中国银监会信息科技风险评价审计培训

1、中国银监会信息科技风险评价审计培训中国银监会信息科技风险评价审计培训 技术风险管理技术风险管理案例案例研究研究目标目标 介绍如何在信息科技风险监管中，将科技风险管理知识应用于实践 在个案内办认出有关科技风险管控的问题，并提供适合的解决方案 厘清有关科技风险管理的疑问案例分析案例分析ABC Bank - 背景信息背景信息 一家内地注册的银行，总行位于北京，全国拥有160家分行； 总资产：15亿元人民币 员工总数：3,000人 (信息科技部门员工60人) 截至2005年12月，信息科技部门总支出占全行支出 的8%； 提供各类银行和金融服务： 零售银行(包括：存款、银行卡、住房按揭贷款、证券买卖等)

2、 商业和投资银行业务 (包括：贸易金融、现金管理、信托服务等)与与IT有关的委员会机构有关的委员会机构信息科技信息科技安全评估委员会（安全评估委员会（IT Security Review Committee） 负责评估和监测信息安全措施、标准、规程的制定、实施和管理；自动化委员会（自动化委员会（Automation Committee） 负责管理银行办公场所的办公自动化工作；特别筹备建立项目管理委员会（特别筹备建立项目管理委员会（Project Steering Committees）负责信息科技项目的管理和监督；但是：但是：没有设立信息科技督导委员会（IT Steering Committe

3、e）负责总体管理银行的各项信息科技战略和政策；没有设立科技风险管理部门没有正式成文的信息科技内部控制政策和制度信息科技部门设置信息科技部门设置信息安全监督信息安全监督员员系統系統开发经理开发经理信息科技部信息科技部主任主任系统操作经理系统操作经理技术技术支支援援经理经理系统编程系统编程数据数据輸入輸入系统操作监督系统操作监督员员/ / 操作员操作员应用应用程式程式开开发发 档案管理档案管理 职位职位 岗位职责岗位职责系统操作系统操作经理经理 - 数据中心操作运行（包括：信息处理和数据输入）系统系统开发经理开发经理 - 应用系统开发及修改技术技术支援经理支援经理- 计算机网络，设备监测，维护升级

4、信息安全信息安全监督监督员员- 数据和网络安全，监测和评估信息系统信息系统三种主要系统: 大型机主机系统 主要银行系统 小型机AS/400 系统 信用卡业务系统 Windows 操作平台 (98SE, NT, 2000, XP) 办公电脑 办公自动化应用 (如：文字处理、电子表格等)面谈资料及面谈资料及结果结果信息科技部主任信息科技部主任 “所有的信息科技有关规定和流程都已经建立，信息科技部人员都能够有效地执行规定。 信息科技部人员经验丰富，专业背景强，能够充分满足需求部门的要求。” 但是：- 发现其它部门总是抱怨，信息科技部更改银行系统增加新功能需要花费很长时间（至少56月）。- 人力资源部

5、门负责人也发现信息科技部人员的流动率高于其他部门，存在许多职位空缺（当时达到20个）.评估结果（续）评估结果（续）系统操作经理系统操作经理 “进出数据中心受到严格管理，只有系统操作部门和开发部门的员工具有进出数据中心的权限； 进出数据中心必须使用出入卡. 数据中心安装有监控摄像设备用于监测” 但是，检查人员发现：- 数据中心的出入许可名单上仍包括一名6个月前已辞职的系统操作员的名字；- 没有启动监控摄像设备以及物理访问系统的登录、记录功能。评估结果（续）评估结果（续）系统操作监督员系统操作监督员 “对大多数重要的系統操作制定有操作规程； 在实施补丁和变更之前对重要的系统设置进行备份。所有的计算

6、机操作人员都知道如何处理变更事项，所以详细的备份和变更管理规程是不需要的； 每日都对关键系统制有备份磁带。因为备份磁带由第三方快递公司负责从数据中心到备份地的安全运送，因此不需要对备份磁带中的数据进行加密； 根据数据中心操作手册的规定，对主要系统的容量评估每月均进行一次，中心的员工是富有经验的信息科技专业人员，因此不需要再制定正式的评估指引；评估结果（续）评估结果（续）系統系統开发经理开发经理 “我们的工作组是负责采购、开发以及修改銀行的系统。我们严格按照规范的“系统开发流程”开发系统。正因如此，我们觉得不需要针对这个流程制定任何正式的书面文件。 对于变更控制有一个非常简略的书面规程，但其中没

7、有必要包括紧急变更的操作规程，因为这种变更极少会发生。 为了加快系统的投产，我们在项目开发过程中，并不会就系统安全的要求征询信息安全监督员。 为了保证拥有全方位的测试案例，全部采用生产数据进行新系统的用户接受性（ User acceptance ）测试”。评估结果（续）评估结果（续）技术技术支支援援经理经理 “我的工作组负责计算机网络、基础设施、系统软件等等。 我自己负责在操作系统、系统軟件上（System level）的保安管理 (例如，为信息科技部人员设定系统用户名)。由于我以前是信息安全监督员，所以我现在还负责银行业务人员在银行系统（core banking system)中用户名的保安

8、管理。 因为网络的设计完善，网络很稳定，我们不需要定期监控网络功能。由于人员短缺，没有开展对网络设备日常活动审计记录的定期检查。评估结果（续）评估结果（续）信息信息安全安全监督监督员员 信息安全的政策和程序都已制定。 所有用户需要输入用户名和密码来登录银行的系统，密码至少要求3位字符。 信息安全的政策明确规定对所有银行保密数据的数据要加密。 定期检查银行系统的安全日志 (每月一次).”其它问题其它问题 在銀行分行，柜员系统上使用了虚拟用户名(Dummy user IDs，即不需要密码登录的用户名 )。 系統操作人员共用一些系統用户名稱进行某些系統操作，例如“文件传输”(file transfer)等。 很多的技术支持人员拥有系统的特权用户户口密码（如“管理员用户户口”）。 信息科技人员的培训