我国商业银行技术风险评级体系研究.doc

《我国商业银行技术风险评级体系研究.doc》由会员分享，可在线阅读，更多相关《我国商业银行技术风险评级体系研究.doc（41页珍藏版）》请在三一办公上搜索。

1、我国商业银行技术风险评级体系研究 华中科技大学硕士学位论文我国商业银行技术风险评级体系研究姓名:王海龙申请学位级别:硕士专业:工商管理指导教师:杨超2011-04-24 华 中 科 技 大 学 硕 士 学 位 论 文 摘 要 在信息科技迅猛发展的今天,信息安全已经成为各个行业都需要面临的重要问题。金融科技化在给商业银行带来各种竞争优势和利益的同时,也带来了相应的商业银行技术风险。根据商业银行技术风险的特点,国外同业已经建立了一整套相对规范的技术风险评级管理体系。 本文在借鉴了国外商业银行技术风险管理的经验、方法与成果的基础上, 结合我国商业银行技术风险的特点, 设计了我国银行技术风险评级体系,

2、 包括评级模型、指标设计、指标权重设计和评级方法等。首先参考国内外技术风险评级体系,设计提出了一套商业银行技术风险评级指标,基于 IT业务创新支持、IT业务运营支持、IT合规、IT治理、IT支撑资源五大方面对商业银行的技术风险进行全面的风险评估。其次建立评级模型,通过对指标风险量值、指标权重的确立,得出综合评级结果。采用定性分析和定量分析相结合的方式,通过检查表和调查问卷得出初步结果,综合运用层次分析法和 DELPHI 技术对结果进行修正和完善。昀后结合中国建设银行河南省分行科技信息工作的实际情况,依据评级模型,对中国建设银行河南省分行的技术风险进行了整体性评估,针对评级结果对相应的风险隐患和

3、控制措施提出了建设性的意见。将评级模型在实际生产中予以运用和修订,为国有商业银行特别是省一级分行的风险评级工作提供实践证明。关键词:商业银行技术风险 评级体系 层次分析法I 华 中 科 技 大 学 硕 士 学 位 论 文 Abstract With the rapid development of the information technology, information security has become today all sectors need to face important issues. Financial technology in commercial Banks

4、brings kinds of competitive advantages and interests, but also brought the corresponding technical risk of commercial bank. According to the characteristics of technical risk of commercial bank, foreign trade has established a set of relative regular technical risk rating systemThis paper,drawing on

5、 the experience, approaches and achievement of foreign countries in commercial banking technical risk management, attempts to design a China- specific commercial banking technical risk rating system, including a rating model, an index design, an index weight design and a rating approach and addresse

6、s the problems that should be considered once the rating system is applied. First reference technology risk rating system at home and abroad, the design put forward a set of commercial bank technology risk rating index, based on the IT business innovation support, IT business operation support, IT c

7、ompliance, IT governance, IT support resources of commercial bank five technology risks comprehensive risk assessment. Secondly, through establishing rating model value, the index weight index risk, it is concluded that the establishment of the overall ranking results. Using qualitative analysis and

8、 quantitative analysis, through the way of the combination of the checklist and questionnaire draw preliminary results, comprehensive use of analytic hierarchy process AHP and DELPHI technique the results are fixed and perfect. Based on the China construction bank HENAN branch of the technical infor

9、mation work, according to the actual situation of China, rating model construction bank HENAN branch technology risk assessment in the ratings, integrity to the corresponding risk potential and control measures are put forward constructive Suggestions. Will rating model shall be used in practical pr

10、oduction, and revised for theII 华 中 科 技 大 学 硕 士 学 位 论 文 state-owned commercial bank especially provincial branch of risk rating work provide practical proofKey words: Commercial Bank Technical Risk Rating SystemAnalytic Hierarchy Process III独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除文中已经标明引用的内

11、容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密, 在年解密后适用本授权书。 本论文属于 不保密。 (请在以上方框内打“”)学位论文作者签名

12、:指导教师签名: 日期: 年月日 日期: 年月日华 中 科 技 大 学 硕 士 学 位 论 文 1 绪论 1.1 问题的提出 在信息科技迅猛发展的今天,信息技术已经渗透到了整个社会的方方面面,人们对其依赖程度日益增强,如何确保信息安全已经成为各个行业和组织、不同人群都需要面临的重要问题。而作为国民经济中信息技术应用昀密集、应用水平昀高行业之一的银行业,金融科技化在给商业银行带来各种竞争优势和利益的同时,也带来了相应的商业银行技术风险。伴随着国内银行业信息化程度的逐渐深入,信息技术风险已经逐渐成为影响商业银行核心竞争力的关键因素。 国内商业银行出于国际化发展的战略考虑,必须要根据新巴塞尔资本协议

13、要求控制操作风险,但国内大多数银行在这方面还停留在探索阶段,没有形成有效的评估和管理体系,其发展进度严重滞后。根据银行业的实际情况,作为操作风险重要组成部分的信息技术风险在金融管制松散、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,银行业金融机构的信息技术风险有增大的趋势,银行业和监管当局都日益重视信息科技与操作风险的管理和监管。 银行业服务的好坏,特别是信息系统是否安全、稳定、可靠,事关社会稳定、金融安全和国际声誉。近年来由于北京奥运会、国庆 60周年、上海世博会等重要事件的维稳要求,国内监管机构及各家商业银行都对信息技术风险给予了高度重视,投入大量的资源进行整改落实。但是投

14、入与产出并没有形成正比,从 2007年开始,银监会、人民银行陆续通报了商业银行的安全生产事故: (1)2007 年 3 月,交通银行因主机缺陷,导致系统瘫痪近 4 小时,所有营业网点无法正常开展业务。 (2)2007 年 8 月,中国工商银行在业务高峰期对计算机系统进行升级,导致个人业务系统业务办理速度缓慢,部分证券业务受阻。在持续 5 个小时后,系统才逐步恢复正常。 (3)2007年底中国建设银行系统交易堵塞导致证券交易停止数小时,范围涉及1 华 中 科 技 大 学 硕 士 学 位 论 文 全国; (4)2008 年底中国建设银行某分行由于中心机房电源故障,导致中断业务近24小时; (5)2

15、009年恒生银行由于系统故障,导致网上银行系统大面积瘫痪; (6)2010年 2月民生银行系统由于网络故障瘫痪数小时,范围涉及全国; 上述事件充分暴露出我国银行业信息系统的脆弱性,监管机构对事故进行了通报批评和责任追究。但是由于信息系统的差异性,业内缺少统一的评估体系和信息技术风险量化计量的方法,无法形成有效的评测体系也是安全生产事故屡次发生的深层次原因之一。 商业银行需要重新思考 IT治理的层次,需要从信息资产的角度来看待信息技术风险,尝试技术风险的评估计量、筹划技术风险评级和管理,因此,如何建立符合我国国情的技术风险评级体系,科学、准确地评估识别、量化、管理信息技术风险是各监管机构和金融企

16、业面临的重大课题。 需要特别提醒的是任何所谓的安全都是相对而言,没有绝对的零风险,技术风险安全管理不是一个一蹴而就的过程,而是一个不断完善和修正,将风险和威胁逐1渐降低到信息资产所有者可以接受的管理过程 。 1.2 技术风险评级的发展综述 1.2.1 国外相关领域研究发展综述 信息系统安全风险评估的产生可以追溯到 60 年代。以美国为代表的发达国家从计算机开始应用于政府军队时起就关注安全风险评估, 并对其进行了深入的研究。经过 40 多年的发展, 安全风险评估历经了从昀初以计算机为对象的信息保密阶段 , 到以计算机和网络为对象的信息系统安全保护阶段, 直至发展到现在以信息系统为对2象的信息保障

17、阶段 。其特点如下:(1)以计算机为对象的信息保密阶段。其主要内容是面向计算机系统本身的保密性,更多的是硬件层面的内容。 (2)以计算机和网络为对象的信息安全保护阶段。在此阶段开始认识并关注操2 华 中 科 技 大 学 硕 士 学 位 论 文 作系统、数据库、网络等更多方面的信息安全属性。通过质量保证和安全评测来提高或增强系统的安全属性,从保密性、完整性、可用性等多方面进行安全保护。 (3)以信息系统关键基础设施为对象的信息保障阶段。在这个阶段,计算机网络得到了迅猛发展,成为新时期信息技术发展的核心。风险评估的理念逐渐被越来越多的行业和人群所接受,并得到了很好的落实实施。欧美等发达国家已经建立

18、了相对完善的风险评估认证体系,涵盖了评估标准、评估方法、评估技术等内容。 此外作为国际上关于信息安全技术管理和控制的公认权威标准,信息系统审计与控制协会在 1996 年公布 COBITControl Objectives for Information and related Technology共包含规划与组织、采集实施、交付与支持、监控管理等四个主要方面,目前的昀新版本为 4.1 版本。COBIT 已经被世界上很多国家作为信息系统审计的参考标准,它通过将 IT实施过程、IT资源、组织的战略目标结合起来,形成立体的评估体系,使风险本身、控制需求、实施技术、控制管理达到了有效统一。从而有利于组

19、织更加高效率地利用信息资源,有效地管理控制信息风险。 COBIT框架如图 1-1所示:图 1-1 COBIT 框架3 华 中 科 技 大 学 硕 士 学 位 论 文 URSITUniform Rating System for Information Technology是目前全球昀具权威性的银行技术风险评级体系,它是由美国联邦机构金融检查委员会(FFIEC)针对美国金融业的技术风险评级体系。通过 URSIT,银行监管机构一方面可以评估各金融机构和 IT服务商的信息技术风险,另一方面参照标准进行信息技术风险评级,并根据评级结果采用差别化对待。URSIT包括两个层次的评级,即单项评级和综合评级。

20、其中单项评级通过审计、管理、开发与获取、支持与交付四个方面的实施情况,对评估对象识别、计算量化、管理控制技术风险的能力进行评估。而综合评级则是在单项评级的基础上,根据评估对象在单项评级中的成绩,从综合印象、风险管理能力、战略规划等方面对其进行综合性地评价和等级划分。 33国际标准化组织于 1996 年制定了信息技术:信息安全管理指南 ,主要包括信息安全的概念和模型、信息安全管理和规划、信息安全管理技术、基线方法、网络安全管理指南五个方面。后来又通过制定信息安全管理实施指南,对建立信46息安全管理体系提出了指导性意见 。 综观国外的研究情况,技术风险评级的研究经历了从技术到管理、从简单到复杂、从

21、单项控制到综合管理的发展,并且处于不断深化完善之中。 1.2.2 国内相关领域研究发展综述 国内的信息安全标准化工作起步较晚,在国家相关部委的全力支持配合下,全国信息化标准制定委员会在信息安全标准方面取得了一定的成绩,完成了一系列安全技术标准的制定颁布工作,对国内各行业提出了指导性的意见和标准,如GB17859.GB/T18336 等。在信息技术风险安全管理方面,针对信息系统安全评价的细分准则、管理控制要求等标准也正在陆续制定和颁布中,信息安全标准体系的框架已经初显规模。但是很明显,与国外相比我们的研究实施工作明显落后。特别是在国内某些行业,信息安全管理方面的风险已经影响到了业务的高速发展。

22、参考国际先进的银行技术风险评级体系 URSIT和信息系统安全控制标准 COBIT的内容,金融信息化专家张成虎教授根据银监会下发的股份制商业银行风险评级17体系 ,结合我国商业银行技术风险的特点,于 2006年在国内首次较为全面地设4 华 中 科 技 大 学 硕 士 学 位 论 文 计了我国商业银行技术风险评级体系,提出了相应的评级模型、指标设计、指标权重设计和评级方法,为监管部门的监管活动提供有效的平台。 此外从 2004 年开始,中国银监会、公安部等部门陆续颁布下发了一系列的针对银行业技术风险评估和管理的规范及指导性意见: 2004年 9月,中国银监会发布了商业银行内部控制评价办法; 200

23、6年,国家相关部委联合制定下发了信息安全等级保护管理办法 试行 ; 2006 年,银监会发布电子银行安全评估指引 、银行业金融机构内部审计18指引和银行业金融机构信息系统风险管理指引 ; 2007年,公安部明确了信息系统等级保护基本要求与实施指南; 2009年 3月,银监会发布商业银行信息科技风险管理指引。该指引共十一章7七十六条 ,涵盖了信息技术风险管理的各个领域,同时针对银行业现有的组织架构,对各部门也明确提出了风险管理的要求通过指引解析,指引的编写借鉴了 COBIT、ISO27000、ITIL、CMM、BCP等国内外的昀佳实践,为商业银行的信息技术风险管理指明了方向。同时该指引从商业银行

24、信息科技相关的每一个主要部门的角度出发,分别提出具体的监管要求,从而使得本指引具备非常强的可操作性。也是目前国内银行进行技术风险评级体系建立的主要依据。 1.3 本文研究的主要内容与研究意义 1.3.1 本文研究的主要内容 本文从中国商业银行的技术风险的实际出发,阐述建立技术风险评级体系在商业银行信息化进程中的重要性,并结合美国金融业统一的技术风险评级体系 URSIT框架内容,借鉴国内银行风险评价体系的研究成果, 构建专门的国内商业银行技术风险评级体系。其主要研究工作如下: 第 1 章从银行业信息技术发展状况入手,阐明构建我国商业银行技术风险评级体系的紧迫性、重要性和研究意义。简略介绍了国内外

25、技术风险评级发展的主要情况及特点。 第 2 章通过介绍技术风险评级的理论基础,并结合我国商业银行技术风险的现5 华 中 科 技 大 学 硕 士 学 位 论 文 状,分析商业银行的技术风险的特点以及评级管理中存在的问题。 第 3 章结合我国商业银行风险评级的实际情况,以商业银行信息科技风险管理指引为参考标准,界定风险评级指标体系的设计原则,进行指标体系的构建,并根据评级结果进行评级。 第 4 章以中国建设银行河南省分行为例,进行技术风险评级实例评级,并根据评级结果进行分析。 第 5章提出我国商业银行技术风险评级研究的总结和前景展望。 1.3.2 本文研究意义 本论文采用理论联系实践的研究方法。风

26、险评估理论、项目管理理论、URSIT技术风险评级体系、商业银行信息科技风险管理指引等是本文研究的理论基础,将理论和实践结合起来,把理论的知识转化为可以指导实际工作的工具。建立符合我国商业银行实际情况的技术风险评级体系具有十分重要的价值,主要表现为: (1)随着银行信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,形成以核算业务系统为核心,涵盖信贷与风险控制管理、电子银行渠道、客户信息关系管理等全方位的银行 IT体系,跨越了整个银行业务价值链,成为银行稳健运营和发展的支柱。信息技术在极大地促进了银行业务发展的同时,也使银行业面对很大的技术风险。近年各家商业银行发生的几起信息技术风险

27、事件,充分暴露出信息系统的脆弱性。此外我国将在不久的将来要实施巴塞尔新资本协议,对于IT 风险的隐患,新巴塞尔资本协议中有着明确的阐述,并将其作为操作风险中的重点进行防控,我国银行业如果不能早做准备,在日趋激烈的竞争形势中就会失去先机。因此信息技术风险管理水平的高低,将在很大程度上决定着商业银行在未来市场中的地位和所占的份额,如何防范信息技术风险将是在今后一定时期内信息科技管理者持续关注的主题。 (2)银监会于 2008 年制定下发了银行业金融机构信息系统安全保障问责方案,要求各商业银行确保信息系统的安全稳定运行,并提出了相应的责任追究机制。22同时各类监管机构开始逐年加大对商业银行信息技术风

28、险的检查和审计力度 ,对重大的安全生产事故进行通报和惩治,严令要求各商业银行从维护国家安全稳定的6 华 中 科 技 大 学 硕 士 学 位 论 文 高度重视信息科技工作,因此加强商业银行信息技术风险的评估分析和控制对满足外部监管需要具有重要意义。 技术风险评级体系的设计是银行业实施技术风险控制的基础性平台,通过建立技术风险评级体系,使得对于不同的评级对象能够得出相对客观、准确的评级结果,使其具有横向、纵向对比的标准和方法。同时依托于风险评级过程,找出各种风险隐患,及时跟踪整改落实,从而增强监管的有效性和及时性。 (3)技术风险是商业银行信息化建设过程中所衍生的一种风险, 与银行业传统风险一起降

29、低了银行业的运行绩效。通过建立技术风险评级体系,对商业银行的信息技术风险进行评估和管理,有利于合理调配资源,提高 IT服务质量和效率。 (4)尽管国内银行在信息技术风险管理方面已经进行了一定的探索和实验,但是大多还停留在理论和摸索阶段,没有形成有效完善的、操作性强的评估和管理体系,与国外同业相比发展进度严重滞后。因此该研究一方面为中国建设银行河南省分行的信息技术风险评级提供一种可行的方法,同时也为国内商业银行信息技术风险评估控制丰富了一些实践经验。7 华 中 科 技 大 学 硕 士 学 位 论 文 2 技术风险评级的理论基础 2.1 技术风险评级的相关概念与理论 2.1.1 技术风险的要素 科

30、技信息也可以视作是一种特殊的资产, 由于其自身的脆弱性及面临的威胁, 资产拥有者必然要对其进行保护。通过识别科技 信息资产各要素间的相互关系,从而判断分析科技信息资产面对的风险情况,就是 技术风险评估的主要目的。技术风险评估中各要素的关系如图 2-1 所示: 目标依赖暴露 具有信息 资产价信息资产脆弱性值未被 满足 增加利用增加成本增加 导出威胁 技术风险 安全需求抵御演变 残留 降低 被满足可能 诱发 未控 制安全事件 残余风险 安全措施图2-1 技术风险评估各要素关系 技术风险评估各要素的内涵如下: 目标:机构或单位通过信息技术手段实现的目 标任务,也称为业务战略,依赖资产去实现。目标对信

31、息系统和信息的依赖程度越高,风险评估的责任就越重要。8 华 中 科 技 大 学 硕 士 学 位 论 文 信息资产:是实现目标的关键或资源支撑,是安全保护的对象。 信息资产价值:体现信息资产的重要性及敏感程度。信息资产价值是进行信息资产识别的关键内容。信息资产的价值越大则其面临的风险越大。但是需要注意的是为了保护信息资产的安全,信息资产的价值要与其投入的资源或成本相匹配。 威胁:可能导致对系统或组织损害的不期望事件发生的潜在原因。威胁可以通过威胁源、成因、影响方式等多种属性来体现。威胁越多,则说明信息资产面临的风险越大。 脆弱性:可能被威胁利用对资产造成损害的薄弱环节。威胁是外因,而脆弱性是内因

32、,外因要通过内因起作用。 安全事件:威胁利用脆弱性产生的危害情况。 技术风险:技术风险主要包括安全事件发生的可能性和安全事件造成的影响两方面。其主要的成因是信息系统自身的脆弱性以及外在威胁等。 残余风险:采取了安全措施后,仍然可能存在的风险。特别是某些残余风险是在信息资产所有者综合考虑后可以接受的,但是其应受到密切监视和关注。 安全需求:为完成目标任务而形成的在安全措施方面的需求。在提出安全需求时要考虑安全需求的实施成本,不能一味的增加投入,要结合信息资产价值综合考虑。 安全措施:是一系列实践、规程和机制的总称,用于降低安全事件发生的可能性和安全事件造成的影响,保护信息资产的安全。 2.1.2

33、 技术风险评估的流程 能够成为技术风险,有三个重要的因素,即系统脆弱性、安全威胁和安全事件对信息资产造成的影响,这三个因素必须同时存在才能构成安全风险。技术风险评估就是评估三者发生的可能性及确认安全风险、提出安全需求和建议控制措施的过程。技术风险评估的流程如图 2-2所示:9 华 中 科 技 大 学 硕 士 学 位 论 文 技术风险评估准备科技信息资威胁识别脆弱性识别产识别已有安全措 施的确认评估过程文档风险分析技术风险 计算评估 过程文档是技 术风险是否接受保持 已有的安全措施否选择适当的安全措 施并评 估残余风险否是否接 受残余风险评估 结果文档是风 险评估 文件 记录实施技术风险管理图2

34、-2 技术风险评估实施流程图 下面对评估实施流程中的关键环节进行说明: 1)技术风险评估的准备 充分的技术风险评估准备是确保技术风险评估 过程有效性的基础。技术风险评估工作是一项复杂的工作,其可能受到的影响 是多方面的。要想在后续的技术风险评估工作中能够顺利地实施,应做好以下准备事项: (1) 确定技术风险评估的目标: 重点满足组织业务持续发展在信息安全方面的需求,或者符合相关利益方的要求,或者遵守外部监管和法律法规的要求等。 (2) 确定技术风险评估的范围: 是完成风险评估的前提, 评估范围既要考虑全10 华 中 科 技 大 学 硕 士 学 位 论 文 面性,又要避免扩大化。 (3)组建适当

35、的评估管理与实施团队:选取合适的人员组建团队,是确保技术风险评估工作顺利开展的关键。 (4)选择适合的风险判断方法:要综合考虑诸如目标、结果、能力、界限等多方面因素,选择合适的风险判断方法。 (5)获得昀高管理者对风险评估工作的支持:任何一项工作得到昀高管理者的有效支持永远是获得成功的关键因素之一。 2)科技信息资产识别 科技信息资产是实现目标的关键或资源支撑,是安全保护的对象。其表现形式多样,主要包括保密性、完整性和可用性三个重要属性,并可以根据属性的特点划分为不同的等级。科技信息资产的昀终价值体 现是通过这三个关键属性的程度和对组织的影响来决定的。同时科技信息资产自身的脆弱性和面临的威胁、

36、以及相应的安全措施将对科技信息资产的属性产生影响。因此对科技信息资产进行识别是必要的。 3)威胁识别 威胁是可能导致对系统或组织损害的不期望事件发生的潜在原因。威胁可以通过威胁源、成因、影响方式等多种属性来体现。威胁作用形式可以是对信息系统直接或间接的攻击,也可能是随机性、或蓄意谋划的事件。 进行威胁识别判断的关键点是其出现的频率。可以通过以下方式进行综合考虑: (1)借鉴已经发生的安全事件,统计分析类似威胁出现的频率。 (2)以威胁可能出现的形式和过程痕迹,通过检测工具和方法,统计分析威胁出现的频率。 (3)通过特定组织定期发布的威胁分析报告和威胁预警进行频率分析。 4)脆弱性识别 脆弱性是

37、对信息资产薄弱环节或漏洞的总称。脆弱性是信息资产本身所固有,是内在因素,而威胁时外在因素,外在因素需要通过内在因素起作用,即脆弱性往往需要与对应的威胁源相结合时才会对信息资产的安全造成影响。11 华 中 科 技 大 学 硕 士 学 位 论 文 脆弱性识别是从信息资产中找出可能被威胁利用的弱点,并对脆弱性的严重程度和对信息资产的影响进行评估。需要注意的是在不同的条件和环境因素下,信息资产的脆弱性的表现方式有可能存在差别,因此需要信息资产的所有利益相关者、独立专家等进行认真细致的评估,屏蔽掩盖因素,找出真正的脆性点。 脆弱性识别常用的工具和方法主要包括问卷调查、人工检查、文档调阅、工具检测、渗透性

38、测试等。 5)已有安全措施的确认 通过对已经采取的安全措施的有效性进行确认,对不同效果的安全措施区别对待。即继续保持有效的安全措施,对于确认为效果差或无效的安全措施应当及时采用更合适的安全措施进行替代。 安全措施从实施目的可以划分为预防性措施和保护性措施两种。预防性安全措施主要是指防患于未然,降低导致安全事件发生的可能性,如入侵检测系统;保护性安全措施主要是指对于发生的安全事件,如何减少因安全事件发生对信息系统造成的影响,如业务持续性计划。 6)风险分析 (1)风险计算。在完成了风险因素的识别和安全措施确认后,需要对风险进行量化计算,其原理用下面的范式加以说明: 风险值R(A,T,V) RLT

39、,V,FIa,Va 其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产重要程度;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。 (2)风险结果判定 通过对风险值进行等级划分,等级越高,风险越高。 7)风险评估文件记录 一旦安全风险评估全部结束,昀终必须产生风 险评估结果文档。结果文档不仅可作为此次风险评估的资料保存,也可为以后的安全风险评估提供参考和比较。结果文档应包括风险评估计划、风险评估程序、资产识别清单、重要资产清单、威胁12 华 中 科 技 大 学 硕 士 学 位 论 文

40、列表、脆弱性列表、已有安全措施确认表、风险评估报告、风险处理计划、风险评估记录。 2.2 我国商业银行的技术风险的现状及存在的问题 2.2.1 我国商业银行技术风险的现状 从上世纪 90年开始,随着信息技术的高速发展,作为关系国计民生的银行业,其信息化建设得到了长足的发展,信息技术与银行业务高度融合,渗透到商业银行经营管理的方方面面。银行业服务的好坏,特别是信息系统是否安全、稳定、可靠,事关整个社会的和谐、金融稳定安全和国际声誉。近年来,无论是监管机构,还是国内商业银行本身,对信息系统的安全管理与运行都普遍给予了相当程度的重视,但是银行业的安全风险事件还是屡见不鲜。因此如何有效识别防范技术风险

41、,已经成为各商业银行科技信息工作的重中之重。 结合国内商业银行的运营特点,我国商业银行信息技术风险主要包含以下内容: 1)业务中断风险 由于各商业银行的集中化程度日益提高,其运行风险也相对集中,如何确保业务的连续性也逐渐演变成确保银行各核心系统的持续稳定运行,同时也成为各商业银行信息科技工作昀重要的目标。从有可能导 致信息系统不能够持续稳定运行的风险成因着手,其可能的风险有: (1)机房基础环境风险 稳定安全的机房基础环境是确保生产信息系统安全稳定运行的基础。国内各商业银行总分行一般均建设有生产中心机房,用于存放各类基础设施,主要包括电源(包括外部电源、UPS 电源)、机房空调、网络设备、服务

42、器及小型机等。目前,由于各级商业银行中心机房的建设基础不尽相同,有的是老机房扩建改造,有的是在原办公环境的基础上的改造,受限于空间等基础条件的限制,以及对机房建设标准知识匮乏,可能存在不可预知的隐藏风险。需要特别关注的是电源问题,2008年底,建设银行某分行由于中心机房电源故障,导致中断业务近 24 小时。诸如外部电源是否是真正的双回路、是否有应急发电设备、UPS 电源带载满负荷能够坚持的时间,13 华 中 科 技 大 学 硕 士 学 位 论 文 都是确保机房基础环境有效的重点。此外机房的温湿度,特别是温度是否满足机房设备的正常运转?机房的防水防鼠等措施是否到位?都是可能导致机房基础环境产生风

43、险,从而进一步影响生产信息系统持续稳定运行的因素。 (2)版本投产及管理风险 版本投产及管理风险主要有以下内容:测试不充分或变更设计问题导致版本存在缺陷,投产变更实施后,导致信息系统无法正常运行;测试环境与生产运行环境存在差异,诸如压力测试不充分、基础环境差异导致风险隐藏等因素,造成测试环境正常而生产投产后无法运行;变更操作风险,如没有双人复核、没有在规定的时间段和变更前提下进行变更操作,一旦出现误操作可能会造成无法预料的错误;版本管理不规范,特别是主备机版本不一致的情况,在应急切换后可能导致系统无法正常运行。 (3)系统漏洞风险 潜在的系统漏洞风险主要包括:未及时进行操作系统、数据库、中间件

44、等软件产品的补丁的测试及增打工作。导致软件产品运行存在隐患,比较常见的网络攻击、钓鱼网站、木马病毒传播等都是由安全漏洞导致的。 (4)系统资源风险 系统资源风险主要包括存储空间不足、资源性能无法满足业务发展的需要。存储空间主要是指文件系统空间、数据库空间等,一旦资源无法满足,特别是对于实时性要求较高的系统,将直接导致业务中断。2011 年初某商业银行由于数据库空间超限导致某实时交易系统中断交易近 3个小时,给客户造成了不必要的影响。 2)数据安全风险 数据安全风险主要包括数据失窃、数据缺失等。其中数据失窃主要是指使用存有生产数据的存储介质,未按照生产数据的管理要求进行保密和销毁处理,从而导致不

45、相关的人员接触到生产数据从而形成的数据外泄。特别是对于一些客户的敏感信息,诸如客户姓名、证件号码、联系方式、家庭住址等信息一旦泄露,可能会给客户造成不必要的风险,从而引发客户的投诉甚至诉诸法律,对银行产生不良的影响。而数据缺失主要是指在未按照数据存储规定进行数据转储、抽查、清理、恢复,14 华 中 科 技 大 学 硕 士 学 位 论 文 从而造成存储介质过期失效,造成数据缺失;特别是对于生产系统的数据库、日志等内容进行有效备份及管理,导致数据无法查询,甚至造成信息系统异常后无法及时获取有效数据备份进行恢复,从而导致系统无法快速恢复。 3)外包风险 37银行科技外包的目的主要是实现依托于外包服务

46、商的技术优势和资源优势 ,协助商业银行全面提升银行业务的信息科技含量,提高产品研发的效率和质量,提高商业银行的专业化程度,将精力更多的投入到业务分析和产品创新上。但是实践证明,任何事物都有其两面性,一方面外包提升了银行科技服务水平,另一方面也会导致不确定的因素,从而形成风险隐患。首先部分商业银行在实施外包时,处于交钥匙的状态,即所有的一切均交给外包服务商,对其不进行控制和监督,长久下来,银行员工对信息系统的了解越来越少,形成了银行对外包厂商的过度依赖。从而出现离开外包厂商,什么也玩不转的局面。同时在后续的合作谈判中,往往处于被动不利的局面。此外外包厂商的人员流动性相对较大,一旦出现应急状况,无法确保及时响应,特别是如果出现人员离职的情况,往往会出现支持断层的高危局面。昀后过度的外包还可能会导致银行内部机密泄露的风险。 4)安全管理风险 安全管理风险主要体现在制度缺失风险、岗位设置风险两方面。其中制度缺失风险主要表现为无制度、规范可以进行参考依据,从而造成信息技术人员的行为处于无序状态。岗位设置风险现阶段主要表现