李德波 谢宗晓
摘要:论文结合现有的标准/报告,初步探讨了金融信息系统技术风险管理的问题。这些报告主要包括:ISO/TR 13569:2005、ISO/IEC TR 27015:2012和新加坡金融管理局的《技术风险管理指引》。
关键词: 金融机构 金融信息系统 技术风险管理 信息安全
Financial Information System Technology Risk Management
Li Debo ( Inner Mongolia Information System Security Evaluation Center )
Xie Zongxiao ( China Financial Certification Authority )
Abstract: This paper discusses the technical risk management of financial information system based on the existing standards/reports. These reports mainly include: ISO/TR 13569: 2005, ISO/IEC TR 27015: 2012 and Technical Risk Management Guidelines.
Key words: financial institution, financial information system, technology risk management, information security
1 技術风险管理
“技术风险管理(TRM)”词汇,在信息安全情境中很少出现,因为在信息安全领域中,所有的风险都统称为“信息安全风险”。根据巴塞尔协议,银行所面临的风险分类为信用风险、市场风险和操作风险等,广义的信息系统风险一般会被归类进“操作风险”大类中。我们所讨论的“技术风险管理”援引自新加坡金融管理局(Monetary Authority of Singapore,MAS)在2013年发布的《技术风险管理指引》(Technology Risk Management Guidelines,TRMG)。
对于金融信息系统或者各类专门业务信息系统而言,单独讨论技术风险管理是有必要的,因为业务逻辑安全和业务信息安全等都区别于技术安全,例如,之前有诸多银行在ATM转账时,只验证账号,而不是账号与姓名同时验证,导致出现了诸多错误的转账。这就属于典型的业务逻辑设计问题,而不是一个技术问题。从成因讨论,这种设计带来的风险大多产生于需求分析阶段或流程设计阶段,在后续解决起来也比较困难。
但是,与工控系统信息安全和医疗系统信息安全等领域相比,金融系统安全可以参考的资料相对少得多。在本文中,我们介绍几个重要的标准/报告,主要包括:ISO/TR 13569:2005《金融服务 信息安全指南》、ISO/IEC TR 27015:2012《信息技术 安全技术 金融服务信息安全管理指南》和MAS TRMG。
2 ISO/TR 13569:2005
ISO/TR 13569:2005是由ISO/TC 68(金融服务)SC 2(安全管理与一般银行操作)发布,并且分别在1997年和1998年发布了第一版和第二版,2005年版是第三版。
ISO/TR 13569:2005适用于各种类型的金融机构,在规范性引用文件中列出了ISO/IEC 17799(后来的ISO/IEC 27002)和ISO/IEC 18028(后来的ISO/IEC 27032),在整体描述方面,极具金融行业特色,例如,考虑到金融行业的强监管,在开始的信息安全策略方面章节就专门强调法律法规符合性,并特别强调了公司治理、数据保护(隐私)和洗钱等内容,更重要的是,该标准自始至终都注意结合巴塞尔协议考虑金融信息安全。
ISO/TR 13569:2005共有14章,4个附录,其章节内容以及对应ISO/IEC 270021)及ISO/IEC 27001的异同[1-2],如表1所示。
整体而言,ISO/TR 13569:2005中,从第9章到第14章的分类,是有一定的参考意义的,这个分类并没有与ISO/IEC 27002的控制域一一对应,而且还加了较为重要的“特定控制”,使得标准与业务流程结合紧密,本标准的优点,可能恰是ISO/IEC 27000标准族的标准所欠缺的。
3 SO/IEC TR 27015: 2012
ISO/IEC TR 27015:2012是ISO/IEC 27000成员标准,在2017年被废止,原因不是很明确,但可以确定的是该标准在业内应用较少,且存在几个明显的缺点:
1) 缺乏全面风险管理的视角,使得安全控制与业务流程相结合较为困难,导致部署流于形式,从某种程度上,ISO/IEC TR 27015:2012完全被写成了ISO/IEC 27001: 2005的加强版本;
2) 未能考虑金融领域的强监管特征,应用范围较广的标准,例如,ISO/IEC 27002:2013将此列入“符合性”,但是从ISO/TR 13569:2005来看,金融领域的标准必须考虑行业监管以及巴塞尔协议;
3) 没有充分考虑金融行业管理的特点,例如,MAS TRMG或ISO/TC 68发布的标准都无一例外地首先强调了“公司治理”。
补充一点说明,是否重视公司治理可能是由这些标准的制定者所导致的。因为ISO/IEC或者NIST发布的网络安全标准,一般都是出身于信息系统管理领域或者计算机相关学科的学者,这些学者对于“公司治理”普遍知之甚少。但是ISO/TC 68的人员则不同,他们一般来自金融企业,对财务等领域很熟悉,而公司治理在研究方法和研究问题上与该领域基本一致。
即便如此,ISO/IEC TR 27015: 2012对于业界也有一定的意义,例如,最新发布的ISO/IEC 27003: 2017整个架构与其非常类似,也就是说,对于通用的应用指南而言,这种形式还是适合的。
4 《技术风险管理指引》
我们之所以将MAS TRMG单独拿出来讨论,原因之一是ISO/TR 13569:2005发布比较早,后续又没有修订,在后续发布的标准/报告中最得ISO/TR 13569:2005精髓的,应该就是MAS TRMG了。
MAS TRMG发布于2013年,旨在指导金融机构建立风险管理原则及最佳实践标准,主要目标有:1)建立可靠稳健的风险管理框架;2)加强系统安全性、可靠性、弹性和可恢复性;3)应用强鉴别从而保护用户的数据、交易和系统。此外,正文中非常明确地指出MAS TRMG就是一个行业最佳实践。
MAS TRMG共有14章,6个附录,其章节内容以及对应ISO/TR 13569:2005和ISO/IEC 27001及ISO/IEC 27002的异同,如表2所示。
新加坡金融管理局的《技术风险管理指引》与ISO/IEC 27002的框架差异较大,但是更贴近金融行业的特点,应该是以后金融信息系统信息安全的发展趋势。
5 其他标准/报告
还有一个可以参考的标准,香港金融管理局的《电子银行服务安全风险管理》(Management of Security Risks in Electronic Banking Services),该标准发布于2000年7月,由于较早,导致渐渐失去时效性,本文中不再详细介绍。
最后需要指出的是,在本文中讨论的诸多概念参考了《香港货币银行用语汇编》。