商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座

《商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、CopyrightbyCHENYL信息科技風(fēng)險(xiǎn)監(jiān)管知識(shí)講座2010年8月主要內(nèi)容一、信息科技風(fēng)險(xiǎn)監(jiān)管概況二、信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)和手段三、主要監(jiān)管制度介紹四、信息科技風(fēng)險(xiǎn)監(jiān)管體系簡介五、基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考一、信息科技風(fēng)險(xiǎn)監(jiān)管概況信息科風(fēng)險(xiǎn)監(jiān)管背景某銀行核心系統(tǒng)故障全國中斷營業(yè)4小時(shí)某行海南分行供電中斷導(dǎo)致停業(yè)7.5小時(shí)2006年銀聯(lián)跨行交易全面中斷8小時(shí)屢次發(fā)生的網(wǎng)絡(luò)安全事件：2010年初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊2009年底我省某行網(wǎng)銀系統(tǒng)遭受DDos攻擊2009年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件2008年奧運(yùn)開幕式某

2、國有銀行網(wǎng)絡(luò)遭攻擊….….200620082010近年來，隨著銀行機(jī)構(gòu)系統(tǒng)網(wǎng)絡(luò)化、數(shù)據(jù)集中化，科技風(fēng)險(xiǎn)問題日益突出科技風(fēng)險(xiǎn)的特點(diǎn)是風(fēng)險(xiǎn)變化快、蔓延快、影響范圍大銀監(jiān)會(huì)信息科技監(jiān)管歷程20062007200820092010發(fā)布信息科技風(fēng)險(xiǎn)管理指引開展信息科技風(fēng)險(xiǎn)內(nèi)部和外部評(píng)價(jià)審計(jì)開展信息科技風(fēng)險(xiǎn)奧運(yùn)專項(xiàng)自查發(fā)布新的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》部署信息科技風(fēng)險(xiǎn)非現(xiàn)場系統(tǒng)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》自2006年8月發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》開始，銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管，近

3、年來推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)范化。銀監(jiān)會(huì)開展的主要工作制定一系列制度和標(biāo)準(zhǔn)持續(xù)開展信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn)組織開展信息科技風(fēng)險(xiǎn)現(xiàn)場檢查推動(dòng)實(shí)施信息科技非現(xiàn)場監(jiān)管組織開展重要時(shí)點(diǎn)信息科技自查整改及時(shí)發(fā)布各類信息科技風(fēng)險(xiǎn)提示銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況科技風(fēng)險(xiǎn)管控意識(shí)提高科技治理架構(gòu)初步建立科技基礎(chǔ)設(shè)施不斷完善運(yùn)行維護(hù)能力不斷加強(qiáng)重視加強(qiáng)災(zāi)備建設(shè)及開展應(yīng)急演練銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況個(gè)別銀行科技治理認(rèn)識(shí)不到位重眼前建設(shè)輕長遠(yuǎn)規(guī)劃科技治理架構(gòu)未有效運(yùn)行應(yīng)急演練開展實(shí)戰(zhàn)性不足基層銀行機(jī)構(gòu)科技力量薄弱二、信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)與手段信息科技

4、風(fēng)險(xiǎn)監(jiān)管目標(biāo)降低信息系統(tǒng)連續(xù)性和安全性風(fēng)險(xiǎn)程度到可接受范圍保障信息系統(tǒng)連續(xù)性和安全性保護(hù)銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)）保護(hù)存款人利益維護(hù)社會(huì)穩(wěn)定目標(biāo)層次宏觀具體信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)連續(xù)性：即業(yè)務(wù)連續(xù)性，保證信息系統(tǒng)穩(wěn)定、持續(xù)地提供服務(wù)，通俗地說就是系統(tǒng)“不能斷”。安全性：保證數(shù)據(jù)的保密性、完整性、可用性，通俗地說就是數(shù)據(jù)“不能丟”。所有科技風(fēng)險(xiǎn)事件都可以歸于信息系統(tǒng)連續(xù)性或安全性出問題的事件。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)連續(xù)性事件案例案例1：2008年11月上旬，某大型銀行某省分行在供電部門預(yù)先通知停電的情況下，因發(fā)電機(jī)故障、主機(jī)存儲(chǔ)控制卡損壞

5、等原因，造成全省業(yè)務(wù)無法正常運(yùn)營達(dá)7小時(shí)15分鐘。案例2：2009年12月21日，某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因DDOS攻擊引發(fā)的系統(tǒng)故障，經(jīng)內(nèi)外部專家診斷為外部分布式攻擊。攻擊來自互聯(lián)網(wǎng)多個(gè)地方和多臺(tái)機(jī)器，持續(xù)時(shí)間500分鐘。故障剛發(fā)生階段的現(xiàn)象表現(xiàn)為網(wǎng)銀客戶登錄網(wǎng)銀主頁面緩慢或超時(shí)無法訪問。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁服務(wù)器系統(tǒng)資源壓力迅速增大，進(jìn)程達(dá)到系統(tǒng)最大進(jìn)程數(shù)，超過日常監(jiān)控進(jìn)程數(shù)四倍。案例3：2010年2月3日某全國性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫故障導(dǎo)致全國柜面等各項(xiàng)業(yè)務(wù)中斷近四小時(shí)。案例4：2007年12月16日11：05至13：57，

6、某分行綜合前置機(jī)系統(tǒng)出現(xiàn)故障，造成全轄15個(gè)網(wǎng)點(diǎn)對(duì)外營業(yè)中斷近三個(gè)小時(shí)。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)安全性事件案例案例1：2008年12月31日至2009年1月4日，某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件，涉及被盜帳號(hào)12個(gè)，總金額12萬元。犯罪嫌疑人通過本人及雇用他人在銀行辦理借記卡并開通個(gè)人網(wǎng)銀業(yè)務(wù)，以合法身份進(jìn)入該銀行大眾版網(wǎng)銀系統(tǒng)，然后利用網(wǎng)絡(luò)下載的黑客軟件對(duì)該銀行大眾版網(wǎng)銀系統(tǒng)進(jìn)行攻擊和破譯，發(fā)現(xiàn)漏洞后作案。犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對(duì)轉(zhuǎn)出卡號(hào)、轉(zhuǎn)入帳號(hào)客戶隸屬關(guān)系進(jìn)行校驗(yàn)，而且主機(jī)系統(tǒng)對(duì)網(wǎng)銀服務(wù)端上傳的個(gè)別交易數(shù)據(jù)

7、驗(yàn)證不充分的程序邏輯缺陷，通過模擬瀏覽器與服務(wù)端通訊的方式，非法截取并篡改交易數(shù)據(jù)，盜取他人資金。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)安全性事件案例案例2：某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動(dòng)用客戶資金的案件。2008年10月份，支行客戶部網(wǎng)銀操作員及復(fù)核員在為客戶辦理網(wǎng)銀業(yè)務(wù)時(shí)發(fā)現(xiàn)操作IC卡已經(jīng)過期，遂聯(lián)系市分行網(wǎng)銀管理員黃某辦理換卡事宜，并告知其操作密碼。黃某利用自己作為管理員保管“管理證書”之便，進(jìn)入系統(tǒng)，修改了某對(duì)公客戶的網(wǎng)銀證書和密碼，再通過集團(tuán)理財(cái)帳戶實(shí)行網(wǎng)銀轉(zhuǎn)帳，動(dòng)用客戶帳戶上233.7萬元用于炒權(quán)證。案例3：某行柜員在為客戶辦理購買

8、基金手續(xù)過程中,利用電腦終端畫面可以屏幕打印功能,沒有進(jìn)行實(shí)際交易,套打基金交易憑證交予客戶,將客戶資金轉(zhuǎn)入其控制的賬戶.涉案金額85萬元。電腦終端可隨意進(jìn)行屏幕打印,存在明顯缺陷,使作案人有機(jī)可乘信息科技