如何管理及預防 EUC 風險
「功能表」按鈕能帶您前往各個章節。
每個章節末的「首頁」按鈕會帶您回到課程的開頭。
「資源」按鈕提供實用連結清單。
「切換語言」按鈕讓您可切換不同語言。
按下「關閉」按鈕以結束目前的培訓階段,並關閉課程視窗。
如果您是使用個人裝置直接透過網際網路(Citi 之外的網路)上課,部分連結如果連結至 Citi 內部網路內容者,可能無法運作。這並不會影響您完成本課程的能力。
ERMF 為全公司內的風險管理建立了全面、整合及一致的方法。
ERMF 包含四個支柱,如下圖所示。
請注意:為更加了解 Citi 如何管理某些風險,本次培訓會特別聚焦於 ERMF 第三支柱(風險管理)中的「控制」。其餘支柱則在其他 ERMTP 培訓計畫中討論。
Citi ERMF 架構的四大支柱。
第一支柱:文化,包括價值觀、行為和領導原則及績效管理
第二支柱:治理,包括董事會與管理階層、董事會監督、授權、高階主管、委員會與向上級呈報、防線以及政策、標準和程序。
第三支柱:風險管理,涵蓋風險管理生命週期(識別、測量、監測、控制、報告)、財務風險(信用、市場(上市)、市場(非上市)、流動性)以及非財務風險(營運、合規、策略及聲譽)。
第四支柱:企業計畫涵蓋企業風險辨識、風險偏好與限額、壓力測試、策略規劃以及新活動核准。
支援能力包括:人才、績效管理與薪酬;溝通與培訓;科技與資料;以及模型與分析。
EUC 工具會為組織帶來風險。
儘管 EUC 可以提高效率,但如管理不當,也可能帶來風險。在像 Jared 這樣的案例中,當 Citi 沒有可用的經核准的技術解決方案時,Citi 員工可能會建立 EUC。
若無適當的控制,EUC 可能會使 Citi 面臨資料洩露、資料遺失或損壞的風險,進而對本公司或客戶造成損害。
如欲繼續,請點擊每個按鈕,以顯示這些風險的影響。
資料完整性
EUC 可能包含不準確或過時的資料,進而影響財務和監管報告或關鍵的 Citi 應用程式。
業務流程中斷
EUC 中的錯誤可能會導致交易核准作業或關鍵營運流程中斷。
合規缺失
EUC 可能無法完全遵守 Citi 的 IT Security Standards,包括但不限於技術、網路安全、資料隱私和跨境等關鍵政策,進而增加資料洩露的潛在風險。
Citi 職員身為風險管理員,有責任降低 Citi 業務流程中對 EUC 的依賴性。在建立新的 EUC 或繼續使用現有 EUC 前,請考慮重組流程或考慮經 IT 核准的替代方案,以消除或降低風險。
經 IT 核准的替代解決方案包括 IT-enabled Smart Solution (ITeSS) 或 Citi 核心 IT 系統技術。
如欲繼續,請點擊每個可能的替代方案,以了解更多資訊。
變更或修改業務流程,進而消除 EUC。
前往下一個按鈕
查看現有的 Citi 系統是否已提供您所需的功能,或者系統是否可以強化。
前往下一個按鈕
ITeSS 是由最終用戶與業務和職能 IT 協同合作,使用經核准的 ITeSS 軟體,在符合 ITeSS Standard 之 Citigroup Systems Inventory(CSI) 註冊平台上所建立。
ITeSS 具有較高層次的 IT 控制和監督,使其成為比 EUC 更安全的替代方案。
識別
利用 EUC 和 ITeSS 決策樹來識別工具是否屬於 EUC。
此工具會引導您回答一系列問題,以準確為工具分類。
請注意:決策樹也可識別工具是否為 ITeSS。
本培訓使用 EUC 和 ITeSS 決策樹來識別 EUC。您可以在 EUC & ITeSS Decision Tree and Quick Reference Guide中存取該樹狀圖。
建立前期
在建立新的 EUC 之前,請執行充分的建立前期盡責審查。
如果該工具被識別為 EUC,請在 EUC Inventory Tool中註冊。
如此有助於 Citi 追蹤及管理整個組織中與 EUC 相關的潛在風險。
評估與 EUC 相關的風險。風險評估分類為嚴重、高、中和低風險 EUC。
確保 EUC 具有適當的控制措施,以減輕對資料、流程和合規性的潛在負面影響,例如存取和權限控制、資料完整性和版本控制。
如「降低對 EUC 的依賴性」部分所述,請考慮使用經 IT 核准的 EUC 替代方案,如此有助於消除或降低風險。
Jared 開發了一個包含邏輯(不受 Information Technology 核准流程控制)的試算表,用於月底的報告,然後再上傳到 Citi 系統。
這會被視為哪種工具?
從四個選項中選取最恰當的答案,然後選取「提交」。
請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵。接著您將能夠再次使用空白鍵來選取選項按鈕。
該工具被視為 EUC,因為它符合 EUC 準則,例如:由最終用戶開發,包含邏輯,不受 Information Technology 核准流程控制,支援定期、重複的業務流程,並用於上傳至授權資料來源 (SoR/AR)。
該工具被視為 EUC,因為它符合 EUC 準則,例如:由最終用戶開發,包含邏輯,不受 Information Technology 核准流程控制,支援定期、重複的業務流程,並用於上傳至授權資料來源 (SoR/AR)。
該工具被視為 EUC,因為它符合 EUC 準則,例如:由最終用戶開發,包含邏輯,不受 Information Technology 核准流程控制,支援定期、重複的業務流程,並用於上傳至授權資料來源 (SoR/AR)。
答案正確。
該工具被視為 EUC,因為它符合 EUC 準則,例如:由最終用戶開發,包含邏輯,不受 Information Technology 核准流程控制,支援定期、重複的業務流程,並用於上傳至授權資料來源 (SoR/AR)。
答案不正確。
請參閱「End User Computing (EUC) 是什麼?」部分。
答案不正確。
請參閱「End User Computing (EUC) 是什麼?」部分。
下列何者為降低 EUC 相關風險的解決方案?
從四個選項中選取最恰當的答案,然後選取「提交」。
請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵。接著您將能夠再次使用空白鍵來選取選項按鈕。
降低 EUC 相關風險的解決方案包括核心 IT 系統、IT-enabled Smart Solution及流程再造,這些方案都提供更高層次的控制,使其成為比 EUC 更安全的替代方案。
降低 EUC 相關風險的解決方案包括核心 IT 系統、IT-enabled Smart Solution及流程再造,這些方案都提供更高層次的控制,使其成為比 EUC 更安全的替代方案。
降低 EUC 相關風險的解決方案包括核心 IT 系統、IT-enabled Smart Solution及流程再造,這些方案都提供更高層次的控制,使其成為比 EUC 更安全的替代方案。
答案正確。
降低 EUC 相關風險的解決方案包括核心 IT 系統、IT-enabled Smart Solution及流程再造,這些方案都提供更高層次的控制,使其成為比 EUC 更安全的替代方案。
答案不正確。
請參閱「如何降低 EUC 風險」部分。
答案不正確。
請參閱「如何降低 EUC 風險」部分。
下列何者不屬於 End User Computing (EUC) 工具的相關風險?
從四個選項中選取最恰當的答案,然後選取「提交」。
請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵。接著您將能夠再次使用空白鍵來選取選項按鈕。
實體安全不屬於 EUC 工具的相關風險。End User Computing 面臨資料完整性受影響、業務流程中斷及合規性缺失(不遵守 Citi IT’s Security Standards)的風險。
實體安全不屬於 EUC 工具的相關風險。End User Computing 面臨資料完整性受影響、業務流程中斷及合規性缺失(不遵守 Citi IT’s Security Standards)的風險。
實體安全不屬於 EUC 工具的相關風險。End User Computing 面臨資料完整性受影響、業務流程中斷及合規性缺失(不遵守 Citi IT’s Security Standards)的風險。
答案正確。
實體安全不屬於 EUC 工具的相關風險。End User Computing 面臨資料完整性受影響、業務流程中斷及合規性缺失(不遵守 Citi IT’s Security Standards)的風險。
答案不正確。
請參閱「End User Computing (EUC) 是什麼?」部分。
答案不正確。
請參閱「End User Computing (EUC) 是什麼?」部分。
哪種資源可以協助您判斷自己是否擁有 EUC?
從四個選項中選取最恰當的答案,然後選取「提交」。
請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵。接著您將能夠再次使用空白鍵來選取選項按鈕。
EUC 和 ITeSS 決策樹是一系列用於判斷工具是否屬於 EUC 或 ITeSS 的問題和準則。
EUC 和 ITeSS 決策樹是一系列用於判斷工具是否屬於 EUC 或 ITeSS 的問題和準則。
EUC 和 ITeSS 決策樹是一系列用於判斷工具是否屬於 EUC 或 ITeSS 的問題和準則。
答案正確。
EUC 和 ITeSS 決策樹是一系列用於判斷工具是否屬於 EUC 或 ITeSS 的問題和準則。
答案不正確。
請參閱「如何降低 EUC 風險」部分。
答案不正確。
請參閱「如何降低 EUC 風險」部分。
識別、註冊及風險評估是在發現 EUC 時應執行的前三項責任。
從四個選項中選取最恰當的答案,然後選取「提交」。
請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵。接著您將能夠再次使用空白鍵來選取選項按鈕。
發現 EUC 時,您身為風險管理員的責任就是遵循 EUC 生命週期中的步驟,包括識別與建立前期、註冊、風險評估、控制實施及風險降低。
發現 EUC 時,您身為風險管理員的責任就是遵循 EUC 生命週期中的步驟,包括識別與建立前期、註冊、風險評估、控制實施及風險降低。
發現 EUC 時,您身為風險管理員的責任就是遵循 EUC 生命週期中的步驟,包括識別與建立前期、註冊、風險評估、控制實施及風險降低。
答案正確。
發現 EUC 時,您身為風險管理員的責任就是遵循 EUC 生命週期中的步驟,包括識別與建立前期、註冊、風險評估、控制實施及風險降低。
答案不正確。
請參閱「如何降低風險」部分。
答案不正確。
請參閱「如何降低風險」部分。
移至「關閉功能表」按鈕
移至「關閉」按鈕
