当前,银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行业金融机构稳健运行的又一重要隐患。虽然,我国银行业金融机构截至目前还没有发生特别大的信息科技风险破坏事件,但国内外金融领域近年来爆发的一系列与信息科技有关的风险事件,给我们留下了深刻的教训和启示。2003年1月,美国银行(Bank of America)13000台ATM机因病毒瞬间宕机,该行客户无法通过ATM完成存取款交易; 2005年12月,日本瑞穗证券公司(Mizuho Securities)误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”,东京股票交易所(Tokyo Stock Exchange)电脑系统对该公司取消下单的指令不能给予回应,随后瑞穗的错单全部成交,引发了投资者抛售股票,使日经指数重挫超过300点,瑞穗证券损失超过400亿日元;2006 年日本最大的美资银行花旗银行(Citibank Japan)出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划,或交易后未作月结记录,使该行在日本的声誉遭受重大损失。近年来,国内部分商业银行和分支机构也相继出现过系统宕机和网络瘫痪。今年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法进行跨行操作,以日均量估算,“停刷”阻断交易量246.6万笔,金额1287.7亿元,造成了重大的社会影响,实际损失和由此造成的声誉损失令人痛心。
国际上出现的信息技术事故表明,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2-3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。目前,我国银行业的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,信息科技风险管理相对显得十分薄弱。重建设、轻管理,重上档次、轻视风险,重眼前、轻长远的现象在许多银行业金融机构十分普遍。商业银行迫切需要加快对信息科技风险的清晰认识,抓紧建立全行统一的信息科技风险管理手段。因此,树立和培养信息科技风险意识,规划落实好信息科技风险管理,是与我国银行业公司治理和风险管理成效密切相关的重要大事。广大银行业金融机构必须充分认识信息科技风险对整体业务和金融体系的影响,全面理解信息科技风险管理的重要性。
第一, 这是建设银行业金融机构良好公司治理的需要。当前,各家银行业金融机构纷纷进行改革、改制、重组、上市。无论是大银行还是小银行、无论是银行机构还是非银行金融机构、无论是城市金融机构还是农村金融机构,都在强调公司治理。设立了理事会、董事会和监事会,具备了权力的制衡,可以说已经做到了形似或者部分的神似。在这个基础上,依靠什么进行决策,依靠什么使董事会、监事会对高管层的决策进行科学有效的制衡,靠得是准确、实时、可靠的信息。我们强调“成本可算,风险可控”,实行风险抵扣的收益计算,并且依据这个收益来建立科学的激励和约束机制,这是公司治理机制的一个重要方面,对风险和成本的具体测算都要靠准确、实时的信息。我们强调银行要建立持续的核心竞争优势,就需要做到知己知彼,这也需要靠信息。公司治理一个很重要的方面就是人才管理,而人才的业绩评判也要依据充分的信息。此外,具有良好公司治理的商业银行,必须要加强信息披露和透明度建设,要做好公共关系,也要靠信息科技手段,通过网络和可靠的信息发布渠道实现披露和联络。
第二, 这是风险管理支持可靠性建设的需要。高度信息化的银行体系已经把信息科技作为风险管理的重要手段,依靠各类的信息科技系统来建立本机构发现风险、度量风险、定价风险和缓释风险的监测和决策体系。巴塞尔委员会的有效银行监管核心原则要求每个银行或银行集团,不论大小,都要建立起与自己规模及复杂程度相匹配的综合风险管理程序,并根据这套程序建立相匹配的信息科技系统。由此我们才能度量自身承担风险的大小,评估整体的资本充足率,制定准确而审慎的限额标准,采取各种管理措施。所以,风险管理离不开信息科技和信息科技的安全。尤其是今天,在已经实现了全球化24小时运转的金融交易业务领域,没有现代风险管理系统,无法保证交易是安全的、有效的。
第三, 这是银行业金融机构迅速提高创新能力和竞争力的基础。一个能够充分满足银行业金融机构发展和创新需要的信息科技运营体系是银行业金融机构竞争力建设的重要保障。为防止创新产品轻而易举地被竞争对手抄袭,必须提高产品的科技含量,只有具有高技术含量的创新产品才能避免被直接和简单地复制。在创新过程中,银行需要从前台、中台到后台的一系列配合。每开发一个新产品就有自身的风险管理的重点,就有自身需要的支付清算的后台,这都需要迅速敏捷的信息科技系统予以支持。
第四, 这是维护银行业和金融系统稳定性的需要。现在,IT系统是整个银行业务的操作平台和运转中枢,一旦出现事故,已基本上很难恢复到传统的靠手工运转的模式上去。而信息科技的应用和普及加快了银行与同业机构和外部市场的风险传导,极大地放大了科技风险的影响范围,单一机构出现的信息科技问题很可能会直接威胁整个金融体系的稳健运行。特别是在当前我们构建社会主义和谐社会的重要阶段,这个问题的重要性与我们过去的认识相比更加不可同日而语。
总之,信息安全风险管理薄弱是信息化时代金融业亟待解决的问题,风险管理水平的提高是确保我国金融业健康稳定持续高速发展的关键因素。风险评估是风险管理的基础和起点,是风险管理中的重中之重。
二、风险评估的基本方法和流程
(一) 风险评估的基本要求
风险评估是对信息资产价值、面临的威胁、存在的弱点以及三者综合作用而带来风险的可能性和影响的评估。
在风险评估过程中,对威胁信息资产的可能性、严重性的取值定义以及风险处置措施的制定从以下几个方面考虑。一是要确定需要保护的信息资产的范围及具体信息资产,明确信息资产的直接和间接价值;二是确定信息资产面临的潜在威胁,威胁发生的可能性有多大;三是确定信息资产中存在的可能会被威胁所利用的弱点,以及利用的容易程度;四是确定一旦威胁事件发生,给我行带来的操作风险、信用风险、名誉风险;五是对识别出的IT风险,我行应采取相应的风险处置措施将IT风险带来的损失降低到可接受的程度。
(二) 定量与定性的评估方法
风险评估方法有两种:定量(Quantitative)的方法和定性(Qualitative)的方法。定量分析是试图从财务价值上对构成风险的各项要素(特别是资产)进行量化分析评估的一种方法,由于定量分析所依赖的数据的可靠性和有效性很难保证,加之对数据统计缺乏长期性,所以,定量分析的方法在现代企业信息安全风险评估中并不常用,取而代之的是更容易实施的定性分析方法。
定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出优先顺序即可。事实上现代企业最关心的是业务活动的持续性,对于影响业务活动持续性的各种风险问题,在有限的资源支持情况下,只需要抓住最突出的,有针对性地采取措施即可。
(三) 信息资产的分类和分级
信息资产是指任何对企业具有价值的信息资产,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。为了进一步定义其价值,一般需将其分类,除一般认可的软件、硬件、数据资产外,还需增加人员、服务等项目,在此基础上可进一步细分,以达到精细化管理的要求。
对细分后的信息资产,需定义其价值。自此所讲的价值并不是财物价格,而是从信息安全的角度,即机密性(C)、完整性(I)、可用性(A)的价值取值。如采取三级分类,分类标准参照如下:
关键资产:从保密性上而言,对应为机密级,涵盖重要的信息、信息处理设施和系统资源,只能给少数必须知道者(特定的任务群体),一旦泄漏会造成严重的损害(部门或特定范围)。
重要资产:从保密性上而言,对应为秘密级,涵盖一般性的商业秘密,泄漏后会造成一定的损害,但不会造成重大的影响与损失。未经授权的更改、破坏或误操作对信息系统造成一定的影响,而且(或者)给业务带来明显冲击。
普通资产:并非敏感信息,主要限于内部使用。一旦泄漏,并不会造成显著的影响。
威胁的可能性分级
威胁的可能性是指威胁事件发生的几率或频率的定性描述。一般可分为以下三级,取值标准如下:
高:在业务活动持续期间,时刻都有可能存在或出现,频率可以用天来计算(一个月内可能发生)。
中:在业务活动持续期间,有可能多次出现,频率可以用季度来计算(一个季度之内可能会发生)。
低:在业务活动持续期间,出现频率以年计算(一年或多年发生一次)。
(四) 资产弱点的严重性
资产弱点的严重性也就是后果,即意外事件发生给组织带来的直接或间接的损失或伤害。一般可分为以下三级,取值标准如下:
高:弱点一旦被威胁利用,会造成存在此弱点的信息资产立即停止为相关业务提供服务。
中:弱点一旦被威胁利用,会造成存在此弱点的信息资产降低为相关业务提供服务的效率,但服务仍可继续。
低:弱点一旦被威胁利用,会造成存在此弱点的信息资产对继续为相关业务提供服务没有影响。
(五) 风险评价和后续工作
风险值=资产价值*威胁可能性*弱点带来后果的严重性
如资产价值、威胁可能性、弱点严重性其高、中、低分别取值3、2、1,那么我们就可以得到下面这个表:
威胁可能性 1 2 3
弱点严重性 1 2 3 1 2 3 1 2 3
资产价值 1 1 2 3 2 4 6 3 6 9
2 2 4 6 4 8 12 6 12 18
3 3 6 9 6 12 18 9 18 27
一般我们可认为风险值在1-9的资产为低风险资产,风险值12-18为中等风险资产,风险值27为高风险资产。各企业可根据自己的风险偏好,确定可接受的风险程度,如低风险可接受、中高风险不可接受,然后对不可接受风险采取相应的控制和降低措施(具体可参考ISO17799相关策略),通常通过降低风险发生的可能性,确保所有资产的残余风险控制在可接受的范围内。
三、存在的问题及对策
以上是风险评估的一般方法和流程,但我们在实施过程中,会发现一般企业都会有几百至几千项资产,每一项资产又面临十几个威胁。针对每项资产面临的每一个威胁的分析,我们会陷入繁多资产和风险中去,无法做到紧密联系风险评估的目标,评价企业整体风险状况、提高安全管理整体水平和业务连续性能力。为此,我们对照风险评估的目标要求,参考ISO17799信息安全管理体系中信息安全方针、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作管理、访问控制、信息系统获取、开发与维护、信息安全事件管理、业务连续性管理、符合性等11个域133个控制项,增加两个权重因子,建立了较系统的整体风险状况模型:
整体风险状况=∑控制项*权重1*权重2
其中:1、控制项包含ISO17799描述的133个控制项。
2、权重1即ISO17799描述的11个控制域的各自权重,其和等于1。
3、权重2即ISO17799描述的11个控制域中的各控制项自权重,每个控制域所辖控制项权重和等于1。
采用整体风险状况模型,不但能针对每一项资产所面临的威胁有一个清晰的定义,还能避免陷入具体细节,从而对企业整体风险状况有一个清晰的把握。两个权重因子的定义,是准确反映不同金融企业风险状况的关键。如何准确定义其权重,还需引入安全管理成熟度概念,以权重1为例说明。
1994年4月美国国家安全局与美国国防部、加拿大通信安全局一起,汇集了超过60个国内外厂商,启动了称作“安全系统工程能力成熟模型(SSE-CMM)”的项目。这一项目力求在原有能力成熟模型(CMM)的基础上,通过对安全工作过程进行管理的途径将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。2002年,国际标准化组织正式公布了系统安全能力成熟度模型的标准,即ISO/IEC 21827-2002 《Information Technology-Systems Security Engineering-Capability Maturity Model(SSE-CMM)》。
其能力成熟库分为以下五级:
1. 级别1-非正式执行级
在该级别上,尽管基本实施能被执行,但基本实施的执行可能未经严格的计划和跟踪,而是有赖于个人的知识和努力。此过程区的工作产品即为基本实施执行的证据。
此阶段特点为依赖个人的知识和努力,应重点关注信息安全方针、信息安全组织、符合性三个域。即要突出以上三个域的权重。
2. 级别2-计划跟踪级
该级别基本实施的执行是经过计划并被跟踪的。可验证关键步骤是否被执行,亦可验证工作产品是否符合指定的标准和需求。通过测量可跟踪过程区的执行情况。
在此阶段,信息安全方针、信息安全组织已设定,关注的重点转移到人力资源安全、物理与环境安全、通信和操作管理、访问控制、信息系统获取、开发与维护五个域,重点突出了技术工具作为防控手段的有效性;符合性一般应继续作为关注的重点。以上六个域的权重应适当提高。
3. 级别3-充分定义级
该级别的基本实施是按照充分定义的过程执行的。充分定义的过程指的是依据经批准的、正式发布的过程版本来规范运作。该版本必须文档化,且允许在实际操作中对标准过程进行适当的裁减。
自此阶段,企业应全面认识和接受信息安全方针、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作管理、访问控制、信息系统获取、开发与维护、信息安全事件管理、业务连续性管理、符合性等11个域,全面梳理其资产,以提高业务连续性能力为目标,强化安全事件管理。信息安全事件管理、业务连续性管理两个域的权重可适当提高。
4. 级别4-量化控制级
此级别是收集并分析执行的详细情况。该级别能获得对过程能力和改进能力的量化理解以预测执行结果,其管理是客观的,工作产品的质量是量化的。
此阶段,企业已能准确把握所有影响安全运作的风险点,并对各风险点对安全运作的影响程度有较为清晰的量化,能够发现并提出有效的改进措施。企业可根据自身的实际情况,动态调整各安全域的权重,已达到快速提高。
5. 级别5-持续改进级
该级别基于组织的商务目标并针对过程有效性和效率建立量化执行目标。通过执行已定义的过程以及新术语、新技术的量化反馈来保证对这些目标持续改进。
此阶段,安全管理已深入融合到企业愿景中,作为企业运作的有机组成部分,能够直接影响企业绩效。在此阶段,应根据企业愿景、规划和近期目标的要求,设定各安全域的权重。
本文通过分析我国金融企业对信息安全的风险管理现状,强调信息安全风险管理是我国金融业健康持续高速发展的关键和基础;通过对信息安全风险管理的起点和关键阶段风险评估方法和流程的描述,指出了风险评估中存在的问题,建立了更系统更完备的整体风险状况模型。值得一提的是,本文建立的整体风险状况模型虽然系统全面、针对性强,能够有效解决风险评估中“只见树木,不见森林”的弊端;但各具体控制项目权重的定义与具体人员的经验和水平密切相关,在具体实施过程中还应关注此风险。