新巴塞尔协议---银行信息安全风险管理教程文件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行信息安全风险管理
-----新巴塞尔协议导读:新巴塞尔协议强调在进行风险管理的时候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单,是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下:操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。
1 新巴塞尔协议和操作风险
2004年6月26日,《巴塞尔新资本协议》(简称新巴塞尔协议)的终稿正式通过。新巴塞尔协议虽然不具有强制性,但是在国际上具有很大的影响力。新巴塞尔协议的核心内容为三个支柱,即最低资本要求、监管检查和市场约束。虽然中国银监会曾经表态,受到客观条件限制,我国在未来几年内仍将继续执行1988年的老协议,但是当中国的银行进入国际银行业市场开拓业务时,巴塞尔协议可能会使中国商业银行在竞争中处于不利的地位,尤其是国际上业务较活跃的银行,势必会受到很大影响。所以,对于中国银行业来讲,研究和符合新巴塞尔协议是提高国际竞争力的重要战略决策。
新巴塞尔协议强调在进行风险管理的时候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单,是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下:操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。
2 操作风险管理
操作风险作为银行面临的多种风险之一,具有其独特性。简单来讲,操作风险就是“没有采用正确的方法做事情”而带来的风险。操作风险和其他风险之间的关系如图所示。战略风险主要关心管理层是否选择的正确的业务方向和战略目标,业务相关的风险和具体的业务特点有关,而操作风险则主要指落实到具体执行层面的时候能否正确执行规范,以及有没有相关的规范可以参照执行。在风险管理领域中,战略是指导,而操作则贯穿整个业务活动的始终。因此,操作风险管理必须贯穿到整个公司管理过程之中去。
新巴塞尔协议强调风险管理应是一种主动的事前行为,而不是事后的补救,强调通过分析既有的数据来预测和防范未来的风险,并从中稳妥地获取风险收益。建立高效的风险管理体系,是银行确保在这个高风险行业中生存下来并获得稳定发展的基础。
巴塞尔银行监管委员会发布了操作风险管理和监控的十个原则:《操作风险管理和监控的实践》,其中明确了银行进行操作风险管理的四个步骤:识别,评估,监控,缓解/控制。这个文件对于银行进行操作风险管理具有指导性的意义。
3 操作风险中的信息安全风险管理
信息和信息系统安全在操作风险管理中是非常重要的一部分。由于现代银行几乎所有的业务都运行在IT 基础设施之上,尤其是新出现的金融产品和服务更加趋于开放和互联,进一步加强了对信息系统的依赖程度。信息的保密性、完整性以及信息、信息系统可用性对业务的成败起着至关重要的作用。在西方国家已经有立法强制要求银行对某些关键信息的保密性、完整性等进行保护,比如美国的金融服务现代化法案(Gramm-Leach-Bliley Act,GLBA)。
1999年,巴塞尔银行监管委员会专门设立了电子银行小组(EBG),对电子银行领域内的监管事务进行重点研究。2001年,EBG发表了《电子银行风险管理原则》,确定了进行电子银行业务风险管理的14条基本原则,是电子银行进行风险控制的重要参考。事实上,不管是《操作风险管理和监控的实践》,还
是《电子银行风险管理原则》,其中的内容大部分都已经被涵盖在了当前的国际通用的信息安全管理标准中了,并且已经在某些银行的信息安全管理中得到了不同程度的应用,比如ISO/IEC 17799。
操作风险管理和监控的实践的第八项原则规定:银行监管机构应要求所有银行都建立操作风险的风险识别、评估、监控、控制/缓解的有效框架。下面将分别讨论符合这一原则的信息安全风险管理框架中的各个部分。
3.1风险的识别
风险的识别就是识别当前信息和信息系统中的资产,判断面临的威胁,分析相关的脆弱性,从而识别相应的风险。简言之,风险的识别主要包括识别资产、识别威胁、识别脆弱性等三个过程。
信息资产是构成信息系统的基本组成部分。信息资产的界定和赋值是整个工作的前提。资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。参照BS7799对信息资产的描述和定义,可以将信息资产分类为:数据、服务、软件、硬件、文档、设备、人员和其它类。我们根据不同的业务系统进行流程分析,得出涉及的信息资产,并且初步判断关键资产。关键资产对整个业务运作具有决定性作用,需要重点保护。
威胁和脆弱性的识别可以根据相关的国际标准和指南性文件进行。
在风险识别的过程中,需要从银行高层的角度统一各种资产、威胁和脆弱性的定义方法和分类方式,避免各个分支机构的不统一现象。
3.2风险的评估
巴塞尔银行监管委员会发布的操作风险的第四条管理原则表示,银行应该识别和评估所有产品、行为、流程和系统中存在的操作风险。银行应该确保在任何新产品、行为、流程和系统生效或执行前,进行了有效的操作风险评估。
风险评估是明确安全现状,规划安全工作,制订安全策略,形成安全解决方案的基础。全面系统的风险评估可以保障后续安全工作的经济性、有效性和完整性。风险评估通过明确与安全风险相关的一系列因素的实际情况,得到以风险为度量的安全现状。只有以风险评估、控制和管理为目标,才能明确应被保护的资产是什么、实施保护的重点有哪些,进一步分析相应的威胁与脆弱性、已采取的安全措施的有效性,选择可采取的安全措施,真正做到安全工作有的放矢。安全评估由工具评估、人工评估、渗透测试、策略分析、安全审计等构成。其中安全审计又包括标准化审计、业务流程分析和网络架构分析,威胁分析等等。
风险评估可以分为自评估、检查评估和委托评估等不同的形式。由于目前风险评估在具体操作中存在各种不同的方法,比如定性评估、定量评估或半定量评估等,所以在实施自评估或者委托评估之前最重要的