【51CTO.com 綜合消息】近年來(lái)，海內(nèi)外金融領(lǐng)域因?yàn)镮T失效引起的銀行損失案例比比皆是、層出不窮。如美國(guó)黑客入侵花旗銀行設(shè)在連鎖便利店7-11店內(nèi)的自動(dòng)提款機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)，并盜取客戶個(gè)人識(shí)別碼，從2009年10月至2010年3月，盜取至少200萬(wàn)美元；美國(guó)男青年阿爾伯特•岡薩雷斯領(lǐng)導(dǎo)的黑客團(tuán)伙利用計(jì)算機(jī)技術(shù)瘋狂作案，先后共盜取超過(guò)4000萬(wàn)張信用卡賬號(hào)和密碼……

在中國(guó)，銀監(jiān)會(huì)在2009年出臺(tái)了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，對(duì)信息科技風(fēng)險(xiǎn)和信息科技風(fēng)險(xiǎn)管理的目標(biāo)提出了具體的指導(dǎo)意見。

如此種種，信息科技在各個(gè)行業(yè)，尤其是銀行業(yè)，扮演著越來(lái)越重要的角色。銀行業(yè)由于其IT系統(tǒng)高度密集、信息化程度高且事關(guān)國(guó)計(jì)民生，因此可以預(yù)見，隨著銀行業(yè)電子化程度的提高，銀行信息科技面臨的風(fēng)險(xiǎn)還會(huì)越來(lái)越大。

因此，需要加強(qiáng)信息科技的風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)管理是一個(gè)識(shí)別風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)的過(guò)程，最終目標(biāo)是將風(fēng)險(xiǎn)控制在可接受的水平。風(fēng)險(xiǎn)評(píng)估則是對(duì)風(fēng)險(xiǎn)發(fā)生的可能性及所造成的影響進(jìn)行分析，是識(shí)別風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)的過(guò)程。因此，風(fēng)險(xiǎn)管理就是風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制的過(guò)程，而風(fēng)險(xiǎn)評(píng)估則是風(fēng)險(xiǎn)管理的基礎(chǔ)。

對(duì)于信息科技的風(fēng)險(xiǎn)管理來(lái)說(shuō)，也需要以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)。可以說(shuō)，信息科技風(fēng)險(xiǎn)評(píng)估正是信息科技風(fēng)險(xiǎn)識(shí)別、計(jì)量的過(guò)程，也因此受到了各銀行的重視。

風(fēng)險(xiǎn)評(píng)估分整體和專項(xiàng)兩種

實(shí)際上，風(fēng)險(xiǎn)評(píng)估應(yīng)用范圍很廣。風(fēng)險(xiǎn)評(píng)估不僅是風(fēng)險(xiǎn)管理過(guò)程中重要的一環(huán)，而且在安全規(guī)劃、業(yè)務(wù)連續(xù)性管理以及實(shí)施等級(jí)保護(hù)等多個(gè)方面都離不開風(fēng)險(xiǎn)評(píng)估。

從范圍來(lái)看，信息科技風(fēng)險(xiǎn)評(píng)估可以分為整體風(fēng)險(xiǎn)評(píng)估和專項(xiàng)風(fēng)險(xiǎn)評(píng)估。

整體風(fēng)險(xiǎn)評(píng)估是指對(duì)信息科技的各個(gè)方面，如治理、信息安全、信息系統(tǒng)開發(fā)、測(cè)試與維護(hù)、信息科技運(yùn)行、外包、業(yè)務(wù)連續(xù)性管理等，進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估；專項(xiàng)風(fēng)險(xiǎn)評(píng)估則對(duì)信息科技的某一方面、某個(gè)系統(tǒng)或者為某個(gè)目的進(jìn)行的評(píng)估。如銀監(jiān)會(huì)頒布的《電子銀行安全評(píng)估指引》所講的安全評(píng)估就是對(duì)電子銀行各系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，常見的專項(xiàng)風(fēng)險(xiǎn)評(píng)估還經(jīng)常根據(jù)評(píng)估對(duì)象分為網(wǎng)絡(luò)評(píng)估、系統(tǒng)風(fēng)險(xiǎn)評(píng)估等。

整體風(fēng)險(xiǎn)評(píng)估側(cè)重于反映宏觀層面的風(fēng)險(xiǎn)，應(yīng)該全面反映影響實(shí)現(xiàn)IT目標(biāo)的風(fēng)險(xiǎn)，可使高級(jí)管理層把握信息科技的整體風(fēng)險(xiǎn)狀況，從而根據(jù)風(fēng)險(xiǎn)狀況，進(jìn)行戰(zhàn)略決策，最終提升風(fēng)險(xiǎn)管理能力；專項(xiàng)風(fēng)險(xiǎn)評(píng)估則側(cè)重于反映微觀層面的風(fēng)險(xiǎn)，反映信息科技某一方面或者某個(gè)系統(tǒng)存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)決定相應(yīng)的風(fēng)險(xiǎn)的處置措施，降低相關(guān)系統(tǒng)面臨的風(fēng)險(xiǎn)。他們之間關(guān)系如下圖1所示：

圖1 整體和專項(xiàng)風(fēng)險(xiǎn)評(píng)估關(guān)系示意

風(fēng)險(xiǎn)評(píng)估可劃分為三個(gè)階段

風(fēng)險(xiǎn)是對(duì)實(shí)現(xiàn)目標(biāo)有所影響的事件的發(fā)生的可能性。從概念可以看到，風(fēng)險(xiǎn)有影響及可能性兩個(gè)屬性，而影響是由資產(chǎn)的價(jià)值與資產(chǎn)存在的弱點(diǎn)決定的，可能性是由資產(chǎn)面臨的威脅及資產(chǎn)存在的弱點(diǎn)決定的。因此風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)、弱點(diǎn)及威脅進(jìn)行綜合分析。

風(fēng)險(xiǎn)評(píng)估工作一般有以下幾個(gè)步驟：

步驟1：描述分析評(píng)估對(duì)象，確定其目標(biāo)或者價(jià)值

步驟2：識(shí)別評(píng)估對(duì)象存在的弱點(diǎn)

步驟3：識(shí)別評(píng)估對(duì)象面臨的威脅

步驟4：通過(guò)分析弱點(diǎn)及威脅，確定事件發(fā)生的可能性

步驟5：通過(guò)分析資產(chǎn)及弱點(diǎn)分析事件如果發(fā)生所造成的影響

步驟6：通過(guò)已經(jīng)分析出的可能性和影響確定風(fēng)險(xiǎn)等級(jí)

步驟7：根據(jù)風(fēng)險(xiǎn)等級(jí)提出風(fēng)險(xiǎn)處置建議

這幾個(gè)步驟可劃分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)定級(jí)三個(gè)階段，如下圖所示：