【等级保护】银行IT风险管理体系.ppt

《【等级保护】银行IT风险管理体系.ppt》由会员分享，可在线阅读，更多相关《【等级保护】银行IT风险管理体系.ppt（63页珍藏版）》请在三一办公上搜索。

1、2023/2/2,1,银行IT风险管理体系,2007-04-11,北京大学ACOM金融信息化研究中心,报告主题,2023/2/2,2,PAFIRC,报告提纲,银行IT风险管理实际应用,风险管理框架,银行IT 风险管理背景,Q&A,2023/2/2,3,911事件后摩根银行在几小时内迅速恢复营业,注重IT风险管理,2023/2/2,4,PAFIRC,银行风险框架,银行IT风险的类型,IT风险管理的必要性,IT风险管理与IT治理,返回,银行监管的要求,2023/2/2,5,PAFIRC,银行IT风险的类型,IT运行风险 IT资产脆弱性风险误操作风险计算机欺诈风险信息披露风险系统中断风险,银行IT风

2、险,基于IT的金融产品或服务风险,IT环境风险 法律遵循性风险战略风险组织风险物理环境风险外包风险,返回,2023/2/2,6,银行监管的要求,2023/2/2,7,IT风险管理的动机,信息技术的双刃性,新巴塞尔协议、萨班斯法案以及银监会的要求,银行内控的要求,返回,2023/2/2,8,IT风险管理的三维模型,返回,Z轴,X轴,Y轴,在银行信息系统生命周期各阶段，依照IT风险管理流程，以风险控制目标为驱动，实施IT风险管理，抵减银行IT风险。,2023/2/2,9,银行IT风险管理流程,IT风险管理流程,国际知名金融机构IT风险管理案例,国际标准,AS-NZS 4360,NIST SP800

3、-60,国内标准,GB 信息安全风险评估规范,返回,GB 信息安全等级保护系列标准,2023/2/2,10,资产登记表,风险值=R（A，T，V，M）=R(C(A，T，V，M)，L(T，V，M),风险权重,返回,确定信息系统安全保护等级,GB信息安全等级保护,Basel II和萨班斯法案的要求,Basel II的要求,萨班斯法案的要求,制定详细的风险处理计划,输出表格,Basel II的要求,2023/2/2,11,信息系统安全等级保护调查表,返回,2023/2/2,12,信息系统对象确立报告,返回,2023/2/2,13,资产登记表,返回,安全-责任矩阵,2023/2/2,14,安全-责任矩阵

4、,返回,2023/2/2,15,PAFIRC,checklist,返回,由风险控制目标导出,2023/2/2,16,计算各风险的权重:应用AHP、群决策及聚类分析法,应用AHP理论，建立银行IT风险层次结构模型应用群决策思想和AHP理论，多个专家决策群体给出各自的风险判断矩阵 应用群决策思想、AHP理论和最短距离聚类分析法，计算专家的权值 计算判断矩阵可信度权值 计算各风险的权重,返回,2023/2/2,17,PAFIRC,国际知名金融机构IT风险管理案例,返回,2023/2/2,18,PAFIRC,信息系统生命周期,计划与组织,设计与获取,交付与实施,运行与维护,废弃与终止,系统生命周期,返

5、回,2023/2/2,19,PAFIRC,控制目标的产生,返回,COBIT 4.0,ISO 17799,NIST SP 800-53,IT风险控制目标,World Bank Checklist,信息系统安全等级保护,2023/2/2,20,PAFIRC,现有几个标准比较表,返回,2023/2/2,21,PAFIRC,IT风险控制目标,风险控制目标,安全策略安全组织资产管理人力资源安全物理和环境安全通信及运行管理访问控制系统的获取、研发与维护信息安全事件管理业务持续性管理遵循性管理,PO：计划与组织 DA：设计与获取DI：交付与实施OM：运行与维护DT：废弃与终止,通用控制目标,Text,分阶段

6、制定的控制目标,Text,在分阶段制定控制目标的基础上制定系统生命周期各阶段通用的控制目标。,37个一级控制目标，212个二级控制目标；二级控制目标分为基本要求和补充要求。,返回,2023/2/2,22,PAFIRC,举例：通用类安全策略,返回,2023/2/2,23,PAFIRC,举例：PO阶段控制目标,返回,2023/2/2,24,PAFIRC,IT资产配置与变更流程,流程图,返回,安全保护等级不同的IT资产有不同的安全控制要求,2023/2/2,25,IT资产配置与变更流程图,PAFIRC,2023/2/2,26,PAFIRC研究理念,银行IT系统具备生命周期,IT风险管理理所当然应当贯

7、穿生命周期的始终，IT风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求,生命周期,IT风险的管理和控制不是一劳永逸的活动，而是随着经营环境、业务目标，企业战略等的改变相应提高控制要求，开始新的循环。所以银行的IT风险管理活动是持续改进的控制过程,过程控制,银行IT风险管理的核心是对IT资产的管理，IT资产总是归属于一定的子系统的，风险管理要考虑成本-收益就必须对系统进行等级划分，实施不同的程度地保护，划分考虑资产所在子系统的等级以及资产在子系统中的等级,等级保护,IT资产必须进行分类管理、明确责任的同时要划定资产的名义归属者,责任主体,2023/2/2,27,银行IT

8、风险管理的应用-IT审计,IT审计的参考标准PAFIRC银行IT风险阶段控制目标可以作为IT审计的标准参考，检查IT风险管理的绩效IT审计内部控制调查PAFIRC银行IT风险安全检查表：作为基础调研工具，识别关键风险和威胁，作为风险分析的前提也可以作为内部控制调查的依据IT审计的法律法规环境PAFIRC银行 IT风险管理遵循性指引：萨班斯404条款的要求，巴塞尔协议对金融监管的要求，以及国内法规条例的符合性程度等。,2023/2/2,28,http:/,Thank You!,2002年2月18日,APEX 培训中心,像总经理那样思考,请按自已最希望发展的能力排序,管理能力 领导能力 经营能力

9、专业能力,宁做一天的狮子，不做一世的绵羊。王侯将相，宁有种乎？,只有一个人能给你自尊，那就是你自己。,根据全美MBA评定委员会最喜欢看到年轻的MBA的素质是：,善与人交往,与人沟通,口齿伶俐,有说服力,能看懂报表,CEO的最适合人选首先应具有超人的管理才能和领导能力，而不是专业知识。,全美一百多家工商财经记者一致认为：,我相信你们能胜任！,为什么未能达成自已所设定的目标？,“人并不是命运的囚徒，,富兰克林D罗斯福,而是自己思想的囚徒”,比如看上去很傻、犯错误、寻找赞成、不是你的最佳表现、落伍了,第二个自我设陷不去花时间考虑该采取不同的做法。,第一个自我设陷害怕,一、评估领导管理能力的9个原则,

10、9、尊重别人。尊重别人的意见和工作；不要忽视别人的形象和地位。,1、唤醒他人的忠诚及热情的才能。具有人格魅力，受人爱戴，能明白别人需要什么，有强烈的使命感。,2、为人着想。向有需要的人提供培训、提出建议，并给予指导，积极倾听并暗示对方你在倾听；对初来乍到者给予更多的帮助。,3、启发智慧。从别人那里得到原因和证明强于不可靠的意见；允许其他人用新方法思考旧问题；用一种能促使别人思考他们以前从未考虑的问题的方式进行交流。,4、勇气。即使这种思想不流行也要勇于接受；不要为了避免冲突而屈服于别人的压力或意见，要为公司和客户考虑，即使这会给自己带来困难,5、有责任感。信守承诺；勇于承担责任和错误；不要依赖

11、老板。,6、灵活性。在变化的环境中高效地发挥作用；当很多事情同时发生时，要同时处理若干件事，因时而变。,7、正直。要做合乎伦理和道德的事情；不要把辱骂作为管理者的特权，这是始终不变的。,8、判断。通过逻辑分析和比较，对行为作出正确的评价；将相关的事实和因素归纳在一起；利用过去的经验和信息来为今天的决策服务。,对比上述9个原则，你呢？,准备反思自己：（按先后次序说出你最喜欢的三种动物）,评价自我：a我怎么看待自己。b别人怎么看待我。,全面分析自己的商业经营能力、业绩、分析思考能力、组织能力、影响力、领导能力，以及专业技术能力,全面审视自己：,正确的思考应该是控制消极想法，相信自己能做到。学会自我

12、交谈，每天对自己谈自己的目标15遍。,2005年一个优秀的广告领导人 的素质：,1、梦想和理念2、领导能力3、预见力4、创造力5、挑战精神6、快速经营能力7、对广告的独特观点8、英语水平9、MBA资格10、说服能力,必备,二、如何领导你的部下?,1、评价你的员工能力,管理就是做一些事情，来阻止那些引起员工工作失败的讨厌机会的出现。,预防性管理，就是在特定的工作环境中为实现预想的结果而必须采取的干预手段。,引入一个重要的概念：,在工作开始之前你要做的事：,1、让部下知道要让他们干什么。,2、看看部下是否知道该怎样做。,3、让部下清楚他们为什么要做这件事。,4、如果你的部下觉得你的方法行不通，让他

13、们相信你的 方法会奏效。,5、如果你的部下认为他们的方法好，要做出令人信服的 解释为什么他们的方法不好。,8、证实工作并没有超出部下的个人限制。,9、证实没有超出部下控制范围的障碍。,10、证实工作是能够完成的。,6、让部下知道工作的优先解决性。,7、让部下相信将来的负面结果不会发生。,在工作开始之前你要做的事：,工作开始之后你要做的事：,1、经常向部下的工作提供特别的反馈。,2、经常对于好的工作表现进行口头赞赏,3、搬开障碍或者给部下一条绕开障碍的策略。,4、让部下知道哪些工作需要优先解决。,5、排除影响好的工作行为的负面结果或者通过正面 的加强来平衡负面结果。,6、否定对部下的差行为仍能得

14、到正面结果定论。,7、只在一贯的表现差的部下身上使用负面结果（进步的规则）,请记住：,你的部下是因为工作而得到认可，而你是因为管理他们的工作而被认可。当你看到你的部下的成绩时，请立即向你的部下表示口头赞许，做到尽可能快的在行为发生之后用口头赞赏描述特殊行为以来持续其不断发生。,三、怎样做好广告这门生意？,（一）超越竞争对手的策略,竞争对手：国际4A公司、国内一线的4A公司、国内一线 的策划机构、本区域有特长的中小广告公司。,A：成本领导策略（CostLeadershipStrategy）,B：产品差异化策略（ProductDifferentiationStrategy）,较竞争对手而言，提供更

15、好的产品与服务品质。提供给顾客更新、更符合需要的产品或服务功能。更接近顾客，用个性化、定制化的服务满足客户。,（二）形成我们优势竞争力的六大要素：（5M+1I）,1）掌控资讯的能力（information）,2）人力资源(HumanResource),3）管理能力(management),4）市场能力(marketing),5）技术能力(method),6）资金能力(money),（三）关于代理费（佣金）和服务费的优劣,佣金体系的缺点：,1）15%的佣金与广告代理工作努力的结果并没有 联系，即佣金多少与代理工作努力程度无关。,2）大客户补助了较小客户。,3）利润率高的客户补助了获利不那么多的客

16、户。,4）将佣金控制在15%以内的做法导致了一个后果，那就是工作由那些能力低的雇员来执行,5）代理商会想方设法附加一些不必要的工作，以 显示一直在持续努力。,6）代理商总试图建议提高广告预算，从而提高其代理收入。,7）佣金体系导致代理商在推荐媒体时缺乏目标，减少从事 线下项目的活动。,8）处在15%的佣金体系内的广告代理商倾向于扩展他们的 服务以提高收益，而不管他们的客户究竟是否需要这种 额外服务，最后的结果就是，许多客户为他们根本不需 要有服务付款。,9）通货膨胀时期，媒体成本上升。广告代理的收益因为建 立了一种自动防止通胀受损的对策而得到了保障，付出 代价的是广告主。,10）广告主被迫使用

17、一家指定的代理商，从而无法通过内部 运作或购买自由职业者的服务来完成相关工作。,佣金体系的缺点：,2002年起APEX将全面导入服务费体系，从代理商角度收入稳定且服务能持久深入自然好处多多，但从广告主方面来看：,1）服务费体系基本上是一种成本附加的系统，它孕育了效率低下的因素；佣金体系则是代理降低成本的一条原则。,2）服务费体系会导致在广告代理商之间引发一场价格战，因此很有可能忽略了一些本应提供给客户的服务；服务费体系同样可能导致广告状况的恶化。,3）对管理者来说，服务费体系非常难于管理，需要经常审查。,4）服务费的设定可能导致在广告代理商及客户之间产生裂缝。,5）使用服务费体系，媒体费用的减

18、少并非是节约可以做到的，代理商的服务费仍然必须支付。,6）与代理商打交道时，使用服务费体系导致客户陷入了不必要的匆忙，因为实际耗费时间都将更加直接地计入服务费。,7）佣金体系刺激代理增加客户的业务量，费用也随之增多。,8）使用佣金体系，代理商被迫在质量而价格的基础上展开竞争。实际上因为评估广告效果的可能性越来越大，广告造成的影响力应该成为代理商收取费用的准则，简而言之，有了结果再付钱。,应对方法：成功的伙伴关系需要双方经营，仅有一方努力会使之松懈。最好的办法是努力建立一个联合小组，其成员部分来自于客户，部分来自于代理商，他们像团队一样紧密团结在一起工作。,四、关于策划,就是寻找那条最近的路。,

19、条条大路通罗马，,策划,知识的五个层次：,1）信息2）经验3）智慧4）思想5）理论,积累+吸收新事物+把握事物本质+专业化行家=策划能力,策划是全局战略性的，而企划是局部战术性的。,创新分为横向创新（洋为中用，古为今用）纵向创新（灵魂和核心方面的突破）预见力的前提是看得多，见得广。眼见宽了，自然就有预见力。有了对社会各种资源的熟悉和控制，才谈得上整合力。策划的根本是捕捉个性化，人性化的东西。,4A公司面对的是成熟的品牌及成熟的市场，通常先进行规范的市场调查得出精确的结论后再进行市场定位和策略设计，这种做法主要是挖掘当前市场。,而我们面对的绝大部分是中小企业、新兴行业和不成熟的市场，所以我们要做

20、的是创造市场。（历史上APEX的成功案例无一不是如此）今后的市场是狭路相逢，勇者胜，智者赢。创新力、预见力、整合力是我们从事策划的三大法宝。,创意.梦想.激情.智慧 APEX广告人,要想具备高的策划水平，就必须勤于思，勤于行。十个想法，不如一个做法。只有丰富的实战经验，更多的社会角色体验，才会成为,五、我们的公司价值是希望的公司、快乐的员工,希望的公司应该是：,1、高增长的公司，速度为王。,2、核心竞争力突出的公司,3、有人才得以全面发挥的环境机制。,4、知识资产与知识管理很好的公司,5、令同行与客户称道的公司，具有行业领导地位。,6、多才多艺、博大、专业的整合行销传播公司。,7、建立一个有条不紊的能持续制造出具有稳定性高 质量产品的工作团队。,8、创造出诚实、有趣、友好、轻松的环境。,快乐的员工：,1、志同道合，为了共同目标而奋斗的事业伙伴。2、安全感很高。3、个人价值得以充分体现。4、与同业的员工相比有优越感、自豪感和成就感。5、个人能力不断攀升。6、良好的同事关系，默契和令人愉悦的团队。7、在这里能创造出伟大的作品。8、享受工作和生活的快乐。,用自己的行为与思考去影响别人,最后，我们要做的是：,热忱面对员工,心平气和地解决问题,谢谢大家,