文档详情

商业银行信息化.ppt

发布:2018-05-16约6.56千字共35页下载文档
文本预览下载声明
银行信息技术风险的分类 一.操作风险(Operational risk) 二.法律风险(Legal risk) 三.外包风险(Outsourcing risk) 四.声誉风险(Reputational risk) Part5 银行信息化风险管理 《银行业金融机构信息系统风险管理指引》 第三章 总体风险控制 第四章 研发风险控制 第五章 运行维护风险控制 第六章 外包风险控制 第七章 审 计 Part5 银行信息化风险管理 第三章 总体风险控制 第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。 第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。 第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。 Part5 银行信息化风险管理 第四章 研发风险控制 第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。 第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。 第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。 Part5 银行信息化风险管理 第五章 运行维护风险控制 第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。 第四十五条 银行业金融机构信息系统的运行应符合以下要求:   (一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;   (二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;   (三)提供机房环境、设备使用、网络运行、系统运行等监控信息;   (四)记录运行值班过程中所有现象、操作过程等信息。 Part5 银行信息化风险管理 第六章 外包风险控制 第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。 第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。 第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。 Part5 银行信息化风险管理 第七章 审计 第六十四条 投产前的系统审阅是指审计人员采用非现场形式,对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。 投产前的系统审阅重点:   (一)被外界成功攻破的可能性;   (二)在内部安全控制方面的设计漏洞与缺陷;   (三)项目开发管理方面的问题;   (四)效率与效能;   (五)功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性;   (六)其他需重点审阅的内容。 Part5 银行信息化风险管理 谢谢大家 JUNE-ZHENG 作品 商业银行信息化 qq316260153 目录 四、 我国银行信息化取得成就 三、 银行信息系统基本框架 主要内容 一、 银行信息化简介 二、 银行信息化发展阶段 五、 银行信息化风险管理 信息化 Part
显示全部
相似文档