商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座

商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座

ID:39413270

大?。?.71 MB

頁(yè)數(shù):95頁(yè)

時(shí)間:2019-07-02

商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座_第1頁(yè)
商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座_第2頁(yè)
商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座_第3頁(yè)
商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座_第4頁(yè)
商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座_第5頁(yè)
資源描述:

《商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管講座》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、CopyrightbyCHENYL信息科技風(fēng)險(xiǎn)監(jiān)管知識(shí)講座2010年8月主要內(nèi)容一、信息科技風(fēng)險(xiǎn)監(jiān)管概況二、信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)和手段三、主要監(jiān)管制度介紹四、信息科技風(fēng)險(xiǎn)監(jiān)管體系簡(jiǎn)介五、基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考一、信息科技風(fēng)險(xiǎn)監(jiān)管概況信息科風(fēng)險(xiǎn)監(jiān)管背景某銀行核心系統(tǒng)故障全國(guó)中斷營(yíng)業(yè)4小時(shí)某行海南分行供電中斷導(dǎo)致停業(yè)7.5小時(shí)2006年銀聯(lián)跨行交易全面中斷8小時(shí)屢次發(fā)生的網(wǎng)絡(luò)安全事件:2010年初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊2009年底我省某行網(wǎng)銀系統(tǒng)遭受DDos攻擊2009年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件2008年奧運(yùn)開(kāi)幕式某

2、國(guó)有銀行網(wǎng)絡(luò)遭攻擊….….200620082010近年來(lái),隨著銀行機(jī)構(gòu)系統(tǒng)網(wǎng)絡(luò)化、數(shù)據(jù)集中化,科技風(fēng)險(xiǎn)問(wèn)題日益突出科技風(fēng)險(xiǎn)的特點(diǎn)是風(fēng)險(xiǎn)變化快、蔓延快、影響范圍大銀監(jiān)會(huì)信息科技監(jiān)管歷程20062007200820092010發(fā)布信息科技風(fēng)險(xiǎn)管理指引開(kāi)展信息科技風(fēng)險(xiǎn)內(nèi)部和外部評(píng)價(jià)審計(jì)開(kāi)展信息科技風(fēng)險(xiǎn)奧運(yùn)專項(xiàng)自查發(fā)布新的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》部署信息科技風(fēng)險(xiǎn)非現(xiàn)場(chǎng)系統(tǒng)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》自2006年8月發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》開(kāi)始,銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管,近

3、年來(lái)推出一系列制度和措施,監(jiān)管工作逐步走向規(guī)范化。銀監(jiān)會(huì)開(kāi)展的主要工作制定一系列制度和標(biāo)準(zhǔn)持續(xù)開(kāi)展信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn)組織開(kāi)展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查推動(dòng)實(shí)施信息科技非現(xiàn)場(chǎng)監(jiān)管組織開(kāi)展重要時(shí)點(diǎn)信息科技自查整改及時(shí)發(fā)布各類信息科技風(fēng)險(xiǎn)提示銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況科技風(fēng)險(xiǎn)管控意識(shí)提高科技治理架構(gòu)初步建立科技基礎(chǔ)設(shè)施不斷完善運(yùn)行維護(hù)能力不斷加強(qiáng)重視加強(qiáng)災(zāi)備建設(shè)及開(kāi)展應(yīng)急演練銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況個(gè)別銀行科技治理認(rèn)識(shí)不到位重眼前建設(shè)輕長(zhǎng)遠(yuǎn)規(guī)劃科技治理架構(gòu)未有效運(yùn)行應(yīng)急演練開(kāi)展實(shí)戰(zhàn)性不足基層銀行機(jī)構(gòu)科技力量薄弱二、信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)與手段信息科技

4、風(fēng)險(xiǎn)監(jiān)管目標(biāo)降低信息系統(tǒng)連續(xù)性和安全性風(fēng)險(xiǎn)程度到可接受范圍保障信息系統(tǒng)連續(xù)性和安全性保護(hù)銀行信息資產(chǎn)(信息系統(tǒng)、數(shù)據(jù))保護(hù)存款人利益維護(hù)社會(huì)穩(wěn)定目標(biāo)層次宏觀具體信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)連續(xù)性:即業(yè)務(wù)連續(xù)性,保證信息系統(tǒng)穩(wěn)定、持續(xù)地提供服務(wù),通俗地說(shuō)就是系統(tǒng)“不能斷”。安全性:保證數(shù)據(jù)的保密性、完整性、可用性,通俗地說(shuō)就是數(shù)據(jù)“不能丟”。所有科技風(fēng)險(xiǎn)事件都可以歸于信息系統(tǒng)連續(xù)性或安全性出問(wèn)題的事件。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)連續(xù)性事件案例案例1:2008年11月上旬,某大型銀行某省分行在供電部門預(yù)先通知停電的情況下,因發(fā)電機(jī)故障、主機(jī)存儲(chǔ)控制卡損壞

5、等原因,造成全省業(yè)務(wù)無(wú)法正常運(yùn)營(yíng)達(dá)7小時(shí)15分鐘。案例2:2009年12月21日,某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因DDOS攻擊引發(fā)的系統(tǒng)故障,經(jīng)內(nèi)外部專家診斷為外部分布式攻擊。攻擊來(lái)自互聯(lián)網(wǎng)多個(gè)地方和多臺(tái)機(jī)器,持續(xù)時(shí)間500分鐘。故障剛發(fā)生階段的現(xiàn)象表現(xiàn)為網(wǎng)銀客戶登錄網(wǎng)銀主頁(yè)面緩慢或超時(shí)無(wú)法訪問(wèn)。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁(yè)服務(wù)器系統(tǒng)資源壓力迅速增大,進(jìn)程達(dá)到系統(tǒng)最大進(jìn)程數(shù),超過(guò)日常監(jiān)控進(jìn)程數(shù)四倍。案例3:2010年2月3日某全國(guó)性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)故障導(dǎo)致全國(guó)柜面等各項(xiàng)業(yè)務(wù)中斷近四小時(shí)。案例4:2007年12月16日11:05至13:57,

6、某分行綜合前置機(jī)系統(tǒng)出現(xiàn)故障,造成全轄15個(gè)網(wǎng)點(diǎn)對(duì)外營(yíng)業(yè)中斷近三個(gè)小時(shí)。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)安全性事件案例案例1:2008年12月31日至2009年1月4日,某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件,涉及被盜帳號(hào)12個(gè),總金額12萬(wàn)元。犯罪嫌疑人通過(guò)本人及雇用他人在銀行辦理借記卡并開(kāi)通個(gè)人網(wǎng)銀業(yè)務(wù),以合法身份進(jìn)入該銀行大眾版網(wǎng)銀系統(tǒng),然后利用網(wǎng)絡(luò)下載的黑客軟件對(duì)該銀行大眾版網(wǎng)銀系統(tǒng)進(jìn)行攻擊和破譯,發(fā)現(xiàn)漏洞后作案。犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對(duì)轉(zhuǎn)出卡號(hào)、轉(zhuǎn)入帳號(hào)客戶隸屬關(guān)系進(jìn)行校驗(yàn),而且主機(jī)系統(tǒng)對(duì)網(wǎng)銀服務(wù)端上傳的個(gè)別交易數(shù)據(jù)

7、驗(yàn)證不充分的程序邏輯缺陷,通過(guò)模擬瀏覽器與服務(wù)端通訊的方式,非法截取并篡改交易數(shù)據(jù),盜取他人資金。信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)安全性事件案例案例2:某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動(dòng)用客戶資金的案件。2008年10月份,支行客戶部網(wǎng)銀操作員及復(fù)核員在為客戶辦理網(wǎng)銀業(yè)務(wù)時(shí)發(fā)現(xiàn)操作IC卡已經(jīng)過(guò)期,遂聯(lián)系市分行網(wǎng)銀管理員黃某辦理?yè)Q卡事宜,并告知其操作密碼。黃某利用自己作為管理員保管“管理證書(shū)”之便,進(jìn)入系統(tǒng),修改了某對(duì)公客戶的網(wǎng)銀證書(shū)和密碼,再通過(guò)集團(tuán)理財(cái)帳戶實(shí)行網(wǎng)銀轉(zhuǎn)帳,動(dòng)用客戶帳戶上233.7萬(wàn)元用于炒權(quán)證。案例3:某行柜員在為客戶辦理購(gòu)買

8、基金手續(xù)過(guò)程中,利用電腦終端畫(huà)面可以屏幕打印功能,沒(méi)有進(jìn)行實(shí)際交易,套打基金交易憑證交予客戶,將客戶資金轉(zhuǎn)入其控制的賬戶.涉案金額85萬(wàn)元。電腦終端可隨意進(jìn)行屏幕打印,存在明顯缺陷,使作案人有機(jī)可乘信息科技

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。