返回
新巴塞尔协议---银行信息安全风险管理

新巴塞尔协议---银行信息安全风险管理

ID:46722178

大小:70.00 KB

页数:10页

时间:2019-11-27

新巴塞尔协议---银行信息安全风险管理_第1页
新巴塞尔协议---银行信息安全风险管理_第2页
新巴塞尔协议---银行信息安全风险管理_第3页
新巴塞尔协议---银行信息安全风险管理_第4页
新巴塞尔协议---银行信息安全风险管理_第5页
资源描述:

《新巴塞尔协议---银行信息安全风险管理》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、银行信息安全风险管理-…新巴塞尔协议导读:新巴塞尔协议强调在进行风险管理的吋候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单,是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下:操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。1新巴塞尔协议和操作风险2004年6月26H,《巴塞尔新资本协议》(简称新巴塞尔协议)的终稿正式通过。新巴塞尔协议虽然不具有强制性,但是在国际上具有很大的影响力。新巴塞尔协议的核心内

2、容为三个支柱,即最低资本要求、监管检查和市场约束。虽然中国银监会曾经表态,受到客观条件限制,我国在未来几年内仍将继续执行1988年的老协议,但是当中国的银行进入国际银行业市场开拓业务时,巴塞尔协议可能会使中国商业银行在竞争屮处于不利的地位,尤其是国际上业务较活跃的银行,势必会受到很大影响。所以,对于中国银行业来讲,研究和符合新巴塞尔协议是提高国际竞争力的重要战略决策。新巴塞尔协议强调在进行风险管理的时候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单,是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中

3、给出的新的操作风险定义如下:操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。2操作风险管理操作风险作为银行面临的多种风险之一,具有其独特性。简单来讲,操作风险就是“没有采用正确的方法做事情”而带来的风险。操作风险和其他风险之间的关系如图所示。战略风险主要关心管理层是否选择的正确的业务方向和战略目标,业务相关的风险和具体的业务特点有关,而操作风险则主要指落实到具体执行层面的时候能否止确执行规范,以及有没有相关的规范可以参照执行。在风险管理领域中,战略是指导,而操作则贯穿整个业务活动的始终。因此,操作风险管理必须贯穿到整个公司管

4、理过程之中去。新巴塞尔协议强调风险管理应是一种主动的事前行为,而不是事后的补救,强调通过分析既有的数据来预测和防范未来的风险,并从中稳妥地获取风险收益。建立高效的风险管理体系,是银行确保在这个高风险行业中生存下来并获得稳定发展的基础。巴塞尔银行监管委员会发布了操作风险管理和监控的十个原则:《操作风险管理和监控的实践》,其中明确了银行进行操作风险管理的四个步骤:识别,评估,监控,缓解/控制。这个文件对于银行进行操作风险管理具有指导性的意义。3操作风险中的信息安全风险管理信息和信息系统安全在操作风险管理中是非常重要的一部分。由于现代银行几乎所有的业务都运行在IT基础设施之上,尤其是新出现的金融产品

5、和服务更加趋于开放和互联,进一步加强了对信息系统的依赖程度。信息的保密性、完整性以及信息、信息系统可用性对业务的成败起着至关重耍的作用。在西方国家已经有立法强制要求银行对某些关键信息的保密性、完整性等进行保护,比如美国的金融服务现代化法案(Gramm-Leach-BlileyAct,GLBA)。1999年,巴塞尔银行监管委员会专门设立了电子银行小组(EBG),对电子银行领域内的监管事务进行重点研究。2001年,EBG发表了《电子银行风险管理原则》,确定了进行电子银行业务风险管理的14条基本原则,是电了银行进行风险控制的重要参考。事实上,不管是《操作风险管理和监控的实践》,还是《电了银行风险管理

6、原则》,其中的内容人部分都己经被涵盖在了当前的国际通用的信息安全管理标准中了,并且已经在某些银行的信息安全管理中得到了不同程度的应用,比如ISO/IEC17799o操作风险管理和监控的实践的第八项原则规定:银行监管机构应要求所有银行都建立操作风险的风险识别、评估、监控、控制/缓解的有效框架。下面将分别讨论符合这一原则的信息安全风险管理框架中的各个部分。3.1风险的识别风险的识别就是识别当前信息和信息系统中的资产,判断面临的威胁,分析相关的脆弱性,从而识别相应的风险。简言之,风险的识别丄要包括识别资产、识别威胁、识别脆弱性等三个过程。信息资产是构成信息系统的基本组成部分。信息资产的界定和赋值是整

7、个工作的前提。资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。参照BS7799对信息资产的描述和定义,可以将信息资产分类为:数据、服务、软件、硬件、文档、设备、人员和其它类。我们根据不同的业务系统进行流程分析,得岀涉及的信息资产,并且初步判断关键资产。关键资产对整个业务运作具有决定性作用,需要重点保护。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。