金融信息系統技術風險管理探討

李德波 謝宗曉

摘要：論文結合現有的標準/報告，初步探討了金融信息系統技術風險管理的問題。這些報告主要包括：ISO/TR 13569：2005、ISO/IEC TR 27015：2012和新加坡金融管理局的《技術風險管理指引》。

關鍵詞： 金融機構 金融信息系統 技術風險管理 信息安全

Financial Information System Technology Risk Management

Li Debo （ Inner Mongolia Information System Security Evaluation Center ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the technical risk management of financial information system based on the existing standards/reports. These reports mainly include： ISO/TR 13569： 2005， ISO/IEC TR 27015： 2012 and Technical Risk Management Guidelines.

Key words： financial institution， financial information system， technology risk management， information security

1 技術風險管理

“技術風險管理（TRM）”詞匯，在信息安全情境中很少出現，因為在信息安全領域中，所有的風險都統稱為“信息安全風險”。根據巴塞爾協議，銀行所面臨的風險分類為信用風險、市場風險和操作風險等，廣義的信息系統風險一般會被歸類進“操作風險”大類中。我們所討論的“技術風險管理”援引自新加坡金融管理局（Monetary Authority of Singapore，MAS）在2013年發布的《技術風險管理指引》（Technology Risk Management Guidelines，TRMG）。

對于金融信息系統或者各類專門業務信息系統而言，單獨討論技術風險管理是有必要的，因為業務邏輯安全和業務信息安全等都區別于技術安全，例如，之前有諸多銀行在ATM轉賬時，只驗證賬號，而不是賬號與姓名同時驗證，導致出現了諸多錯誤的轉賬。這就屬于典型的業務邏輯設計問題，而不是一個技術問題。從成因討論，這種設計帶來的風險大多產生于需求分析階段或流程設計階段，在后續解決起來也比較困難。

但是，與工控系統信息安全和醫療系統信息安全等領域相比，金融系統安全可以參考的資料相對少得多。在本文中，我們介紹幾個重要的標準/報告，主要包括：ISO/TR 13569：2005《金融服務 信息安全指南》、ISO/IEC TR 27015：2012《信息技術 安全技術 金融服務信息安全管理指南》和MAS TRMG。

2 ISO/TR 13569：2005

ISO/TR 13569：2005是由ISO/TC 68（金融服務）SC 2（安全管理與一般銀行操作）發布，并且分別在1997年和1998年發布了第一版和第二版，2005年版是第三版。

ISO/TR 13569：2005適用于各種類型的金融機構，在規范性引用文件中列出了ISO/IEC 17799（后來的ISO/IEC 27002）和ISO/IEC 18028（后來的ISO/IEC 27032），在整體描述方面，極具金融行業特色，例如，考慮到金融行業的強監管，在開始的信息安全策略方面章節就專門強調法律法規符合性，并特別強調了公司治理、數據保護（隱私）和洗錢等內容，更重要的是，該標準自始至終都注意結合巴塞爾協議考慮金融信息安全。

ISO/TR 13569：2005共有14章，4個附錄，其章節內容以及對應ISO/IEC 270021）及ISO/IEC 27001的異同[1-2]，如表1所示。

整體而言，ISO/TR 13569：2005中，從第9章到第14章的分類，是有一定的參考意義的，這個分類并沒有與ISO/IEC 27002的控制域一一對應，而且還加了較為重要的“特定控制”，使得標準與業務流程結合緊密，本標準的優點，可能恰是ISO/IEC 27000標準族的標準所欠缺的。

3 SO/IEC TR 27015： 2012

ISO/IEC TR 27015：2012是ISO/IEC 27000成員標準，在2017年被廢止，原因不是很明確，但可以確定的是該標準在業內應用較少，且存在幾個明顯的缺點：

1） 缺乏全面風險管理的視角，使得安全控制與業務流程相結合較為困難，導致部署流于形式，從某種程度上，ISO/IEC TR 27015：2012完全被寫成了ISO/IEC 27001： 2005的加強版本；

2） 未能考慮金融領域的強監管特征，應用范圍較廣的標準，例如，ISO/IEC 27002：2013將此列入“符合性”，但是從ISO/TR 13569：2005來看，金融領域的標準必須考慮行業監管以及巴塞爾協議；

3） 沒有充分考慮金融行業管理的特點，例如，MAS TRMG或ISO/TC 68發布的標準都無一例外地首先強調了“公司治理”。

補充一點說明，是否重視公司治理可能是由這些標準的制定者所導致的。因為ISO/IEC或者NIST發布的網絡安全標準，一般都是出身于信息系統管理領域或者計算機相關學科的學者，這些學者對于“公司治理”普遍知之甚少。但是ISO/TC 68的人員則不同，他們一般來自金融企業，對財務等領域很熟悉，而公司治理在研究方法和研究問題上與該領域基本一致。

即便如此，ISO/IEC TR 27015： 2012對于業界也有一定的意義，例如，最新發布的ISO/IEC 27003： 2017整個架構與其非常類似，也就是說，對于通用的應用指南而言，這種形式還是適合的。

4 《技術風險管理指引》

我們之所以將MAS TRMG單獨拿出來討論，原因之一是ISO/TR 13569：2005發布比較早，后續又沒有修訂，在后續發布的標準/報告中最得ISO/TR 13569：2005精髓的，應該就是MAS TRMG了。

MAS TRMG發布于2013年，旨在指導金融機構建立風險管理原則及最佳實踐標準，主要目標有：1）建立可靠穩健的風險管理框架；2）加強系統安全性、可靠性、彈性和可恢復性；3）應用強鑒別從而保護用戶的數據、交易和系統。此外，正文中非常明確地指出MAS TRMG就是一個行業最佳實踐。

MAS TRMG共有14章，6個附錄，其章節內容以及對應ISO/TR 13569：2005和ISO/IEC 27001及ISO/IEC 27002的異同，如表2所示。

新加坡金融管理局的《技術風險管理指引》與ISO/IEC 27002的框架差異較大，但是更貼近金融行業的特點，應該是以后金融信息系統信息安全的發展趨勢。

5 其他標準/報告

還有一個可以參考的標準，香港金融管理局的《電子銀行服務安全風險管理》（Management of Security Risks in Electronic Banking Services），該標準發布于2000年7月，由于較早，導致漸漸失去時效性，本文中不再詳細介紹。

最后需要指出的是，在本文中討論的諸多概念參考了《香港貨幣銀行用語匯編》。