单击此处编辑母版文本样式,第二级,第三级,第四级,Page,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,2021.07,银行信息科技简介,内容,Page,2,银行信息科技的重要作用,1,信息科技主要职能,2,信息科技风险,3,信息安全,4,Page,3,作用,运用IT技术，满足用户公司治理、经营管理、业务开展、和风险控制，以增强核心竞争能力和可持续开展能力。,银行经营的本质：盈利性、流动性、平安性。,IT技术构造的核心竞争力：盈利能力、创新能力、抗风险能力,信息化职能,Page,4,管理,信息化,职能,信息科技治理的目标：确保必要的资源投入，使信息科技战略与银行战略一致。,Page,5,职能,Page,6,职能,应用架构,各应用系统之间的相互配合关系，由业务流程驱动。,技术架构,技术标准、技术体系、根底软件、灾难备份,根底架构,主机、网络、存储、云,数据架构,数据的分布、集中、传输、备份、使用、管控,平安架构,包括平安技术与平安管理两个方面，其中平安技术是平安保障的根底，平安管理是平安技术手段真正发挥效益的关键。,Page,7,风险,Page,8,信息科技风险三个因素、八个源头,自然灾害,系统故障,设计缺陷,内部管理,运营效劳,日常维护更新,用户使用,外来入侵与破坏,风险,Page,9,特征,Page,9,破坏性强,影响面广,隐蔽性高,专业性强,基于上述风险来源及特点，银行必须,建立风险事前防范、事中控制、事后监督和纠正的机制,，才能有效防范各类风险、降低损失,。,风险,Page,10,风险,信息科技风险管理的背景,银行业信息科技业务的支撑作用越来越大,风险集中度越来越高、影响越来越大，信息平安问题日益突出，信息科技风险已成为影响银行业稳健开展的关键因素,信息科技风险管理架构和程序,Page,11,信息科技管理,审计,风险管理,信息科技风险“三道防线,信息平安,信息平安目标,信息平安涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。,信息平安管理根本目的是银行切实履行保护金融消费者权益的职责，增强客户的信心。,信息平安体系框架,Page,12,信息平安,开放系统互连平安体系结构,Page,13,信息平安,信息平安保障体系根本框架,Page,14,行员的信息平安意识,应该经常对单位员工进行信息平安防范意识的培训，全面提高员工的整体网络平安防范意识。,信息平安保护意识,1、重要信息的保密、信息交换及备份,根据需要，在合同或个人协议中明确信息保密方面的承诺和要求；,明确与客户进行数据交接的人员责任，控制客户数据使用及分发；,明确第三方在授权使用客户数据时的保护责任；,禁止将客户数据或客户标识用于非工程相关的场合如培训材料,防范快递丧失、电子邮件是否涉及敏感信息、内部文件共享是否信息扩散,2、软件应用平安、计算机及网络访问平安,各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规那么,访问控制根本原那么：未经明确允许即为禁止访问,用户必须根据要求使用口令并保守秘密,Page,15,信息平安,3、人员平安,部门应明确员工平安培训需求，所有员工必须接受恰当的平安培训和指导,业务部门应该建立并维持员工平安意识程序，确保员工通过培训而精于工作技能，并将信息平安意识深入其工作之中,信息平安意识培训应该持续进行，员工有责任对培训效果提出反响,4、第三方管理平安,应该识别来自第三方的风险：保安、清洁、厂商、供给商外包人员，低质量的外包效劳也被视作一种平安风险。,协议明确信息保护，任何第三方禁止访问生产网络,第三方访问所用工具应经过相关部门检查，其访问应经过认证,5、移动计算与远程办公,所有连接办公网络的笔记本电脑或其他移动计算机，必须按照指定PC平安标准来配置，必须符合补丁和防病毒管理规定,用户不能将口令、ID或其他账户信息以明文保存在移动介质上,笔记本电脑遗失应按照相应管理制度执行平安响应措施,Page,16,信息平安,6、防范病毒和恶意代码,病毒：传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,蠕虫：网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散,木马：特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作,其他：逻辑炸弹、远程控制后门等,开展趋势；混合型蠕虫病毒，传播途径更加多样化网络、邮件、网页、局域网等、危害程度也越来越大。,通常的商业杀毒软件都能查杀根本的病毒、蠕虫和木马程序，但并不能防止未知病毒，需要经常更新,怎么做?,所有计算机必须部署指定的防病毒软件,防病毒软件必须持续更新,感染病毒的计算机必须从网络中隔离直至去除病毒,任何意图在内部网络创立或分发恶意代码的行为都被视为违反管理制度,发生任何病毒传播事件，相关人员应及时向IT管理部门汇报,Page,17,信息平安,7、口令平安,口令是抵御攻击的第一道防线，防止冒名顶替,口令也是抵御网络攻击的最后一道防线,按系统要求的策略设置口令，防止口令泄露。,8、电子邮件平安,据统计，有超过87的病毒是借助Email进入企业的,什么样的邮件标题你会翻开?，什么样的链接你会去点击？,不平安的文件类型：绝对不要翻开任何以下文件类型的邮件附件：.bat,.exe,.vbs,未知的文件类型：绝对不要翻开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接,翻开微软文件类型例如.doc,.xls,.ppt等的邮件附件或者内部链接，务必先进行病毒扫描，尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不平安类型的附件。,禁止邮件执行Html代码：禁止执行HTML内容中的代码。,防止垃圾邮件：通过设置邮件效劳器的过滤，防止接受垃圾邮件。,尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击。,Page,18,信息平安,8、介质平安管理,重要信息备份，确保介质平安。,9、警惕社会工程学,人是最薄弱的环节,如果没有戒心，很容易被人利用。不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息,10、应急响应和业务连续性方案,认真学习掌握业务系统的应急流程，遇到突发事件能快速有效的进行处置。,11、法律法规,刑法,计算机信息系统平安保护条例,计算机病毒防治管理方法,计算机信息网络国际联网平安保护管理方法,保守国家秘密法,国家平安法,Page,19,信息平安,国务院令147号：?中华人民共和国计算机信息系统,平安保护条例?,国务院令195号：?中华人民共和国计算机信息网络,国际联网管理暂行规定?,公安部令33号：?计算机信息网络国际联网平安保,护管理方法?,国务院令273号：?商用密码管理条例?,国务院令291号：?中华人民共和国电信条例?,国务院令292号：?互联网信息效劳管理方法?,国务院令339号：?计算机软件保护条例?等。,Page,20,