第11章安全管理.ppt

11.4 银行信息风险管理 11.4.1 信息安全风险管理模型 银行信息资产面临的威胁来源于人为（包括蓄意的，如窃听、篡改和攻击等）和无意的，如失误、疏忽和事故等）和环境（如地震、闪电和洪水等）。面对这些威胁，银行信息资产存在机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authentication）和不可否认性（Non-repudiation）等各类风险， 为应对这些风险，银行需要从预防（Prevention）、保护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）等全生命周期对信息资产施加控制和防范措施。信息安全的整体保障作用体现在整个生命周期对风险进行整体的应对和控制。 银行信息系统管理概论 * 11.4.2 风险的评估 一个完整的、详细的风险评估过程包含三个主要步骤，分别是风险分析、安全控制措施建议和残余风险接受。 银行信息系统管理概论 * 11.4.3 安全控制措施 1. 确定风险管理策略 风险接受 风险避免 风险减少 风险转移 2. 确定安全控制措施 对每个被评估的信息系统，确定其可接受的风险水平 为了将风险减少到可接受水平而选择的安全控制措施 实现这些安全控制措施所带来的好处以及减少的风险 接受在完全实现了建议的安全控制措施后的残留风险 银行信息系统管理概论 * 11.4.4 残余风险的接受 对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价和控制，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，应通过管理层依据风险接受的原则，考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的有效性，必要时可进行再评估，以判断实施控制措施后的残余风险是否是可被接受的。 银行信息系统管理概论 * 11.4.5 商业银行IT审计 1．IT审计与IT审计标准 IT审计是对息系统的合规性、安全性、可靠性、有效性进行审计，确保审计风险有效控制： 银行信息系统管理概论 * 2. 商业银行IT审计 商业银行IT审计实行风险导向型审计，在对系统固有的风险和系统内部控制机制进行评估和分析的基础上，对信息系统从开发环节到运行环节进行重点检查和检测。通过对信息系统业务功能的分析，确定信息系统内控体系。 银行信息系统管理概论 * 11.4.5 商业银行IT审计 * * 电子金融的支付与管理风险 银行信息系统管理概论 * 第十一章 安全管理 教学目标与要求 掌握信息安全保障体系，了解信息安全保障体系参考标准 掌握商业银行信息安全的特殊性、信息安全战略 掌握银行信息安全政策，了解信息安全技术标准 掌握银行信息安全管理，掌握银行信息风险管理。 了解自助银行安全策略。 银行信息系统管理概论 * 知识构架 银行信息系统管理概论 * 导入案例 案例奥运会与银行信息安全管理 中国银监会副主席郭利根2008年初在银行业信息科技风险奥运专项自查工作部署会上，通报了去年以来银行业金融机构发生的5起信息科技风险事件。这5起事件是：2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近4小时，所有营业网点无法正常开展业务；2007年8月15日，中国工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续5个半小时后，系统才逐步恢复正常；2007年10月18日，中国建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行。事故持续了2个小时，在证券交易收盘后才恢复正常；2007年12月21日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行，虽启动应急预案，但仍然中断营业近1个小时；今年1月7日，北京银行因主干专线的入户接入设备发生故障，造成在京117家支行所属网点柜台交易缓慢，业务无法正常进行，故障 银行信息系统管理概论 * 导入案例 持续1个多小时后才得以解决。郭利根说，发生事故的这些机构，在IT技术和风险管控上属国内较先进的银行。事故的发生，充分暴露出我国银行业信息系统的脆弱性，应引起高度关注和认真反思。郭利根强调，今年是奥运年，也是我国银行业信息科技风险管控的关键之年。各银行必须从维护整个银行业安全高效、稳健运行的大局出发，全力保证信息系统的安全可靠和稳定运行。