银行业科技风险警示录.docxVIP

银行业科技风险警示录 --银行业信息科技风险案件与事件汇编 中国银行业监督管理委员会信息中心 二○一○年八月 1 序 言 当前，信息技术已经渗透到商业银行经营管理的各个 领域，银行业已成为信息技术高度密集、高度依赖的行业， 同时也是受信息科技风险影响最大的行业之一。信息系统 的安全性、可靠性和有效性不仅是商业银行赖以生存和发 展的重要基础，还关系到整个银行业的安全和国家金融体 系的稳定。根据近几年国际上出现的信息系统故障事件分 析，如果银行信息系统中断?1?小时，将直接影响该行的基 本支付业务；中断?1?天，将对其声誉和市值造成极大伤害； 中断?2～3?天以上不能恢复，将直接危及银行乃至整个金融 系统的稳定。同时，随着网上银行、电子商务等网络金融 服务的快速发展，利用网络信息技术的犯罪活动也日益增 加，威胁银行业信息安全、针对网上银行的案件呈上升趋 势，对客户利益和对银行声誉带来的危害不容忽视。 2004?年，巴塞尔新资本协议将信息科技风险明确划归 操作风险的范畴，使得信息科技风险管理成为了银行全面 风险管理体系中的重要组成部分。近年来，银监会对银行 信息科技风险管理高度重视，对银行信息科技风险管理提 出了明确要求。各商业银行也普遍提高了对信息科技风险 管理的关注程度，银行业的信息科技风险管理水平不断提 高。 2 在取得成绩的同时，必须清醒地意识到存在的问题与 不足。近年来国内外信息科技风险事件时有发生，系统重 大停机宕机、核心业务系统中断、网站安全漏洞、网上银 行虚假交易、客户资金被窃取等。后果严重，教训深刻， 网络与信息安全形势不容忽视。这些事件的发生再次向我 们敲响警钟：信息科技工作一旦发生问题就是重大问题。 信息科技风险就在身边，强化风险监管刻不容缓。 以史为镜知兴替，以案为鉴明得失。基于此，银监会 组织专人对银行业金融机构计算机犯罪案件和信息安全事 件进行了认真梳理，从中选择有代表性和借鉴意义的典型 案例，开创性地编写了《银行业科技风险警示录》。该书汇 编刊印工作非常适时，非常必要，在银行业计算机犯罪与 信息安全事件研究方面迈出了可喜的一步。入选案例都具 有较高的借鉴价值，为银监会系统的?IT?风险监管工作提供 了有效资料，为各银行业金融机构和广大员工提供了警示 教材。这些素材新、内容全、深入浅出、富有新意的案例 分析无论对银行风险管理部门、信息科技部门继续深入研 究相关案例，还是对银行高管人员、审计人员以及从事相 关业务的广大员工，都具有实践的借鉴价值和指导作用。 《银行业科技风险警示录》汇编教材意义重大，值得肯定。 “前事昭昭，足为明戒”。银监会系统一定要高度重视 3 信息科技风险管控工作。切实分析好、利用好这些案例， 认真查找银行业金融机构在内控管理、安全防范、信息技 术等方面存在的差距与不足，清醒把握当前防范计算机犯 罪与信息安全面临的形势。采取有针对性的监管措施，指 导银行业金融机构落实内控、提高信息安全管理能力，遏 制计算机犯罪快速上升势头。各银行业金融机构要能够吸 取这些案例的教训，警钟长鸣，积极开展多种形式的信息 科技风险警示教育，做好计算机案件与信息安全事件防范 工作，促进在更大范围和更高层次上提升信息科技风险防 范水平。 我们坚信：通过提高信息科技风险防范意识，完善信 息科技风险管理机制，计算机案件和信息安全事件的发生 概率就会大大降低，所造成的影响和损失也将会大大减轻。 是为序。 二Ｏ一Ｏ年八月 4 前 言 随着信息科技在银行业金融机构客户服务、营销、内 控、经营管理等工作中应用的不断深入，涉及信息技术的 犯罪案件与信息安全事件不断发生，且呈现快速上升趋势。 近年来出现的一些重大金融信息科技风险案例表明，信息 系统为金融机构日常运营提供了重要的基础支持，银行业 的稳健经营离不开对信息科技风险的有效管理。 国外两大事件将科技风险管控重要性昭示天下。2001 年?9?月?11?日恐怖分子劫持飞机撞击美国纽约世贸中心。该 恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数 据，令近九百家机构因此倒闭，美洲银行、德国银行、国 际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、 美国商品期货交易所等数十家世界金融巨头遭受了重大损 失。2009?年?11?月?8?日黑客集团成功入侵苏格兰皇家银行 (RBS)旗下信用卡公司的计算机网络，伪造假卡，在不足?12 小时内从全球至少?280?个城市的?2100?部提款机提取逾?900 万美元现金，使?RBS?集团短时间内损失惨重。如果不能对 信息科技风险进行有效管控，一些信息科技案件或事件必 将对银行业持续稳健运行带来重大威胁。 鉴于此，银监会信息中心组织专人对银行业金融机构 5 计算机犯罪和信息安全事件进行认真梳理，从中选择部分 有代表性和一定借鉴意义的典型案例