信息科技風(fēng)險防范講座

1、.信息科技風(fēng)險防范信息科技風(fēng)險防范.“信息科技風(fēng)險”，是指信息科技在規(guī)劃、設(shè)計、研發(fā)或采購、運行、維護、監(jiān)控及報廢過程中由于人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律、金融和聲譽等風(fēng)險。. 信息科技的廣泛應(yīng)用，一方面使商業(yè)銀行大信息科技的廣泛應(yīng)用，一方面使商業(yè)銀行大大提升了數(shù)據(jù)和業(yè)務(wù)處理的速度和能力，另一大提升了數(shù)據(jù)和業(yè)務(wù)處理的速度和能力，另一方面也給銀行的經(jīng)營管理和信息安全帶來了一方面也給銀行的經(jīng)營管理和信息安全帶來了一系列的風(fēng)險隱患和突出問題。系列的風(fēng)險隱患和突出問題。 . 國內(nèi)外金融領(lǐng)域近年來爆發(fā)的一系列與信息國內(nèi)外金融領(lǐng)域近年來爆發(fā)的一系列與信息科技有關(guān)的風(fēng)險事件，給我們留下了深刻的

2、教科技有關(guān)的風(fēng)險事件，給我們留下了深刻的教訓(xùn)和啟示。訓(xùn)和啟示。1、2003年年1月，美國銀行月，美國銀行(Bank of America)13000臺臺ATM機因病毒瞬間宕機，該機因病毒瞬間宕機，該行客戶無法通過行客戶無法通過ATM完成存取款交易；完成存取款交易；.2、 2005年12月，日本瑞穗證券公司（Mizuho Securities）誤將客戶的“以61萬日元賣出1股J-COM公司股票”指令輸入為“以每股1日元賣出61萬股”，東京股票交易所（Tokyo Stock Exchange）電腦系統(tǒng)對該公司取消下單的指令不能給予回應(yīng)，隨后瑞穗的錯單全部成交，引發(fā)了投資者拋售股票，使日經(jīng)指數(shù)重挫超

3、過300點，瑞穗證券損失超過400億日元；.3、2006 年日本最大的美資銀行花旗銀行（Citibank Japan）出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27.5萬筆公用事業(yè)繳費遭重復(fù)扣劃，或交易后未作月結(jié)記錄,造成該行在日本的重大聲譽損失。.銀監(jiān)會通報5起事件：1、2007年3月21日，交通銀行因主機監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近四個小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務(wù)；2、2007年8月15日，工商銀行對計算機系統(tǒng)進行升級，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個人業(yè)務(wù)系統(tǒng)運行不暢，在持續(xù)五個半小時之后，系統(tǒng)才逐步恢復(fù)正常；.3、2007年10月18日，建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障

4、，與券商的交易無法正常進行，事故持續(xù)了兩個小時，在證券交易收盤后才恢復(fù)正常；4、2007年12月21日，招商銀行因運行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進行，雖然啟動了應(yīng)急預(yù)案，但仍然中斷營業(yè)近一個小時；.5、2008年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京的117家支行所屬網(wǎng)點柜臺交易緩慢，業(yè)務(wù)無法正常進行，故障持續(xù)一個多小時之后才得以解決。 .“國際上出現(xiàn)的信息科技事故表明，如果銀行系統(tǒng)中斷1小時，將直接影響該行的基本支付業(yè)務(wù)；中斷1天，將對其聲譽造成極大傷害；中斷2-3天以上不能恢復(fù)，將直接危及其他銀行乃至整個金融系統(tǒng)的穩(wěn)定。” -劉明康主席.信息科技風(fēng)險與

5、其他領(lǐng)域的風(fēng)險相比，具有其自身的特點，主要表現(xiàn)為風(fēng)險發(fā)生時影響較大、風(fēng)險出現(xiàn)具有不確定性、對風(fēng)險的估計或防范手段不足。. 金融行業(yè)具有金融數(shù)據(jù)和客戶數(shù)據(jù)高度集中，服務(wù)對象構(gòu)成復(fù)雜、分布廣泛，所提供服務(wù)與個人、企業(yè)利益乃至國民經(jīng)濟息息相關(guān)等特點。IT服務(wù)一旦中斷，所帶來的危害，僅用企業(yè)經(jīng)濟損失來度量遠遠不夠。 中國銀監(jiān)會確定把信息科技風(fēng)險納入銀行總體風(fēng)險監(jiān)管框架。.銀行業(yè)信息科技管理存在的主要風(fēng)險銀行業(yè)信息科技管理存在的主要風(fēng)險（一）科技軟硬件基礎(chǔ)設(shè)施薄弱。1、核心設(shè)備存在單點故障隱患和性能不足問題。2、一些地方法人銀行業(yè)金融機構(gòu)尚未實現(xiàn)數(shù)據(jù)異地實時備份，未建立異地災(zāi)備中心，一旦出現(xiàn)重大災(zāi)難事故

6、，數(shù)據(jù)無法及時完整恢復(fù)，業(yè)務(wù)無法持續(xù)辦理。3、機房建設(shè)不達標(biāo)。 .（二）信息系統(tǒng)運行保障能力不足。1、個別銀行對信息系統(tǒng)運行保障工作重視不夠；2、個別銀行數(shù)據(jù)備份只采取單一的文本備份方式；3、有的銀行未針對系統(tǒng)運行的薄弱環(huán)節(jié)制定應(yīng)急預(yù)案，未對備份數(shù)據(jù)進行有效性檢驗和恢復(fù)演練，備份數(shù)據(jù)的可恢復(fù)性難以保證。.（三）信息系統(tǒng)安全存在隱患。1、對信息系統(tǒng)實體安全風(fēng)險防范不足。2、信息科技內(nèi)控不嚴(yán)。3、網(wǎng)絡(luò)及數(shù)據(jù)安全存在隱患。 4、個別銀行信息系統(tǒng)的超級管理員密碼保管不嚴(yán)。 .（四）信息科技項目開發(fā)和外包風(fēng)險較大1、對外包公司缺乏有效的管理，造成大量系統(tǒng)核心源代碼、關(guān)鍵配置信息為外部人員所掌握；2、個別銀行對項目開發(fā)質(zhì)量缺乏有效控制，對軟件開發(fā)未實行嚴(yán)格項目管理，造成軟件質(zhì)量難以保證，投產(chǎn)的系統(tǒng)可能存在缺陷。 .（五）業(yè)務(wù)系統(tǒng)內(nèi)控功能不完善有的銀行業(yè)務(wù)系統(tǒng)功能與內(nèi)控要求不配套，存在操作風(fēng)險。 （六）部分銀行業(yè)金融機構(gòu)科技力量薄弱。 .做好信息科技風(fēng)險管理的措施做好信息科技風(fēng)險管理的措施一、銀行業(yè)金融機構(gòu)的董事會和高級管理層應(yīng)認真履行信息科技風(fēng)險管理職責(zé);二、完善信息科技組織架構(gòu)和治理框架;三