银行信息安全审计与操作风险控制

　　前言

　　近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大。而IT风险中70%以上属于操作风险，即由人工操作不当(无意或故意)引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。

　　国家信息化专家咨询委员会的曲成义委员指出：要确保应用安全，安全厂商应当真正摆脱产品本位的思想，深入到行业内部、对一些典型应用进行深入的调查和研究，从而提出以应用为主的新型安全解决方案。

　　本文正是在这样一种思路的指导下，对银行的信息安全审计需求进行分析，并针对如何有效地进行操作审计进行深入讨论。

　　银行信息安全审计需求

　　根据审计的目的不同，可以分为合规性审计与绩效审计。就信息安全审计而言，目前主要是合规性审计。

　　在此，合规性指银行的行为需要符合相关的法律、标准、规范、文件精神的要求。而信息安全合规性则指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。

　　以下讨论的银行信息安全审计限于银行IT系统运行的合规性审计。

　　目前以四大银行为代表的国有银行均已制订了成文的信息安全策略，信息安全策略的贯彻执行需要相应的检查手段。信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

　　下面从操作风险生命周期的角度浅显地分析信息安全审计在操作风险控制中发挥的作用。

　　操作风险成为现实的事件(或者事故)一般需要经历三个阶段：隐患、诱发、已发生。

　　导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞，二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。

　　诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件(病毒感染、蠕虫爆发、恶意程序植入等)，都会把风险变成实实在在的损失。

　　操作风险发生后表现为安全事件(事故)，对事件(事故)的处理通常遵循如下图所示的流程：

　　图1. 事件(事故)处理的一般流程

　　上述流程正好对应于操作风险的三个阶段，如下表所示：

　　表1. 事件(事故)处理流程与操作风险三阶段的对应表       

　　信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。