商业银行信息化.ppt

银行信息技术风险的分类 一.操作风险(Operational risk) 二.法律风险(Legal risk) 三.外包风险(Outsourcing risk) 四.声誉风险(Reputational risk) Part5 银行信息化风险管理 《银行业金融机构信息系统风险管理指引》 第三章　总体风险控制 第四章　研发风险控制 第五章　运行维护风险控制 第六章　外包风险控制 第七章　审　计 Part5 银行信息化风险管理 第三章　总体风险控制 第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。 第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。 第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。 Part5 银行信息化风险管理 第四章　研发风险控制 第三十三条 银行业金融机构信息系统研发前应成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作。 第三十八条 银行业金融机构应建立独立的测试环境，以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。 第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练。 Part5 银行信息化风险管理 第五章 运行维护风险控制 第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。 第四十五条 银行业金融机构信息系统的运行应符合以下要求： 　　（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息； 　　（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等； 　　（三）提供机房环境、设备使用、网络运行、系统运行等监控信息； 　　（四）记录运行值班过程中所有现象、操作过程等信息。 Part5 银行信息化风险管理 第六章 外包风险控制 第五十二条 银行业金融机构在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。 第五十三条 银行业金融机构应建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。 第五十四条 银行业金融机构应当与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任。 Part5 银行信息化风险管理 第七章 审计 第六十四条 投产前的系统审阅是指审计人员采用非现场形式，对信息项目开发过程中所提交的有关文档资料进行审阅，指出其中存在的风险，了解是否具有相应的控制措施，并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。 投产前的系统审阅重点： 　　（一）被外界成功攻破的可能性； 　　（二）在内部安全控制方面的设计漏洞与缺陷； 　　（三）项目开发管理方面的问题； 　　（四）效率与效能； 　　（五）功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性； 　　（六）其他需重点审阅的内容。 Part5 银行信息化风险管理 谢谢大家 JUNE-ZHENG 作品 商业银行信息化 qq316260153 目录 四、 我国银行信息化取得成就 三、 银行信息系统基本框架 主要内容 一、 银行信息化简介 二、 银行信息化发展阶段 五、 银行信息化风险管理 信息化 Part