新巴塞尔协议---银行信息安全风险管理

银行信息安全风险管理-新巴塞尔公约指南：新巴塞尔公约强调，在进行风险管理时，不仅要重视传统的信用风险，还要将运营风险放在重要位置。以前，运营风险的定义非常简单，是市场风险和信用风险以外的风险。这种负定义方法阻碍了运营风险管理。根据新巴塞尔协议，新的运营风险被定义为由内部流程、人员、系统不充分或操作不当、外部事件的影响等引起的直接或间接损失可能性的风险。1新巴塞尔公约和运营风险2004年6月26日，巴塞尔新资本协议(新巴塞尔公约)的最终原告正式通过。新巴塞尔协议不是必需的，但在国际上具有很大的影响力。新巴塞尔公约的核心内容是最低资本要求、监管检查和市场约束三大支柱。中国银监会已表明立场，在客观条件的制约下，今后几年将继续履行1988年的轨道协议，但中国银行进军国际银行市场开拓事业时，巴塞尔协议可能会使中国商业银行在竞争中处于不利地位，尤其是国际业务活跃的银行将受到巨大影响。因此，为中国银行业研究和遵守新巴塞尔协议是提高国际竞争力的重要战略决策。新巴塞尔协议强调，在执行风险管理时，不要只注重传统的信用风险，而要将运营风险放在重要位置。以前，运营风险的定义非常简单，是市场风险和信用风险以外的风险。这种负定义方法阻碍了运营风险管理。根据新巴塞尔协议，新的运营风险被定义为由内部流程、人员、系统不充分或操作不当、外部事件的影响等引起的直接或间接损失可能性的风险。2操作风险管理运营风险是银行面临的多种风险之一，具有唯一性。简而言之，运营风险是“不按正确的方法做事”所带来的风险。运营风险和其他风险之间的关系如图所示。战略风险是管理层是否选择了正确的业务方向和战略目标，与业务相关的风险与特定的业务特性相关，运营风险主要关心在特定执行级别实施时是否能正确执行规范，以及是否有参考执行的相关规范。在风险管理领域，战略是指导，运营总是通过整个业务活动完成的。因此，操作风险管理必须在整个企业管理过程中进行。新巴塞尔公约强调，作为主动行动，而不是事后补救，可以分析现有数据，预测和防止未来的风险，并从此获得安全的风险利益。构建高效的风险管理系统是银行在这个高风险行业生存下来并确保稳定发展的基础。Basel bank regulatory Committee宣布了操作风险管理和监控的10项原则。操作风险管理和监控的实践明确了银行进行操作风险管理的四个阶段识别、评估、监控和缓解/控制。这份文件是银行操作风险管理的指导。3操作风险的信息安全风险管理信息和信息系统安全是操作风险管理中非常重要的一部分。现代银行几乎所有的业务都是在IT基础结构的基础上运营的，因此新出现的金融产品和服务更加开放、相互连接，并进一步加强了对信息系统的依赖。信息的机密性、完整性和信息、信息系统可用性对业务的成败至关重要。西方国家有一项法案，强制保护银行对重要信息(如美国金融服务现代化法案(Gramm-Leach-Bliley Act，GLBA)的机密性和完整性等进行保护。1999年，巴塞尔银行监管委员会专门成立了电子银行(EBG)，重点是电子银行领域内的监管。2001年，EBG发布了电子银行风险管理原则，掌握了执行电子银行业务风险管理的14项基本原则，是电子银行风险控制的重要参考。事实上，无论是操作风险管理和监控的实践还是电子银行风险管理原则，其中的大部分已经应用于当前国际上通用的信息安全管理标准，某些银行(如ISO/IEC 17799)的信息安全管理已经使用了不同级别的应用程序。操作风险管理和监控实践的第八条原则是，银行监管机构必须要求所有银行建立有效的识别、评估、监控、控制/缓解操作风险的框架。以下是符合此原则的信息安全风险管理框架的各个部分的说明。3.1风险识别识别风险就是识别当前信息和信息系统中的资产，确定面临的威胁，分析相关漏洞，确定相应的风险。总之，风险识别主要包括三个过程：资产识别、威胁识别和漏洞识别。信息资产是构成信息系统的基本组成部分。信息资产的定义和分配是整个工作的前提。资产是企业和机构要直接增值保护的。无形类型、硬件、软件、文档、代码、服务、企业图像等多种形式存在。参考对信息资产的描述和定义BS7799，可以将信息资产分类为数据、服务、软件、硬件、文档、设备、人员和其他类。我们基于不同的业务系统执行流程分析，导出相关信息资产，初步确定主要资产。核心资产对整个业务运营至关重要，需要重点保护。威胁和脆弱性的识别可以根据相关国际标准和指南文件进行。在风险识别过程中，必须从银行高层的角度统一各种资产、威胁和脆弱性的定义方法和分类方法，避免各分公司的不均匀性。3.2风险评估巴塞尔银行监管委员会发布的关于运营风险的第四条管理原则是：“银行必须识别和评估所有产品、行为、流程和系统中存在的运营风险。”银行必须确保在新产品、行为、流程和系统生效或执行之前，运营风险评估有效。风险评估是明确安全状态、计划安全操作和制定安全战略，从而构成安全解决方案的基础。全面系统的风险评估确保了后续安全操作的经济性、有效性和完整性。风险评估明确了与安全风险相关的一系列因素的实际情况，从而获得了通过风险测量衡量的安全现状。只有以风险评估、控制和管理为目标，才能更详细地分析需要保护的资产、实施保护的重点是什么、相应的威胁和漏洞、已经采取的安全措施的效果，并选择可以采取的安全措施，从而实际执行安全任务。安全评估由工具评估、手动评估、渗透测试、政策分析、安全审计等组成。安全审核包括标准化审核、业务流程分析、网络体系结构分析和威胁分析。风险评估可以分为自我评估、检查评估和委托评估等多种形式。当前，风险评估有定性评估、定量评估或半定量评估等多种方法，因此在进行自我评估或委托评估之前，标准化评估方法是最重要的，不同地区采用不同的评估方法，确保数据不统一，给整个行的风险管理工作带来不必要的障碍。例如，确定资产分配的集成方法、应对漏洞和威胁的方法、信息安全风险的计算方法和方法。3.3风险监控巴塞尔银行监管委员会发布的运营风险的第五个管理原则是，银行必须定期向管理层报告有关运营风险的信息，并建立实现运营风险主动管理的重复性操作风险监控流程。随着银行业务的不断发展和信息技术的不断更新，信息系统总是处于不同的变化过程中。新的安全漏洞和威胁不断出现，使银行的信息资产也成为新的安全漏洞，这可能影响整个信息系统的安全风险状态和安全级别。因此，用户需要建立动态安全状态跟踪和监控机制。因此，根据具体要求开发符合自己需要的标准化信息资产风险管理系统非常重要。信息资产风险管理系统规范了风险管理的所有要素和识别、评估、监控、控制的全过程，对银行总部统一管理各分公司的运营风险，实现有效的数据收集具有十分重要的作用。该系统可以进行信息系统的外部监控和内部监控，可以动态管理信息系统的风险状态和等级状态。外部监控主要包括跟踪与信息系统相关的制造商的安全信息、安全研究和事件响应(CERT)组织发布的安全趋势、收集和分析外部安全信息，包括分析威胁、漏洞和安全环境最新趋势的邮件列表，以及其他网络资源(如公民安全论坛)。内部监控是指信息系统内部信息资产变更、业务流程变更引起的信息系统调整、网络和系统安全配置变更、安全事件等的记录和分析，以及时了解信息系统安全状态和趋势，因此，所有斗争都不危险。需要对外部环境和内部环境有相当的知识，才能在动态环境中掌握信息安全的平衡。信息资产风险管理系统是一种风险实时监控工具，它可以管理网络上的所有资产，管理和运行相关的安全信息数据，同时在安全评估过程中自动生成相关的手动评估表单、调查等，并将风险评估过程标准化，从而便于用户进行自我评估。所有安全信息都保存在后台的安全存储库中，用户可以随时访问存储库，并通过各种数据查询分析输出或打印所需的相关报告，以了解该信息系统的风险状况。该系统详细跟踪风险评估的所有阶段，有效地保存原始数据，提取风险的各种因素，科学地计算每项资产的风险价值和信息系统风险状况。您可以随时查看任何资产的风险值，如果在多次查看风险示例后仍能直观地了解整个资产的风险趋势图，则可以更直接地了解当前系统中存在的一些安全风险，并详细地了解如何通过防止这些风险来降低风险。3.4风险控制和缓解巴塞尔银行监管委员会发布的关于运营风险的第六条管理原则是，银行必须建立控制和/或减轻运营风险的政策、流程和程序。EBG公布的电子银行风险管理原则中，4-10条说明了电子银行要针对主安点进行控制的几个部分：第4条电子银行客户识别第5条电子银行交易的非拒绝性和可靠性第6条.确保责任分离的适当措施第7条系统、数据库、应用权限控制第8条交易的数据、记录和信息的完整性第9条建立交易的明确审计记录第10条.主要银行信息的保密第11条.适当公开电子银行服务对于不同安全级别要求的信息和信息系统以及信息系统的不同阶段，必须选择适当的安全控制方法。可以参考AS/NZS 4360的建议方法来处理风险，有几种方法可以降低可能性、减少影响、风险转移、风险规避、风险接受等。其中，风险的接受程度取决于安全级别。选择和开发安全控制措施，将其纳入安全计划，然后对安全控制进行有效性测试、实施和验证。巴塞尔银行监管委员会发布的关于运营风险的第七条管理原则是银行必须制定业务应急和持续性计划，以确保在发生灾难的情况下业务持续运营，并将损失降至最低。业务应急和持续性计划对于减少安全事故的影响至关重要，是风险管理的重要组成部分。业务连续性管理主要包括：首先评估灾难对业务的影响程度，确定对业务增长起关键作用的服务。然后定义灾难后恢复关键服务所需的时间。第三，采取预防灾难、测试、减少灾难造成的损失、彻底计划和测试等措施。4美国银行的操作风险管理戴尔有非常广泛、复杂的业务类型，成功的运营风险管理是我们这样的多方面金融服务公司的重要美国银行2003年度报告美国第三大银行美国银行(bank of America)在30个国家/地区拥有多达4200家分行，支持多达3000万家庭和200万商业客户。美国银行设立企业操作风险管理部门和合规风险管理部门，通过培训等进行整体操作风险和合规意识培训。美国银行将运营风险分为两种类型：特定于业务的运营风险。影响所有业务领域的企业运营风险。美国银行在业务线级别设立了业务线风险管理人员，负责业务线内的所有运营风险。在管理特定风险时，在整个企业中应用一致的运营风险战略、过程和评估方法。对于特定于业务的风险，与企业运营、风险管理部门和业务部门一起开发符合总体策略的风险管理方法，同时参考行业的“最佳做法”。解决企业中的运营风险，包括信息安全、业务恢复、法律和法规遵从性、运营和风险管理部门的风险评估、制定企业范围内的单一方法，以及与各部门的无缝通信。美国银行还聘请了法律、信息安全、业务恢复、供应链管理、财务、技术和运营等专业支持团队，以帮助企业评估和管理风险。这些团队帮助业务部门根据具体需要制定