RSA安全报告-金融服务中的信息风险管理【DOC精选】.doc

金融服务中的信息风险管理 Rodney Nelsestuen 金融服务战略和IT投资 2007年8月 安全是现今全球金融服务行业所要求的健全而灵活的信息风险管理原则的核心。在业务具有特定速度和互联性的情况下，进行风险管理以确保安全已经成为许多金融服务机构（FSI）必需的核心竞争力。包括对人员、流程和技术进行全盘整合的综合风险管理，可以管理客户和业务信息的许多风险。 此白皮书旨在面向金融服务行业的高级管理人员和领导者。它解决了金融机构迫切的需要，以全面的眼光来看待信息风险管理。为此，我们需要全面了解企业的信息需求和风险，随后构建出一个全方位管理这些信息的方案。除了在保护信息和满足规章遵循要求中扮演的防护角色外，安全惯例还可以增值金融机构的产品和服务。行政领导必须了解和正视以下几点。 综合风险管理。为企业引入一个综合的信息风险管理方案意味着可以摒弃许多FSI处理风险时所采取的不协调和被动的应对方式。在发生安全事件和信息丢失、遭窃或滥用时，其声誉和品牌形象将受到威胁。而且，如果需要的信息不能够及时获取，FSI就会失去客户对他的信任，使其竞争力下降，同时它的品牌和整个行业声誉也将受到损害。 价值增加。实行全面的安全和信息风险方案，可以确保业务信息有助于实现市场和商业目标，保持客户和业务重点，并建立机构在市场中的信心。总之，提供信息防护的信息安全策略、实施方案及其技术，也可以支持业务的进攻性战略。 灵活防御。FSI必须要经常更新其安全实施方案和基本技术，以防御不断变化的欺骗机制和规章要求，并通过新的、日益增加的不同渠道安全、简便的提供服务。与管理良好的控制方式相结合使用，这些方案提供了健全而灵活的安全机制。 安全和信息风险管理 与活生物体相类似，金融服务机构是由一连串分散的部分和许多不可见的元素组成。信息是金融服务机构的血液，而安全是其免疫系统。好的安全机制有效的防止了FSI的DNA——数据和信息发生改变和丢失。安全是贯穿所有业务和部门风险管理的基础，以确保信息能够在任何需要的时候及时获取。 失败的信息安全所带来的结果将会是令人吃惊的。根据隐私权情报交换所提供的数据，自2005年以来，美国共有15900万的用户私人信息发生丢失、遭窃或滥用。记载的违规行为包括普通的电脑黑客，雇员欺诈，有组织的犯罪，社会工程，甚至简单的人为错误。对公众来讲，损失的方式并不重要，但他们期望公司能够采取合适的方式来保护客户的信息。 必须由业务主导 在不久以前，关于信息安全方面的讨论通常在技术层面上进行，在很大程度上将业务领导排除在外。网络违规和恶意攻击、拒绝服务、蠕虫病毒被认为是IT职员的工作范围。FSI领导只需简单的知道企业拥有“坚如磐石”般的安全基础，并且他们的技术是“难以渗透”的。这种景象被证明为是短视的，因为它暗示着好的安全机制是保护数据和信息资产的坚固不变的保护层。但更重要的是，安全机制除了坚固之外，还必须具有足够的灵活性。它必须能够满足所开展业务和环境的需求，同时它也必须能适应新的客户群体、发布渠道，以及新危险的出现、发展和变化。 最终，业务领导开始认识到他们需要参与安全实施方案的建立过程，因为在若干不同的业务阵线上受到危险的是他们的业务数据和信息。初期所有修补潜在漏洞的努力变成了新增技术和策略的拼拼补补。所作的更改都是点对点的更改，而且这种更改并不协调一致，经常是在符合最低标准的驱动下进行，并且不能在整个机构中做到协调一致。这种安全机制中零零碎碎的方式一直被沿用下来，直到高级管理人员注意到IT成本在逐步上升，并开始质疑安全技术的投资回报为止。 为满足财政和风险管理责任制的要求，现今领先的FSI在积极的寻求一个贯穿业务和运行方面风险管理的综合方案。然而，即使在不断的协调，仍然存在着一些挑战。例如： 北美银行决定采用一个单一的入侵检测企业级解决方案，但却实行了四套不同的实施方案，每个实施方案又有不同的技术单元管理。尽管对于信用卡业务以及投资产品或储蓄等相对业务来说，技术配置应该根据需要而作出变化，但是在这个案例中，低效的管理方式导致了重复的许可费用，同时还会产生代价更为昂贵的人员成本的重复。该组织只是部分地减少了由于以前安全技术和策略的无序扩张而引起的效率低下问题。 另一个全球性的机构有17个高级执行官，而他们的任务就是管理不同领域的风险。尽管他们有非常清晰的责任分工，但是这种方式仍然导致了高昂的人员、流程和技术的重复浪费。 这些例子强调了在金融机构中整合信息风险管理的挑战性。风险可以划分成四个基本领域：战略、运营、财政和规章制度，正如图1的左部所示，它给出了FSI全面风险管理中风险的全局概念扩展图。 图1 全局整合风险管理，平衡重叠区域 注释：BPO=business process outsourcing（业务流程外包）.