新巴塞爾協(xié)議---銀行信息安全風(fēng)險管理

銀行信息安全風(fēng)險管理-新巴塞爾協(xié)議導(dǎo)讀:新巴塞爾協(xié)議強(qiáng)調(diào)在進(jìn)行風(fēng)險管理的時候，不僅僅要重視傳統(tǒng)的信用風(fēng)險，而且要將操作風(fēng)險放在一個重要的地位。以前對操作風(fēng)險的定義非常簡單，是除了市場風(fēng)險和信貸風(fēng)險之外的其他風(fēng)險。這種消極的定義方式對操作風(fēng)險管理造成了障礙。新巴塞爾協(xié)議中給出的新的操作風(fēng)險定義如下：操作風(fēng)險就是指由于內(nèi)部流程、人員、系統(tǒng)不充足或者運(yùn)行失當(dāng)、以及因?yàn)橥獠渴录臎_擊等導(dǎo)致直接或者間接損失的可能性的風(fēng)險。1 新巴塞爾協(xié)議和操作風(fēng)險 2004年6月26日，巴塞爾新資本協(xié)議（簡稱新巴塞爾協(xié)議）的終稿正式通過。新巴塞爾協(xié)議雖然不具有強(qiáng)制性，但是在國際上具有很大的影響力。新巴塞爾協(xié)議的核心內(nèi)容為三個支柱，即最低資本要求、監(jiān)管檢查和市場約束。雖然中國銀監(jiān)會曾經(jīng)表態(tài)，受到客觀條件限制，我國在未來幾年內(nèi)仍將繼續(xù)執(zhí)行 1988年的老協(xié)議，但是當(dāng)中國的銀行進(jìn)入國際銀行業(yè)市場開拓業(yè)務(wù)時，巴塞爾協(xié)議可能會使中國商業(yè)銀行在競爭中處于不利的地位，尤其是國際上業(yè)務(wù)較活躍的銀行，勢必會受到很大影響。所以，對于中國銀行業(yè)來講，研究和符合新巴塞爾協(xié)議是提高國際競爭力的重要戰(zhàn)略決策。 新巴塞爾協(xié)議強(qiáng)調(diào)在進(jìn)行風(fēng)險管理的時候，不僅僅要重視傳統(tǒng)的信用風(fēng)險，而且要將操作風(fēng)險放在一個重要的地位。以前對操作風(fēng)險的定義非常簡單，是除了市場風(fēng)險和信貸風(fēng)險之外的其他風(fēng)險。這種消極的定義方式對操作風(fēng)險管理造成了障礙。新巴塞爾協(xié)議中給出的新的操作風(fēng)險定義如下：操作風(fēng)險就是指由于內(nèi)部流程、人員、系統(tǒng)不充足或者運(yùn)行失當(dāng)、以及因?yàn)橥獠渴录臎_擊等導(dǎo)致直接或者間接損失的可能性的風(fēng)險。 2 操作風(fēng)險管理 操作風(fēng)險作為銀行面臨的多種風(fēng)險之一，具有其獨(dú)特性。簡單來講，操作風(fēng)險就是“沒有采用正確的方法做事情”而帶來的風(fēng)險。操作風(fēng)險和其他風(fēng)險之間的關(guān)系如圖所示。戰(zhàn)略風(fēng)險主要關(guān)心管理層是否選擇的正確的業(yè)務(wù)方向和戰(zhàn)略目標(biāo)，業(yè)務(wù)相關(guān)的風(fēng)險和具體的業(yè)務(wù)特點(diǎn)有關(guān)，而操作風(fēng)險則主要指落實(shí)到具體執(zhí)行層面的時候能否正確執(zhí)行規(guī)范，以及有沒有相關(guān)的規(guī)范可以參照執(zhí)行。在風(fēng)險管理領(lǐng)域中，戰(zhàn)略是指導(dǎo)，而操作則貫穿整個業(yè)務(wù)活動的始終。因此，操作風(fēng)險管理必須貫穿到整個公司管理過程之中去。 新巴塞爾協(xié)議強(qiáng)調(diào)風(fēng)險管理應(yīng)是一種主動的事前行為，而不是事后的補(bǔ)救，強(qiáng)調(diào)通過分析既有的數(shù)據(jù)來預(yù)測和防范未來的風(fēng)險，并從中穩(wěn)妥地獲取風(fēng)險收益。建立高效的風(fēng)險管理體系，是銀行確保在這個高風(fēng)險行業(yè)中生存下來并獲得穩(wěn)定發(fā)展的基礎(chǔ)。 巴塞爾銀行監(jiān)管委員會發(fā)布了操作風(fēng)險管理和監(jiān)控的十個原則：操作風(fēng)險管理和監(jiān)控的實(shí)踐，其中明確了銀行進(jìn)行操作風(fēng)險管理的四個步驟：識別，評估，監(jiān)控，緩解/控制。這個文件對于銀行進(jìn)行操作風(fēng)險管理具有指導(dǎo)性的意義。 3 操作風(fēng)險中的信息安全風(fēng)險管理 信息和信息系統(tǒng)安全在操作風(fēng)險管理中是非常重要的一部分。由于現(xiàn)代銀行幾乎所有的業(yè)務(wù)都運(yùn)行在IT基礎(chǔ)設(shè)施之上，尤其是新出現(xiàn)的金融產(chǎn)品和服務(wù)更加趨于開放和互聯(lián)，進(jìn)一步加強(qiáng)了對信息系統(tǒng)的依賴程度。信息的保密性、完整性以及信息、信息系統(tǒng)可用性對業(yè)務(wù)的成敗起著至關(guān)重要的作用。在西方國家已經(jīng)有立法強(qiáng)制要求銀行對某些關(guān)鍵信息的保密性、完整性等進(jìn)行保護(hù)，比如美國的金融服務(wù)現(xiàn)代化法案(Gramm-Leach-Bliley Act，GLBA)。 1999年，巴塞爾銀行監(jiān)管委員會專門設(shè)立了電子銀行小組（EBG），對電子銀行領(lǐng)域內(nèi)的監(jiān)管事務(wù)進(jìn)行重點(diǎn)研究。2001年，EBG發(fā)表了電子銀行風(fēng)險管理原則，確定了進(jìn)行電子銀行業(yè)務(wù)風(fēng)險管理的14條基本原則，是電子銀行進(jìn)行風(fēng)險控制的重要參考。事實(shí)上，不管是操作風(fēng)險管理和監(jiān)控的實(shí)踐，還是電子銀行風(fēng)險管理原則，其中的內(nèi)容大部分都已經(jīng)被涵蓋在了當(dāng)前的國際通用的信息安全管理標(biāo)準(zhǔn)中了，并且已經(jīng)在某些銀行的信息安全管理中得到了不同程度的應(yīng)用，比如ISO/IEC 17799。 操作風(fēng)險管理和監(jiān)控的實(shí)踐的第八項原則規(guī)定：銀行監(jiān)管機(jī)構(gòu)應(yīng)要求所有銀行都建立操作風(fēng)險的風(fēng)險識別、評估、監(jiān)控、控制/緩解的有效框架。下面將分別討論符合這一原則的信息安全風(fēng)險管理框架中的各個部分。 3.1風(fēng)險的識別 風(fēng)險的識別就是識別當(dāng)前信息和信息系統(tǒng)中的資產(chǎn)，判斷面臨的威脅，分析相關(guān)的脆弱性，從而識別相應(yīng)的風(fēng)險。簡言之，風(fēng)險的識別主要包括識別資產(chǎn)、識別威脅、識別脆弱性等三個過程。 信息資產(chǎn)是構(gòu)成信息系統(tǒng)的基本組成部分。信息資產(chǎn)的界定和賦值是整個工作的前提。資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價值因而需要保護(hù)的東西。它可能是以多種形式存在，有無形的、有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。參照BS7799對信息資產(chǎn)的描述和定義，可以將信息資產(chǎn)分類為：數(shù)據(jù)、服務(wù)、軟件、硬件、文檔、設(shè)備、人員和其它類。我們根據(jù)不同的業(yè)務(wù)系統(tǒng)進(jìn)行流程分析，得出涉及的信息資產(chǎn)，并且初步判斷關(guān)鍵資產(chǎn)。關(guān)鍵資產(chǎn)對整個業(yè)務(wù)運(yùn)作具有決定性作用，需要重點(diǎn)保護(hù)。 威脅和脆弱性的識別可以根據(jù)相關(guān)的國際標(biāo)準(zhǔn)和指南性文件進(jìn)行。 在風(fēng)險識別的過程中，需要從銀行高層的角度統(tǒng)一各種資產(chǎn)、威脅和脆弱性的定義方法和分類方式，避免各個分支機(jī)構(gòu)的不統(tǒng)一現(xiàn)象。 3.2風(fēng)險的評估 巴塞爾銀行監(jiān)管委員會發(fā)布的操作風(fēng)險的第四條管理原則表示，銀行應(yīng)該識別和評估所有產(chǎn)品、行為、流程和系統(tǒng)中存在的操作風(fēng)險。銀行應(yīng)該確保在任何新產(chǎn)品、行為、流程和系統(tǒng)生效或執(zhí)行前，進(jìn)行了有效的操作風(fēng)險評估。 風(fēng)險評估是明確安全現(xiàn)狀，規(guī)劃安全工作，制訂安全策略，形成安全解決方案的基礎(chǔ)。全面系統(tǒng)的風(fēng)險評估可以保障后續(xù)安全工作的經(jīng)濟(jì)性、有效性和完整性。風(fēng)險評估通過明確與安全風(fēng)險相關(guān)的一系列因素的實(shí)際情況，得到以風(fēng)險為度量的安全現(xiàn)狀。只有以風(fēng)險評估、控制和管理為目標(biāo)，才能明確應(yīng)被保護(hù)的資產(chǎn)是什么、實(shí)施保護(hù)的重點(diǎn)有哪些，進(jìn)一步分析相應(yīng)的威脅與脆弱性、已采取的安全措施的有效性，選擇可采取的安全措施，真正做到安全工作有的放矢。安全評估由工具評估、人工評估、滲透測試、策略分析、安全審計等構(gòu)成。其中安全審計又包括標(biāo)準(zhǔn)化審計、業(yè)務(wù)流程分析和網(wǎng)絡(luò)架構(gòu)分析，威脅分析等等。 風(fēng)險評估可以分為自評估、檢查評估和委托評估等不同的形式。由于目前風(fēng)險評估在具體操作中存在各種不同的方法，比如定性評估、定量評估或半定量評估等，所以在實(shí)施自評估或者委托評估之前最重要的是對評估方法進(jìn)行規(guī)范，避免不同地區(qū)、不同部門采用不同的評估方法，造成數(shù)據(jù)的不統(tǒng)一，給總行的風(fēng)險管理工作造成不必要的障礙。比如需要確定資產(chǎn)賦值的統(tǒng)一方法、脆弱性和威脅的對應(yīng)關(guān)系、信息安全風(fēng)險計算的方式和方法等等。 3.3風(fēng)險的監(jiān)控 巴塞爾銀行監(jiān)管委員會發(fā)布的操作風(fēng)險的第五條管理原則是：銀行應(yīng)該建立經(jīng)常性的操作風(fēng)險監(jiān)控流程，定期向管理層報告操作風(fēng)險的相關(guān)信息，實(shí)現(xiàn)對操作風(fēng)險的積極管理。 由于銀行業(yè)務(wù)的不斷發(fā)展和信息技術(shù)的持續(xù)更新，信息系統(tǒng)始終處在不同的變更過程中；由于新的安全漏洞和威脅的不斷出現(xiàn)，銀行中的信息資產(chǎn)也會出現(xiàn)新的安全脆弱點(diǎn)，可能會影響到整個信息系統(tǒng)的安全風(fēng)險狀態(tài)和安全等級。所以，用戶需要建立一套動態(tài)的安全狀況跟蹤和監(jiān)控機(jī)制。所以根據(jù)具體需求，開發(fā)符合自身需要的一個標(biāo)準(zhǔn)化的信息資產(chǎn)風(fēng)險管理系統(tǒng)是非常重要的。 信息資產(chǎn)風(fēng)險管理系統(tǒng)規(guī)范了風(fēng)險管理中的各個要素以及識別、評估、監(jiān)控、控制的全過程，對于銀行總部統(tǒng)一管理各個分支機(jī)構(gòu)的操作風(fēng)險、實(shí)現(xiàn)有效數(shù)據(jù)收集能夠起到很重要的作用。該系統(tǒng)可以實(shí)現(xiàn)信息系統(tǒng)的外部監(jiān)控和內(nèi)部監(jiān)控，并且能夠動態(tài)管理信息系統(tǒng)的風(fēng)險狀況和等級狀態(tài)。外部監(jiān)控主要包括對外部安全信息的收集和分析，包括信息系統(tǒng)涉及的廠家發(fā)布的安全信息跟蹤、安全研究和事件響應(yīng)（如CERT）組織發(fā)布的安全動向、以及其它網(wǎng)絡(luò)資源（如郵件列表、民間安全論壇等），分析威脅、漏洞和安全環(huán)境的最新動向。內(nèi)部監(jiān)控是指對信息系統(tǒng)內(nèi)部的信息資產(chǎn)變更、業(yè)務(wù)流程變更導(dǎo)致的信息系統(tǒng)調(diào)整、網(wǎng)絡(luò)和系統(tǒng)安全配置變更、安全事件等進(jìn)行記錄和分析，及時把握信息系統(tǒng)安全狀態(tài)和動向。所謂知己知彼，百戰(zhàn)不殆，只有對外部環(huán)境和內(nèi)部環(huán)境都有相當(dāng)?shù)牧私?，才能夠在動態(tài)的環(huán)境中把握信息安全平衡。 信息資產(chǎn)風(fēng)險管理系統(tǒng)是進(jìn)行風(fēng)險實(shí)時監(jiān)控的工具，對網(wǎng)絡(luò)中所有資產(chǎn)、管理、運(yùn)行相關(guān)的安全信息數(shù)據(jù)進(jìn)行管理，同時在安全評估過程中自動產(chǎn)生相關(guān)人工評估表單、問卷等，對風(fēng)險評估過程進(jìn)行標(biāo)準(zhǔn)化，方便用戶的自評估。所有安全信息都存放在后臺的安全信息庫，用戶可使用隨時對信息庫進(jìn)行訪問和各種數(shù)據(jù)查詢分析，輸出或打印需要的相關(guān)報告，了解相應(yīng)的信息系統(tǒng)的風(fēng)險狀況。該系統(tǒng)能詳細(xì)的跟蹤風(fēng)險評估的各個階段，并能有效的保留評估原始數(shù)據(jù)，提取風(fēng)險的各種要素，并科學(xué)計算出每一個資產(chǎn)的風(fēng)險值和信息系統(tǒng)風(fēng)險狀況。用戶可以隨時查看任何一個資產(chǎn)的風(fēng)險值，如果經(jīng)過多次風(fēng)險要素采樣以后還能直觀的了解到整個資產(chǎn)的風(fēng)險趨勢圖，同樣用戶能夠更直接的獲知當(dāng)前系統(tǒng)存在的一些安全隱患，并詳細(xì)的了解到如何來防范這些隱患從而降低風(fēng)險。 3.4風(fēng)險的控制和緩解 巴塞爾銀行監(jiān)管委員會發(fā)布的操作風(fēng)險的第六條管理原則是：銀行需建立策略、流程和步驟以控制和/或緩解操作風(fēng)險。 EBG發(fā)表的電子銀行風(fēng)險管理原則中的第四條到第十條對電子銀行需要進(jìn)行重點(diǎn)控制的幾個部分進(jìn)行了闡述，分別是： 第四條電子銀行客戶身份的識別 第五條電子銀行交易的非拒絕性和可靠性 第六條確保職責(zé)分開的適當(dāng)措施 第七條系統(tǒng)、數(shù)據(jù)庫、應(yīng)用的授權(quán)控制 第八條交易的數(shù)據(jù)、記錄和信息的完整性 第九條交易的清晰審計記錄的設(shè)立 第十條關(guān)鍵銀行信息的保密 第十一條電子銀行服務(wù)的適當(dāng)披露 對于不同安全等級要求的信息和信息系統(tǒng)，以及信息系統(tǒng)的不同階段，我們都需要選擇適當(dāng)?shù)陌踩刂品绞?。風(fēng)險的處理方式可以參考AS/NZS 4360的建議方式進(jìn)行處理，大致有降低可能性、減少影響、風(fēng)險轉(zhuǎn)移、風(fēng)險規(guī)避、風(fēng)險接受等幾種方式。其中風(fēng)險的接受程度依據(jù)安全級別的不同具有不同的接受程度。選定并開發(fā)安全控制措施后，列入安全規(guī)劃，然后進(jìn)行安全控制的有效性測試、實(shí)施和驗(yàn)證。 巴塞爾銀行監(jiān)管委員會發(fā)布的操作風(fēng)險的第七條管理原則是：銀行需要建立業(yè)務(wù)應(yīng)急和持續(xù)性計劃以確保發(fā)生災(zāi)難事件時業(yè)務(wù)可以持續(xù)運(yùn)作，將損失降到最小。 業(yè)務(wù)應(yīng)急和持續(xù)性計劃對于降低安全事件的影響是非常重要的，是風(fēng)險管理中的重要環(huán)節(jié)。業(yè)務(wù)持續(xù)性管理主要包括下面的內(nèi)容：首先，評估災(zāi)難對業(yè)務(wù)的影響程度，并識別出對業(yè)務(wù)發(fā)展起關(guān)鍵作用的服務(wù)；然后，定義災(zāi)難后關(guān)鍵服務(wù)恢復(fù)所需的時間；第三，采取相應(yīng)措施預(yù)防、檢測災(zāi)難，降低災(zāi)難造成的損失，并進(jìn)行詳盡計劃制訂和演練測試。4 美國銀行（Bank of America）的操作風(fēng)險管理 我們具有非常廣泛和復(fù)雜的業(yè)務(wù)類型，成功的操作風(fēng)險管理對于像我們一樣的涉及面廣泛的金融服務(wù)公司是非常重要的 美國銀行2003年度報告 美國銀行是美國第三大銀行，在三十個國家設(shè)有多達(dá)四千二百家分行，為多達(dá)三千萬個家庭及二百萬個商業(yè)客戶提供服務(wù)。美國銀行成立了企業(yè)操作風(fēng)險管理部門和符合性風(fēng)險管理部門，并通過培訓(xùn)等方式進(jìn)行全員的操作風(fēng)險和符合性意識教育。 美國銀行將操作風(fēng)險分為兩種類型：業(yè)務(wù)特定的操作風(fēng)險；影響所有業(yè)務(wù)領(lǐng)域的企業(yè)范圍的操作風(fēng)險。美國銀行在業(yè)務(wù)部門級別設(shè)立業(yè)務(wù)部門風(fēng)險執(zhí)行官，負(fù)責(zé)本部門內(nèi)所有的操作風(fēng)險。在管理他們的特定風(fēng)險時，運(yùn)用企業(yè)范圍統(tǒng)一的操作風(fēng)險策略、過程和評估方式。對于業(yè)務(wù)特定風(fēng)險，企業(yè)操作和符合風(fēng)險管理部門和業(yè)務(wù)部門一起制定符合整體策略的風(fēng)險管理方法，同時參照業(yè)界的“最佳實(shí)踐”。 針對企業(yè)范圍內(nèi)的操作風(fēng)險，比如信息安全、業(yè)務(wù)恢復(fù)、法律和符合性，操作和符合風(fēng)險管理部門負(fù)責(zé)進(jìn)行風(fēng)險評估，開發(fā)一個企業(yè)范圍內(nèi)的統(tǒng)一方法，并且將該方法和每一個部門進(jìn)行充分交流。為了幫助進(jìn)行企業(yè)范圍內(nèi)的風(fēng)險進(jìn)行評估和管理，美國銀行還雇用了專業(yè)支持小組，比如法律、信息安全、業(yè)務(wù)恢復(fù)、供應(yīng)鏈管理、財務(wù)、技術(shù)和運(yùn)作等。這些小組協(xié)助