银行信息科技简介新员工培训.ppt

2015.07,银行信息科技简介,内容,Page 2,Page 3,作用,运用IT技术，满足用户公司治理、经营管理、业务发展、和风险控制，以增强核心竞争能力和可持续发展能力。 银行经营的本质：盈利性、流动性、安全性。 IT技术构造的核心竞争力：盈利能力、创新能力、抗风险能力,信息化职能,Page 4,管理,职能,信息科技治理的目标：确保必要的资源投入，使信息科技战略与银行战略一致。,Page 5,职能,Page 6,职能,应用架构 各应用系统之间的相互配合关系，由业务流程驱动。 技术架构 技术标准、技术体系、基础软件、灾难备份 基础架构 主机、网络、存储、云 数据架构 数据的分布、集中、传输、备份、使用、管控 安全架构 包括安全技术与安全管理两个方面，其中安全技术是安全保障的基础，安全管理是安全技术手段真正发挥效益的关键。,Page 7,风险,Page 8,信息科技风险三个因素、八个源头,自然灾害 系统故障 设计缺陷 内部管理 运营服务 日常维护更新 用户使用 外来入侵与破坏,风险,Page 9,特征,Page 9,破坏性强,影响面广,隐蔽性高,专业性强,基于上述风险来源及特点，银行必须建立风险事前防范、事中控制、事后监督和纠正的机制，才能有效防范各类风险、降低损失。,风险,Page 10,风险,信息科技风险管理的背景 银行业信息科技业务的支撑作用越来越大,风险集中度越来越高、影响越来越大，信息安全问题日益突出，信息科技风险已成为影响银行业稳健发展的关键因素 信息科技风险管理架构和程序,Page 11,信息科技管理,审计,风险管理,信息科技风险“三道防线”,信息安全,信息安全目标 信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。 信息安全管理根本目的是银行切实履行保护金融消费者权益的职责，增强客户的信心。 信息安全体系框架,Page 12,信息安全,开放系统互连安全体系结构,Page 13,信息安全,信息安全保障体系基本框架,Page 14,行员的信息安全意识 应该经常对单位员工进行信息安全防范意识的培训，全面提高员工的整体网络安全防范意识。 信息安全保护意识 1、重要信息的保密、信息交换及备份 根据需要，在合同或个人协议中明确信息保密方面的承诺和要求； 明确与客户进行数据交接的人员责任，控制客户数据使用及分发； 明确第三方在授权使用客户数据时的保护责任； 禁止将客户数据或客户标识用于非项目相关的场合如培训材料 防范快递丢失、电子邮件是否涉及敏感信息、内部文件共享是否信息扩散 2、软件应用安全、计算机及网络访问安全 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则 访问控制基本原则：未经明确允许即为禁止访问 用户必须根据要求使用口令并保守秘密,Page 15,信息安全,3、人员安全 部门应明确员工安全培训需求，所有员工必须接受恰当的安全培训和指导 业务部门应该建立并维持员工安全意识程序，确保员工通过培训而精于工作技能，并将信息安全意识深入其工作之中 信息安全意识培训应该持续进行，员工有责任对培训效果提出反馈 4、第三方管理安全 应该识别来自第三方的风险：保安、清洁、厂商、供应商外包人员，低质量的外包服务也被视作一种安全风险。 协议明确信息保护，任何第三方禁止访问生产网络 第三方访问所用工具应经过相关部门检查，其访问应经过认证 5、移动计算与远程办公 所有连接办公网络的笔记本电脑或其他移动计算机，必须按照指定PC安全标准来配置，必须符合补丁和防病毒管理规定 用户不能将口令、ID或其他账户信息以明文保存在移动介质上 笔记本电脑遗失应按照相应管理制度执行安全响应措施,Page 16,信息安全,6、防范病毒和恶意代码 病毒：传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染 蠕虫：网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散 木马：特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作 其他：逻辑炸弹、远程控制后门等 发展趋势；混合型蠕虫病毒，传播途径更加多样化（网络、邮件、网页、局域网等）、危害程度也越来越大。 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序，但并不能防止未知病毒，需要经常更新 怎么做? 所有计算机必须部署指定的防病毒软件,防病毒软件必须持续更新 感染病毒的计算机必须从网络中隔离直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件，相关人员应及时向IT管理部门汇报,Page 17,信息安全,7、口令安全 口令是抵御攻击的第一道防线，防止冒名顶替 口令也是抵御网络攻击的最后一道防线 按系统要求的策略设置口令，防止口令泄露。 8、电子邮件安全 据统计，有超过87的病毒是借助Email进入企业的 什么样的邮件标题你会打开?，什么样的链接你会去点击？ 不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat, .com, .exe, .vbs 未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接 打开微软文件类型（例如 .doc, .xls, .ppt等）的邮件附件或者内部链接，务必先进行病毒扫描，尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件。 禁止邮件执行Html代码：禁止执行HTML内容中的代码。 防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件。 尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击。,Page 18,信息安全,8、介质安全管理 重要信息备份，确保介质安全。 9、警惕社会工程学 人是最薄弱的环节,如果没有戒心，很容易被人利用。不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 10、应急响应和业务连续性计划 认真学习掌握业务系统的应急流程，遇到突发事件能快速有效的进行处置。 11、法律法规 刑法 计算机信息系统安全保护条例 计算机病毒防治管理办法 计算机信息网络国际联网安全保护管理办法 保守国家秘密法 国家安全法,Page 19,信息安全,国务院令147号：中华人民共和国计算机信息系统 安全保护条例 国务院令195号：中华人民共和国计算机信息网络 国际联网管理暂行规定 公安部令33号： 计算机信息网络国际联网安全保 护管理办法 国务院令273号：商用密码管理条例 国务院令291号：中华人民共和国电信条例 国务院令292号：互联网信息服务管理办法 国务院令339号：计算机软件保护条例 等。,Page 20,