金融機構信息資產安全與操作風險管理

[摘要]面對日趨復雜的金融活動，金融操作風險已經成為金融機構越來越顯著的風險因素，操作風險的監管日趨重要。金融機構作為“信息系統依賴型”企業和“信息資產密集型”企業，對信息系統的依賴程度不斷增強。金融信息系統的安全性、可靠性、有效性直接關系到整個金融業的安全和穩健。本文借鑒MSF風險管理框架，結合金融機構操作風險威脅和信息資產安全特點，提出金融機構完善信息資產安全、進行操作風險管理的初步框架。

[關鍵詞]金融機構；信息資產；操作風險；風險管理

金融機構操作風險具有不同于信用風險和市場風險的顯著特征，是其基礎性風險。巴塞爾委員會對操作風險的定義是：“操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。”它是指由于不當或不足的方式操作業務或外部事件而對銀行業務帶來負面影響的可能性。操作風險是與銀行業務操作緊密相聯系的風險，它和信用風險、市場風險共同構成商業銀行的三大風險。對于操作風險的監管。直接涉及銀行信息資產風險的監管，銀行信息資產風險監管與操作風險監管有著密切關系，加強操作風險的監管，就必須高度重視信息資產風險的監管。

一、IT環境下操作風險的挑戰

(一)IT環境下操作風險的隱患

當前由于銀行系統漏洞或缺陷導致的操作風險事件呈現出上升趨勢。據銀監會通報，2007年以來銀行業發生的5起典型信息系統風險事件，分別是：2007年3月21日，交通銀行因主機監控軟件存在缺陷，導致業務交易阻塞，系統癱瘓近4個小時，所有營業網點無法正常開展業務；2007年8月15日，中國工商銀行對計算機系統進行升級，由于沒有避開業務高峰期，導致個人業務系統運行不暢，業務辦理速度緩慢，部分代理證券業務受阻，在持續5個半小時后，系統才逐步恢復正常；2007年10月18日，中國建設銀行股民保證金第三方存管系統出現故障，與券商的交易無法正常進行，事故持續了兩個小時，在證券交易收盤后才恢復正常；2007年12月21日，招商銀行因運行中心核心網絡設備出現故障，造成業務無法正常進行，雖啟動了應急預案，但仍然中斷營業近1個小時：2008年1月7日，北京銀行因主干專線的入戶接入設備發生故障，造成在京117家支行所屬網點柜臺交易緩慢，業務無法正常進行，故障在1個多小時后才得以解決。上述案例中，既有信息系統自身原因引發的故障，也有人員操作失誤引發的故障，信息系統風險已成為商業銀行關注和防范的焦點。

金融業信息技術事故統計表明，如果銀行系統中斷1小時，將直接影響該行的基本支付業務；中斷1天，將對其聲譽造成極大傷害；中斷2—3天以上不能恢復。將直接危及其他銀行乃至整個金融系統的穩定。目前。我國銀行業的IT建設正處于高速發展期，在設備規模和技術水平不斷提高的同時，信息科技風險管理顯得相對薄弱。

技術型操作風險的隱患源于：1.操作系統漏洞。銀行應用的Unix，Win-dows等操作系統存在一定安全隱患；2.安全設施的漏洞。網絡層、應用層的防火墻自身是否安全、設置是否錯誤，需要經過檢驗。美國一項調查表明，32％的泄密是由內部作案造成，所有的防火墻都不同程度地被黑客攻擊過；3.安全管理的漏洞。現有的一些信息系統缺少定期的安全測試與檢查，更缺少安全監控。在已破獲的采用計算機技術犯罪的案件中，內部授權人員作案的占58％；4.安全協議的漏洞。由于銀行網絡系統內部運行的各種協議(如TCP／IP，IPX／SPX等)是在資源及網絡技術均不成熟的情況下設計的，還存在著脆弱的認證機制、容易被竊聽和監視、易受欺騙等安全隱患；5.內控制度的漏洞。管理制度、運行規程不完善，不能有效地杜絕內部作案，更缺乏良好的故障處理反應機制。

(二)lT環境下操作風險的表現形式

技術導向型操作風險是指由于技術問題，特別是信息技術的應用對銀行的系統、流程、產品、服務和交易等產生不良影響而導致的操作風險，包括IT技術、網絡系統、產品的服務缺陷。以及外部法律、稅收和監管方面的變化對銀行沖擊而造成的風險。關于金融機構技術導向型操作風險涵蓋的范疇及其風險的含義，在2006年出臺的銀行業監督管理法中給出了明確定義：“主要包括總體風險，研發風險、運行維護風險、外包風險等信息系統生命周期幾個高風險點……其中，總體風險是指金融機構信息系統在策略、制度、機房、軟件、硬件、網絡、數據、文檔等方面影響全局或共有的風險；研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險；運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險；外包風險是指金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委托給業務或外部技術供應商時形成的風險。”

二、金融機構信息資產安全的需求

金融機構信息系統是指銀行業金融機構運用現代信息、通信技術集成的處理業務、經營管理和內部控制的系統。金融機構信息系統具有如下特點：1.金融信息化的建設以及網上銀行業務的迅猛發展，使得銀行等金融機構的業務集中度非常高。2.數據大集中后，由于單筆交易所跨越的網絡環節越來越多，信息系統對網絡的依賴性越來越高。3.信息安全性要求高，信息系統的各種文檔資料和用戶資料均需保密。

(一)信息資產安全的邊界

有關信息資產的含義，目前眾說紛紜，本文借鑒屈延文(2006)給出的定義，即信息資產是由信息范疇資產、系統范疇資產和附加范疇資產組成。其中信息范疇資產是指信息存在形式、信息內容、內容價值；系統范疇資產是指系統存在形式、系統行為、行為價值；附加范疇資產則是不同的關注者(計劃者、擁有者、設計者、實施者和用戶等)對信息與系統兩個范疇關注的需求價值(附加價值)。例如包括開發、運營、管理、維護和服務等產生的關注性的資產。

隨著信息技術的發展與應用，信息安全的內涵也在不斷的延伸。從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。

(二)信息資產安全性原則

信息，在ISO17799中被看作是一種資產，這種資產可以增加組織的價值，因而它也需要得到恰當的保護。信息資產安全需要保護信息資源，防止未經授權或偶然因素對信息資源的破壞、修改、非法利用或惡意泄露，以實現信息保密性、完整性與可用性的要求。在國際標準化組織的信息安全管理標準規范(1SO，IEC 17799)和其他一些機構的文獻中，都定義了信息安全的基本特性：如保密性，完整性。有效性；另外也可包括諸如真實性，可審計性，不可否認性和可控性等。

三、金融機構信息資產操作風險監管的對策

風險監管是信息資產安全管理的核心。信息系統風險管理的目標是通過建立有效的機制。實現對信息系統風險的識別、計量、評價、預警和控制，推動銀行業金融機構業務創新，提高信息化水平，增強核心競爭力和可持續發展能力。

(一)信息資產操作風險管理的原則和目標

實施信息資產風險管理的原則為：1.針對性。對金融機構信息資產所面臨的安全需求進行認真全面地分析，找出具有針對性的安全威脅。有的放矢地做好安全工作：2.均衡性。對信息安全的各個環節進行安全強度分析，找出信息安全的脆弱點，提出強度均衡的設計方案；3.時效性。在實施信息安全管理時，要量力而行，安全投入與所需要的功效相適應。即對信息安全面臨的威脅及可能承擔的風險進行定性和定量的分析，從而制定出合理的安全策略；4.獨立性。信息安全所采用的技術均應立足國內，不得直接引用未經消化改造的境外安全保密技術和設備；5.綜合性。信息安全必須通過技術、管理和安全基礎設施的綜合實施才能奏效，即信息安全=風險分析+執行策略+基礎實施+漏洞監測+實時響應。

金融機構信息資產安全管理的目標為：一是對信息資產安全現狀做出正確判斷；二是較為準確地估計特定系統風險；三是建立相應的控制風險的機制，并把這些機制融為一體形成防護體系；四是最大限度地提高系統的可用性，并把系統帶來的風險控制在可接受范圍內。

(二)構建信息資產操作風險管理框架

金融信息化環境下，很多機構的信息資產面臨諸多威脅(包括來自內部的威脅和來自外部的威脅)。威脅利用信息系統存在的各種漏洞(如：物理環境、網絡服務、主機系統、應用系統、相關人員、安全策略等)，對信息系統進行滲透和攻擊。如果滲透和攻擊成功，將導致企業資產的暴露。資產的暴露(如系統高級管理人員由于不小心而導致重要機密信息的泄露)，會對資產的價值產生影響(包括直接和間接的影響)。風險就是威脅利用漏洞使資產暴露而產生的影響的大小，這可以為資產的重要性和價值所決定。對企業信息系統安全風險的分析。就得出了系統的防護需求。根據防護需求的不同，制定系統的安全解決方案，選擇適當的防護措施，進而降低安全風險，并抗擊威脅。

信息安全風險是人為或自然的威脅利用系統存在的脆弱性引發的安全事件，并由于受損信息資產的重要性而對金融機構造成的影響。資產、威脅和脆弱性構成了風險的三個關鍵要素，而風險評估則是圍繞這些要素及其相關屬性依據國家有關管理要求和技術標準，對信息系統及其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。本文借鑒MSF風險管理框架，建立以操作風險管理為核心的信息資產安全模型。即風險識別、風險分析和分級、風險計劃和調度、風險跟蹤和報告、風險控制以及風險學習六個步驟。

1 風險識別。風險識別的目的是發現潛在的威脅，預防某個特定威脅利用某個特定系統的脆弱性對系統造成損失，威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環境因素。風險識別應該在信息系統的生命周期中不斷地重復。

2 風險分析與分級。風險分析是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。它是確認安全風險及其大小的過程，即利用定性或定量的方法，借助于風險評估工具，確定信息資產的風險等級和優先風險控制。

3 風險計劃和調度。風險計劃提取風險分析中獲得的信息并用其明確表達策略、計劃和工作。風險調度可以確保計劃被認可并融入標準的日常信息資產安全管理進程和基礎設施中，從而確保風險管理作為日常工作的一部分執行。

4 風險跟蹤。風險跟蹤監控特定風險的狀況以及它們各自工作計劃中的進展情況。風險跟蹤也包含監控變化風險的概率、影響、暴露程度以及其他因素，這些變化可能改變優先級或風險計劃、信息資產特性、資源或是進度表。風險跟蹤從風險等級的角度定義風險管理過程在信息資產中的可見度。

5 風險控制。風險控制是執行風險工作計劃和相關現狀報告的過程。風險控制也包含項目變化控制請求的初始化，而風險狀況或風險計劃的更改可能導致信息資產特性、資源或進度表的更改。

6 風險學習。使知識和相應項目案例及工具正式化，并在團隊和企業內部以可再度使用的形式提取知識。

信息系統的安全性、可靠性、有效性直接關系到整個金融業的安全和穩健運行。在當前構建和諧社會的重要階段，金融業的安全變得更為關鍵。操作風險防范的重要內容就是從技術防范為主的被動信息安全轉移到以預防為主的主動風險管理框架中來，把風險控制在可承受的范圍之內，為社會提供安全、持續的金融服務。

趙秀云教授簡介

天津財經大學教授，天津大學管理科學與工程博士，碩士生導師，會計碩士專業學位(MPACC)教育中心主任，澳大利亞紐卡素大學商學院高級訪問學者，曾獲天津財經學院優秀教師稱號。

主要研究方向：管理控制系統、財務信息系統分析與決策、會計信息系統風險控制、信息系統審計等。近年來，參加國家自然科學基金項目一項，主持并完成教育部等省部級項目四項，主持天津市普通高校教學改革等局級項目四項。撰寫財務信息化方面文章幾十篇，出版《財務信息化禁忌40例》(電子工業出版社，2007)等專著兩部。