張堯禎

風(fēng)險管理一直是各企業(yè)首席信息官最關(guān)心的話題之一，無論企業(yè)規(guī)模是大是小，其對于安全的關(guān)注往往是第一位的，尤其是以服務(wù)化為主的企業(yè)如銀行、保險等金融類企業(yè)對于信息安全已經(jīng)成為信息化的頭等重要的事情。然而信息科技并不是萬能的，信息科技風(fēng)險跟其他的業(yè)務(wù)風(fēng)險存在很多的不同。2015年6月26日在陸家嘴論壇上，新加坡金融管理局局長拉維·梅農(nóng)表示，國際金融體系現(xiàn)在有兩大趨勢正在形成，一是市場的流動性風(fēng)險；二是網(wǎng)絡(luò)風(fēng)險。針對網(wǎng)絡(luò)風(fēng)險問題，梅農(nóng)指出，在銀行業(yè)、投資以及在支付方面非常依賴于因特網(wǎng)和移動互聯(lián)網(wǎng)，但是在網(wǎng)絡(luò)方面安全性的攻擊也在上升。這也就意味著一個機構(gòu)的網(wǎng)絡(luò)安全如果出了問題，就會導(dǎo)致整個系統(tǒng)性的風(fēng)險。新加坡金管局局長如此強調(diào)網(wǎng)絡(luò)安全的重要性，體現(xiàn)了新加坡金管局對網(wǎng)絡(luò)安全的高度重視，而網(wǎng)絡(luò)安全是銀行信息科技風(fēng)險中的重要組成部分。信息科技風(fēng)險是指商業(yè)銀行運用信息科技過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的風(fēng)險。信息科技風(fēng)險與其他領(lǐng)域的風(fēng)險相比，破壞性大、影響面廣、隱蔽性高、專業(yè)性強，其風(fēng)險管控的難度更大。正因如此，《巴塞爾新資本協(xié)議》將其作為操作風(fēng)險中的重點進行防控。新加坡在信息科技風(fēng)險監(jiān)管防控方面積累了豐富經(jīng)驗，值得我國學(xué)習(xí)借鑒。

主要內(nèi)容

對銀行和信用卡支付卡授權(quán)商的系統(tǒng)風(fēng)險管理。新加坡金管局在2013年6月21日發(fā)布了644號和644A號通知，并于2014年7月1日起開始執(zhí)行。兩個通知分別對在新加坡的銀行和信用卡或支付卡授權(quán)商的系統(tǒng)風(fēng)險管理做了安排。644A號文規(guī)定信用卡或支付卡授權(quán)商是被授權(quán)依法進行在新加坡開立信用卡或支付卡業(yè)務(wù)的個人。通知規(guī)定，銀行和信用卡或支付卡授權(quán)商應(yīng)該落實一個框架，處理識別核心系統(tǒng)，盡最大努力維持核心系統(tǒng)的高可靠性，確保每一個影響和授權(quán)商操作和對客戶服務(wù)的核心系統(tǒng)的最大意外停機每12個月不超過4小時。并且銀行和授權(quán)商應(yīng)該建立一個修復(fù)時間目標(biāo)（RTO，指從故障發(fā)生到系統(tǒng)修復(fù)的持續(xù)時間），對于每一個核心系統(tǒng)不超過4個小時。每12個月須至少驗證并且記錄一次核心系統(tǒng)在系統(tǒng)修復(fù)測試中的表現(xiàn)以及測試時間。一旦核心系統(tǒng)發(fā)生故障或事故，銀行和授權(quán)商應(yīng)在1小時以內(nèi)通知新加坡金管局。在重大事件發(fā)生的14天以內(nèi)，或者經(jīng)當(dāng)局許可的更長一段時間內(nèi)，銀行和授權(quán)商應(yīng)向新加坡金管局提交一份根本原因和沖擊分析報告。報告應(yīng)該包括：重大事件的綜合摘要、觸發(fā)重大事件的根本原因分析、描述重大事件對銀行的沖擊、描述已采取的補救措施以解決根本原因和重大事件的結(jié)果。最后，銀行和授權(quán)商應(yīng)實施IT控制以保護客戶信息免遭非法入侵和曝光。

有關(guān)IT外包的監(jiān)管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監(jiān)管作了明確規(guī)定。文件中指出，外包是指位于新加坡國內(nèi)外的一個或多個提供第三方IT技術(shù)和設(shè)備的供應(yīng)商，包括從系統(tǒng)開發(fā)、維護和支持到數(shù)據(jù)中心操作、網(wǎng)絡(luò)管理、故障修復(fù)服務(wù)、應(yīng)用托管和云計算。金融機構(gòu)要落實正確的框架、政策和流程去評估、審批、復(fù)審、控制和監(jiān)控所有外包活動的風(fēng)險和實質(zhì)。在與外包商簽訂合同之前，金融機構(gòu)應(yīng)該就所有的外包建議做一個徹底的風(fēng)險評估，可以參考基于移動終端的信息化應(yīng)用服務(wù)（MAS）的外包技術(shù)調(diào)查問卷作為進一步指導(dǎo)，金融機構(gòu)在簽訂任何外包委托之前向服務(wù)商提交完成后的問卷。新加坡金管局沒有直接涵蓋對銀行技術(shù)外包服務(wù)商（TSP-Technology Service Providers）的具體要求，而是要求金融機構(gòu)確保外包商采用高標(biāo)準(zhǔn)的政策和流程以確保敏感信息的機密性和安全性，敏感信息例如客戶資料、計算機文件、檔案、目標(biāo)程序和源代碼。在與外包商的合同終止時，金融機構(gòu)應(yīng)該在有合同的保證下，可以快速移除或銷毀所有的IT信息和資產(chǎn)。

對個人移動設(shè)備的監(jiān)管。2014年9月26日，新加坡金管局發(fā)布了《Circular SRD TR02 2014》，對金融機構(gòu)中“自帶設(shè)備”所帶來的風(fēng)險進行了規(guī)定。文件中指出“自帶你的移動設(shè)備”（BYOD）是越來越多的金融機構(gòu)采用的一種相對較新的實踐，讓員工從他們的個人移動設(shè)備訪問公司電子郵件、日歷、應(yīng)用程序和數(shù)據(jù)。但是“自帶設(shè)備”相應(yīng)地會增加金融風(fēng)險，金融機構(gòu)應(yīng)該發(fā)展出一套綜合的防止資料損失的策略，去保護敏感或機密的用戶信息。一些不利于策略有效應(yīng)用的因素包括幾個方面，第一，隱私和個人使用的沖擊。在“自帶設(shè)備”環(huán)境中，雇員可以根據(jù)他們的選擇自由在他們的移動設(shè)備上安裝應(yīng)用，并且拒絕安裝特定的安全軟件；第二，不同的設(shè)備組合。實施“自帶設(shè)備”的金融機構(gòu)將不得不支持大范圍的設(shè)備，操作系統(tǒng)和應(yīng)用組合。這將造成一個一致而有效的方式難以被應(yīng)用于不同平臺的混合環(huán)境；第三，缺乏對于設(shè)備升級的控制。在自帶設(shè)備的環(huán)境中，雇員們可以隨意在他們的個人設(shè)備上安裝應(yīng)用和運行軟件升級，這可能給他們的設(shè)備帶來安全漏洞和惡意軟件。這將危及可由這些設(shè)備進入的金融機構(gòu)的資料和公司系統(tǒng)，第四，移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段。 兩個常見的解決“自帶設(shè)備”安全隱患的方法是使用移動設(shè)備管理和虛擬化。移動設(shè)備管理方面，在移動設(shè)備被許可進入公司網(wǎng)絡(luò)之前，設(shè)備要被驗證以確保沒有被越獄或被嵌入的風(fēng)險。移動設(shè)備管理方法也可以在一個沙盒環(huán)境（指在一個受限制的操作系統(tǒng)環(huán)境中執(zhí)行一個應(yīng)用去保護公司應(yīng)用可能使用的資源）中管理公司應(yīng)用、資料、政策和設(shè)置。這樣做目的是允許雇員們自由地使用設(shè)備，同時使企業(yè)得以保護其工作環(huán)境。一個健全的移動設(shè)備管理方法應(yīng)該被應(yīng)用于所有的“自帶設(shè)備”安排中。在虛擬化方面，允許雇員們通過一個請求式的入口從他們的移動設(shè)備進入公司的資源和資料，使用強力認(rèn)證和網(wǎng)絡(luò)加密。由于公司的資料在公司數(shù)據(jù)中心內(nèi)部處理而不能被下載進入移動設(shè)備。在虛擬環(huán)境中嚴(yán)格的安全政策限制外圍設(shè)備的復(fù)制和使用，例如打印機，可移動存儲設(shè)備等，以幫助防止數(shù)據(jù)進一步的數(shù)據(jù)泄露。

新加坡金管局要求，如果金融機構(gòu)不能夠恰當(dāng)?shù)毓芾硐嚓P(guān)的安全風(fēng)險，則不應(yīng)該實施自帶設(shè)備。金融機構(gòu)要牢記保持警戒并且緊跟移動領(lǐng)域的技術(shù)進步和關(guān)注緊急威脅。定期在自帶設(shè)備基礎(chǔ)設(shè)施上實施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調(diào)整。

對我國的啟示

2006年銀監(jiān)會發(fā)布《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》（以下簡稱《指引》），填補了我國銀行業(yè)信息系統(tǒng)監(jiān)管領(lǐng)域的空白，為推動國內(nèi)銀行業(yè)信息科技風(fēng)險管理奠定了基礎(chǔ)。2009年3月，銀監(jiān)會對原《指引》進行修訂，并重新定名為《商業(yè)銀行信息科技風(fēng)險管理指引》。新《指引》貫徹了“管法人、管風(fēng)險、管內(nèi)控、提高透明度”的銀行監(jiān)管理念。新《指引》規(guī)定，“商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人”。要求商業(yè)銀行建立有效的機制，實現(xiàn)對信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平。要求商業(yè)銀行在信息系統(tǒng)開發(fā)、測試和維護以及服務(wù)外包過程中加強對客戶信息的保護，防止敏感信息泄露，對業(yè)務(wù)連續(xù)性管理也加以規(guī)范，保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。在新《指引》中，提出要構(gòu)建信息科技風(fēng)險管理的三大防線，即信息科技管理、信息科技風(fēng)險管理、信息科技風(fēng)險審計。

從銀監(jiān)會對商業(yè)銀行信息系統(tǒng)風(fēng)險管理的現(xiàn)場檢查實踐來看，主要有如下幾個問題：高層的知曉度和參與度較低，存在重建設(shè)、輕管理的現(xiàn)象；信息科技風(fēng)險管理三道防線的設(shè)置存在缺失、重合和分工不清晰的問題；信息系統(tǒng)開發(fā)風(fēng)險須引起全行更多關(guān)注；銀行業(yè)金融機構(gòu)對災(zāi)難性、突發(fā)性事件的應(yīng)對能力有待提升。

新加坡金管局從2001年開始開展信息科技風(fēng)險監(jiān)管工作，經(jīng)過不斷實踐、探索，摸索出一套較為先進的監(jiān)管做法。新加坡金管局的信息科技風(fēng)險監(jiān)管由現(xiàn)場檢查和非現(xiàn)場監(jiān)管構(gòu)成?，F(xiàn)場檢查的工作方式有訪談、調(diào)閱資料、現(xiàn)場取證等，檢查結(jié)束后金管局給金融機構(gòu)檢查意見書，金融機構(gòu)要在三個星期內(nèi)向金管局提交整改報告（已整改的問題、未整改問題的整改計劃），金管局會在下次現(xiàn)場檢查時核查整改情況。金融機構(gòu)按照新加坡金管局的要求填報調(diào)查問卷作為非現(xiàn)場監(jiān)管的資料。在處罰方面，罰款是處罰的一種方式，另一種處罰方式是提高存款準(zhǔn)備金率。另外，新加坡金管局定期召集商業(yè)銀行高管人員會議傳達科技監(jiān)管信息。金管局利用此種形式，向被監(jiān)管機構(gòu)定期講解信息科技風(fēng)險發(fā)展的最新形勢，對金融機構(gòu)進行技術(shù)輔導(dǎo)，警示風(fēng)險，并介紹有關(guān)風(fēng)險領(lǐng)域的解決方案。

結(jié)合新加坡的監(jiān)管安排及我國銀行及監(jiān)管的實踐，新加坡的監(jiān)管經(jīng)驗對我國有一定的啟發(fā)。

加強我國信息科技風(fēng)險管理部門建設(shè)。大力度培養(yǎng)復(fù)合型信息科技風(fēng)險監(jiān)管人員，提高科技人員的業(yè)務(wù)監(jiān)督能力，推動業(yè)務(wù)監(jiān)管人員掌握信息科技監(jiān)督知識。

進一步完善我國銀行業(yè)信息科技風(fēng)險監(jiān)管的有關(guān)規(guī)章制度。有必要完善信息科技風(fēng)險評估體系，系統(tǒng)分析銀行業(yè)機構(gòu)采取的風(fēng)險防控措施的有效性，客觀評價銀行業(yè)機構(gòu)信息科技風(fēng)險管理水平；建立健全IT外包監(jiān)管體系，建立IT外包監(jiān)督流程，要求商業(yè)銀行健全外包商的風(fēng)險評估機制，加強對外包風(fēng)險的識別和監(jiān)控；進一步出臺有關(guān)銀行數(shù)據(jù)保護規(guī)范或政策，要求商業(yè)銀行對數(shù)據(jù)進行分類、定級，確定不同的保護措施和方法。

向銀行業(yè)及時提示信息科技風(fēng)險信息。各級銀行監(jiān)管機構(gòu)應(yīng)定期召集轄內(nèi)商業(yè)銀行信息科技工作高級管理人員舉辦情況通報會議，每次會議選定重點關(guān)注的信息科技風(fēng)險點，及時傳達監(jiān)管部門的工作意圖，使商業(yè)銀行能夠及時獲取風(fēng)險控制手段和工作技巧。

因此，對于我國銀行機構(gòu)防控信息系統(tǒng)風(fēng)險來說，有如下幾點應(yīng)予以重視。

加強對電子支付欺詐案件的防范。首先，網(wǎng)上支付安全最重要的基礎(chǔ)是客戶端的安全。MAS認(rèn)為客戶端安全的責(zé)任在銀行而非客戶本身，銀行有義務(wù)對客戶進行安全教育，并提供更安全和便捷的技術(shù)工具去增強客戶端的安全性。其次，加快推廣銀行卡的EMV（芯片卡）和動態(tài)認(rèn)證的實施進程。相對于磁條卡，EMV有安全性高和不易偽造的特點。在芯片卡的認(rèn)證方式上，MAS要求銀行發(fā)放動態(tài)和混合數(shù)據(jù)認(rèn)證的芯片卡并逐步替代已有的靜態(tài)數(shù)據(jù)認(rèn)證芯片卡，以解決靜態(tài)卡中可能存在的仿冒風(fēng)險，以強化電子支付的安全性。

強化銀行數(shù)據(jù)安全問題的關(guān)注。近年來國際上發(fā)生的一系列數(shù)據(jù)丟失并導(dǎo)致了客戶資金被盜等惡性案件。如2009年8月德國某銀行由于數(shù)據(jù)泄漏而導(dǎo)致了30萬歐元的經(jīng)濟損失，2010年3月匯豐瑞士私人銀行的一個IT員工竊取了該行24000個賬戶信息。新加坡金管局在其許多監(jiān)管文件中都反復(fù)提到了數(shù)據(jù)泄露保護（DLP-Data Loss Prevention）。在IT外包，核心系統(tǒng)可靠性和個人移動設(shè)備管理上下大力氣保護敏感信息的機密性和安全性。借鑒國際銀行業(yè)數(shù)據(jù)中心先進經(jīng)驗，加強對銀行數(shù)據(jù)中心、災(zāi)難恢復(fù)能力的建設(shè)。深入研究和解決目前在災(zāi)難備份系統(tǒng)建設(shè)方面存在的突出問題和技術(shù)難點。

加強信息科技風(fēng)險管理的國際合作。重視對國際同業(yè)及國際金融中心監(jiān)管機構(gòu)在信息科技風(fēng)險方面的管理和監(jiān)管最新動態(tài)，及時加強與這些先進同業(yè)和先進監(jiān)管機構(gòu)的學(xué)習(xí)、理解。重視和探索與監(jiān)管機構(gòu)之外的第三方專業(yè)機構(gòu)合作，如了解和參與國際信息系統(tǒng)審計協(xié)會等國際專業(yè)性組織的活動等，掌握信息科技風(fēng)險前沿動態(tài)，不斷提升銀行信息科技風(fēng)險監(jiān)管水平。

（作者單位：中國科學(xué)院大學(xué)微電子研究所）