银行IT风险管理体系课件.ppt

2023/3/12,1,银行IT风险管理体系,北京大学ACOM金融信息化研究中心,报告主题,2023/3/12,2,PAFIRC,报告提纲,银行IT风险管理实际应用,风险管理框架,银行IT 风险管理背景,Q&A,2023/3/12,3,911事件后摩根银行在几小时内迅速恢复营业,注重IT风险管理,2023/3/12,4,PAFIRC,银行风险框架,银行IT风险的类型,IT风险管理的必要性,IT风险管理与IT治理,返回,银行监管的要求,2023/3/12,5,PAFIRC,银行IT风险的类型,IT运行风险 IT资产脆弱性风险误操作风险计算机欺诈风险信息披露风险系统中断风险,银行IT风险,基于IT的金融产品或服务风险,IT环境风险 法律遵循性风险战略风险组织风险物理环境风险外包风险,返回,2023/3/12,6,银行监管的要求,2023/3/12,7,IT风险管理的动机,信息技术的双刃性,新巴塞尔协议、萨班斯法案以及银监会的要求,银行内控的要求,返回,2023/3/12,8,IT风险管理的三维模型,返回,Z轴,X轴,Y轴,在银行信息系统生命周期各阶段，依照IT风险管理流程，以风险控制目标为驱动，实施IT风险管理，抵减银行IT风险。,2023/3/12,9,银行IT风险管理流程,IT风险管理流程,国际知名金融机构IT风险管理案例,国际标准,AS-NZS 4360,NIST SP800-60,国内标准,GB 信息安全风险评估规范,返回,GB 信息安全等级保护系列标准,2023/3/12,10,资产登记表,风险值=R（A，T，V，M）=R(C(A，T，V，M)，L(T，V，M),风险权重,返回,确定信息系统安全保护等级,GB信息安全等级保护,Basel II和萨班斯法案的要求,Basel II的要求,萨班斯法案的要求,制定详细的风险处理计划,输出表格,Basel II的要求,2023/3/12,11,信息系统安全等级保护调查表,返回,2023/3/12,12,信息系统对象确立报告,返回,2023/3/12,13,资产登记表,返回,安全-责任矩阵,2023/3/12,14,安全-责任矩阵,返回,2023/3/12,15,PAFIRC,checklist,返回,由风险控制目标导出,2023/3/12,16,计算各风险的权重:应用AHP、群决策及聚类分析法,应用AHP理论，建立银行IT风险层次结构模型应用群决策思想和AHP理论，多个专家决策群体给出各自的风险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法，计算专家的权值 计算判断矩阵可信度权值 计算各风险的权重,返回,2023/3/12,17,PAFIRC,国际知名金融机构IT风险管理案例,返回,2023/3/12,18,PAFIRC,信息系统生命周期,计划与组织,设计与获取,交付与实施,运行与维护,废弃与终止,系统生命周期,返回,2023/3/12,19,PAFIRC,控制目标的产生,返回,COBIT 4.0,ISO 17799,NIST SP 800-53,IT风险控制目标,World Bank Checklist,信息系统安全等级保护,2023/3/12,20,PAFIRC,现有几个标准比较表,返回,2023/3/12,21,PAFIRC,IT风险控制目标,风险控制目标,安全策略安全组织资产管理人力资源安全物理和环境安全通信及运行管理访问控制系统的获取、研发与维护信息安全事件管理业务持续性管理遵循性管理,PO：计划与组织 DA：设计与获取DI：交付与实施OM：运行与维护DT：废弃与终止,通用控制目标,Text,分阶段制定的控制目标,Text,在分阶段制定控制目标的基础上制定系统生命周期各阶段通用的控制目标。,37个一级控制目标，212个二级控制目标；二级控制目标分为基本要求和补充要求。,返回,2023/3/12,22,PAFIRC,举例：通用类安全策略,返回,2023/3/12,23,PAFIRC,举例：PO阶段控制目标,返回,2023/3/12,24,PAFIRC,IT资产配置与变更流程,流程图,返回,安全保护等级不同的IT资产有不同的安全控制要求,2023/3/12,25,IT资产配置与变更流程图,PAFIRC,2023/3/12,26,PAFIRC研究理念,银行IT系统具备生命周期,IT风险管理理所当然应当贯穿生命周期的始终，IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求,生命周期,IT风险的管理和控制不是一劳永逸的活动，而是随着经营环境、业务目标，企业战略等的改变相应提高控制要求，开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程,过程控制,银行IT风险管理的核心是对IT资产的管理，IT资产总是归属于一定的子系统的，风险管理要考虑成本-收益就必须对系统进行等级划分，实施不同的程度地保护，划分考虑资产所在子系统的等级以及资产在子系统中的等级,等级保护,IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者,责任主体,2023/3/12,27,银行IT风险管理的应用-IT审计,IT审计的参考标准PAFIRC银行IT风险阶段控制目标可以作为IT审计的标准参考，检查IT风险管理的绩效IT审计内部控制调查PAFIRC银行IT风险安全检查表：作为基础调研工具，识别关键风险和威胁，作为风险分析的前提也可以作为内部控制调查的依据IT审计的法律法规环境PAFIRC银行 IT风险管理遵循性指引：萨班斯404条款的要求，巴塞尔协议对金融监管的要求，以及国内法规条例的符合性程度等。,2023/3/12,28,http:/,Thank You!,