1、一、“互联网+”和大数据带来的机遇与风险 二、海外国家对客户信息保护的要求与启示18 三、我国监管对客户信息保护的要求52 四、我们的建议:银行业应对之道55第2页信息科技风险管理信息科技风险管理信息科技部信息科技部20162016年年3 3月月2525日日主要内容主要内容信息安全形势与信息科技风险管理存在的问题信息安全形势与信息科技风险管理存在的问题3信息科技风险管理概述及重要性信息科技风险管理概述及重要性3我行信息科技风险管理中存在的不足及策略我行信息科技风险管理中存在的不足及策略3我行信息科技风险管理下一步工作要求我行信息科技风险管理下一步工作要求 (一)近期信息科技风险案例分析近期信息
2、科技风险案例分析(二)当前国内外信息安全形势当前国内外信息安全形势(三)银行业在信息科技风险管理中存在的问题银行业在信息科技风险管理中存在的问题1 17在线银行一颗定时炸弹。 最近,南非的Absa银行遇到了麻烦,它的互联网银行服务发生一系列安全事件,导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的,而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么,究竟是怎么回事呢?一起国外的金融计算机犯罪案例一起国外的金融计算机犯罪案例8这是一个商业软件(),该软件本意是帮助父母或老板监视孩子或雇员的上网活动u 该软件可记录包括电子邮件、网上聊天、即使消息、W
3、eb访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱u 商业杀毒软件一般都忽略了这个商业软件u 本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后窃取其网上银行账号和PIN码信息的9Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任,其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客户灌输更多安全意识,并在易用性和安全性方面达成平衡 IT技术专家则认为:电子银行应采用更强健的双因素认证机制(口令或PIN智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任10国内金融计算机犯罪的典型案例国
4、内金融计算机犯罪的典型案例一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获 人民日报,2003年12月时间:2003年11月地点:甘肃省定西地区临洮县太石镇邮政储蓄所人物:一个普通的系统管理员112003年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机l 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理l 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金)l 紧急与开户行联系,发现存款已从兰州
5、、西安等地被取走大半l 储蓄所向县公安局报案l 公安局向定西公安处汇报l 公安处成立专案组,同时向省公安厅上报l 12经过缜密的调查取证,我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首 会宁邮政局一个普通的系统维护人员张某13 登录到永登邮政局永登临洮 破解口令,登录到临洮一个邮政储蓄所 会宁的张某用假身份证在兰州开了8个活期帐户 张某借工作之便,利用笔记本电脑连接电缆到邮政储蓄专网会宁 向这些帐户虚存83.5万,退出系统前删掉了打印操作系统 最后,张某在兰州和西安等地提取现金14张某29岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密:与Internet
6、物理隔离的专网;配备了防火墙;从前台分机到主机经过数重密码认证1516看来,问题真的不少呀 张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网 临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统 问题出现时,工作人员以为是网络系统故障,没有足够重视 17总结教训 最直接的教训:漠视口令安全带来恶果! 归根到底,是管理上存在漏洞,人员安全意识淡薄安全意识的提高刻不容缓! (一)近期信息科技风险案例分析近期信息科技风险案例分析(二)当前国内外信息安全形势当前国内外信息安全形势(三)银行业在信息科技风险管理中存在的问题银行业在信息
7、科技风险管理中存在的问题1 1国外信息安全形势国外信息安全形势2013年,“棱镜门”事件引爆了全球网络空间的连锁反应,国际社会对信息安全的重视程度陡然上升,越来越多的国家将信息安全列为国家安全的重要组成部分,纷纷采取各种措施,强化网络空间信息安全。网络空间博弈加剧,呈现政治化、军事化趋势针对金融机构和电信网络的隐性攻击以及针对普通民众的网络诈骗越来越严重。云计算、物联网、大数据、移动互联网等新技术、新模式的应用和发展,带来了安全技术的新一轮变革。与此同时,安全威胁也显著增长,信息的获取防范、存储形态、传输渠道和处理方式均发生了新的变化。国内信息安全形势国内信息安全形势 我国各类关键信息基础设施
8、和重要信息系统整体运行平稳,未发生造成国家重大损失的安全事件,但是来自境外针对我国国家关键信息基础设施的网络攻击、窃密持续不断,同时由于自身信息安全保障不足而引发的安全事件也时有发生。 目前,我国信息安全自主可控能力严重不足,中高端技术和产品大部分控制权在国外,受制于人,严重降低了信息安全自主保障的强度。国家关键基础设施和重要信息系统大量采用国外信息技术产品,虽然推广国产产品已经形成共识,但短期内还难以做到完全替代。国外产品存在的漏洞和后门隐患,已经严重影响我国国家信息安全。 我国在信息安全保障方面还存在很多短板,技术创新和管理的创新能力弱、关键核心技术受制于人、参与国际治理的经验不足等。技术
9、上创新世界领先技术少,更多地仍处于学习引进阶段,为国际社会做出的贡献有限;管理上仍存在体制性障碍和结构性矛盾,一直采用“各司其职、分兵把守”的管理体制,在应对互联网不断涌现的诸多问题和挑战中,缺乏规范有序的管理新机制; (一)近期信息科技风险案例分析近期信息科技风险案例分析(二)当前国内外信息安全形势当前国内外信息安全形势(三)银行业在信息科技风险管理中存在的问题银行业在信息科技风险管理中存在的问题1 1信息安全工作存在的主要问题信息安全工作存在的主要问题三个三个“忽视忽视” 重视安全技术,忽视安全管理 重视外部防护,忽视内部安全 重视产品购买,忽视产品使用三个三个“缺乏缺乏” 缺乏统一安全架
10、构规划与协调 缺乏信息安全组织与治理 缺乏信息安全意识教育与培训有点无面有点无面 不成体系!不成体系!访问控制访问控制SOC身份认证身份认证监控审计监控审计内容安全内容安全备份恢复备份恢复管理制度管理制度银行业在信息科技风险管理中存在的突出问题银行业在信息科技风险管理中存在的突出问题 目前,我国银行业的信息科技建设正处于高速发展期,随着银行业务对信息科技的高度依赖,使得计算机信息系统的安全性、可靠性和有效性直接关系到整个银行业的安全和国家金融体系的稳定。银行业信息科技在设备规模和技术水平不断提高的同时,信息科技风险管理却相对显得十分薄弱,信息科技管理存在3大风险。 一是仅从技术层面强调对信息安
11、全的控制,缺乏在管理层面上的协调和重视。 二是缺乏一套完善信息科技管理体系,缺乏完善的信息安全治理架构来指导信息科技管理。 三是缺少对银行信息科技发展的前瞻性认识。主要内容主要内容信息安全形势与信息科技风险管理存在的问题信息安全形势与信息科技风险管理存在的问题3信息科技风险管理概述及重要性信息科技风险管理概述及重要性3我行信息科技风险管理中存在的不足及策略我行信息科技风险管理中存在的不足及策略3我行信息科技风险管理下一步工作要求我行信息科技风险管理下一步工作要求 (一)信息科技风险管理概述及风险点信息科技风险管理概述及风险点(二)加强信息科技风险管控的重要性(二)加强信息科技风险管控的重要性(
12、三)邮储银行信息科技风险管理规划方向邮储银行信息科技风险管理规划方向2 2信息科技风险的定义信息科技风险的定义 信息科技风险是一种业务风险具体说来,是和企业中与信息科技的使用、拥有、运营、参与、影响和适应的业务风险国际信息系统审计协会 IT风险管理框架信息科技风险风险是因以下一种或几种原因,而导致的法律责任或无法实现公司计划: 对信息未经批准的披露、修改与销毁 无意的错误或遗漏 因人为或自然灾害导致的IT中断 无法实现在IT实施与运维过程中的严谨与谨慎 美国国家标准技术研究所IT系统的风险管理指引信息科技风险的定义信息科技风险的定义 信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人
13、为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。信息科技风险的组成信息科技风险的组成风险是指风险管控措施的脆弱性被风险威胁所利用的结果。风险威胁是指对信息系统、组织及其资产构成潜在破坏的可能性因素或者事件自然因素人员因素环境因素 风险管控脆弱性是指能被风险威胁利用的人、流程或技术等方面的弱点 管控人员 管控技术 管控流程 IT风险管理就是对风险威胁与风险管控的脆弱性进行管理。威胁脆弱性信息科技风险
14、管理管什么信息科技风险的特点信息科技风险的特点1、广泛性广泛性 各大商业银行先后实现了数据大集中处理模式。数据大集中为各金融机构带来巨大的效益和管理上的便利,但是也埋下了各种安全隐患。2、潜伏性潜伏性 风险的潜伏性是指在特定的外部环境下安全隐患容易被忽视,新的风险点会随着环境变化逐步暴露出来。由于银行业务的高速增长以及信息技术的飞速发展,使得信息科技风险具有典型的潜伏性。3、非标准性非标准性 风险需要通过资产化、价值化等标准化过程进行计量,对经过计量的风险再采取成本恰当、成本可控的风险防控手段。但是,对信息科技风险来说,很难制定一个统一的标准对风险进行计量。 信息科技风险的分类信息科技风险的分
15、类信息科技风险包括:信息系统本身固有的风险人的风险数据安全风险电子银行风险IT外包风险安全管理风险信息科技风险的风险点(一)信息科技风险的风险点(一) 信息系统本身固有的风险:信息系统软硬件本身存在着脆弱性,在这些脆弱性被触发和利用时,就会产生风险,我们主要面临一下三个方面的风险:(一)业务中断风险。(二)系统漏洞风险。(三)系统版本及管理风险。信息科技风险的风险点(二)信息科技风险的风险点(二)人的风险(一)内部人员误操作或工作失误造成的风险。(二)信息科技培训未能按时开展,信息科技风险防范意识薄弱。(三)信息科技人员一人兼多岗或是常年固定在一个岗位上,众多系统维护工作集于一身。A/B角制度
16、难以真正有效落实,关键岗位未能落实备份人员。软件开发岗和维护岗未能严格分离。(四)生产系统性能未能定期检查分析。信息科技风险的风险点(三)信息科技风险的风险点(三) 数据安全风险:数据安全风险包括三方面:(一)数据窃取,即数据在存储过程中或在传输过程中未按我行数据安全相关规定遭到窃取甚至恶意篡改,由于权限控制不严导致无关人员接触到核心数据并导致机密数据外泄等。(二)数据缺失,未按照转存方案进行数据转存、清理和恢复,导致存储介质过期失效,或未将操作系统文件、参数、版本、中间业务平台等的相关数据的备份那屋数据管理范畴,造成某个系统出现异常后,不能在短时间内得到正常恢复,影响业务连续性。(三)数据丢
17、失,即由于自然灾害、房屋倒塌等突发事件造成的存储介质中部分会全部数据丢失。信息科技风险的风险点(四)信息科技风险的风险点(四)电子银行风险: 电子银行风险主要指的是电子支付安全问题,包括利用信用卡和ATM进行诈骗,或者利用钓鱼网站、木马程序盗取客户的账号和密码等一系列犯罪行为。案件的背后,固然有科技防范意识薄弱、甄别能力不强等原因,但也有电子银行系统安全防护措施不完善、安全宣传不到位等原因。信息科技风险的风险点(五)信息科技风险的风险点(五)IT外包风险:首先在于服务商能否长期有稳定的为银行提供高质量服务,对于信息系统故障能否及时响应并修复,以保证银行业务的连续性。其次,外包服务商在和银行密切
18、往来过程中会获取一些银行的内部机密信息,给银行带来商业秘密泄露的风险。再次,银行对于外包服务商的过度依赖性也是一种风险。信息科技风险的风险点(六)信息科技风险的风险点(六) 安全管理风险。(一)信息科技管理相关制度不完善,或是不能将上级行的制度本地化。(二)未建立行内信息科技主管行领导和中层领导共同参与的信息安全组织架构,或是未有效行使该机构职能。(三)对信息安全日常管理工作(包括信息安全检查、信息科技风险培训、病毒防治、不合规软件清理等)存在执行不到位的情况。 (四)各级机构风险管理部及审计部门未能切实发挥信息科技风险管理“三道防线”作用 (一)信息科技风险管理概述及风险点信息科技风险管理概
19、述及风险点(二)加强信息科技风险管控的重要性(二)加强信息科技风险管控的重要性(三)邮储银行信息科技风险管理规划方向邮储银行信息科技风险管理规划方向2 2信息安全上升到国家安全高度信息安全上升到国家安全高度美国 - 网络空间安全国家战略, 美国21世纪的经济繁荣依赖于网络空间安全 将网络空间安全威胁定位为举国面临的最严重的国家经济和国家安全挑战之一英国 - 英国网络安全战略 使英国面对网络攻击的恢复力更强,并保护其在网络空间中的利益; 帮助塑造一个可供英国大众安全使用的、开放的、稳定的、充满活力的网络空间,并进一步支撑社会开放;中国 - 国家网络安全战略形成十六届四中全会首次明确将信息安全作为
20、国家安全的主要内容2014年2月27日,中央网络安全和信息化领导小组宣告成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长。网络安全上升到国家安全战略。习近平指出,没有网络安全就没有国家安全。43计算机信息系统安全保计算机信息系统安全保护条例护条例计算机信息网络国际联计算机信息网络国际联网安全保护管理办法网安全保护管理办法44“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处
21、罚金。” “提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”商业银行加强信息科技风险管理的重要性商业银行加强信息科技风险管理的重要性 信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还事关整个银行业的安全和国家金融体系的稳定,因此国家对银行信息科技风险管理日益重视,各监管机构均对银行信息科技风险管理提出了明确要求,各商业银行也普遍提高了对信息科技风险管理的关注程度。1.加强信息科技风险管理是金融监管部门关注的重要内容2.加强信息科技风险管理是商业银行自
22、身发展和提高IT治理水平的需要3.加强信息科技风险管理是新巴塞尔资本协议的基本要求 (一)信息科技风险管理概述及风险点信息科技风险管理概述及风险点(二)加强信息科技风险管控的重要性(二)加强信息科技风险管控的重要性(三)邮储银行信息科技风险管理规划方向邮储银行信息科技风险管理规划方向2 2邮储银行邮储银行IT风险管理规划要点风险管理规划要点开展邮储银行分行信息科技管控必要性:1、能够深化和巩固总行此次的信息科技风险管控建设项目的建设成果,形成在全行层面信息科技风险管控统一的工作要求。2、能够建立健全各分行在信息科技风险管理、信息安全、业务连续性管理和信息科技外包风险管理领域的管理工作机制,包括
23、制度体系、工作流程、管理工具等。3、能够充分发挥各分行自身的主观能动性,根据自身信息科技风险管控的实际情况实现信息科技风险管控体系的不断优化。4、从同业实践经验看,为有效实现全行信息科技风险管控,大型银行也经历了由总行逐步推广到分行建设的建设过程。邮储银行邮储银行IT风险管理规划要点(续)风险管理规划要点(续)纳入全面风险管理纳入全面风险管理“一个框架一个框架”将IT风险纳入我行全面风险管理体系框架,制定并监控IT风险管理偏好、政策与限额。搭建总分行防控搭建总分行防控“两类联动两类联动”打破信息传递、汇报沟通壁垒,搭建总行、分行各部门之间,以及总分行之间的风险防控联动机制。巩固巩固ITIT风险
24、管理风险管理“三道防线三道防线”适当前移二道防线,构建信息科技部与风险管理部的协同管控关系,巩固IT风险管理的“三道防线”。邮储银行邮储银行IT风险管理规划要点(续)风险管理规划要点(续)加强加强ITIT风险管理团队风险管理团队“四项能力四项能力”搭班子,建团队,逐步加强IT风险管理团队人员的IT风险管理意识、IT风险管理专业知识、IT风险管理实操,以及IT风险管理沟通汇报四项能力建设。强化强化ITIT风险管控风险管控“八大领域八大领域”全面覆盖IT风险管控八大领域,包括:信息科技治理、信息科技风险管理、信息系统开发测试、信息科技运行管理、信息安全管理、信息科技外包风险管理、业务连续性管理、信
25、息科技审计。同时,逐步深入各领域,在管控全面覆盖的基础上,强化专项管控能力。主要内容主要内容信息安全形势与信息科技风险管理存在的问题信息安全形势与信息科技风险管理存在的问题3信息科技风险管理概述及重要性信息科技风险管理概述及重要性3我行信息科技风险管理中存在的不足及策略我行信息科技风险管理中存在的不足及策略3我行信息科技风险管理下一步工作要求我行信息科技风险管理下一步工作要求 (一)我行在信息科技风险管理中存在的不足我行在信息科技风险管理中存在的不足(二)我行信息科技风险管理策略我行信息科技风险管理策略3 3 1、当前全行信息科技风险管理方面较为薄弱,距离总行及监管部门的要求尚有较大差距,风险
26、防控的策略、组织和技术等方面的保障体系建设尚待加强;二级分行存在未设立信息安全管理工作的组织架构,未对相关岗位职责进行明确规定,个别分行截至目前无专职技术人员。2、信息科技风险防控能力需要加强,行内尚未建立起有效的“三道防线”,需要加强科技风险的监测、识别、报告、预警和处置工作;3、业务连续性管理体系亟待强化,各二级分行设备间各系统的应急预案需要完善,应急演练需要加强。4、大多数二级分行及支行员工信息科技风险防范意识较为淡薄,普遍存在制度落实不到位的情况,科技风险防范意识有待提高。 信息科技治理仍有差距信息科技治理仍有差距1 1、全行信息安全管理方针、策略、管理要求、操作流程、应急方案及计划不
27、够全面。未定期修订更新信息安全管理策略与制度;尽管制定了总体应急预案,但是缺少各个系统的应急预案,且制定的应急预案仅停留在形式上,未进行过应急培训和应急演练;部分应急预案涵盖面过大,缺乏针对性和操作性,影响应急预案的实效。2、全行开展辖内相关制度、流程的制定梳理工作,但制度多是按照总行和区分行下发制度的复制版,缺少根据本地实际情况制定的规章制度。3、各种台账表格没有进行梳理归档,保存不完整; 信息科技制度有待进一步完善信息科技制度有待进一步完善2 1、由于二级分行科技人员不足、二分专兼职信息科技人员流动性较大,工作交接的不完善和新接手人员对于制度流程的不熟悉、技术经验的暂时缺乏等因素导致二级分
28、行信息安全管理工作存在较大的隐患。2、大部分分行普遍存在互联网PC上保存生产PC上下载的数据且分行本部和网点存在生产PC开启共享的情况,存在生产网PC 未设置屏保的现象,且无密码或是简单密码。3、U盘使用随意性较大,对于较为敏感的生产数据,均未使用专用的存储介质。4、各类数据的使用权限分散于各部门,而数据安全的管理职责在信息科技部门,管理难度较大。接触和使用敏感数据较多的是业务人员、后台管理人员,数据安全意识不高,风险管控意识需要加强。 信息安全管理仍需努力信息安全管理仍需努力3 1、安全管理制定的培训计划没有按计划实施,未对各个岗位人员进行安全教育和培训,培训记录不完善,记录中未对培训人员、
29、培训内容、培训结果等进行详细描述描述;2、大部分分行未按照要求对本辖信息科技人员进行岗位培训,培训文档不完善,未有效建立病毒管控和信息安全应急预案。 安全教育与培训需不断加强安全教育与培训需不断加强4 1、对于历次信息科技检查出的问题,存在应付检查的情况,上报的整改情况和实际有出入。2、对于上级部门或是监管部门检查出的问题,整改落实滞后,没有严格按照整改方案的要求实施整改。3、各二级分行对各种信息科技检查全过程的记录文档没有严格按照要求进行整理归档。 信息安全检查整改落实有待提高信息安全检查整改落实有待提高5 (一)我行在信息科技风险管理中存在的不足我行在信息科技风险管理中存在的不足(二)我行
30、信息科技风险管理策略我行信息科技风险管理策略3 3 制度是安全生产的生命线,要有效防控信息科技风险,首要的是建立完善的信息科技安全管理制度,以制度约束人的行为,以制度明确人的职责,以制度指导人的思想。我行必须高度重视信息科技安全管理制度的建立与完善,以安全生产为主线,深入分析信息系统风险点,有的放矢,从快从严建立内部管理制度。同时还应积极跟踪信息系统运行情况,及时发现新问题、新风险点,并及时完善制度,从源头上尽可能降低风险时间发生的可能性。 全行信息科技人员必须不折不扣的执行制度,或者提出合理化建议来修订制度,使制度成为一切工作的基本准则,人人“重制度,守制度”,真正给安全生产拉起一道难以跨越
31、的防御线。管理层要切实监督信息科技安全管理制度的执行情况,对整个信息科技风险防控工作全盘把握,其责任覆盖银行自上而下的信息科技风险管理体系。 建立完善的信息科技风险管理制度建立完善的信息科技风险管理制度1 通过完善的质量控制和测试体系,对信息系统的开发进行严格的风险论证和风险测试,是控制信息系统风险的首要工作。但是信息系统的运行状况才是系统安全性能的真实反应,贯穿于信息系统的整个生命周期,与安全生产息息相关。 一方面,我们应该对信息系统的运行状况进行全程监控,主干网络是否通畅、自助设备是否正常运行、数据库系统是否正常服务、是否有网络遭受外部非法入侵等必须纳入实时监控范围,以保障在发生故障的第一
32、时间做出响应。 另一方面,必须未雨绸缪,制定应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面工作,并加强灾备演练,以保障在突如其来的灾难性事件面前,能从容应对,迅速恢复生产,尽可能降低事故造成的损失。 构建全面的信息科技风险监测和保障体系构建全面的信息科技风险监测和保障体系2 银行是知识高度密集型行业,信息科技人才所聚集的知识资本是银行信息科技工作极其重要的生产要素,信息科技人才知识水平高低决定了他们对各项规章制度的理解深度和执行力度。我们要注重“以人为本”的科学管理理念,注重培养员工风险防范意识和风险防范能力,提高员工信息科技水平。首先,我行要建立与信息科
33、技工作岗位相适应、与业务发展程度紧密联系的培训制度,同时,还应鼓励员工积极参与国家认可的考试认证,以提高信息科技工作者的业务水平和对各项信息科技风险的认知程度,从而也能提升邮储银行的整体IT服务档次。其次,要对人员采取适当的激励措施, 以吸引人才,使用人才,尽可能调动人才的主观能动性,充分发挥其聪明才智。 积极推进信息科技队伍建设,提高积极推进信息科技队伍建设,提高IT服务水平服务水平3建设组织内高素质的信息安全队伍 如果安全管理有漏洞,其它安全措施投入再大也无济于事。 因此,应加强信息安全从业人员队伍建设,明确组织机构信息安全岗人员,对其进行有针对性的培训据统计,银行业有50%的生产运行风险
34、都是由操作原因引起的,因此,必须规范生产运行管理全过程,有效防范和化解风险,堵住漏洞,增强整体防范能力。一是要针对信息系统的重要性和敏感程度,建立以有效身份验证为基础的管理机制,加强网络系统访问的控制和安全管理,防止金融犯罪;二要落实全面检查,强化员工的信息安全风险防范意识,防止由于计算机病毒、使用非正常交易、群发与工作无关的娱乐邮件及过大邮件等问题而导致的系统压力增大,导致网络堵塞或系统瘫痪;三要建立信息系统保障和沟通机制,认真落实安全责任制,切实保障信息化服务体系安全、稳定、高效运行;四要建立完善信息安全应急处置机制和信息通报机制,制定应急预案并进行演练,提升应急处理能力。 规范生产管理运
35、行过程规范生产管理运行过程4提高提高IT外包服务管理精细度外包服务管理精细度IT外包的本质是银行与外包服务商的一种商业合作,与银行内部的其他信息科技风险相比,虽不直接影响到银行业务,却关系到我行能否保持信息服务的竞争力了,进而影响我行的市场地位。 IT外包风险存在于外包服务的每一个环节,需要对外包服务进行全程的精细化管理。一是通过对外包服务商的水平做全面准确的评估,选择一个值得信赖、具有相当资质的IT服务商。二是签署详细全面的外包合同,包括外包服务内容和服务范围、双方在合同中的权利和义务,并签署保密协议。三是在外包服务期间,银行要对IT外包服务商进行持续,有效的监督,定期或不定期的对外包服务商
36、进行检查,及时掌握合同履行情况。四是在外包服务中,银行要积极主动地学习,积累经验,尽可能底掌握技术要点,以降低依赖性风险。 提高提高IT外包服务管理精细度外包服务管理精细度5我们要认真落实信息系统安全等级保护、风险评估和审计检查等管理措施,并在客户端安全、互联网安全、应用交易安全等方面采取有效的技术防护手段。一方面,要在健全信息安全管理制度体系、落实信息系统等级保护、实施风险评估和安全检查、加强日常安全检测和管理以及安全教育等措施来强化信息安全的管理工作。另一方面,持续完善信息安全技术控制措施,提升硬控制能力,要不断从信息安全、信息系统安全和客户端安全三个方面加强对信息安全的技术控制,有效控制
37、信息安全风险。 信息安全贯穿于信息科技全流程,是信息科技风险管理的重要内容信息安全贯穿于信息科技全流程,是信息科技风险管理的重要内容6n信息安全管理策略、目标和活动应该反映业务目标 n信息安全管理制度规范的制定与业务部门的紧密配合n建设过程中应该鼓励暴露和发现管理方面的问题和风险n信息安全管理制度规范要具有可操作性和可实施性 从信息科技风险管理实践来看,虽然信息科技风险管理更多关注的是信息科技领域,但其中相当一部分内容与业务部门息息相关。因此,信息科技风险管理实际上是我行的一项全局性工作,需要业务部门共同参与和推进。(1)在生产运行领域的业务连续性管理方面(2)在应用研发方面(3)在信息安全方
38、面 总之,信息科技风险管理是我行发展以及信息化进程中面临的十分重要和紧迫的问题,需要各方面共同关注和推进,也需要我行内部科技部门和业务部门协同配合,共同打造一个安全的、抗风险的金融IT平台,促进银行业务的健康快速发展。 信息科技风险管理需要科技部门和各业务部门共同推进信息科技风险管理需要科技部门和各业务部门共同推进7主要内容主要内容信息安全形势与信息科技风险管理存在的问题信息安全形势与信息科技风险管理存在的问题3信息科技风险管理概述及重要性信息科技风险管理概述及重要性3我行信息科技风险管理中存在的不足及策略我行信息科技风险管理中存在的不足及策略3我行信息科技风险管理下一步工作要求我行信息科技风
39、险管理下一步工作要求1、区分行不断落实新疆分行信息科技风险管理委员会工作规则,履行委员会职责,细化工作内容,加强组织管理,不断健全信息科技风险管理机制;2、各二级分行按照新疆分行信息安全检查要点及时设立专门的信息安全组织架构,明确信息安全管理的责任单位及各岗位职责并切实发挥其作用。3、各二级分行要建立本分行的信息科技应急小组,保证发生信息安全事件能够有序开展应急处置工作。4、各二级分行及时将人民银行、银监局等监管部门涉及信息科技风险管理及风险提示等方面的文件按要求进行传达和落实。 信息科技治理需持续加强信息科技治理需持续加强1、全行上下要逐步完善信息安全管理方针、策略、管理要求、操作流程、应急
40、方案及计划等一系列制度。制定规范的信息安全策略及制度制订流程、修订完善信息安全管理策略与制度;2、全行要切实落实银行业信息科技风险管理指引等监管部门下发的规章制度,强化信息科技突发事件报告和应急管理工作,各二级分行根据自身应急处置机制建设的需要,制定的与区分行行信息系统应急预案相衔接的分应急预案;3、要严格按照数据安全管理相关制度的要求落实数据安全管理,特别是终端数据的使用,要明确规定数据的接收、使用、传输、销毁的流程和方式,确保生产数据的安全。4、各二级分行需制定相关系统的维护手册,包括物理安全、网络安全、数据安全、终端安全、访问控制等的相关规定。应制定本分行的系统故障排查手册,需具备完整的
41、故障排查记录。5、制定完善网点自助设备处理流程相关制度资料,并严格按照制度要求落实。自助设备管理人员需知晓管辖设备维护厂商的联系方式。信息科技制度需不断完善落实信息科技制度需不断完善落实1、继续完善数据备份,确保数据备份的完整性与可用性。2、进一步加强网络风险防控,完善网络管理体系。严禁使用处理涉密信息的计算机访问互联网和非法侵入生产系统、网络的现象发生。严禁同一台PC机同时连接生产网和互联网。3、外部人员访问机房(设备间)和ATM配钞间须有本单位人员陪同,并做好出入登记,要求详细记录外部人员访问的进入时间、离开时间、访问设备或信息及陪同人员。4、机房(设备间)和ATM配钞间应配备温湿度计和灭
42、火器,并保证配备的设备可用。每天巡查机房(设备间)运行状况,对机房供配电、空调、温湿度控制等设施进行维护管理,填写机房值班记录、巡视记录;信息安全管理进一步加强5、严禁擅自修改、变更计算机软件,擅自植入恶意代码程序;严禁伪造、篡改生产系统内原始数据的;未经授权,严禁擅自使用、盗用他人用户号登录系统操作的。6、区分行及各二级分行严禁互联网PC和生产终端上保存生产数据、密码、代码等,严禁生产PC开启共享的功能,生产PC按照安全管理要求设置屏保和密码。7、各分行控制管理移动介质的使用和处置方式;尽快购置专用存储介质保存含有客户信息、交易信息、产品信息、经营信息及员工信息等敏感数据,及时做好交接并与生
43、产数据使用人员签署数据安全保障承诺书。信息安全管理进一步加强1、全行要制定每年的安全教育和培训计划,定期对信息安全基础知识、岗位操作规程、数据使用安全等进行培训,特别是关键岗位和机房(设备间)值班人员的培训,保留培训记录。2、制定病毒管控和信息安全应急预案,及时根据本行实际组织应急演练。3、加强第三方人员的管理,要及时签订保密协议书,有效防范潜在的风险和隐患。安全培训与应急演练进一步加强1、按照总行及各监管部门的要求,积极配合2016年度信息科技各项安全检查,并及时进行相关问题的整改和反馈;2、全行要严格按照新疆分行信息安全检查要点的要求,认真开展2016年新疆分行信息安全的检查工作,认真落实
44、整改,特别是数据安全、系统安全、终端安全、设备间等方面。3 各二级分行要严格落实新疆分行信息化设备巡检办法的相关要求,定期组织开展辖内信息化设备的检查工作。4、各二级分行需强化信息安全检查落实整改力度。按照总行、各监管机构的要求落实信息安全检查工作,认真进行自查,发现的问题必须及时、准确反映在检查底稿中,并做好留存。5、全行务必高度重视,整改到位。发现问题立行立改,对于屡查屡犯的问题,要进行责任追究。建立监督检查长效、常态机制,对问题整改情况进行督导,提高我行信息科技安全管理与风险防范能力。信息科技安全检查持续开展1、大部分二级分行信息科技人员数量仍然不足,技术力量有待加强,二级分行科技人员按照区分行要求配备。2、确保信息科技人员稳定性,降低二分信息科技人员流动性过大带来的风险,做好人员交接工作。3、对新接手信息技术人员进行严格培训,合格后签署保密协议 方可正式开展工作,各分行主管领导要做好监督检查工作。4、人员基本技能和协调能力还需进一步加强。各行技术人员要加强网络技术理论知识和设备维护等方面的学习。加强信息科技人才队伍建设谢谢!
