推荐期刊

构建商业银行信息安全体系的建议

时间:2015-12-20 22:12:11 所属分类:信息安全 浏览量:

一、银行业信息安全概述 就银行业而言,几乎所有的业务都运行在IT基础设施之上,尤其是新出现的金融产品和服务更加趋于开放和互联,进一步加强了对信息系统的依赖程度。 信息系统和信息安全已经成为操作风险管理的重要内容。信息的保密性、完整性、有效性以

  一、银行业信息安全概述

  就银行业而言,几乎所有的业务都运行在IT基础设施之上,尤其是新出现的金融产品和服务更加趋于开放和互联,进一步加强了对信息系统的依赖程度。

  信息系统和信息安全已经成为操作风险管理的重要内容。信息的保密性、完整性、有效性以及信息系统可用性对银行业务的成败起着至关重要的作用。

  美国的金融服务现代化法案(GLBA,Gramm-Leach-Bliley Act),要求银行对某些关键信息的保密性、完整性等进行保护。巴塞尔银行监管委员会设立的电子银行小组(EBG)发表了《电子银行风险管理原则》,确定了进行电子银行业务风险管理的14条基本原则,这些大都已经在银行信息安全管理中得到了不同程度的应用。《新巴塞尔协议》强调在进行风险管理的时候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。

  在中国,金融监管部门对于信息安全也作出了相应的界定。中国银行业监督委员会《商业银行信息科技风险管理指引》(银监发〔2009〕19号)如此定义:信息安全风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中,由于技术和管理缺陷产生的操作、法律和声誉等风险,具有技术性高、涉及范围广、隐蔽性强等特征。

  信息安全管理在中小城市商业银行面临挑战。首先是技术问题,表现为计算机硬件、软件、网络以及相应业务信息系统所引发的异常情况,包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞、故障恢复灾难备份以及应急处理等诸多内容。

  其次是管理问题,不仅包括信息系统的管理,而且包括中小城市商业银行各种业务数据的管理。本文就信息系统及其产生的数据,结合中小银行的特点,在运维、日常使用、应急处置过程中由于管理缺陷产生的风险隐患等方面的内容展开讨论。

  二、中小城市商业银行信息安全现状

  (一)信息安全意识不强,综合管理能力受限

  我国中小城市商业银行规模小、网点少、信息化建设起步晚,因此信息安全意识和管理综合能力远落后于信息系统的发展需求。主要体现在以下几方面。

  首先,中小城市商业银行的自身性质使高级管理层更加关心财务报表,而忽视服务这些财务报表的信息系统,甚至不能明确信息安全是什么。对于信息安全的投入大部分限于基础设备和系统,却不知其信息系统的可用性、信息资产的保密性、可控性对其业务的重要作用。

  其次,中小城市商业银行员工普遍认为,信息安全管理工作的效果取决于信息技术,却不知道用户对信息系统的每个操作都具有威胁的可能,操作不当将转变为风险。如信息系统终端密码长度的最小设定和定期性更改就是最为简单的安全设施,但对于规范的设置,部分员工认为其降低了工作效率。IDE统计的数据表明,企业中信息系统相关服务中断,78%以上是人为造成。

  最后,中小城市商业银行信息系统的运维人员则把信息安全管理工作看成是技术问题,过分强调信息系统的可用性,认为信息安全管理工作就是网络安全和核心主机安全。其实信息安全更多应该是个管理问题,信息系统的可控性和保密性是信息安全不可或缺的部分,合理的管理制度与严格的落实才是保障信息安全的基础。

  (二)信息建设投入不足,系统软硬件环境落后

  受各方因素掣肘,中小城市商业银行普遍存在信息化基础设施投入不足,无法满足业务发展需要的问题。

  在对全国31个省、自治区和直辖市的四百多家中小城市商业银行进行调查时发现,受访的中小城市商业银行72.56%认为信息安全相关的技术人员不能满足工作需要,约18%认为机房场地不足,9.32%认为资金投入不足。31.25%的受访者认为系统灾备能力不足,29.50%认为信息系统的冗余容错能力不足。

  国际标准通常如此建议,如果银行的核心业务系统主机容量使用率超过60%,就须扩大系统容量,但国内很多银行IT基础设施都不能满足该指标,如工行等国有银行该项指标的平均使用率为67%,个别中小银行甚至高达90%。

  (三)缺乏风险管理标准,应急处置能力有限

  信息化给中小城市商业银行带来好处的同时,也带来了新的风险,诸如信息系统本身的设计规划不当、人为操作错误和攻击破坏,以及安全管理制度的不完善或执行不到位等,都会引起系统故障以及业务中断。但首先这些银行并未建立信息系统风险识别、度量、监测、报告和控制管理标准,对于信息系统的威胁和风险事件不能通过科学的方法提前发现,只能在问题出现后被动应对。其次,信息系统的灾备系统和容错能力难以满足业务安全性的要求,应急事件处置流程缺少业务部门的主动参与。就业务流程来说,其每个环节几乎都能触发信息安全事件,因缺乏对风险的识别和处理能力,信息系统一线业务人员通常在其出现问题时才会求助技术部门,应急事件处置被动,甚至影响系统的安全性。    三、构建信息安全体系的建议

  (一)多层次培训提升信息安全综合能力

  首先,树立正确的信息安全观念,建立牢固的信息安全意识。信息安全错综复杂,且与中小城市商业银行业务、发展战略和内部管理关系密切,与每个信息系统的参与者息息相关。只有思想上的重视、制度上的合理以及操作上的合规才能保障信息系统的安全。

  其次,加强对监管层关于科技风险治理信息安全文件的学习,加大对信息安全管理的实施者的专业培训,以此转变技术人员的观念,提高预防性管理水平,从而保障网络安全和核心主机安全,做好技术支持。

  (二)建立与业务架构相关的信息安全管理体系

  当今商业银行业务对信息系统的依赖程度不断加深,商业银行的业务创新基本上离不开信息系统的有效支撑。信息系统都是以服务业务为宗旨,仅靠中小银行内部的个别部门无法做好信息安全管理工作,因此建立合适的中小城市商业银行信息安全管理体系显得尤为重要。

  从商业银行的业务组织架构着手,参照国际信息安全管理标准体系ISO/IEC17799,银监会发布的《商业银行信息科技风险管理指引》等行业标准,结合不同信息系统的威胁和风险,建立与自身发展战略相适应的信息安全管理组织架构、管理制度等。明确最高管理层对信息安全管理的决策力和推动力,高级管理层对信息安全管理、风险管理重要事项的决策和协调作用,制订信息安全管理方案,包括信息科技安全标准、策略、实施计划和持续维持计划等。落实部门负责人对信息安全管理、风险管理的职责,定期向上级主管部门提交信息安全评估报告,确保信息安全管理与发展战略一致,使组织内部的沟通协调能够顺利进行,推动信息安全管理工作有效落实。

  (三)建立分级内控把控信息安全风险

  巴塞尔银行监管委员会发布的《操作风险管理与监管的稳健做法》指出,“银行应该制订控制和/或缓释重大操作风险的政策、程序和步骤。银行应该定期检查其风险限度和控制战略,并且根据其全面的风险喜好和状况,通过使用合适的战略,相应地调整其操作风险状况”,“董事会要确保本行的操作风险管理系统受到内审部门全面、有效的监督,内审部门必须拥有一支独立运作、训练有素、业务精良的内审队,内审部门不应直接负责操作风险的管理”。2003年7月发布的《电子银行业务的风险管理原则》安全控制部分要求商业银行从信息系统的保密性、完整性和可用性等方面做好自身信息安全工作,涉及客户身份识别、授权,业务交易的不可抵赖性、责任认证,交易和业务信息的完整、保密和可控等方面。

  银监会的《商业银行信息科技风险管理指引》内部审计部分也对商业银行作出类似要求,“商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。”

  商业银行应从业务和技术两个层面,对银行内部信息安全进行细分,结合本身信息安全现状制订完善的安全管理规章制度以及工作流程。业务层面应该基于业务操作和流程对业务人员、管理人员作出规定,明确谁操作谁负责,谁使用谁负责;内部审计部门要负责全行内控制度的检查与监督功能,对内控信息安全风险点作出评级并提出改进建议。在技术层面应基于如ISO/IEC 17799等国际标准及国内监管机构出台和制订的信息安全标准和制度,从信息系统的物理环境安全、网络环境安全、系统应用安全、运维管理安全等角度,明确谁运营谁负责,谁维护谁负责。制度流程应约束管理层遵从事前要预防、事中要检查、事后要审计三原则,制度内容应包括安全组织、人员管理、安全策略、应急响应等,并根据信息安全形势和需求及时修订和补充。

  (四)建立量化信息安全评级标准

  鉴于银行业务的不断发展和信息技术的持续更新,信息系统始终处在不同的变更过程中,这也导致新的安全漏洞和威胁不断出现,中小城市商业银行的信息资产也会持续出现新的安全脆弱点,从而影响到整个信息系统的安全风险状态和安全等级。巴塞尔银行监管委员会对此也作出明确要求,其发布的操作风险的第5条管理原则指出:银行应该建立经常性的操作风险监控流程,定期向管理层报告操作风险的相关信息,实现对操作风险的积极管理。

  中小城市商业银行应建立一套动态的信息安全状况跟踪和监控机制。内容应涉及机房环境、网络安全、安全运维、主机应用安全、应用接入端信息安全管理等模块。可以参考银行业监督管理委员会发布《银行业金融机构信息系统风险管理指引》科技治理部分。《人民银行信息系统信息安全等级保护实施指引(试行)》等规定设计符合自己需要的威胁和风险事件列表,以此为量化信息安全的标准并定期进行评估,形成评估安全基线,对信息安全工作有整体、客观的把握。重点监控威胁程度高的预定义事件,并建立应急预案。

  (五)完善信息安全基础环境建设

  中小城市商业银行的核心业务系统基本建成,但其信息系统软硬件环境远落后于业务发展需要,尤其是不能满足信息安全相关要求。虽然国内目前还没有明确的容灾备份标准,但考虑到中小城市商业银行业务系统服务中断,业务数据不可恢复会对其造成灾难性打击的可能,应积极建设灾备系统,将异地数据、业务中心写入中小城市商业银行的公司发展战略中,作为完善应急处理机制的核心内容之一。在建设灾备和异地中心时,通过参考现有的国际容灾标准SHARE 78等来制订符合自身的建设标准和维护制度,加强管理,并通过共建和引入金融云技术方案等方式来降低初期的成本投入。

  参考文献:

  [1]何茂春.商业银行信息科技风险的量化计量研究[J].金融论坛,2009(2):42-48.  [2]冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001(1):8-13.  [3]马希佳.银行信息安全规划概述[J].华南金融电脑,2007(7):64-66.  [4]纪恒建,刘智广.河北省中小商业银行信息科技风险状况调查[J].金融教学与研究,2008(4):35-37.

转载请注明来自:http://www.zazhifabiao.com/lunwen/dzxx/xxaq/28005.html