信息科技风险监管讲座资料.ppt

基层银行机构科技风险监管的思考 现场检查的内容： 从常见问题、薄弱环节入手 高管意识 环境安全 内控管理 科技人员道德风险 操作风险（初始密码管理、代发工资卡） 应急管理 Copyright by CHENYL 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 指标体系—固有风险指标 信息科技服务 外包子领域 风险成因 信息科技服务外包 外包人员变动导致外包服务持续性受影响，导致服务质量下降、进度拖延等可能性。 过度依赖外包商，导致出现“太依赖而不能替换的外包商”。 外包商完全位于境外或。外包商性质及提供服务的形式对机构的可能影响。如：境外外包商，外包商采用非授权工具提供服务，外包商常驻机构与其内部员工共同进行现场作业等。 指标体系—固有风险指标 监管关注度子领域 风险成因 监管关注度 规模（资产规模、网点规模、电子银行用户）。信息科技支持能力应与机构规模相适应，并在一定时期内能够持续满足对网点规模增长的需求） 业务量。业务量是机构信息系统所承载交易压力的直接体现。 信息科技风险历史记录。重点关注以往重大信息系统突发事件情况、信息科技人员涉案情况等。 指标体系—控制有效性指标 信息科技治理 控制有效性 指标 控制有效性 子领域 信息科技风险管理 信息系统开发、测试与维护 信息科技审计 灾难恢复与应急管理 信息科技外包 信息安全（一般控制） 信息科技运行 指标体系—控制有效性指标 信息科技治理子领域 关键要素 信息科技治理 是否具有信息科技治理领导力？（或信息科技在高管层中的地位如何）？ 信息科技战略能否有效支持业务目标？ 信息科技未得到足够的财务支持？ 信息科技治理职能与责任划分是否明确、合理？ 信息科技治理执行力如何？ 信息科技治理是否与企业治理兼容？ 指标体系—控制有效性指标 信息科技风险管理 子领域 关键要素 信息科技风险管理 风险容忍度？ 风险管理流程是否完整？（应包括：识别风险、评估风险、控制风险、监测风险、预警风险） 风险管理是否有效运作？主要体现在风险根源分析机制持续运作？ 信息科技风险管理与业务风险管理的关系是否理顺？ 风险控制措施是否有效覆盖被识别的风险点？ 是否有足够的专业人才开展风险管理工作？ 风险意识持续培养？ 指标体系—控制有效性指标 信息科技审计 子领域 关键要素 信息科技审计 信息科技审计部门及人员的独立性如何？ 信息科技审计部门与人员是否合理授权？ 信息科技审计人员的专业性如何？ 审计发现整改率？ 审计分支机构覆盖率？ 是否建立信息系统的应用控制及审计方法？ 指标体系—控制有效性指标 信息系统开发、测试与维护 子领域 关键要素 信息系统开发、 测试与维护 有无项目管理组织统一安排、协调各类项目？ 如何保障项目质量？ 有无项目财务管理和监督？ 开发、测试环境的管理？ 项目的设计阶段是否充分考虑了信息安全、保密、灾难恢复等需求？ 项目结束后是否进行业务价值评价和审计？ 指标体系—控制有效性指标 信息科技运行子领域 关键要素 信息科技运行 运行操作岗位设置是否合理？ 事件管理如何？ 问题管理如何？ 可用性管理如何？ 容量管理如何？ 变更与维护管理如何？ 运行过程监控如何？ 指标体系—控制有效性指标 灾难恢复与应急管理子领域 关键要素 灾难恢复与应急管理 灾难恢复计划或应急预案的演练与更新情况？ 重要信息系统灾难恢复计划覆盖率？ 重要信息系统应急预案覆盖率？ 指标体系—控制有效性指标 外包子领域 关键要素 外包 有无外包商资质、服务水平的考核指标？ 如何选择正确的外包服务商？ 如何防止外包人员接触生产数据或敏感信息？ 外包合同是否经法规或审计部门审核？ 有无可迅速替换的外包商？ 指标体系—控制有效性指标 信息安全管理子领域 关键要素 信息安全管理 信息资产普查与分级？ 跨部门协调的信息安全执行组织 ？ 物理安全？ 物理访问控制？ 逻辑访问控制？ 版本管理？ 配置管理？ 日志管理？ 网络管理？ 数据安全？ 评估指标 定量指标74个 固有风险： 23个 监管关注度： 9个 控制有效性：42个 定性指标90个 固有风险： 10个(手工2个) 控制有效性：80个(手工8个) 固有风险： 33个 监管关注度： 9个 控制有效性：122个 指标合计164个 基本思想 自动化 自动抽得指标结果、自动评分、自动汇总、自