銀行電子商務安全風險管理策略改進

銀行電子商務安全風險管理策略改進

摘要：隨著商業(yè)銀行網上業(yè)務的不斷發(fā)展，電子商務安全風險管理策略成為理論與實踐中必須重視的課題。剖析現(xiàn)階段電子商務安全網風險策略的薄弱點，發(fā)展商業(yè)銀行電子商務安全風險管理策略，應借鑒成熟的傳統(tǒng)金融風險度量中的一些方法改變電子商務安全管理對資產進行粗略的優(yōu)先級別排序，用系統(tǒng)管理思想構建商業(yè)銀行電子商務安全管理框架，并將商務安全風險納入風險管理范疇。

關鍵詞：商業(yè)銀行；電子商務；風險管理

商業(yè)銀行從事金融業(yè)務面臨著市場風險、信用風險、以及操作風險等，而電子商務的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來，我國面臨的網絡仿冒威脅正在逐漸加大，仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件，超過2004年全年案件數，商業(yè)銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現(xiàn)階段的特點

信息安全管理的策略大體遵循事件驅動－逐漸標準化——安全風險管理的發(fā)展路徑。

以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環(huán)境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段，由事件驅動，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術手段。后期開始重視管理手段，但是技術和管理之間脫節(jié)。許多組織對信息安全制定了相應的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數人負責、突擊式、事后糾正式的管理方式。

標準化時期

企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術手段和管理制度。幾乎所有從事電子商務的企業(yè)都擁有自己的安全策略，內容也包括了技術手段、安全管理制度、人員安全教育等等，基本上形成體系，技術和管理手段綜合統(tǒng)一，但是安全風險分析還存在不足之處。

安全風險管理策略時期

隨著電子商務安全管理發(fā)展到一個比較高的層次，安全管理策略也演進到安全風險管理階段。主要特點如下：

1.安全風險管理成為主流趨勢；在安全管理策略的演進過程中，技術和管理手段綜合統(tǒng)

一、又融入了風險管理的分析、防范策略，從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司，認為信息安全問題最終將歸結為風險管理問題，風險管理方法是建立良性的安全技術和管理體系的依據和基礎。

2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務管理辦法》，對國內企業(yè)的電子商務安全風險管理給出了指導意見。

3.利用外部專業(yè)化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險，在相當程度上取決于采用的信息技術的先進程度，系統(tǒng)的設計開發(fā)水平，以及相關設施設備及其供應商的選擇等；銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關風險。同樣，監(jiān)管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機構定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術風險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。業(yè)界的IT風險分析師也成為一種職業(yè)，專門從事電子商務的安全風險工作，從經濟學的角度出發(fā)分析風險，充分衡量保持安全的代價和收益之間的關系，尋求用最小的代價實現(xiàn)最大的效用，在風險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務安全風險管理策略的薄弱點

系統(tǒng)管理思想缺乏

目前的電子商務安全風險管理策略，在全局上缺乏系統(tǒng)論理論的指導，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網絡。

實踐中被采用的安全風險管理策略，以及作為指導意見的規(guī)則規(guī)范，如《信息安全管理實務準則》、《信息技術安全性評估準則》、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》，盡管提出了比較全面的安全風險管理方案，層次上也比較清晰，但是還不足以作為一個風險防范系統(tǒng)。實踐中，電子商務組織是一個復雜的系統(tǒng)組織，電子商務的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務安全風險管理中是不可或缺的。

風險分析的模型與方法不成熟，定量分析不足

電子商務模式自身的發(fā)展歷史也不過20幾年，在風險分析的定量技術上并不成熟；如BS7799中推薦的電子商務安全風險管理中實施風險評估時，往往將威脅發(fā)生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別，在操作上易行，但造成了度量的不精確。在進行監(jiān)控和審計之后，也存在無法量化、對比的問題。

忽視與原有的傳統(tǒng)風險管理策略的結合

本質上，電子商務的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變，以及產生的在傳統(tǒng)風險控制領域暫時無法明晰的新風險；現(xiàn)有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題，站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次；忽略了風險的整體性，只進行偏信息和技術的研究，導致了現(xiàn)有的電子商務安全風險管理策略與金融機構原有的傳統(tǒng)業(yè)務風險管理策略存在差距。對于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務的風險控制與電子商務的技術風險控制，兩個方面存在脫節(jié)，同樣屬于商業(yè)銀行的風險，存在著不同的管理策略，導致多頭管理、資源浪費、機構之間的扯皮，乃至缺位管理。

風險管理策略無法

依賴外部的信息安全管理行業(yè)

在發(fā)達國家，信息系統(tǒng)審計作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業(yè)，專門從事電子商務的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術風險的管理和監(jiān)管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規(guī)，風險評估工作得到了一定重視，但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

風險管理策略中商業(yè)銀行的內部風險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業(yè)銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安全風險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務安全風險管理策略的改進建議

基于系統(tǒng)的思想構建商業(yè)銀行電子商務安全風險管理策略框架

利用系統(tǒng)理論作為總體的指導思想，將電子商務安全風險管理策略本身當作一個開放的自適應系統(tǒng)。將商業(yè)銀行電子商務安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內，然后進行監(jiān)控和審計；尤其重要的是把監(jiān)控和審計所得到的內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業(yè)銀行電子商務安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)，安全風險管理的有效性就上一個臺階，商業(yè)銀行的安全管理水平變得到了提高。

電子商務安全風險管理中定量分析中的改進思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優(yōu)先級別排序的方法。實踐中，商業(yè)銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內部計量法中規(guī)定，商業(yè)銀行內部估計風險敞口指標、損失事件發(fā)生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系數；在度量損失的分布時，主要利用統(tǒng)計和精算技術。商業(yè)銀行應通過數據庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來，利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。新晨范文網

將商業(yè)銀行電子商務安全風險納入商業(yè)銀行總體風險管理范疇

將商業(yè)銀行所面臨的全部風險放在一個框架中考慮。傳統(tǒng)風險管理以及電子商務安全風險管理都是風險管理系統(tǒng)中子系統(tǒng)，二者相互聯(lián)系、相互影響，不可分割。嘗試借鑒信用風險與操作風險度量的方法與思想，短期內將其與信用風險控制銜接，最終形成一個全面的商業(yè)銀行安全風險管理框架。

商業(yè)銀行要積極促進電子商務安全風險管理策略的改進

充分利用國內或國外能夠獲得的信息系統(tǒng)審計、外部信息安全評估等服務，采取定期評估審計、不斷采取措施改善風險狀態(tài)的策略；在目前商業(yè)銀行的組織與管理體制下，風險控制部門與傳統(tǒng)