法人中小金融机构信息科技风险管理培训(2011年12月).ppt

法人中小金融机构信息科技 风险管理,郴州银监分局 卢洁,培训主要内容,信息科技风险管控简述 近年来农村中小金融机构信息科技风险管理情况及问题 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 信息科技风险监管法规和评估体系简介,一、信息科技风险管控简述,信息科技与银行业的关系 信息技术与银行的联系越来越紧密 信息科技在银行业的作用越来越大 信息科技的责任越来越重 信息科技风险对银行的影响越来越深,一、信息科技风险管控简述,信息科技风险的三大源头 1、天然因素：环境（包括天气、地理位置等）。不可避免，不可预测。防范：灾备以减少损失 2、固有因素：硬件、软件、网络等。自然规律，不可避免，可以预见。防范：掌握规律，减少发生 3、人为因素：技术、思想、作风、工作习惯等。难以预测，可以预见，部分可以避免。防范：内部防控（制度规范岗位权限），避免发生或减少发生；技术手段防护已减少发生；灾备以减少损失,一、信息科技风险管控简述,信息科技八大风险源 自然灾害、系统故障、设计缺陷、运营服务、日常维护更新、用户使用、内部管理、外来入侵与破坏,一、信息科技风险管控简述,风险管控的法则 治理与管理并举，治理在先 防灾与备灾并举，备灾在先 防天灾与防人祸并举，防人在先 防内与防外并举，防外在先| 管物与管人并举，管人在先技术防范于制度防范并举，技术在先,一、信息科技风险管控简述,风险管控的制度、规范及标准 银行业信息系统灾难恢复管理规范（JR-T0044-2008 银行业重要信息系统突发事件应急管理规范（试行） 商业银行信息科技风险管理指引,二、近年来农村中小金融机构信息科技风险管理情况及问题,农村金融机构信息科技发展状况 综合业务系统建设取得进展 基础设施建设明显加快 电子银行体系初步建立 信贷管理系统相继建成 管理信息系统不断丰富 省域信息科技集约化管理框架初步形成（数据库在省联社） 信息科技治理架构初步建成,二、近年来农村中小金融机构信息科技风险管理情况及问题,全国农村中小金融机构普遍存在的问题 1、技术水平低，核心系统还是2005年版的 2、应用系统管理低，防范基本停留在人防阶段，没有部署任何技术防范措施 3、IT治理机制缺失，人力、物力、财力保障不充分 4、后台不稳定，内部人员操作风险大（河南发生的案件） 5、IT建设与业务需求脱节 6、外包风险管控有问题,郴州农村中小金融机构信息科技风险管理存在的问题,信息科技风险管控架构尚不健全。 信息科技风险管理有待加强 部分机构主要业务系统可维护性欠缺 关键设备存在单点风险 应急预案落实不到位,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,“十二五”信息科技发展总体方向 科技带动创新 强化信息科技风险防范能力 提升银行高管层对信息科技的重视 加强行业科技软实力的提升,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,农村金融机构“十二五”信息科技发展总体目标 1、完善IT治理，明确IT发展方向 2、加强基础设施建设，保障系统安全稳定运行 3、推进应用系统建设，满足业务发展需要 提高信息科技分项管理水平，有效防范信息科技风险,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,农村金融机构“十二五”信息科技发展主要任务 IT结构治理 IT战略规划 基础设施建设 应用系统建设 科技管理及科技风险管理,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,在IT结构治理方面： 加大IT财务管理（软件正版化、核心软件升级）； 加大信息科技投入（与业务发展相匹配）； IT风险管理（建立部门管理职责、设置专业岗位）,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,在IT战略规划方面： 制定IT中长期规划； 规范基础架构； 优化应用架构,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,在基础设施建设方面 改善基础运行环境； 灾备体系建设； 网络规划和网络安全管理； 提高资源利用率； 降低总体使用成本,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,在应用系统建设方面 优化综合业务系统； 完善核心基础数据信息； 完善各类应用系统； 加强电子渠道建设， 深化风险防控,银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求,在科技管理及科技风险管理方面 1、科技风险管理策略 高管层及相关部门责任 风险管理职能部门和专业技术人员 IT审计职能 信息安全保障体系 2、信息科技风险管理 目标、对象 风险识别检测手段 关键风险指标 风险管理制度,信息科技风险监管法规政策,商业银行网上银行安全风险管理指引 商业银行业务连续性监管指引 行政许可事项中信息科技核准条件的补充规定 商业银行首席信息官管理办法,银行业信息科技风险评估体系,评估标准依据 商业银行信息科技风险管理指引 评估内容 信息科技治理、信息科技风险管理、信息科技审计、信息系统开发与测试、信息科技运行、业务连续性管理、信息科技服务外包