安全宣 傳不到位等原因，這有可能會引發(fā)銀行的法律風險和聲譽風險，給銀行傳不到位等原因，這有可能會引發(fā)銀行的法律風險和聲譽風險，給銀行 造成損失。造成損失。 IT外包風險首先在于服務商能否長期穩(wěn)定地為銀行提供高質量服務，對于外包風險首先在于服務商能否長期穩(wěn)定地為銀行提供高質量服務，對于 信息系統(tǒng)故障能否及時響應并修復，以保障銀行業(yè)務的

34、連續(xù)性。其次，外信息系統(tǒng)故障能否及時響應并修復，以保障銀行業(yè)務的連續(xù)性。其次，外 包服務商在和銀行密切往來過程中會獲取一些銀行的內(nèi)部機密信息，給銀包服務商在和銀行密切往來過程中會獲取一些銀行的內(nèi)部機密信息，給銀 行帶來商業(yè)秘密泄露的風險。再次，銀行對于外包服務商的過度依賴性也行帶來商業(yè)秘密泄露的風險。再次，銀行對于外包服務商的過度依賴性也 是一種風險，將導致銀行在合同談判中處于不利地位，同時也會造成銀行是一種風險，將導致銀行在合同談判中處于不利地位，同時也會造成銀行 自身員工自身員工IT服務水平和創(chuàng)新能力受到限制。此外，外包公司人員長期和銀服務水平和創(chuàng)新能力受到限制。此外，外包公司人員長期和銀

35、 行來往甚至常駐銀行，但對銀行規(guī)章制度的理解與執(zhí)行上和銀行員工相比行來往甚至常駐銀行，但對銀行規(guī)章制度的理解與執(zhí)行上和銀行員工相比 存在一定差距，也可能會帶來風險隱患等。存在一定差距，也可能會帶來風險隱患等。 案例二、案例二、XX銀行數(shù)據(jù)中心設備掉電業(yè)務中斷案例 2011年9月21日0點30分，某銀行數(shù)據(jù)中心的物業(yè)公司電工 誤操作，導致該行一個機房內(nèi)所有設備掉電，包括核心系統(tǒng)、 網(wǎng)銀、卡系統(tǒng)等80多個應用系統(tǒng)中斷服務。事發(fā)后，銀監(jiān)會對 該行及其外包服務機構進行了現(xiàn)場核查。 事件背景與情況 該行所在集團統(tǒng)籌集團內(nèi)科技資源配置和信息化建設，指派 一家專業(yè)化、獨立核算子公司統(tǒng)一承擔集團各子公司的信息

36、化 建設和咨詢、機房與系統(tǒng)運維服務，并建立了集團集中的數(shù)據(jù) 中心。該行的信息系統(tǒng)開發(fā)、基礎平臺 （網(wǎng)絡、硬件設備及操 作系統(tǒng)、數(shù)據(jù)庫等）運維服務、機房基礎設施運維服務（包括 生產(chǎn)及災備機房）均外包給此公司，該公司又將機房電力維護 服務轉包給了物業(yè)公司。 2.構建全面的信息科技風險監(jiān)測和保障體系構建全面的信息科技風險監(jiān)測和保障體系 通過完善的質量控制和測試體系，對信息系統(tǒng)的開發(fā)進行嚴格的風通過完善的質量控制和測試體系，對信息系統(tǒng)的開發(fā)進行嚴格的風 險論證和風險測試，是控制信息系統(tǒng)風險的首要工作。商業(yè)銀行應該系險論證和風險測試，是控制信息系統(tǒng)風險的首要工作。商業(yè)銀行應該系 統(tǒng)開發(fā)與系統(tǒng)運行并重，在

37、做好系統(tǒng)開發(fā)、測試工作的同時，構建全面統(tǒng)開發(fā)與系統(tǒng)運行并重，在做好系統(tǒng)開發(fā)、測試工作的同時，構建全面 的信息科技風險監(jiān)測和保障體系，給信息系統(tǒng)建立一道抵御風險的有力的信息科技風險監(jiān)測和保障體系，給信息系統(tǒng)建立一道抵御風險的有力 屏障。屏障。 一方面，商業(yè)銀行應該對信息系統(tǒng)的運行狀況進行全程監(jiān)控，主一方面，商業(yè)銀行應該對信息系統(tǒng)的運行狀況進行全程監(jiān)控，主 干網(wǎng)絡是否通暢、自助設備是否正常運行、數(shù)據(jù)庫系統(tǒng)是否正常服務、干網(wǎng)絡是否通暢、自助設備是否正常運行、數(shù)據(jù)庫系統(tǒng)是否正常服務、 是否有網(wǎng)絡遭受外部非法入侵等都必須納入實時監(jiān)控范圍，以保障在發(fā)是否有網(wǎng)絡遭受外部非法入侵等都必須納入實時監(jiān)控范圍，以保障在發(fā) 生故障的第一時間作出響應。另一方面，商業(yè)銀行必須未雨綢繆，制定生故障的第一時間作出響應。另一方面，商業(yè)銀行必須未雨綢繆，制定 應急預案，做好業(yè)務連續(xù)性規(guī)劃、業(yè)務恢復機制、風險化解和轉移措施、應急預案，做好業(yè)務連續(xù)性規(guī)劃、業(yè)務恢復機制、風險化解和轉移措施、 數(shù)據(jù)備份方案等多方面的工作，并加強災備演練，以保障在突如其來的數(shù)據(jù)備份方案等多方面的工作，并加強災備演練，以保障在突如其來的 災難性事故面前，能從容應對，迅速恢復生產(chǎn)，盡可能降低事