信息科技风险监管知识讲座.pptx

信息科技风险监管知识讲座;主要内容;一、信息科技风险监管概况 ;信息科风险监管背景;银监会信息科技监管历程;银监会开展的主要工作;银行机构信息科技风险状况;银行机构信息科技风险状况;二、信息科技风险监管目标与手段 ;信息科技风险监管目标;信息科技风险监管目标;信息科技风险监管目标;信息科技风险监管目标;信息科技风险监管目标;信息科技风险监管目标;信息科技风险监管目标;基本概念 ;基本概念;基本概念;基本概念;基本概念;基本概念;基本概念;风险计量原理图;信息科技风险要素关系图;信息科技风险监管目标;基本概念;;信息科技风险管理/监管手段;信息科技风险管理/监管手段;信息科技风险管理/监管手段;三、主要监管制度介绍 ;主要监管制度介绍;银监会拟发布制度;1、《商业银行信息科技风险管理指引》;主要概念： 信息科技风险 是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。 ——《商业银行信息科技风险管理指引》第四条 信息科技风险与操作风险的关系——莆田网银案件 信息科技风险管理的目标 是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 ——《商业银行信息科技风险管理指引》第五条 三道防线 信息科技风险管理的关键是要建立三道防线，第一道防线是指信息科技管理，需要全员参与，主要职责落在科技部门，第二道防线是风险管理，即从风险的角度如何防范，职责落在风险部门，第三道防线是审计监督，即内审和外审，职责落在审计部门，三道防线相互作用，形成立体防护网。 ;要点： 信息科技治理 明确商业银行董事会职责 要求设立首席信息官，明确了首席信息官职责 明确三道防线要求：明确信息科技管理、信息科技风险管理、信息科技审计的责任部门和职责内容 风险管理部门职责： 将科技风险纳入总体风险管理体系 负责制定信息科技风险管理策略 负责持续开展信息科技风险识别、监测、计量、评估 根据风险评估结果制定风险防范措施 审计部门职责： 组织开展内部和外部审计 要求配备具有专业能力的信息科技审计人员独立开展审计 至少每三年开展一次全面审计 ;要点： 业务连续性管理 制定业务连续性规划，确保在出现无法预见的中断时，系统仍能持续运行并提供服务。 业务影响分析：人员、系统或其他资产的故障或缺失，信息丢失、战争、台风、地震 采取双机热备、制定应急计划、购买商业保险;要点： 项目开发、测试管理 开发环境和生产环境物理隔离 禁止开发和维护人员随意进入生产系统 组织开展系统上线后评价 外包管理 重要外包报告 外包风险评估 服务水平协议 安全保密要求（包含敏感客户信息） 应急措施;要点： 系统运行管理 制定详细的运行操作说明 系统运行监控 容量规划 变更管理 事件管理 信息安全管理 安全策略（物理安全、人员安全、访问控制、数据加密等） 活动日志保存（交易日志、系统日志） ;2、《银行业重要信息系统突发事件应急管理规范（试行）》;2、《银行业重要信息系统突发事件应急管理规范（试行）》;2、《银行业重要信息系统突发事件应急管理规范（试行）》;2、《银行业重要信息系统突发事件应急管理规范（试行）》;3、《银行业重要信息系统投产与变更管理办法》;4、《商业银行数据中心监管指引》;4、《商业银行数据中心监管指引》;5、《银行业金融机构信息系统安全保障问责方案》;6、《银行业金融机构信息科技非现场监管报表》;7、《商业银行信息科技风险现场检查指南》;四、信息科技风险监管架构;信息科技风险监管体系;体系概述—总体框架;体系概述—剩余风险综合分析矩阵;体系概述—基础定义;体系概述—数据关系;指标体系—固有风险指标;指标体系—固有风险指标;指标体系—固有风险指标;指标体系—固有风险指标;指标体系—固有风险指标;指标体系—固有风险指标;指标体系—固有风险指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;指标体系—控制有效性指标;评估指标;基本思想;评估流程;评估打分表示例;指标分值及意义;参数表;;固有风险评估示例;;固有风险评估分级;控制有效性评估分级;;综合评估矩阵;综合风险水平;综合评估卡;综合评估结论;评估结果运用;五、基层银行机构科技风险监管的思考;基层银行机构科技风险监管的思考;基层银行机构科技风险监管的思考;总结;基层银行机构科技风险监管的思考;Thank You !;忧国忘家，捐躯济难，忠臣之志也。—三国·曹植《