PAFIRC银行IT风险管理体系2020/2/91银行IT风险管理体系2007-04-11北京大学ACOM金融信息化研究中心•报告主题PAFIRC银行IT风险管理体系2020/2/92PAFIRC报告提纲银行IT风险管理实际应用风险管理框架银行IT风险管理背景Q&APAFIRC银行IT风险管理体系2020/2/93911事件后摩根银行在几小时内迅速恢复营业注重IT风险管理PAFIRC银行IT风险管理体系2020/2/94PAFIRC银行风险框架市场风险银行风险操作风险信用风险IT风险银行IT风险的类型IT风险管理的必要性IT风险管理与IT治理银行监管的要求PAFIRC银行IT风险管理体系2020/2/95PAFIRC银行IT风险的类型IT运行风险IT资产脆弱性风险误操作风险计算机欺诈风险信息披露风险系统中断风险银行IT风险基于IT的金融产品或服务风险IT环境风险法律遵循性风险战略风险组织风险物理环境风险外包风险PAFIRC银行IT风险管理体系2020/2/96银行监管的要求PAFIRC银行IT风险管理体系2020/2/97IT风险管理IT风险管理的动机信息技术的双刃性新巴塞尔协议、萨班斯法案以及银监会的要求银行内控的要求PAFIRC银行IT风险管理体系2020/2/98IT风险管理的三维模型在银行信息系统生命周期各阶段,依照IT风险管理流程,以风险控制目标为驱动,实施IT风险管理,抵减银行IT风险。PAFIRC银行IT风险管理体系2020/2/99银行IT风险管理流程IT风险管理流程国际知名金融机构IT风险管理案例国际标准AS-NZS4360NISTSP800-60国内标准GB信息安全风险评估规范GB信息安全等级保护系列标准PAFIRC银行IT风险管理体系2020/2/910风险管理准备沟通与咨询监控与审查风险分析风险要素识别与评价风险评价风险处理审核与批准信息披露确立风险管理对象制定风险管理计划制定风险评估计划资产识别与评价脆弱性识别与评价威胁识别与评价已有安全措施识别与评价风险数据入风险库安全事件识别与归档计算安全事件发生的可能性计算安全事件的损失确定风险等级确定风险处理优先级确定风险主题优先级确定风险主题安全事件信息披露分析IT风险对操作风险的影响接受风险?明确风险处理措施残余风险处理实施风险处理措施风险控制维护安全意识、培训和教育事件响应监视审核申请持续监督批准申请审核处理批准处理再评估与认证分析IT风险处理对操作风险的影响NOYESIT风险管理对操作风险的影响操作风险抵减对银行业务的影响安全等级保护差距分析确定银行信息安全需求确定风险值资产登记表检查表风险值=R(A,T,V,M)=R(C(A,T,V,M),L(T,V,M))风险权重确定信息系统安全保护等级GB信息安全等级保护BaselII和萨班斯法案的要求BaselII的要求萨班斯法案的要求制定详细的风险处理计划输出表格BaselII的要求PAFIRC银行IT风险管理体系2020/2/911信息系统安全等级保护调查表PAFIRC银行IT风险管理体系2020/2/912资产登记表安全-责任矩阵PAFIRC银行IT风险管理体系2020/2/914安全-责任矩阵PAFIRC银行IT风险管理体系2020/2/915PAFIRCchecklist由风险控制目标导出PAFIRC银行IT风险管理体系2020/2/916计算各风险的权重:应用AHP、群决策及聚类分析法应用AHP理论,建立银行IT风险层次结构模型应用群决策思想和AHP理论,多个专家决策群体给出各自的风险判断矩阵应用群决策思想、AHP理论和最短距离聚类分析法,计算专家的权值计算判断矩阵可信度权值计算各风险的权重),...,,(W1121),...,,(W1121PAFIRC银行IT风险管理体系2020/2/917PAFIRC国际知名金融机构IT风险管理案例PAFIRC银行IT风险管理体系2020/2/918PAFIRC信息系统生命周期计划与组织设计与获取交付与实施运行与维护废弃与终止系统生命周期PAFIRC银行IT风险管理体系2020/2/919PAFIRC控制目标的产生COBIT4.0ISO17799NISTSP800-53IT风险控制目标WorldBankChecklist信息系统安全等级保护PAFIRC银行IT风险管理体系2020/2/920PAFIRC现有几个标准比较表PAFIRC银行IT风险管理体系2020/2/921PAFIRCIT风险控制目标风险控制目标•安全策略•安全组织•资产管理•人力资源安全•物理和环境安全•通信及运行管理•访问控制•系统的获取、研发与维护•信息安全事件管理•业务持续性管理•遵循性管理•PO:计划与组织•DA:设计与获取•DI:交付与实施•OM:运行与维护•DT:废弃与终止通用控制目标Text分阶段制定的控制目标Text在分阶段制定控制目标的基础上制定系统生命周期各阶段通用的控制目标。37个一级控制目标,212个二级控制目标;二级控制目标分为基本要求和补充要求。PAFIRC银行IT风险管理体系2020/2/922PAFIRC举例:通用类——安全策略PAFIRC银行IT风险管理体系2020/2/923PAFIRC举例:PO阶段控制目标PAFIRC银行IT风险管理体系2020/2/924PAFIRCIT资产配置与变更流程流程图安全保护等级不同的IT资产有不同的安全控制要求PAFIRC银行IT风险管理体系2020/2/925IT资产配置与变更流程图PAFIRCPAFIRC银行IT风险管理体系2020/2/926PAFIRC研究理念银行IT系统具备生命周期,IT风险管理理所当然应当贯穿生命周期的始终,IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求生命周期IT风险的管理和控制不是一劳永逸的活动,而是随着经营环境、业务目标,企业战略等的改变相应提高控制要求,开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程过程控制银行IT风险管理的核心是对IT资产的管理,IT资产总是归属于一定的子系统的,风险管理要考虑成本-收益就必须对系统进行等级划分,实施不同的程度地保护,划分考虑资产所在子系统的等级以及资产在子系统中的等级等级保护IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者责任主体PAFIRC银行IT风险管理体系2020/2/927银行IT风险管理的应用-IT审计IT审计的参考标准•《PAFIRC银行IT风险阶段控制目标》可以作为IT审计的标准参考,检查IT风险管理的绩效IT审计内部控制调查•《PAFIRC银行IT风险安全检查表》:作为基础调研工具,识别关键风险和威胁,作为风险分析的前提也可以作为内部控制调查的依据•IT审计的法律法规环境•《PAFIRC银行IT风险管理遵循性指引》:萨班斯404条款的要求,巴塞尔协议对金融监管的要求,以及国内法规条例的符合性程度等。PAFIRC银行IT风险管理体系2020/2/928