新巴塞尔协议-银行信息安全风险管理

....银行信息安全风险治理-----巴塞尔协议导读:巴塞尔协议强调在进展风险治理的时候，不仅仅要重视传统的信用风险，而且要将操作风险放在一个重要的地位。以前对操作风险的定义格外简洁，是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险治理造成了障碍。巴塞尔协议中给出的的操作风险定义如下：操作风险就是指由于内部流程、人员、系统不充分或者运行失当、以及由于外部大事的冲击等导致直接或者间接损失的可能性的风险。1巴塞尔协议和操作风险2023626日，《巴塞尔资本协议》〔简称巴塞尔协议〕的终稿正式通过。巴塞尔协议虽然监管检查和市场约束。虽然中国银监会曾经表态，受到客观条件限制，我国在将来几年内仍将连续执行1988年的老协议，但是当中国的银行在竞争中处于不利的地位，尤其是国际上业务较活泼的银行，势必会受到很大影响。所以，对于中国银行业来讲，争论和符合巴塞尔协议是提高国际竞争力的重要战略决策。重要的地位。以前对操作风险的定义格外简洁，是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险治理造成了障碍。巴塞尔协议中给出的的操作风险定义如下：操作风险就是指由于内部流程、人员、系统不充分或者运行失当、以及由于外部大事的冲击等导致直接或者间接损失的可能性的风险。操作风险治理操作风险作为银行面临的多种风险之一，具有其独特性。简洁来讲，操作风险就是“没有承受正确的方法做事情”而带来的风险。操作风险和其他风险之间的关系如以下图。战略风险主要关心治理层是否选择的正确的业务方向和战略目标，业务相关的风险和具体的业务特点有关，而操作风险则主要指落实到具体执而操作则贯穿整个业务活动的始终。因此，操作风险治理必需贯穿到整个公司治理过程之中去。...推想和防范将来的风险，并从中稳妥地猎取风险收益。建立高效的风险治理体系，是银行确保在这个高风险行业中生存下来并获得稳定进展的根底。/把握。这个文件对于银行进展操作风险治理具有指导性的意义。操作风险中的信息安全风险治理IT根底设施之上，尤其是消灭的金融产品和效劳更加趋于开放和互联，进一步加强了对信息系统的依靠程度。信息的保密性、完整性以及信息、信息系统可用性对业务的成败起着至关重要的作用。在西方国家已经有立法强制要求银行对某些关键信息的保密性、完整性等进展保护，比方美国的金融效劳现代化法案(Gramm-Leach-BlileyAct，GLBA)。1999年，巴塞尔银行监管委员会特地设立了电子银行小组〔EBG〕，对电子银行领域内的监管事务进展重点争论。2023年，EBG发表了《电子银行风险治理原则》，确定了进展电子银行业务风险治理的14条根本原则，是电子银行进展风险把握的重要参考。事实上，不管是《操作风险治理和监控的实践》，还....中了，并且已经在某些银行的信息安全治理中得到了不同程度的应用，比方ISO/IEC17799。局部。风险的识别应的风险。简言之，风险的识别主要包括识别资产、识别威逼、识别脆弱性等三个过程。信息资产是构成信息系统的根本组成局部。信息资产的界定和赋值是整个工作的前提。资产是企业、机硬件、有软件，有文档、代码，也有效劳、企业形象等。参照BS7799对信息资产的描述和定义，可以将信息资产分类为：数据、效劳、软件、硬件、文档、设备、人员和其它类。我们依据不同的业务系统进展流程分析，得出涉及的信息资产，并且初步推断关键资产。关键资产对整个业务运作具有打算性作用，需要重点保护。威逼和脆弱性的识别可以依据相关的国际标准和指南性文件进展。各个分支机构的不统一现象。风险的评估流程和系统中存在的操作风险。银行应当确保在任何产品、行为、流程和系统生效或执行前，进展了有效的操作风险评估。评估可以保障后续安全工作的经济性、有效性和完整性。风险评估通过明确与安全风险相关的一系列因素的实际状况，得到以风险为度量的安全现状。只有以风险评估、把握和治理为目标，才能明确应被保护的资产是什么、实施保护的重点有哪些，进一步分析相应的威逼与脆弱性、已实行的安全措施的有效性，选择可实行的安全措施，真正做到安全工作有的放矢。安全评估由工具评估、人工评估、渗透测试、策略分析、安全审计等构成。其中安全审计又包括标准化审计、业务流程分析和网络架构分析，威逼分析等等。种不同的方法，比方定性评估、定量评估或半定量评估等，所以在实施自评估或者托付评估之前最重要的风险计算的方式和方法等等。风险的监控程，定期向治理层报告操作风险的相关信息，实现对操作风险的乐观治理。漏洞和威逼的不断消灭，银行中的信息资产也会消灭的安全脆弱点，可能会影响到整个信息系统的安全风险状态和安全等级。所以，用户需要建立一套动态的安全状况跟踪和监控机制。所以依据具体需求，开发符合自身需要的一个标准化的信息资产风险治理系统是格外重要的。信息资产风险治理系统标准了风险治理中的各个要素以及识别、评估、监控、把握的全过程，对于银行总部统一治理各个分支机构的操作风险、实现有效数据收集能够起到很重要的作用。该系统可以实现信息系统的外部监控和内部监控，并且能够动态治理信息系统的风险状况和等级状态。外部监控主要包括对外〔如CERT〕组织公布的安全动向、以及其它网络资源〔如邮件列表、民间安全论坛等〕，分析威逼、漏洞和安全环境的最动向。内部监控是指对信息系统内部的信息资产变更、业务流程变更导致的信息系统调整、网络和系统安全配置变更、安全大事等进展记录和分析，准时把握信息系统安全状态和动向。所谓知己知彼，百战不殆，只有对外部环境和内部环境都有相当的了解，才能够在动态的环境中把握信息安全平衡。据进展治理，同时在安全评估过程中自动产生相关人工评估表单、问卷等，对风险评估过程进展标准化，便利用户的自评估。全部安全信息都存放在后台的安全信息库，用户可使用随时对信息库进展访问和各种数据查询分析，输出或打印需要的相关报告，了解相应的信息系统的风险状况。该系统能具体的跟踪风险评估的各个阶段，并能有效的保存评估原始数据，提取风险的各种要素，并科学计算出每一个资产的风险值和信息系统风险状况。用户可以随时查看任何一个资产的风险值，假设经过屡次风险要素采样以后还能直观的了解到整个资产的风险趋势图，同样用户能够更直接的获知当前系统存在的一些安全隐患，并具体的了解到如何来防范这些隐患从而降低风险。风险的把握和缓解巴塞尔银行监管委员会公布的操作风险的第六条治理原则是：银行需建立策略、流程和步骤以把握和/或缓解操作风险。EBG发表的《电子银行风险治理原则》中的第四条到第十条对电子银行需要进展重点把握的几个局部进展了阐述，分别是：第四条 电子银行客户身份的识别第五条 交易的非拒绝性和牢靠性第六条 确保职责分开的适当措施第七条 系统、数据库、应用的授权把握第八条 据、记录和信息的完整性第九条 交易的清楚审计记录的设立第十条 关键银行信息的保密第十一条 电子银行效劳的适当披露对于不同安全等级要求的信息和信息系统，以及信息系统的不同阶段，我们都需要选择适当的安全把握方式。风险的处理方式可以参考AS/NZS4360的建议方式进展处理，大致有降低可能性、削减影响、风险转移、风险躲避、风险承受等几种方式。其中风险的承受程度依据安全级别的不同具有不同的承受程度。选定并开发安全把握措施后，列入安全规划，然后进展安全把握的有效性测试、实施和验证。保发生灾难大事时业务可以持续运作，将损失降到最小。业务应急和持续性打算对于降低安全大事的影响是格外重要的，是风险治理中的重要环节。业务持续性治理主要包括下面的内容：首先，评估灾难对业务的影响程度，并识别出对业务进展起关键作用的效劳；并进展详尽打算制订和演练测试。美国银行〔BankofAmerica〕的操作风险治理司是格外重要的——2023年度报告商业客户供给效劳。美国银行成立了企业操作风险治理部门和符合性风险治理部门，并通过培训等方式进展全员的操作风险和符合性意识教育。美国银行在业务部门级别设立业务部门风险执行官，负责本部门内全部的操作风险。在治理他们的特定风部门和业务部门一起制定符合整体策略的风险治理方法，同时参照业界的“最正确实践”。针对企业范围内的操作风险，比方信息安全、业务恢复、法律和符合性，操作和符合风险治理部门负责进展风险评估，开发一个企业范围内的统一方法，并且将该方法和每一个部门进展充分沟通。为了帮助进供给链治理、财务、技术和运作等。这些小组帮助业务部门依据具体需要开发并实施了风险治理措施。的