《银行业信息资产风险监管暂行办法》介绍.pptVIP

信息科技风险管理浅谈 陈文雄 2009年11月 提纲 一、信息科技现状 二、防范信息科技风险的要点 1、我国银行业电子化和信息化建设经过二三十年的发展，取得了世界瞩目的成绩。同时面临许多挑战 2、我国银行业金融机构信息化水平发展很不平衡 用户数 交易量 3、信息科技治理不到位 治理文化未形成、公司治理与IT治理、治理架构不全、责任不清晰、人员不足、培训不到位 4、信息科技的价值不能充分体现 信息资产与财务资产 无标准与有标准 一、信息科技现状 5、信息科技风险的定位不清楚或不恰当。信息科技风险与总体风险的关系过于间接，在新巴塞尔协议中，把信息科技风险定位为操作风险的一部分，实际上，与其他风险相比，信息科技风险的影响比其他风险大得多 流动性与系统问题 水能载舟也能覆舟 6、信息技术是万能的 处理能力强 记忆无限 场所无限 智能与弱智 电梯运行 一、信息科技现状 7、信息安全面临挑战  一是银行业金融机构之间的差异性大，用一个标准衡量，既不利于大银行的信息安全保障，也不利于小机构的发展；二是我国银行业开放参与国际合作，面临来自资本市场、会计准则和信息披露要求等方面的严峻挑战；三是公众意识淡薄；四是安全测评不到位;五是金融危机影响IT的投入，外包方有变数；六是新资本协议的实施对系统产生的新要求;七是混业经营带来新的管理压力。 一、信息科技现状 一、信息科技现状 10、内控目标不合理 合规不是内控最终目标 “要我做变我要做” 过度崇拜认证和形式主义 不用信息科技防范整体风险 一、信息科技现状 11、信息科技工作的实际情况 “说起来很重要、做起来急着要、排起队来次要、出了问题什么都不要” 信息科技管理是“一把手”工程 信息科技风险管理靠“事件推动”好了伤疤忘了痛 信息科技风险管理本身“灯下黑” 信息科技工作评价标准 重建轻管 对事件零容忍 100与60分 二、防范信息科技风险的要点 1、定位 信息科技是支柱 风险防范还处于初级阶段 治理是关键 2、讲特色，要以“我”为主、与文化交融 特色是提高风险管控能力和发展业务的根本。应多元化地开展信息科技风险管理工作 手机短信 一卡通 3、建立中国特色的治理文化 解决西方文化与东方文化的融合 4、忧患 IT事件频发 911数据保护与责任 外部因素影响 电源、通信、软硬件、人员 网络威胁 信息泄露 美国电网 5、价值观念 风险与价值的关系 地震 滑坡 楼房坍塌 鲜明的时段特色 常态化 安全目标与投入 同城备份和异地备份（效率与概率） 6、用“三贴近”转变IT价值 贴近领导 战略一致、决策支持 提高话语权 贴近业务 率先分析研究技术应用的发展 引领业务体现生产力的作用 贴近最终用户 以高水准的服务提高认同感 用服务水平承诺来明确服务内容 变无目标、无标准为有目标和标 准化 7、全员参与 信息安全人人有责（木桶原理） 安全要有明确的目标，达到目标要有相应的投入 信息安全的要求需要人人了解和遵守，全员要在安全和便利中找到折中点 安全责任的单一化会造成应负责任旁落 业务需求不足或不准确会引发业务系统重大事故和系统可扩展性差 系统开发和更新的反复 奥运票务 二、防范信息科技风险的要点 紧急变更对系统稳定性影响重大 地震捐款 规划 业务发展规划 舆情会无限扩大信息系统故障的危害 应对舆情要发挥大家的力量 社会责任 终端用户的安全意识淡薄对知识产权、计算机网络的安全会产生严重影响 自主产权保护 随意安装 屏幕保护 口令 共享资料 共享管理帐户（信任、责任与保护） 客户等敏感信息的保护 业务连续性与应急 业务连续性的要求知晓度 新应急要求(按影响的人数) 摆脱就技术论技术 人工服务（帐篷银行、吹的价值） 横向的联系和合作 风险的识别、计量、监测和控制(可知与可控) * * * * 一、信息科技现状 一、信息科技现状 8 、业务处理同质化 87年股市黑色星期一 多家机构共用同一服务商 9、信息科技只定为支持服务 　 只关注业务的需求不关注决策 二、防范信息科技风险的要点 二、防范信息科技风险的要点 二、防范信息科技风险的要点 二、防范信息科技风险的要点 * *