劉杰

摘要：本文以某銀行的電子銀行安全評(píng)估項(xiàng)目為研究背景，提出了一種電子銀行安全評(píng)估方法。該方法按照該行電子銀行業(yè)務(wù)的發(fā)展目標(biāo)和風(fēng)險(xiǎn)管理目標(biāo)，結(jié)合外部監(jiān)管要求，即中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下稱“銀監(jiān)會(huì)”）要求，參考業(yè)內(nèi)最佳實(shí)踐標(biāo)準(zhǔn)，對(duì)該行電子銀行進(jìn)行安全評(píng)估，旨在發(fā)現(xiàn)存在的主要問(wèn)題并提出改進(jìn)建議。通過(guò)深入分析，對(duì)電子銀行安全評(píng)估分為3個(gè)層面和4個(gè)具體化執(zhí)行階段，成功高效地完成了電子銀行安全評(píng)估工作，為各銀行同業(yè)提供了參照方法和工作思路。

關(guān)鍵詞：電子銀行安全評(píng)估；現(xiàn)狀調(diào)研；業(yè)務(wù)流程風(fēng)險(xiǎn)識(shí)別；電子銀行業(yè)務(wù)連續(xù)性管理

1、引言

電子銀行的安全評(píng)估，是指金融機(jī)構(gòu)在開展電子銀行業(yè)務(wù)過(guò)程中，對(duì)電子銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià)。開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對(duì)電子銀行進(jìn)行一次全面的安全評(píng)估[1]。 本文以國(guó)內(nèi)某大型股份制銀行為電子銀行安全評(píng)估分析對(duì)象，提出了一種開展電子銀行安全評(píng)估方法，并對(duì)該方法作了深入分析和研究；通過(guò)實(shí)踐驗(yàn)證，該方法切實(shí)可行、達(dá)到了預(yù)期目標(biāo)。

2、項(xiàng)目背景介紹及電子銀行安全評(píng)估實(shí)施方法

本文所提出的一種安全評(píng)估方法其背景是某行的電子銀行安全評(píng)估項(xiàng)目，分析研究的目的為以下兩個(gè)方面：（1）在以監(jiān)管要求及標(biāo)準(zhǔn)為依據(jù)，基于該行現(xiàn)有管理制度，綜合參考風(fēng)險(xiǎn)庫(kù)及同業(yè)實(shí)踐，執(zhí)行包含該行電子銀行技術(shù)安全、業(yè)務(wù)操作與管理領(lǐng)域在內(nèi)的安全評(píng)估工作，識(shí)別風(fēng)險(xiǎn)控制缺陷，提出可實(shí)施的整改建議，并出具安全評(píng)估報(bào)告；針對(duì)評(píng)估中發(fā)現(xiàn)的可以快速體現(xiàn)風(fēng)險(xiǎn)管控實(shí)效的控制措施，設(shè)計(jì)管理工具或制度，提高該行電子銀行的風(fēng)險(xiǎn)管控水平，完善電子銀行風(fēng)險(xiǎn)管理體系，包括：建立電子銀行業(yè)務(wù)風(fēng)險(xiǎn)模型、風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制，完善電子銀行業(yè)務(wù)連續(xù)性管理制度；（2）通過(guò)項(xiàng)目實(shí)施過(guò)程中的交流和知識(shí)轉(zhuǎn)移活動(dòng)，協(xié)助電子銀行風(fēng)險(xiǎn)管理相關(guān)人員掌握風(fēng)險(xiǎn)現(xiàn)狀，了解風(fēng)險(xiǎn)管控要求，提高該行電子銀行風(fēng)險(xiǎn)管理團(tuán)隊(duì)技術(shù)能力。

根據(jù)電子銀行業(yè)務(wù)發(fā)展方面及現(xiàn)有業(yè)務(wù)重要程度分析，本項(xiàng)目的評(píng)估范圍包括網(wǎng)上銀行、手機(jī)銀行、電子支付三個(gè)業(yè)務(wù)領(lǐng)域[2]。按照項(xiàng)目執(zhí)行的時(shí)序、項(xiàng)目特點(diǎn)等綜合因素，采用分階段完成其項(xiàng)目。具體將評(píng)估方法分為這樣四個(gè)階段：項(xiàng)目計(jì)劃、安全評(píng)估、風(fēng)險(xiǎn)管理優(yōu)化、報(bào)告及建議，各階段的主要工作簡(jiǎn)述如下：

（1）項(xiàng)目計(jì)劃階段：確定詳細(xì)項(xiàng)目范圍和制定安全評(píng)估工作計(jì)劃，監(jiān)管要求差距分析；（2）安全評(píng)估階段：執(zhí)行該行電子銀行安全評(píng)估，包括治理、業(yè)務(wù)和科技層面；（3）風(fēng)險(xiǎn)管理優(yōu)化階段：建立電子銀行業(yè)務(wù)風(fēng)險(xiǎn)模型以及風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制；（4）報(bào)告及建議階段：編制安全評(píng)估報(bào)告并提出改進(jìn)建議，建立電子銀行業(yè)務(wù)連續(xù)性管理機(jī)制。

本次電子銀行安全評(píng)估不僅為滿足監(jiān)管要求，更以全面了解電子銀行風(fēng)險(xiǎn)全貌為目標(biāo)，因此在評(píng)估要求的設(shè)計(jì)過(guò)程中，充分參考了監(jiān)管要求、該行電子銀行管理制度與國(guó)內(nèi)外同業(yè)最佳實(shí)踐。

為全面評(píng)估電子銀行風(fēng)險(xiǎn)狀況，根據(jù)本次項(xiàng)目評(píng)估目標(biāo)和評(píng)估范圍，本文設(shè)計(jì)了三層評(píng)估框架，以保證電子銀行安全評(píng)估的全面性，包括：治理層面、業(yè)務(wù)層面及科技層面。電子銀行安全評(píng)估框架如圖1所示：

圖1 電子銀行安全評(píng)估框架

三層評(píng)估的具體執(zhí)行目標(biāo)為：（1）電子銀行治理層面評(píng)估主要針對(duì)電子銀行安全策略、內(nèi)控制度建設(shè)、風(fēng)險(xiǎn)管理狀況進(jìn)行設(shè)計(jì)，根據(jù)框架可對(duì)治理層工作的有效性、充分性、合理性進(jìn)行評(píng)估；（2）電子銀行業(yè)務(wù)層面評(píng)估主要從電子銀行產(chǎn)品的需求調(diào)研、產(chǎn)品設(shè)計(jì)、系統(tǒng)研發(fā)、投產(chǎn)上線到市場(chǎng)營(yíng)銷的整個(gè)生命周期流程及具體電子銀行產(chǎn)品業(yè)務(wù)操作兩個(gè)層面出發(fā)，對(duì)電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)進(jìn)行評(píng)估；（3）電子銀行科技層面評(píng)估重點(diǎn)關(guān)注電子銀行業(yè)務(wù)相關(guān)系統(tǒng)的整體運(yùn)營(yíng)及維護(hù)情況，主要通過(guò)檢查電子銀行業(yè)務(wù)運(yùn)營(yíng)相關(guān)應(yīng)用系統(tǒng)的部署及配置發(fā)現(xiàn)安全隱患。

3、項(xiàng)目階段化及具體工作描述

根據(jù)上述評(píng)估方法的具體工作思路，并結(jié)合安全評(píng)估框架圖，現(xiàn)將劃分為4個(gè)階段的相關(guān)工作具體化，各個(gè)階段的具體工作如下所述：

3.1第一階段具體工作描述

第一階段是項(xiàng)目計(jì)劃階段，其階段目標(biāo)是了解該行電子銀行業(yè)務(wù)運(yùn)作方式與主要環(huán)境，制訂項(xiàng)目詳細(xì)計(jì)劃與范圍，并與該行成員討論確定項(xiàng)目的詳細(xì)實(shí)施計(jì)劃和范圍。對(duì)現(xiàn)有國(guó)內(nèi)和國(guó)際監(jiān)管要求、指引和參考進(jìn)行收集整理，評(píng)估其對(duì)該項(xiàng)目的適用性，形成電子銀行風(fēng)險(xiǎn)矩陣；同時(shí)，還將對(duì)各類相關(guān)資料進(jìn)行前期收集和查閱，包括電子銀行業(yè)務(wù)資料、電子銀行系統(tǒng)相關(guān)資料、電子銀行往期評(píng)估資料。

3.2第二階段具體工作描述

第二階段是安全評(píng)估階段，治理層面評(píng)估的目標(biāo)是確定評(píng)估戰(zhàn)略機(jī)制、職責(zé)分離和制度體系化程度。首先收集電子銀行發(fā)展戰(zhàn)略、組織架構(gòu)及職責(zé)分工、電子銀行管理制度等資料；然后梳理電子銀行制度體系，明確制度間上下層級(jí)和相互關(guān)系，尤其關(guān)注制度覆蓋面的缺失或重疊，以及與其他部門相關(guān)制度的銜接；最后梳理電子銀行管理組織架構(gòu)，評(píng)估其完整性和職責(zé)分離有效性。在完成基礎(chǔ)工作之后，對(duì)電子銀行治理層面管理機(jī)制進(jìn)行完整評(píng)估，包括電子銀行戰(zhàn)略管理機(jī)制、電子銀行制度管理機(jī)制等。

業(yè)務(wù)層面評(píng)估的目標(biāo)是評(píng)估重點(diǎn)產(chǎn)品的全業(yè)務(wù)風(fēng)險(xiǎn)控制情況。首先收集電子銀行產(chǎn)品資料，訪談產(chǎn)品設(shè)計(jì)和管理人員，整理詳細(xì)業(yè)務(wù)操作流程圖，同時(shí)參考風(fēng)險(xiǎn)框架梳理業(yè)務(wù)層面風(fēng)險(xiǎn)；對(duì)于電子渠道實(shí)現(xiàn)傳統(tǒng)產(chǎn)品的情況，重點(diǎn)關(guān)注電子渠道相關(guān)風(fēng)險(xiǎn)；對(duì)于電子銀行創(chuàng)新產(chǎn)品的情況，全面關(guān)注產(chǎn)品本身和渠道相關(guān)風(fēng)險(xiǎn)；對(duì)所有產(chǎn)品都關(guān)注市場(chǎng)營(yíng)銷、產(chǎn)品研發(fā)、運(yùn)行維護(hù)和自律監(jiān)管等方面的風(fēng)險(xiǎn)。然后識(shí)別現(xiàn)有風(fēng)險(xiǎn)控制措施和控制措施類型，評(píng)估業(yè)務(wù)層面安全管理狀況。

科技層面評(píng)估的目標(biāo)是明確相關(guān)信息系統(tǒng)，并對(duì)科技管理機(jī)制進(jìn)行評(píng)估。梳理出支持電子銀行業(yè)務(wù)運(yùn)行的信息系統(tǒng)，整理電子銀行系統(tǒng)安全評(píng)估要點(diǎn)，并對(duì)相關(guān)系統(tǒng)環(huán)境進(jìn)行評(píng)估[3]。

在該電子銀行安全評(píng)估工作過(guò)程中，為了解電子銀行安全情況，其間采用了人員訪談，資料查閱，檢查風(fēng)險(xiǎn)控制執(zhí)行記錄、系統(tǒng)管理及配置情況等方法，對(duì)該行電子銀行安全情況進(jìn)行評(píng)估。整個(gè)評(píng)估過(guò)程分為三個(gè)步驟完成，其三個(gè)步驟的具體工作為：

（1）通過(guò)資料搜集和訪談?wù){(diào)研全面了解現(xiàn)狀。本次評(píng)估工作中，對(duì)電子銀行業(yè)務(wù)相關(guān)部門人員進(jìn)行了廣泛的訪談，包括對(duì)電子銀行部、信息科技部、辦公室、法律合規(guī)部、風(fēng)險(xiǎn)管理部等進(jìn)行訪談。通過(guò)訪談了解電子銀行業(yè)務(wù)管理相關(guān)現(xiàn)狀，評(píng)估電子銀行各類安全策略、管理制度、操作手冊(cè)的要求是否在日常工作中有效落實(shí)，評(píng)估人員的安全意識(shí)水平及對(duì)自身崗位職責(zé)的理解水平。在評(píng)估工作中，對(duì)該行電子銀行的組織架構(gòu)、人員分工、安全策略、管理制度，業(yè)務(wù)連續(xù)性計(jì)劃等資料進(jìn)行調(diào)閱，并查閱了涉及電子銀行業(yè)務(wù)運(yùn)行的科技運(yùn)行標(biāo)準(zhǔn)及操作手冊(cè)。通過(guò)對(duì)資料的查閱，評(píng)估該行電子銀行安全策略、管理制度、操作手冊(cè)等文檔的完整性及設(shè)計(jì)的合理性和有效性。

（2）通過(guò)流程梳理和現(xiàn)場(chǎng)檢查全面識(shí)別現(xiàn)存風(fēng)險(xiǎn)。具體為：梳理該行電子銀行業(yè)務(wù)流程，包括電子銀行產(chǎn)品管理生命周期和具體電子銀行產(chǎn)品操作流程：電子銀行產(chǎn)品管理生命周期涵蓋電子銀行產(chǎn)品的需求調(diào)研、產(chǎn)品設(shè)計(jì)、系統(tǒng)研發(fā)、投產(chǎn)上線、市場(chǎng)營(yíng)銷等環(huán)節(jié)；根據(jù)產(chǎn)品特點(diǎn)和重要程度，從個(gè)人電子銀行業(yè)務(wù)和企業(yè)電子銀行業(yè)務(wù)中選定若干業(yè)務(wù)作為評(píng)估樣本，繪制業(yè)務(wù)流程圖，并逐一分析業(yè)務(wù)流程中各個(gè)處理環(huán)節(jié)，相關(guān)部門、處室或崗位，涉及的記錄和數(shù)據(jù)等，評(píng)估電子銀行產(chǎn)品業(yè)務(wù)流程中是否存在安全隱患，識(shí)別具體風(fēng)險(xiǎn)點(diǎn)。

（3）梳理清單、確定風(fēng)險(xiǎn)，判斷風(fēng)險(xiǎn)問(wèn)題等級(jí)。整理風(fēng)險(xiǎn)評(píng)估結(jié)果，逐一評(píng)估風(fēng)險(xiǎn)等級(jí)。本次評(píng)估從風(fēng)險(xiǎn)發(fā)生可能性和影響程度兩個(gè)方面，依據(jù)風(fēng)險(xiǎn)發(fā)生可能性與影響程度等，判斷風(fēng)險(xiǎn)級(jí)別，形成評(píng)估結(jié)果。

3.3 第三階段具體工作描述

第三階段是風(fēng)險(xiǎn)管理優(yōu)化階段，其目標(biāo)是建立電子銀行業(yè)務(wù)風(fēng)險(xiǎn)模型，形成業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制。針對(duì)發(fā)現(xiàn)的缺陷，與該行項(xiàng)目組討論對(duì)電子銀行安全風(fēng)險(xiǎn)的影響程度，并確定風(fēng)險(xiǎn)等級(jí)。本階段應(yīng)全面梳理電子銀行產(chǎn)品業(yè)務(wù)流程以及風(fēng)險(xiǎn)控制點(diǎn)，建立電子銀行風(fēng)險(xiǎn)管理模型，并依據(jù)風(fēng)險(xiǎn)管理模型，建立電子銀行業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制。

3.4 第四階段具體工作描述

第四階段報(bào)告及建議階段，其目標(biāo)是形成安全評(píng)估報(bào)告，分析未來(lái)趨勢(shì)。本階段應(yīng)根據(jù)評(píng)估情況和各部門反饋情況編制安全評(píng)估報(bào)告，并提出切實(shí)有效的安全風(fēng)險(xiǎn)管控建議。此外，編制電子銀行業(yè)務(wù)連續(xù)性管理規(guī)范制度，滿足合規(guī)要求，為電子銀行業(yè)務(wù)連續(xù)性管理奠定基礎(chǔ)。

4、項(xiàng)目方法實(shí)施經(jīng)驗(yàn)

在整個(gè)項(xiàng)目的實(shí)施過(guò)程中，業(yè)務(wù)流程圖的繪制與風(fēng)險(xiǎn)點(diǎn)識(shí)別是整個(gè)電子銀行安全評(píng)估非常關(guān)鍵的一環(huán)。針對(duì)這一關(guān)鍵點(diǎn)，首先應(yīng)從銀行現(xiàn)有的個(gè)人電子銀行業(yè)務(wù)和企業(yè)電子銀行業(yè)務(wù)中選取較為重要或具有代表性的若干業(yè)務(wù)作為評(píng)估樣本，繪制水平流程圖。繪制流程圖時(shí)應(yīng)注意包含的客體，具體如客戶、營(yíng)業(yè)網(wǎng)點(diǎn)柜臺(tái)、各相關(guān)部門、信息科技部或外部支撐系統(tǒng)，各客體之間以清晰的動(dòng)作節(jié)點(diǎn)串聯(lián)起來(lái)，并在兩節(jié)點(diǎn)中間標(biāo)明信息的傳遞情況，清晰地反映實(shí)際的業(yè)務(wù)流程與涉及的各部門職能。

繪制流程圖時(shí)可參考銀行現(xiàn)有的業(yè)務(wù)流程相關(guān)制度，對(duì)訪談結(jié)果進(jìn)行分析和梳理，在銀行官網(wǎng)上查看演示版模擬真實(shí)業(yè)務(wù)操作流程，最具有實(shí)際意義的措施是采用切身實(shí)際去柜臺(tái)辦理一張儲(chǔ)蓄卡的辦法，并開通個(gè)人網(wǎng)銀的相關(guān)功能，在其相關(guān)功能的范圍內(nèi)，進(jìn)行網(wǎng)銀和手機(jī)上進(jìn)行相關(guān)實(shí)際操作，這樣才能夠真實(shí)、全面地了解業(yè)務(wù)流程并繪制出能反映實(shí)際業(yè)務(wù)流程的流程圖，為進(jìn)行全面風(fēng)險(xiǎn)識(shí)別奠定良好的基礎(chǔ)。在進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí)，應(yīng)考慮各種風(fēng)險(xiǎn)類型，可參考本行或同業(yè)的風(fēng)險(xiǎn)庫(kù)，必要時(shí)亦可召集小組成員一起進(jìn)行討論分析，力求全面識(shí)別電子銀行各業(yè)務(wù)流程中的風(fēng)險(xiǎn)點(diǎn)，并在圖中對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行標(biāo)識(shí)：標(biāo)識(shí)的方法是在風(fēng)險(xiǎn)點(diǎn)處標(biāo)明風(fēng)險(xiǎn)名稱與風(fēng)險(xiǎn)描述。在完成風(fēng)險(xiǎn)點(diǎn)標(biāo)識(shí)后，將其進(jìn)行歸納統(tǒng)計(jì)，最終將業(yè)務(wù)流程所有識(shí)別出來(lái)的風(fēng)險(xiǎn)匯總形成風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)清單。在此基礎(chǔ)上，對(duì)所統(tǒng)計(jì)的風(fēng)險(xiǎn)進(jìn)行分類，判斷每個(gè)風(fēng)險(xiǎn)點(diǎn)的風(fēng)險(xiǎn)等級(jí)、是否重要、是否緊急，并提出相應(yīng)的風(fēng)險(xiǎn)控制措施。

在評(píng)估中，針對(duì)評(píng)估對(duì)象和評(píng)估要點(diǎn)，查閱該行電子銀行風(fēng)險(xiǎn)控制相關(guān)文檔記錄，其查閱記錄文檔的范圍涉及業(yè)務(wù)風(fēng)險(xiǎn)控制記錄以及科技類風(fēng)險(xiǎn)控制記錄。通過(guò)對(duì)風(fēng)險(xiǎn)控制記錄的查閱，了解電子銀行相關(guān)管控措施實(shí)施情況，除了用于評(píng)估該行的風(fēng)險(xiǎn)控制措施設(shè)計(jì)的有效性和合理性，還用于評(píng)估風(fēng)險(xiǎn)控制措施執(zhí)行的有效性和及時(shí)性等方面。對(duì)該行電子銀行業(yè)務(wù)相關(guān)系統(tǒng)配置及涉及業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全管理設(shè)備、日志監(jiān)控設(shè)備、數(shù)據(jù)庫(kù)及中間件配置進(jìn)行查看，查看范圍涉及開發(fā)環(huán)境及運(yùn)維環(huán)境。通過(guò)對(duì)信息系統(tǒng)管理及配置的查看，評(píng)估電子銀行相關(guān)信息系統(tǒng)和信息環(huán)境安全控制措施的有效性。

5、項(xiàng)目實(shí)施總結(jié)

本文通過(guò)將電子銀行安全評(píng)估框架劃分為3個(gè)層面，以及按照工作的先后順序劃分為4個(gè)階段，經(jīng)過(guò)實(shí)踐驗(yàn)證，其成功高效、順利地完成了該行開展的電子銀行安全評(píng)估工作，滿足了銀監(jiān)會(huì)《電子銀行安全評(píng)估指引》及其他相關(guān)的監(jiān)管要求，并為該行或相同行業(yè)在今后的電子銀行安全評(píng)估工作奠定了良好的基礎(chǔ)，并提供了全面、細(xì)致的工作指導(dǎo)。

參考文獻(xiàn)：

[1]中國(guó)銀監(jiān)會(huì).電子銀行安全評(píng)估指引[Z].

[2]王發(fā)紅，朱鋒.我國(guó)商業(yè)銀行創(chuàng)新問(wèn)題研究[J].濟(jì)南金融，2001（8）.

[3]張勤.積極推動(dòng)業(yè)務(wù)創(chuàng)新，提高銀行競(jìng)爭(zhēng)力[J].金融觀察，2006（5）.