谈我国商业银行电子商务安全风险管理策略的改进

1、谈我国商业银行电子商务安全风险管理策略的改进摘要：随着商业银行上业务的不断发展，电子商务安全风险管理策略成为理 论与实践中必须重视的课题。剖析现阶段电子商务安全风险策略的薄弱点，发展 商业银行电子商务安全风险管理策略，应借鉴成熟的传统金融风险度量中的一些 方法改变电子商务安全管理对资产进行粗略的优先级别排序，用系统管理思想构建商业银行电子商务安全管理框架，并将商务安全风险纳入风险管理范畴。关键词：商业银行；电子商务；风险管理商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等， 而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破 坏程度。20XX年以来，我国面临的络仿

2、冒威胁正在逐渐加大，仿冒对象主要是 金融站和电子商务站。20XX年上半年共收到络安全事件报告 65679件，超过20XX 年全年案件数，商业银行电子商务安全风险管理策略已成为理论与实践中必须重 视的课题。一、信息安全管理的历史演进与现阶段的特点信息安全管理的策略大体遵循事件驱动（技术和管理脱节）-逐渐标准化（技 术和管理逐渐结合）一一安全风险管理（引入了风险分析）的发展路径。（一）以事件驱动的初级阶段时期19世纪70年代安全主要是指物理设备和环境的安全，人与计算机之间的交互主要局限在大型计算机上的哑终端， 安全问题只涉及能访问终端的少数人。 安 全管理策略处于初级阶段，由事件驱动，没有形成规范

3、的管理流程。在此阶段的 前期，只重视技术手段。后期开始重视管理手段，但是技术和管理之间脱节。许 多组织对信息安全制定了相应的规章和制度，但组织的信息安全管理基本上还处 在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。（二）标准化时期开始将安全问题作为整体考虑，形成一套较为完整的安全管理策略，其中包 括了安全管理的技术手段和管理制度（或称运作管理）。几乎所有从事电子商务的 都拥有自己的安全策略，内容也包括了技术手段、安全管理制度、人员安全教育 等等，基本上形成体系，技术和管理手段综合统一，但是安全风险分析还存在不 足之处。（三）安全风险管理策略时期随着电子商务安全管理发展到一个比较高

4、的层次， 安全管理策略也演进到安 全风险管理阶段。主要特点如下：1. 安全风险管理成为主流趋势；在安全管理策略的演进过程中，技术和管理 手段综合统一、又融入了风险管理的分析、防范策略，从而安全管理进入了安全 风险管理时期。西 方商业银 行已对安 全风险管理 形成共 识。如安氏 公司 （is One）,认为信息安全问题最终将归结为风险管理问题，风险管理方法是建 立良性的安全技术和管理体系的依据和基础。2. 安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的 电子银行业务风险管理原则、 英国标准协会制订的BS7799等。各国也日益重视安全风险

5、管理，制定了许多规 范。例如美国货币监理署（OCC的电子银行最终规则、香港金融管理局的电 子银行服务的安全风险管理等。中国银行业监督管理委员也于20XX年颁布了电子银行业务管理办法，对国内的电子商务安全风险管理给出了指导意见。3. 利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险，在相当程度上取决于采用的信息技术的先进程 度，系统的设计开发水平，以及相关设施设备及其供应商的选择等； 银行依靠传 统的风险管理机制已很难识别、监测、控制和管理相关风险。同样，监管机构也 难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此，大部分国家都采用了依

6、靠外部专业化机构定期对电子银行安全性进行评估的办法，加强对电子银行安全性和技术风险的管理和监管。4. 在许多国家信息系统审计（Is Audit）作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作，从经济学的角度出发分析风险，充分衡量保持安全的代价和收益之间的关系，寻求用最小的代价实现最大的效 用，在风险分析中也形成一套较为成熟的模式。二、我国商业银行电子商务安全风险管理策略的薄弱点（一）系统管理思想缺乏目前的电子商务安全风险管理策略， 在全局上缺乏系统论理论的指导，在实 际操作中受到多种多样的安全攻击时

7、会不可避免地出现安全漏洞，无法形成一张 全面有序的安全络。实践中被采用的安全风险管理策略， 以及作为指导意见的规则规范，如信 息安全管理实务准则（IS017799）、信息技术安全性评估准则（GB/T18336. 1）、 巴塞尔银行监管委员会的电子银行业务风险管理原则，尽管提出了比较全面 的安全风险管理方案，层次上也比较清晰，但是还不足以作为一个风险防范系统。 实践中，电子商务组织是一个复杂的系统组织，电子商务的安全风险管理体系和 过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不 可或缺的。（二）风险分析的模型与方法不成熟，定量分析不足电子商务模式自身的发展历史也不过 20

8、几年，在风险分析的定量技术上并 不成熟；如BS7799中推荐的电子商务安全风险管理中实施风险评估时，往往将 威胁发生的可能性定性划分为几个级别， 将威胁所造成的影响也定性划分为 1 5级，实质上是将一些按照概率发生的事件定义为不连续的几个级别，在操作上 易行，但造成了度量的不精确。在进行监控和审计之后，也存在无法量化、对比 的问题。（三）忽视与原有的传统风险管理策略的结合本质上，电子商务的安全风险无非是新兴的商业模式对传统的风险的改变， 以及产生的在传统风险控制领域暂时无法明晰的新风险；现有管理策略只从信息 技术的角度、或者从偏重技术的角度看待问题，站在金融领域本身来分析研究较 少。这种状况导

9、致了对电子商务安全风险管理的研究无法立足于一个比较高的层 次；忽略了风险的整体性，只进行偏信息和技术的研究，导致了现有的电子商务 安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言，传统金融业务的风险控制与电子商务的技术风险控制，两个方面存在脱节，同样属于商业银行的风险，存在着不同的管理策略，导致多头管理、资源 浪费、机构之间的扯皮，乃至缺位管理。（四）风险管理策略无法 依赖外部的信息安全管理行业在发达国家，信息系统审计（Is Audit）作为一种信息技术服务被广泛提供， 许多知名的咨询公司都提供类似的信息审计服务。 IT风险分析师也成为一种职 业，专门从事电子商务

10、的安全风险工作。商业银行采用依靠外部专业化机构定期 对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理 和监管。而国内初步建立了国家信息安全组织保障体系， 制定和引进了一批重要 的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家 成熟完善的外部信息安全管理行业仍有很大差距。（五）风险管理策略中商业银行的内部风险控制能力薄弱我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、 权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电 子交易部门；风险管理部门、

11、内审稽核部门实质上无法控制电子商务安全风险。 例如，风险管理部门接受了电子交易部的风险控制报告， 表面上履行的内控审核 的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环 节。三、商业银行的电子商务安全风险管理策略的改进建议（一）基于系统的思想构建商业银行电子商务安全风险管理策略框架利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作 一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循 环上升的系统。在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资 产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后 进行

12、监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析 输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个 步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶， 商业银行的安全管理水平变得到了提高。（二）电子商务安全风险管理中定量分析中的改进思路商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定， 商业银行内部估计风险敞口指标、 损失事件 发生的概率、风险损失，

13、巴塞尔委员会制定资本要求的转换系数； 在度量损失的 分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、 威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分 析的尝试。（三）将商业银行电子商务安全风险纳入商业银行总体风险管理范畴将商业银行所面临的全部风险放在一个框架中考虑。 传统风险管理以及电子 商务安全风险管理都是风险管理系统中子系统， 二者相互、相互影响，不可分割。 尝试借鉴信用风险与操作风险度量的方法与思想， 短期内将其与信用风险控制衔 接，最终形成一个全面的商业银行安全风险管理框架。（四） 商业银行要积极促进电子商务安全风险管理策略的改进（1）充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务，采取定期评估审 计、不断采取措施改善风险状态的策略；（2）在目前商业银行的组织与管理体制 下