利用信息系统审计建立银行信息科技风险第三道防线

利用信息系统审计建立银行信息科技风险第三道防线,2,审计署信息系统审计指南编写组成员全国金融标准化技术委员会第三届专家委员全国信息安全标准化技术委员会委员中国合格评定认可委员会ISMS/ITSMS评审技术专家ITSS工作组成员国际信息安全标准化组织ISO/IECJTC1/SC27中国专家国际信息系统安全认证联盟(ISC)2中国顾问亚洲信息安全论坛（RAISEForum）成员,自我介绍,3,欢迎参加银行信息科技风险管理课程,本次课程大约需要120分钟。提高信息科技风险防范意识和防护技能，对于保障银行业务连续性和数据安全至关重要。本课程将帮助您：了解网络安全国家政策认识银行面临的信息科技风险掌握信息科技风险防范三道防线欢迎您对本课程的内容、授课方式等任何方面提出宝贵意见和建议。本课程中引用的案例均选自Internet公开报道，相关方如有任何异议请联系：王新杰，电话电子邮件：wangxinjie。,4,“SomehackerfromanobscureuniversityinChinaatemyhomework.”“一个来自中国不知名大学的黑客把我的家庭作业给吃了。”,从两幅漫画说起,5,“Youknow,youcandothisjustaseasilyonline.”“你知道，你可以在线搞的，那样会更容易。”,银行出纳与劫匪对话,6,当黑客尝试将第5笔2000万美元汇至斯里兰卡一个非营利组织时，却把收款机构名称中的“foundation”(基金会)，误拼成“fandation”，促使负责转账的德意志银行向孟加拉国央行要求验证，进而阻止了这笔交易，以及其余约8.7亿美元的未处理指令。,2016年2月，孟加拉国央行信息系统被黑客入侵损失8100万美元，行长引咎辞职,7,“美国旧金山时间2013年7月25日，巴纳比杰克（BarnabyJack）死了，就在他准备去拉斯维加斯，演示如何黑掉一个心脏起搏器前夕，而且他才35岁。这位新西兰黑客准备的演讲题目为入侵人体”。,2010年，让ATM吐钱的白帽子黑客：巴纳比杰克（BarnabyJack）,8,主要内容,1.近期国家网络安全政策形势2.银行会面临哪些信息科技风险利用审计建立风险防范第三道防线问与答,9,1.近期国家网络安全政策形势,乌镇会议五点主张国家网络安全法网络空间安全一级学科国家网络安全宣传周中央网络安全和信息化领导小组,10,2015年12月16日，习主席在第二届乌镇会议上的主旨演讲：五点主张,“第四，保障网络安全，促进有序发展。安全和发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的。网络安全是全球性挑战，没有哪个国家能够置身事外、独善其身，维护网络安全是国际社会的共同责任。”,第一，加快全球网络基础设施建设，促进互联互通。第二，打造网上文化交流共享平台，促进交流互鉴。第三，推动网络经济创新发展，促进共同繁荣。第四，保障网络安全，促进有序发展。第五，构建互联网治理体系，促进公平正义。,11,2015年6月，全国人大就国家网络安全法草案征求意见,12,2015年6月11日，为实施国家安全战略，加快网络空间安全高层次人才培养，国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科，学科代码为“0839”，授予“工学”学位。要求各单位加强“网络空间安全”的学科建设，做好人才培养工作。,13,2014年11月24日-30日,首届国家网络安全宣传周举办“共建网络安全，共享网络文明”,14,“当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。我国正处在这个大潮之中，受到的影响越来越深。”-习近平,2014年2月27日，中央网络安全和信息化领导小组成立,15,“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”-习近平,2016年4月19日，中央网络安全和信息化工作座谈会,16,我国网络基础数据,17,主要内容,1.近期国家网络安全政策形势2.银行会面临哪些信息科技风险利用审计建立风险防范第三道防线问与答,18,2.银行会面临哪些信息科技风险,业务系统中断,数据泄露和损毁,恶意入侵,19,发生在我们眼前的业务中断事故,2014.6.25重庆农商行数据中心火灾,2014.7.1宁夏银行系统中断37小时,2015.5.27支付宝系统中断超2个小时,20,2015.01.05工行三方存管系统中断,21,2013.06.23工行主机系统中断内部通报文件,2013年6月23日上午，全国多地中国工商银行柜台、ATM、网银业务出现故障，持续近1个小时。作为服务2.92亿个人客户及400多万公司客户的全国金融服务巨头，工行此次故障波及北京、上海、广州、武汉、哈尔滨等多个大中型城市。,22,2013.06.24中国银行系统故障,23,2014.09.21交行借记卡系统中断,24,商业银行业务连续性监管指引（银监发2011104号）,25,业务系统中断原因分析,26,银行信息系统被恶意入侵,孟加拉国央行,韩国农协银行,花旗银行,27,VladimirLevin,全球首次黑客侵入银行系统并盗取巨额资金事件1994年，弗拉迪米.列文通过花旗银行的电汇系统获取几个公司的账号和密码，把总额1070万美金的巨款转移到自己位于美国、芬兰、荷兰、以色列和德国的帐户。他的3个同伙在取款时被当场逮捕，他本人直到1995年才在伦敦机场被逮捕。1997年他被引渡到美国，被判处3年徒刑并赔偿花旗银行24万美元。,28,2011年4月12日韩国农协银行（3,000万用户、5,000家分行、553台服务器）。服务持续中断6天，涉及1,154家分行，540万名信用卡客户的交易记录被删除。,韩国农协银行遭遇大规模业务中断,29,30,“我不喜欢课堂上学的知识，我只喜欢电脑技术。当我三年级第一次凭自己的实力破解了电脑开机密码后，我就对网络黑客特别感兴趣。我认为黑客就是破密码、盗号、卖装备。在网上，我有志同道合的朋友，也有很多客户。我可以不费吹灰之力盗来上百个QQ号，我上个月还从地下城与勇士里盗来一件宝物卖了800元钱。只要运气好，每天赚1000元都没问题。”,31,银行数据泄露和损毁,32,美国4000万信用卡用户资料被盗取2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵，被盗账号信息资料可能被用于金融欺诈活动。随后，在美国一家网站上出现了这样一条广告“你想要一辆好车吗？你想入住舒适的酒店和漂亮女孩约会吗只要购买我们的产品，这一切你都可以拥有”。这条广告上兜售的“产品”，正是包括Master和VISA等在内全球著名信用卡公司的客户资料，包括姓名、电话、账单寄送地址等，每条信息售价100美元。,33,34,“在微信及一些电子商务平台，“电话销售交流圈”“销售行业资料群”也大量存在。多位“信息贩子”均表示，可以“按地区定制，先试用后付款”。此外，根据个人信息“品质”的不同，价格也分为“三六九等”，每条价格从分钱到元钱不等。”,35,“老杨说，他在广州、深圳一带活动，专门复制中国境内的银行卡。多次周旋之后，老杨答应卖给记者一台银行卡复制器，并承诺教会使用这台复制器。3月18号，记者在支付了8000元之后，拿到了这台银行卡复制器。”,36,数据泄露和损毁,恶意入侵,37,38,网络病毒,39,木马僵尸程序蠕虫,40,41,42,网站安全,43,事件处理网页仿冒,44,45,CNVD收集漏洞,46,47,48,49,50,勒索病毒软件肆虐,51,将有更多APT攻击事件被曝光云平台和大数据的安全防护能力将是关注重点行业合作和国际合作需求继续加强物联网智能设备将面临更多网络安全威胁精准网络诈骗和敲诈勒索行为将更加猖獗,2016年值得关注的热点问题,52,如何防范？,合规是首要任务，银监会监管指引，等级保护建立信息科技风险管理体系，如ISO/IEC27001建立信息科技风险防范技术体系，物理、主机、网络、应用、数据建立信息科技风险防范应急体系，应急预案，应急演练建立信息科技风险审计监督机制，内审，外审,53,主要内容,1.近期国家网络安全政策形势2.银行会面临哪些信息科技风险利用审计建立风险防范第三道防线问与答,54,术语定义,信息科技风险审计-银监会信息系统审计审计署/ISACAIT审计全国信息技术标准化委员会ITSS工作组信息系统控制审计GAO美国审计署相关专项审计,信息安全审计数据中心审计业务连续性审计,信息科技外包审计数据质量审计系统投产变更审计,今天的讨论，我们统一用“信息系统审计”这一术语。,55,中国人民银行,中国银监会,国际组织,银行自身需要安全生产要求外部监管要求合规风险,为什么要开展信息系统审计,56,中国银监会,57,银行卡系统检测要求网银系统检测要求,中国人民银行,接入人行支付系统、反洗钱系统、征信系统等，应根据具体接入系统的安全要求，分别开展相应安全检测和防护工作。,58,公安部信息安全等级保护要求,信息安全等级保护：是我国信息安全保障工作的基本制度，由公安部具体负责实施。金融机构应遵照执行。,公安部,59,PCI-DSS支付卡行业数据安全标准,PCIDSS:PaymentCardIndustryDataSecurityStandard,国际组织,60,信息系统审计的价值,开展审计调研，摸清信息科技工作家底；实施现场审计，揭示信息科技工作主要风险；总结行业经验，提出改进建议；制定审计规范，协助建立信息科技风险“三道防线”；,就信息科技工作向管理层提供：信心和信任！,61,利用信息系统审计建立信息科技风险防范三道防线,传递价值，“授人以渔”,62,信息系统审计在金融机构业务环境中的位置,审计,IT,财务,计算机辅助审计,信息系统审计,传统审计,财务信息化,63,信息系统审计的目的和目标,揭示信息科技风险监督和威慑提供改进建议,“推进对各部门、单位计算机信息系统安全性、可靠性和经济性的审计”,国务院关于加强审计工作的意见（国发201448号）,64,从认识我们的审计对象入手,信息科技治理,如何开展信息系统审计,65,在金融行业，信息科技风险审计主要是依据银监会商业银行信息科技风险管理指引（银监发200919号）要求，按照银监会商业银行信息科技风险现场检查指南和审计署信息系统审计指南，对商业银行实施现场审计。审计依据还经常包括：ISO/IEC27001/27002信息安全管理体系要求和实用规则；GB/T22239信息系统安全等级保护基本要求；商业银行自己的信息安全规章制度，等。,举例信息科技风险审计,66,审计工作流程,首次会议,沟通、向导,信息的收集和验证,形成审计发现,准备审计结论,末次会议,工作目标,工作内容,工作结果,67,信息科技风险审计检查项，根据审计依据，逐一进行，如商业银行信息科技风险管理指引要求包括：科技管理、基础设施和应用系统3大部分，21大类，267个检查项。,科技管理2.信息科技治理3.信息科技风险管理4.信息安全管理5.系统开发、测试与维护6.系统运行管理7.业务连续性管理8.应急管理9.灾难恢复管理10.数据管理11.外包管理13.外部审计,基础设施14.计算机机房15.网络通讯16.操作系统17.数据库管理系统18.第三方中间件,应用系统19.应用系统20.电子银行21.银行卡系统22.第三方存管系统,注：以上大类按照原文件中编号,68,常用审计工具,信息系统审计综合工具箱,信息系统审计在线服务平台,69,信息科技风险审计主要输出,信息科技风险审计工作底稿信息科技风险审计报告信息科技风险审计技术分报告（可选）审计意见书（可选）风险提醒函（可选）审计整改方案信息系统审计内部审计规范（可选）,70,业务数据审计信贷系统业务数据审计举例,业务数据审计是信息系统审计中最具价值的审计类型之一。如商业银行的信贷系统数据审计、中间业务系统数据审计、财务系统数据审计、资金系统数据审计等。与信息系统一般控制审计比较，业务数据审计要复杂的多，是信息系统审计难点。无论是数据审计系统，还是数据审计模型，都还需要不断的研究和开发。审计依据还经常包括：人行贷款相关管理办法；银监会信贷相关监管要求；商业银行自己的信贷规章制度，等。,71,业务数据审计模型示例：银行员工贷款炒股,违规情形：银行的员工作为较特殊的银行客户，在贷款时一般会获得一些方便，容易取得贷款。如果银行对这部分贷款资金用途监管不力，容易被挪用于炒股。审计模型和审计步骤：根据内部账户的科目号或科目名称，查询出银行内部账户中用于处理银证转账业务的账户，并将这些交易明细取出。根据这些内部账户交易流水，以“对方户名”统计个人用户或单位用户的银证转账交易的金额和交易笔数。查询个人贷款明细，如个贷数据中的“员工贷款标志”并没有真实反映是否为银行员工的贷款，则将贷款信息与客户信息进行关联，根据用户的工作单位来判断是否为银行职工。将每笔个人贷款与该用户发生的银证转账交易统计信息相关联，从贷款金额、贷款时间与银证转账交易统计信息进行对比分析。针对结果表进行人工判断，对其中疑似用于炒股的贷款资金，根据贷款客户号查询该用户的银行账户流水，核实资金去向。,72,其他行业开展信息系统审计的经验,证券期