在我國的信息安全戰略中,商業銀行的信息安全具有十分重要的地位。為了應對日益嚴峻的信息安全形勢,監管部門和各級商業銀行不斷提高重視程度,采取了各種管理和技術措施,防范信息科技風險。
相對于信息安全技術來說,信息安全管理是從企業戰略出發,為實現信息安全目標,運用一定的手段或措施,對信息安全的非技術因素進行管理的活動。現代觀念認為,保障信息安全除了運用信息安全技術,更多的要依靠信息安全管理,正所謂“三分技術、七分管理”。
信息安全形勢錯綜復雜
當今網絡世界暗流涌動,處在敏感、關鍵位置的銀行信息系統,既面臨著金融欺詐、火災、水災等大范圍的安全威脅,又面臨著計算機病毒、商秘竊取和黑客入侵等侵擾,并且隨著信息技術的發展,各種威脅變得越來越錯綜復雜。
根據瑞士研究機構統計,在過去的8年中,超過半數的世界50強銀行網站曾受到網絡攻擊。在公布的102起安全事件中,高風險或極度危險事件占總數的15%。由于許多銀行不公開全部安全事件,因此實際情況要比統計結果嚴重得多。
外部攻擊固然可怕,但能對組織造成巨大損失的風險主要還是來自內部。統計結果表明企業受到的安全損失中,70%是由于內部員工的疏忽或有意泄密造成的。比如,僅僅是為了方便記憶口令而粘在計算機屏幕邊的便條,就足以毀掉花費大量人力物力建立起來的安全防護系統。
建立信息安全管理體系
根據木桶原理,一個木桶的最大容量取決于最短的那塊木板。同理,一個企業的信息安全水平將由與信息安全所有環節中最薄弱的環節決定。
商業銀行的信息安全管理工作涉及策略、組織、制度、技術等多個層面,既要抵御外部攻擊,又要防范內部風險,任何一個疏漏都可能影響整體信息安全水平。要想實現信息安全目標,必須使構成信息安全這只“木桶”所有木板都要達到一定的長度。
但是信息安全是一個多層面、多因素、動態的過程,如果僅憑一時的需要,想當然地制定一些控制措施和引入某些產品,難免存在掛一漏萬、顧此失彼的問題。
正確的做法是遵循國內外相關信息安全標準與最佳實踐,考慮銀行對信息安全各方面的實際需求,在風險分析的基礎上引入恰當的控制方法,建立合理的信息安全管理體系。這個體系還不能一成不變,應當隨著環境變化、業務發展和信息技術提高而不斷改進。
因此實現信息安全是一個需要完整的體系來保證的持續過程。這也是商業銀行為什么需要信息安全管理的原因所在。
目前國際上具有代表性的信息安全管理體系標準ISO 27001,已在世界范圍內得到了廣泛應用,并被我國等同采納為國家標準。
根據該標準,信息安全管理一般包括制定信息安全政策、風險評估、控制目標與方式選擇、制定規范的操作流程、對員工進行安全意識培訓等一系列工作。
通過在安全方針策略、組織安全、人員安全、物理與環境安全等10個領域內建立管理控制措施,來為組織建立起一張完備的信息安全“保護網”,保證組織信息資產的安全與業務的連續性。
2013年1月,中國銀聯通過ISO 27001信息安全管理體系認證。2014年2月,中國農業銀行總行信息技術管理部和軟件開發中心通過了ISO 27001標準認證。截至目前,我國已經有十幾家商業銀行的總部或科技部門通過了ISO 27001認證。
實施ISO 27001至少可以給商業銀行帶來兩方面效益:一是價值效益。減少信息安全事件發生概率,降低經濟損失;二是非價值效益。增加聲譽、提升品牌價值,成為商業銀行向社會及監管機構證明其信息安全水平的一種有效途徑。
融入全面風險管理體系
在商業銀行全面風險管理體系中,信息安全管理與操作風險中的信息科技風險管理密不可分。2009年銀監會頒布的《商業銀行信息科技風險管理指引》,是商業銀行開展信息安全管理的有力依據。
從管理思路來看,信息科技風險管理側重對風險的識別、計量、監測和控制,信息安全管理側重具體控制點和控制標準的PDCA(即計劃、執行、檢查和行動),但均屬于操作風險管理范疇。此外,在管理組織、目標、措施、流程等方面,信息安全管理與信息科技風險管理均有較高的重合性。
隨著計算機辦公的普及,信息安全管理工作除了涉及信息科技部門外,還涉及全行各條線各部門,尤其與內控合規、內部審計、保密管理等部門關系密切。因此,信息安全管理可以作為操作風險管理內容之一,融入到商業銀行全面風險管理體系中去,由全行各部門按照職責分工共同落實信息安全管理措施,共同打造一個安全的、抗風險的信息科技環境,促進商業銀行業務的健康快速發展。
京公網安備 11010502049343號