導(dǎo)語(yǔ)：如何才能寫好一篇信息安全行業(yè)分析報(bào)告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

中小企業(yè)數(shù)量和信息化的程度越高，尾巴就越長(zhǎng)；針對(duì)中小企業(yè)的攻擊越多，尾巴的厚度也就越大。

簡(jiǎn)單來講，安全中的長(zhǎng)尾現(xiàn)象是由信息安全攻守雙方的交錯(cuò)制衡而產(chǎn)生的，具體表現(xiàn)有兩個(gè)：安全風(fēng)險(xiǎn)長(zhǎng)尾和安全市場(chǎng)長(zhǎng)尾。

安全風(fēng)險(xiǎn)長(zhǎng)尾

2011年工信部的《“十二五”中小企業(yè)的成長(zhǎng)規(guī)劃》中表明，到2010年末我國(guó)的中小企業(yè)數(shù)量是1100萬家，如果再加上個(gè)體工商戶，總共會(huì)達(dá)到4500萬家，這些中小企業(yè)在國(guó)家的國(guó)民生產(chǎn)總值，包括就業(yè)崗位累計(jì)起來已經(jīng)超過了大型企業(yè)。另?yè)?jù)CNNIC的調(diào)查報(bào)告，中小企業(yè)使用計(jì)算機(jī)的比例在90%以上，使用互聯(lián)網(wǎng)的比例在85%以上。而這些中小企業(yè)目前的信息安全防范手段非常薄弱。國(guó)內(nèi)曾經(jīng)有一家公司做過調(diào)查，問中小企業(yè)安裝企業(yè)級(jí)殺毒軟件的比例有多少？調(diào)查結(jié)果是只有20%的中小企業(yè)用了企業(yè)級(jí)的殺毒軟件。而企業(yè)殺毒軟件僅僅是企業(yè)安全防御最基本的一種，由此可見國(guó)內(nèi)中小企業(yè)的安全防范水平非常低下，導(dǎo)致了廣泛存在的安全風(fēng)險(xiǎn)。

簡(jiǎn)單講，中小企業(yè)面臨的風(fēng)險(xiǎn)有三種：第一、顯性風(fēng)險(xiǎn)，指安全問題會(huì)導(dǎo)致這個(gè)企業(yè)發(fā)生的直接損失，包括經(jīng)濟(jì)損失、名譽(yù)受損等。第二、隱性風(fēng)險(xiǎn)，指由于產(chǎn)業(yè)鏈條上不同企業(yè)具有的安全問題給鏈條之上其它企業(yè)帶來的安全風(fēng)險(xiǎn)。第三、社會(huì)風(fēng)險(xiǎn)，是指由于中小企業(yè)自身的計(jì)算機(jī)等設(shè)備被黑客控制后可能對(duì)社會(huì)造成的潛在風(fēng)險(xiǎn)。如果我們按照風(fēng)險(xiǎn)大小作為縱軸，將企業(yè)按照規(guī)模大小排列在橫軸上，因?yàn)樵谥袊?guó)的中小企業(yè)數(shù)量非常巨大，所以橫軸就會(huì)非常長(zhǎng)，并且形成了一個(gè)風(fēng)險(xiǎn)的長(zhǎng)尾。中小企業(yè)數(shù)量和信息化的程度越高，尾巴就越長(zhǎng)；針對(duì)中小企業(yè)的攻擊越多，尾巴的厚度也就越大，而這些就是目前的趨勢(shì)。我們有理由相信，位于長(zhǎng)尾部分的中小企業(yè)的安全風(fēng)險(xiǎn)隨著目前這種趨勢(shì)會(huì)越來越大，甚至累加起來的總和會(huì)超過大型企業(yè)的累積風(fēng)險(xiǎn)。如果針對(duì)這部分安全風(fēng)險(xiǎn)長(zhǎng)尾我們沒有進(jìn)行適當(dāng)?shù)目刂?，它?duì)我們整個(gè)國(guó)家的社會(huì)環(huán)境和經(jīng)濟(jì)環(huán)境就可能會(huì)造成直接影響。

2011年CNCERT中國(guó)網(wǎng)絡(luò)安全狀況報(bào)告，表示經(jīng)抽樣調(diào)查發(fā)現(xiàn)在中國(guó)網(wǎng)絡(luò)中有890萬臺(tái)計(jì)算機(jī)是僵尸計(jì)算機(jī)，就是已經(jīng)被人惡意控制了。2012年，CDN廠商Akamai全球互聯(lián)網(wǎng)狀況分析報(bào)告，表示全球網(wǎng)絡(luò)攻擊來源地區(qū)第一名是中國(guó)。來源于中國(guó)的攻擊未必是中國(guó)人在背后操控，但是這樣會(huì)給人一種印象，認(rèn)為中國(guó)的互聯(lián)網(wǎng)環(huán)境是不安全的。

安全市場(chǎng)長(zhǎng)尾

既然中小企業(yè)數(shù)量這么大、風(fēng)險(xiǎn)這么高，那么為什么他們沒有實(shí)現(xiàn)有效的信息安全防護(hù)呢？其主要原因非常簡(jiǎn)單，第一是沒有錢，第二是沒有人。即使企業(yè)規(guī)模很小，按照傳統(tǒng)的建設(shè)方式，企業(yè)也往往要一次性投入幾萬、幾十萬才可能建立相對(duì)完備的信息安全體系。此外，信息安全維護(hù)需要緊跟安全威脅的趨勢(shì)，但是中小企業(yè)很難有合適的安全技術(shù)人才對(duì)這些安全產(chǎn)品進(jìn)行維護(hù)。中小企業(yè)自身沒有條件，那么安全廠商為什么不把這個(gè)目標(biāo)瞄準(zhǔn)這幾千萬家中小企業(yè)這個(gè)非常巨大的市場(chǎng)呢？作為一個(gè)安全廠商或安全集成商，給企業(yè)提供安全的產(chǎn)品和服務(wù)是有成本曲線的，包括推廣成本、銷售成本、運(yùn)營(yíng)成本。這些成本不隨著中小企業(yè)服務(wù)對(duì)象規(guī)模的縮小而降低為零，這個(gè)成本是相對(duì)固定的，而且在一定程度下會(huì)超過目標(biāo)企業(yè)的預(yù)算。成本曲線和企業(yè)的預(yù)算曲線有一個(gè)交叉點(diǎn)，這個(gè)交叉點(diǎn)右側(cè)這部分對(duì)于安全從業(yè)者來講就無利可圖了。

下面，我們分析為什么我們可以利用云安全服務(wù)這種新興的安全建設(shè)方式來解決這個(gè)問題，將眾多中小企業(yè)原來由于成本問題而制約的需求釋放出來，形成一個(gè)新的安全長(zhǎng)尾市場(chǎng)。首先從用戶投資角度分析，他們只需要按需租用云安全服務(wù)，而且可以根據(jù)公司規(guī)模進(jìn)行彈性地租用。從用戶維護(hù)來講，是不需要企業(yè)客戶來費(fèi)心的，基本所有維護(hù)都是由云安全服務(wù)商進(jìn)行，這樣，困擾中小企業(yè)的錢和人的問題就解決了。從云安全服務(wù)商來講，采用SaaS這種模式的安全服務(wù)非常類似于互聯(lián)網(wǎng)產(chǎn)品，它的渠道建設(shè)、銷售、服務(wù)等都可以采用在線的方式，因此成本曲線會(huì)下降，從而降低到了中小企業(yè)客戶可以承擔(dān)的程度，這樣就形成了一個(gè)巨大的新的安全市場(chǎng)。

目前越來越多的安全廠商和服務(wù)商開始在云安全服務(wù)市場(chǎng)發(fā)力。McAfee在全球聯(lián)合很多運(yùn)營(yíng)商和服務(wù)合作伙伴企業(yè)提供多種類型的云安全服務(wù)，在這個(gè)領(lǐng)域具有超過十年的經(jīng)驗(yàn)，在中國(guó)也聯(lián)合國(guó)內(nèi)的合作伙伴落地了部分云安全服務(wù)。之前數(shù)月內(nèi)，中國(guó)電信安全服務(wù)中心了網(wǎng)站保護(hù)“安全云服務(wù)”，進(jìn)入了這個(gè)廣闊的市場(chǎng)。安全行業(yè)先驅(qū)、原Netscreen創(chuàng)始人鄧峰先生投資了云安全服務(wù)企業(yè)安全寶，為這個(gè)市場(chǎng)添加了濃墨重彩的一筆。

篇2

一、三家公司的信息化建設(shè)和保險(xiǎn)業(yè)務(wù)數(shù)據(jù)交換情況

（一）勞合社。一般來說，勞合社的數(shù)據(jù)系統(tǒng)主要收集保費(fèi)與賠款方面的數(shù)據(jù)，這些數(shù)據(jù)基于不同的用途分為不同的層次。例如，準(zhǔn)備金監(jiān)控的數(shù)據(jù)來自于勞合社業(yè)務(wù)險(xiǎn)種的數(shù)據(jù)，理賠細(xì)節(jié)的分析資料來自于交易層面的數(shù)據(jù)信息。數(shù)據(jù)系統(tǒng)的來源主要有兩個(gè)渠道，一是各機(jī)構(gòu)收集的來自各個(gè)辛迪加的數(shù)據(jù)。二是來自中央市場(chǎng)數(shù)據(jù)系統(tǒng)。機(jī)構(gòu)通過勞合社的中央市場(chǎng)網(wǎng)絡(luò)信息系統(tǒng)收集大量的業(yè)務(wù)交易信息，形成的報(bào)告有：年度辛迪加業(yè)務(wù)預(yù)測(cè)報(bào)告、季度監(jiān)測(cè)報(bào)告、年度償付能力與準(zhǔn)備金數(shù)據(jù)報(bào)告、年度報(bào)告等；而中央市場(chǎng)數(shù)據(jù)系統(tǒng)提供了大約85%的再保險(xiǎn)交易信息。

勞合社采用數(shù)據(jù)倉(cāng)庫(kù)和數(shù)據(jù)庫(kù)聯(lián)合運(yùn)作的方式儲(chǔ)存數(shù)據(jù)，在系統(tǒng)設(shè)置時(shí)考慮使用者的進(jìn)入權(quán)限、數(shù)據(jù)條目的唯一性及數(shù)據(jù)系統(tǒng)支持的充足性。數(shù)據(jù)不僅滿足計(jì)算償付能力、測(cè)算資本金和準(zhǔn)備金、分析賠案的需要，還應(yīng)滿足獨(dú)立分析中央資本金、準(zhǔn)備金充足性以及決定停止再保險(xiǎn)合同的需要。

此外，由于法律法規(guī)的不同規(guī)定，勞合社在數(shù)據(jù)披露時(shí)相當(dāng)謹(jǐn)慎，某一些數(shù)據(jù)只能優(yōu)先共享給數(shù)據(jù)提供者。因此，勞合社更傾向于將數(shù)據(jù)分析的結(jié)果與市場(chǎng)共享而不是分享數(shù)據(jù)本身，而且，勞合社向辛迪加提供的很多的分析報(bào)告是不公開的。

（二）法國(guó)SCOR再保險(xiǎn)集團(tuán)。該公司是全球第六大再保險(xiǎn)公司，擁有比較完善的核心業(yè)務(wù)系統(tǒng)，系統(tǒng)名稱為OMEGA,包含數(shù)據(jù)庫(kù)、應(yīng)用環(huán)境和其他軟件三個(gè)部分：其中，數(shù)據(jù)庫(kù)包含10個(gè)內(nèi)容，分別是指引、客戶關(guān)系、合同（財(cái)產(chǎn)險(xiǎn)）、大風(fēng)險(xiǎn)合同、壽險(xiǎn)個(gè)險(xiǎn)合同、再保險(xiǎn)賬戶樹立、賠款、轉(zhuǎn)分、預(yù)估和準(zhǔn)備金以及再保險(xiǎn)結(jié)算；應(yīng)用環(huán)境包含管理系統(tǒng)、電子商務(wù)、網(wǎng)站和競(jìng)爭(zhēng)研究，其中管理系統(tǒng)包含承保計(jì)劃、技術(shù)預(yù)算和管理報(bào)告；其他軟件包含定價(jià)、準(zhǔn)備金、自然災(zāi)害模擬、文件管理系統(tǒng)（臨分、非壽險(xiǎn)合同和美國(guó)賠款），同時(shí)該系統(tǒng)也為其他系統(tǒng)提供數(shù)據(jù)，比如人力資源系統(tǒng)、財(cái)務(wù)報(bào)告等。

SCOR從分出公司或經(jīng)紀(jì)人獲取的數(shù)據(jù)，整理后輸入到OMEGA核心業(yè)務(wù)系統(tǒng)。OMEGA系統(tǒng)具有很好地分析、定價(jià)功能，該系統(tǒng)按照承保年度、財(cái)務(wù)年度和業(yè)務(wù)年度分析結(jié)果，讓承保人和精算師共享信息，共同協(xié)作，最終產(chǎn)生定價(jià)報(bào)告。OMEGA系統(tǒng)的基本特征是：獨(dú)有的指引表格、獨(dú)有的客戶數(shù)據(jù)庫(kù)、世界范圍內(nèi)的臨分累計(jì)搜索、世界范圍內(nèi)的個(gè)人累計(jì)搜索、業(yè)務(wù)承保后的EGPI和賠付率輸入、自動(dòng)產(chǎn)生最低預(yù)存保費(fèi)、及時(shí)的賬單余額、自動(dòng)Acord名稱界面、自動(dòng)將合同分配到不同的產(chǎn)品線、臨分和非比例保險(xiǎn)賠款處理、自動(dòng)轉(zhuǎn)分、壽險(xiǎn)核保系統(tǒng)內(nèi)嵌入、根據(jù)預(yù)估進(jìn)行核算、世界范圍內(nèi)的每周技術(shù)結(jié)果、標(biāo)準(zhǔn)報(bào)告系統(tǒng)。

（三）瑞士再保險(xiǎn)公司。該公司在信息化管理上實(shí)行全球集中的管控模式，全球只在總部設(shè)置信息管理部門。其IT人員多達(dá)1200人，超過員工總數(shù)的10%；每年信息技術(shù)開支約占當(dāng)年總營(yíng)業(yè)費(fèi)用的5%左右。

瑞士再保險(xiǎn)公司高度重視信息安全。其全球數(shù)據(jù)采用集中管控模式，在蘇黎世設(shè)有兩個(gè)數(shù)據(jù)中心，兩套同等配置的硬件設(shè)備分別放置在這兩個(gè)同城異地的數(shù)據(jù)中心，而且數(shù)據(jù)互為備份。與此同時(shí)，該公司在美國(guó)、新加坡都設(shè)立機(jī)房，存儲(chǔ)當(dāng)?shù)財(cái)?shù)據(jù)，并為全球數(shù)據(jù)進(jìn)行備份，做到全球同步更新數(shù)據(jù)。同時(shí)，瑞士再保險(xiǎn)公司對(duì)全球員工在網(wǎng)頁(yè)登陸、郵件管理和客戶端管理上，嚴(yán)格實(shí)行全球統(tǒng)一的管理規(guī)定。例如:及時(shí)更新垃圾郵件地址，有效進(jìn)行屏蔽,禁止登陸大部分外網(wǎng)，禁止通過移動(dòng)設(shè)備進(jìn)行數(shù)據(jù)拷貝等。這些管理規(guī)定在公司內(nèi)無論何等級(jí)別的人員都必須嚴(yán)格執(zhí)行。如因工作確實(shí)需要登陸外網(wǎng)時(shí),要另行申請(qǐng)批準(zhǔn)，而且批準(zhǔn)權(quán)限高度集中。

在數(shù)據(jù)標(biāo)準(zhǔn)與數(shù)據(jù)交換方面，瑞士再保險(xiǎn)公司充分認(rèn)識(shí)到建立數(shù)據(jù)標(biāo)準(zhǔn)的必要性。他們認(rèn)為，建立數(shù)據(jù)標(biāo)準(zhǔn)可以實(shí)現(xiàn)公司業(yè)績(jī)?cè)鲩L(zhǎng)、提高工作效率、改善再保服務(wù)水平、滿足認(rèn)證要求并有效地控制風(fēng)險(xiǎn)。此外,瑞士再保險(xiǎn)公司還認(rèn)為，建立行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)，需要統(tǒng)一主要的數(shù)據(jù)元和語(yǔ)言。但由于該公司國(guó)際化程度非常高,建立行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)受到了全球各地區(qū)不同的需求、監(jiān)管環(huán)境、市場(chǎng)狀況和業(yè)務(wù)類型的限制。

二、出訪體會(huì)與建議

（一）現(xiàn)代企業(yè)需要高度集中的信息化管理

現(xiàn)代企業(yè)的管理者普遍認(rèn)為，核心管理的“一體化”是企業(yè)成功的關(guān)鍵手段之一?！耙惑w化”包括發(fā)展目標(biāo)一體化、組織體系一體化、制度流程一體化、人事管理制度一體化和信息化建設(shè)一體化。其中，信息化建設(shè)一體化包括統(tǒng)一的運(yùn)營(yíng)平臺(tái)，統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，統(tǒng)一的網(wǎng)絡(luò)辦公系統(tǒng)，統(tǒng)一的專業(yè)管理模塊，統(tǒng)一的財(cái)務(wù)信息系統(tǒng)，統(tǒng)一的統(tǒng)計(jì)口徑,統(tǒng)一的數(shù)據(jù)集中管理。

目前，勞合社、SCOR和瑞士再保險(xiǎn)都實(shí)行信息集中管理。勞合社要求各或辛迪加把數(shù)據(jù)上傳到中央數(shù)據(jù)倉(cāng)庫(kù)中，數(shù)據(jù)倉(cāng)庫(kù)存貯的是概要信息。SCOR的IT系統(tǒng)是大集中方式，有7個(gè)數(shù)據(jù)中心分布在世界各地，且兩兩互作備份。瑞士再保險(xiǎn)也是全集中方式，有5個(gè)數(shù)據(jù)中心，其中一個(gè)為災(zāi)備。

（二）高度集中統(tǒng)一的信息化管理需要先進(jìn)的理念

三家公司在介紹經(jīng)驗(yàn)時(shí)普遍談到,信息建設(shè)是現(xiàn)代企業(yè)經(jīng)營(yíng)管理的先驅(qū),就像空氣一樣不能缺少。只有具備這樣的理念和重視程度，IT建設(shè)才能夠真正落到實(shí)處，公司內(nèi)各信息系統(tǒng)之間才能相互銜接。三家公司均設(shè)立了專門的管理機(jī)構(gòu),如信息安全委員會(huì)、業(yè)務(wù)信息委員會(huì)等。公司上下對(duì)委員會(huì)做出的決定嚴(yán)格執(zhí)行。例如，瑞士再保險(xiǎn)對(duì)IT的管理近于“苛刻”，如禁用U盤、禁炒股、禁上很多網(wǎng)站、郵件阻隔等，目的是保證公司信息安全。如果工作中發(fā)生了郵件被阻隔等IT方面的問題或需求，公司會(huì)及時(shí)予以完善。員工從不就工作問題指責(zé)IT部門,表現(xiàn)出了良好的協(xié)作精神。

（三）先進(jìn)的信息化管理必須有物質(zhì)和人才的保證

信息化建設(shè)需要一定的資金投入。三家公司每年在IT建設(shè)上的資金投入，占保費(fèi)收入的5%到7%，保證了公司具備先進(jìn)完備的基礎(chǔ)網(wǎng)絡(luò)環(huán)境、機(jī)房及中心數(shù)據(jù)處理設(shè)備等。

信息化建設(shè)需要配備IT技術(shù)人員。勞合社擁有100多人的IT隊(duì)伍，其中維護(hù)人員約占30%，功能開發(fā)人員約占70%；SCOR也有100多人的IT人員，一半以上是開發(fā)人員和數(shù)據(jù)分析人員；瑞士再保險(xiǎn)公司的IT人才更是多達(dá)1200多人，占員工總數(shù)的12%左右。IT人才隊(duì)伍的組成不僅包括計(jì)算機(jī)專業(yè)人才，還有很多其他專業(yè)的人才,如財(cái)務(wù)專業(yè)人員，保險(xiǎn)專業(yè)人才等。

信息化建設(shè)還需要完善的組織架構(gòu)。瑞士再保險(xiǎn)公司IT部門下轄8個(gè)職能處室,包括市場(chǎng)與產(chǎn)品IT、金融服務(wù)IT、財(cái)務(wù)管理IT、公司管理IT、業(yè)務(wù)支持IT、管理支持IT、基礎(chǔ)架構(gòu)IT和全球運(yùn)維IT、在公司治理、業(yè)務(wù)發(fā)展、風(fēng)險(xiǎn)防控、財(cái)務(wù)監(jiān)管等方面，都發(fā)揮了積極的作用。瑞士再保險(xiǎn)公司信息技術(shù)部門分為需求管理和技術(shù)支持兩大職能。需求管理包括市場(chǎng)和產(chǎn)品IT、金融服務(wù)IT、財(cái)務(wù)管理IT、公司管理IT。負(fù)責(zé)需求管理的各部門有懂業(yè)務(wù)的人員，也有懂IT的人員，他們負(fù)責(zé)與業(yè)務(wù)部門溝通，了解各類業(yè)務(wù)部門的需求和對(duì)信息系統(tǒng)的反饋，將這些用戶的業(yè)務(wù)需求轉(zhuǎn)換成技術(shù)需求，從而將業(yè)務(wù)與技術(shù)有效聯(lián)系起來；技術(shù)支持包括業(yè)務(wù)支持、管理支持、基礎(chǔ)架構(gòu)和全球運(yùn)維管理。其中，業(yè)務(wù)支持負(fù)責(zé)各類業(yè)務(wù)系統(tǒng)開發(fā)，如定價(jià)系統(tǒng)等；管理支持負(fù)責(zé)公司的管理系統(tǒng)或平臺(tái)開發(fā)，如人力資源系統(tǒng)等；基礎(chǔ)架構(gòu)負(fù)責(zé)網(wǎng)絡(luò)、安全、數(shù)據(jù)中心等硬件環(huán)境的搭建；運(yùn)維治理部負(fù)責(zé)系統(tǒng)與硬件的維護(hù)、IT治理等工作。

（四）再保險(xiǎn)數(shù)據(jù)標(biāo)準(zhǔn)化是實(shí)現(xiàn)高質(zhì)量管理和監(jiān)管的基礎(chǔ)

勞合社通過較為完備的IT技術(shù)體系的支持，可以獲得辛迪加所有詳細(xì)的業(yè)務(wù)承保記錄，同時(shí)，勞合社還依照英國(guó)監(jiān)管規(guī)定的報(bào)表要求，獲得絕大部分所在國(guó)家與地區(qū)的償付能力報(bào)告、資產(chǎn)負(fù)債報(bào)告、有關(guān)自然災(zāi)害狀況及其對(duì)主要再保險(xiǎn)人影響的報(bào)告，從而有效掌控全方位的風(fēng)險(xiǎn)狀況。SCOR也通過獨(dú)有的OMEGA核心業(yè)務(wù)系統(tǒng)，獲取完備的數(shù)據(jù)信息；瑞士再保險(xiǎn)則通過高投入、高產(chǎn)出的信息管理系統(tǒng)，支持公司不斷走在行業(yè)前列。

據(jù)了解,瑞士的再保險(xiǎn)行業(yè)正在研究論證再保數(shù)據(jù)交換標(biāo)準(zhǔn)，預(yù)計(jì)兩年后標(biāo)準(zhǔn)草稿可以出臺(tái)。但由于受到各種客觀因素限制,其數(shù)據(jù)標(biāo)準(zhǔn)化工作能否順利完成還存在疑問。從國(guó)家監(jiān)管當(dāng)局統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)，規(guī)范行業(yè)信息化建設(shè)的層面看，我國(guó)的再保險(xiǎn)數(shù)據(jù)標(biāo)準(zhǔn)化建設(shè)工作處于領(lǐng)先地位,目前，已經(jīng)指導(dǎo)國(guó)內(nèi)保險(xiǎn)公司研究出部分?jǐn)?shù)據(jù)標(biāo)準(zhǔn),更多數(shù)據(jù)標(biāo)準(zhǔn)草案也已經(jīng)完成擬訂,正在征求意見。

（五）建立國(guó)內(nèi)統(tǒng)一高效再保險(xiǎn)市場(chǎng)的重點(diǎn)是加強(qiáng)再保險(xiǎn)數(shù)據(jù)管理和加快再保險(xiǎn)信息化建設(shè)

篇3

主要內(nèi)容

對(duì)銀行和信用卡支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理。新加坡金管局在2013年6月21日了644號(hào)和644A號(hào)通知，并于2014年7月1日起開始執(zhí)行。兩個(gè)通知分別對(duì)在新加坡的銀行和信用卡或支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理做了安排。644A號(hào)文規(guī)定信用卡或支付卡授權(quán)商是被授權(quán)依法進(jìn)行在新加坡開立信用卡或支付卡業(yè)務(wù)的個(gè)人。通知規(guī)定，銀行和信用卡或支付卡授權(quán)商應(yīng)該落實(shí)一個(gè)框架，處理識(shí)別核心系統(tǒng)，盡最大努力維持核心系統(tǒng)的高可靠性，確保每一個(gè)影響和授權(quán)商操作和對(duì)客戶服務(wù)的核心系統(tǒng)的最大意外停機(jī)每12個(gè)月不超過4小時(shí)。并且銀行和授權(quán)商應(yīng)該建立一個(gè)修復(fù)時(shí)間目標(biāo)（RTO，指從故障發(fā)生到系統(tǒng)修復(fù)的持續(xù)時(shí)間），對(duì)于每一個(gè)核心系統(tǒng)不超過4個(gè)小時(shí)。每12個(gè)月須至少驗(yàn)證并且記錄一次核心系統(tǒng)在系統(tǒng)修復(fù)測(cè)試中的表現(xiàn)以及測(cè)試時(shí)間。一旦核心系統(tǒng)發(fā)生故障或事故，銀行和授權(quán)商應(yīng)在1小時(shí)以內(nèi)通知新加坡金管局。在重大事件發(fā)生的14天以內(nèi)，或者經(jīng)當(dāng)局許可的更長(zhǎng)一段時(shí)間內(nèi)，銀行和授權(quán)商應(yīng)向新加坡金管局提交一份根本原因和沖擊分析報(bào)告。報(bào)告應(yīng)該包括：重大事件的綜合摘要、觸發(fā)重大事件的根本原因分析、描述重大事件對(duì)銀行的沖擊、描述已采取的補(bǔ)救措施以解決根本原因和重大事件的結(jié)果。最后，銀行和授權(quán)商應(yīng)實(shí)施IT控制以保護(hù)客戶信息免遭非法入侵和曝光。

有關(guān)IT外包的監(jiān)管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對(duì)外包商的監(jiān)管作了明確規(guī)定。文件中指出，外包是指位于新加坡國(guó)內(nèi)外的一個(gè)或多個(gè)提供第三方IT技術(shù)和設(shè)備的供應(yīng)商，包括從系統(tǒng)開發(fā)、維護(hù)和支持到數(shù)據(jù)中心操作、網(wǎng)絡(luò)管理、故障修復(fù)服務(wù)、應(yīng)用托管和云計(jì)算。金融機(jī)構(gòu)要落實(shí)正確的框架、政策和流程去評(píng)估、審批、復(fù)審、控制和監(jiān)控所有外包活動(dòng)的風(fēng)險(xiǎn)和實(shí)質(zhì)。在與外包商簽訂合同之前，金融機(jī)構(gòu)應(yīng)該就所有的外包建議做一個(gè)徹底的風(fēng)險(xiǎn)評(píng)估，可以參考基于移動(dòng)終端的信息化應(yīng)用服務(wù)（MAS）的外包技術(shù)調(diào)查問卷作為進(jìn)一步指導(dǎo)，金融機(jī)構(gòu)在簽訂任何外包委托之前向服務(wù)商提交完成后的問卷。新加坡金管局沒有直接涵蓋對(duì)銀行技術(shù)外包服務(wù)商（TSP-Technology Service Providers）的具體要求，而是要求金融機(jī)構(gòu)確保外包商采用高標(biāo)準(zhǔn)的政策和流程以確保敏感信息的機(jī)密性和安全性，敏感信息例如客戶資料、計(jì)算機(jī)文件、檔案、目標(biāo)程序和源代碼。在與外包商的合同終止時(shí)，金融機(jī)構(gòu)應(yīng)該在有合同的保證下，可以快速移除或銷毀所有的IT信息和資產(chǎn)。

對(duì)個(gè)人移動(dòng)設(shè)備的監(jiān)管。2014年9月26日，新加坡金管局了《Circular SRD TR02 2014》，對(duì)金融機(jī)構(gòu)中“自帶設(shè)備”所帶來的風(fēng)險(xiǎn)進(jìn)行了規(guī)定。文件中指出“自帶你的移動(dòng)設(shè)備”（BYOD）是越來越多的金融機(jī)構(gòu)采用的一種相對(duì)較新的實(shí)踐，讓員工從他們的個(gè)人移動(dòng)設(shè)備訪問公司電子郵件、日歷、應(yīng)用程序和數(shù)據(jù)。但是“自帶設(shè)備”相應(yīng)地會(huì)增加金融風(fēng)險(xiǎn)，金融機(jī)構(gòu)應(yīng)該發(fā)展出一套綜合的防止資料損失的策略，去保護(hù)敏感或機(jī)密的用戶信息。一些不利于策略有效應(yīng)用的因素包括幾個(gè)方面，第一，隱私和個(gè)人使用的沖擊。在“自帶設(shè)備”環(huán)境中，雇員可以根據(jù)他們的選擇自由在他們的移動(dòng)設(shè)備上安裝應(yīng)用，并且拒絕安裝特定的安全軟件；第二，不同的設(shè)備組合。實(shí)施“自帶設(shè)備”的金融機(jī)構(gòu)將不得不支持大范圍的設(shè)備，操作系統(tǒng)和應(yīng)用組合。這將造成一個(gè)一致而有效的方式難以被應(yīng)用于不同平臺(tái)的混合環(huán)境；第三，缺乏對(duì)于設(shè)備升級(jí)的控制。在自帶設(shè)備的環(huán)境中，雇員們可以隨意在他們的個(gè)人設(shè)備上安裝應(yīng)用和運(yùn)行軟件升級(jí)，這可能給他們的設(shè)備帶來安全漏洞和惡意軟件。這將危及可由這些設(shè)備進(jìn)入的金融機(jī)構(gòu)的資料和公司系統(tǒng)，第四，移動(dòng)安全方法的成熟性。移動(dòng)的安全方法仍然普遍處于起始階段。 兩個(gè)常見的解決“自帶設(shè)備”安全隱患的方法是使用移動(dòng)設(shè)備管理和虛擬化。移動(dòng)設(shè)備管理方面，在移動(dòng)設(shè)備被許可進(jìn)入公司網(wǎng)絡(luò)之前，設(shè)備要被驗(yàn)證以確保沒有被越獄或被嵌入的風(fēng)險(xiǎn)。移動(dòng)設(shè)備管理方法也可以在一個(gè)沙盒環(huán)境（指在一個(gè)受限制的操作系統(tǒng)環(huán)境中執(zhí)行一個(gè)應(yīng)用去保護(hù)公司應(yīng)用可能使用的資源）中管理公司應(yīng)用、資料、政策和設(shè)置。這樣做目的是允許雇員們自由地使用設(shè)備，同時(shí)使企業(yè)得以保護(hù)其工作環(huán)境。一個(gè)健全的移動(dòng)設(shè)備管理方法應(yīng)該被應(yīng)用于所有的“自帶設(shè)備”安排中。在虛擬化方面，允許雇員們通過一個(gè)請(qǐng)求式的入口從他們的移動(dòng)設(shè)備進(jìn)入公司的資源和資料，使用強(qiáng)力認(rèn)證和網(wǎng)絡(luò)加密。由于公司的資料在公司數(shù)據(jù)中心內(nèi)部處理而不能被下載進(jìn)入移動(dòng)設(shè)備。在虛擬環(huán)境中嚴(yán)格的安全政策限制設(shè)備的復(fù)制和使用，例如打印機(jī)，可移動(dòng)存儲(chǔ)設(shè)備等，以幫助防止數(shù)據(jù)進(jìn)一步的數(shù)據(jù)泄露。

新加坡金管局要求，如果金融機(jī)構(gòu)不能夠恰當(dāng)?shù)毓芾硐嚓P(guān)的安全風(fēng)險(xiǎn)，則不應(yīng)該實(shí)施自帶設(shè)備。金融機(jī)構(gòu)要牢記保持警戒并且緊跟移動(dòng)領(lǐng)域的技術(shù)進(jìn)步和關(guān)注緊急威脅。定期在自帶設(shè)備基礎(chǔ)設(shè)施上實(shí)施漏洞評(píng)估和滲透測(cè)試以確保任何安全漏洞被識(shí)別并盡快做出調(diào)整。

對(duì)我國(guó)的啟示

2006年銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱《指引》），填補(bǔ)了我國(guó)銀行業(yè)信息系統(tǒng)監(jiān)管領(lǐng)域的空白，為推動(dòng)國(guó)內(nèi)銀行業(yè)信息科技風(fēng)險(xiǎn)管理奠定了基礎(chǔ)。2009年3月，銀監(jiān)會(huì)對(duì)原《指引》進(jìn)行修訂，并重新定名為《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》。新《指引》貫徹了“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”的銀行監(jiān)管理念。新《指引》規(guī)定，“商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人”。要求商業(yè)銀行建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平。要求商業(yè)銀行在信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)以及服務(wù)外包過程中加強(qiáng)對(duì)客戶信息的保護(hù)，防止敏感信息泄露，對(duì)業(yè)務(wù)連續(xù)性管理也加以規(guī)范，保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。在新《指引》中，提出要構(gòu)建信息科技風(fēng)險(xiǎn)管理的三大防線，即信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技風(fēng)險(xiǎn)審計(jì)。

從銀監(jiān)會(huì)對(duì)商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)管理的現(xiàn)場(chǎng)檢查實(shí)踐來看，主要有如下幾個(gè)問題：高層的知曉度和參與度較低，存在重建設(shè)、輕管理的現(xiàn)象；信息科技風(fēng)險(xiǎn)管理三道防線的設(shè)置存在缺失、重合和分工不清晰的問題；信息系統(tǒng)開發(fā)風(fēng)險(xiǎn)須引起全行更多關(guān)注；銀行業(yè)金融機(jī)構(gòu)對(duì)災(zāi)難性、突發(fā)性事件的應(yīng)對(duì)能力有待提升。

新加坡金管局從2001年開始開展信息科技風(fēng)險(xiǎn)監(jiān)管工作，經(jīng)過不斷實(shí)踐、探索，摸索出一套較為先進(jìn)的監(jiān)管做法。新加坡金管局的信息科技風(fēng)險(xiǎn)監(jiān)管由現(xiàn)場(chǎng)檢查和非現(xiàn)場(chǎng)監(jiān)管構(gòu)成?，F(xiàn)場(chǎng)檢查的工作方式有訪談、調(diào)閱資料、現(xiàn)場(chǎng)取證等，檢查結(jié)束后金管局給金融機(jī)構(gòu)檢查意見書，金融機(jī)構(gòu)要在三個(gè)星期內(nèi)向金管局提交整改報(bào)告（已整改的問題、未整改問題的整改計(jì)劃），金管局會(huì)在下次現(xiàn)場(chǎng)檢查時(shí)核查整改情況。金融機(jī)構(gòu)按照新加坡金管局的要求填報(bào)調(diào)查問卷作為非現(xiàn)場(chǎng)監(jiān)管的資料。在處罰方面，罰款是處罰的一種方式，另一種處罰方式是提高存款準(zhǔn)備金率。另外，新加坡金管局定期召集商業(yè)銀行高管人員會(huì)議傳達(dá)科技監(jiān)管信息。金管局利用此種形式，向被監(jiān)管機(jī)構(gòu)定期講解信息科技風(fēng)險(xiǎn)發(fā)展的最新形勢(shì)，對(duì)金融機(jī)構(gòu)進(jìn)行技術(shù)輔導(dǎo)，警示風(fēng)險(xiǎn)，并介紹有關(guān)風(fēng)險(xiǎn)領(lǐng)域的解決方案。

結(jié)合新加坡的監(jiān)管安排及我國(guó)銀行及監(jiān)管的實(shí)踐，新加坡的監(jiān)管經(jīng)驗(yàn)對(duì)我國(guó)有一定的啟發(fā)。

加強(qiáng)我國(guó)信息科技風(fēng)險(xiǎn)管理部門建設(shè)。大力度培養(yǎng)復(fù)合型信息科技風(fēng)險(xiǎn)監(jiān)管人員，提高科技人員的業(yè)務(wù)監(jiān)督能力，推動(dòng)業(yè)務(wù)監(jiān)管人員掌握信息科技監(jiān)督知識(shí)。

進(jìn)一步完善我國(guó)銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管的有關(guān)規(guī)章制度。有必要完善信息科技風(fēng)險(xiǎn)評(píng)估體系，系統(tǒng)分析銀行業(yè)機(jī)構(gòu)采取的風(fēng)險(xiǎn)防控措施的有效性，客觀評(píng)價(jià)銀行業(yè)機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平；建立健全I(xiàn)T外包監(jiān)管體系，建立IT外包監(jiān)督流程，要求商業(yè)銀行健全外包商的風(fēng)險(xiǎn)評(píng)估機(jī)制，加強(qiáng)對(duì)外包風(fēng)險(xiǎn)的識(shí)別和監(jiān)控；進(jìn)一步出臺(tái)有關(guān)銀行數(shù)據(jù)保護(hù)規(guī)范或政策，要求商業(yè)銀行對(duì)數(shù)據(jù)進(jìn)行分類、定級(jí)，確定不同的保護(hù)措施和方法。

向銀行業(yè)及時(shí)提示信息科技風(fēng)險(xiǎn)信息。各級(jí)銀行監(jiān)管機(jī)構(gòu)應(yīng)定期召集轄內(nèi)商業(yè)銀行信息科技工作高級(jí)管理人員舉辦情況通報(bào)會(huì)議，每次會(huì)議選定重點(diǎn)關(guān)注的信息科技風(fēng)險(xiǎn)點(diǎn)，及時(shí)傳達(dá)監(jiān)管部門的工作意圖，使商業(yè)銀行能夠及時(shí)獲取風(fēng)險(xiǎn)控制手段和工作技巧。

因此，對(duì)于我國(guó)銀行機(jī)構(gòu)防控信息系統(tǒng)風(fēng)險(xiǎn)來說，有如下幾點(diǎn)應(yīng)予以重視。

加強(qiáng)對(duì)電子支付欺詐案件的防范。首先，網(wǎng)上支付安全最重要的基礎(chǔ)是客戶端的安全。MAS認(rèn)為客戶端安全的責(zé)任在銀行而非客戶本身，銀行有義務(wù)對(duì)客戶進(jìn)行安全教育，并提供更安全和便捷的技術(shù)工具去增強(qiáng)客戶端的安全性。其次，加快推廣銀行卡的EMV（芯片卡）和動(dòng)態(tài)認(rèn)證的實(shí)施進(jìn)程。相對(duì)于磁條卡，EMV有安全性高和不易偽造的特點(diǎn)。在芯片卡的認(rèn)證方式上，MAS要求銀行發(fā)放動(dòng)態(tài)和混合數(shù)據(jù)認(rèn)證的芯片卡并逐步替代已有的靜態(tài)數(shù)據(jù)認(rèn)證芯片卡，以解決靜態(tài)卡中可能存在的仿冒風(fēng)險(xiǎn)，以強(qiáng)化電子支付的安全性。

強(qiáng)化銀行數(shù)據(jù)安全問題的關(guān)注。近年來國(guó)際上發(fā)生的一系列數(shù)據(jù)丟失并導(dǎo)致了客戶資金被盜等惡性案件。如2009年8月德國(guó)某銀行由于數(shù)據(jù)泄漏而導(dǎo)致了30萬歐元的經(jīng)濟(jì)損失，2010年3月匯豐瑞士私人銀行的一個(gè)IT員工竊取了該行24000個(gè)賬戶信息。新加坡金管局在其許多監(jiān)管文件中都反復(fù)提到了數(shù)據(jù)泄露保護(hù)（DLP-Data Loss Prevention）。在IT外包，核心系統(tǒng)可靠性和個(gè)人移動(dòng)設(shè)備管理上下大力氣保護(hù)敏感信息的機(jī)密性和安全性。借鑒國(guó)際銀行業(yè)數(shù)據(jù)中心先進(jìn)經(jīng)驗(yàn)，加強(qiáng)對(duì)銀行數(shù)據(jù)中心、災(zāi)難恢復(fù)能力的建設(shè)。深入研究和解決目前在災(zāi)難備份系統(tǒng)建設(shè)方面存在的突出問題和技術(shù)難點(diǎn)。