【51CTO.com 综合消息】近年来,海内外金融领域因为IT失效引起的银行损失案例比比皆是、层出不穷。如美国黑客入侵花旗银行设在连锁便利店7-11店内的自动提款机的计算机网络,并盗取客户个人识别码,从2009年10月至2010年3月,盗取至少200万美元;美国男青年阿尔伯特•冈萨雷斯领导的黑客团伙利用计算机技术疯狂作案,先后共盗取超过4000万张信用卡账号和密码……
在中国,银监会在2009年出台了《商业银行信息科技风险管理指引》,对信息科技风险和信息科技风险管理的目标提出了具体的指导意见。
如此种种,信息科技在各个行业,尤其是银行业,扮演着越来越重要的角色。银行业由于其IT系统高度密集、信息化程度高且事关国计民生,因此可以预见,随着银行业电子化程度的提高,银行信息科技面临的风险还会越来越大。
因此,需要加强信息科技的风险管理。
风险管理是一个识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受的水平。风险评估则是对风险发生的可能性及所造成的影响进行分析,是识别风险、评价风险的过程。因此,风险管理就是风险评估、风险控制的过程,而风险评估则是风险管理的基础。
对于信息科技的风险管理来说,也需要以风险评估为基础。可以说,信息科技风险评估正是信息科技风险识别、计量的过程,也因此受到了各银行的重视。
风险评估分整体和专项两种
实际上,风险评估应用范围很广。风险评估不仅是风险管理过程中重要的一环,而且在安全规划、业务连续性管理以及实施等级保护等多个方面都离不开风险评估。
从范围来看,信息科技风险评估可以分为整体风险评估和专项风险评估。
整体风险评估是指对信息科技的各个方面,如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等,进行全面的风险评估;专项风险评估则对信息科技的某一方面、某个系统或者为某个目的进行的评估。如银监会颁布的《电子银行安全评估指引》所讲的安全评估就是对电子银行各系统的风险评估,常见的专项风险评估还经常根据评估对象分为网络评估、系统风险评估等。
整体风险评估侧重于反映宏观层面的风险,应该全面反映影响实现IT目标的风险,可使高级管理层把握信息科技的整体风险状况,从而根据风险状况,进行战略决策,最终提升风险管理能力;专项风险评估则侧重于反映微观层面的风险,反映信息科技某一方面或者某个系统存在的风险,根据风险决定相应的风险的处置措施,降低相关系统面临的风险。他们之间关系如下图1所示:
图1 整体和专项风险评估关系示意
风险评估可划分为三个阶段
风险是对实现目标有所影响的事件的发生的可能性。从概念可以看到,风险有影响及可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此风险评估需要对资产、弱点及威胁进行综合分析。
风险评估工作一般有以下几个步骤:
步骤1:描述分析评估对象,确定其目标或者价值
步骤2:识别评估对象存在的弱点
步骤3:识别评估对象面临的威胁
步骤4:通过分析弱点及威胁,确定事件发生的可能性
步骤5:通过分析资产及弱点分析事件如果发生所造成的影响
步骤6:通过已经分析出的可能性和影响确定风险等级
步骤7:根据风险等级提出风险处置建议
这几个步骤可划分为风险识别、风险分析、风险定级三个阶段,如下图所示:
相关阅读