- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息科技风险监管的国际经验及启示信息科技风险监管的国际经验及启示
信息科技风险监管的国际经验及启示
编者按:2010年3月7日至13日,信息中心派员参加了新加坡金管局举办的第二期“信息技术监管专题研讨班”,期间参与了计算机犯罪、网银安全、支付卡安全和全球化的数据中心建设、管理及监管等方面的研讨,并提出了信息科技风险监管的国际经验及对我国的启示,现予编发,供参阅。
一、信息科技风险监管的经验
(一)新加坡金管局信息科技风险监管工作经验。新加坡金管局从2001年开始开展信息科技风险监管工作,经过不断实践、探索,在取得工作成绩的同时,也摸索出一套较为先进的监管做法。一是工作流程。其信息科技风险监管由现场检查和非现场监管构成。现场检查的工作方式有访谈、调阅资料、现场取证等,检查结束后金管局给金融机构检查意见书(类似于我会的事实确认书),金融机构要在3个星期内向金管局提交整改报告(已整改的问题、未整改问题的整改计划),金管局在现场检查结束后3个月内向金融机构发送现场检查报告,在下次现场检查时核查整改情况。金融机构按照新加坡金管局的要求填报调查问卷作为非现场监管的资料。二是监管理念。在要求“金融机构有效控制信息科技风险”监管理念指导下,检查人员由过去看金融机构计算机等设备上的参数配置,转变为目前主要是看银行对信息科技风险的防范策略、流程控制等新的监管内容。三是处罚措施。罚款是处罚的一种方式,另一种处罚方式是提高存款准备金率。在对银行的监管工作中,信息科技风险的情况要纳入银行监管部门对银行的总体风险评价和评级,与银行监管部门沟通后可提高存款准备金率,以提升银行信息科技风险管控的重视和能力。四是定期召集商业银行高管人员会议传达科技监管信息。研讨班期间,恰逢新加坡金管局每个季度举办1次的信息科技风险例会,参会人员有新加坡各金融机构CEO、CIO和信息科技管理人员。新加坡金管局利用此种形式,以各种监管数字、图表为基础,向被监管机构定期讲解银行卡风险事件、互联网安全等信息科技风险发展的必威体育精装版形势,对金融机构进行技术辅导,警示风险,并介绍有关风险领域的解决方案。
(二)新加坡金管局的银行IT外包监管做法。新加坡金管局的信息科技风险监管规章制度没有直接涵盖对银行技术外包服务商(TSP-Technology Service Providers)的具体要求,但鉴于TSP对银行业信息科技风险的系统性影响,金管局在其《电子银行和技术风险管理指引》中的外包(Outsourcing)章节中对外包商的监管作了规定,核心思想是“银行使用技术外包商并没有产生责任的改变”,要求银行有能力识别、使用合格的技术外包商。
(三)银行数据安全问题成为重要的监管关注点。数据泄露保护(DLP-Data Loss Prevention)是研讨的主要内容之一。一是研讨了近年来国际上发生的一系列数据丢失并导致了客户资金被盗等恶性案件。如2009年8月德国某银行由于数据泄漏而导致了30万欧元的经济损失、2010年3月汇丰瑞士私人银行一个IT员工窃取了该行24000个账户信息。黑客窃取银行数据并盗取资金,已经形成一条地下产业链,并成为一种主要的金融业计算机犯罪行为。二是研讨了终端安全和数据泄漏保护的解决方案,包括制订数据保护策略和流程;对银行信息根据必威体育官网网址性、重要性进行分级,并采取加强的保护措施;对文档进行加密保护;在网络出口采取措施,控制敏感信息从银行的流出等。
(四)支付卡和网上银行交易安全形势严峻。由于网上支付信息安全的形势严峻,银行卡交易安全、网上银行安全是这次会议的一个重要主题。VISA的统计数字显示,2009年三分之二的在线交易是银行卡账户,其中信用卡“无卡”交易欺诈趋势呈上升态势。无卡支付是指消费者通过商家网站、电话、电子邮件等形式,向商家提供有关信用卡信息(如提供信用卡号、有效期和CVV识别码等),商家向银行信用卡中心提交信息实现无卡刷卡支付。由于商家掌握了客户完成信用卡支付所需的各种身份认证信息,因而可以伪冒交易,风险极大,近年来我国也多次出现此类案件。
各国监管机构普遍对银行卡支付安全、网上支付安全、无卡交易欺诈等非常重视,并提出了许多可以借鉴的解决方案。首先,网上支付安全最重要的基础是客户端的安全。MAS认为,由于客户在线支付的各种技术手段不能自行选择、由银行指定和提供,因此客户端安全的责任在银行而非客户本身,银行有义务对客户进行安全教育,并提供更安全和便捷的技术工具去增强客户端的安全性。其次,加快推广银行卡的EMV(芯片卡)和动态认证的实施进程。相对于磁条卡,EMV有安全性高和不易伪造的特点,MAS要求新加坡的银行去年起开展EMV迁移工作,至今年年底所有新加坡银行发放的银行卡(包括贷记和借记卡)都将同时支持EMV标准和磁条卡标准。在对芯片卡认证方式(包括静态数据认证(SDA)、动态数据认证(DDA)、混合数据认证(CDA))上,MAS要求
您可能关注的文档
最近下载
- 优质工程创优监理方案.pdf
- 第1-4单元期中重难点检测(试题)-2024-2025学年数学三年级上册北师大版.docx VIP
- 大疆 精灵 Phantom 4 Pro V2.0 快速入门指南 用户手册.pdf
- XX省传染病监测预警与应急指挥信息平台项目监测预警信息平台采购需求.docx VIP
- 最满意的三项工作和最不满意的一项工作3篇.docx
- 第1-4单元期中重难点卷(试题)-2024-2025学年数学三年级上册北师大版.docx VIP
- 送阅件-兖矿集团审计风险部.PDF
- 公司人力资源管理诊断报告.pptx
- NB∕T 31021-2012 风力发电企业科技文件归档与整理规范.pdf
- 辽宁省名校联盟 2024年高三 10 月份联合考试 物理试卷(含答案解析).pdf
文档评论(0)