还应当制订信息安全意识和风险管理等方面的培训计划以保证员工能意识到自己的工作角色和职责,确保需要接触敏感信息的员工接受了和公司安全策略相一致的适当培训,并且保证只有有业务需求的员工才能接触到敏感信息。
(三) 敏感信息分析和风险评估
风险评估通过对敏感信息相关的信息资产进行调研分析,识别出与之相关的弱点和威胁领域,进而评估敏感信息所面临的风险。所以在体系建设工作中,风险评估起着关键作用,直接影响到后续的风险处置计划。
敏感信息经过的组织、人员和系统等信息载体,既是风险评估过程中必不可少的输入项,也是评估敏感信息泄露风险的基础。因此准确和完整地识别各类敏感信息的信息载体,是体系建设的重中之重。
1.调研访谈
通过对敏感信息相关责任人和其他负责人的访谈,了解数据的业务实质,以及数据在生成、存储、使用、共享、归档、销毁等不同环节的流转过程。
2.信息载体的识别和分析
根据所了解的情况,通过工具分析,识别出人员、软件(系统)、硬件(系统)、服务(内部/第三方)等承载和传递数据的载体。
3.载体分类和整合
依照载体的自然属性、所面临的特定弱点和威胁等,将载体分类归纳为风险评估的输入项。
4.深入分析
结合现有的风险控制现状和风险管理办法,识别载体所面临的威胁以及相应的控制措施(见表5)。
5.风险量化
对敏感信息的最终风险值进行量化和分级。具体来说,是综合在生命周期中各环节承载敏感信息的载体的风险控制措施、弱点暴露程度以及风险损害程度,并结合敏感信息的影响程度,计算出风险终值。
六、敏感信息保护体系的价值
敏感信息保护体系对于企业组织的战略、运营和管理等方面具有重要的意义:
保护关键业务数据和知识产权。敏感信息保护体系的主要价值之一是更好地保护关键信息免受泄漏。企业中保存了许多类型的信息,出于竞争、合规要求、声誉影响等理由需要对它们进行保护。
减少数据破坏的风险。通常数据泄漏事件会对企业造成一定的财务影响,通过减少数据泄漏的风险,可以降低企业的财务风险。
增强管理层信心。完整的敏感信息保护包括了战略和规划、组织和人员、员工培训和意识教育程序、管理流程和数据保护制度,以及相应的技术措施等内容。它使管理层确信,企业范围内的敏感信息已经在组织各层级得到了充分重视,进行了充分的识别和分类,依据不同的风险,区分施行了必要的保护措施。
消除合规风险。根据相应的法律法规和合同/协议等要求建立的敏感信息保护体系,将消除因数据泄漏或审计发现等而导致处罚的风险。
七、结束语
众多企业已经认识到敏感信息对于企业的生存和发展至关重要,是企业最值得保护的信息资产。一旦发生意想不到的数据泄漏,所引起的经济成本、隐性成本及法律风险,可能使企业面临不堪承受之重。
为了提高企业管理关键数据资产风险的能力,全面的敏感信息保护应自上而下,由战略和人员意识、组织架构和职责、流程制度和技术措施等部分组成。充分的计划和准备、必要的沟通、贯穿始终的安全意识教育等都是保障项目成功的重要因素。
银行信息科技安全风险管理探讨
中国银监会于近期发布了《银行业金融机构信息科技外包风险管理指引》,这是银监会自2009年发布了《商业银行信息科技风险管理指引》后,根据信息科技的发展形势,在信息科技安全风险管理方面适时出台的系列信息安全风险管理政策、办法和规定之一。另外,银监会在2012年成立了信息科技监管部,种种迹象表明,信息科技风险管理将成为日后信息科技监管的重点。
随着经济的快速发展和对外开放的不断深入,我国银行业务快速发展,同时信息科技也呈专业化、集中化、规模化的发展趋势。信息科技与业务的联系越来越紧密,不仅成为业务开展的必要基础支持,甚至于在部分传统业务领域,信息科技已开始引导银行由传统业务向信息科技变革。随着监管机构的合规要求越发全面与严格、银行内部对于信息科技管理要求的不断提高、大数据的高度集中化、与第三方机构合作的内容与形式日趋多样化,信息科技安全的风险隐患也日趋严峻。信息安全风险将远远超出操作风险的定义,如何做好信息科技安全风险管理工作,将成为银行抵御互联网金融对传统金融行业的冲击,提高核心竞争力的工作重心之一。因此,建立与信息科技发展趋势相适应的信息科技安全风险管理体系,已成为当前银行信息科技风险管理工作中必须关注的重点。
一、现状
当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系当中进行统一管控。但是,信息安全风险具有其自身的特殊性。
(1) 范围延展性。按人们传统思维的理解,信息科技安全的范围仅仅指电脑系统里的符号组合,如数字、文字、图像,或是计算机代码等虚拟数据。但随着信息技术的发展,信息载体的推陈出新,信息科技安全的范围定义不断被放大,除了电子化的数据外,还包括了各种非电子化的信息载体(如书面文档、U盘、备份磁带,甚至员工手机等自携设备等)。
(2) 复杂与不稳定性。随着银行核心业务系统不断的功能开发,银行各业务条线的业务操作越发依赖于系统平台;业务外包的内容不断增长,形式越发复杂;日新月异的信息科技发展对传统银行业务的冲击越来越大。由于管理因素、技术因素的多重作用,导致偶发性和不确定性突出,使得风险控制的复杂度大幅提高。
(3) 成本损失不确定性。信息系统一般支持多个业务,如发生事故,所造成的直接成本损失非常小,但造成的间接损失影响范围往往涉及面广且难以评估其影响与损失。如某分行柜台系统后台服务器由于信息安全事故而不能正常运作,其直接损失可能仅为一台服务器主机的成本,但所带来的间接损失的影响面却非常广,如额外维修所产生的人工和硬件成本、受其影响而无法操作柜台业务所带来的业务收入减少、由于银行不能持续为用户提供柜台服务所带来的声誉损失等,这部分的损失涉及因素众多而且非常难以计算其损失金额以及恢复成本。
因此,随着银行业务的发展和技术进步,在操作风险模式下管理信息科技风险也存在明显的困难。一是目前的操作风险管理方法中对信息安全风险的管理方法涉及较少,难以兼顾信息安全风险的技术专业特性,难以实现对信息安全风险的有效管理;二是风险监管资本计量未能充分考虑信息科技风险因素,信息安全风险造成的损失及其相应的监管资本计量存在一定的困难。
基于信息科技安全风险的自身特点及其管理中遇到的特有挑战,应对信息科技安全风险进行独立管理。
二、思路
针对银行信息科技风险管理的特点,我们设计了银行信息科技安全风险管理体系,为银行提供全面、灵活、高效的信息科技风险管理整合解决方案。
德勤的“信息安全风险管理框架”结合了国内外的行业标准以及最佳实践(如COBIT、ISO 27001等),从授权与控制、IT管理及IT支持流程、身份认证和访问管理、应用系统安全、架构安全、数据安全六方面阐述了企业信息资产在完整性、可用性及保密性等方面面临的信息安全风险以及相应的内部控制目标。该框架提供了信息安全风险的评估测试指导并可作为预设的成熟度模型,从战略的层面支持改进企业的信息安全管理。
三、实施
第一阶段,我们以德勤的“信息安全风险管理框架”为基础,同时与银行外部监管要求以及其他相关要求等不同方面的要求进行匹配,基于上述要求补充并完善“信息安全风险管理框架”里的风险及对应的控制措施,生成银行信息科技安全风险控制基础库。
第二阶段,我们以银行信息科技安全风险控制基础库为基础,针对银行需求挑选外部要求与标准、银行内部的内审要求以及相关的制度法规,识别银行独有的风险以及各控制措施,为银行定制适合其需求的信息科技安全风险控制库。并以此控制库为核心,完善相关的工作规划、流程、底稿模板、风险评估标准等,从而逐步完善其信息科技风险管理体系。
四、应用与价值
(一) 统一规划,改善沟通,提高效率
以信息科技安全风险控制库为基础,综合统一管理内/外部的多层次要求,形成统一的检查工作流程和模板,并以此为基础开展信息科技安全风险审计工作。
加强“总行—分行—支行”在信息科技安全风险管理中的协同性和一致性,有效管理信息传达的一致性,减少在应对内部(如信息科技部门与业务部门)以及外部(如监管机构的监管要求)的不同需求时的反复沟通,避免沟通信息失真,从而提高信息科技安全风险管理的工作效率。
使用统一标准的测试流程以及工作模板,基于“总行—分行—支行”统一高效的沟通与理解,减少应对各层面的繁复检查工作,高效执行信息科技安全风险测试评估工作,提高工作效率。
(二) 完善现有信息科技风险管理体系,优化资源规划
在体系的建立过程中,可同时梳理现行制度。利用信息科技安全风险控制库,将监管要求与银行内部制度做横向对比,即可发现银行现行制度与相关的监管要求之间的匹配情况,从而清晰定位出现行制度的“空白区域”,为完善制度体系提供全局视图。
通过不断汇总收集各种信息科技检查工作的结果反馈,包括总行各业务条线的相关IT支持,汇总并分析测试结果,结合固有风险评估结果,对剩余风险执行多维度的综合分析(如不同风险领域、不同级别类型的分行等)。根据分析结果更合理地对有限的IT资源进行规划,优化检查工作计划并调整各分行的检查重点,以提高每次检查工作的针对性、有效性,为信息科技安全风险管控规划提供基础。
(三) 及时更新以应对内外环境的不断变化
信息科技安全风险管理体系应迎合内外部环境的变化而不断更新,以使银行能及时响应信息科技安全风险变化的需求。可从两个方面进行体系更新:
首先,银行要根据业务战略目标调整、信息安全管理水平提升、内部制度以及信息安全工作规范变更等内部影响因素,自行持续更新信息科技安全风险管理体系中的风险控制活动内容。
同时,我们也将充分利用丰富的金融行业咨询业务以及相关的金融企业审计经验,及时洞悉监管要求以及行业标准等外部环境的变化动向,向银行不定期发布更新包,保证其信息科技安全风险管理体系的及时性与完整性。
五、结束语
随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,大数据、云计算、物联网等新技术既加快了银行业的创新发展,也对信息安全风险管理提出了更高的要求。快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技安全风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技安全风险管理能力,以适应内部发展要求以及外部不断变化的环境。
注释
[1]. Evernote遭黑客攻击:要求近5千万用户重置密码.中国信息产业网http://www.cnii.com.cn/internetnews/2013-03/03/content_1101342.htm
[2].两千支付宝转账信息被谷歌抓取引发隐私泄露恐慌.新华网新闻http://news.xinhuanet.com/2013-03/29/c_124519198.htm
[3].********80万份保单泄露客户数据“裸奔”,腾讯网新闻http://gd.qq.com/a/20130228/000296_3.htm
[4].新规加大个人信息贩卖处罚:直击非法交易源头.新浪网新闻http://tech.sina.com.cn/t/2013-04-17/10318248454.shtml
[5]. KhalidKark.CalculatingTheCostOfASecurityBreach.ForresterResearchMagazine(April10,2007).
[6]. 经济合作与发展组织:《关于保护隐私和个人数据跨国流通指导原则》
[7].国际隐私权专家协会(IAPP). 2012隐私专业人员的角色、职能及薪酬调查.