浅析信息科技合规管理.ppt

中闽邮政储蓄银行进步与您同步
POSTAL SAVINGS BANK OF CHINA
信息科技合规管理浅析
种技发展部
2013年10月
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
信息科技风险的分类与目标
主要内容
银行业信息科技风险案例
四、信息科技风险管理存在主要问
五、信息科技风险管理的策略和重点
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
合规是现代商业银行经营与管理的底线,同时
又是监管当局维护金融稳定的必然要求,也是
银行提升自身核心竞争力的内在需求。
以“治顽疾、树新风、促合规”为主题,遵循
査找问题、分析问题、整改问题”的客观规
0律,通过开展合规学****合规讨论等专项活动,
促进全行员工依法合规经营
我行活动目标:努力实现“切实解决重点问
题、建设良好合规文化、促进旺季各项业务
高质量发展、建立合规长效机制”
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
、开展合规大讨论的意义
信息科技风险的分类与目标
主要内容
银行业信息科技风险案例
四、信息科技风险管理存在主要问
五、信息科技风险管理的策略和重点
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
业务
断风险
信息科技
风险分类
打外包
电子
系统漏
洞风险
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
1
业务中断风险:保障业务连续性是商业银行信息科技安全工作中最重要
的组成部分。一旦产生软硬件故障、系统超负荷运行、主干网络断开
病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务的
中断。
2
数据安全风险包括两方面的含义。一是数据窃取,即数据在存储介质中
或在传输过程中遭到窃取甚至恶意篡改,由于权限控制不严导致无关人
员接触到核心数据并导致机密数据外泄等。二是数据丢失,即由于自然
灾害、房屋倒塌等突发事件造成的存储介质毁坏,导致存储介质中部分
或全部数据丢失。
系统漏洞风险是指银行应用系统的设计者由于对业务流程不熟悉,对风
险点未能全盘考虑,导致系统存在缺陷进而被发现并利
般说来
系统漏洞风险在设计之初难以发现,随着系统的推广及运行,风险才逐
步暴露出来,因此系统漏洞风险最能体现风险的潜伏性。
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
4
电子银行风险主要指的是电子支付安全问题,包括利用信用卡和ATM进
行诈骗,或者利用钓鱼网站、木马程序盗取客户的账号和密码等一系列
的犯罪行为。由于利用电子银行的诈骗案件的侦破较为困难,所造成的
损失很多都无法挽回。案件的背后,固然有客户防范意识薄弱、甄别能
力不强的原因,但也有银行电子银行系统安全保障措施不完善、安全宣
传不到位等原因,这有可能会引发银行的法律风险和声誉风险,给银行
造成损失。
厅T外包风险首先在于服务商能否长期稳定地为银行提供高质量服务,对于
5
信息系统故障能否及时响应并修复,以保障银行业务的连续性。其次,外
包服务商在和银行密切往来过程中会获取一些银行的内部机密信息,给银
行带来商业秘密泄露的风险。再次,银行对于外包服务商的过度依赖性也
种风险,将导致银行在合同谈判中处于不利地位,同时也会造成银行
自身员工服务水平和创新能力受到限制。此外,外包公司人员长期和银
来往甚至常驻银行,但对银行规章制度的理解与执行上和银行员工相比
存在一定差距,也可能会带来风险隐患等。
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
通过建立有效的机制,实现对商业银
行信息科技风险的识别、计量、监测
和控制,促进商业银行安全、持续
稳健运行,推动业务创新,提高信息
技术使用水平,增强核心竞争力和可
持续发展能力
制定符合银行总体业务规划的信息科
信息科技
技战略、信息科技运行计划和信息科
风险管理
技风险评估计划,确保配置足够人力
财力资源,维持稳定、安全的信息科
目标
技环境
商业银行应制定全面的信息科技风
险管理策略
E中国
邮政储蓄银行进步与您同步
SAVINGS BANK OF CHINA
信息分级与保护
系统开发、测
试和维护
信息科技
访问控制
风险管
策略包括
但不限于
下述领域
业务连续性与
物理安全
应急处置
人员安全
E中国
邮政储蓄银行进步与您同步
S