rsa安全报告-管数理银行信息风险.doc

风险管理系列 管理银行的信息风险 最大限度的减少大部分的信息的风险 参考编号：CYTC7147 出版日期：2007年10月 DATAMONITOR观点 契机 信息是银行的基础，但直到现在，金融机构还往往满足于以业务封闭式的方式管理风险。然而，行业的压力促使银行开始对这种战略展开思考。各种规章制度要求银行从整个企业的角度来分析风险，并建立稳健的安全机制，以确保业务的连续性，而竞争的压力却促使企业提高效率并降低成本，最有效地使用现有数据，以在市场中占据一席之地。对银行来说，挑战就在于将他们现在所采用的封闭式的管理方式向企业级信息风险管理方式转变。 概要 为说明2007年第三季度欧洲金融服务市场的初步调查结果，Datamonitor分析了5个重点考虑的地方： IT安全机制必须要成为更广范的信息管理战略的组成部分； 信息安全机制需要整合的、以信息为中心的IT安全和信息管理； 银行应当保证信息和信息处理的安全； 信息风险管理要超越防御、反省的方式； 信息风险管理应当同时在业务和IT层面上解决。 分析 序言 信息是金融服务行业内业务的基础，金融机构在其自己的系统内分布了大量有价值的数据。然而，由于他们所使用的组织结构和IT系统已经开发多年，多数信息都存在于封闭式业务的孤立应用中，其他系统或业务线不能轻易的获取这些数据，这导致了存储标准的重复和不一致，并造成了数据处理方式的矛盾。而这些又将引起运营效率的低下，知识的盲点和成本的增加。 新增的一个元素是规章制度：在过去十几年间引入的大多数规章制度的共同点就是银行具有立刻（至少是快速）访问他们拥有的数据的能力，以及以一致的方式呈现信息的能力；更重要的是，银行要能够证明他们所拥有的数据是完整和准确的，并且不能被篡改。示例的规章制度包括巴塞尔II（包含了要求银行要对运营风险有一个清晰的理解），以及多个欧盟的指令，如数据保护指令（用以管理银行如何处理客户的数据，以及客户查看银行所拥有的它们自身信息的权利），市场滥用指令（用以防止内幕交易，并确保适当的披露）以及MiFID（金融工具市场指令，它引入了单一规管制度，增加了欧洲经济区投资服务的透明度）。 随后就是安全风险。信息管理是金融机构业务极其重要的因素。他们的本质就是保护好这些有价值的资产。安全机制通常非常的重要，在近几年，同时来自组织内部和外部的信息安全威胁呈指数级增长：金融服务行业能在一周内不发生安全违规和数据丢失事件就已经是一件不可思议的事情——而公众所看到的还只是冰山一角。 银行的顾虑是正确的，安全故障将有力的冲击着他们的增长潜能：除了潜在的金融损失和违规罚金，安全违规给他们带来了信誉危机，关心他们信息安全的消费者和企业将不愿同因安全问题而使其品牌受到影响的公司打交道。 所有的这些都意味着金融服务机构不仅要管理它们所拥有的数据以及数据的安全，还要评估由信息和信息处理引起的相关的机构风险。这反过来又需要金融公司采取一个生命周期的方法来管理信息，以及存储和处理信息的相关风险。 在其生命周期中，信息将穿梭于各种各样的网络，应用程序，数据库和设备，并可能通过各种不同的设备被许多不同的终端所访问。银行需要自始至终的了解在处理、存储和传输信息的过程中不断变化着的相关风险——访问了什么数据，在什么时候是由谁访问的，它们是否经过了授权，以及——更重要的是——在处理过程中数据发生了什么改变。这就是信息风险管理内容：信息风险管理是一种以信息为中心的策略，它提供了有效的手段来识别、评估和减少信息在其生命周期全程中所暴露的风险。 为了解如今银行是如何解决这些问题的，Datamonitor在2007年第三季度对比荷卢、法国、德国、意大利、西班牙和英国的60家银行作了一个初步的调查研究。这个调查对高级IT经理人进行了采访，他们对银行中的业务和IT策略都有着深刻的理解，调查集中在业务的前景，他们的业务/IT策略，以及策略的最佳响应实践这几个方面。本白皮书简单的说明了这个研究的主要成果以及行业中所见的最佳实践。 IT安全机制必须要成为更广范围内信息管理战略的组成部分 为实现全面的信息安全，金融机构必须将IT安全视为它们信息管理策略的主要部分。 IT安全仍主要集中在边界，如认证和入侵预防 银行一直将精力集中在它们业务运营的边界来防止安全漏洞的发生。这意味着它们将主要的精力重点放在控制系统的访问，采用日益强大的认证系统，以及使用相应技术来检测和阻止对系统和设备的未经授权的访问上。 然而，令人担忧的是，一旦超出了银行业务的边界，它们却缺乏对信息变化的关注，例如，类似承包商、业务合作伙伴和外包商之类的第三方。 边界安全机制不足以防御信息风险 近年来大量出现的针对银行的恶意攻击（如网络钓鱼、嫁接诈骗、黑客，以及信用卡号码被盗），以及对客户和更广泛的公