張堯禎

風(fēng)險(xiǎn)管理一直是各企業(yè)首席信息官最關(guān)心的話題之一，無(wú)論企業(yè)規(guī)模是大是小，其對(duì)于安全的關(guān)注往往是第一位的，尤其是以服務(wù)化為主的企業(yè)如銀行、保險(xiǎn)等金融類(lèi)企業(yè)對(duì)于信息安全已經(jīng)成為信息化的頭等重要的事情。然而信息科技并不是萬(wàn)能的，信息科技風(fēng)險(xiǎn)跟其他的業(yè)務(wù)風(fēng)險(xiǎn)存在很多的不同。2015年6月26日在陸家嘴論壇上，新加坡金融管理局局長(zhǎng)拉維·梅農(nóng)表示，國(guó)際金融體系現(xiàn)在有兩大趨勢(shì)正在形成，一是市場(chǎng)的流動(dòng)性風(fēng)險(xiǎn)；二是網(wǎng)絡(luò)風(fēng)險(xiǎn)。針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題，梅農(nóng)指出，在銀行業(yè)、投資以及在支付方面非常依賴于因特網(wǎng)和移動(dòng)互聯(lián)網(wǎng)，但是在網(wǎng)絡(luò)方面安全性的攻擊也在上升。這也就意味著一個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)安全如果出了問(wèn)題，就會(huì)導(dǎo)致整個(gè)系統(tǒng)性的風(fēng)險(xiǎn)。新加坡金管局局長(zhǎng)如此強(qiáng)調(diào)網(wǎng)絡(luò)安全的重要性，體現(xiàn)了新加坡金管局對(duì)網(wǎng)絡(luò)安全的高度重視，而網(wǎng)絡(luò)安全是銀行信息科技風(fēng)險(xiǎn)中的重要組成部分。信息科技風(fēng)險(xiǎn)是指商業(yè)銀行運(yùn)用信息科技過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)與其他領(lǐng)域的風(fēng)險(xiǎn)相比，破壞性大、影響面廣、隱蔽性高、專(zhuān)業(yè)性強(qiáng)，其風(fēng)險(xiǎn)管控的難度更大。正因如此，《巴塞爾新資本協(xié)議》將其作為操作風(fēng)險(xiǎn)中的重點(diǎn)進(jìn)行防控。新加坡在信息科技風(fēng)險(xiǎn)監(jiān)管防控方面積累了豐富經(jīng)驗(yàn)，值得我國(guó)學(xué)習(xí)借鑒。

主要內(nèi)容

對(duì)銀行和信用卡支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理。新加坡金管局在2013年6月21日發(fā)布了644號(hào)和644A號(hào)通知，并于2014年7月1日起開(kāi)始執(zhí)行。兩個(gè)通知分別對(duì)在新加坡的銀行和信用卡或支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理做了安排。644A號(hào)文規(guī)定信用卡或支付卡授權(quán)商是被授權(quán)依法進(jìn)行在新加坡開(kāi)立信用卡或支付卡業(yè)務(wù)的個(gè)人。通知規(guī)定，銀行和信用卡或支付卡授權(quán)商應(yīng)該落實(shí)一個(gè)框架，處理識(shí)別核心系統(tǒng)，盡最大努力維持核心系統(tǒng)的高可靠性，確保每一個(gè)影響和授權(quán)商操作和對(duì)客戶服務(wù)的核心系統(tǒng)的最大意外停機(jī)每12個(gè)月不超過(guò)4小時(shí)。并且銀行和授權(quán)商應(yīng)該建立一個(gè)修復(fù)時(shí)間目標(biāo)（RTO，指從故障發(fā)生到系統(tǒng)修復(fù)的持續(xù)時(shí)間），對(duì)于每一個(gè)核心系統(tǒng)不超過(guò)4個(gè)小時(shí)。每12個(gè)月須至少驗(yàn)證并且記錄一次核心系統(tǒng)在系統(tǒng)修復(fù)測(cè)試中的表現(xiàn)以及測(cè)試時(shí)間。一旦核心系統(tǒng)發(fā)生故障或事故，銀行和授權(quán)商應(yīng)在1小時(shí)以內(nèi)通知新加坡金管局。在重大事件發(fā)生的14天以內(nèi)，或者經(jīng)當(dāng)局許可的更長(zhǎng)一段時(shí)間內(nèi)，銀行和授權(quán)商應(yīng)向新加坡金管局提交一份根本原因和沖擊分析報(bào)告。報(bào)告應(yīng)該包括：重大事件的綜合摘要、觸發(fā)重大事件的根本原因分析、描述重大事件對(duì)銀行的沖擊、描述已采取的補(bǔ)救措施以解決根本原因和重大事件的結(jié)果。最后，銀行和授權(quán)商應(yīng)實(shí)施IT控制以保護(hù)客戶信息免遭非法入侵和曝光。

有關(guān)IT外包的監(jiān)管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對(duì)外包商的監(jiān)管作了明確規(guī)定。文件中指出，外包是指位于新加坡國(guó)內(nèi)外的一個(gè)或多個(gè)提供第三方IT技術(shù)和設(shè)備的供應(yīng)商，包括從系統(tǒng)開(kāi)發(fā)、維護(hù)和支持到數(shù)據(jù)中心操作、網(wǎng)絡(luò)管理、故障修復(fù)服務(wù)、應(yīng)用托管和云計(jì)算。金融機(jī)構(gòu)要落實(shí)正確的框架、政策和流程去評(píng)估、審批、復(fù)審、控制和監(jiān)控所有外包活動(dòng)的風(fēng)險(xiǎn)和實(shí)質(zhì)。在與外包商簽訂合同之前，金融機(jī)構(gòu)應(yīng)該就所有的外包建議做一個(gè)徹底的風(fēng)險(xiǎn)評(píng)估，可以參考基于移動(dòng)終端的信息化應(yīng)用服務(wù)（MAS）的外包技術(shù)調(diào)查問(wèn)卷作為進(jìn)一步指導(dǎo)，金融機(jī)構(gòu)在簽訂任何外包委托之前向服務(wù)商提交完成后的問(wèn)卷。新加坡金管局沒(méi)有直接涵蓋對(duì)銀行技術(shù)外包服務(wù)商（TSP-Technology Service Providers）的具體要求，而是要求金融機(jī)構(gòu)確保外包商采用高標(biāo)準(zhǔn)的政策和流程以確保敏感信息的機(jī)密性和安全性，敏感信息例如客戶資料、計(jì)算機(jī)文件、檔案、目標(biāo)程序和源代碼。在與外包商的合同終止時(shí)，金融機(jī)構(gòu)應(yīng)該在有合同的保證下，可以快速移除或銷(xiāo)毀所有的IT信息和資產(chǎn)。

對(duì)個(gè)人移動(dòng)設(shè)備的監(jiān)管。2014年9月26日，新加坡金管局發(fā)布了《Circular SRD TR02 2014》，對(duì)金融機(jī)構(gòu)中“自帶設(shè)備”所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行了規(guī)定。文件中指出“自帶你的移動(dòng)設(shè)備”（BYOD）是越來(lái)越多的金融機(jī)構(gòu)采用的一種相對(duì)較新的實(shí)踐，讓員工從他們的個(gè)人移動(dòng)設(shè)備訪問(wèn)公司電子郵件、日歷、應(yīng)用程序和數(shù)據(jù)。但是“自帶設(shè)備”相應(yīng)地會(huì)增加金融風(fēng)險(xiǎn)，金融機(jī)構(gòu)應(yīng)該發(fā)展出一套綜合的防止資料損失的策略，去保護(hù)敏感或機(jī)密的用戶信息。一些不利于策略有效應(yīng)用的因素包括幾個(gè)方面，第一，隱私和個(gè)人使用的沖擊。在“自帶設(shè)備”環(huán)境中，雇員可以根據(jù)他們的選擇自由在他們的移動(dòng)設(shè)備上安裝應(yīng)用，并且拒絕安裝特定的安全軟件；第二，不同的設(shè)備組合。實(shí)施“自帶設(shè)備”的金融機(jī)構(gòu)將不得不支持大范圍的設(shè)備，操作系統(tǒng)和應(yīng)用組合。這將造成一個(gè)一致而有效的方式難以被應(yīng)用于不同平臺(tái)的混合環(huán)境；第三，缺乏對(duì)于設(shè)備升級(jí)的控制。在自帶設(shè)備的環(huán)境中，雇員們可以隨意在他們的個(gè)人設(shè)備上安裝應(yīng)用和運(yùn)行軟件升級(jí)，這可能給他們的設(shè)備帶來(lái)安全漏洞和惡意軟件。這將危及可由這些設(shè)備進(jìn)入的金融機(jī)構(gòu)的資料和公司系統(tǒng)，第四，移動(dòng)安全方法的成熟性。移動(dòng)的安全方法仍然普遍處于起始階段。 兩個(gè)常見(jiàn)的解決“自帶設(shè)備”安全隱患的方法是使用移動(dòng)設(shè)備管理和虛擬化。移動(dòng)設(shè)備管理方面，在移動(dòng)設(shè)備被許可進(jìn)入公司網(wǎng)絡(luò)之前，設(shè)備要被驗(yàn)證以確保沒(méi)有被越獄或被嵌入的風(fēng)險(xiǎn)。移動(dòng)設(shè)備管理方法也可以在一個(gè)沙盒環(huán)境（指在一個(gè)受限制的操作系統(tǒng)環(huán)境中執(zhí)行一個(gè)應(yīng)用去保護(hù)公司應(yīng)用可能使用的資源）中管理公司應(yīng)用、資料、政策和設(shè)置。這樣做目的是允許雇員們自由地使用設(shè)備，同時(shí)使企業(yè)得以保護(hù)其工作環(huán)境。一個(gè)健全的移動(dòng)設(shè)備管理方法應(yīng)該被應(yīng)用于所有的“自帶設(shè)備”安排中。在虛擬化方面，允許雇員們通過(guò)一個(gè)請(qǐng)求式的入口從他們的移動(dòng)設(shè)備進(jìn)入公司的資源和資料，使用強(qiáng)力認(rèn)證和網(wǎng)絡(luò)加密。由于公司的資料在公司數(shù)據(jù)中心內(nèi)部處理而不能被下載進(jìn)入移動(dòng)設(shè)備。在虛擬環(huán)境中嚴(yán)格的安全政策限制外圍設(shè)備的復(fù)制和使用，例如打印機(jī)，可移動(dòng)存儲(chǔ)設(shè)備等，以幫助防止數(shù)據(jù)進(jìn)一步的數(shù)據(jù)泄露。

新加坡金管局要求，如果金融機(jī)構(gòu)不能夠恰當(dāng)?shù)毓芾硐嚓P(guān)的安全風(fēng)險(xiǎn)，則不應(yīng)該實(shí)施自帶設(shè)備。金融機(jī)構(gòu)要牢記保持警戒并且緊跟移動(dòng)領(lǐng)域的技術(shù)進(jìn)步和關(guān)注緊急威脅。定期在自帶設(shè)備基礎(chǔ)設(shè)施上實(shí)施漏洞評(píng)估和滲透測(cè)試以確保任何安全漏洞被識(shí)別并盡快做出調(diào)整。

對(duì)我國(guó)的啟示

2006年銀監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱(chēng)《指引》），填補(bǔ)了我國(guó)銀行業(yè)信息系統(tǒng)監(jiān)管領(lǐng)域的空白，為推動(dòng)國(guó)內(nèi)銀行業(yè)信息科技風(fēng)險(xiǎn)管理奠定了基礎(chǔ)。2009年3月，銀監(jiān)會(huì)對(duì)原《指引》進(jìn)行修訂，并重新定名為《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》。新《指引》貫徹了“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”的銀行監(jiān)管理念。新《指引》規(guī)定，“商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人”。要求商業(yè)銀行建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平。要求商業(yè)銀行在信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)以及服務(wù)外包過(guò)程中加強(qiáng)對(duì)客戶信息的保護(hù)，防止敏感信息泄露，對(duì)業(yè)務(wù)連續(xù)性管理也加以規(guī)范，保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。在新《指引》中，提出要構(gòu)建信息科技風(fēng)險(xiǎn)管理的三大防線，即信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技風(fēng)險(xiǎn)審計(jì)。

從銀監(jiān)會(huì)對(duì)商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)管理的現(xiàn)場(chǎng)檢查實(shí)踐來(lái)看，主要有如下幾個(gè)問(wèn)題：高層的知曉度和參與度較低，存在重建設(shè)、輕管理的現(xiàn)象；信息科技風(fēng)險(xiǎn)管理三道防線的設(shè)置存在缺失、重合和分工不清晰的問(wèn)題；信息系統(tǒng)開(kāi)發(fā)風(fēng)險(xiǎn)須引起全行更多關(guān)注；銀行業(yè)金融機(jī)構(gòu)對(duì)災(zāi)難性、突發(fā)性事件的應(yīng)對(duì)能力有待提升。

新加坡金管局從2001年開(kāi)始開(kāi)展信息科技風(fēng)險(xiǎn)監(jiān)管工作，經(jīng)過(guò)不斷實(shí)踐、探索，摸索出一套較為先進(jìn)的監(jiān)管做法。新加坡金管局的信息科技風(fēng)險(xiǎn)監(jiān)管由現(xiàn)場(chǎng)檢查和非現(xiàn)場(chǎng)監(jiān)管構(gòu)成?，F(xiàn)場(chǎng)檢查的工作方式有訪談、調(diào)閱資料、現(xiàn)場(chǎng)取證等，檢查結(jié)束后金管局給金融機(jī)構(gòu)檢查意見(jiàn)書(shū)，金融機(jī)構(gòu)要在三個(gè)星期內(nèi)向金管局提交整改報(bào)告（已整改的問(wèn)題、未整改問(wèn)題的整改計(jì)劃），金管局會(huì)在下次現(xiàn)場(chǎng)檢查時(shí)核查整改情況。金融機(jī)構(gòu)按照新加坡金管局的要求填報(bào)調(diào)查問(wèn)卷作為非現(xiàn)場(chǎng)監(jiān)管的資料。在處罰方面，罰款是處罰的一種方式，另一種處罰方式是提高存款準(zhǔn)備金率。另外，新加坡金管局定期召集商業(yè)銀行高管人員會(huì)議傳達(dá)科技監(jiān)管信息。金管局利用此種形式，向被監(jiān)管機(jī)構(gòu)定期講解信息科技風(fēng)險(xiǎn)發(fā)展的最新形勢(shì)，對(duì)金融機(jī)構(gòu)進(jìn)行技術(shù)輔導(dǎo)，警示風(fēng)險(xiǎn)，并介紹有關(guān)風(fēng)險(xiǎn)領(lǐng)域的解決方案。

結(jié)合新加坡的監(jiān)管安排及我國(guó)銀行及監(jiān)管的實(shí)踐，新加坡的監(jiān)管經(jīng)驗(yàn)對(duì)我國(guó)有一定的啟發(fā)。

加強(qiáng)我國(guó)信息科技風(fēng)險(xiǎn)管理部門(mén)建設(shè)。大力度培養(yǎng)復(fù)合型信息科技風(fēng)險(xiǎn)監(jiān)管人員，提高科技人員的業(yè)務(wù)監(jiān)督能力，推動(dòng)業(yè)務(wù)監(jiān)管人員掌握信息科技監(jiān)督知識(shí)。

進(jìn)一步完善我國(guó)銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管的有關(guān)規(guī)章制度。有必要完善信息科技風(fēng)險(xiǎn)評(píng)估體系，系統(tǒng)分析銀行業(yè)機(jī)構(gòu)采取的風(fēng)險(xiǎn)防控措施的有效性，客觀評(píng)價(jià)銀行業(yè)機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平；建立健全I(xiàn)T外包監(jiān)管體系，建立IT外包監(jiān)督流程，要求商業(yè)銀行健全外包商的風(fēng)險(xiǎn)評(píng)估機(jī)制，加強(qiáng)對(duì)外包風(fēng)險(xiǎn)的識(shí)別和監(jiān)控；進(jìn)一步出臺(tái)有關(guān)銀行數(shù)據(jù)保護(hù)規(guī)范或政策，要求商業(yè)銀行對(duì)數(shù)據(jù)進(jìn)行分類(lèi)、定級(jí)，確定不同的保護(hù)措施和方法。

向銀行業(yè)及時(shí)提示信息科技風(fēng)險(xiǎn)信息。各級(jí)銀行監(jiān)管機(jī)構(gòu)應(yīng)定期召集轄內(nèi)商業(yè)銀行信息科技工作高級(jí)管理人員舉辦情況通報(bào)會(huì)議，每次會(huì)議選定重點(diǎn)關(guān)注的信息科技風(fēng)險(xiǎn)點(diǎn)，及時(shí)傳達(dá)監(jiān)管部門(mén)的工作意圖，使商業(yè)銀行能夠及時(shí)獲取風(fēng)險(xiǎn)控制手段和工作技巧。

因此，對(duì)于我國(guó)銀行機(jī)構(gòu)防控信息系統(tǒng)風(fēng)險(xiǎn)來(lái)說(shuō)，有如下幾點(diǎn)應(yīng)予以重視。

加強(qiáng)對(duì)電子支付欺詐案件的防范。首先，網(wǎng)上支付安全最重要的基礎(chǔ)是客戶端的安全。MAS認(rèn)為客戶端安全的責(zé)任在銀行而非客戶本身，銀行有義務(wù)對(duì)客戶進(jìn)行安全教育，并提供更安全和便捷的技術(shù)工具去增強(qiáng)客戶端的安全性。其次，加快推廣銀行卡的EMV（芯片卡）和動(dòng)態(tài)認(rèn)證的實(shí)施進(jìn)程。相對(duì)于磁條卡，EMV有安全性高和不易偽造的特點(diǎn)。在芯片卡的認(rèn)證方式上，MAS要求銀行發(fā)放動(dòng)態(tài)和混合數(shù)據(jù)認(rèn)證的芯片卡并逐步替代已有的靜態(tài)數(shù)據(jù)認(rèn)證芯片卡，以解決靜態(tài)卡中可能存在的仿冒風(fēng)險(xiǎn)，以強(qiáng)化電子支付的安全性。

強(qiáng)化銀行數(shù)據(jù)安全問(wèn)題的關(guān)注。近年來(lái)國(guó)際上發(fā)生的一系列數(shù)據(jù)丟失并導(dǎo)致了客戶資金被盜等惡性案件。如2009年8月德國(guó)某銀行由于數(shù)據(jù)泄漏而導(dǎo)致了30萬(wàn)歐元的經(jīng)濟(jì)損失，2010年3月匯豐瑞士私人銀行的一個(gè)IT員工竊取了該行24000個(gè)賬戶信息。新加坡金管局在其許多監(jiān)管文件中都反復(fù)提到了數(shù)據(jù)泄露保護(hù)（DLP-Data Loss Prevention）。在IT外包，核心系統(tǒng)可靠性和個(gè)人移動(dòng)設(shè)備管理上下大力氣保護(hù)敏感信息的機(jī)密性和安全性。借鑒國(guó)際銀行業(yè)數(shù)據(jù)中心先進(jìn)經(jīng)驗(yàn)，加強(qiáng)對(duì)銀行數(shù)據(jù)中心、災(zāi)難恢復(fù)能力的建設(shè)。深入研究和解決目前在災(zāi)難備份系統(tǒng)建設(shè)方面存在的突出問(wèn)題和技術(shù)難點(diǎn)。

加強(qiáng)信息科技風(fēng)險(xiǎn)管理的國(guó)際合作。重視對(duì)國(guó)際同業(yè)及國(guó)際金融中心監(jiān)管機(jī)構(gòu)在信息科技風(fēng)險(xiǎn)方面的管理和監(jiān)管最新動(dòng)態(tài)，及時(shí)加強(qiáng)與這些先進(jìn)同業(yè)和先進(jìn)監(jiān)管機(jī)構(gòu)的學(xué)習(xí)、理解。重視和探索與監(jiān)管機(jī)構(gòu)之外的第三方專(zhuān)業(yè)機(jī)構(gòu)合作，如了解和參與國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)等國(guó)際專(zhuān)業(yè)性組織的活動(dòng)等，掌握信息科技風(fēng)險(xiǎn)前沿動(dòng)態(tài)，不斷提升銀行信息科技風(fēng)險(xiǎn)監(jiān)管水平。

（作者單位：中國(guó)科學(xué)院大學(xué)微電子研究所）