
银行IT风险管理体系课件.ppt
28页单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,PAFIRC,银行,IT,风险管理体系,2024/10/28,1,银行,IT,风险管理体系,北京大学,ACOM,金融信息化研究中心,报告主题,2024/10/28,2,PAFIRC,报告提纲,银行,IT,风险管理实际应用,风险管理框架,银行,IT,风险管理背景,Q&A,2024/10/28,3,911,事件后,摩根银行,在几小时内,迅速恢复营业,注重,IT,风险管理,2024/10/28,4,PAFIRC,银行风险框架,市场风险,银行,风险,操作风险,信用风险,IT,风险,银行,IT,风险,的类型,IT,风险管理的必要性,IT,风险管理与,IT,治理,返回,银行监管,的要求,2024/10/28,5,PAFIRC,银行,IT,风险的类型,IT,运行风险,IT,资产脆弱性风险,误操作风险,计算机欺诈风险,信息披露风险,系统中断风险,银行,IT,风险,基于,IT,的金融产品或服务风险,IT,环境风险,法律遵循性风险,战略风险,组织风险,物理环境风险,外包风险,返回,2024/10/28,6,银行监管的要求,2024/10/28,7,IT,风险管理,IT,风险管理的动机,信息技术的双刃性,新巴塞尔协议、,萨班斯法案以及银监会的要求,银行内控的要求,返回,2024/10/28,8,IT,风险管理的三维模型,返回,Z,轴,X,轴,Y,轴,在银行信息系统生命周期各阶段,依照,IT,风险管理流程,以风险控制目标为驱动,实施,IT,风险管理,抵减银行,IT,风险。
2024/10/28,9,银行,IT,风险管理流,程,IT,风险,管理流程,国际知名金融机构,IT,风险管理案例,国际标准,AS-NZS 4360,NIST,SP800-60,国内标准,GB,信息安全,风险评估规范,返回,GB,信息安全等级保护系列标准,2024/10/28,10,资产登记表,检查表,风险值,=R,(,A,,,T,,,V,,,M,),=R(C(A,,,T,,,V,,,M),,,L(T,,,V,,,M),风险权重,返回,确定信息系统安全保护等级,GB,信息,安全等级保护,Basel II,和萨班斯法案的要求,Basel II,的要求,萨班斯法案的要求,制定详细的风险处理计划,输出表格,Basel II,的要求,2024/10/28,11,信息系统安全等级保护调查表,返回,2024/10/28,12,,信息系统对象确立报告,返回,2024/10/28,13,,资产登记表,返回,安全,-,责任矩阵,2024/10/28,14,安全,-,责任矩阵,返回,2024/10/28,15,PAFIRC,checklist,返回,由风险控制目标导出,2024/10/28,16,计算各风险的权重,:,应用,AHP,、群决策及聚类分析法,应用,AHP,理论,建立银行,IT,风险层次结构模型,应用群决策思想和,AHP,理论,多个专家决策群体给出各自的风险判断矩阵,应用群决策思想、,AHP,理论和最短距离聚类分析法,计算专家的权值,计算判断矩阵可信度权值,计算各风险的权重,返回,2024/10/28,17,PAFIRC,国际知名金融机构,IT,风险管理案例,返回,2024/10/28,18,PAFIRC,信息系统生命周期,计划与组织,设计与获取,交付与实施,运行与维护,废弃与终止,系统生命周期,返回,2024/10/28,19,PAFIRC,控制目标的产生,返回,COBIT 4.0,ISO 17799,NIST SP 800-53,IT,风险,控制目标,World Bank Checklist,信息系统安全等级保护,2024/10/28,20,PAFIRC,现有几个标准比较表,返回,2024/10/28,21,PAFIRC,IT,风险控制目标,风险控制目标,安全策略,安全组织,资产管理,人力资源安全,物理和环境安全,通信及运行管理,访问控制,系统的获取、研发与维护,信息安全事件管理,业务持续性管理,遵循性管理,PO,:计划与组织,DA,:设计与获取,DI,:,交付与实施,OM,:,运行与维护,DT,:,废弃与终止,通用控制目标,Text,分阶段制定的控制目标,Text,在分阶段制定控制目标的基础上制定系,统生命周期各阶段通用的控制目标。
37,个一级控制目标,,212,个二级控制目标;,二级控制目标分为基本要求和补充要求返回,2024/10/28,22,PAFIRC,举例:通用类,安全策略,返回,2024/10/28,23,PAFIRC,举例:,PO,阶段控制目标,返回,2024/10/28,24,PAFIRC,IT,资产配置与变更流程,流程图,返回,安全保护等级,不同的,IT,资产有,不同的安全控制要求,2024/10/28,25,IT,资产配置与变更流程图,PAFIRC,2024/10/28,26,PAFIRC,研究理念,银行,IT,系统具备生命周期,IT,风险管理理所当然应当贯穿生命周期的始终,,IT,风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求,生命周期,IT,风险的管理和控制不是一劳永逸的活动,而是随着经营环境、业务目标,企业战略等的改变相应提高控制要求,开始新的循环所以银行的,IT,风险管理活动是持续改进的控制过程,过程控制,银行,IT,风险管理的核心是对,IT,资产的管理,,IT,资产总是,归属于一定的子系统的,风险管理要考虑成本,-,收益就必须,对系统进行等级划分,实施不同的程度地保护,划分考虑,资产所在子系统的等级以及资产在子系统中的等级,等级保护,IT,资产必须进行分类管理、明确责任的同时要划定资产的名义归属者,责任主体,2024/10/28,27,银行,IT,风险管理的应用,-IT,审计,IT,审计的参考标准,PAFIRC,银行,IT,风险阶段控制目标,可以作为,IT,审计的标准参考,检查,IT,风险管理的绩效,IT,审计内部控制调查,PAFIRC,银行,IT,风险安全检查表,:作为基础调研工具,识别关键风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据,IT,审计的法律法规环境,PAFIRC,银行,IT,风险管理遵循性指引,:萨班斯,404,条款的要求,巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。
2024/10/28,28,http:/ You!,。












