京大学：银行IT风险管理体系.ppt

* * GB 信息系统安全等级保护基本要求 * * 37 ，212 PAFIRC银行IT风险管理体系 * * 银行IT风险管理体系 2007-04-11 北京大学ACOM金融信息化研究中心 报告主题 * * PAFIRC 报告提纲 银行IT风险管理实际应用 风险管理框架 银行IT 风险管理背景 Q A * * 911事件后 摩根银行 在几小时内 迅速恢复营业 注重 IT风险管理 * * PAFIRC 银行风险框架 市场风险 银行 风险 操作风险 信用风险 IT 风险 银行IT风险 的类型 IT风险管理的必要性 IT风险管理与IT治理 银行监管 的要求 * * PAFIRC 银行IT风险的类型 IT运行风险 IT资产脆弱性风险 误操作风险 计算机欺诈风险 信息披露风险 系统中断风险 银行IT风险 基于IT的金融产品或服务风险 IT环境风险 法律遵循性风险 战略风险 组织风险 物理环境风险 外包风险 * * 银行监管的要求 * * IT风险管理 IT风险管理的动机 信息技术的双刃性 新巴塞尔协议、 萨班斯法案以及银监会的要求 银行内控的要求 * * IT风险管理的三维模型 在银行信息系统生命周期各阶段，依照IT风险管理流程，以风险控制目标为驱动，实施IT风险管理，抵减银行IT风险。 * * 银行IT风险管理流程 IT风险 管理流程 国际知名金融机构IT风险管理案例 国际标准 AS-NZS 4360 NIST SP800-60 国内标准 GB 信息安全 风险评估规范 GB 信息安全等级保护系列标准 * * 资产登记表 检查表 风险值=R（A，T，V，M）= R(C(A，T，V，M)，L(T，V，M )) 风险权重 确定信息系统安全保护等级 GB信息 安全等级保护 Basel II和萨班斯法案的要求 Basel II的要求 萨班斯法案的要求 制定详细的风险处理计划 输出表格 Basel II的要求 * * 信息系统安全等级保护调查表 * * 信息系统对象确立报告 * * 资产登记表 安全-责任矩阵 * * 安全-责任矩阵 * * PAFIRC checklist 由风险控制目标导出 * * 计算各风险的权重:应用AHP、群决策及聚类分析法 应用AHP理论，建立银行IT风险层次结构模型 应用群决策思想和AHP理论，多个专家决策群体给出各自的风险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法，计算专家的权值 计算判断矩阵可信度权值 计算各风险的权重 * * PAFIRC 国际知名金融机构IT风险管理案例 * * PAFIRC 信息系统生命周期 计划与组织 设计与获取 交付与实施 运行与维护 废弃与终止 系统生命周期 * * PAFIRC 控制目标的产生 COBIT 4.0 ISO 17799 NIST SP 800-53 IT风险 控制目标 World Bank Checklist 信息系统安全等级保护 * * PAFIRC 现有几个标准比较表 * * PAFIRC IT风险控制目标 风险控制目标 安全策略 安全组织 资产管理 人力资源安全 物理和环境安全 通信及运行管理 访问控制 系统的获取、研发与维护 信息安全事件管理 业务持续性管理 遵循性管理 PO ：计划与组织 DA ：设计与获取 DI ： 交付与实施 OM：运行与维护 DT ：废弃与终止 通用控制目标 Text 分阶段制定的控制目标 Text 在分阶段制定控制目标的基础上制定系 统生命周期各阶段通用的控制目标。 37个一级控制目标，212个二级控制目标； 二级控制目标分为基本要求和补充要求。 * * PAFIRC 举例：通用类——安全策略 * * PAFIRC 举例：PO阶段控制目标 * * PAFIRC IT资产配置与变更流程 流程图 安全保护等级 不同的IT资产有 不同的安全控制要求 * * IT资产配置与变更流程图 PAFIRC * * PAFIRC研究理念 银行IT系统具备生命周期,IT风险管理理所当然应当贯穿生命周期的始终，IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求 生命周期 IT风险的管理和控制不是一劳永逸的活动，而是随着经营环境、业务目标，企业战略等的改变相应提高控制要求，开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程 过程控制 银行IT风险管理的核心是对IT资产的管理，IT资产总是 归属于一定的子系统的，风险管理要考虑成本-收益就必须 对系统进行等级划分，实施不同的程度地保护，划分考虑 资产所在子系统的等级以及资产在子系统中的等级 等级保护 IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者 责任主体 * * 银行IT风险管