信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件

一、“互聯(lián)網(wǎng)+”和大數(shù)據(jù)帶來的機(jī)遇與風(fēng)險(xiǎn)

二、海外國(guó)家對(duì)客戶信息保護(hù)的要求與啟示

18

三、我國(guó)監(jiān)管對(duì)客戶信息保護(hù)的要求

52

四、我們的建議：銀行業(yè)應(yīng)對(duì)之道

55

第2頁信息科技風(fēng)險(xiǎn)管理信息科技部2016年3月25日信息科技風(fēng)險(xiǎn)管理信息科技部1主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科技風(fēng)險(xiǎn)管理概述及重要性33我行信息科技風(fēng)險(xiǎn)管理中存在的不足及策略34我行信息科技風(fēng)險(xiǎn)管理下一步工作要求主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科2

（一）近期信息科技風(fēng)險(xiǎn)案例分析（二）當(dāng)前國(guó)內(nèi)外信息安全形勢(shì)（三）銀行業(yè)在信息科技風(fēng)險(xiǎn)管理中存在的問題1（一）近期信息科技風(fēng)險(xiǎn)案例分析（二）當(dāng)前國(guó)內(nèi)外信息安全形勢(shì)3信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件4信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件5信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件67

在線銀行——一顆定時(shí)炸彈。

最近，南非的Absa銀行遇到了麻煩，它的互聯(lián)網(wǎng)銀行服務(wù)發(fā)生一系列安全事件，導(dǎo)致其客戶成百萬美元的損失。Absa銀行聲稱自己的系統(tǒng)是絕對(duì)安全的，而把責(zé)任歸結(jié)為客戶所犯的安全錯(cuò)誤上。Absa銀行的這種處理方式遭致廣泛批評(píng)。那么，究竟是怎么回事呢？

一起國(guó)外的金融計(jì)算機(jī)犯罪案例7在線銀行——一顆定時(shí)炸彈。一起國(guó)外的金融計(jì)算機(jī)犯罪78間諜軟件——eBlaster

這是一個(gè)商業(yè)軟件（），該軟件本意是幫助父母或老板監(jiān)視孩子或雇員的上網(wǎng)活動(dòng)該軟件可記錄包括電子郵件、網(wǎng)上聊天、即使消息、Web訪問、鍵盤操作等活動(dòng)，并將記錄信息悄悄發(fā)到指定郵箱商業(yè)殺毒軟件一般都忽略了這個(gè)商業(yè)軟件本案犯罪人就是用郵件附件方式，欺騙受害者執(zhí)行該軟件，然后竊取其網(wǎng)上銀行賬號(hào)和PIN碼信息的8間諜軟件——eBlaster這是一個(gè)商業(yè)軟件（），該89我們來總結(jié)一下教訓(xùn)

Absa聲稱不是自己的責(zé)任，而是客戶的問題安全專家和權(quán)威評(píng)論員則認(rèn)為：Absa應(yīng)負(fù)必要責(zé)任，其電子銀行的安全性值得懷疑

Deloitte安全專家RoganDawes認(rèn)為：Absa應(yīng)向其客戶灌輸更多安全意識(shí)，并在易用性和安全性方面達(dá)成平衡

IT技術(shù)專家則認(rèn)為：電子銀行應(yīng)采用更強(qiáng)健的雙因素認(rèn)證機(jī)制（口令或PIN＋智能卡），而不是簡(jiǎn)單的口令我們認(rèn)為：Absa銀行和客戶都有責(zé)任9我們來總結(jié)一下教訓(xùn)Absa聲稱不是自己的責(zé)任，而是客戶的910國(guó)內(nèi)金融計(jì)算機(jī)犯罪的典型案例

一名普通的系統(tǒng)維護(hù)人員，輕松破解數(shù)道密碼，進(jìn)入郵政儲(chǔ)蓄網(wǎng)絡(luò)，盜走83.5萬元。這起利用網(wǎng)絡(luò)進(jìn)行金融盜竊犯罪的案件不久前被甘肅省定西地區(qū)公安機(jī)關(guān)破獲……

————

人民日?qǐng)?bào)，2003年12月時(shí)間：2003年11月地點(diǎn)：甘肅省定西地區(qū)臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所人物：一個(gè)普通的系統(tǒng)管理員10國(guó)內(nèi)金融計(jì)算機(jī)犯罪的典型案例一名普通的系統(tǒng)維護(hù)人1011怪事是這么發(fā)生的……

2003年10月5日，定西臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所的營(yíng)業(yè)電腦突然死機(jī)工作人員以為是一般的故障，對(duì)電腦進(jìn)行了簡(jiǎn)單的修復(fù)和重裝處理

17日，工作人員發(fā)現(xiàn)打印出的報(bào)表儲(chǔ)蓄余額與實(shí)際不符，對(duì)賬發(fā)現(xiàn)，13日發(fā)生了11筆交易，83.5萬異地帳戶是虛存（有交易記錄但無實(shí)際現(xiàn)金）緊急與開戶行聯(lián)系，發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半儲(chǔ)蓄所向縣公安局報(bào)案公安局向定西公安處匯報(bào)公安處成立專案組，同時(shí)向省公安廳上報(bào)

……11怪事是這么發(fā)生的……2003年10月5日，定西臨洮縣1112當(dāng)然，最終結(jié)果不錯(cuò)……

經(jīng)過縝密的調(diào)查取證，我英勇機(jī)智的公安干警終于一舉抓獲這起案件的罪魁禍?zhǔn)住?/p>

會(huì)寧郵政局一個(gè)普通的系統(tǒng)維護(hù)人員張某12當(dāng)然，最終結(jié)果不錯(cuò)……經(jīng)過縝密的調(diào)查取證，我英1213事情的經(jīng)過原來是這樣的……③登錄到永登郵政局永登臨洮④破解口令，登錄到臨洮一個(gè)郵政儲(chǔ)蓄所①會(huì)寧的張某用假身份證在蘭州開了8個(gè)活期帳戶②張某借工作之便，利用筆記本電腦連接電纜到郵政儲(chǔ)蓄專網(wǎng)會(huì)寧⑤向這些帳戶虛存83.5萬，退出系統(tǒng)前刪掉了打印操作系統(tǒng)⑥最后，張某在蘭州和西安等地提取現(xiàn)金13事情的經(jīng)過原來是這樣的……③登錄到永登郵政局永登臨洮1314到底哪里出了紕漏……張某29歲，畢業(yè)于郵電學(xué)院，資質(zhì)平平，談不上精通計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)郵政儲(chǔ)蓄網(wǎng)絡(luò)的防范可謂嚴(yán)密：與Internet物理隔離的專網(wǎng)；配備了防火墻；從前臺(tái)分機(jī)到主機(jī)經(jīng)過數(shù)重密碼認(rèn)證14到底哪里出了紕漏……張某29歲，畢業(yè)于郵電學(xué)院，資質(zhì)平1415可還是出事了，郁悶呀

問題究竟出在哪里？思考中……哦，原來如此——15可還是出事了，郁悶呀1516看來，問題真的不少呀……

張某私搭電纜，沒人過問和阻止，使其輕易進(jìn)入郵政儲(chǔ)蓄專網(wǎng)臨洮縣太石鎮(zhèn)的郵政儲(chǔ)蓄網(wǎng)點(diǎn)使用原始密碼，沒有定期更改，而且被員工周知，致使張某輕松突破數(shù)道密碼關(guān)，直接進(jìn)入了操作系統(tǒng)問題出現(xiàn)時(shí)，工作人員以為是網(wǎng)絡(luò)系統(tǒng)故障，沒有足夠重視

……16看來，問題真的不少呀……張某私搭電纜，沒人過問和阻1617總結(jié)教訓(xùn)……

最直接的教訓(xùn)：漠視口令安全帶來惡果！歸根到底，是管理上存在漏洞，人員安全意識(shí)淡薄安全意識(shí)的提高刻不容緩！17總結(jié)教訓(xùn)……最直接的教訓(xùn)：漠視口令安全帶來惡果！安17信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件18信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件19信息科技風(fēng)險(xiǎn)管理培訓(xùn)課件20

（一）近期信息科技風(fēng)險(xiǎn)案例分析（二）當(dāng)前國(guó)內(nèi)外信息安全形勢(shì)（三）銀行業(yè)在信息科技風(fēng)險(xiǎn)管理中存在的問題1（一）近期信息科技風(fēng)險(xiǎn)案例分析（二）當(dāng)前國(guó)內(nèi)外信息安全形勢(shì)21國(guó)外信息安全形勢(shì)2013年，“棱鏡門”事件引爆了全球網(wǎng)絡(luò)空間的連鎖反應(yīng)，國(guó)際社會(huì)對(duì)信息安全的重視程度陡然上升，越來越多的國(guó)家將信息安全列為國(guó)家安全的重要組成部分，紛紛采取各種措施，強(qiáng)化網(wǎng)絡(luò)空間信息安全。網(wǎng)絡(luò)空間博弈加劇，呈現(xiàn)政治化、軍事化趨勢(shì)針對(duì)金融機(jī)構(gòu)和電信網(wǎng)絡(luò)的隱性攻擊以及針對(duì)普通民眾的網(wǎng)絡(luò)詐騙越來越嚴(yán)重。云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新模式的應(yīng)用和發(fā)展，帶來了安全技術(shù)的新一輪變革。與此同時(shí)，安全威脅也顯著增長(zhǎng)，信息的獲取防范、存儲(chǔ)形態(tài)、傳輸渠道和處理方式均發(fā)生了新的變化。國(guó)外信息安全形勢(shì)2013年，“棱鏡門”事件引爆了全球網(wǎng)絡(luò)空間22國(guó)內(nèi)信息安全形勢(shì)

我國(guó)各類關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)整體運(yùn)行平穩(wěn)，未發(fā)生造成國(guó)家重大損失的安全事件，但是來自境外針對(duì)我國(guó)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊、竊密持續(xù)不斷，同時(shí)由于自身信息安全保障不足而引發(fā)的安全事件也時(shí)有發(fā)生。

目前，我國(guó)信息安全自主可控能力嚴(yán)重不足，中高端技術(shù)和產(chǎn)品大部分控制權(quán)在國(guó)外，受制于人，嚴(yán)重降低了信息安全自主保障的強(qiáng)度。國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)大量采用國(guó)外信息技術(shù)產(chǎn)品，雖然推廣國(guó)產(chǎn)產(chǎn)品已經(jīng)形成共識(shí)，但短期內(nèi)還難以做到完全替代。國(guó)外產(chǎn)品存在的漏洞和后門隱患，已經(jīng)嚴(yán)重影響我國(guó)國(guó)家信息安全。

我國(guó)在信息安全保障方面還存在很多短板，技術(shù)創(chuàng)新和管理的創(chuàng)新能力弱、關(guān)鍵核心技術(shù)受制于人、參與國(guó)際治理的經(jīng)驗(yàn)不足等。技術(shù)上創(chuàng)新世界領(lǐng)先技術(shù)少，更多地仍處于學(xué)習(xí)引進(jìn)階段，為國(guó)際社會(huì)做出的貢獻(xiàn)有限；管理上仍存在體制性障礙和結(jié)構(gòu)性矛盾，一直采用“各司其職、分兵把守”的管理體制，在應(yīng)對(duì)互聯(lián)網(wǎng)不斷涌現(xiàn)的諸多問題和挑戰(zhàn)中，缺乏規(guī)范有序的管理新機(jī)制；國(guó)內(nèi)信息安全形勢(shì)我國(guó)各類關(guān)鍵信息基礎(chǔ)設(shè)施和重23

（一）近期信息科技風(fēng)險(xiǎn)案例分析（二）當(dāng)前國(guó)內(nèi)外信息安全形勢(shì)（三）銀行業(yè)在信息科技風(fēng)險(xiǎn)管理中存在的問題1（一）近期信息科技風(fēng)險(xiǎn)案例分析（二）當(dāng)前國(guó)內(nèi)外信息安全形勢(shì)24信息安全工作存在的主要問題三個(gè)“忽視”

重視安全技術(shù)，忽視安全管理重視外部防護(hù)，忽視內(nèi)部安全重視產(chǎn)品購買，忽視產(chǎn)品使用三個(gè)“缺乏”

缺乏統(tǒng)一安全架構(gòu)規(guī)劃與協(xié)調(diào)缺乏信息安全組織與治理缺乏信息安全意識(shí)教育與培訓(xùn)有點(diǎn)無面不成體系！訪問控制SOC身份認(rèn)證監(jiān)控審計(jì)內(nèi)容安全備份恢復(fù)管理制度信息安全工作存在的主要問題三個(gè)“忽視”有點(diǎn)無面訪問控制S25銀行業(yè)在信息科技風(fēng)險(xiǎn)管理中存在的突出問題

目前，我國(guó)銀行業(yè)的信息科技建設(shè)正處于高速發(fā)展期，隨著銀行業(yè)務(wù)對(duì)信息科技的高度依賴，使得計(jì)算機(jī)信息系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個(gè)銀行業(yè)的安全和國(guó)家金融體系的穩(wěn)定。銀行業(yè)信息科技在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時(shí)，信息科技風(fēng)險(xiǎn)管理卻相對(duì)顯得十分薄弱，信息科技管理存在3大風(fēng)險(xiǎn)。

一是僅從技術(shù)層面強(qiáng)調(diào)對(duì)信息安全的控制，缺乏在管理層面上的協(xié)調(diào)和重視。

二是缺乏一套完善信息科技管理體系，缺乏完善的信息安全治理架構(gòu)來指導(dǎo)信息科技管理。

三是缺少對(duì)銀行信息科技發(fā)展的前瞻性認(rèn)識(shí)。銀行業(yè)在信息科技風(fēng)險(xiǎn)管理中存在的突出問題目前，我國(guó)銀26主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科技風(fēng)險(xiǎn)管理概述及重要性33我行信息科技風(fēng)險(xiǎn)管理中存在的不足及策略34我行信息科技風(fēng)險(xiǎn)管理下一步工作要求主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科27

（一）信息科技風(fēng)險(xiǎn)管理概述及風(fēng)險(xiǎn)點(diǎn)（二）加強(qiáng)信息科技風(fēng)險(xiǎn)管控的重要性（三）郵儲(chǔ)銀行信息科技風(fēng)險(xiǎn)管理規(guī)劃方向2（一）信息科技風(fēng)險(xiǎn)管理概述及風(fēng)險(xiǎn)點(diǎn)（二）加強(qiáng)信息科技風(fēng)險(xiǎn)管28信息科技風(fēng)險(xiǎn)的定義

信息科技風(fēng)險(xiǎn)是一種業(yè)務(wù)風(fēng)險(xiǎn)——具體說來，是和企業(yè)中與信息科技的使用、擁有、運(yùn)營(yíng)、參與、影響和適應(yīng)的業(yè)務(wù)風(fēng)險(xiǎn)——國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)《IT風(fēng)險(xiǎn)管理框架》信息科技風(fēng)險(xiǎn)風(fēng)險(xiǎn)是因以下一種或幾種原因，而導(dǎo)致的法律責(zé)任或無法實(shí)現(xiàn)公司計(jì)劃：?對(duì)信息未經(jīng)批準(zhǔn)的披露、修改與銷毀?無意的錯(cuò)誤或遺漏?因人為或自然災(zāi)害導(dǎo)致的IT中斷?無法實(shí)現(xiàn)在IT實(shí)施與運(yùn)維過程中的嚴(yán)謹(jǐn)與謹(jǐn)慎——美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所《IT系統(tǒng)的風(fēng)險(xiǎn)管理指引》信息科技風(fēng)險(xiǎn)的定義信息科技風(fēng)險(xiǎn)是一種業(yè)務(wù)風(fēng)險(xiǎn)——29信息科技風(fēng)險(xiǎn)的定義

信息科技風(fēng)險(xiǎn)，是指信息科技在我行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)我行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)我行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。Information信息科技風(fēng)險(xiǎn)的定義信息科技風(fēng)險(xiǎn)，是指信息科技在我行30信息科技風(fēng)險(xiǎn)的組成風(fēng)險(xiǎn)是指風(fēng)險(xiǎn)管控措施的脆弱性被風(fēng)險(xiǎn)威脅所利用的結(jié)果。風(fēng)險(xiǎn)威脅是指對(duì)信息系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件自然因素人員因素環(huán)境因素?風(fēng)險(xiǎn)管控脆弱性是指能被風(fēng)險(xiǎn)威脅利用的人、流程或技術(shù)等方面的弱點(diǎn)?管控人員?管控技術(shù)?管控流程信息科技風(fēng)險(xiǎn)的組成風(fēng)險(xiǎn)是指風(fēng)險(xiǎn)管控措施的脆弱性被風(fēng)險(xiǎn)威脅所利31

IT風(fēng)險(xiǎn)管理就是對(duì)風(fēng)險(xiǎn)威脅與風(fēng)險(xiǎn)管控的脆弱性進(jìn)行管理。威脅脆弱性信息科技風(fēng)險(xiǎn)管理管什么IT風(fēng)險(xiǎn)管理就是對(duì)風(fēng)險(xiǎn)威脅與風(fēng)險(xiǎn)管控的脆弱32信息科技風(fēng)險(xiǎn)的特點(diǎn)1、廣泛性各大商業(yè)銀行先后實(shí)現(xiàn)了數(shù)據(jù)大集中處理模式。數(shù)據(jù)大集中為各金融機(jī)構(gòu)帶來巨大的效益和管理上的便利，但是也埋下了各種安全隱患。2、潛伏性風(fēng)險(xiǎn)的潛伏性是指在特定的外部環(huán)境下安全隱患容易被忽視，新的風(fēng)險(xiǎn)點(diǎn)會(huì)隨著環(huán)境變化逐步暴露出來。由于銀行業(yè)務(wù)的高速增長(zhǎng)以及信息技術(shù)的飛速發(fā)展，使得信息科技風(fēng)險(xiǎn)具有典型的潛伏性。3、非標(biāo)準(zhǔn)性風(fēng)險(xiǎn)需要通過資產(chǎn)化、價(jià)值化等標(biāo)準(zhǔn)化過程進(jìn)行計(jì)量，對(duì)經(jīng)過計(jì)量的風(fēng)險(xiǎn)再采取成本恰當(dāng)、成本可控的風(fēng)險(xiǎn)防控手段。但是，對(duì)信息科技風(fēng)險(xiǎn)來說，很難制定一個(gè)統(tǒng)一的標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)量。

信息科技風(fēng)險(xiǎn)的特點(diǎn)1、廣泛性33信息科技風(fēng)險(xiǎn)的分類信息科技風(fēng)險(xiǎn)包括：信息系統(tǒng)本身固有的風(fēng)險(xiǎn)人的風(fēng)險(xiǎn)數(shù)據(jù)安全風(fēng)險(xiǎn)電子銀行風(fēng)險(xiǎn)IT外包風(fēng)險(xiǎn)安全管理風(fēng)險(xiǎn)信息科技風(fēng)險(xiǎn)的分類信息科技風(fēng)險(xiǎn)包括：34信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（一）

信息系統(tǒng)本身固有的風(fēng)險(xiǎn)：信息系統(tǒng)軟硬件本身存在著脆弱性，在這些脆弱性被觸發(fā)和利用時(shí)，就會(huì)產(chǎn)生風(fēng)險(xiǎn)，我們主要面臨一下三個(gè)方面的風(fēng)險(xiǎn)：（一）業(yè)務(wù)中斷風(fēng)險(xiǎn)。（二）系統(tǒng)漏洞風(fēng)險(xiǎn)。（三）系統(tǒng)版本及管理風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（一）信息系統(tǒng)本身固有的35信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（二）人的風(fēng)險(xiǎn)（一）內(nèi)部人員誤操作或工作失誤造成的風(fēng)險(xiǎn)。（二）信息科技培訓(xùn)未能按時(shí)開展，信息科技風(fēng)險(xiǎn)防范意識(shí)薄弱。（三）信息科技人員一人兼多崗或是常年固定在一個(gè)崗位上，眾多系統(tǒng)維護(hù)工作集于一身。A/B角制度難以真正有效落實(shí)，關(guān)鍵崗位未能落實(shí)備份人員。軟件開發(fā)崗和維護(hù)崗未能嚴(yán)格分離。（四）生產(chǎn)系統(tǒng)性能未能定期檢查分析。信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（二）人的風(fēng)險(xiǎn)36信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（三）

數(shù)據(jù)安全風(fēng)險(xiǎn)：數(shù)據(jù)安全風(fēng)險(xiǎn)包括三方面:（一）數(shù)據(jù)竊取，即數(shù)據(jù)在存儲(chǔ)過程中或在傳輸過程中未按我行數(shù)據(jù)安全相關(guān)規(guī)定遭到竊取甚至惡意篡改，由于權(quán)限控制不嚴(yán)導(dǎo)致無關(guān)人員接觸到核心數(shù)據(jù)并導(dǎo)致機(jī)密數(shù)據(jù)外泄等。（二）數(shù)據(jù)缺失，未按照轉(zhuǎn)存方案進(jìn)行數(shù)據(jù)轉(zhuǎn)存、清理和恢復(fù)，導(dǎo)致存儲(chǔ)介質(zhì)過期失效，或未將操作系統(tǒng)文件、參數(shù)、版本、中間業(yè)務(wù)平臺(tái)等的相關(guān)數(shù)據(jù)的備份那屋數(shù)據(jù)管理范疇，造成某個(gè)系統(tǒng)出現(xiàn)異常后，不能在短時(shí)間內(nèi)得到正常恢復(fù)，影響業(yè)務(wù)連續(xù)性。（三）數(shù)據(jù)丟失，即由于自然災(zāi)害、房屋倒塌等突發(fā)事件造成的存儲(chǔ)介質(zhì)中部分會(huì)全部數(shù)據(jù)丟失。信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（三）數(shù)據(jù)安全風(fēng)險(xiǎn)：數(shù)據(jù)安全風(fēng)險(xiǎn)37信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（四）電子銀行風(fēng)險(xiǎn)：

電子銀行風(fēng)險(xiǎn)主要指的是電子支付安全問題，包括利用信用卡和ATM進(jìn)行詐騙，或者利用釣魚網(wǎng)站、木馬程序盜取客戶的賬號(hào)和密碼等一系列犯罪行為。案件的背后，固然有科技防范意識(shí)薄弱、甄別能力不強(qiáng)等原因，但也有電子銀行系統(tǒng)安全防護(hù)措施不完善、安全宣傳不到位等原因。信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（四）電子銀行風(fēng)險(xiǎn)：38信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（五）IT外包風(fēng)險(xiǎn)：首先在于服務(wù)商能否長(zhǎng)期有穩(wěn)定的為銀行提供高質(zhì)量服務(wù)，對(duì)于信息系統(tǒng)故障能否及時(shí)響應(yīng)并修復(fù)，以保證銀行業(yè)務(wù)的連續(xù)性。其次，外包服務(wù)商在和銀行密切往來過程中會(huì)獲取一些銀行的內(nèi)部機(jī)密信息，給銀行帶來商業(yè)秘密泄露的風(fēng)險(xiǎn)。再次，銀行對(duì)于外包服務(wù)商的過度依賴性也是一種風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（五）IT外包風(fēng)險(xiǎn)：39信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（六）

安全管理風(fēng)險(xiǎn)。（一）信息科技管理相關(guān)制度不完善，或是不能將上級(jí)行的制度本地化。（二）未建立行內(nèi)信息科技主管行領(lǐng)導(dǎo)和中層領(lǐng)導(dǎo)共同參與的信息安全組織架構(gòu)，或是未有效行使該機(jī)構(gòu)職能。（三）對(duì)信息安全日常管理工作（包括信息安全檢查、信息科技風(fēng)險(xiǎn)培訓(xùn)、病毒防治、不合規(guī)軟件清理等）存在執(zhí)行不到位的情況。（四）各級(jí)機(jī)構(gòu)風(fēng)險(xiǎn)管理部及審計(jì)部門未能切實(shí)發(fā)揮信息科技風(fēng)險(xiǎn)管理“三道防線”作用信息科技風(fēng)險(xiǎn)的風(fēng)險(xiǎn)點(diǎn)（六）安全管理風(fēng)險(xiǎn)。40

（一）信息科技風(fēng)險(xiǎn)管理概述及風(fēng)險(xiǎn)點(diǎn)（二）加強(qiáng)信息科技風(fēng)險(xiǎn)管控的重要性（三）郵儲(chǔ)銀行信息科技風(fēng)險(xiǎn)管理規(guī)劃方向2（一）信息科技風(fēng)險(xiǎn)管理概述及風(fēng)險(xiǎn)點(diǎn)（二）加強(qiáng)信息科技風(fēng)險(xiǎn)管41信息安全上升到國(guó)家安全高度美國(guó)---《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》，美國(guó)21世紀(jì)的經(jīng)濟(jì)繁榮依賴于網(wǎng)絡(luò)空間安全將網(wǎng)絡(luò)空間安全威脅定位為舉國(guó)面臨的最嚴(yán)重的國(guó)家經(jīng)濟(jì)和國(guó)家安全挑戰(zhàn)之一英國(guó)---《英國(guó)網(wǎng)絡(luò)安全戰(zhàn)略》使英國(guó)面對(duì)網(wǎng)絡(luò)攻擊的恢復(fù)力更強(qiáng)，并保護(hù)其在網(wǎng)絡(luò)空間中的利益；幫助塑造一個(gè)可供英國(guó)大眾安全使用的、開放的、穩(wěn)定的、充滿活力的網(wǎng)絡(luò)空間，并進(jìn)一步支撐社會(huì)開放；中國(guó)---國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略形成十六屆四中全會(huì)首次明確將信息安全作為國(guó)家安全的主要內(nèi)容2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，中共中央總書記、國(guó)家主席、中央軍委主席習(xí)近平親自擔(dān)任組長(zhǎng)。網(wǎng)絡(luò)安全上升到國(guó)家安全戰(zhàn)略。習(xí)近平指出，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全。信息安全上升到國(guó)家安全高度美國(guó)---《網(wǎng)絡(luò)空間安全國(guó)家4243中國(guó)的信息立法

刑法計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)病毒防治管理辦法計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法

中國(guó)陸續(xù)制定了多部與信息活動(dòng)密切相關(guān)的法律，雖然大多不專門針對(duì)網(wǎng)絡(luò)環(huán)境，甚至有些也不針對(duì)電子信息，但它們的基本精神對(duì)網(wǎng)絡(luò)的建設(shè)、管理以及網(wǎng)絡(luò)中的信息活動(dòng)都有不同程度的指導(dǎo)作用。

保守國(guó)家秘密法著作權(quán)法國(guó)家安全法反不正當(dāng)競(jìng)爭(zhēng)法43中國(guó)的信息立法刑法中國(guó)陸續(xù)制定了多部與信息4344刑法第２８５條規(guī)定重要的法律法規(guī)

“違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！?/p>

“提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！?4刑法第２８５條規(guī)定重要的法律法規(guī)

“違反國(guó)家規(guī)定，侵入44商業(yè)銀行加強(qiáng)信息科技風(fēng)險(xiǎn)管理的重要性

信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎(chǔ)，還事關(guān)整個(gè)銀行業(yè)的安全和國(guó)家金融體系的穩(wěn)定，因此國(guó)家對(duì)銀行信息科技風(fēng)險(xiǎn)管理日益重視，各監(jiān)管機(jī)構(gòu)均對(duì)銀行信息科技風(fēng)險(xiǎn)管理提出了明確要求，各商業(yè)銀行也普遍提高了對(duì)信息科技風(fēng)險(xiǎn)管理的關(guān)注程度。1.加強(qiáng)信息科技風(fēng)險(xiǎn)管理是金融監(jiān)管部門關(guān)注的重要內(nèi)容2.加強(qiáng)信息科技風(fēng)險(xiǎn)管理是商業(yè)銀行自身發(fā)展和提高IT治理水平的需要3.加強(qiáng)信息科技風(fēng)險(xiǎn)管理是新《巴塞爾資本協(xié)議》的基本要求商業(yè)銀行加強(qiáng)信息科技風(fēng)險(xiǎn)管理的重要性信息系統(tǒng)45

（一）信息科技風(fēng)險(xiǎn)管理概述及風(fēng)險(xiǎn)點(diǎn)（二）加強(qiáng)信息科技風(fēng)險(xiǎn)管控的重要性（三）郵儲(chǔ)銀行信息科技風(fēng)險(xiǎn)管理規(guī)劃方向2（一）信息科技風(fēng)險(xiǎn)管理概述及風(fēng)險(xiǎn)點(diǎn)（二）加強(qiáng)信息科技風(fēng)險(xiǎn)管46郵儲(chǔ)銀行IT風(fēng)險(xiǎn)管理規(guī)劃要點(diǎn)開展郵儲(chǔ)銀行分行信息科技管控必要性：1、能夠深化和鞏固總行此次的信息科技風(fēng)險(xiǎn)管控建設(shè)項(xiàng)目的建設(shè)成果，形成在全行層面信息科技風(fēng)險(xiǎn)管控統(tǒng)一的工作要求。2、能夠建立健全各分行在信息科技風(fēng)險(xiǎn)管理、信息安全、業(yè)務(wù)連續(xù)性管理和信息科技外包風(fēng)險(xiǎn)管理領(lǐng)域的管理工作機(jī)制，包括制度體系、工作流程、管理工具等。3、能夠充分發(fā)揮各分行自身的主觀能動(dòng)性，根據(jù)自身信息科技風(fēng)險(xiǎn)管控的實(shí)際情況實(shí)現(xiàn)信息科技風(fēng)險(xiǎn)管控體系的不斷優(yōu)化。4、從同業(yè)實(shí)踐經(jīng)驗(yàn)看，為有效實(shí)現(xiàn)全行信息科技風(fēng)險(xiǎn)管控，大型銀行也經(jīng)歷了由總行逐步推廣到分行建設(shè)的建設(shè)過程。郵儲(chǔ)銀行IT風(fēng)險(xiǎn)管理規(guī)劃要點(diǎn)開展郵儲(chǔ)銀行分行信息科技管控必要47郵儲(chǔ)銀行IT風(fēng)險(xiǎn)管理規(guī)劃要點(diǎn)（續(xù)）納入全面風(fēng)險(xiǎn)管理“一個(gè)框架”將IT風(fēng)險(xiǎn)納入我行全面風(fēng)險(xiǎn)管理體系框架，制定并監(jiān)控IT風(fēng)險(xiǎn)管理偏好、政策與限額。搭建總分行防控“兩類聯(lián)動(dòng)”打破信息傳遞、匯報(bào)溝通壁壘，搭建總行、分行各部門之間，以及總分行之間的風(fēng)險(xiǎn)防控聯(lián)動(dòng)機(jī)制。鞏固IT風(fēng)險(xiǎn)管理“三道防線”適當(dāng)前移二道防線，構(gòu)建信息科技部與風(fēng)險(xiǎn)管理部的協(xié)同管控關(guān)系，鞏固IT風(fēng)險(xiǎn)管理的“三道防線”。郵儲(chǔ)銀行IT風(fēng)險(xiǎn)管理規(guī)劃要點(diǎn)（續(xù)）納入全面風(fēng)險(xiǎn)管理“一個(gè)框架48郵儲(chǔ)銀行IT風(fēng)險(xiǎn)管理規(guī)劃要點(diǎn)（續(xù)）加強(qiáng)IT風(fēng)險(xiǎn)管理團(tuán)隊(duì)“四項(xiàng)能力”搭班子，建團(tuán)隊(duì)，逐步加強(qiáng)IT風(fēng)險(xiǎn)管理團(tuán)隊(duì)人員的IT風(fēng)險(xiǎn)管理意識(shí)、IT風(fēng)險(xiǎn)管理專業(yè)知識(shí)、IT風(fēng)險(xiǎn)管理實(shí)操，以及IT風(fēng)險(xiǎn)管理溝通匯報(bào)四項(xiàng)能力建設(shè)。強(qiáng)化IT風(fēng)險(xiǎn)管控“八大領(lǐng)域”全面覆蓋IT風(fēng)險(xiǎn)管控八大領(lǐng)域，包括：信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息系統(tǒng)開發(fā)測(cè)試、信息科技運(yùn)行管理、信息安全管理、信息科技外包風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性管理、信息科技審計(jì)。同時(shí)，逐步深入各領(lǐng)域，在管控全面覆蓋的基礎(chǔ)上，強(qiáng)化專項(xiàng)管控能力。郵儲(chǔ)銀行IT風(fēng)險(xiǎn)管理規(guī)劃要點(diǎn)（續(xù)）加強(qiáng)IT風(fēng)險(xiǎn)管理團(tuán)隊(duì)“四項(xiàng)49主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科技風(fēng)險(xiǎn)管理概述及重要性33我行信息科技風(fēng)險(xiǎn)管理中存在的不足及策略34我行信息科技風(fēng)險(xiǎn)管理下一步工作要求主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科50

（一）我行在信息科技風(fēng)險(xiǎn)管理中存在的不足（二）我行信息科技風(fēng)險(xiǎn)管理策略3（一）我行在信息科技風(fēng)險(xiǎn)管理中存在的不足（二）我行信息科技51

1、當(dāng)前全行信息科技風(fēng)險(xiǎn)管理方面較為薄弱，距離總行及監(jiān)管部門的要求尚有較大差距，風(fēng)險(xiǎn)防控的策略、組織和技術(shù)等方面的保障體系建設(shè)尚待加強(qiáng)；二級(jí)分行存在未設(shè)立信息安全管理工作的組織架構(gòu)，未對(duì)相關(guān)崗位職責(zé)進(jìn)行明確規(guī)定，個(gè)別分行截至目前無專職技術(shù)人員。2、信息科技風(fēng)險(xiǎn)防控能力需要加強(qiáng)，行內(nèi)尚未建立起有效的“三道防線”，需要加強(qiáng)科技風(fēng)險(xiǎn)的監(jiān)測(cè)、識(shí)別、報(bào)告、預(yù)警和處置工作；3、業(yè)務(wù)連續(xù)性管理體系亟待強(qiáng)化，各二級(jí)分行設(shè)備間各系統(tǒng)的應(yīng)急預(yù)案需要完善，應(yīng)急演練需要加強(qiáng)。4、大多數(shù)二級(jí)分行及支行員工信息科技風(fēng)險(xiǎn)防范意識(shí)較為淡薄，普遍存在制度落實(shí)不到位的情況，科技風(fēng)險(xiǎn)防范意識(shí)有待提高。

信息科技治理仍有差距11、當(dāng)前全行信息科技風(fēng)險(xiǎn)管理方面較為薄弱，52

1、全行信息安全管理方針、策略、管理要求、操作流程、應(yīng)急方案及計(jì)劃不夠全面。未定期修訂更新信息安全管理策略與制度；盡管制定了總體應(yīng)急預(yù)案，但是缺少各個(gè)系統(tǒng)的應(yīng)急預(yù)案，且制定的應(yīng)急預(yù)案僅停留在形式上，未進(jìn)行過應(yīng)急培訓(xùn)和應(yīng)急演練；部分應(yīng)急預(yù)案涵蓋面過大，缺乏針對(duì)性和操作性，影響應(yīng)急預(yù)案的實(shí)效。2、全行開展轄內(nèi)相關(guān)制度、流程的制定梳理工作，但制度多是按照總行和區(qū)分行下發(fā)制度的復(fù)制版，缺少根據(jù)本地實(shí)際情況制定的規(guī)章制度。3、各種臺(tái)賬表格沒有進(jìn)行梳理歸檔，保存不完整；

信息科技制度有待進(jìn)一步完善21、全行信息安全管理方針、策略、管理要求、53

1、由于二級(jí)分行科技人員不足、二分專兼職信息科技人員流動(dòng)性較大，工作交接的不完善和新接手人員對(duì)于制度流程的不熟悉、技術(shù)經(jīng)驗(yàn)的暫時(shí)缺乏等因素導(dǎo)致二級(jí)分行信息安全管理工作存在較大的隱患。2、大部分分行普遍存在互聯(lián)網(wǎng)PC上保存生產(chǎn)PC上下載的數(shù)據(jù)且分行本部和網(wǎng)點(diǎn)存在生產(chǎn)PC開啟共享的情況，存在生產(chǎn)網(wǎng)PC未設(shè)置屏保的現(xiàn)象，且無密碼或是簡(jiǎn)單密碼。3、U盤使用隨意性較大，對(duì)于較為敏感的生產(chǎn)數(shù)據(jù)，均未使用專用的存儲(chǔ)介質(zhì)。4、各類數(shù)據(jù)的使用權(quán)限分散于各部門，而數(shù)據(jù)安全的管理職責(zé)在信息科技部門，管理難度較大。接觸和使用敏感數(shù)據(jù)較多的是業(yè)務(wù)人員、后臺(tái)管理人員，數(shù)據(jù)安全意識(shí)不高，風(fēng)險(xiǎn)管控意識(shí)需要加強(qiáng)。

信息安全管理仍需努力3354

1、安全管理制定的培訓(xùn)計(jì)劃沒有按計(jì)劃實(shí)施，未對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，培訓(xùn)記錄不完善，記錄中未對(duì)培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等進(jìn)行詳細(xì)描述描述；2、大部分分行未按照要求對(duì)本轄信息科技人員進(jìn)行崗位培訓(xùn)，培訓(xùn)文檔不完善，未有效建立病毒管控和信息安全應(yīng)急預(yù)案。

安全教育與培訓(xùn)需不斷加強(qiáng)41、安全管理制定的培訓(xùn)計(jì)劃沒有按計(jì)劃實(shí)施，55

1、對(duì)于歷次信息科技檢查出的問題，存在應(yīng)付檢查的情況，上報(bào)的整改情況和實(shí)際有出入。2、對(duì)于上級(jí)部門或是監(jiān)管部門檢查出的問題，整改落實(shí)滯后，沒有嚴(yán)格按照整改方案的要求實(shí)施整改。3、各二級(jí)分行對(duì)各種信息科技檢查全過程的記錄文檔沒有嚴(yán)格按照要求進(jìn)行整理歸檔。

信息安全檢查整改落實(shí)有待提高51、對(duì)于歷次信息科技檢查出的問題，存在應(yīng)付56

（一）我行在信息科技風(fēng)險(xiǎn)管理中存在的不足（二）我行信息科技風(fēng)險(xiǎn)管理策略3（一）我行在信息科技風(fēng)險(xiǎn)管理中存在的不足（二）我行信息科技57

制度是安全生產(chǎn)的生命線，要有效防控信息科技風(fēng)險(xiǎn)，首要的是建立完善的信息科技安全管理制度，以制度約束人的行為，以制度明確人的職責(zé)，以制度指導(dǎo)人的思想。我行必須高度重視信息科技安全管理制度的建立與完善，以安全生產(chǎn)為主線，深入分析信息系統(tǒng)風(fēng)險(xiǎn)點(diǎn)，有的放矢，從快從嚴(yán)建立內(nèi)部管理制度。同時(shí)還應(yīng)積極跟蹤信息系統(tǒng)運(yùn)行情況，及時(shí)發(fā)現(xiàn)新問題、新風(fēng)險(xiǎn)點(diǎn)，并及時(shí)完善制度，從源頭上盡可能降低風(fēng)險(xiǎn)時(shí)間發(fā)生的可能性。全行信息科技人員必須不折不扣的執(zhí)行制度，或者提出合理化建議來修訂制度，使制度成為一切工作的基本準(zhǔn)則，人人“重制度，守制度”，真正給安全生產(chǎn)拉起一道難以跨越的防御線。管理層要切實(shí)監(jiān)督信息科技安全管理制度的執(zhí)行情況，對(duì)整個(gè)信息科技風(fēng)險(xiǎn)防控工作全盤把握，其責(zé)任覆蓋銀行自上而下的信息科技風(fēng)險(xiǎn)管理體系。

建立完善的信息科技風(fēng)險(xiǎn)管理制度1制度是安全生產(chǎn)的生命線，要有效防控信息科技58

通過完善的質(zhì)量控制和測(cè)試體系，對(duì)信息系統(tǒng)的開發(fā)進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)論證和風(fēng)險(xiǎn)測(cè)試，是控制信息系統(tǒng)風(fēng)險(xiǎn)的首要工作。但是信息系統(tǒng)的運(yùn)行狀況才是系統(tǒng)安全性能的真實(shí)反應(yīng)，貫穿于信息系統(tǒng)的整個(gè)生命周期，與安全生產(chǎn)息息相關(guān)。一方面，我們應(yīng)該對(duì)信息系統(tǒng)的運(yùn)行狀況進(jìn)行全程監(jiān)控，主干網(wǎng)絡(luò)是否通暢、自助設(shè)備是否正常運(yùn)行、數(shù)據(jù)庫系統(tǒng)是否正常服務(wù)、是否有網(wǎng)絡(luò)遭受外部非法入侵等必須納入實(shí)時(shí)監(jiān)控范圍，以保障在發(fā)生故障的第一時(shí)間做出響應(yīng)。另一方面，必須未雨綢繆，制定應(yīng)急預(yù)案，做好業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險(xiǎn)化解和轉(zhuǎn)移措施、數(shù)據(jù)備份方案等多方面工作，并加強(qiáng)災(zāi)備演練，以保障在突如其來的災(zāi)難性事件面前，能從容應(yīng)對(duì)，迅速恢復(fù)生產(chǎn)，盡可能降低事故造成的損失。

構(gòu)建全面的信息科技風(fēng)險(xiǎn)監(jiān)測(cè)和保障體系2通過完善的質(zhì)量控制和測(cè)試體系，對(duì)信息系統(tǒng)的開發(fā)進(jìn)行嚴(yán)59銀行是知識(shí)高度密集型行業(yè)，信息科技人才所聚集的知識(shí)資本是銀行信息科技工作極其重要的生產(chǎn)要素，信息科技人才知識(shí)水平高低決定了他們對(duì)各項(xiàng)規(guī)章制度的理解深度和執(zhí)行力度。我們要注重“以人為本”的科學(xué)管理理念，注重培養(yǎng)員工風(fēng)險(xiǎn)防范意識(shí)和風(fēng)險(xiǎn)防范能力，提高員工信息科技水平。首先，我行要建立與信息科技工作崗位相適應(yīng)、與業(yè)務(wù)發(fā)展程度緊密聯(lián)系的培訓(xùn)制度，同時(shí)，還應(yīng)鼓勵(lì)員工積極參與國(guó)家認(rèn)可的考試認(rèn)證，以提高信息科技工作者的業(yè)務(wù)水平和對(duì)各項(xiàng)信息科技風(fēng)險(xiǎn)的認(rèn)知程度，從而也能提升郵儲(chǔ)銀行的整體IT服務(wù)檔次。其次，要對(duì)人員采取適當(dāng)?shù)募?lì)措施，以吸引人才，使用人才，盡可能調(diào)動(dòng)人才的主觀能動(dòng)性，充分發(fā)揮其聰明才智。

積極推進(jìn)信息科技隊(duì)伍建設(shè)，提高IT服務(wù)水平3銀行是知識(shí)高度密集型行業(yè)，信息科技人才所聚集的60建設(shè)組織內(nèi)高素質(zhì)的信息安全隊(duì)伍

如果安全管理有漏洞，其它安全措施投入再大也無濟(jì)于事。

因此，應(yīng)加強(qiáng)信息安全從業(yè)人員隊(duì)伍建設(shè)，明確組織機(jī)構(gòu)信息安全崗人員，對(duì)其進(jìn)行有針對(duì)性的培訓(xùn)建設(shè)組織內(nèi)高素質(zhì)的信息安全隊(duì)伍如果安全管理有漏61據(jù)統(tǒng)計(jì)，銀行業(yè)有50%的生產(chǎn)運(yùn)行風(fēng)險(xiǎn)都是由操作原因引起的，因此，必須規(guī)范生產(chǎn)運(yùn)行管理全過程，有效防范和化解風(fēng)險(xiǎn)，堵住漏洞，增強(qiáng)整體防范能力。一是要針對(duì)信息系統(tǒng)的重要性和敏感程度，建立以有效身份驗(yàn)證為基礎(chǔ)的管理機(jī)制，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)訪問的控制和安全管理，防止金融犯罪；二要落實(shí)全面檢查，強(qiáng)化員工的信息安全風(fēng)險(xiǎn)防范意識(shí)，防止由于計(jì)算機(jī)病毒、使用非正常交易、群發(fā)與工作無關(guān)的娛樂郵件及過大郵件等問題而導(dǎo)致的系統(tǒng)壓力增大，導(dǎo)致網(wǎng)絡(luò)堵塞或系統(tǒng)癱瘓；三要建立信息系統(tǒng)保障和溝通機(jī)制，認(rèn)真落實(shí)安全責(zé)任制，切實(shí)保障信息化服務(wù)體系安全、穩(wěn)定、高效運(yùn)行；四要建立完善信息安全應(yīng)急處置機(jī)制和信息通報(bào)機(jī)制，制定應(yīng)急預(yù)案并進(jìn)行演練，提升應(yīng)急處理能力。

規(guī)范生產(chǎn)管理運(yùn)行過程4據(jù)統(tǒng)計(jì)，銀行業(yè)有50%的生產(chǎn)運(yùn)行風(fēng)險(xiǎn)都是由操作原因引起的，因62提高IT外包服務(wù)管理精細(xì)度IT外包的本質(zhì)是銀行與外包服務(wù)商的一種商業(yè)合作，與銀行內(nèi)部的其他信息科技風(fēng)險(xiǎn)相比，雖不直接影響到銀行業(yè)務(wù)，卻關(guān)系到我行能否保持信息服務(wù)的競(jìng)爭(zhēng)力了，進(jìn)而影響我行的市場(chǎng)地位。IT外包風(fēng)險(xiǎn)存在于外包服務(wù)的每一個(gè)環(huán)節(jié)，需要對(duì)外包服務(wù)進(jìn)行全程的精細(xì)化管理。一是通過對(duì)外包服務(wù)商的水平做全面準(zhǔn)確的評(píng)估，選擇一個(gè)值得信賴、具有相當(dāng)資質(zhì)的IT服務(wù)商。二是簽署詳細(xì)全面的外包合同，包括外包服務(wù)內(nèi)容和服務(wù)范圍、雙方在合同中的權(quán)利和義務(wù)，并簽署保密協(xié)議。三是在外包服務(wù)期間，銀行要對(duì)IT外包服務(wù)商進(jìn)行持續(xù)，有效的監(jiān)督，定期或不定期的對(duì)外包服務(wù)商進(jìn)行檢查，及時(shí)掌握合同履行情況。四是在外包服務(wù)中，銀行要積極主動(dòng)地學(xué)習(xí)，積累經(jīng)驗(yàn)，盡可能底掌握技術(shù)要點(diǎn)，以降低依賴性風(fēng)險(xiǎn)。

提高IT外包服務(wù)管理精細(xì)度5提高IT外包服務(wù)管理精細(xì)度IT外包的本質(zhì)是銀行與外包服務(wù)商的63我們要認(rèn)真落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和審計(jì)檢查等管理措施，并在客戶端安全、互聯(lián)網(wǎng)安全、應(yīng)用交易安全等方面采取有效的技術(shù)防護(hù)手段。一方面，要在健全信息安全管理制度體系、落實(shí)信息系統(tǒng)等級(jí)保護(hù)、實(shí)施風(fēng)險(xiǎn)評(píng)估和安全檢查、加強(qiáng)日常安全檢測(cè)和管理以及安全教育等措施來強(qiáng)化信息安全的管理工作。另一方面，持續(xù)完善信息安全技術(shù)控制措施，提升硬控制能力，要不斷從信息安全、信息系統(tǒng)安全和客戶端安全三個(gè)方面加強(qiáng)對(duì)信息安全的技術(shù)控制，有效控制信息安全風(fēng)險(xiǎn)。

信息安全貫穿于信息科技全流程，是信息科技風(fēng)險(xiǎn)管理的重要內(nèi)容6信息安全管理策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo)信息安全管理制度規(guī)范的制定與業(yè)務(wù)部門的緊密配合建設(shè)過程中應(yīng)該鼓勵(lì)暴露和發(fā)現(xiàn)管理方面的問題和風(fēng)險(xiǎn)信息安全管理制度規(guī)范要具有可操作性和可實(shí)施性我們要認(rèn)真落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和審計(jì)檢查等管理64

從信息科技風(fēng)險(xiǎn)管理實(shí)踐來看，雖然信息科技風(fēng)險(xiǎn)管理更多關(guān)注的是信息科技領(lǐng)域，但其中相當(dāng)一部分內(nèi)容與業(yè)務(wù)部門息息相關(guān)。因此，信息科技風(fēng)險(xiǎn)管理實(shí)際上是我行的一項(xiàng)全局性工作，需要業(yè)務(wù)部門共同參與和推進(jìn)。（1）在生產(chǎn)運(yùn)行領(lǐng)域的業(yè)務(wù)連續(xù)性管理方面（2）在應(yīng)用研發(fā)方面（3）在信息安全方面

總之，信息科技風(fēng)險(xiǎn)管理是我行發(fā)展以及信息化進(jìn)程中面臨的十分重要和緊迫的問題，需要各方面共同關(guān)注和推進(jìn)，也需要我行內(nèi)部科技部門和業(yè)務(wù)部門協(xié)同配合，共同打造一個(gè)安全的、抗風(fēng)險(xiǎn)的金融IT平臺(tái)，促進(jìn)銀行業(yè)務(wù)的健康快速發(fā)展。

信息科技風(fēng)險(xiǎn)管理需要科技部門和各業(yè)務(wù)部門共同推進(jìn)7從信息科技風(fēng)險(xiǎn)管理實(shí)踐來看，雖然信息科技風(fēng)險(xiǎn)管65主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科技風(fēng)險(xiǎn)管理概述及重要性33我行信息科技風(fēng)險(xiǎn)管理中存在的不足及策略34我行信息科技風(fēng)險(xiǎn)管理下一步工作要求主要內(nèi)容1信息安全形勢(shì)與信息科技風(fēng)險(xiǎn)管理存在的問題32信息科661、區(qū)分行不斷落實(shí)新疆分行信息科技風(fēng)險(xiǎn)管理委員會(huì)工作規(guī)則，履行委員會(huì)職責(zé)，細(xì)化工作內(nèi)容，加強(qiáng)組織管理，不斷健全信息科技風(fēng)險(xiǎn)管理機(jī)制；2、各二級(jí)分行按照《新疆分行信息安全檢查要點(diǎn)》及時(shí)設(shè)立專門的信息安全組織架構(gòu)，明確信息安全管理的責(zé)任單位及各崗位職責(zé)并切實(shí)發(fā)揮其作用。3、各二級(jí)分行要建立本分行的信息科技應(yīng)急小組，保證發(fā)生信息安全事件能夠有序開展應(yīng)急處置工作。4、各二級(jí)分行及時(shí)將人民銀行、銀監(jiān)局等監(jiān)管部門涉及信息科技風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)提示等方面的文件按要求進(jìn)行傳達(dá)和落實(shí)。

1

信息科技治理需持續(xù)加強(qiáng)1、區(qū)分行不斷落實(shí)新疆分行信息科技風(fēng)險(xiǎn)管理委員會(huì)工作規(guī)則，履671、全行上下要逐步完善信息安全管理方針、策略、管理要求、操作流程、應(yīng)急方案及計(jì)劃等一系列制度。制定規(guī)范的信息安全策略及制度制訂流程、修訂完善信息安全管理策略與制度；2、全行要切實(shí)落實(shí)《銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引》等監(jiān)管部門下發(fā)的規(guī)章制度，強(qiáng)化信息科技突發(fā)事件報(bào)告和應(yīng)急管理工作，各二級(jí)分行根據(jù)自身應(yīng)急處置機(jī)制建設(shè)的需要，制定的與區(qū)分行行信息系統(tǒng)應(yīng)急預(yù)案相銜接的分應(yīng)急預(yù)案；3、要嚴(yán)格按照數(shù)據(jù)安全管理相關(guān)制度的要求落實(shí)數(shù)據(jù)安全管理，特別是終端數(shù)據(jù)的使用，要明確規(guī)定數(shù)據(jù)的接收、使用、傳輸、銷毀的流程和方式，確保生產(chǎn)數(shù)據(jù)的安