【等级保护】银行IT风险管理体系

《【等级保护】银行IT风险管理体系》由会员分享，可在线阅读，更多相关《【等级保护】银行IT风险管理体系（63页珍藏版）》请在金锄头文库上搜索。

1、PAFIRC银行IT风险管理体系*1银行IT风险管理体系2007-04-112007-04-11北京大学北京大学ACOMACOM金融信息化研究中心金融信息化研究中心报告主题PAFIRC银行IT风险管理体系*2PAFIRC报告提纲银行IT风险管理实际应用 风险管理框架 银行IT 风险管理背景Q & A PAFIRC银行IT风险管理体系*3911事件后 摩根银行 在几小时内 迅速恢复营业注重 IT风险管理PAFIRC银行IT风险管理体系*4PAFIRC银行风险框架市场 风险银行风险操作 风险信用 风险IT风险银行IT风险 的类型IT风险管理的 必要性IT风险管理与 IT治理银行监管 的要求PAFI

2、RC银行IT风险管理体系*5PAFIRC银行IT风险的类型IT运行风险 IT资产脆弱性风险 误操作风险 计算机欺诈风险 信息披露风险 系统中断风险 银行IT风险 基于IT的金融产品 或服务风险 IT环境风险 法律遵循性风险 战略风险 组织风险 物理环境风险 外包风险 PAFIRC银行IT风险管理体系*6银行监管的要求PAFIRC银行IT风险管理体系*7ITIT风险管理风险管理IT风险管理的动机信息技术的双刃性新巴塞尔协议、 萨班斯法案以及银监会的要求 银行内控的要求 PAFIRC银行IT风险管理体系*8IT风险管理的三维模型在银行信息系统生命周期各阶段， 依照IT风险管理流程，以风险控制 目标

3、为驱动，实施IT风险管理，抵 减银行IT风险。PAFIRC银行IT风险管理体系*9银行IT风险管理流程IT风险 管理流程国际知名金融机构IT风险管理案例 国际标准AS-NZS 4360NIST SP800-60国内标准GB 信息安全 风险评估规范GB 信息安全等级 保护系列标准PAFIRC银行IT风险管理体系*10资产登记表检查表风险值=R（A，T，V，M）= R(C(A，T，V，M)，L(T，V，M )风险权重确定信息系统安全 保护等级GB信息 安全等级保护Basel II和萨 班斯法案的 要求Basel II的要求萨班斯法案的要 求制定详细的风险 处理计划输出表格Basel II的要 求P

4、AFIRC银行IT风险管理体系*11信息系统安全等级保护调查表PAFIRC银行IT风险管理体系*信息系统对象确立报告 PAFIRC银行IT风险管理体系*资产登记表安全-责任 矩阵PAFIRC银行IT风险管理体系*14安全-责任矩阵PAFIRC银行IT风险管理体系*15PAFIRCchecklist由风险控制 目标导出PAFIRC银行IT风险管理体系*16计算各风险的权重: 应用AHP、群决策及聚类分析法 应用AHP理论，建立银行IT风险层次结构模型 应用群决策思想和AHP理论，多个专家决策群体给出各自的风险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法，计算专家的权值 计算判断矩阵可

5、信度权值 计算各风险的权重 PAFIRC银行IT风险管理体系*17PAFIRC国际知名金融机构IT风险管理案例PAFIRC银行IT风险管理体系*18PAFIRC信息系统生命周期计划与组织设计与获取交付与实施运行与维护废弃与终止系统生命周期PAFIRC银行IT风险管理体系*19PAFIRC控制目标的产生COBIT 4.0ISO 17799NIST SP 800-53IT风险控制目标 World Bank Checklist信息系统安全等级保护PAFIRC银行IT风险管理体系*20PAFIRC现有几个标准比较表PAFIRC银行IT风险管理体系*21PAFIRCIT风险控制目标风险控制目标安全策略安

6、全组织资产管理人力资源安全物理和环境安全通信及运行管理访问控制系统的获取、研发与维护信息安全事件管理业务持续性管理遵循性管理PO ：计划与组织 DA ：设计与获取 DI ： 交付与实施 OM：运行与维护 DT ：废弃与终止通用控制目标Text分阶段制定的控制目标Text在分阶段制定控制目标的基础上制定系 统生命周期各阶段通用的控制目标。37个一级控制目标，212个二级控制目标； 二级控制目标分为基本要求和补充要求。PAFIRC银行IT风险管理体系*22PAFIRC举例：通用类安全策略PAFIRC银行IT风险管理体系*23PAFIRC举例：PO阶段控制目标PAFIRC银行IT风险管理体系*24P

7、AFIRCIT资产配置与变更流程流程图安全保护等级 不同的IT资产有 不同的安全控制要求PAFIRC银行IT风险管理体系*25IT资产配置与变更流程图PAFIRCPAFIRC银行IT风险管理体系*26PAFIRC研究理念 银行IT系统具备生命周期,IT风险管理理所当然应当贯 穿生命周期的始终，IT风险控制的目标要根据系统所 在生命周期阶段的不同,制定不同阶段的安全控制要求生命周期IT风险的管理和控制不是一劳永逸的活动，而是随着 经营环境、业务目标，企业战略等的改变相应提高控 制要求，开始新的循环。所以银行的IT风险管理活动 是持续改进的控制过程过程控制银行IT风险管理的核心是对IT资产的管理，

8、IT资产总是 归属于一定的子系统的，风险管理要考虑成本-收益就必须 对系统进行等级划分，实施不同的程度地保护，划分考虑 资产所在子系统的等级以及资产在子系统中的等级等级保护IT资产必须进行分类管理、明确责任的同时要 划定资产的名义归属者责任主体PAFIRC银行IT风险管理体系*27银行IT风险管理的应用-IT审计IT审计的参考标准PAFIRC银行IT风险阶段控制目标可以作为IT审计的标准参考， 检查IT风险管理的绩效IT审计内部控制调查PAFIRC银行IT风险安全检查表：作为基础调研工具，识别关键 风险和威胁，作为风险分析的前提也可以作为内部控制调查的依据 IT审计的法律法规环境PAFIRC银

9、行 IT风险管理遵循性指引：萨班斯404条款的要求， 巴塞尔协议对金融监管的要求，以及国内法规条例的符合性程度等。PAFIRC银行IT风险管理体系*28http:/ 2002年2月18日 APEX 培训中心像总经理那样思考PAFIRC银行IT风险管理体系请按自已最希望发展的能力排序 管理能力 领导能力 经营能力 专业能力 PAFIRC银行IT风险管理体系宁做一天的狮子，不做一世的绵羊。王侯将相，宁有种乎？ PAFIRC银行IT风险管理体系只有一个人能给你自尊，那就是你自己。 PAFIRC银行IT风险管理体系根据全美MBA评定委员会最喜欢看到年轻的MBA的素质是：善与人交往与人沟通口齿伶俐有说服

10、力 能看懂报表CEO的最适合人选首先应具有超人的管理才能和领导能力，而不是专业知识。 全美一百多家工商财经记者一致认为：PAFIRC银行IT风险管理体系我相信你们能胜任！我相信你们能胜任！ PAFIRC银行IT风险管理体系为什么未能达成自已所设定的目标？ “ 人并不是命运的囚徒， 富兰克林D罗斯福 而是自己思想的囚徒 ”PAFIRC银行IT风险管理体系比如看上去很傻、犯错误、寻找赞成、不是你的最佳表现、落伍了第二个自我设陷不去花时间考虑该采取不同的做法。 第一个自我设陷害怕PAFIRC银行IT风险管理体系一、评估领导管理能力的9个原则 9、尊重别人。尊重别人的意见和工作；不要忽视别人的形象和地

11、位。 1、唤醒他人的忠诚及热情的才能。具有人格魅力，受人爱戴，能明白别人需 要什么，有强烈的使命感。2、为人着想。向有需要的人提供培训、提出建议，并给予指导，积极倾听并 暗示对方你在倾听；对初来乍到者给予更多的帮助。3、启发智慧。从别人那里得到原因和证明强于不可靠的意见；允许其他人用 新方法思考旧问题；用一种能促使别人思考他们以前从未考虑的问题的方式进 行交流。 4、勇气。即使这种思想不流行也要勇于接受；不要为了避免冲突而屈服于别 人的压力或意见，要为公司和客户考虑，即使这会给自己带来困难 5、有责任感。信守承诺；勇于承担责任和错误；不要依赖老板。6、灵活性。在变化的环境中高效地发挥作用；当很

12、多事情同时发生时，要同 时处理若干件事，因时而变。7、正直。要做合乎伦理和道德的事情；不要把辱骂作为管理者的特权，这是 始终不变的。 8、判断。通过逻辑分析和比较，对行为作出正确的评价；将相关的事实和因 素归纳在一起；利用过去的经验和信息来为今天的决策服务。PAFIRC银行IT风险管理体系对比上述9个原则，你呢？ 准备反思自己：（按先后次序说出你最喜欢的三种动物 ） 评价自我：a 我怎么看待自己。 b别人怎么看待我。 PAFIRC银行IT风险管理体系全面分析自己的商业经营能力、业绩、分析思考能力 、组织能力、影响力、领导能力，以及专业技术能力 全面审视自己：正确的思考应该是控制消极想法，相信自

13、己能做到 。学会自我交谈，每天对自己谈自己的目标15遍。 PAFIRC银行IT风险管理体系2005年一个优秀的广告领导人 的素 质： 1、梦想和理念2、领导能力3、预见力4、创造力5、挑战精神6、快速经营能力7、对广告的独特观点8、英语水平9、MBA资格10、说服能力 必备PAFIRC银行IT风险管理体系二、如何领导你的部下? PAFIRC银行IT风险管理体系1、评价你的员工能力 水平概念基本内容举例第一层知识掌握一定的生活、广告 常识和基础知识的入门 者、新手 三流广告人只有广告知识 的人、半专业人员 第二层见识知识水平较高，有自己 的见解、思想，相当于 大学老师的水平。 二流广告人评论家、

14、大学 教授 第三层胆识知识见识 水平高，有独 立工作能力，有成果和 实战经验 一流广告人有知识有实战 的人、专家 PAFIRC银行IT风险管理体系管理就是做一些事情，来阻止那些 引起员工工作失败的讨厌机会的出现。预防性管理，就是在特定的工作环境中为 实现预想的结果而必须采取的干预手段。 引入一个重要的概念：PAFIRC银行IT风险管理体系在工作开始之前你要做的事： 1、让部下知道要让他们干什么。 2、看看部下是否知道该怎样做。 3、让部下清楚他们为什么要做这件事。 4、 如果你的部下觉得你的方法行不通，让他们相信你的方法会奏效。 5、 如果你的部下认为他们的方法好，要做出令人信服的解释为什么他

15、们的方法不好。 PAFIRC银行IT风险管理体系8、证实工作并没有超出部下的个人限制。 9、证实没有超出部下控制范围的障碍。 10、证实工作是能够完成的。 6、让部下知道工作的优先解决性。 7、让部下相信将来的负面结果不会发生。 在工作开始之前你要做的事： PAFIRC银行IT风险管理体系工作开始之后你要做的事： 1、经常向部下的工作提供特别的反馈。 2、经常对于好的工作表现进行口头赞赏 3、搬开障碍或者给部下一条绕开障碍的策略。 4、让部下知道哪些工作需要优先解决。 5、排除影响好的工作行为的负面结果或者通过正面的加强来平衡负面结果。6、否定对部下的差行为仍能得到正面结果定论。 7、只在一贯的表现差的部下身上使用负面结果（进步的规则） PAFIRC银行IT风险管理体系请记住： 你的部下是因为工作而得到认可，而你是 因为管理他们的工作而被认可。当你看到你的部下的成绩时，请立即向你 的部下表示口头赞许，做到尽可能快的在行为 发生之后用口头赞赏描述特殊行为以来持续其 不断发生。PAFIRC银行IT风险管理体系三、怎样做好广告这门生意？ PAFIRC银行IT风险管理体系（一）超越竞争对手的策略 竞争对手：国际4A公司、国内一线的4A公司、国内一线 的策划机构、本区域有特长的中小广告公司 。 A：成本领导策略（Cost Leader