淺析信息科技合規(guī)管理

淺析信息科技合規(guī)管理第1頁/共27頁四、信息科技風(fēng)險管理存在主要問題二、信息科技風(fēng)險的分類與目標(biāo)三、銀行業(yè)信息科技風(fēng)險案例一、開展合規(guī)大討論的意義五、信息科技風(fēng)險管理的策略和重點(diǎn)主要內(nèi)容第2頁/共27頁合規(guī)是現(xiàn)代商業(yè)銀行經(jīng)營與管理的底線，同時又是監(jiān)管當(dāng)局維護(hù)金融穩(wěn)定的必然要求，也是銀行提升自身核心競爭力的內(nèi)在需求。以“治頑疾、樹新風(fēng)、促合規(guī)”為主題，遵循“查找問題、分析問題、整改問題”的客觀規(guī)律，通過開展合規(guī)學(xué)習(xí)、合規(guī)討論等專項(xiàng)活動，促進(jìn)全行員工依法合規(guī)經(jīng)營。我行活動目標(biāo)：努力實(shí)現(xiàn)“切實(shí)解決重點(diǎn)問題、建設(shè)良好合規(guī)文化、促進(jìn)旺季各項(xiàng)業(yè)務(wù)高質(zhì)量發(fā)展、建立合規(guī)長效機(jī)制”。第3頁/共27頁四、信息科技風(fēng)險管理存在主要問題二、信息科技風(fēng)險的分類與目標(biāo)三、銀行業(yè)信息科技風(fēng)險案例一、開展合規(guī)大討論的意義五、信息科技風(fēng)險管理的策略和重點(diǎn)主要內(nèi)容第4頁/共27頁信息科技風(fēng)險分類業(yè)務(wù)中斷風(fēng)險數(shù)據(jù)安全風(fēng)險IT外包風(fēng)險系統(tǒng)漏洞風(fēng)險電子銀行風(fēng)險第5頁/共27頁1業(yè)務(wù)中斷風(fēng)險：保障業(yè)務(wù)連續(xù)性是商業(yè)銀行信息科技安全工作中最重要的組成部分。一旦產(chǎn)生軟硬件故障、系統(tǒng)超負(fù)荷運(yùn)行、主干網(wǎng)絡(luò)斷開、病毒傳播、人為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務(wù)的中斷。2數(shù)據(jù)安全風(fēng)險包括兩方面的含義。一是數(shù)據(jù)竊取，即數(shù)據(jù)在存儲介質(zhì)中或在傳輸過程中遭到竊取甚至惡意篡改，由于權(quán)限控制不嚴(yán)導(dǎo)致無關(guān)人員接觸到核心數(shù)據(jù)并導(dǎo)致機(jī)密數(shù)據(jù)外泄等。二是數(shù)據(jù)丟失，即由于自然災(zāi)害、房屋倒塌等突發(fā)事件造成的存儲介質(zhì)毀壞，導(dǎo)致存儲介質(zhì)中部分或全部數(shù)據(jù)丟失。3系統(tǒng)漏洞風(fēng)險是指銀行應(yīng)用系統(tǒng)的設(shè)計(jì)者由于對業(yè)務(wù)流程不熟悉，對風(fēng)險點(diǎn)未能全盤考慮，導(dǎo)致系統(tǒng)存在缺陷進(jìn)而被發(fā)現(xiàn)并利用。一般說來，系統(tǒng)漏洞風(fēng)險在設(shè)計(jì)之初難以發(fā)現(xiàn)，隨著系統(tǒng)的推廣及運(yùn)行，風(fēng)險才逐步暴露出來，因此系統(tǒng)漏洞風(fēng)險最能體現(xiàn)風(fēng)險的潛伏性。第6頁/共27頁45電子銀行風(fēng)險主要指的是電子支付安全問題，包括利用信用卡和ATM進(jìn)行詐騙，或者利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號和密碼等一系列的犯罪行為。由于利用電子銀行的詐騙案件的偵破較為困難，所造成的損失很多都無法挽回。案件的背后，固然有客戶防范意識薄弱、甄別能力不強(qiáng)的原因，但也有銀行電子銀行系統(tǒng)安全保障措施不完善、安全宣傳不到位等原因，這有可能會引發(fā)銀行的法律風(fēng)險和聲譽(yù)風(fēng)險，給銀行造成損失。IT外包風(fēng)險首先在于服務(wù)商能否長期穩(wěn)定地為銀行提供高質(zhì)量服務(wù)，對于信息系統(tǒng)故障能否及時響應(yīng)并修復(fù)，以保障銀行業(yè)務(wù)的連續(xù)性。其次，外包服務(wù)商在和銀行密切往來過程中會獲取一些銀行的內(nèi)部機(jī)密信息，給銀行帶來商業(yè)秘密泄露的風(fēng)險。再次，銀行對于外包服務(wù)商的過度依賴性也是一種風(fēng)險，將導(dǎo)致銀行在合同談判中處于不利地位，同時也會造成銀行自身員工IT服務(wù)水平和創(chuàng)新能力受到限制。此外，外包公司人員長期和銀行來往甚至常駐銀行，但對銀行規(guī)章制度的理解與執(zhí)行上和銀行員工相比存在一定差距，也可能會帶來風(fēng)險隱患等。第7頁/共27頁通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力.制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險評估計(jì)劃，確保配置足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略信息科技風(fēng)險管理目標(biāo)第8頁/共27頁系統(tǒng)開發(fā)、測試和維護(hù)業(yè)務(wù)連續(xù)性與應(yīng)急處置信息分級與保護(hù)訪問控制物理安全人員安全信息科技風(fēng)險管理策略包括但不限于下述領(lǐng)域第9頁/共27頁四、信息科技風(fēng)險管理存在主要問題二、信息科技風(fēng)險的分類與目標(biāo)三、銀行業(yè)信息科技風(fēng)險案例一、開展合規(guī)大討論的意義五、信息科技風(fēng)險管理的策略和重點(diǎn)主要內(nèi)容第10頁/共27頁某行海南分行供電中斷導(dǎo)致停業(yè)7.5小時2006年銀聯(lián)跨行交易全面中斷8小時某銀行核心系統(tǒng)數(shù)據(jù)庫故障全國中斷營業(yè)4小時某銀行供電中斷核心系統(tǒng)、網(wǎng)銀、卡系統(tǒng)等80多個應(yīng)用系統(tǒng)中斷服務(wù)2010200820062011商業(yè)銀行業(yè)務(wù)連續(xù)性風(fēng)險形勢第11頁/共27頁典型案例介紹第12頁/共27頁案例一、某銀行核心系統(tǒng)數(shù)據(jù)庫故障業(yè)務(wù)中斷案例某銀行核心系統(tǒng)長期以來一直依靠外包服務(wù)商進(jìn)行開發(fā)?，F(xiàn)正在使用的系統(tǒng)設(shè)計(jì)時最大日均處理能力為80萬筆，但隨著業(yè)務(wù)的發(fā)展，現(xiàn)日均處理能力要求達(dá)到210萬筆，導(dǎo)致該行系統(tǒng)處理能力與系統(tǒng)負(fù)載之間缺口極大。而外包服務(wù)商已不再對該核心系統(tǒng)提供升級服務(wù)，并且該行自2009年起，沒有購買維保服務(wù)。2010年，終于由于數(shù)據(jù)庫“長事務(wù)”引發(fā)邏輯故障，導(dǎo)致業(yè)務(wù)中斷。而由于該行的技術(shù)人員不掌握該系統(tǒng)的核心技術(shù)，加之對外包服務(wù)商缺乏有效的管理，導(dǎo)致系統(tǒng)維修不及時，致使業(yè)務(wù)中斷時間長達(dá)4小時20分鐘，在全國引發(fā)了極大的聲譽(yù)風(fēng)險。第13頁/共27頁案例二、XX銀行數(shù)據(jù)中心設(shè)備掉電業(yè)務(wù)中斷案例

2011年9月21日0點(diǎn)30分，某銀行數(shù)據(jù)中心的物業(yè)公司電工誤操作，導(dǎo)致該行一個機(jī)房內(nèi)所有設(shè)備掉電，包括核心系統(tǒng)、網(wǎng)銀、卡系統(tǒng)等80多個應(yīng)用系統(tǒng)中斷服務(wù)。事發(fā)后，銀監(jiān)會對該行及其外包服務(wù)機(jī)構(gòu)進(jìn)行了現(xiàn)場核查。事件背景與情況

該行所在集團(tuán)統(tǒng)籌集團(tuán)內(nèi)科技資源配置和信息化建設(shè)，指派一家專業(yè)化、獨(dú)立核算子公司統(tǒng)一承擔(dān)集團(tuán)各子公司的信息化建設(shè)和咨詢、機(jī)房與系統(tǒng)運(yùn)維服務(wù)，并建立了集團(tuán)集中的數(shù)據(jù)中心。該行的信息系統(tǒng)開發(fā)、基礎(chǔ)平臺（網(wǎng)絡(luò)、硬件設(shè)備及操作系統(tǒng)、數(shù)據(jù)庫等）運(yùn)維服務(wù)、機(jī)房基礎(chǔ)設(shè)施運(yùn)維服務(wù)（包括生產(chǎn)及災(zāi)備機(jī)房）均外包給此公司，該公司又將機(jī)房電力維護(hù)服務(wù)轉(zhuǎn)包給了物業(yè)公司。第14頁/共27頁案例二、XX銀行數(shù)據(jù)中心設(shè)備掉電業(yè)務(wù)中斷案例（續(xù)）

9月20日23點(diǎn)50分，根據(jù)供電局線路檢修要求，集團(tuán)數(shù)據(jù)中心的物業(yè)公司對高壓線路進(jìn)行例行切換操作。切換后高壓開關(guān)異常跳閘斷電，柴油發(fā)電機(jī)組自動啟動為機(jī)房供電。值班巡檢的物業(yè)電工誤認(rèn)為柴油發(fā)電機(jī)組異常，關(guān)閉了柴油發(fā)電機(jī)組供電，導(dǎo)致機(jī)房外部供電中斷，UPS放電為機(jī)房供電。數(shù)據(jù)中心機(jī)房值班人員21日凌晨0點(diǎn)10分發(fā)現(xiàn)UPS放電報警，隨后通知UPS廠商到現(xiàn)場支持，但未與物業(yè)電工溝通，至0點(diǎn)30分UPS電池電量全部耗盡，包括該行主要業(yè)務(wù)系統(tǒng)在內(nèi)的數(shù)據(jù)中心機(jī)房電力中斷，所有設(shè)備掉電。物業(yè)電工最終于O點(diǎn)35分發(fā)現(xiàn)高壓電閘開關(guān)跳閘，閉合電閘后機(jī)房市電供應(yīng)恢復(fù)。但一臺保存了五十多個系統(tǒng)數(shù)據(jù)的存儲設(shè)備（HPXP2400）在啟動后出現(xiàn)異常，至7點(diǎn)問題仍未解決，隨后該行啟用異地災(zāi)備系統(tǒng)，至12點(diǎn)直接面向客戶的關(guān)鍵業(yè)務(wù)系統(tǒng)均能正常對外提供服務(wù)，其他如信貸等管理系統(tǒng)至當(dāng)日下午18點(diǎn)45分恢復(fù)。第15頁/共27頁案例三、工行內(nèi)部通報6.23系統(tǒng)故障

2013年6月23日上午，全國多地中國工商銀行柜臺、ATM、網(wǎng)銀業(yè)務(wù)出現(xiàn)故障，持續(xù)近1個小時。工行內(nèi)部通報6.23系統(tǒng)故障系IBM軟件缺陷惹禍，作為服務(wù)2.92億個人客戶及400多萬公司客戶的全國金融服務(wù)巨頭，工行此次故障波及北京、上海、廣州、武漢、哈爾濱等多個大中型城市。當(dāng)日，工行將該事故對外模糊描述為：“中國工商銀行部分地區(qū)因計(jì)算機(jī)系統(tǒng)升級原因造成柜面和電子渠道業(yè)務(wù)辦理緩慢?！边@也是迄今為止工行就6·23事件向用戶發(fā)布的唯一公開解釋。第16頁/共27頁四、信息科技風(fēng)險管理存在主要問題二、信息科技風(fēng)險的分類與目標(biāo)三、銀行業(yè)信息科技風(fēng)險案例一、開展合規(guī)大討論的意義五、信息科技風(fēng)險管理的策略和重點(diǎn)主要內(nèi)容第17頁/共27頁132

網(wǎng)絡(luò)應(yīng)用安全存在的問題：生產(chǎn)網(wǎng)設(shè)備違規(guī)接入互聯(lián)網(wǎng)；網(wǎng)絡(luò)邊界無安全設(shè)備。解決措施：綁定所有接入的設(shè)備，在網(wǎng)絡(luò)邊界部署NIDS或NIPS等安全設(shè)備。密碼管理安全存在的問題：登陸未退出就離開操作現(xiàn)場；密碼設(shè)定簡單；未能定期更換密碼；保密意識不強(qiáng)解決措施：完善密碼管理制度，加強(qiáng)培訓(xùn)，增強(qiáng)密碼安全管理的意識，對發(fā)現(xiàn)的問題嚴(yán)肅追究責(zé)任。數(shù)據(jù)安全存在的問題：數(shù)據(jù)使用周期無法控制；使用單位對敏感信息要求太全面；存儲設(shè)備未無法做消磁處理。解決措施：通過技術(shù)手段控制數(shù)據(jù)的使用和銷毀，加強(qiáng)數(shù)據(jù)安全保密的培訓(xùn)，制定對敏感信息傳輸、使用、銷毀的技術(shù)控制手段。第18頁/共27頁465機(jī)房安全存在的問題：缺乏基礎(chǔ)設(shè)施運(yùn)維人員（配電、UPS、精密空調(diào)），無入侵檢測設(shè)備解決措施：組織科技部人員學(xué)習(xí)相關(guān)基礎(chǔ)知識，培訓(xùn)基本技能，做好基本的操作和問題判斷；系統(tǒng)安全存在的問題：關(guān)鍵崗位難以做到徹底權(quán)限制約；基礎(chǔ)運(yùn)維人員缺乏，均為兼職，存在風(fēng)險隱患。解決措施：加強(qiáng)部門的系統(tǒng)安全管理和意識教育，建議分行對信息科技工作進(jìn)行審計(jì)。風(fēng)險管理制度建設(shè)存在的問題：相關(guān)制度及應(yīng)急預(yù)案不健全。解決措施：完善相關(guān)制度和應(yīng)急預(yù)案，按要求進(jìn)行各項(xiàng)演練。第19頁/共27頁四、信息科技風(fēng)險管理存在主要問題二、信息科技風(fēng)險的分類與目標(biāo)三、銀行業(yè)信息科技風(fēng)險案例一、開展合規(guī)大討論的意義五、信息科技風(fēng)險管理的策略和重點(diǎn)主要內(nèi)容第20頁/共27頁1.建立完善的信息科技風(fēng)險管理制度

制度是安全生產(chǎn)的生命線，要有效防控信息科技風(fēng)險，首要的是建立完善的信息科技安全管理制度，以制度約束人的行為，以制度明確人的責(zé)任，以制度指導(dǎo)人的思想。商業(yè)銀行必須高度重視信息科技安全管理制度的建立與完善，以安全生產(chǎn)為主線，深入分析信息系統(tǒng)風(fēng)險點(diǎn)，有的放矢，從快、從嚴(yán)建立內(nèi)部管理制度。同時還應(yīng)積極跟蹤信息系統(tǒng)運(yùn)行狀況，及時發(fā)現(xiàn)新問題、新風(fēng)險點(diǎn)，并及時完善制度，從源頭上盡可能地降低風(fēng)險事件發(fā)生的可能性。對整個信息科技風(fēng)險的防控工作全盤把握，其責(zé)任覆蓋商業(yè)銀行自上而下的信息科技風(fēng)險管理體系。

第21頁/共27頁2.構(gòu)建全面的信息科技風(fēng)險監(jiān)測和保障體系

通過完善的質(zhì)量控制和測試體系，對信息系統(tǒng)的開發(fā)進(jìn)行嚴(yán)格的風(fēng)險論證和風(fēng)險測試，是控制信息系統(tǒng)風(fēng)險的首要工作。商業(yè)銀行應(yīng)該系統(tǒng)開發(fā)與系統(tǒng)運(yùn)行并重，在做好系統(tǒng)開發(fā)、測試工作的同時，構(gòu)建全面的信息科技風(fēng)險監(jiān)測和保障體系，給信息系統(tǒng)建立一道抵御風(fēng)險的有力屏障。一方面，商業(yè)銀行應(yīng)該對信息系統(tǒng)的運(yùn)行狀況進(jìn)行全程監(jiān)控，主干網(wǎng)絡(luò)是否通暢、自助設(shè)備是否正常運(yùn)行、數(shù)據(jù)庫系統(tǒng)是否正常服務(wù)、是否有網(wǎng)絡(luò)遭受外部非法入侵等都必須納入實(shí)時監(jiān)控范圍，以保障在發(fā)生故障的第一時間作出響應(yīng)。另一方面，商業(yè)銀行必須未雨綢繆，制定應(yīng)急預(yù)案，做好業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險化解和轉(zhuǎn)移措施、數(shù)據(jù)備份方案等多方面的工作，并加強(qiáng)災(zāi)備演練，以保障在突如其來的災(zāi)難性事故面前，能從容應(yīng)對，迅速恢復(fù)生產(chǎn)，盡可能降低事故造成的損失。第22頁/共27頁3.積極推進(jìn)信息科技隊(duì)伍建設(shè)，提高IT服務(wù)水平

商業(yè)銀行要樹立“以人為本”的科學(xué)管理理念，注重培養(yǎng)員工風(fēng)險防范意識和風(fēng)險防范能力，提高員工的信息科技水平。首先，商業(yè)銀行要建立與信息科技工作崗位相適應(yīng)、與業(yè)務(wù)發(fā)展程度緊密聯(lián)系的培訓(xùn)制度，同時還應(yīng)鼓勵員工積極參與國家認(rèn)可的考試認(rèn)證,以提高信息科技工作者的業(yè)務(wù)水平和對各項(xiàng)信息科技風(fēng)險的認(rèn)知深度,從而也能提升整個商業(yè)銀行的IT服務(wù)檔次。其次，要對人員采取適當(dāng)?shù)募畲胧?，建立與經(jīng)濟(jì)發(fā)展相協(xié)調(diào)、與銀行業(yè)金融機(jī)構(gòu)工資水平相適應(yīng)、與工作業(yè)績掛鉤的工資決定機(jī)制，以吸引人才、使用人才，盡可能地調(diào)動人才的主觀能動性，充分發(fā)揮其聰明才智。有了相當(dāng)?shù)娜瞬艃?，從長遠(yuǎn)來說，不僅僅是對于商業(yè)銀行的信息科技風(fēng)險防范水平的提升，整個商業(yè)銀行的服務(wù)水平都將得到質(zhì)的提高。第23頁/共27頁4.鼓勵信息科技風(fēng)險防范技術(shù)創(chuàng)新性研究

加強(qiáng)金融技術(shù)創(chuàng)新性研究，用新技術(shù)裝備信息系統(tǒng)，以提高信息系統(tǒng)的自我風(fēng)險抵御能力，是商業(yè)銀行提高信息科技風(fēng)險防御能力的一個重要方法。只有不斷通過創(chuàng)新性技術(shù)完善信息系統(tǒng)，抵御新的風(fēng)險，才能有效提高信息系統(tǒng)的安全性。電子支付系統(tǒng)由于直接面向客戶，其脆弱點(diǎn)更容易為外界所悉并利用，因此，各商業(yè)銀行應(yīng)重點(diǎn)關(guān)注電子銀行系統(tǒng)的風(fēng)險防范創(chuàng)新性技術(shù)。一方面是通過智力投入并輔以激勵機(jī)制提高內(nèi)部員工的創(chuàng)新能力；另一方面，商業(yè)銀行可以借助科研機(jī)構(gòu)力量，提供業(yè)務(wù)需求，而由科研機(jī)構(gòu)完成具體的研發(fā)工作。第24頁/共27頁5.提高IT外包服務(wù)管理的精細(xì)度

IT外包風(fēng)險存在于外包服務(wù)過程中的每一個環(huán)節(jié)，需要對外包服務(wù)進(jìn)行全程的精細(xì)化管理。一是通過對外包服務(wù)商的水平作全面準(zhǔn)確的評估，選擇一個值得信賴、具有相當(dāng)資質(zhì)、能夠長期合作的IT服務(wù)商，這是對技術(shù)外包服務(wù)進(jìn)行精細(xì)化管理的前提條件。二是簽署詳細(xì)、全面的外包