论文部分内容阅读
风险管理一直是各企业首席信息官最关心的话题之一,无论企业规模是大是小,其对于安全的关注往往是第一位的,尤其是以服务化为主的企业如银行、保险等金融类企业对于信息安全已经成为信息化的头等重要的事情。然而信息科技并不是万能的,信息科技风险跟其他的业务风险存在很多的不同。2015年6月26日在陆家嘴论坛上,新加坡金融管理局局长拉维·梅农表示,国际金融体系现在有两大趋势正在形成,一是市场的流动性风险;二是网络风险。针对网络风险问题,梅农指出,在银行业、投资以及在支付方面非常依赖于因特网和移动互联网,但是在网络方面安全性的攻击也在上升。这也就意味着一个机构的网络安全如果出了问题,就会导致整个系统性的风险。新加坡金管局局长如此强调网络安全的重要性,体现了新加坡金管局对网络安全的高度重视,而网络安全是银行信息科技风险中的重要组成部分。信息科技风险是指商业银行运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。信息科技风险与其他领域的风险相比,破坏性大、影响面广、隐蔽性高、专业性强,其风险管控的难度更大。正因如此,《巴塞尔新资本协议》将其作为操作风险中的重点进行防控。新加坡在信息科技风险监管防控方面积累了丰富经验,值得我国学习借鉴。
主要内容
对银行和信用卡支付卡授权商的系统风险管理。新加坡金管局在2013年6月21日发布了644号和644A号通知,并于2014年7月1日起开始执行。两个通知分别对在新加坡的银行和信用卡或支付卡授权商的系统风险管理做了安排。644A号文规定信用卡或支付卡授权商是被授权依法进行在新加坡开立信用卡或支付卡业务的个人。通知规定,银行和信用卡或支付卡授权商应该落实一个框架,处理识别核心系统,尽最大努力维持核心系统的高可靠性,确保每一个影响和授权商操作和对客户服务的核心系统的最大意外停机每12个月不超过4小时。并且银行和授权商应该建立一个修复时间目标(RTO,指从故障发生到系统修复的持续时间),对于每一个核心系统不超过4个小时。每12个月须至少验证并且记录一次核心系统在系统修复测试中的表现以及测试时间。一旦核心系统发生故障或事故,银行和授权商应在1小时以内通知新加坡金管局。在重大事件发生的14天以内,或者经当局许可的更长一段时间内,银行和授权商应向新加坡金管局提交一份根本原因和冲击分析报告。报告应该包括:重大事件的综合摘要、触发重大事件的根本原因分析、描述重大事件对银行的冲击、描述已采取的补救措施以解决根本原因和重大事件的结果。最后,银行和授权商应实施IT控制以保护客户信息免遭非法入侵和曝光。
有关IT外包的监管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》对外包商的监管作了明确规定。文件中指出,外包是指位于新加坡国内外的一个或多个提供第三方IT技术和设备的供应商,包括从系统开发、维护和支持到数据中心操作、网络管理、故障修复服务、应用托管和云计算。金融机构要落实正确的框架、政策和流程去评估、审批、复审、控制和监控所有外包活动的风险和实质。在与外包商签订合同之前,金融机构应该就所有的外包建议做一个彻底的风险评估,可以参考基于移动终端的信息化应用服务(MAS)的外包技术调查问卷作为进一步指导,金融机构在签订任何外包委托之前向服务商提交完成后的问卷。新加坡金管局没有直接涵盖对银行技术外包服务商(TSP-Technology Service Providers)的具体要求,而是要求金融机构确保外包商采用高标准的政策和流程以确保敏感信息的机密性和安全性,敏感信息例如客户资料、计算机文件、档案、目标程序和源代码。在与外包商的合同终止时,金融机构应该在有合同的保证下,可以快速移除或销毁所有的IT信息和资产。
对个人移动设备的监管。2014年9月26日,新加坡金管局发布了《Circular SRD TR02 2014》,对金融机构中“自带设备”所带来的风险进行了规定。文件中指出“自带你的移动设备”(BYOD)是越来越多的金融机构采用的一种相对较新的实践,让员工从他们的个人移动设备访问公司电子邮件、日历、应用程序和数据。但是“自带设备”相应地会增加金融风险,金融机构应该发展出一套综合的防止资料损失的策略,去保护敏感或机密的用户信息。一些不利于策略有效应用的因素包括几个方面,第一,隐私和个人使用的冲击。在“自带设备”环境中,雇员可以根据他们的选择自由在他们的移动设备上安装应用,并且拒绝安装特定的安全软件;第二,不同的设备组合。实施“自带设备”的金融机构将不得不支持大范围的设备,操作系统和应用组合。这将造成一个一致而有效的方式难以被应用于不同平台的混合环境;第三,缺乏对于设备升级的控制。在自带设备的环境中,雇员们可以随意在他们的个人设备上安装应用和运行软件升级,这可能给他们的设备带来安全漏洞和恶意软件。这将危及可由这些设备进入的金融机构的资料和公司系统,第四,移动安全方法的成熟性。移动的安全方法仍然普遍处于起始阶段。 两个常见的解决“自带设备”安全隐患的方法是使用移动设备管理和虚拟化。移动设备管理方面,在移动设备被许可进入公司网络之前,设备要被验证以确保没有被越狱或被嵌入的风险。移动设备管理方法也可以在一个沙盒环境(指在一个受限制的操作系统环境中执行一个应用去保护公司应用可能使用的资源)中管理公司应用、资料、政策和设置。这样做目的是允许雇员们自由地使用设备,同时使企业得以保护其工作环境。一个健全的移动设备管理方法应该被应用于所有的“自带设备”安排中。在虚拟化方面,允许雇员们通过一个请求式的入口从他們的移动设备进入公司的资源和资料,使用强力认证和网络加密。由于公司的资料在公司数据中心内部处理而不能被下载进入移动设备。在虚拟环境中严格的安全政策限制外围设备的复制和使用,例如打印机,可移动存储设备等,以帮助防止数据进一步的数据泄露。
新加坡金管局要求,如果金融机构不能够恰当地管理相关的安全风险,则不应该实施自带设备。金融机构要牢记保持警戒并且紧跟移动领域的技术进步和关注紧急威胁。定期在自带设备基础设施上实施漏洞评估和渗透测试以确保任何安全漏洞被识别并尽快做出调整。 对我国的启示
2006年银监会发布《银行业金融机构信息系统风险管理指引》(以下简称《指引》),填补了我国银行业信息系统监管领域的空白,为推动国内银行业信息科技风险管理奠定了基础。2009年3月,银监会对原《指引》进行修订,并重新定名为《商业银行信息科技风险管理指引》。新《指引》贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念。新《指引》规定,“商业银行法定代表人是本机构信息科技风险管理的第一责任人”。要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平。要求商业银行在信息系统开发、测试和维护以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。在新《指引》中,提出要构建信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计。
从银监会对商业银行信息系统风险管理的现场检查实践来看,主要有如下几个问题:高层的知晓度和参与度较低,存在重建设、轻管理的现象;信息科技风险管理三道防线的设置存在缺失、重合和分工不清晰的问题;信息系统开发风险须引起全行更多关注;银行业金融机构对灾难性、突发性事件的应对能力有待提升。
新加坡金管局从2001年开始开展信息科技风险监管工作,经过不断实践、探索,摸索出一套较为先进的监管做法。新加坡金管局的信息科技风险监管由现场检查和非现场监管构成。现场检查的工作方式有访谈、调阅资料、现场取证等,检查结束后金管局给金融机构检查意见书,金融机构要在三个星期内向金管局提交整改报告(已整改的问题、未整改问题的整改计划),金管局会在下次现场检查时核查整改情况。金融机构按照新加坡金管局的要求填报调查问卷作为非现场监管的资料。在处罚方面,罚款是处罚的一种方式,另一种处罚方式是提高存款准备金率。另外,新加坡金管局定期召集商业银行高管人员会议传达科技监管信息。金管局利用此种形式,向被监管机构定期讲解信息科技风险发展的最新形势,对金融机构进行技术辅导,警示风险,并介绍有关风险领域的解决方案。
结合新加坡的监管安排及我国银行及监管的实践,新加坡的监管经验对我国有一定的启发。
加强我国信息科技风险管理部门建设。大力度培养复合型信息科技风险监管人员,提高科技人员的业务监督能力,推动业务监管人员掌握信息科技监督知识。
进一步完善我国银行业信息科技风险监管的有关规章制度。有必要完善信息科技风险评估体系,系统分析银行业机构采取的风险防控措施的有效性,客观评价银行业机构信息科技风险管理水平;建立健全IT外包监管体系,建立IT外包监督流程,要求商业银行健全外包商的风险评估机制,加强对外包风险的识别和监控;进一步出台有关银行数据保护规范或政策,要求商业银行对数据进行分类、定级,确定不同的保护措施和方法。
向银行业及时提示信息科技风险信息。各级银行监管机构应定期召集辖内商业银行信息科技工作高级管理人员举办情况通报会议,每次会议选定重点关注的信息科技风险点,及时传达监管部门的工作意图,使商业银行能够及时获取风险控制手段和工作技巧。
因此,对于我国银行机构防控信息系统风险来说,有如下几点应予以重视。
加强对电子支付欺诈案件的防范。首先,网上支付安全最重要的基础是客户端的安全。MAS认为客户端安全的责任在银行而非客户本身,银行有义务对客户进行安全教育,并提供更安全和便捷的技术工具去增强客户端的安全性。其次,加快推广银行卡的EMV(芯片卡)和动态认证的实施进程。相对于磁条卡,EMV有安全性高和不易伪造的特点。在芯片卡的认证方式上,MAS要求银行發放动态和混合数据认证的芯片卡并逐步替代已有的静态数据认证芯片卡,以解决静态卡中可能存在的仿冒风险,以强化电子支付的安全性。
强化银行数据安全问题的关注。近年来国际上发生的一系列数据丢失并导致了客户资金被盗等恶性案件。如2009年8月德国某银行由于数据泄漏而导致了30万欧元的经济损失,2010年3月汇丰瑞士私人银行的一个IT员工窃取了该行24000个账户信息。新加坡金管局在其许多监管文件中都反复提到了数据泄露保护(DLP-Data Loss Prevention)。在IT外包,核心系统可靠性和个人移动设备管理上下大力气保护敏感信息的机密性和安全性。借鉴国际银行业数据中心先进经验,加强对银行数据中心、灾难恢复能力的建设。深入研究和解决目前在灾难备份系统建设方面存在的突出问题和技术难点。
加强信息科技风险管理的国际合作。重视对国际同业及国际金融中心监管机构在信息科技风险方面的管理和监管最新动态,及时加强与这些先进同业和先进监管机构的学习、理解。重视和探索与监管机构之外的第三方专业机构合作,如了解和参与国际信息系统审计协会等国际专业性组织的活动等,掌握信息科技风险前沿动态,不断提升银行信息科技风险监管水平。
(作者单位:中国科学院大学微电子研究所)
主要内容
对银行和信用卡支付卡授权商的系统风险管理。新加坡金管局在2013年6月21日发布了644号和644A号通知,并于2014年7月1日起开始执行。两个通知分别对在新加坡的银行和信用卡或支付卡授权商的系统风险管理做了安排。644A号文规定信用卡或支付卡授权商是被授权依法进行在新加坡开立信用卡或支付卡业务的个人。通知规定,银行和信用卡或支付卡授权商应该落实一个框架,处理识别核心系统,尽最大努力维持核心系统的高可靠性,确保每一个影响和授权商操作和对客户服务的核心系统的最大意外停机每12个月不超过4小时。并且银行和授权商应该建立一个修复时间目标(RTO,指从故障发生到系统修复的持续时间),对于每一个核心系统不超过4个小时。每12个月须至少验证并且记录一次核心系统在系统修复测试中的表现以及测试时间。一旦核心系统发生故障或事故,银行和授权商应在1小时以内通知新加坡金管局。在重大事件发生的14天以内,或者经当局许可的更长一段时间内,银行和授权商应向新加坡金管局提交一份根本原因和冲击分析报告。报告应该包括:重大事件的综合摘要、触发重大事件的根本原因分析、描述重大事件对银行的冲击、描述已采取的补救措施以解决根本原因和重大事件的结果。最后,银行和授权商应实施IT控制以保护客户信息免遭非法入侵和曝光。
有关IT外包的监管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》对外包商的监管作了明确规定。文件中指出,外包是指位于新加坡国内外的一个或多个提供第三方IT技术和设备的供应商,包括从系统开发、维护和支持到数据中心操作、网络管理、故障修复服务、应用托管和云计算。金融机构要落实正确的框架、政策和流程去评估、审批、复审、控制和监控所有外包活动的风险和实质。在与外包商签订合同之前,金融机构应该就所有的外包建议做一个彻底的风险评估,可以参考基于移动终端的信息化应用服务(MAS)的外包技术调查问卷作为进一步指导,金融机构在签订任何外包委托之前向服务商提交完成后的问卷。新加坡金管局没有直接涵盖对银行技术外包服务商(TSP-Technology Service Providers)的具体要求,而是要求金融机构确保外包商采用高标准的政策和流程以确保敏感信息的机密性和安全性,敏感信息例如客户资料、计算机文件、档案、目标程序和源代码。在与外包商的合同终止时,金融机构应该在有合同的保证下,可以快速移除或销毁所有的IT信息和资产。
对个人移动设备的监管。2014年9月26日,新加坡金管局发布了《Circular SRD TR02 2014》,对金融机构中“自带设备”所带来的风险进行了规定。文件中指出“自带你的移动设备”(BYOD)是越来越多的金融机构采用的一种相对较新的实践,让员工从他们的个人移动设备访问公司电子邮件、日历、应用程序和数据。但是“自带设备”相应地会增加金融风险,金融机构应该发展出一套综合的防止资料损失的策略,去保护敏感或机密的用户信息。一些不利于策略有效应用的因素包括几个方面,第一,隐私和个人使用的冲击。在“自带设备”环境中,雇员可以根据他们的选择自由在他们的移动设备上安装应用,并且拒绝安装特定的安全软件;第二,不同的设备组合。实施“自带设备”的金融机构将不得不支持大范围的设备,操作系统和应用组合。这将造成一个一致而有效的方式难以被应用于不同平台的混合环境;第三,缺乏对于设备升级的控制。在自带设备的环境中,雇员们可以随意在他们的个人设备上安装应用和运行软件升级,这可能给他们的设备带来安全漏洞和恶意软件。这将危及可由这些设备进入的金融机构的资料和公司系统,第四,移动安全方法的成熟性。移动的安全方法仍然普遍处于起始阶段。 两个常见的解决“自带设备”安全隐患的方法是使用移动设备管理和虚拟化。移动设备管理方面,在移动设备被许可进入公司网络之前,设备要被验证以确保没有被越狱或被嵌入的风险。移动设备管理方法也可以在一个沙盒环境(指在一个受限制的操作系统环境中执行一个应用去保护公司应用可能使用的资源)中管理公司应用、资料、政策和设置。这样做目的是允许雇员们自由地使用设备,同时使企业得以保护其工作环境。一个健全的移动设备管理方法应该被应用于所有的“自带设备”安排中。在虚拟化方面,允许雇员们通过一个请求式的入口从他們的移动设备进入公司的资源和资料,使用强力认证和网络加密。由于公司的资料在公司数据中心内部处理而不能被下载进入移动设备。在虚拟环境中严格的安全政策限制外围设备的复制和使用,例如打印机,可移动存储设备等,以帮助防止数据进一步的数据泄露。
新加坡金管局要求,如果金融机构不能够恰当地管理相关的安全风险,则不应该实施自带设备。金融机构要牢记保持警戒并且紧跟移动领域的技术进步和关注紧急威胁。定期在自带设备基础设施上实施漏洞评估和渗透测试以确保任何安全漏洞被识别并尽快做出调整。 对我国的启示
2006年银监会发布《银行业金融机构信息系统风险管理指引》(以下简称《指引》),填补了我国银行业信息系统监管领域的空白,为推动国内银行业信息科技风险管理奠定了基础。2009年3月,银监会对原《指引》进行修订,并重新定名为《商业银行信息科技风险管理指引》。新《指引》贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念。新《指引》规定,“商业银行法定代表人是本机构信息科技风险管理的第一责任人”。要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平。要求商业银行在信息系统开发、测试和维护以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。在新《指引》中,提出要构建信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计。
从银监会对商业银行信息系统风险管理的现场检查实践来看,主要有如下几个问题:高层的知晓度和参与度较低,存在重建设、轻管理的现象;信息科技风险管理三道防线的设置存在缺失、重合和分工不清晰的问题;信息系统开发风险须引起全行更多关注;银行业金融机构对灾难性、突发性事件的应对能力有待提升。
新加坡金管局从2001年开始开展信息科技风险监管工作,经过不断实践、探索,摸索出一套较为先进的监管做法。新加坡金管局的信息科技风险监管由现场检查和非现场监管构成。现场检查的工作方式有访谈、调阅资料、现场取证等,检查结束后金管局给金融机构检查意见书,金融机构要在三个星期内向金管局提交整改报告(已整改的问题、未整改问题的整改计划),金管局会在下次现场检查时核查整改情况。金融机构按照新加坡金管局的要求填报调查问卷作为非现场监管的资料。在处罚方面,罚款是处罚的一种方式,另一种处罚方式是提高存款准备金率。另外,新加坡金管局定期召集商业银行高管人员会议传达科技监管信息。金管局利用此种形式,向被监管机构定期讲解信息科技风险发展的最新形势,对金融机构进行技术辅导,警示风险,并介绍有关风险领域的解决方案。
结合新加坡的监管安排及我国银行及监管的实践,新加坡的监管经验对我国有一定的启发。
加强我国信息科技风险管理部门建设。大力度培养复合型信息科技风险监管人员,提高科技人员的业务监督能力,推动业务监管人员掌握信息科技监督知识。
进一步完善我国银行业信息科技风险监管的有关规章制度。有必要完善信息科技风险评估体系,系统分析银行业机构采取的风险防控措施的有效性,客观评价银行业机构信息科技风险管理水平;建立健全IT外包监管体系,建立IT外包监督流程,要求商业银行健全外包商的风险评估机制,加强对外包风险的识别和监控;进一步出台有关银行数据保护规范或政策,要求商业银行对数据进行分类、定级,确定不同的保护措施和方法。
向银行业及时提示信息科技风险信息。各级银行监管机构应定期召集辖内商业银行信息科技工作高级管理人员举办情况通报会议,每次会议选定重点关注的信息科技风险点,及时传达监管部门的工作意图,使商业银行能够及时获取风险控制手段和工作技巧。
因此,对于我国银行机构防控信息系统风险来说,有如下几点应予以重视。
加强对电子支付欺诈案件的防范。首先,网上支付安全最重要的基础是客户端的安全。MAS认为客户端安全的责任在银行而非客户本身,银行有义务对客户进行安全教育,并提供更安全和便捷的技术工具去增强客户端的安全性。其次,加快推广银行卡的EMV(芯片卡)和动态认证的实施进程。相对于磁条卡,EMV有安全性高和不易伪造的特点。在芯片卡的认证方式上,MAS要求银行發放动态和混合数据认证的芯片卡并逐步替代已有的静态数据认证芯片卡,以解决静态卡中可能存在的仿冒风险,以强化电子支付的安全性。
强化银行数据安全问题的关注。近年来国际上发生的一系列数据丢失并导致了客户资金被盗等恶性案件。如2009年8月德国某银行由于数据泄漏而导致了30万欧元的经济损失,2010年3月汇丰瑞士私人银行的一个IT员工窃取了该行24000个账户信息。新加坡金管局在其许多监管文件中都反复提到了数据泄露保护(DLP-Data Loss Prevention)。在IT外包,核心系统可靠性和个人移动设备管理上下大力气保护敏感信息的机密性和安全性。借鉴国际银行业数据中心先进经验,加强对银行数据中心、灾难恢复能力的建设。深入研究和解决目前在灾难备份系统建设方面存在的突出问题和技术难点。
加强信息科技风险管理的国际合作。重视对国际同业及国际金融中心监管机构在信息科技风险方面的管理和监管最新动态,及时加强与这些先进同业和先进监管机构的学习、理解。重视和探索与监管机构之外的第三方专业机构合作,如了解和参与国际信息系统审计协会等国际专业性组织的活动等,掌握信息科技风险前沿动态,不断提升银行信息科技风险监管水平。
(作者单位:中国科学院大学微电子研究所)