銀行業(yè)信息科技風(fēng)險(xiǎn)管理能力探究

陶良華

江西省農(nóng)村信用社聯(lián)合社信息科技部 江西 330039

0 前言

隨著銀行業(yè)對信息科技的高度依賴，銀行信息系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定。核心業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行、自助終端、銀行卡等具有高科技含量的系統(tǒng)和設(shè)備被廣泛應(yīng)用，各個銀行信息科技在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時，信息科技風(fēng)險(xiǎn)管理卻相對顯得薄弱，其風(fēng)險(xiǎn)的潛在性也隨著金融產(chǎn)品的增加而增大，風(fēng)險(xiǎn)的復(fù)雜性也越來越強(qiáng)。

為加強(qiáng)銀行的信息科技風(fēng)險(xiǎn)管理，提升信息科技風(fēng)險(xiǎn)管理能力，銀監(jiān)會制定的《電子銀行業(yè)務(wù)管理辦法》、《電子銀行安全評估指引》、《銀行信息科技風(fēng)險(xiǎn)管理指引》等法規(guī)制度相繼出臺，構(gòu)建和完善了銀行內(nèi)與信息技術(shù)應(yīng)用有關(guān)的組織架構(gòu)及工作程序，有效地識別、度量、跟蹤和控制信息技術(shù)風(fēng)險(xiǎn)。

1 需求分析

銀行進(jìn)行信息化建設(shè)起步較早，但傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護(hù)系統(tǒng)分別進(jìn)行管理，各系統(tǒng)單獨(dú)保護(hù)，相互沖突和割裂，形成信息孤島，導(dǎo)致安全信息分散，互不相通，安全策略難以保持一致；此外，各安全系統(tǒng)單獨(dú)建設(shè)，造成分散、低水平重復(fù)投資，在建立長效機(jī)制方面也考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善。這種傳統(tǒng)的管理運(yùn)行方式已成為許多安全隱患的根源，因此銀行信息系統(tǒng)對信息安全體系的建設(shè)既需要符合政策合規(guī)性管理的要求，又存在自身安全保障體系建設(shè)的需求。

同時，大多數(shù)銀行信息系統(tǒng)建設(shè)還存在滯后問題。系統(tǒng)設(shè)計(jì)、系統(tǒng)運(yùn)行、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險(xiǎn)正逐漸暴露在我們的面前，形成了一定的安全隱患。

2 銀行信息科技風(fēng)險(xiǎn)管理

銀行應(yīng)從業(yè)務(wù)需求出發(fā)，遵從風(fēng)險(xiǎn)管理的理念，在銀行信息技術(shù)戰(zhàn)略規(guī)劃的基礎(chǔ)上，借鑒國際最佳實(shí)踐經(jīng)驗(yàn)，實(shí)現(xiàn)全面的信息科技風(fēng)險(xiǎn)管理，實(shí)現(xiàn)以下的建設(shè)目標(biāo)：(1)保障業(yè)務(wù)持續(xù)，促進(jìn)業(yè)務(wù)發(fā)展；(2)保證信息的機(jī)密性、完整性和可用性(如圖1)。

圖1 銀行信息科技風(fēng)險(xiǎn)管理體系框架圖

為了保障業(yè)務(wù)系統(tǒng)穩(wěn)定、安全運(yùn)行，銀行應(yīng)加強(qiáng)信息科技風(fēng)險(xiǎn)管理體系建設(shè)：一是完善組織體系建設(shè)，建立有效的信息科技治理機(jī)構(gòu)，明確權(quán)限，落實(shí)責(zé)任；二是實(shí)施風(fēng)險(xiǎn)管理，識別整個信息系統(tǒng)的薄弱環(huán)節(jié)，區(qū)分業(yè)務(wù)風(fēng)險(xiǎn)和信息科技風(fēng)險(xiǎn)，制定出相應(yīng)的風(fēng)險(xiǎn)防范辦法，加以落實(shí)并對結(jié)果進(jìn)行檢查，建立起自身的風(fēng)險(xiǎn)防范機(jī)制；三是加強(qiáng)信息科技管理，采用多種技術(shù)建立縱深防御體系，完善應(yīng)急響應(yīng)體系和業(yè)務(wù)連續(xù)性計(jì)劃，建立災(zāi)備恢復(fù)體系，規(guī)范日常信息系統(tǒng)運(yùn)維流程。四是通過實(shí)施安全審計(jì)，做好信息系統(tǒng)的安全檢查工作。

3 銀行信息安全保障體系建設(shè)方案

銀行信息安全保障體系的建設(shè)是一個體系化的工程，涉及信息安全策略體系、信息安全管理體系、信息安全技術(shù)體系、信息安全運(yùn)作體系四個部分。其中信息安全策略體系是核心內(nèi)容，覆蓋信息安全工作的各個方面，對管理、技術(shù)、運(yùn)維體系中的各種安全控制措施和機(jī)制的部署提出目標(biāo)和原則；安全管理體系是安全工作的管理和實(shí)施體系，監(jiān)督各種安全工作的開展，協(xié)調(diào)銀行各部門在安全實(shí)施中的分工和合作，保證安全目標(biāo)的實(shí)現(xiàn)；安全運(yùn)作體系是對安全生命周期中各個安全環(huán)節(jié)的要求，包括安全工程管理機(jī)制，安全預(yù)警機(jī)制、定期的安全風(fēng)險(xiǎn)識別和控制機(jī)制、應(yīng)急響應(yīng)機(jī)制和定期的安全培訓(xùn)機(jī)制等；安全技術(shù)體系是對實(shí)現(xiàn)銀行信息安全的具體措施，銀行安全安全策略、安全管理、安全運(yùn)維必須依托相應(yīng)的技術(shù)手段方可執(zhí)行，技術(shù)體系包括了身份認(rèn)證、訪問控制、加密、防惡意代碼、安全加固、監(jiān)控、日志審計(jì)和備份恢復(fù)，是銀行安全保障體系的重要支撐(如圖2)。

根據(jù)銀行信息科技風(fēng)險(xiǎn)管理的需要，參照近年來信息安全領(lǐng)域出現(xiàn)的信息系統(tǒng)安全保障理論模型和技術(shù)框架(如IATF等)、信息安全管理標(biāo)準(zhǔn)ISO/IEC 27002：2005和ISO/IEC TR 13335系列標(biāo)準(zhǔn)以及IT治理相關(guān)理論，結(jié)合銀行業(yè)的特點(diǎn)和信息化現(xiàn)狀，建設(shè)信息安全保障體系，為銀行信息系統(tǒng)的平穩(wěn)運(yùn)行和業(yè)務(wù)的持續(xù)開展提供強(qiáng)有力的保障，提升信息科技風(fēng)險(xiǎn)防范和響應(yīng)能力。

(1) 根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域，對每個域和整個網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)，通過部署系列安全產(chǎn)品實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、入侵檢測、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

(2) 部署安全管理中心(SOC)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等產(chǎn)生的日志進(jìn)行收集分析，監(jiān)控各系統(tǒng)的安全狀態(tài)，產(chǎn)生的各類 IT運(yùn)維及安全事件通過工單管理模塊分派處理事件的責(zé)任人，實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)的有效管理。

圖2 信息安全保障體系建設(shè)圖

(3) 為了確定信息科技中存在隱患的區(qū)域，評價信息科技風(fēng)險(xiǎn)對銀行業(yè)務(wù)的潛在影響并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級別，應(yīng)定期進(jìn)行信息科技風(fēng)險(xiǎn)的全面識別與評估，對信息科技風(fēng)險(xiǎn)管理工作中存在的問題提出有效整改措施，建立信息科技風(fēng)險(xiǎn)管理策略和評估流程。

4 總結(jié)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在信息時代的今天愈加凸顯，需要引起更多的關(guān)注和重視，也將在未來面對更多的挑戰(zhàn)。本文從宏觀的角度對銀行業(yè)的信息安全體系建設(shè)做了詳細(xì)的介紹，希望能為大家的信息安全保障和管理工作提供一些新的思路。

[1] 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引.

[2] 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引.

[3] ISO 27002:2005信息安全管理體系實(shí)施指南.

[4] 李東衛(wèi).商業(yè)銀行信息科技風(fēng)險(xiǎn)的分析與對策.中國銀行業(yè)監(jiān)督管理委員會陽泉監(jiān)管分局.

[5] 唐磊.商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)狀與管理策略分析.中國工商銀行股份有限公司蘇州分行信息科技部.

[6] 張倩,張?jiān)浦?祁妙.關(guān)于商業(yè)銀行信息科技風(fēng)險(xiǎn)的調(diào)查與思考.