收藏
下载资源

北京大学:银行IT风险管理体系

上传人:jiups****uk12 文档编号:45511097 上传时间:2018-06-17 格式:PPT 页数:28 大小:1.13MB
返回 下载 相关 举报
北京大学:银行IT风险管理体系_第1页
第1页 / 共28页
北京大学:银行IT风险管理体系_第2页
第2页 / 共28页
北京大学:银行IT风险管理体系_第3页
第3页 / 共28页
北京大学:银行IT风险管理体系_第4页
第4页 / 共28页
北京大学:银行IT风险管理体系_第5页
第5页 / 共28页
点击查看更多>>
资源描述

《北京大学:银行IT风险管理体系》由会员分享,可在线阅读,更多相关《北京大学:银行IT风险管理体系(28页珍藏版)》请在金锄头文库上搜索。

1、PAFIRC银行IT风险管理体系*1银行IT风险管理体系2007-04-112007-04-11北京大学北京大学ACOMACOM金融信息化研究中心金融信息化研究中心报告主题PAFIRC银行IT风险管理体系*2PAFIRC报告提纲银行IT风险管理实际应用 风险管理框架 银行IT 风险管理背景Q & A PAFIRC银行IT风险管理体系*3911事件后 摩根银行 在几小时内 迅速恢复营业注重 IT风险管理PAFIRC银行IT风险管理体系*4PAFIRC银行风险框架市场 风险银行风险操作 风险信用 风险IT风险银行IT风险 的类型IT风险管理的 必要性IT风险管理与 IT治理银行监管 的要求PAFI

2、RC银行IT风险管理体系*5PAFIRC银行IT风险的类型IT运行风险 IT资产脆弱性风险 误操作风险 计算机欺诈风险 信息披露风险 系统中断风险 银行IT风险 基于IT的金融产品 或服务风险 IT环境风险 法律遵循性风险 战略风险 组织风险 物理环境风险 外包风险 PAFIRC银行IT风险管理体系*6银行监管的要求PAFIRC银行IT风险管理体系*7ITIT风险管理风险管理IT风险管理的动机信息技术的双刃性新巴塞尔协议、 萨班斯法案以及银监会的要求 银行内控的要求 PAFIRC银行IT风险管理体系*8IT风险管理的三维模型在银行信息系统生命周期各阶段, 依照IT风险管理流程,以风险控制 目标

3、为驱动,实施IT风险管理,抵 减银行IT风险。PAFIRC银行IT风险管理体系*9银行IT风险管理流程IT风险 管理流程国际知名金融机构IT风险管理案例 国际标准AS-NZS 4360NIST SP800-60国内标准GB 信息安全 风险评估规范GB 信息安全等级 保护系列标准PAFIRC银行IT风险管理体系*10资产登记表检查表风险值=R(A,T,V,M)= R(C(A,T,V,M),L(T,V,M )风险权重确定信息系统安全 保护等级GB信息 安全等级保护Basel II和萨 班斯法案的 要求Basel II的要求萨班斯法案的要 求制定详细的风险 处理计划输出表格Basel II的要 求P

4、AFIRC银行IT风险管理体系*11信息系统安全等级保护调查表PAFIRC银行IT风险管理体系*信息系统对象确立报告 PAFIRC银行IT风险管理体系*资产登记表安全-责任 矩阵PAFIRC银行IT风险管理体系*14安全-责任矩阵PAFIRC银行IT风险管理体系*15PAFIRCchecklist由风险控制 目标导出PAFIRC银行IT风险管理体系*16计算各风险的权重: 应用AHP、群决策及聚类分析法 应用AHP理论,建立银行IT风险层次结构模型 应用群决策思想和AHP理论,多个专家决策群体给出各自的风险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法,计算专家的权值 计算判断矩阵可

5、信度权值 计算各风险的权重 PAFIRC银行IT风险管理体系*17PAFIRC国际知名金融机构IT风险管理案例PAFIRC银行IT风险管理体系*18PAFIRC信息系统生命周期计划与组织设计与获取交付与实施运行与维护废弃与终止系统生命周期PAFIRC银行IT风险管理体系*19PAFIRC控制目标的产生COBIT 4.0ISO 17799NIST SP 800-53IT风险控制目标 World Bank Checklist信息系统安全等级保护PAFIRC银行IT风险管理体系*20PAFIRC现有几个标准比较表PAFIRC银行IT风险管理体系*21PAFIRCIT风险控制目标风险控制目标安全策略安

6、全组织资产管理人力资源安全物理和环境安全通信及运行管理访问控制系统的获取、研发与维护信息安全事件管理业务持续性管理遵循性管理PO :计划与组织 DA :设计与获取 DI : 交付与实施 OM:运行与维护 DT :废弃与终止通用控制目标Text分阶段制定的控制目标Text在分阶段制定控制目标的基础上制定系 统生命周期各阶段通用的控制目标。37个一级控制目标,212个二级控制目标; 二级控制目标分为基本要求和补充要求。PAFIRC银行IT风险管理体系*22PAFIRC举例:通用类安全策略PAFIRC银行IT风险管理体系*23PAFIRC举例:PO阶段控制目标PAFIRC银行IT风险管理体系*24P

7、AFIRCIT资产配置与变更流程流程图安全保护等级 不同的IT资产有 不同的安全控制要求PAFIRC银行IT风险管理体系*25IT资产配置与变更流程图PAFIRCPAFIRC银行IT风险管理体系*26PAFIRC研究理念 银行IT系统具备生命周期,IT风险管理理所当然应当贯 穿生命周期的始终,IT风险控制的目标要根据系统所 在生命周期阶段的不同,制定不同阶段的安全控制要求生命周期IT风险的管理和控制不是一劳永逸的活动,而是随着 经营环境、业务目标,企业战略等的改变相应提高控 制要求,开始新的循环。所以银行的IT风险管理活动 是持续改进的控制过程过程控制银行IT风险管理的核心是对IT资产的管理,

8、IT资产总是 归属于一定的子系统的,风险管理要考虑成本-收益就必须 对系统进行等级划分,实施不同的程度地保护,划分考虑 资产所在子系统的等级以及资产在子系统中的等级等级保护IT资产必须进行分类管理、明确责任的同时要 划定资产的名义归属者责任主体PAFIRC银行IT风险管理体系*27银行IT风险管理的应用-IT审计IT审计的参考标准PAFIRC银行IT风险阶段控制目标可以作为IT审计的标准参考, 检查IT风险管理的绩效IT审计内部控制调查PAFIRC银行IT风险安全检查表:作为基础调研工具,识别关键 风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据 IT审计的法律法规环境PAFIRC银行 IT风险管理遵循性指引:萨班斯404条款的要求, 巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。PAFIRC银行IT风险管理体系*28http:/

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号