信息科技风险防范讲座课件

信息科技风险防范 信息科技风险 是指信息科技在规划 设计 研发或采购 运行 维护 监控及报废过程中由于人为因素 技术漏洞和管理缺陷产生的操作 法律 金融和声誉等风险 信息科技的广泛应用 一方面使商业银行大大提升了数据和业务处理的速度和能力 另一方面也给银行的经营管理和信息安全带来了一系列的风险隐患和突出问题 国内外金融领域近年来爆发的一系列与信息科技有关的风险事件 给我们留下了深刻的教训和启示 1 2003年1月 美国银行 BankofAmerica 13000台ATM机因病毒瞬间宕机 该行客户无法通过ATM完成存取款交易 2 2005年12月 日本瑞穗证券公司 MizuhoSecurities 误将客户的 以61万日元卖出1股J COM公司股票 指令输入为 以每股1日元卖出61万股 东京股票交易所 TokyoStockExchange 电脑系统对该公司取消下单的指令不能给予回应 随后瑞穗的错单全部成交 引发了投资者抛售股票 使日经指数重挫超过300点 瑞穗证券损失超过400亿日元 3 2006年日本最大的美资银行花旗银行 CitibankJapan 出现交易系统故障 5天内约27 5万笔公用事业缴费遭重复扣划 或交易后未作月结记录 造成该行在日本的重大声誉损失 银监会通报5起事件 1 2007年3月21日 交通银行因主机监控软件存在缺陷 导致业务交易阻塞 系统瘫痪近四个小时 所有营业网点无法正常开展业务 2 2007年8月15日 工商银行对计算机系统进行升级 但由于没有避开业务高峰期 导致个人业务系统运行不畅 在持续五个半小时之后 系统才逐步恢复正常 3 2007年10月18日 建设银行股民保证金第三方存管系统出现故障 与券商的交易无法正常进行 事故持续了两个小时 在证券交易收盘后才恢复正常 4 2007年12月21日 招商银行因运行中心核心网络设备出现故障 造成业务无法正常进行 虽然启动了应急预案 但仍然中断营业近一个小时 5 2008年1月7日 北京银行因主干专线的入户接入设备发生故障 造成在京的117家支行所属网点柜台交易缓慢 业务无法正常进行 故障持续一个多小时之后才得以解决 国际上出现的信息科技事故表明 如果银行系统中断1小时 将直接影响该行的基本支付业务 中断1天 将对其声誉造成极大伤害 中断2 3天以上不能恢复 将直接危及其他银行乃至整个金融系统的稳定 刘明康主席 信息科技风险与其他领域的风险相比 具有其自身的特点 主要表现为风险发生时影响较大 风险出现具有不确定性 对风险的估计或防范手段不足 金融行业具有金融数据和客户数据高度集中 服务对象构成复杂 分布广泛 所提供服务与个人 企业利益乃至国民经济息息相关等特点 IT服务一旦中断 所带来的危害 仅用企业经济损失来度量远远不够 中国银监会确定把信息科技风险纳入银行总体风险监管框架 银行业信息科技管理存在的主要风险 一 科技软硬件基础设施薄弱 1 核心设备存在单点故障隐患和性能不足问题 2 一些地方法人银行业金融机构尚未实现数据异地实时备份 未建立异地灾备中心 一旦出现重大灾难事故 数据无法及时完整恢复 业务无法持续办理 3 机房建设不达标 二 信息系统运行保障能力不足 1 个别银行对信息系统运行保障工作重视不够 2 个别银行数据备份只采取单一的文本备份方式 3 有的银行未针对系统运行的薄弱环节制定应急预案 未对备份数据进行有效性检验和恢复演练 备份数据的可恢复性难以保证 三 信息系统安全存在隐患 1 对信息系统实体安全风险防范不足 2 信息科技内控不严 3 网络及数据安全存在隐患 4 个别银行信息系统的超级管理员密码保管不严 四 信息科技项目开发和外包风险较大1 对外包公司缺乏有效的管理 造成大量系统核心源代码 关键配置信息为外部人员所掌握 2 个别银行对项目开发质量缺乏有效控制 对软件开发未实行严格项目管理 造成软件质量难以保证 投产的系统可能存在缺陷 五 业务系统内控功能不完善有的银行业务系统功能与内控要求不配套 存在操作风险 六 部分银行业金融机构科技力量薄弱 做好信息科技风险管理的措施一 银行业金融机构的董事会和高级管理层应认真履行信息科技风险