新巴塞尔协议银行信息安全风险管理.docVIP

银行信息安全风险管理 -----新巴塞尔协议 导读:新巴塞尔协议强调在进行 风险管理的时候，不仅仅要重视传统的信用风险，而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单，是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下：操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。 1 新巴塞尔协议和操作风险 ??? 2004年6月26日，《巴塞尔新资本协议》（简称新巴塞尔协议）的终稿正式通过。新巴塞尔协议虽然不具有强制性，但是在国际上具有很大的影响力。新巴塞尔协议的核心内容为三个支柱，即最低资本要求、监管检查和市场约束。虽然中国银监会曾经表态，受到客观条件限制，我国在未来几年内仍将继续执行 1988年的老协议，但是当中国的 银行进入国际银行业市场开拓业务时，巴塞尔协议可能会使中国商业银行在竞争中处于不利的地位，尤其是国际上业务较活跃的银行，势必会受到很大影响。所以，对于中国银行业来讲，研究和符合新巴塞尔协议是提高国际竞争力的重要战略决策。 ??? 新巴塞尔协议强调在进行风险管理的时候，不仅仅要重视传统的信用风险，而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单，是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下：操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。???? 2 操作风险管理 ??? 操作风险作为银行面临的多种风险之一，具有其独特性。简单来讲，操作风险就是“没有采用正确的方法做事情”而带来的风险。操作风险和其他风险之间的关系如图所示。战略风险主要关心管理层是否选择的正确的业务方向和战略目标，业务相关的风险和具体的业务特点有关，而操作风险则主要指落实到具体执行层面的时候能否正确执行规范，以及有没有相关的规范可以参照执行。在风险管理领域中，战略是指导，而操作则贯穿整个业务活动的始终。因此，操作风险管理必须贯穿到整个公司管理过程之中去。 ? ??? 新巴塞尔协议强调风险管理应是一种主动的事前行为，而不是事后的补救，强调通过分析既有的数据来预测和防范未来的风险，并从中稳妥地获取风险收益。建立高效的风险管理体系，是银行确保在这个高风险行业中生存下来并获得稳定发展的基础。 ??? 巴塞尔银行监管委员会发布了操作风险管理和监控的十个原则：《操作风险管理和监控的实践》，其中明确了银行进行操作风险管理的四个步骤：识别，评估，监控，缓解/控制。这个文件对于银行进行操作风险管理具有指导性的意义。???? 3 操作风险中的 信息安全风险管理 ??? 信息和信息系统安全在操作风险管理中是非常重要的一部分。由于现代银行几乎所有的业务都运行在IT基础设施之上，尤其是新出现的金融产品和服务更加趋于开放和互联，进一步加强了对信息系统的依赖程度。信息的保密性、完整性以及信息、信息系统可用性对业务的成败起着至关重要的作用。在西方国家已经有立法强制要求银行对某些关键信息的保密性、完整性等进行保护，比如 美国的金融服务现代化法案(Gramm-Leach-Bliley Act，GLBA)。 ??? 1999年，巴塞尔银行监管委员会专门设立了电子银行小组（EBG），对电子银行领域内的监管事务进行重点研究。2001年，EBG发表了《电子银行风险管理原则》，确定了进行电子银行业务风险管理的14条基本原则，是电子银行进行风险控制的重要参考。事实上，不管是《操作风险管理和监控的实践》，还是《电子银行风险管理原则》，其中的内容大部分都已经被涵盖在了当前的国际通用的信息安全管理标准中了，并且已经在某些银行的信息安全管理中得到了不同程度的 应用，比如ISO/IEC 17799。 ??? 操作风险管理和监控的实践的第八项原则规定：银行监管机构应要求所有银行都建立操作风险的风险识别、评估、监控、控制/缓解的有效框架。下面将分别讨论符合这一原则的信息安全风险管理框架中的各个部分。 ??? 3.1风险的识别 ??? 风险的识别就是识别当前信息和信息系统中的资产，判断面临的威胁，分析相关的脆弱性，从而识别相应的风险。简言之，风险的识别主要包括识别资产、识别威胁、识别脆弱性等三个过程。 ??? 信息资产是构成信息系统的基本组成部分。信息资产的界定和赋值是整个工作的前提。资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的，有 硬件、有 软件，有文档、代码，也有服务、企业形象等。参照BS7799对信息资产的描述和