信息科技风险“三道防线”良好实践研究介绍

《信息科技风险“三道防线”良好实践研究介绍》由会员分享，可在线阅读，更多相关《信息科技风险“三道防线”良好实践研究介绍（41页珍藏版）》请在金锄头文库上搜索。

1、第 1 页 共 41 页 信息科技风险 三道防线 良好实践研究信息科技风险 三道防线 良好实践研究 浙江稠州商业银行 陈小其 目录目录 信息科技风险 三道防线 良好实践研究 1 目录 1 一 前言 3 一 信息科技风险的定义 3 二 信息科技风险管理的目标 3 三 信息科技风险 三道防线 研究背景 4 四 研究目的和意义 4 二 近年来发生的信息科技事件 5 一 误操作事件 5 二 信息系统中断事件 5 三 信息泄露事件 6 四 信息系统故障 7 五 信息科技案件 7 三 信息科技风险的特点 8 一 危害性大 8 二 专业性强 8 三 潜伏性深 9 四 传递速度快 9 五 难以追踪 9 四 信

2、息科技风险的主要来源 10 一 自然灾害导致 10 二 基础系统导致 10 三 管理缺陷导致 10 四 内部人员违规操作导致 11 五 外部风险导致 11 五 信息科技风险管控的驱动因素 11 一 内在驱动 11 二 外部驱动 12 六 信息科技风险 三道防线 建设框架 13 一 信息科技风险 第一道防线 14 二 信息科技风险 第二道防线 15 三 信息科技风险 第三道防线 15 七 信息科技风险 三道防线 建设基础 16 一 需要领导高度重视 16 二 需要建立良好的企业风险文化 17 第 2 页 共 41 页 三 需要体系化的建设 17 四 需建立合理的信息科技风险战略规划 18 八 信

3、息科技风险 三道防线 建设实践 18 一 信息科技风险 第一道防线 建设实践 18 1 建立内部质量控制体系 18 2 搭建信息科技风险预警监测系统 19 3 加大科技投入 提高信息系统运行保障能力 20 4 完善绩效考核体系 21 5 规范开发流程管理 完善项目管理机制 22 6 深化信息科技应用 24 7 加强队伍建设 提升信息科技核心专业能力 25 8 建立应急预案 25 二 信息科技风险 第二道防线 建设实践 27 1 将信息科技风险纳入全面风险管控体系 27 2 建立持续的信息科技风险计量和监测机制 27 3 搭建科学实用的风险管理模型 28 4 营造先进的风险管理文化 28 5 持

4、续推出风险提示 29 6 推动关键风险指标监测工作 29 三 信息科技风险 第三道防线 建设实践 30 1 IT 审计要结合银行战略和业务目标出发 30 2 IT 审计要坚持以风险为导向 30 3 IT 审计要贯穿于信息系统生命周期的全过程 31 4 IT 审计要以关注内部控制为基础 31 5 IT 审计要从整体流程进行考虑 32 6 通过逐步实施 IT 专项审计 完善审计体系建设 32 7 积极探索审计增值服务 实现审计职能转型 32 8 适时引入外部专家的力量 33 9 优化队伍建设 35 九 信息科技风险 三道防线 之间的关系 36 一 独立性 36 二 协作性 36 三 监督性 37

5、十 信息科技风险 三道防线 作用的发挥 38 一 建立完善的信息科技风险治理架构 38 二 明确 三道防线 的职责 39 三 建立 三道防线 的沟通与协调机制 39 四 建立信息科技风险披露机制 39 十一 总结 40 第 3 页 共 41 页 内容摘要 随着改革开放和国家信息化建设步伐的加快 我国 银行信息化建设从无到有 从小到大 从单项业务到综合业务 从单 一网点到全国联网已经逐步形成了银行信息化的基本框架 取得了显 著的社会效益和经济效益 信息化有力地促进了银行业务的发展 可 以预见 未来城商行的竞争 很大一部分都是源于信息科技的竞争 然而 随着商业银行业务的快速扩张 信息系统的不断上线

6、 信息系 统表现的越来越复杂 管理难度越来越大 信息化在推动银行发展的 同时 也给银行自身带来了巨大的风险 本文从近期发生的信息科技 风险事件作引入 讲述了信息科技风险的特点 主要来源以及信息科 技风险管控的驱动因素 并重点讲解了 三道防线 的建设以及 三 道防线 之间的关系 一 前言前言 一 一 信息科技风险的定义信息科技风险的定义 信息科技风险 是指信息科技在规划 设计 研发或采购 运行 维护 监控及报废过程中由于人为因素 技术漏洞和管理缺陷产生的 操作 法律 金融和声誉等风险 二 二 信息科技风险管理的目标信息科技风险管理的目标 信息科技风险管理的目标是通过建立有效的机制 实现对商业银

7、行信息科技风险的识别 计量 监测和控制 促进商业银行安全 持 续 稳健运行 推动业务创新 提高信息技术使用水平 增强核心竞 争力和可持续发展能力 根据宏观到具体分层 见下图 第 4 页 共 41 页 三 三 信息科技风险 三道防线 研究背景信息科技风险 三道防线 研究背景 近年来随着商业银行信息科技与业务的发展 监管要求的不断提 高 新的巴塞尔协议也已经将信息科技风险列入了操作风险之一 各 商业银行深刻意识到信息科技风险控制的重要性 为此加强了信息科 技 风险管理 IT 审计人才的引进力度 逐步探索信息科技 信息 科技风险 信息科技审计 三道防线 的建设 以促进信息科技在风 险可控的基础上 使

8、之发挥越来越重要的作用 如何有效防范信息科 技风险 发挥信息科技风险 三道防线 的作用 就成了各商业银行 共同面临研究的话题 四 四 研究目的和研究目的和意义意义 信息科技风险 三道防线 良好实践研究 将有助于商业银行对 信息科技风险有进一步的认识和了解 为建立信息科技全面风险防范 体系奠定良好基础 同时有助于商业银行进一步预防 控制信息科技 第 5 页 共 41 页 风险事件发生 提高经营单位的业务可持续性经营能力 提高其核心 竞争力 二 二 近年来发生的信息科技事件近年来发生的信息科技事件 当今世界 随着技术的发展 外部环境的多变 而信息系统本身 固有的脆弱性 以及在信息系统运行过程中 内

9、部的操作不当 管理 不严所造成的系统漏洞 都会被外部黑客 内部不法分子所利用 造 成信息科技风险事件的发生 给银行带来直接或间接的损失 甚至对 一个行的命运 乃至整个国家金融体系造成严重打击 以下列举了部 分国内外发生的信息科技风险事件 一 一 误操作事件误操作事件 2005 年 12 月 日本瑞穗证券公司 Mizuho Securities 误将 客户的 以 61 万日元卖出 1 股 J COM 公司股票 指令输入为 以每 股 1 日元卖出 61 万股 东京股票交易所 Tokyo Stock Exchange 电脑系统对该公司取消下单的指令不能给予回应 随后瑞穗的错单全 部成交 引发了投资者

10、抛售股票 使日经指数重挫超过 300 点 瑞穗 证券损失超过 400 亿日元 二 二 信息系统中断事件信息系统中断事件 2007 年 8 月 15 日 工商银行对计算机系统进行升级 但由于没 有避开业务高峰期 导致个人业务系统运行不畅 在持续五个半小时 之后 系统才逐步恢复正常 2013 年 5 月 12 日招商银行上午 10 时许 据微博上多位网友反 映 招商银行包括柜台服务电子银行 手机银行以及 ATM 服务在内的 第 6 页 共 41 页 全系统瘫痪 经过大概半个多小时左右的紧急维护 招行系统方恢复 正常 2013 年 6 月 24 日多家媒体报道 就在国内银行系统爆出 钱荒 的当口 中

11、国工商银行昨天上午出现系统 瘫痪 柜面取款 自动 取款机 网上银行 电话银行等业务办理均受影响 多个网点贴出 机 器故障 告示停办所有业务 此次事件涉及北京 上海 四川等多个 省市 三 三 信息泄露事件信息泄露事件 2005 年 因为第三方服务提供商被黑客侵入电脑系统 导致 4000 万张信用卡的资料被盗 凭借这些资料 黑客能制造伪卡 大肆刷卡 这也是美国有史以来最严重的信用卡资料泄密事件 2011 年 12 月 21 日晚上知名网站 CSDN 证实 600 余万用户资料被 泄露后 人人网 天涯 开心网 百合网 多玩网 7K7K 小游戏等网站也遭 泄露门 被称是这些网站的用户数据资料被放 到网

12、上公开下载 2012 年央视 315 晚会曝光招商银行 工商银行 农业银行等员 工利用和银行接口的征信查询系统查询到了大量的个人信息 并通过 邮箱传给作案人非法获利 作案人利用以低折扣代缴电话费 水电费 等方式转手套现 造成受害人损失总计 300 多万 2012 年 12 月 招商银行证实由于员工的 误操作 泄露了其 招行济南分行校园招聘内部招聘关系名单 该名单包含了学生名称 毕业院校 与领导或客户关系等 引起了社会有关招行招聘 拼爹门 第 7 页 共 41 页 的讨论 四 四 信息系统故障信息系统故障 2006 年日本最大的美资银行花旗银行 Citibank Japan 出现 交易系统故障

13、5 天内约 27 5 万笔公用事业缴费遭重复扣划 或交 易后未作月结记录 造成该行在日本的重大声誉损失 2008 年 12 月 26 日凌晨 2 点左右 工行派发 圣诞大礼 纸黄 金交易系统出现报价错误 显示金价暴涨超过 4 倍 原因是交易员在 纸黄金系统录入报价错误 混淆了不同单位和币种的报价 导致纸黄 金交易系统中纸黄金最高中间价突然由人民币 186 元每克暴涨到 848 元每克 2013 年 8 月 16 日 周五 11 点 05 分 沪指突然出现大幅拉升 包括中国石油 中国石化 工商银行 中国银行等市值靠前的权重股 集体出现涨停 大盘一分钟内瞬间涨超 5 最高涨幅 5 62 指数最 高

14、报 2198 85 点 大盘盘中一度逼近 2200 点 沪指差点补掉端午节 留下的 2205 点缺口 这在 A 股历史上从来没有出现过 下午 14 点 25 分 光大证券发布公告称 承认套利系统出现问题 这就是网民 称之为堪称可以载入史册的重大 乌龙 事件 事后 8 月 22 日 光 大总裁徐浩明辞职 8 月 30 日 证监会定性光大证券内幕交易 重 罚 5 32 亿元 并对 4 名责任人处以终身市场禁入 五 五 信息科技案件信息科技案件 2011 年 1 月 许多人都收到了一条来自 13225870398 发来的短 信 称中行网银 E 令已过期 要求立即登录中国银行网站 第 8 页 共 41

15、 页 www bocpu tk www bocc nna cc 进行升级 据 钱江晚报 报道 绍兴市民章某在接到假冒的中行网银 E 令卡升级的短信后 登录假中 行网站 48 秒 100 万元被偷走 无独有偶 当地的魏先生 陆先生 也分别被相同骗局骗走了 1700 元和 11 万元 三 三 信息科技风险的特点信息科技风险的特点 一 一 危害性大危害性大 商业银行是一个信息高度集中行业 所有的业务交易 管理 对 外服务等大部分都是依靠信息系统来完成 一旦核心系统发生故障 尤其是中央主机系统 主干网络的中断 会引起一系列的连锁反应 造成大范围的灾难性后果 如客户还贷无法及时到账 造成贷款逾期 股市资

16、金不能到账 造成股市混乱 客户损失 客户购买原材料资金 无法及时到账 造成生产停滞 订单延期等 此外 由于感染病毒造 成的信息系统故障也会造成银行业务的大面积瘫痪 这些都会给商业 银行带来直接的损失 以及加大声誉风险 特别是国有商业银行 网 点广 承担社会责任多 信息系统一旦出现故障 不仅会给个人 企 业造成经济损失 还会在一定程度上影响整个国民经济的健康发展 二 二 专业性强专业性强 随着商业银行信息科技的发展 基础软硬件越来越先进 网络基 础架构越来越复杂 系统之间的关联越来越高 且信息科技本来就是 一个高科技的行业 如网络 硬件 操作系统 数据库 软件等每一 块专业性都很前 对人员的要求高 一旦出现故障 往往需要花费较 长时间才能分析与解决问题 靠个人的力量一般都很难解决 需要团 第 9 页 共 41 页 队的力量和外部的支持与配合 因此各商业银行培养一支专业的人才 队伍成为了信息科技风险防范的重要保障之一 三 三 潜伏性深潜伏性深 风险的潜伏性是指在特定外部环境下安全隐患容易被忽视 新的 风险点会随着环境变化逐步暴露出来 由于银行业务的高速增长以及 信息技术的飞速发展 使得信息