李德波 謝宗曉

摘要：論文結(jié)合現(xiàn)有的標(biāo)準(zhǔn)/報(bào)告，初步探討了金融信息系統(tǒng)技術(shù)風(fēng)險(xiǎn)管理的問(wèn)題。這些報(bào)告主要包括：ISO/TR 13569：2005、ISO/IEC TR 27015：2012和新加坡金融管理局的《技術(shù)風(fēng)險(xiǎn)管理指引》。

關(guān)鍵詞： 金融機(jī)構(gòu) 金融信息系統(tǒng) 技術(shù)風(fēng)險(xiǎn)管理 信息安全

Financial Information System Technology Risk Management

Li Debo （ Inner Mongolia Information System Security Evaluation Center ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the technical risk management of financial information system based on the existing standards/reports. These reports mainly include： ISO/TR 13569： 2005， ISO/IEC TR 27015： 2012 and Technical Risk Management Guidelines.

Key words： financial institution， financial information system， technology risk management， information security

1 技術(shù)風(fēng)險(xiǎn)管理

“技術(shù)風(fēng)險(xiǎn)管理（TRM）”詞匯，在信息安全情境中很少出現(xiàn)，因?yàn)樵谛畔踩I(lǐng)域中，所有的風(fēng)險(xiǎn)都統(tǒng)稱(chēng)為“信息安全風(fēng)險(xiǎn)”。根據(jù)巴塞爾協(xié)議，銀行所面臨的風(fēng)險(xiǎn)分類(lèi)為信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)等，廣義的信息系統(tǒng)風(fēng)險(xiǎn)一般會(huì)被歸類(lèi)進(jìn)“操作風(fēng)險(xiǎn)”大類(lèi)中。我們所討論的“技術(shù)風(fēng)險(xiǎn)管理”援引自新加坡金融管理局（Monetary Authority of Singapore，MAS）在2013年發(fā)布的《技術(shù)風(fēng)險(xiǎn)管理指引》（Technology Risk Management Guidelines，TRMG）。

對(duì)于金融信息系統(tǒng)或者各類(lèi)專(zhuān)門(mén)業(yè)務(wù)信息系統(tǒng)而言，單獨(dú)討論技術(shù)風(fēng)險(xiǎn)管理是有必要的，因?yàn)闃I(yè)務(wù)邏輯安全和業(yè)務(wù)信息安全等都區(qū)別于技術(shù)安全，例如，之前有諸多銀行在ATM轉(zhuǎn)賬時(shí)，只驗(yàn)證賬號(hào)，而不是賬號(hào)與姓名同時(shí)驗(yàn)證，導(dǎo)致出現(xiàn)了諸多錯(cuò)誤的轉(zhuǎn)賬。這就屬于典型的業(yè)務(wù)邏輯設(shè)計(jì)問(wèn)題，而不是一個(gè)技術(shù)問(wèn)題。從成因討論，這種設(shè)計(jì)帶來(lái)的風(fēng)險(xiǎn)大多產(chǎn)生于需求分析階段或流程設(shè)計(jì)階段，在后續(xù)解決起來(lái)也比較困難。

但是，與工控系統(tǒng)信息安全和醫(yī)療系統(tǒng)信息安全等領(lǐng)域相比，金融系統(tǒng)安全可以參考的資料相對(duì)少得多。在本文中，我們介紹幾個(gè)重要的標(biāo)準(zhǔn)/報(bào)告，主要包括：ISO/TR 13569：2005《金融服務(wù) 信息安全指南》、ISO/IEC TR 27015：2012《信息技術(shù) 安全技術(shù) 金融服務(wù)信息安全管理指南》和MAS TRMG。

2 ISO/TR 13569：2005

ISO/TR 13569：2005是由ISO/TC 68（金融服務(wù)）SC 2（安全管理與一般銀行操作）發(fā)布，并且分別在1997年和1998年發(fā)布了第一版和第二版，2005年版是第三版。

ISO/TR 13569：2005適用于各種類(lèi)型的金融機(jī)構(gòu)，在規(guī)范性引用文件中列出了ISO/IEC 17799（后來(lái)的ISO/IEC 27002）和ISO/IEC 18028（后來(lái)的ISO/IEC 27032），在整體描述方面，極具金融行業(yè)特色，例如，考慮到金融行業(yè)的強(qiáng)監(jiān)管，在開(kāi)始的信息安全策略方面章節(jié)就專(zhuān)門(mén)強(qiáng)調(diào)法律法規(guī)符合性，并特別強(qiáng)調(diào)了公司治理、數(shù)據(jù)保護(hù)（隱私）和洗錢(qián)等內(nèi)容，更重要的是，該標(biāo)準(zhǔn)自始至終都注意結(jié)合巴塞爾協(xié)議考慮金融信息安全。

ISO/TR 13569：2005共有14章，4個(gè)附錄，其章節(jié)內(nèi)容以及對(duì)應(yīng)ISO/IEC 270021）及ISO/IEC 27001的異同[1-2]，如表1所示。

整體而言，ISO/TR 13569：2005中，從第9章到第14章的分類(lèi)，是有一定的參考意義的，這個(gè)分類(lèi)并沒(méi)有與ISO/IEC 27002的控制域一一對(duì)應(yīng)，而且還加了較為重要的“特定控制”，使得標(biāo)準(zhǔn)與業(yè)務(wù)流程結(jié)合緊密，本標(biāo)準(zhǔn)的優(yōu)點(diǎn)，可能恰是ISO/IEC 27000標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)所欠缺的。

3 SO/IEC TR 27015： 2012

ISO/IEC TR 27015：2012是ISO/IEC 27000成員標(biāo)準(zhǔn)，在2017年被廢止，原因不是很明確，但可以確定的是該標(biāo)準(zhǔn)在業(yè)內(nèi)應(yīng)用較少，且存在幾個(gè)明顯的缺點(diǎn)：

1） 缺乏全面風(fēng)險(xiǎn)管理的視角，使得安全控制與業(yè)務(wù)流程相結(jié)合較為困難，導(dǎo)致部署流于形式，從某種程度上，ISO/IEC TR 27015：2012完全被寫(xiě)成了ISO/IEC 27001： 2005的加強(qiáng)版本；

2） 未能考慮金融領(lǐng)域的強(qiáng)監(jiān)管特征，應(yīng)用范圍較廣的標(biāo)準(zhǔn)，例如，ISO/IEC 27002：2013將此列入“符合性”，但是從ISO/TR 13569：2005來(lái)看，金融領(lǐng)域的標(biāo)準(zhǔn)必須考慮行業(yè)監(jiān)管以及巴塞爾協(xié)議；

3） 沒(méi)有充分考慮金融行業(yè)管理的特點(diǎn)，例如，MAS TRMG或ISO/TC 68發(fā)布的標(biāo)準(zhǔn)都無(wú)一例外地首先強(qiáng)調(diào)了“公司治理”。

補(bǔ)充一點(diǎn)說(shuō)明，是否重視公司治理可能是由這些標(biāo)準(zhǔn)的制定者所導(dǎo)致的。因?yàn)镮SO/IEC或者NIST發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，一般都是出身于信息系統(tǒng)管理領(lǐng)域或者計(jì)算機(jī)相關(guān)學(xué)科的學(xué)者，這些學(xué)者對(duì)于“公司治理”普遍知之甚少。但是ISO/TC 68的人員則不同，他們一般來(lái)自金融企業(yè)，對(duì)財(cái)務(wù)等領(lǐng)域很熟悉，而公司治理在研究方法和研究問(wèn)題上與該領(lǐng)域基本一致。

即便如此，ISO/IEC TR 27015： 2012對(duì)于業(yè)界也有一定的意義，例如，最新發(fā)布的ISO/IEC 27003： 2017整個(gè)架構(gòu)與其非常類(lèi)似，也就是說(shuō)，對(duì)于通用的應(yīng)用指南而言，這種形式還是適合的。

4 《技術(shù)風(fēng)險(xiǎn)管理指引》

我們之所以將MAS TRMG單獨(dú)拿出來(lái)討論，原因之一是ISO/TR 13569：2005發(fā)布比較早，后續(xù)又沒(méi)有修訂，在后續(xù)發(fā)布的標(biāo)準(zhǔn)/報(bào)告中最得ISO/TR 13569：2005精髓的，應(yīng)該就是MAS TRMG了。

MAS TRMG發(fā)布于2013年，旨在指導(dǎo)金融機(jī)構(gòu)建立風(fēng)險(xiǎn)管理原則及最佳實(shí)踐標(biāo)準(zhǔn)，主要目標(biāo)有：1）建立可靠穩(wěn)健的風(fēng)險(xiǎn)管理框架；2）加強(qiáng)系統(tǒng)安全性、可靠性、彈性和可恢復(fù)性；3）應(yīng)用強(qiáng)鑒別從而保護(hù)用戶(hù)的數(shù)據(jù)、交易和系統(tǒng)。此外，正文中非常明確地指出MAS TRMG就是一個(gè)行業(yè)最佳實(shí)踐。

MAS TRMG共有14章，6個(gè)附錄，其章節(jié)內(nèi)容以及對(duì)應(yīng)ISO/TR 13569：2005和ISO/IEC 27001及ISO/IEC 27002的異同，如表2所示。

新加坡金融管理局的《技術(shù)風(fēng)險(xiǎn)管理指引》與ISO/IEC 27002的框架差異較大，但是更貼近金融行業(yè)的特點(diǎn)，應(yīng)該是以后金融信息系統(tǒng)信息安全的發(fā)展趨勢(shì)。

5 其他標(biāo)準(zhǔn)/報(bào)告

還有一個(gè)可以參考的標(biāo)準(zhǔn)，香港金融管理局的《電子銀行服務(wù)安全風(fēng)險(xiǎn)管理》（Management of Security Risks in Electronic Banking Services），該標(biāo)準(zhǔn)發(fā)布于2000年7月，由于較早，導(dǎo)致漸漸失去時(shí)效性，本文中不再詳細(xì)介紹。

最后需要指出的是，在本文中討論的諸多概念參考了《香港貨幣銀行用語(yǔ)匯編》。