银行信息科技风险的治理途径
中国农业发展银行总行营运中心 李小庆
信息科技风险治理的主要目标是为了采取一定的有效措施,规避信息科技风险带来的损失,同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。 257 信息化建设一直是现代银行发展战略的重要组成部分。最近十年,银行信息化建设一直在高速向前发展。随着数据大集中工程的启动及完成,银行信息化从信息基础设施到业务系统的建设,都取得了较为明显的成效,信息化总体架构已经成熟,各类业务应用系统已经初具规模。各类信息系统已经成为银行提供客户服务、获取市场价值、培育核心竞争力的重要途径。
但是,随着银行信息化规模的日益扩大,信息科技风险的防控及治理始终是银行信息化建设和管理的薄弱环节。2009年,银监会发布《商业银行信息科技风险治理指引》(以下简称《指引》),从信息安全、信息系统开发和信息科技运行等多个层面对信息科技风险治理进行了清晰规定。从《指引》中,我们可以解读到,信息科技风险治理是以可接受的成本识别、控制、降低可能影响信息系统风险的过程,通过风险识别,制定信息科技风险治理策略,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡。信息科技风险治理体系主要包含信息科技风险识别、分析与评价,信息科技风险的计量,信息科技的治理思路和控制措施。
一、信息科技风险识别、分析与评价
信息科技风险治理的主要目标是在可接受成本的范围内,分析信息系统面临的潜在风险,并采取一定措施控制和防御风险的过程。风险识别是指对组成信息科技风险因素在系统中潜在可能性认识的过程,风险分析是指系统化地识别和分析风险来源和风险类型,风险评价是指按组织制定的风险标准计算风险水平,确定风险严重性。
1.风险识别
信息科技风险的组成因素,一般包含价值信息资产、信息资产面临的威胁、信息资产的脆弱性等。信息资产是对组织具有价值的信息资源,是风险控制措施保护的对象。信息资产面临的威胁是可能对信息资产或组织造成损害的潜在因素。信息资产脆弱性是信息资产可能被威胁利用的弱点。风险识别是对信息系统和信息基础设施的威胁、脆弱性和风险的识别,它包含以下元素:被特定威胁利用的信息资产的一种或一组脆弱性,导致信息资产丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的集合。风险识别过程是综合分析信息科技风险各组成因素,包含信息资产的价值、对信息资产的威胁和威胁发生的可能性、信息资产脆弱性、现有的风险控制提供的保护等,从而导出风险的过程。银行对信息科技风险一般具有偏好性考虑,其结果受到业务需求及战略目标、文化、业务流程、风险要求、信息规模和结构的影响,因此在风险识别实施前,应确定风险识别的范围和目标,建立适当的组织结构,建立系统化的风险识别方法,获得管理者对风险识别工作的批准。
2.风险分析
在进行风险识别之后,必须就各项风险对整个信息系统的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数、众数等方法。但无论是哪一种工具,都各有长短,而且不可避免地会受到分析者的主观影响。可以通过多维度、多人员分析或者采取头脑风暴法等尽可能避免。此外,应当明确,风险是一种变化着的事物,基于这种易变条件上的预测和分析,是不可能做到十分精确和可靠的。所有的风险分析都只有一个目的,即尽量为避免信息系统提供的服务失控和为具体的信息系统开发和运行中突发问题预留足够的后备措施和缓冲空间。
3.风险评价
信息科技风险评价方法有两种:定量方法和定性方法。定量分析是试图从财务价值上对构成风险的信息资产的各项要素进行量化分析评价的一种方法,由于定量分析所依赖的数据的可靠性和有效性很难保证,加之对数据统计缺乏长期性,所以,定量分析方法在银行信息科技风险评价中并不常用,取而代之的是更容易实施的定性分析方法。
定性风险评价并不强求对构成风险的各个要素进行精确的量化评价,它有赖于评价者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出优先顺序即可。事实上,银行最关心的是业务活动的持续性,对于影响业务活动持续性的各种风险问题,在有限的资源支持情况下,只需要抓住最突出的问题,有针对性地采取措施即可。
二、信息科技风险计量方法
风险计量是在风险识别的基础上,根据信息科技风险组成要素的相关属性进行赋值,进行综合计算最终获得信息科技风险值。信息资产的属性主要是资产价值,威胁的属性主要是威胁主体、影响程度、影响范围等,脆弱性的属性主要是信息资产缺陷的严重程度。风险计量的主要内容是对信息资产进行识别,并对信息资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁潜在影响程度赋值;对信息资产的脆弱性进行识别,并对具体信息资产的脆弱性的严重程度赋值。风险计量原理如图1所示,具体计量方法进行如下介绍。
1.信息资产风险的计量
信息资产是指任何对银行具有价值的信息资产,包括计算机硬件、通信设施、机房、数据库、文档信息、软件、信息服务和人员等,所有这些信息资产都需要妥善保护。为了进一步定义其价值,一般需将其分类,除一般认可的软件、硬件、数据信息资产外,还需增加人员、服务等项目,在此基础上可进一步细分,以达到精细化管理的要求。对细分后的信息资产,需定义其价值。这里所讲的价值并不是财物价格,而是从信息科技风险的角度,即机密性、完整性、可用性的价值取值。如果采取三级分类法对信息资产进行划分,分类标准参照如下。
(1)关键信息资产:从保密性而言,对应为机密级,涵盖重要的信息、信息处理设施和系统资源,只能给少数必须知道者(特定的任务群体),一旦泄漏,会造成严重的损害(部门或特定范围)。
(2)重要信息资产:从保密性而言,对应为秘密级,涵盖一般性的商业秘密,泄漏后会造成一定的损害,但不会造成重大的影响与损失。未经授权的更改、破坏或误操作对信息系统造成一定的影响,或给业务带来明显冲击。
(3)普通信息资产:并非敏感信息,主要限于内部使用。一旦泄漏,并不会造成显著的影响。很难采用精确的财务方式来给信息资产确定价值,一般采用定性的方式来建立信息资产的价值或重要度,即按照事先确定的价值尺度将信息资产的价值划分为不同等级。经过信息资产识别与估价后,组织应根据信息资产价值的大小进一步确定需要保护的关键信息资产。
2.威胁风险的计量
威胁风险的计量用以评价威胁发生时对信息资产造成的潜在影响或后果,威胁一般能对信息基础设施进行损坏,还有可能导致信息泄密,或信息完整性和可用性受损,信息服务质量下降,严重的甚至可能造成信息系统崩溃、信息服务中断,直接影响银行的经营利润和声誉风险。不同的威胁可能对银行及其信息资产的影响程度不尽相同,其导致的价值损失可能也不一样,威胁的可能性可以采取资产的相对价值的损失度来衡量,资产的相对价值是通过折旧损耗之后资产的现值,价值损失度表示当信息资产遭遇威胁攻击之后,信息资产及信息服务质量遭受损失的程度。威胁的可能性一般可分为三级,取值标准如下。
(1)高:在业务活动持续期间,威胁发生后,会对资产的相对价值造成全部损失或巨大损失。
(2)中:在业务活动持续期间,威胁发生后,会对资产的相对价值造成中度损失或局部损失。
(3)低:在业务活动持续期间,威胁发生后,会对资产的相对价值造成轻微损失或零损失。
3.脆弱性风险的计量
由于组织、人员、管理、技术、流程、信息资产本身的缺陷,导致信息资产和信息基础设施在某些方向存在一定的脆弱性,这些脆弱性在信息系统连续运行的过程中,当遇到某种环境或某类事件时,就会被激发或体现出来,它可能导致信息资产直接受损或信息系统运行质量下降,同时还有可能被某种威胁利用,导致较为严重的后果。因此,应该针对每一项需要保护的信息资产,分析其脆弱性存在的地方及严重程度,评价由于其脆弱性的存在,当意外事件或威胁发生时,会给银行带来的直接或间接的损失或伤害。信息资产脆弱性一般分为三级,取值标准如下。
(1)高:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产立即停止为相关业务提供服务。
(2)中:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产降低为相关业务提供服务的效率,但服务仍可继续。
(3)低:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产对继续为相关业务提供服务没有影响。
最终每项信息资产的风险状况可用以下方法简单计算得到:
风险值=信息资产价值*威胁可能性*弱点严重性
资产价值、威胁可能性、脆弱性严重性采用三级分类,其低、中、高取值分别为
1、
2、3,资产的风险值则有
1、
2、
3、
4、
6、
8、
9、
12、
18、27等结果。我们可以定义风险值在l至9的资产为低风险资产,风险值12至18为中等风险资产,风险值27为高风险资产。银行可根据自己的风险偏好,确定可接受的风险程度,如低风险可接受,而中高风险不可接受,然后对不可接受风险采取相应的控制措施。通过降低风险发生的可能性,确保信息资产的残余风险控制在银行可接受的范围内。
三、银行信息科技风治理思路
按照国际信息系统审计与控制协会ISACA的观点,信息科技风险治理是一个由各类信息关系和信息科技风险治理活动过程组成的治理结构,用以指导、分析和控制信息科技风险。信息科技风险治理的主要目标是为了采取一定的有效措施,规避信息科技风险带来的损失,同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。因此,不仅仅要从技术层面规避风险,同时要从流程、技术、人员三个不可分离的层面来从事信息科技风险的管理工作。目前在信息科技风险管控方面,银行还需满足外部监管部门的要求,从而避免给银行带来更大的合规风险。
1.提出信息科技风险治理需求
信息科技风险是信息系统各组成要件在履行其应用功能过程中,在完整性、可用性、抗否认性和机密性等方面存在的脆弱性,以及信息系统内部或外部的人们利用这些脆弱性可能产生的违背信息系统所属组织风险管理意志的行为及其后果。信息科技风险治理需求则是对抗和消除信息科技风险治理风险的必要}生和可行陛,它是制定和实施信息科技风险治理策略的起点和依据。在制定信息科技风险治理策略前,首先需要进行信息科技风险治理风险识别,充分分析信息科技风险治理需求。为此,银行需要详细分析银行信息系统的构成,所要保护的信息系统资源类别,以及对攻击者攻击目的、技术手段和造成的后果的假设,兼顾所受到的已知的、可能的和与该系统有关的威胁,以及构成信息系统各部件的缺陷和隐患共同形成的风险等,从而提出信息科技风险治理需求。
2.确定信息科技风险治理策略
信息科技风险治理需求转变为信息科技风险治理策略主要把握三个平衡标准:一是能够采取一定的方法将信息科技风险降到可以接受的程度;二是潜在的信息科技风险的威胁随时有可能对现有信息资产的价值进行催毁或造成较大程度的损失;三是银行自身的合规建设和外部监管部门的合规要求。
一个较好的信息科技风险治理策略,应该最大限度地按照信息科技风险治理等级保护要求对信息资产的脆弱性进行保护,对信息资产面临的威胁进行防控、规避或消除,能够体现系统资源拥有者和管理者的信息科技风险治理意志和思路,保证攻击信息系统所花的代价远远大于获取信息资产的现值和潜在价值。同时,信息科技风险治理策略应尽可能地制约所预见的系统风险及其变化,并在维持“风险一信息科技风险治理一投资”关系中具有持续平衡能力。
3.建立信息科技风险治理体系
将信息科技风险治理策略付诸实施的关键,是建立起符合银行实际的保障信息资产的信息科技风险治理组织体系、管理体系和技术体系,从而在管理和技术上保证信息科技风险治理策略得以完整准确地实现,全面准确地满足信息科技风险治理需求。其中,组织体系是信息系统信息科技风险治理的组织保障,由人、岗位和人事管理机构三部分组成;管理体系是信息科技风险治理的灵魂,由法律管理、制度管理、培训和管理四部分组成,信息科技风险治理需求分析和信息科技风险治理策略制定是其关键内容;技术体系是全面提供信息科技风险治理保护的技术保障系统,包括确定必需的信息科技风险治理服务、信息科技风险治理机制和技术管理以及它们在信息系统上的合理部署和配置。
四、信息科技风险防控方法
通过对银行信息科技治理、全面的信息科技项目风险管理、信息系统开发、维护、运行管理、信息风险体系的建立、银行业务连续性管理、技术外包管理、内部和外部审计等几方面结合,具体论述银行各类信息科技风险的防控策略和建立一体化防控机制的措施,通过建立有效的防控机制,实现对银行信息科技风险的识别、计量、评价和控制,提供风险预警,增强银行的核心竞争力和可持续发展的能力。
1.建立信息科技风险治理的决策议事机构
在银行风险管理委员会和信息化委员会的基础上,在其下面建立信息科技风险治理的议事决策机构——信息科技风险管理分委会,信息科技风险管理分委会由银行的最高管理层及与信息科技风险治理有关的部门负责人、管理技术人员组成,定期召开会议,并就以下重要信息科技风险治理议题进行讨论并做出决策,为银行信息科技风险治理提供导向与支持:评审和审批信息科技风险治理策略;分配信息科技风险治理职责;确认风险评价的结果;对与信息科技风险治理有关的重大更改事项,如组织机构调整、信息系统更改等进行决策;评审和监测信息科技风险治理事故;审批与信息科技风险治理有关的其他重要事项。
2.明确信息科技风险治理的职责和流程
职责缺乏或界定不清,最终导致信息科技风险控制得不到有效的实施,形成管理风险。银行最高管理者应确保对以下信息科技风险治理职责进行规定并形成书面文件:管理层职责,部门职责;在管理层指定一名信息科技风险治理经理,分管银行信息科技风险治理事宜,负责银行的信息科技风险治理方针的贯彻与落实,就信息科技风险治理的效果与有关重大问题及时与最高管理者进行沟通。确定与信息科技风险治理有关的管理、操作、验证等人员的职责;基本原则就是告知管理层和员工信息科技风险治理时的行为和方法,特别是在信息科技风险治理通常不被重视的地方。
3.建立信息系统的安全等级保护机制
银行需要按照国家及监管部门有关等级保护的管理规范和技术标准开展等级保护工作,建设风险设施、建立风险制度、落实风险责任,接受公安机关、保密部门对信息系统安全等级保护工作的监督、指导,保障信息系统风险。信息系统安全等级保护工作的原则为:对照标准定级,各信息系统风险保护等级的确定须对照监管部门或总行关于等级划分和定级的标准来确定;分级实施保护,根据确定的信息系统风险保护等级,按照相关的法规和标准,分级别实施不同强度的风险保护;建设保护同步,信息系统在新建、改建、扩建时须同步规划和设计风险方案,并组织实施;等级动态调整.信息系统的功能和系统架构发生重大变化的,须重新进行等级确定并实施风险保护。
4.加强与其他关联组织间的协作
信息科技发展日新月异,信息安全产品与技术不断翻新,信息安全威胁的手段与种类也在不断地变化。因此,对于外行来说,信息科技风险治理的某些方面是复杂的和困难的,对内行来说,同样也是复杂的和困难的。银行可通过各种方式,获取信息科技风险治理方面的建议以支持信息科技风险治理。与信息科技风险治理有关的国家管理机关有公安部、国家安全局、信息产业部等,银行在遵守信息科技风险治理法律法规的方面,应服从与信息科技风险治理有关的国家执法机构、人民银行和银监会的管理和指导。银行有必要保持和它们以及同业银行、信息服务供应商、电信运营商的适当联系,以确保在出现风险事故时尽快采取适当的行动和获得建议。但在进行风险信息的交流时,要防止银行的机密信息传给未经授权的人。
5.对信息科技风险治理工作进行独立评审
信息科技风险治理以风险出现的可能性作为对象而展开的,遵循管理的一般循环模式:计划、执行、检查、行动的持续改进模式。为验证各项信息科技风险治理方针及控制程序、风险管理规章制度是否被有效实施,发现风险隐患并采取纠正措施,防止同样的问题再次发生,可以通过内部审核或外部审核达到上述目的。所谓审核的“独立”性是指审核员与被审核方保持适当的独立性,即被审核方不应审核自己的工作,确保信息科技风险治理体系和策略的公正与可靠。
