信息科技風(fēng)險(xiǎn)防范講座

1、.信息科技風(fēng)險(xiǎn)防范信息科技風(fēng)險(xiǎn)防范.“信息科技風(fēng)險(xiǎn)”，是指信息科技在規(guī)劃、設(shè)計(jì)、研發(fā)或采購、運(yùn)行、維護(hù)、監(jiān)控及報(bào)廢過程中由于人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律、金融和聲譽(yù)等風(fēng)險(xiǎn)。. 信息科技的廣泛應(yīng)用，一方面使商業(yè)銀行大信息科技的廣泛應(yīng)用，一方面使商業(yè)銀行大大提升了數(shù)據(jù)和業(yè)務(wù)處理的速度和能力，另一大提升了數(shù)據(jù)和業(yè)務(wù)處理的速度和能力，另一方面也給銀行的經(jīng)營管理和信息安全帶來了一方面也給銀行的經(jīng)營管理和信息安全帶來了一系列的風(fēng)險(xiǎn)隱患和突出問題。系列的風(fēng)險(xiǎn)隱患和突出問題。 . 國內(nèi)外金融領(lǐng)域近年來爆發(fā)的一系列與信息國內(nèi)外金融領(lǐng)域近年來爆發(fā)的一系列與信息科技有關(guān)的風(fēng)險(xiǎn)事件，給我們留下了深刻的

2、教科技有關(guān)的風(fēng)險(xiǎn)事件，給我們留下了深刻的教訓(xùn)和啟示。訓(xùn)和啟示。1、2003年年1月，美國銀行月，美國銀行(Bank of America)13000臺(tái)臺(tái)ATM機(jī)因病毒瞬間宕機(jī)，該機(jī)因病毒瞬間宕機(jī)，該行客戶無法通過行客戶無法通過ATM完成存取款交易；完成存取款交易；.2、 2005年12月，日本瑞穗證券公司（Mizuho Securities）誤將客戶的“以61萬日元賣出1股J-COM公司股票”指令輸入為“以每股1日元賣出61萬股”，東京股票交易所（Tokyo Stock Exchange）電腦系統(tǒng)對該公司取消下單的指令不能給予回應(yīng)，隨后瑞穗的錯(cuò)單全部成交，引發(fā)了投資者拋售股票，使日經(jīng)指數(shù)重挫超

3、過300點(diǎn)，瑞穗證券損失超過400億日元；.3、2006 年日本最大的美資銀行花旗銀行（Citibank Japan）出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃，或交易后未作月結(jié)記錄,造成該行在日本的重大聲譽(yù)損失。.銀監(jiān)會(huì)通報(bào)5起事件：1、2007年3月21日，交通銀行因主機(jī)監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近四個(gè)小時(shí)，所有營業(yè)網(wǎng)點(diǎn)無法正常開展業(yè)務(wù)；2、2007年8月15日，工商銀行對計(jì)算機(jī)系統(tǒng)進(jìn)行升級(jí)，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個(gè)人業(yè)務(wù)系統(tǒng)運(yùn)行不暢，在持續(xù)五個(gè)半小時(shí)之后，系統(tǒng)才逐步恢復(fù)正常；.3、2007年10月18日，建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障

4、，與券商的交易無法正常進(jìn)行，事故持續(xù)了兩個(gè)小時(shí)，在證券交易收盤后才恢復(fù)正常；4、2007年12月21日，招商銀行因運(yùn)行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進(jìn)行，雖然啟動(dòng)了應(yīng)急預(yù)案，但仍然中斷營業(yè)近一個(gè)小時(shí)；.5、2008年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京的117家支行所屬網(wǎng)點(diǎn)柜臺(tái)交易緩慢，業(yè)務(wù)無法正常進(jìn)行，故障持續(xù)一個(gè)多小時(shí)之后才得以解決。 .“國際上出現(xiàn)的信息科技事故表明，如果銀行系統(tǒng)中斷1小時(shí)，將直接影響該行的基本支付業(yè)務(wù)；中斷1天，將對其聲譽(yù)造成極大傷害；中斷2-3天以上不能恢復(fù)，將直接危及其他銀行乃至整個(gè)金融系統(tǒng)的穩(wěn)定?！?-劉明康主席.信息科技風(fēng)險(xiǎn)與

5、其他領(lǐng)域的風(fēng)險(xiǎn)相比，具有其自身的特點(diǎn)，主要表現(xiàn)為風(fēng)險(xiǎn)發(fā)生時(shí)影響較大、風(fēng)險(xiǎn)出現(xiàn)具有不確定性、對風(fēng)險(xiǎn)的估計(jì)或防范手段不足。. 金融行業(yè)具有金融數(shù)據(jù)和客戶數(shù)據(jù)高度集中，服務(wù)對象構(gòu)成復(fù)雜、分布廣泛，所提供服務(wù)與個(gè)人、企業(yè)利益乃至國民經(jīng)濟(jì)息息相關(guān)等特點(diǎn)。IT服務(wù)一旦中斷，所帶來的危害，僅用企業(yè)經(jīng)濟(jì)損失來度量遠(yuǎn)遠(yuǎn)不夠。 中國銀監(jiān)會(huì)確定把信息科技風(fēng)險(xiǎn)納入銀行總體風(fēng)險(xiǎn)監(jiān)管框架。.銀行業(yè)信息科技管理存在的主要風(fēng)險(xiǎn)銀行業(yè)信息科技管理存在的主要風(fēng)險(xiǎn)（一）科技軟硬件基礎(chǔ)設(shè)施薄弱。1、核心設(shè)備存在單點(diǎn)故障隱患和性能不足問題。2、一些地方法人銀行業(yè)金融機(jī)構(gòu)尚未實(shí)現(xiàn)數(shù)據(jù)異地實(shí)時(shí)備份，未建立異地災(zāi)備中心，一旦出現(xiàn)重大災(zāi)難事故

6、，數(shù)據(jù)無法及時(shí)完整恢復(fù)，業(yè)務(wù)無法持續(xù)辦理。3、機(jī)房建設(shè)不達(dá)標(biāo)。 .（二）信息系統(tǒng)運(yùn)行保障能力不足。1、個(gè)別銀行對信息系統(tǒng)運(yùn)行保障工作重視不夠；2、個(gè)別銀行數(shù)據(jù)備份只采取單一的文本備份方式；3、有的銀行未針對系統(tǒng)運(yùn)行的薄弱環(huán)節(jié)制定應(yīng)急預(yù)案，未對備份數(shù)據(jù)進(jìn)行有效性檢驗(yàn)和恢復(fù)演練，備份數(shù)據(jù)的可恢復(fù)性難以保證。.（三）信息系統(tǒng)安全存在隱患。1、對信息系統(tǒng)實(shí)體安全風(fēng)險(xiǎn)防范不足。2、信息科技內(nèi)控不嚴(yán)。3、網(wǎng)絡(luò)及數(shù)據(jù)安全存在隱患。 4、個(gè)別銀行信息系統(tǒng)的超級(jí)管理員密碼保管不嚴(yán)。 .（四）信息科技項(xiàng)目開發(fā)和外包風(fēng)險(xiǎn)較大1、對外包公司缺乏有效的管理，造成大量系統(tǒng)核心源代碼、關(guān)鍵配置信息為外部人員所掌握；2、個(gè)別銀行對項(xiàng)目開發(fā)質(zhì)量缺乏有效控制，對軟件開發(fā)未實(shí)行嚴(yán)格項(xiàng)目管理，造成軟件質(zhì)量難以保證，投產(chǎn)的系統(tǒng)可能存在缺陷。 .（五）業(yè)務(wù)系統(tǒng)內(nèi)控功能不完善有的銀行業(yè)務(wù)系統(tǒng)功能與內(nèi)控要求不配套，存在操作風(fēng)險(xiǎn)。 （六）部分銀行業(yè)金融機(jī)構(gòu)科技力量薄弱。 .做好信息科技風(fēng)險(xiǎn)管理的措施做好信息科技風(fēng)險(xiǎn)管理的措施一、銀行業(yè)金融機(jī)構(gòu)的董事會(huì)和高級(jí)管理層應(yīng)認(rèn)真履行信息科技風(fēng)險(xiǎn)管理職責(zé);二、完善信息科技組織架構(gòu)和治理框架;三