浅析信息科技合规管理.pptVIP

信息科技合规管理浅析科技开展部2013年10月

四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容

合规是现代商业银行经营与管理的底线，同时又是监管当局维护金融稳定的必然要求，也是银行提升自身核心竞争力的内在需求。以“治顽疾、树新风、促合规”为主题，遵循“查找问题、分析问题、整改问题”的客观规律，通过开展合规学习、合规讨论等专项活动，促进全行员工依法合规经营。我行活动目标：努力实现“切实解决重点问题、建设良好合规文化、促进旺季各项业务高质量开展、建立合规长效机制”。

四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容

信息科技风险分类业务中断风险数据平安风险IT外包风险系统漏洞风险电子银行风险

1业务中断风险：保障业务连续性是商业银行信息科技平安工作中最重要的组成局部。一旦产生软硬件故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的中断。2数据平安风险包括两方面的含义。一是数据窃取，即数据在存储介质中或在传输过程中遭到窃取甚至恶意篡改，由于权限控制不严导致无关人员接触到核心数据并导致机密数据外泄等。二是数据丧失，即由于自然灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中局部或全部数据丧失。3系统漏洞风险是指银行应用系统的设计者由于对业务流程不熟悉，对风险点未能全盘考虑，导致系统存在缺陷进而被发现并利用。一般说来，系统漏洞风险在设计之初难以发现，随着系统的推广及运行，风险才逐步暴露出来，因此系统漏洞风险最能表达风险的潜伏性。

45电子银行风险主要指的是电子支付平安问题，包括利用信用卡和ATM进行诈骗，或者利用钓鱼网站、木马程序盗取客户的账号和密码等一系列的犯罪行为。由于利用电子银行的诈骗案件的侦破较为困难，所造成的损失很多都无法挽回。案件的背后，固然有客户防范意识薄弱、甄别能力不强的原因，但也有银行电子银行系统平安保障措施不完善、平安宣传不到位等原因，这有可能会引发银行的法律风险和声誉风险，给银行造成损失。IT外包风险首先在于效劳商能否长期稳定地为银行提供高质量效劳，对于信息系统故障能否及时响应并修复，以保障银行业务的连续性。其次，外包效劳商在和银行密切往来过程中会获取一些银行的内部机密信息，给银行带来商业秘密泄露的风险。再次，银行对于外包效劳商的过度依赖性也是一种风险，将导致银行在合同谈判中处于不利地位，同时也会造成银行自身员工IT效劳水平和创新能力受到限制。此外，外包公司人员长期和银行来往甚至常驻银行，但对银行规章制度的理解与执行上和银行员工相比存在一定差距，也可能会带来风险隐患等。

通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行平安、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续开展能力.制定符合银行总体业务规划的信息科技战略、信息科技运行方案和信息科技风险评估方案，确保配置足够人力、财力资源，维持稳定、平安的信息科技环境。商业银行应制定全面的信息科技风险管理策略信息科技风险管理目标

系统开发、测试和维护业务连续性与应急处置信息分级与保护访问控制物理安全人员安全信息科技风险管理策略包括但不限于下述领域

四、信息科技风险管理存在主要问题二、信息科技风险的分类与目标三、银行业信息科技风险案例一、开展合规大讨论的意义五、信息科技风险管理的策略和重点主要内容

某行海南分行供电中断导致停业7.5小时2006年银联跨行交易全面中断8小时某银行核心系统数据库故障全国中断营业4小时某银行供电中断核心系统、网银、卡系统等80多个应用系统中断效劳2010200820062011商业银行业务连续性风险形势

典型案例介绍

案例一、某银行核心系统数据库故障业务中断案例某银行核心系统长期以来一直依靠外包效劳商进行开发。现正在使用的系统设计时最大日均处理能力为80万笔，但随着业务的开展，现日均处理能力要求到达210万笔，导致该行系统处理能力与系统负载之间缺口极大。而外包效劳商已不再对该核心系统提供升级效劳，并且该行自2009年起，没有购置维保效劳。2010年，终于由于数据库“长事务”引发逻辑故障，导致业务中断。而由于该行的技术人员不掌握该系统的核心技术，加之对外包效劳商缺乏有效的管理，导致系统维修不及时，致使业务中断时间长达4小时20分钟，在全国引发了极大的声誉风险。

案例二、XX银行数据中心设备掉电业务中断案例2011年9月21日0点30分，某银行数据中心的物业公司电工误操作，导致该行一