刘永久文章
您的位置:首页 >刘永久 > 必须建立信息系统审计机制--防范银行信息化风险
必须建立信息系统审计机制--防范银行信息化风险
作者:孙强 时间:2004-12-23 Hits: 1531
风险依然存在
随着改革开放和我国信息化建设步伐的加快,我国银行信息化建设从无到有、从小到大、从单项业务到综合业务、从单一网点到全国联网,已经逐步形成了银行信息化的基本框架,取得了显著的社会效益和经济效益。同时我们也应该看到,信息化在推动银行发展的同时,也给银行自身带来了巨大的风险,主要表现在以下几个方面:
1.信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用IT技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。
2.银行数据集中处理有风险。工、农、中、建四大国有银行将陆续完成数据大集中,实现银行账务数据与营业机构的分离,为银行管理集中和科学运营奠定基础,帮助银行从以账务和产品为中心转变为以客户为中心。但是,数据集中后信息系统风险增大,系统一旦出现问题,就会影响到整个银行的正常运营。
3.网络金融服务的发展,对银行信息安全问题提出了挑战。近年来,网上银行、移动银行、电子商务等,已成为银行追逐的利润增长点。中国的网上银行用户2002年底已达到的250万,2005年将达到1.4亿,其中绝大部分的B2B、B2C业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全,在公网环境下防止黑客、病毒的破坏,在Internet上保证支付系统的安全性,是银行信息系统要面临的挑战。
4.随着对信息安全认识的加深,我们逐渐认识到“人”的风险其实是最大的风险。统计结果表明,在信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的,银行业也是如此。站在较高的层次上来看信息和网络安全的全貌,就会发现安全问题实际上都是人的问题。人,特别是银行内部员工,既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设,才是降低人的安全风险的有效手段。
必须建立信息系统审计机制
风险管理是目前银行业的主旋律,银行业是通过承担风险来获得收益的金融机构,银行承担的风险状况以及内部对于风险的识别、衡量、监控和管理程序的完整性,直接影响到银行业的经营状况、进而影响到银行盈利、对债权人的可偿还性、对金融体系稳定的影响等。
银行业的信息安全风险是银行风险管理不可忽略的重要组成部分,虽然各商业银行都有自己的信息安全主管部门,他们是信息安全的建设者、维护者,对信息安全有着丰富的现场经验与专业经验,但他们不足以向最高管理层保证信息安全的有效性,只有建立信息系统审计机制,由独立的或相对独立的信息系统审计师进行信息系统审计,出具审计报告,才能形成对信息系统安全的客观评价,原因有以下几个方面。
1.运动员不能同时兼任裁判员。银行信息安全的特殊性,要求对信息系统安全的评估要客观、公正,银行信息安全管理人员是内部相关工作人员,自我评价不具备说服力,这就要求独立或相对独立的第三方出具信息安全评估报告。
2.信息安全是一个系统工程。银行信息安全要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化。银行信息安全人员往往只考虑企业当时的需要,去制定控制措施和引入某些技术产品,都难免存在顾此失彼的问题。因此,由独立的第三方遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,进行经常性风险评估,提出改进意见,引入恰当控制,使企业可以有效地、动态地建立合理的安全管理体系。
3.信息审计体系的健全和独立是有效的信息安全风险管理的基础。独立的信息审计体系制度,使得信息系统审计师可以审计控制信息系统风险,用制度来保证安全比用人和技术来保证安全更可靠。
4.随着金融监管力度的加大,银行信息披露制的实施、银行信息系统的审计是当务之急。加大银行信息披露的力度,有利于防范、规避、控制和化解银行的运行风险,促进银行规范、有序、高效运作,提高银行的资产营运质量和运作效率。
信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。
信息系统审计工作可以分为两大类:一种是组织自行完成的内部审计,主要目的是检查组织各部门对安全保障制度的遵守情况,要保证内部审计师在他们能自由地和客观地进行工作时是独立的,独立性可使内部审计师提出公正的和不偏不倚的判断意见。信息系统审计执行主管应该对审计委员会、董事会或其他治理机构报告业务工作,向机构的首席执行官报告行政工作。另一种是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常是因为上市、并购、年终检查或其它法规的要求而进行,一般都很正规,也非常深入。
银行信息系统审计的依据
银行信息系统安全审计的依据一般是采用国际公认的信息安全标准与我国法律、法规、标准相结合的办法。银行可以采用ISO17799作为内部安全框架的实施与审计标准,采用COBIT作为内部详细控制的实施与审计标准,同时要保证银行信息系统符合我国有关法律和行业主管部门制订的与信息安全相关的法律、法规。
COBIT
国际上通用的信息系统审计标准是信息系统审计与控制协会公布的COBIT(Control Objectives for Information and Related Technology)。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则维集中反映企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维主要包括以人、应用系统、技术、设施及数据在内的与信息相关的资源,这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定34个信息技术处理过程。
ISO17799
英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助银行在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,在信息安全管理的各环节上提供给组织一个最佳的实践指导。建立框架后,再通过这种细粒度的详细安全控制措施,就可以建立起完备信息安全管理体系。
BS7799-1已被国际标准化组织采纳成为ISO17799,我国也即将采用成为CNS17799,因此国内组织采纳BS7799-1是适宜的。BS77990-1包含100多个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这10个方面分别是:方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合。
总之,在银行系统开展信息系统审计工作,是银行控制风险的的重要手段,在新形势下,银行要健康发展,就要积极迎接挑战、应对不断出现的新风险,防患于未然,才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。
随着改革开放和我国信息化建设步伐的加快,我国银行信息化建设从无到有、从小到大、从单项业务到综合业务、从单一网点到全国联网,已经逐步形成了银行信息化的基本框架,取得了显著的社会效益和经济效益。同时我们也应该看到,信息化在推动银行发展的同时,也给银行自身带来了巨大的风险,主要表现在以下几个方面:
1.信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用IT技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。
2.银行数据集中处理有风险。工、农、中、建四大国有银行将陆续完成数据大集中,实现银行账务数据与营业机构的分离,为银行管理集中和科学运营奠定基础,帮助银行从以账务和产品为中心转变为以客户为中心。但是,数据集中后信息系统风险增大,系统一旦出现问题,就会影响到整个银行的正常运营。
3.网络金融服务的发展,对银行信息安全问题提出了挑战。近年来,网上银行、移动银行、电子商务等,已成为银行追逐的利润增长点。中国的网上银行用户2002年底已达到的250万,2005年将达到1.4亿,其中绝大部分的B2B、B2C业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全,在公网环境下防止黑客、病毒的破坏,在Internet上保证支付系统的安全性,是银行信息系统要面临的挑战。
4.随着对信息安全认识的加深,我们逐渐认识到“人”的风险其实是最大的风险。统计结果表明,在信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的,银行业也是如此。站在较高的层次上来看信息和网络安全的全貌,就会发现安全问题实际上都是人的问题。人,特别是银行内部员工,既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设,才是降低人的安全风险的有效手段。
必须建立信息系统审计机制
风险管理是目前银行业的主旋律,银行业是通过承担风险来获得收益的金融机构,银行承担的风险状况以及内部对于风险的识别、衡量、监控和管理程序的完整性,直接影响到银行业的经营状况、进而影响到银行盈利、对债权人的可偿还性、对金融体系稳定的影响等。
银行业的信息安全风险是银行风险管理不可忽略的重要组成部分,虽然各商业银行都有自己的信息安全主管部门,他们是信息安全的建设者、维护者,对信息安全有着丰富的现场经验与专业经验,但他们不足以向最高管理层保证信息安全的有效性,只有建立信息系统审计机制,由独立的或相对独立的信息系统审计师进行信息系统审计,出具审计报告,才能形成对信息系统安全的客观评价,原因有以下几个方面。
1.运动员不能同时兼任裁判员。银行信息安全的特殊性,要求对信息系统安全的评估要客观、公正,银行信息安全管理人员是内部相关工作人员,自我评价不具备说服力,这就要求独立或相对独立的第三方出具信息安全评估报告。
2.信息安全是一个系统工程。银行信息安全要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化。银行信息安全人员往往只考虑企业当时的需要,去制定控制措施和引入某些技术产品,都难免存在顾此失彼的问题。因此,由独立的第三方遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,进行经常性风险评估,提出改进意见,引入恰当控制,使企业可以有效地、动态地建立合理的安全管理体系。
3.信息审计体系的健全和独立是有效的信息安全风险管理的基础。独立的信息审计体系制度,使得信息系统审计师可以审计控制信息系统风险,用制度来保证安全比用人和技术来保证安全更可靠。
4.随着金融监管力度的加大,银行信息披露制的实施、银行信息系统的审计是当务之急。加大银行信息披露的力度,有利于防范、规避、控制和化解银行的运行风险,促进银行规范、有序、高效运作,提高银行的资产营运质量和运作效率。
信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。
信息系统审计工作可以分为两大类:一种是组织自行完成的内部审计,主要目的是检查组织各部门对安全保障制度的遵守情况,要保证内部审计师在他们能自由地和客观地进行工作时是独立的,独立性可使内部审计师提出公正的和不偏不倚的判断意见。信息系统审计执行主管应该对审计委员会、董事会或其他治理机构报告业务工作,向机构的首席执行官报告行政工作。另一种是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常是因为上市、并购、年终检查或其它法规的要求而进行,一般都很正规,也非常深入。
银行信息系统审计的依据
银行信息系统安全审计的依据一般是采用国际公认的信息安全标准与我国法律、法规、标准相结合的办法。银行可以采用ISO17799作为内部安全框架的实施与审计标准,采用COBIT作为内部详细控制的实施与审计标准,同时要保证银行信息系统符合我国有关法律和行业主管部门制订的与信息安全相关的法律、法规。
COBIT
国际上通用的信息系统审计标准是信息系统审计与控制协会公布的COBIT(Control Objectives for Information and Related Technology)。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则维集中反映企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维主要包括以人、应用系统、技术、设施及数据在内的与信息相关的资源,这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定34个信息技术处理过程。
ISO17799
英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助银行在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,在信息安全管理的各环节上提供给组织一个最佳的实践指导。建立框架后,再通过这种细粒度的详细安全控制措施,就可以建立起完备信息安全管理体系。
BS7799-1已被国际标准化组织采纳成为ISO17799,我国也即将采用成为CNS17799,因此国内组织采纳BS7799-1是适宜的。BS77990-1包含100多个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这10个方面分别是:方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合。
总之,在银行系统开展信息系统审计工作,是银行控制风险的的重要手段,在新形势下,银行要健康发展,就要积极迎接挑战、应对不断出现的新风险,防患于未然,才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。
