《银行IT风险管理体系培训课件》由会员分享,可在线阅读,更多相关《银行IT风险管理体系培训课件(28页珍藏版)》请在金锄头文库上搜索。
1、1银行银行ITIT风险管理体系培训风险管理体系培训2024/7/222PAFIRC报告提纲报告提纲银行银行IT风险管理实际应用风险管理实际应用 风险管理框架风险管理框架 银行银行IT 风险管理背景风险管理背景Q & A 2024/7/223911事件后摩根银行摩根银行在几小时内迅速恢复营业迅速恢复营业注重注重ITIT风险管理风险管理2024/7/224PAFIRC银行风险框架银行风险框架市场风市场风险险银行银行风险风险操作操作风险风险信用信用风险风险IT风险风险银行IT风险的类型ITIT风险管理的风险管理的必要性必要性IT风险管理与IT治理银行监管的要求2024/7/225PAFIRC银行银行
2、IT风险的类型风险的类型IT运行风险运行风险 IT资产脆弱性风险资产脆弱性风险误操作风险误操作风险计算机欺诈风险计算机欺诈风险信息披露风险信息披露风险系统中断风险系统中断风险 银行银行ITIT风险风险 基于基于IT的金融产品的金融产品或服务风险或服务风险 IT环境风险环境风险 法律遵循性风险法律遵循性风险战略风险战略风险组织风险组织风险物理环境风险物理环境风险外包风险外包风险 2024/7/226银行监管的要求银行监管的要求2024/7/227IT风险管理风险管理IT风险管理的动机风险管理的动机 信息技术的双刃性信息技术的双刃性新巴塞尔协议、新巴塞尔协议、萨班斯法案以及银监会的要求萨班斯法案以
3、及银监会的要求 银行内控的要求银行内控的要求 2024/7/228IT风险管理的三维模型风险管理的三维模型vvZ Z Z Z轴轴轴轴vvX X X X轴轴轴轴vvY Y Y Y轴轴轴轴在银行信息系统生命周期各阶段,在银行信息系统生命周期各阶段,依照依照ITIT风险管理流程,以风险控制风险管理流程,以风险控制目标为驱动,实施目标为驱动,实施ITIT风险管理,抵风险管理,抵减银行减银行ITIT风险。风险。2024/7/229银行银行IT风险管理流风险管理流程程IT风险风险管理流程管理流程国际知名金融机构国际知名金融机构IT风险管理案例风险管理案例 国际标准国际标准AS-NZS 4360NIST S
4、P800-60国内标准国内标准GB 信息安全信息安全风险评估规范风险评估规范GB 信息安全等级信息安全等级保护系列标准保护系列标准2024/7/2210资产登记表资产登记表检查表检查表风险值风险值=R=R(A A,T T,V V,MM)= R(C(A= R(C(A,T T,V V,M)M),L(TL(T,V V,M )M )风险权重风险权重确定信息系统安全确定信息系统安全保护等级保护等级GBGB信息信息安全等级保护安全等级保护Basel IIBasel II和萨和萨班斯法案的班斯法案的要求要求Basel IIBasel II的要求的要求萨班斯法案的要萨班斯法案的要求求制定详细的风险制定详细的风
5、险处理计划处理计划输出表格输出表格Basel IIBasel II的要的要求求2024/7/2211信息系统安全等级保护调查表信息系统安全等级保护调查表2024/7/2212信息系统对象确立报告信息系统对象确立报告 2024/7/2213资产登记表资产登记表安全-责任矩阵2024/7/2214安全安全-责任矩阵责任矩阵2024/7/2215PAFIRCchecklist由风险控制目标导出2024/7/2216计算各风险的权重计算各风险的权重:应用应用AHP、群决策及聚类分析法、群决策及聚类分析法应用AHP理论,建立银行IT风险层次结构模型应用群决策思想和AHP理论,多个专家决策群体给出各自的风
6、险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法,计算专家的权值 计算判断矩阵可信度权值 计算各风险的权重 2024/7/2217PAFIRC国际知名金融机构国际知名金融机构IT风险管理案例风险管理案例2024/7/2218PAFIRC信息系统生命周期信息系统生命周期计划与组织计划与组织设计与获取设计与获取交付与实施交付与实施运行与维护运行与维护废弃与终止废弃与终止系统生命周期系统生命周期2024/7/2219PAFIRC控制目标的产生控制目标的产生COBIT 4.0ISO 17799NIST SP 800-53IT风险风险控制目标控制目标World Bank Checklist信息
7、系统安全等级保护信息系统安全等级保护2024/7/2220PAFIRC现有几个标准比较表现有几个标准比较表2024/7/2221PAFIRCIT风险控制目标风险控制目标风风险险控控制制目目标标安全策略安全策略安全组织安全组织资产管理资产管理人力资源安全人力资源安全物理和环境安全物理和环境安全通信及运行管理通信及运行管理访问控制访问控制系统的获取、研发与维护系统的获取、研发与维护信息安全事件管理信息安全事件管理业务持续性管理业务持续性管理遵循性管理遵循性管理PO :计划与组织:计划与组织 DA :设计与获取:设计与获取DI : 交付与实施交付与实施OM:运行与维护运行与维护DT :废弃与终止废弃
8、与终止通用控制目标通用控制目标Text分阶段制定的控制目标分阶段制定的控制目标Text在分阶段制定控制目标的基础上制定系统生命周期各阶段通用的控制目标。37个一级控制目标,212个二级控制目标;二级控制目标分为基本要求和补充要求。2024/7/2222PAFIRC举例:通用类举例:通用类安全策略安全策略2024/7/2223PAFIRC举例:举例:PO阶段控制目标阶段控制目标2024/7/2224PAFIRCIT资产配置与变更流程资产配置与变更流程流程图安全保护等级安全保护等级不同的IT资产有不同的安全控制要求2024/7/2225IT资产配置与变更流程图资产配置与变更流程图PAFIRC202
9、4/7/2226PAFIRC研究理念研究理念银行IT系统具备生命周期,IT风险管理理所当然应当贯穿生命周期的始终,IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求生命周期生命周期IT风险的管理和控制不是一劳永逸的活动,而是随着经营环境、业务目标,企业战略等的改变相应提高控制要求,开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程过程控制过程控制银行IT风险管理的核心是对IT资产的管理,IT资产总是归属于一定的子系统的,风险管理要考虑成本-收益就必须对系统进行等级划分,实施不同的程度地保护,划分考虑资产所在子系统的等级以及资产在子系统中的等级等级保护等级保
10、护IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者责任主体责任主体2024/7/2227银行银行IT风险管理的应用风险管理的应用- IT审计审计IT审计的参考标准审计的参考标准PAFIRC银行银行IT风险阶段控制目标风险阶段控制目标可以作为可以作为IT审计的标准参考,审计的标准参考,检查检查IT风险管理的绩效风险管理的绩效IT审计内部控制调查审计内部控制调查PAFIRC银行银行IT风险安全检查表风险安全检查表:作为基础调研工具,识别关键:作为基础调研工具,识别关键风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据IT审计的法律法规环境审计的法律法规环境PAFIRC银行银行 IT风险管理遵循性指引风险管理遵循性指引:萨班斯:萨班斯404条款的要求,条款的要求,巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。2024/7/2228
