业务安全案例分析.pdfVIP

美创科技 业务安全案例分析 -以国家网络安全法看金融行业发展，从数据安全走向业务安全之路 《中华人民共和国网络安全法》在2016 年 11 月 7 日发布后，在经过将 近一年的捶打磨砺后于 2017 年 6 月 1 日正式实施，意味着网络安全不再是各 个企业所关注的事情，而上升到了法制化进程中，并进一步明确了政府各部门 的职责权限，完善了网络安全监管体制 ；强化了网络运行安全，重点保护关键 信息基础设施 ；完善了网络安全义务和责任，加大了违法惩处力度 ；将监测预 警与应急处置措施制度化、法制化。 《网络安全法》的实施推动了网络安全产业的整个链条在质上的飞跃，金 融行业是我国在信息化发展上使用信息数字化最早的行业之一，随着银监会、 证监会、保监会等监管机构对金融行业的监管要求，信息化安全问题成为金融 行业在生产过程中的首要问题。其中，银行行业在多年的生产保障中对基础设 施安全防护、边界安全防护、数据安全防护、网络安全防护上都做了较多的投 入，在生产相对稳定安全运行后，运行于之上的各种繁杂业务更是数不胜数， 其中包括：负债资产与中间业务、信贷业务、财会业务、资产清算业务、电子 银行业务等，这些业务同时也是各个城市商业银行的核心业务之一。 那么，在刚刚提到的层层安全壁垒下是否我们的业务生产就能真正的高枕 无忧毫无风险呢？显然这并不现实。 《论语.季氏》中有句典故叫“祸起萧墙”，后来人们用这一典故表示内部 祸乱之意，《后汉书》中就引用了这一典故：“此皆衅发萧墙，而祸延四海 也。”萧蔷指的是我们常说的屏风，而“祸”实乃人祸，问题往往出自自家大 门里，儒家典学的智慧博大精深，沿用至今。 在当今设备精良、监管有力的情况下，一些利用合规授权账户、合规业务 通道、合规接入方式办着不合规、不合理的业务请求，而实际上现阶段任何安 全检测与防护设备都无法对业务的合理性进行研判，业务风险频频凸显，在银 行行业中业务操作风险仍是每个业务合规部门负责人的难点和痛点，被媒体曝 光的各类因业务安全风险产生的事件只是冰山一角，其中以 2018 年初银监会 官网头条发布的“浦发银行成都分行爆发违规授信 775 亿大案”瞬间引爆整个 金融圈。 浦发银行成都分行通过各种花样违规手段向 1493 个空壳企业授信 775 亿 元，换取相关企业出资承担该行不良贷款的案件。银监会公告用词非常严厉 “这是一起浦发银行成都分行主导的有组织的造假案件，涉案金额巨大，手段 隐蔽，性质恶劣，教训深刻”。让人瞠目结舌的是，浦发银行成都分行之前宣 称 “长期不良贷款零”。银监会向浦发银行开了 4.62 亿元罚单！近 200 人被 问责 ，2018 年 1 月 19 日银监会正式向社会公布依法查处浦发银行成都分行违 规发放贷款案件，四川银监局公布对浦发银行成都分行案做出处罚，共罚没 4.62 亿元，相关责任人也被处理。 通过浦发银行成都分行的这次违规授信案件，不难看出在银监会强有力的监 管下浦发银行成都分行依然存在以下严重问题： 1. 内部控制严重失效，严重违反审慎经营规则。 2. 未提供或未及时提供检查资料，不积极配合监管部门现场检查，对 现场检查的顺利开展形成阻碍。 3. 授信管理严重违规，严重违反审慎经营规则。 4. 违规办理信贷业务，严重违反审慎经营规则。 5. 违规办理同业投资、理财业务，严重违反审慎经营规则。 6. 违规办理商业承兑汇票业务，严重违反审慎经营规则。 7. 违规办理信用证业务，严重违反审慎经营规则。 8. 违规办理银行承兑汇票业务，严重违反审慎经营规则。 9. 违规利用保理公司进行资金空转，严重违反审慎经营规则。 巴塞尔委员会把操作风险界定为:“由不完善或有问题的内部程序、人员及 系统或外部事件所造成损失的风险”,在此定义中,突出强调了操作风险形