返回
商业银行信息科技风险监管讲座

商业银行信息科技风险监管讲座

ID:39413270

大小:3.71 MB

页数:95页

时间:2019-07-02

商业银行信息科技风险监管讲座_第1页
商业银行信息科技风险监管讲座_第2页
商业银行信息科技风险监管讲座_第3页
商业银行信息科技风险监管讲座_第4页
商业银行信息科技风险监管讲座_第5页
资源描述:

《商业银行信息科技风险监管讲座》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、CopyrightbyCHENYL信息科技风险监管知识讲座2010年8月主要内容一、信息科技风险监管概况二、信息科技风险监管目标和手段三、主要监管制度介绍四、信息科技风险监管体系简介五、基层银行机构科技风险监管的思考一、信息科技风险监管概况信息科风险监管背景某银行核心系统故障全国中断营业4小时某行海南分行供电中断导致停业7.5小时2006年银联跨行交易全面中断8小时屡次发生的网络安全事件:2010年初多家银行网银系统遭受攻击2009年底我省某行网银系统遭受DDos攻击2009年底某行成都分行发生网银客户资金被盗事件2008年奥运开幕式某

2、国有银行网络遭攻击….….200620082010近年来,随着银行机构系统网络化、数据集中化,科技风险问题日益突出科技风险的特点是风险变化快、蔓延快、影响范围大银监会信息科技监管历程20062007200820092010发布信息科技风险管理指引开展信息科技风险内部和外部评价审计开展信息科技风险奥运专项自查发布新的《商业银行信息科技风险管理指引》《银行业重要信息系统投产与变更管理办法》部署信息科技风险非现场系统《商业银行数据中心监管指引》自2006年8月发布《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近

3、年来推出一系列制度和措施,监管工作逐步走向规范化。银监会开展的主要工作制定一系列制度和标准持续开展信息科技风险监管培训组织开展信息科技风险现场检查推动实施信息科技非现场监管组织开展重要时点信息科技自查整改及时发布各类信息科技风险提示银行机构信息科技风险状况科技风险管控意识提高科技治理架构初步建立科技基础设施不断完善运行维护能力不断加强重视加强灾备建设及开展应急演练银行机构信息科技风险状况个别银行科技治理认识不到位重眼前建设轻长远规划科技治理架构未有效运行应急演练开展实战性不足基层银行机构科技力量薄弱二、信息科技风险监管目标与手段信息科技

4、风险监管目标降低信息系统连续性和安全性风险程度到可接受范围保障信息系统连续性和安全性保护银行信息资产(信息系统、数据)保护存款人利益维护社会稳定目标层次宏观具体信息科技风险监管目标连续性:即业务连续性,保证信息系统稳定、持续地提供服务,通俗地说就是系统“不能断”。安全性:保证数据的保密性、完整性、可用性,通俗地说就是数据“不能丢”。所有科技风险事件都可以归于信息系统连续性或安全性出问题的事件。信息科技风险监管目标连续性事件案例案例1:2008年11月上旬,某大型银行某省分行在供电部门预先通知停电的情况下,因发电机故障、主机存储控制卡损坏

5、等原因,造成全省业务无法正常运营达7小时15分钟。案例2:2009年12月21日,某行网上银行系统发生一起因DDOS攻击引发的系统故障,经内外部专家诊断为外部分布式攻击。攻击来自互联网多个地方和多台机器,持续时间500分钟。故障刚发生阶段的现象表现为网银客户登录网银主页面缓慢或超时无法访问。监控系统显示网上银行主页服务器系统资源压力迅速增大,进程达到系统最大进程数,超过日常监控进程数四倍。案例3:2010年2月3日某全国性银行核心业务系统数据库故障导致全国柜面等各项业务中断近四小时。案例4:2007年12月16日11:05至13:57,

6、某分行综合前置机系统出现故障,造成全辖15个网点对外营业中断近三个小时。信息科技风险监管目标安全性事件案例案例1:2008年12月31日至2009年1月4日,某银行成都分行发生一起网上银行客户资金被盗案件,涉及被盗帐号12个,总金额12万元。犯罪嫌疑人通过本人及雇用他人在银行办理借记卡并开通个人网银业务,以合法身份进入该银行大众版网银系统,然后利用网络下载的黑客软件对该银行大众版网银系统进行攻击和破译,发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转出卡号、转入帐号客户隶属关系进行校验,而且主机系统对网银服务端上传的个别交易数据

7、验证不充分的程序逻辑缺陷,通过模拟浏览器与服务端通讯的方式,非法截取并篡改交易数据,盗取他人资金。信息科技风险监管目标安全性事件案例案例2:某行市分行发生一起内部员工违规利用网银动用客户资金的案件。2008年10月份,支行客户部网银操作员及复核员在为客户办理网银业务时发现操作IC卡已经过期,遂联系市分行网银管理员黄某办理换卡事宜,并告知其操作密码。黄某利用自己作为管理员保管“管理证书”之便,进入系统,修改了某对公客户的网银证书和密码,再通过集团理财帐户实行网银转帐,动用客户帐户上233.7万元用于炒权证。案例3:某行柜员在为客户办理购买

8、基金手续过程中,利用电脑终端画面可以屏幕打印功能,没有进行实际交易,套打基金交易凭证交予客户,将客户资金转入其控制的账户.涉案金额85万元。电脑终端可随意进行屏幕打印,存在明显缺陷,使作案人有机可乘信息科技

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。