中國銀監(jiān)會信息科技風(fēng)險評價審計培訓(xùn)

中國銀監(jiān)會信息科技風(fēng)險評價審計培訓(xùn)–技術(shù)風(fēng)險管理案例研究目標(biāo)介紹如何在信息科技風(fēng)險監(jiān)管中，將科技風(fēng)險管理知識應(yīng)用于實踐在個案內(nèi)辦認(rèn)出有關(guān)科技風(fēng)險管控的問題，并提供適合的解決方案厘清有關(guān)科技風(fēng)險管理的疑問案例分析ABCBank-

背景信息一家內(nèi)地注冊的銀行，總行位于北京，全國擁有160家分行；總資產(chǎn)：15億元人民幣員工總數(shù)：3,000人

(信息科技部門員工60人)截至2005年12月，信息科技部門總支出占全行支出

的8%；提供各類銀行和金融服務(wù)：

零售銀行(包括：存款、銀行卡、住房按揭貸款、證券買賣等)商業(yè)和投資銀行業(yè)務(wù)(包括：貿(mào)易金融、現(xiàn)金管理、信托服務(wù)等)與IT有關(guān)的委員會機(jī)構(gòu)信息科技安全評估委員會（ITSecurityReviewCommittee）負(fù)責(zé)評估和監(jiān)測信息安全措施、標(biāo)準(zhǔn)、規(guī)程的制定、實施和管理；自動化委員會（AutomationCommittee）負(fù)責(zé)管理銀行辦公場所的辦公自動化工作；特別籌備建立項目管理委員會（ProjectSteeringCommittees）負(fù)責(zé)信息科技項目的管理和監(jiān)督；但是：沒有設(shè)立信息科技督導(dǎo)委員會（ITSteeringCommittee）負(fù)責(zé)總體管理銀行的各項信息科技戰(zhàn)略和政策；沒有設(shè)立科技風(fēng)險管理部門沒有正式成文的信息科技內(nèi)部控制政策和制度信息科技部門設(shè)置信息安全監(jiān)督員系統(tǒng)開發(fā)經(jīng)理信息科技部主任系統(tǒng)操作經(jīng)理技術(shù)支援經(jīng)理系統(tǒng)編程數(shù)據(jù)輸入系統(tǒng)操作監(jiān)督員/操作員應(yīng)用程式開發(fā)

檔案管理

職位

崗位職責(zé)

系統(tǒng)操作經(jīng)理 -數(shù)據(jù)中心操作運行（包括：信息處理和數(shù)據(jù)輸入）系統(tǒng)開發(fā)經(jīng)理 -應(yīng)用系統(tǒng)開發(fā)及修改技術(shù)支援經(jīng)理

-計算機(jī)網(wǎng)絡(luò)，設(shè)備監(jiān)測，維護(hù)升級信息安全監(jiān)督員 -數(shù)據(jù)和網(wǎng)絡(luò)安全，監(jiān)測和評估信息系統(tǒng)三種主要系統(tǒng):大型機(jī)主機(jī)系統(tǒng)–主要銀行系統(tǒng)小型機(jī)AS/400系統(tǒng)

–信用卡業(yè)務(wù)系統(tǒng)Windows操作平臺(98SE,NT,2000,XP)辦公電腦–辦公自動化應(yīng)用(如：文字處理、電子表格等)面談資料及結(jié)果信息科技部主任“所有的信息科技有關(guān)規(guī)定和流程都已經(jīng)建立，信息科技部人員都能夠有效地執(zhí)行規(guī)定。信息科技部人員經(jīng)驗豐富，專業(yè)背景強(qiáng)，能夠充分滿足需求部門的要求?！?/p>

但是：發(fā)現(xiàn)其它部門總是抱怨，信息科技部更改銀行系統(tǒng)增加新功能需要花費很長時間（至少5—6月）。人力資源部門負(fù)責(zé)人也發(fā)現(xiàn)信息科技部人員的流動率高于其他部門，存在許多職位空缺（當(dāng)時達(dá)到20個）.評估結(jié)果（續(xù)）系統(tǒng)操作經(jīng)理“進(jìn)出數(shù)據(jù)中心受到嚴(yán)格管理，只有系統(tǒng)操作部門和開發(fā)部門的員工具有進(jìn)出數(shù)據(jù)中心的權(quán)限；進(jìn)出數(shù)據(jù)中心必須使用出入卡.數(shù)據(jù)中心安裝有監(jiān)控攝像設(shè)備用于監(jiān)測”

但是，檢查人員發(fā)現(xiàn)：數(shù)據(jù)中心的出入許可名單上仍包括一名6個月前已辭職的系統(tǒng)操作員的名字；沒有啟動監(jiān)控攝像設(shè)備以及物理訪問系統(tǒng)的登錄、記錄功能。評估結(jié)果（續(xù)）系統(tǒng)操作監(jiān)督員“對大多數(shù)重要的系統(tǒng)操作制定有操作規(guī)程；在實施補(bǔ)丁和變更之前對重要的系統(tǒng)設(shè)置進(jìn)行備份。所有的計算機(jī)操作人員都知道如何處理變更事項，所以詳細(xì)的備份和變更管理規(guī)程是不需要的；每日都對關(guān)鍵系統(tǒng)制有備份磁帶。因為備份磁帶由第三方快遞公司負(fù)責(zé)從數(shù)據(jù)中心到備份地的安全運送，因此不需要對備份磁帶中的數(shù)據(jù)進(jìn)行加密；根據(jù)數(shù)據(jù)中心操作手冊的規(guī)定，對主要系統(tǒng)的容量評估每月均進(jìn)行一次，中心的員工是富有經(jīng)驗的信息科技專業(yè)人員，因此不需要再制定正式的評估指引；評估結(jié)果（續(xù)）系統(tǒng)開發(fā)經(jīng)理“我們的工作組是負(fù)責(zé)采購、開發(fā)以及修改銀行的系統(tǒng)。我們嚴(yán)格按照規(guī)范的“系統(tǒng)開發(fā)流程”開發(fā)系統(tǒng)。正因如此，我們覺得不需要針對這個流程制定任何正式的書面文件。對于變更控制有一個非常簡略的書面規(guī)程，但其中沒有必要包括緊急變更的操作規(guī)程，因為這種變更極少會發(fā)生。為了加快系統(tǒng)的投產(chǎn)，我們在項目開發(fā)過程中，并不會就系統(tǒng)安全的要求征詢信息安全監(jiān)督員。為了保證擁有全方位的測試案例，全部采用生產(chǎn)數(shù)據(jù)進(jìn)行新系統(tǒng)的用戶接受性（Useracceptance）測試”。評估結(jié)果（續(xù)）技術(shù)支援經(jīng)理“我的工作組負(fù)責(zé)計算機(jī)網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、系統(tǒng)軟件等等。我自己負(fù)責(zé)在操作系統(tǒng)、系統(tǒng)軟件上（Systemlevel）的保安管理(例如，為信息科技部人員設(shè)定系統(tǒng)用戶名)。由于我以前是信息安全監(jiān)督員，所以我現(xiàn)在還負(fù)責(zé)銀行業(yè)務(wù)人員在銀行系統(tǒng)（corebankingsystem)中用戶名的保安管理。因為網(wǎng)絡(luò)的設(shè)計完善，網(wǎng)絡(luò)很穩(wěn)定，我們不需要定期監(jiān)控網(wǎng)絡(luò)功能。由于人員短缺，沒有開展對網(wǎng)絡(luò)設(shè)備日?；顒訉徲嬘涗浀亩ㄆ跈z查。評估結(jié)果（續(xù)）信息安全監(jiān)督員信息安全的政策和程序都已制定。

所有用戶需要輸入用戶名和密碼來登錄銀行的系統(tǒng)，密碼至少要求3位字符。信息安全的政策明確規(guī)定對所有銀行保密數(shù)據(jù)的數(shù)據(jù)要加密。定期檢查銀行系統(tǒng)的安全日志

(每月一次).”其它問題在銀行分行，柜員系統(tǒng)上使用了虛擬用戶名(DummyuserIDs，即不需要密碼登錄的用戶名

)。

系統(tǒng)操作人員共用一些系統(tǒng)用戶名稱進(jìn)行某些系統(tǒng)操作，例如“文件傳輸”(filetransfer)等。很多的技術(shù)支持人員擁有系統(tǒng)的特權(quán)用戶戶口密碼（如“管理員用戶戶口”）。信息科技人員的培訓(xùn)只根