李德波 謝宗曉

摘要：論文結(jié)合現(xiàn)有的標準/報告，初步探討了金融信息系統(tǒng)技術(shù)風險管理的問題。這些報告主要包括：ISO/TR 13569：2005、ISO/IEC TR 27015：2012和新加坡金融管理局的《技術(shù)風險管理指引》。

關(guān)鍵詞： 金融機構(gòu) 金融信息系統(tǒng) 技術(shù)風險管理 信息安全

Financial Information System Technology Risk Management

Li Debo （ Inner Mongolia Information System Security Evaluation Center ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the technical risk management of financial information system based on the existing standards/reports. These reports mainly include： ISO/TR 13569： 2005， ISO/IEC TR 27015： 2012 and Technical Risk Management Guidelines.

Key words： financial institution， financial information system， technology risk management， information security

1 技術(shù)風險管理

“技術(shù)風險管理（TRM）”詞匯，在信息安全情境中很少出現(xiàn)，因為在信息安全領(lǐng)域中，所有的風險都統(tǒng)稱為“信息安全風險”。根據(jù)巴塞爾協(xié)議，銀行所面臨的風險分類為信用風險、市場風險和操作風險等，廣義的信息系統(tǒng)風險一般會被歸類進“操作風險”大類中。我們所討論的“技術(shù)風險管理”援引自新加坡金融管理局（Monetary Authority of Singapore，MAS）在2013年發(fā)布的《技術(shù)風險管理指引》（Technology Risk Management Guidelines，TRMG）。

對于金融信息系統(tǒng)或者各類專門業(yè)務(wù)信息系統(tǒng)而言，單獨討論技術(shù)風險管理是有必要的，因為業(yè)務(wù)邏輯安全和業(yè)務(wù)信息安全等都區(qū)別于技術(shù)安全，例如，之前有諸多銀行在ATM轉(zhuǎn)賬時，只驗證賬號，而不是賬號與姓名同時驗證，導致出現(xiàn)了諸多錯誤的轉(zhuǎn)賬。這就屬于典型的業(yè)務(wù)邏輯設(shè)計問題，而不是一個技術(shù)問題。從成因討論，這種設(shè)計帶來的風險大多產(chǎn)生于需求分析階段或流程設(shè)計階段，在后續(xù)解決起來也比較困難。

但是，與工控系統(tǒng)信息安全和醫(yī)療系統(tǒng)信息安全等領(lǐng)域相比，金融系統(tǒng)安全可以參考的資料相對少得多。在本文中，我們介紹幾個重要的標準/報告，主要包括：ISO/TR 13569：2005《金融服務(wù) 信息安全指南》、ISO/IEC TR 27015：2012《信息技術(shù) 安全技術(shù) 金融服務(wù)信息安全管理指南》和MAS TRMG。

2 ISO/TR 13569：2005

ISO/TR 13569：2005是由ISO/TC 68（金融服務(wù)）SC 2（安全管理與一般銀行操作）發(fā)布，并且分別在1997年和1998年發(fā)布了第一版和第二版，2005年版是第三版。

ISO/TR 13569：2005適用于各種類型的金融機構(gòu)，在規(guī)范性引用文件中列出了ISO/IEC 17799（后來的ISO/IEC 27002）和ISO/IEC 18028（后來的ISO/IEC 27032），在整體描述方面，極具金融行業(yè)特色，例如，考慮到金融行業(yè)的強監(jiān)管，在開始的信息安全策略方面章節(jié)就專門強調(diào)法律法規(guī)符合性，并特別強調(diào)了公司治理、數(shù)據(jù)保護（隱私）和洗錢等內(nèi)容，更重要的是，該標準自始至終都注意結(jié)合巴塞爾協(xié)議考慮金融信息安全。

ISO/TR 13569：2005共有14章，4個附錄，其章節(jié)內(nèi)容以及對應(yīng)ISO/IEC 270021）及ISO/IEC 27001的異同[1-2]，如表1所示。

整體而言，ISO/TR 13569：2005中，從第9章到第14章的分類，是有一定的參考意義的，這個分類并沒有與ISO/IEC 27002的控制域一一對應(yīng)，而且還加了較為重要的“特定控制”，使得標準與業(yè)務(wù)流程結(jié)合緊密，本標準的優(yōu)點，可能恰是ISO/IEC 27000標準族的標準所欠缺的。

3 SO/IEC TR 27015： 2012

ISO/IEC TR 27015：2012是ISO/IEC 27000成員標準，在2017年被廢止，原因不是很明確，但可以確定的是該標準在業(yè)內(nèi)應(yīng)用較少，且存在幾個明顯的缺點：

1） 缺乏全面風險管理的視角，使得安全控制與業(yè)務(wù)流程相結(jié)合較為困難，導致部署流于形式，從某種程度上，ISO/IEC TR 27015：2012完全被寫成了ISO/IEC 27001： 2005的加強版本；

2） 未能考慮金融領(lǐng)域的強監(jiān)管特征，應(yīng)用范圍較廣的標準，例如，ISO/IEC 27002：2013將此列入“符合性”，但是從ISO/TR 13569：2005來看，金融領(lǐng)域的標準必須考慮行業(yè)監(jiān)管以及巴塞爾協(xié)議；

3） 沒有充分考慮金融行業(yè)管理的特點，例如，MAS TRMG或ISO/TC 68發(fā)布的標準都無一例外地首先強調(diào)了“公司治理”。

補充一點說明，是否重視公司治理可能是由這些標準的制定者所導致的。因為ISO/IEC或者NIST發(fā)布的網(wǎng)絡(luò)安全標準，一般都是出身于信息系統(tǒng)管理領(lǐng)域或者計算機相關(guān)學科的學者，這些學者對于“公司治理”普遍知之甚少。但是ISO/TC 68的人員則不同，他們一般來自金融企業(yè)，對財務(wù)等領(lǐng)域很熟悉，而公司治理在研究方法和研究問題上與該領(lǐng)域基本一致。

即便如此，ISO/IEC TR 27015： 2012對于業(yè)界也有一定的意義，例如，最新發(fā)布的ISO/IEC 27003： 2017整個架構(gòu)與其非常類似，也就是說，對于通用的應(yīng)用指南而言，這種形式還是適合的。

4 《技術(shù)風險管理指引》

我們之所以將MAS TRMG單獨拿出來討論，原因之一是ISO/TR 13569：2005發(fā)布比較早，后續(xù)又沒有修訂，在后續(xù)發(fā)布的標準/報告中最得ISO/TR 13569：2005精髓的，應(yīng)該就是MAS TRMG了。

MAS TRMG發(fā)布于2013年，旨在指導金融機構(gòu)建立風險管理原則及最佳實踐標準，主要目標有：1）建立可靠穩(wěn)健的風險管理框架；2）加強系統(tǒng)安全性、可靠性、彈性和可恢復性；3）應(yīng)用強鑒別從而保護用戶的數(shù)據(jù)、交易和系統(tǒng)。此外，正文中非常明確地指出MAS TRMG就是一個行業(yè)最佳實踐。

MAS TRMG共有14章，6個附錄，其章節(jié)內(nèi)容以及對應(yīng)ISO/TR 13569：2005和ISO/IEC 27001及ISO/IEC 27002的異同，如表2所示。

新加坡金融管理局的《技術(shù)風險管理指引》與ISO/IEC 27002的框架差異較大，但是更貼近金融行業(yè)的特點，應(yīng)該是以后金融信息系統(tǒng)信息安全的發(fā)展趨勢。

5 其他標準/報告

還有一個可以參考的標準，香港金融管理局的《電子銀行服務(wù)安全風險管理》（Management of Security Risks in Electronic Banking Services），該標準發(fā)布于2000年7月，由于較早，導致漸漸失去時效性，本文中不再詳細介紹。

最后需要指出的是，在本文中討論的諸多概念參考了《香港貨幣銀行用語匯編》。