1、PAFIRC银行银行IT风险管理体系风险管理体系2022-3-221银行银行ITIT风险管理体系风险管理体系报告主题报告主题PAFIRC银行银行IT风险管理体系风险管理体系2022-3-222PAFIRC报告提纲报告提纲银行银行IT风险管理实际应用风险管理实际应用 风险管理框架风险管理框架 银行银行IT 风险管理背景风险管理背景Q & A PAFIRC银行银行IT风险管理体系风险管理体系2022-3-223911事件后摩根银行摩根银行在几小时内迅速恢复营业迅速恢复营业注重注重ITIT风险管理风险管理PAFIRC银行银行IT风险管理体系风险管理体系2022-3-224PAFIRC银行风险框架银行
2、风险框架市场市场风险风险银行银行风险风险操作操作风险风险信用信用风险风险IT风险风险银行IT风险的类型ITIT风险管理的风险管理的必要性必要性IT风险管理与IT治理银行监管的要求PAFIRC银行银行IT风险管理体系风险管理体系2022-3-225PAFIRC银行银行IT风险的类型风险的类型IT运行风险运行风险 IT资产脆弱性风险资产脆弱性风险误操作风险误操作风险计算机欺诈风险计算机欺诈风险信息披露风险信息披露风险系统中断风险系统中断风险 银行银行ITIT风险风险 基于基于IT的金融产品的金融产品或服务风险或服务风险 IT环境风险环境风险 法律遵循性风险法律遵循性风险战略风险战略风险组织风险组织
3、风险物理环境风险物理环境风险外包风险外包风险 PAFIRC银行银行IT风险管理体系风险管理体系2022-3-226银行监管的要求银行监管的要求PAFIRC银行银行IT风险管理体系风险管理体系2022-3-227IT风险管理的动机风险管理的动机 信息技术的双刃性信息技术的双刃性新巴塞尔协议、新巴塞尔协议、萨班斯法案以及银监会的要求萨班斯法案以及银监会的要求 银行内控的要求银行内控的要求 PAFIRC银行银行IT风险管理体系风险管理体系2022-3-228IT风险管理的三维模型风险管理的三维模型在银行信息系统生命周期各阶段,在银行信息系统生命周期各阶段,依照依照ITIT风险管理流程,以风险控制风险
4、管理流程,以风险控制目标为驱动,实施目标为驱动,实施ITIT风险管理,抵风险管理,抵减银行减银行ITIT风险。风险。PAFIRC银行银行IT风险管理体系风险管理体系2022-3-229银行银行IT风险管理流程风险管理流程IT风险风险管理流程管理流程国际知名金融机构国际知名金融机构IT风险管理案例风险管理案例 国际标准国际标准AS-NZS 4360NIST SP800-60国内标准国内标准GB 信息安全信息安全风险评估规范风险评估规范GB 信息安全等级信息安全等级保护系列标准保护系列标准PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2210资产登记表资产登记表检查表检查表风险值风
5、险值=R=R(A A,T T,V V,MM)= R(C(A= R(C(A,T T,V V,M)M),L(TL(T,V V,M )M )风险权重风险权重确定信息系统安全确定信息系统安全保护等级保护等级GBGB信息信息安全等级保护安全等级保护Basel IIBasel II和和萨班斯法案萨班斯法案的要求的要求Basel IIBasel II的要求的要求萨班斯法案的要萨班斯法案的要求求制定详细的风险制定详细的风险处理计划处理计划输出表格输出表格Basel IIBasel II的要的要求求PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2211信息系统安全等级保护调查表信息系统安全等级保
6、护调查表PAFIRC银行银行IT风险管理体系风险管理体系2022-3-信息系统对象确立报告信息系统对象确立报告 PAFIRC银行银行IT风险管理体系风险管理体系2022-3-资产登记表资产登记表安全-责任矩阵PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2214安全安全-责任矩阵责任矩阵PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2215PAFIRCchecklist由风险控制目标导出PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2216计算各风险的权重计算各风险的权重:应用应用AHP、群决策及聚类分析法、群决策及聚类分析法 应用AHP理论,建
7、立银行IT风险层次结构模型 应用群决策思想和AHP理论,多个专家决策群体给出各自的风险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法,计算专家的权值 计算判断矩阵可信度权值 计算各风险的权重 ),.,(W1121),.,(W1121PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2217PAFIRC国际知名金融机构国际知名金融机构IT风险管理案例风险管理案例PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2218PAFIRC信息系统生命周期信息系统生命周期计划与组织计划与组织设计与获取设计与获取交付与实施交付与实施运行与维护运行与维护废弃与终止废弃与终止系
8、统生命周期系统生命周期PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2219PAFIRC控制目标的产生控制目标的产生COBIT 4.0ISO 17799NIST SP 800-53IT风险风险控制目标控制目标World Bank Checklist信息系统安全等级保护信息系统安全等级保护PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2220PAFIRC现有几个标准比较表现有几个标准比较表PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2221PAFIRCIT风险控制目标风险控制目标风险控制目标风险控制目标安全策略安全策略安全组织安全组织资产管理资产
9、管理人力资源安全人力资源安全物理和环境安全物理和环境安全通信及运行管理通信及运行管理访问控制访问控制系统的获取、研发与维护系统的获取、研发与维护信息安全事件管理信息安全事件管理业务持续性管理业务持续性管理遵循性管理遵循性管理PO :计划与组织:计划与组织 DA :设计与获取:设计与获取DI : 交付与实施交付与实施OM:运行与维护运行与维护DT :废弃与终止废弃与终止通用控制目标通用控制目标Text分阶段制定的控制目标分阶段制定的控制目标Text在分阶段制定控制目标的基础上制定系统生命周期各阶段通用的控制目标。37个一级控制目标,212个二级控制目标;二级控制目标分为基本要求和补充要求。PAF
10、IRC银行银行IT风险管理体系风险管理体系2022-3-2222PAFIRC举例:通用类举例:通用类安全策安全策略略PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2223PAFIRC举例:举例:PO阶段控制目标阶段控制目标PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2224PAFIRCIT资产配置与变更流程资产配置与变更流程流程图安全保护等级安全保护等级不同的IT资产有不同的安全控制要求PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2225IT资产配置与变更流程图资产配置与变更流程图PAFIRCPAFIRC银行银行IT风险管理体系风险管理体系2
11、022-3-2226PAFIRC研究理念研究理念银行IT系统具备生命周期,IT风险管理理所当然应当贯穿生命周期的始终,IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求生命周期生命周期IT风险的管理和控制不是一劳永逸的活动,而是随着经营环境、业务目标,企业战略等的改变相应提高控制要求,开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程过程控制过程控制银行IT风险管理的核心是对IT资产的管理,IT资产总是归属于一定的子系统的,风险管理要考虑成本-收益就必须对系统进行等级划分,实施不同的程度地保护,划分考虑资产所在子系统的等级以及资产在子系统中的等级等级保护等
12、级保护IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者责任主体责任主体PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2227银行银行IT风险管理的应用风险管理的应用- IT审计审计IT审计的参考标准审计的参考标准PAFIRC银行银行IT风险阶段控制目标风险阶段控制目标可以作为可以作为IT审计的标准参考,审计的标准参考,检查检查IT风险管理的绩效风险管理的绩效IT审计内部控制调查审计内部控制调查PAFIRC银行银行IT风险安全检查表风险安全检查表:作为基础调研工具,识别关键:作为基础调研工具,识别关键风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据 IT审计的法律法规环境审计的法律法规环境PAFIRC银行银行 IT风险管理遵循性指引风险管理遵循性指引:萨班斯:萨班斯404条款的要求,条款的要求,巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。PAFIRC银行银行IT风险管理体系风险管理体系2022-3-2228http:/