科技风险管理、电子银行业务及业务持续运作的监管课件

中国银监会信息科技风险监管培训科技风险管理、电子银行业务及业务持续运作的监管2大纲近期香港电子银行发展状况金管局就电子银行与科技风险管理的监管架构科技风险状况系统示范保安事故与诈骗事件简介3近期香港电子银行发展状况4香港网上银行的发展提供网上银行服务的银行：51家银行约占银行体系92%的客户存款总额与81%的资产总值(已扣除准备金)5家银行透过流动电话或PDA(个人数码助理或个人电子手帐)提供流动电话理财服务宽带上网登记用户：约有186万个（截至2007年10月）(资料来源：电讯管理局)5网上理财户口的增长2001年底*2002年底2003年中2003年底2004年中2004年底2005年中2005年底2006年中2006年底2007年中个人工商企业1.1m1.6m1.8m网上理财户口数目2.2m2.5m2.8m3k31k46k67k87k108k3.0m131k3.3m162k3.6m208k3.8m234k4.4m266k6网上银行发展－个人户口交易笔数交易金额金融交易额及交易笔数0123452H20041H20052H20051H20060200400600800100012001400160018002000交易笔数(百万)港元(亿)2H20061H200767220024002600280030007网上银行发展－工商企业户口金融交易额及交易笔数01002003004005006007008009002H20041H20052H20051H20060500100015002000250030003500400045005000交易笔数(千)港元(亿)交易笔数交易金额100011001200600070008000900010000110002H20061H20078挑战与风险9电子银行风险与技术风险使用互联网作为新型的银行服务管道将在某种程度上改变银行的风险形态，并且对银行的风险控制提出新的挑战与电子银行相关的基本风险类型可能没有大的变化，但风险产生的具体方式，以及潜在风险规模和对银行的影响速度，对于银行管理和银行监管提出新的课题除了战略风险外，操作风险、技术风险、信誉风险、法律风险，信用与资产流动性风险都需要考虑10香港网上银行诈骗香港的银行欺诈电邮和伪冒网站个案数目从2003年的8宗大幅增加至2004年的34宗，之后个案数目才减少，但近年又有上升的趋势:于2004年9月发生第一宗有金钱损失的个案26名受害人共损失140万港元2003年-8宗2004年-34宗2005年-25宗2006年-17宗2007年-27宗8342517270510152025303520032004200520062007+313%86欺诈电邮和伪冒网站个案数目11监管架构国际合作政策与指引认知与培训监管控制自我评估持续监察与审查基础电子银行与科技风险管理规管架构：12政策与指引政策与指引基础电子银行与科技风险管理规管架构：13政策与指引科技风险管理、电子银行《科技风险管理的一般原则》建议文件《电子银行的监管》建议文件伪冒网站及欺诈电邮指引及通告绝不会透过电邮询问客户的敏感数据提供方法使客户能确保与真正的银行网站通讯定期寻找互联网上可疑的伪冒网站网上证券买卖系统容量规划指引及通告持续业务运作《持续业务运作规划》建议文件有关流感大爆发的防备工作之现场审查结果之通告://双重认证于2004年6月向银行发出指引﹐要求各银行在2005年6月底前推出双重认证的身分核实方法强制所有高风险的个人网上银行交易必须使用双重认证身分核实，不使用双重认证的市民将不能进行高风险的网上银行交易直至目前,有32间银行已经推行双重认证于高风险的零售网上银行交易，约有160万零售网上银行户口已登记使用15为什么使用双重认证为什么需要双重认证?用户名称和密码保安程度不足够—出现利用欺诈电邮，伪冒网站，计算机病毒和「特洛伊木马」程序等盗取用户名称和密码的案例什么是双重认证?例如:用户名称和密码例如:电子证书，保安编码器或手提电话窃贼不能经互联网遥远盗取用户拥有的工具，所以明显更为安全你已知的资料你拥有的工具16由保安编码器发出只可使用一次的密码电子证书通过手机短讯发出只可使用一次的密码双重认证方法的例子SecurityToken17最新发展直至2007年中,有32间银行已经推行双重认证于高风险的零售网上银行交易9%1%4%1%85%电子证书短讯保安显示器电子证书及短讯电子证书及保安显示器18最新发展约有160万零售网上银行户口已登记使用双重认证3%29%68%電子證書短訊保安顯示器19认知与培训认知与培训基础电子银行与科技风险管理规管架构：20认知与培训内部培训在推行现场科技审查前，提供培训予电子银行专责小组及一般银行监管职员通过刊物与工作坊为一般银行监管职员提供定期培训银行业在发布信息科技风险、持续业务运作规划及电子银行监管指引前，与银行业进行正式/非正式咨询举办各种研讨会(例如：最新科技犯案行骗手法、流感的紧急措施)以提高银行业的认知消费者教育积极参与香港银行公会之电子银行小组，跟业界合作提供公众网上银行安全教育21持续监察与审查持续监察与审查基础电子银行与科技风险管理规管架构：22持续监察与审查2002年开始推行现场审查计划至今已进行约200项这类审查制定科技风险状况分析制度已完成约90多家银行或有关机构的科技风险状况分析23示范—科技风险状况系统24现场审查流程检视科技风险状况挑选银行落实审查范围及时间表进行现场审查完成审查项目清单及编制审查结果审阅审查项目清单及审查结果审阅整体风险状况及风险管理评级审阅报告初稿跟进审查结果审查前的准备工作更新科技风险状况现场审查准备阶段审查结果及报告整体评级及跟进结果25监管控制自我评估监管控制自我评估基础电子银行与科技风险管理规管架构：26监管控制自我评估协助金管局安排监管资源的优先次序，并充分涵盖各主要银行已经向香港61家银行推出自我评估计划取得正面响应，包括：协助银行管理层安排资源运用的优先次序，以集中处理高风险事项共享制定基准的数据及就共同关注的事项交换信息采用自动化设施，减少重复输入的工序27示意评估结果及报表0102030405060708090100管控程序的百分比蓝色红色黄色绿色蓝色8239035301122红色1002770100100黄色1651012301768017550绿色7547977720977729100714398总体业界平均结果最差表现的银行最好表现的银行电子银行业界平均结果最差表现的银行最好表现的银行持续业务运作规划业界平均结果最差表现的银行最好表现的银行科技风险管理业界平均结果最差表现的银行最好表现的银行总体电子银行持续业务运作规划科技风险管理28示意评估结果及报表(续)银行数目1.高层监督和治理1.1.1.制定策略、流程和职责1.1.2.业务连续性规划的组织1.1.3.监测和报告机制1.1.4.独立评估机制11.1.5.管理层签报机制2.业务规划与开发2.1.1.规划的基本原则12.2.1.重要部门设置12.2.2.恢复计划的时间进度表112.3.1.业务恢复机制12.3.2.业务连续性规划最低要求2.4.1.危机管理小组112.4.2.危机管理指挥中心12.4.3.业务重置和工作小组12.5.1.危机管理流程设置12.5.2.业务重置12.5.3.突发事件应急处理联络和恢复项目列表12.5.4.技术恢复方案2.6.1.重要信息的定义2.6.2.重要信息记录管理2.6.3.联络沟通机制2.7.1.其他风险化解和转移措施3.备份中心3.1.1.业务重置备份中心的建设3.1.2.备份中心的启动就绪要求3.1.3.技术恢复备份中心的建设3.1.4.电信网络连接备份3.1.5.外包备份中心的管理3.1.6.互惠的业务恢复协议4.测试与维护4.1.1.业务连续性规划的测试频度14.1.2.业务连续性规划的测试范围14.1.3.测试文档管理14.1.4.业务连续性规划测试的后评价14.2.1.变更管理14.2.2.业务连续性规划文档的存取管理4.2.3.外部服务提供商管理140455020253035051015842728141138841163354421236940735842620104074374354521830842842264210399409405441238484954312372128113854421038347123845501238202530350510154029示意评估结果及报表(续)30示意评估结果及报表(续)31国际合作国际合作基础电子银行与科技风险管理规管架构：32国际合作由于电子银行诈骗活动跨越国界，金管局已积极参予国际银行监管机构科技监管小组：制定最新联络名单，以加快小组成员互通消息，从而更有效地处理跨境电子银行事故定期参与会议讨论有关电子银行监管的课题及最新的电子银行诈骗手法33保安事故与诈骗事件简介34保安事故与诈骗事件简介伪冒网站欺诈电邮连接伪冒网站「特洛伊木马」程序修改”host”档案连结到伪冒网站「中间人」技术