- 1 -
中国科技论文在线
基于风险域的商业银行信息科技风险量化
研究
罗婷,郭燕慧**
作者简介:罗婷,(1991-),女,硕士研究生,主要研究方向:风险评估。
通信联系人:郭燕慧,(1974-),女,副教授,主要研究方向:信息安全。
(北京邮电大学信息安全中心,北京 100876) 5
摘要:大量信息系统在商业银行的投产运行使得商业银行信息科技风险备受关注,识别和规
避风险成为信息科技工作者面临的严肃课题。目前针对该风险的的评估缺乏全面的评估体系
和统一的量化标准,评估范围的不确定性和计量缺失导致大量高危风险的识别遗漏。本文将
风险评估标准与商业银行特点相结合,构建了商业银行信息科技风险评估模型。模型基于风
险域的划分,将商业银行信息科技风险划分为管理、业务流程和业务系统三大风险子域,采10
用符合性量化法对管理域和业务流程域风险进行评估,采用资产赋值法对业务系统域风险评
估,并最终进行整体域加权。通过定性和定量分析结合的方法,实现了商业银行信息科技风
险的整体域量化和综合评级。本文选择典型商业银行对模型和方法进行了有效验证。评估结
果实现了风险的多层次识别和精确化计量,有利于合理调配资源和提高处置效率,有助于推
进风险的分类控制和监管工作的展开。 15
关键词:商业银行;信息科技风险;风险域;符合性量化;资产赋值;权重
中图分类号:TP309
Quantification Study of Commercial Bank Information
Technology Risk Based on Risk Domain 20
LUO Ting, GUO Yanhui
(Information Security Center, Beijing Univeristy of Posts and Telecommunications,
Beijing 100876)
Abstract: The operation of large numbers of information systems has made comercial bank
information technology risk attract plenty of attention, information technology reseachers have to 25
face the serious issue of identifying and avoiding current risk assessment lacks a
comprehensive assessment system and a unified quantification standard,thus the uncertainty of the
assessment scope and the lack of quantification lead to a large number of high level risk
identification paper builds a risk assessment model of information technology,
which combines both risk assessment criteria and features of commercial model is 30
based on risk domain division,by which the risk domain is divided into three sub-domains,that is
management,business processes and business systems model uses compliance
quantitative method to asess the risk of management and business process domain,uses asset
valuation method to assess the risk of business system domain,and ultimately weights the risk of
overall a combination of qualitative and quantitative analysis methods, the paper 35
realizes the whole domain quantification and the comprehensive rating of commercial bank
information technology ,a typical commercial bank is selected for the effective
verification of the model and method in this assessment results achieve a multi-level
identification and precise measurement of risk,which contribute to the the rationality of
resources allocation and the improvment of disposal efficiency,and also benefit for the 40
classification control and supervision of risk.
Keywords: commercial bank; information technology risk; risk domain; compliance quantitative
method; asset valuation; weighting
0 引言 45
随着信息技术的迅速发展,信息科技在为商业银行业务提供有力支持的同时,也埋下了
- 2 -
中国科技论文在线
潜在的风险。处于大数据时代的商业银行对信息科技将更加依赖,防范和控制信息科技风险
在业界和学术界得到了高度重视。在 2009 年银监会颁布的《商业银行信息科技风险管理指
引》中,“信息科技风险”被定义为信息科技在商业银行运用过程中,由于自然因素、人为
因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由此看来,商业银行的信息科50
技风险不再是纯技术性的信息系统风险,其范围将上升到管理和业务流程等更多层面。
针对商业银行信息科技风险成因、特征以及评估方法的研究正在日益深化。然而现阶段,
业界研究缺乏全面的风险评估模型和针对性的量化评估方法。部分研究将信息科技风险视为
操作风险、技术风险,而未上升到管理和业务流程风险;部分研究只从管理的角度分析和防
范信息科技风险。因此,研究工作无法涵盖全行范围内所有信息科技带来的风险,不能实现55
在管理层面、业务层面和系统层面等各类信息科技风险的统一识别和分类监控。依据《股份
制商业银行风险评级体系》,风险评估应具备全面性,在对系统风险进行评估的同时对业务
风险进行评估;在对风险状况进行评估的同时,也对识别、监测、管理、控制风险的能力进
行评估;在对风险状况进行定量分析的同时,也应进行以判断为主的定性分析。
为更加健全和完善商业银行信息科技风险评估体系,辅助对风险的持续监管、分类监管60
和风险预警,本文参考银监会发布的《商业银行信息科技风险管理指引要求》(以下简称《指
引》),建立了针对商业银行信息科技风险的评估模型,采用风险域划分法将评估范围分为
管理域、业务流程域和业务系统域,对不同风险域分别采用定性分析与定量分析方法,实现
了对各风险域的单域评价以及在此基础上加权汇总后的整体域量化评估。由于管理域和业务
流程域在《指引》中存在详尽的规定和细化,本文采用符合性差距分析法进行评估量化,而65
商业银行系统和资产具备多样性,业务系统域将采用基于资产的威胁脆弱性分析法,构造关
联矩阵实现风险量化。通过对信息科技风险的针对性风险域量化和综合评级,有利于实现对
风险的持续监管和分类监管,促进商业银行稳健发展。
1 商业银行信息科技风险研究综述
商业银行是运用信息科技最密集的领域之一,商业银行信息科技风险和一般风险相比具70
有多种特征。学者对银行信息科技风险的特点有不同认识。唐磊[1]将银行信息科技风险的特
点概括为影响面的广泛性、暂时被忽略而具潜伏性、难以计量而呈非标准性。任莉[2]则将其
归纳为技术含量高、隐蔽性强、扩散速度快、影响范围广和监管难度高。杨涛[3]将风险特点
概括为难度量、易扩散和影响大。由于针对信息科技风险度量的研究文献甚少,信息科技风
险存在的计量缺失问题,度量缺乏统一标准;扩散性表现在内外网络交互使银行在提供便捷75
服务的同时,也会使风险危害波及整个经营网络,对银行形象、声誉影响造成的损失不可估
量;同时,离开互联网的银行系统无法运作,将会导致全社会的交易秩序错乱甚至危及国家
安全。正是由于商业银行对信息科技依赖的特殊性,部分学者对其信息科技风险的成因和分
类等方面进行了深入研究。
在风险成因方面,周雪松[4]将其归结为 IT 风险管理水平低下、风险控制部门间的协调80
配合程度较差、信息科技建设与业务协调不一致、软硬件及核心技术受制于人等因素。胡海
华等人[5]则认为是信息技术自身的缺陷、自然灾害和制度措施不到位造成商业银行信息科技
风险。在风险分类方面,张海利等人[6]按成因将商业银行的信息科技风险归纳为政策性风险、
决策性风险、系统性风险和操作性风险。宋春燕[7]则提出信息科技的主要风险点包括系统固
有风险、人员风险、数据安全风险、机房建设风险和安全管理风险。由此看来,在学者的深85
入研究中,商业银行信息科技风险的覆盖范围不仅包括传统型的技术风险,更加扩大为管理
- 3 -
中国科技论文在线
和业务操作等方面带来的多层次风险。
在信息科技风险的评估方法上,毛南[8]等人按照评估要求将信息科技风险评估方法分为
基线风险评估、重要系统风险评估、流程风险评估、资产风险评估。段艳[9]等人采用德尔菲
法、层次分析法和模糊综合评价等方法,对商业银行信息科技风险的管理方面进行了评估。90
何茂春[10]通过对信息系统事件的量化定级来衡量银行信息科技风险,将影响事件级别的影
响度、紧急度等关键因素进行量化分解,采用多因子事件等级量化方法给事件等级定级。杨
涛[3]提出用投资组合理论的均值方差模型和资本资产定价模型度量银行信息科技的管理风
险,同时在另一篇文献采用 OCTAVE 方法[11]对商业银行信息资产风险进行评估。文献表面,
不同学者对评估方法的计量研究或偏向于管理层面,或偏向技术层面。正是由于商业银行信95
息科技风险评估范围的不确定性和不全面性,对风险评估方法的研究更无法实现统一量化。
综上所述,商业银行信息科技风险面临的主要问题,是风险评估范围的确定和统一的计
量标准。全面的评估范围和针对性的量化方法,将更加有效的帮助识别和监控风险,维持商
业银行信息系统稳定高效的运作。本文通过对商业银行信息科技风险的域划分,结合定性分
析和定量分析的方法进行量化评估,旨在实现风险的全面识别,推进银行针对风险的后续分100
类监管与防范。
2 风险域及子域划分
银行业信息化应用程度很高,系统数量众多且关联性很强,不同业务系统的重要程度有
很大的区别,对信息安全、信息科技治理、业务系统等方面的风险评估也有不同的侧重点,
因此采用的风险评估方法也应有所不同。 105
本文基于风险域划分法,将商业银行信息科技风险的整个风险域划分成管理域
(Management)、业务流程域(Process)、业务系统域(System)三大风险域建立商业银
行信息科技风险评估模型,如图 1 所示,并根据要求划分二级至三级风险子域,分别采取不
同的量化方法对子域进行权重赋值和量化评估。参考《指引》要求,模型将管理域的一级子
域分为信息科技治理、信息科技风险管理、信息安全、信息系统开发测试维护、信息科技运110
行、业务连续性管理、外包、内部和外部审计;业务流程域划分一级子域为电子银行、银行
卡系统和其他重要应用系统信息流程;业务系统域选择商业银行关键业务进行子域划分,如
银行卡系统、综合业务系统、中间业务和大前置系统、网上银行系统和电话银行系统。具体
应根据不同商业银行的关键业务系统进行风险域划分。
- 4 -
中国科技论文在线
115
图 1 商业银行信息科技风险评估模型
Fig. 1 Model of Commercial Bank Information Technology Risk Assessment
在不同风险域的量化评估方法上,针对管理域和业务流程域的风险评估,参考《指引》
中规定,本文采用符合性检查的方法,将符合性分析结果量化作为风险评估依据;针对业务120
系统域的风险评估,鉴于商业银行系统和资产的多样性,采用基于资产的风险评估方法,从
资产价值、威胁和脆弱性进行量化评估。最终按照各级权重计算商业银行信息科技风险评估
量化结果,确定风险等级,使风险评估结果更加系统化和精确化。
3 基于风险域的量化评估
基于管理域和业务流程域的符合性量化 125
基于管理域和业务流程域的符合性量化,是参考银监会发布的《商业银行信息科技风险
管理指引要求》和《信息科技风险监管现场检查手册》,对管理域和业务流程域进行符合性
检查。本文假定风险子域为 E,其中有 1E 、 2E 、 3E … iE … nE 共 n 个评估指标。参考银监
会颁布的评估要求,给出符合性量化结果。符合性按照具体情况分为符合、基本符合、不符
合三类,每类的描述和针对风险评估的量化值见下表 1 所示: 130
表 1 符合性量化表
Tab. 1 Table of Compliance Quantitative
赋值 分类 说明
0 符合 满足评估要求,风险发生可能性极低,损害可忽略不计
1 基本符合 部分满足评估要求,风险发生有一定可能性,并造成较小损害
2 不符合 不满足评估要求,风险发生可能性较大,并造成较大损害
假设对于 1E 、 2E 、 3E … iE … nE 的 n 个评估指标,最终的符合性量化结果分别为 1C 、135
2C 、 3C … iC … nC ,则符合性量化综合值 C 为:
n
i
i 1
1C C
n =
= ∑ (式1)
其中 { }iC 0,1,2∈ , [ ]C 0,2∈ ,考虑到便于后续风险整体域综合评分的计算,将符合性量
化综合值 C 统一转换为百分制,因此该风险子域的符合性量化评分 ER 为:
- 5 -
中国科技论文在线
n n
E i i
i 1 i 1
C 1 1 50R 100 C 100 C
2 2 n n= =
= ∗ = ∗ ∗ = ∗∑ ∑ (式2) 140
基于业务系统域的资产赋值量化
基于业务系统域的资产赋值量化,是参考《信息安全风险评估规范》中基于资产的风险
评估方法,针对商业银行特有的银行卡、网上银行、电话银行、综合业务等业务系统,通过
对业务系统分别进行资产梳理,以及资产、脆弱性、威胁等关键要素的赋值计算,得出业务
系统的风险量化值的方法,如下图 2 所示: 145
图 2 资产赋值量化评估方法
Fig. 2 Method of Asset-based Quantitative Evaluation
商业银行业务系统依据不同银行业务类别有所区分,但关键系统主要包含的有银行卡、150
网上银行、电话银行、综合业务等业务系统,在确定关键待评估业务系统后,首先进行资产
识别。资产类别包括网络资产、安全资产和系统资产。其次分别进行威胁和资产的脆弱性识
别。最后根据威胁脆弱性关联矩阵,计算得到基于资产的风险量化值,并将业务系统所有资
产中风险最高值确定为该业务系统风险量化结果。其中资产、威胁、脆弱性的量化值都按照
程度分为 5 个等级,即取值范围为[1,5],量化值越高,资产重要程度越高,威胁发生可能性155
越高,脆弱性造成的损失越大。
关联矩阵的构造
威胁脆弱性关联矩阵是资产赋值量化法中的关键环节。在识别出威胁及资产的脆弱性
后,需要确定可利用资产的某个脆弱点形成风险的威胁,也即确定脆弱点与威胁的关联程度。
对此本模型将引入关联矩阵的概念,假设某个资产 A 有 m 个脆弱点,形成脆弱点集合 V 为160
{ }1 2 mv , v , , v… ,威胁识别的 n 种威胁集合 T 为{ }1 2 n, t ,t , t… ,则脆弱点 V 与威胁 T 之间的相
互关系可以用关联矩阵相互关联,威胁可以利用脆弱点形成风险
{ }ijA a |1 i m,1 j n= ≤ ≤ ≤ ≤ (式3)
来表示,其中关联系数 ija 为:
1
0
j i
ij
j i
相互关联,威胁 可以利用脆弱点 形成t va 不关联,威胁t 不可以利用脆弱点v 形成风
风险
险
⎧⎪= ⎨⎪⎩
(式4) 165
- 6 -
中国科技论文在线
威胁脆弱性关联矩阵示例如下表 2 所示。
表 2 威胁脆弱性关联矩阵示例
Tab. 2 Sample of an Correlation Matrix between Threaten and Vulnerability
t1 t2 t3 t4
v1 0 1 0 1
v2 0 0 0 1
v3 1 1 0 0
v4 0 1 0 1
170
在矩阵中用 1 和 0 表示威胁与脆弱性的关联程度,若威胁可以利用脆弱点形成风险,则
关联系数值为 1,若威胁不可以利用脆弱点形成风险,则关联系数值为 0。只有关联系数为
1 的威胁和脆弱点才能影响资产的风险值。
基于资产的风险计算
完成资产、威胁和脆弱性的评估赋值后,本模型采用相乘法计算,确定风险值,并得出175
对应的风险等级。如关联矩阵示例中的描述,资产 A 将面临 7 个风险点,其中威胁 2t 利用
脆弱点 1v 形成的风险值 1r 为:
风险值 1r = 资产价值A ×威胁值 2t ×脆弱性值 1v (式5)
以此类推计算出资产 A的风险集合R 为{ }1 2 7r , r , , r… ,则资产 A的风险将定为所有风险点
的最高风险值。即 180
{ }1 2 7R max r , r , , r= … (式6)
同时,业务系统的风险值为所有资产中风险最高值。由于资产、脆弱性、威胁的取值范
围均为[1,5],因此采用相乘法计算风险值的取值范围为[0,125](取 0 时威胁与脆弱性不关
联),为实现对风险域的整体评估,也需对业务系统域风险值进行百分制统一。
整体域的综合量化 185
整体域综合量化评估方法,是采用风险域划分法,按照各级权重计算商业银行信息科技
风险评估量化结果,并最终确定风险等级。其流程划分为权重赋值、多级子域加权、整体域
综合评分和整体域等级评判四个部分。
多级子域加权
商业银行风险域的不同子域应采取权重赋值的方法,以此区分子域对综合风险影响程度190
的大小。子域的权重赋值应该采集多方意见进行权重赋值,最后通过权重计算公式计算得出
各子域权重值。
在进行专家权重赋值以后,将通过符合性量法和资产赋值量化法获得的风险值与权重结
合计算,用于评判上级子域的综合风险。假设某 n-1 级子域有 m 个下级 n 级子域,则评估
某 n-1 级子域的风险值,等于其所有风险 n 级子域的风险值乘以权重之和,即子域加权计算195
公式为:
m
(n 1) (n i) (n i)
i 1
R R * P− − −
=
= ∑ (式7)
公式中各变量含义如下:
(1) n iP − -指 n 级子域中第 i 个子域的权重值,由权重赋值法计算得出,取值范围 [ ]0 1∈ ,;
(2) n iR − -指 n 级子域中第 i 个子域的风险值,取值范围 [ ]0 100∈ , ; 200
- 7 -
中国科技论文在线
(3) n 1R − -指该 n-1 级子域的综合风险值,由其下级 n-1 级风险子域的风险值加权计算
得出,取值范围 [ ]0 100∈ , 。
综合评分与等级评判
假设本评估模型最终评估得出管理域、业务流程域和业务系统域的风险值分别为 1R 、
2R 、 3R ;权重为 1P 、 2P 、 3P ,则评测银行的信息科技整体域风险为 R: 205
3
i i
i 1
R R *P
=
= ∑ (式8)
其中评估的风险值采用百分制,即满足条件 [ ]iR 0,100∈ , 3 i
1
P 1
=
=∑
i
, [ ]R 0,100∈ 。
计算出整体域风险的风险值后,需要进行等级评判。等级评判是对整体的银行信息科技
风险给出最终的风险评价。本模型参考等级保护划分标准,将风险评价划分为五个等级,依
据前述的各级子域及整体域计算公式计算得出整体域的风险评分,形成风险评分与风险等级210
的对应关系,并就不同风险等级作出具体描述,以此作为商业银行信息科技风险评估结果,
为描述和量化其面临的风险提供评判依据和参考。
风险等级评判表如表 3-所示,将风险等级分为五个等级,分别对应不同的风险评分取
值范围,风险评分越高则风险等级越高,商业银行信息科技面临的风险则越大,反之越小。
215
表 3 风险等级评判表
Tab. 3 Table of Risk Level Judgment
风险等
级
风险评
分 风险等级描述
1(很低) 0-20 信息科技面临很低的风险,风险一旦发生,基本不对该商业银行造成损害,对其管理或运营基本没有影响。
2(低) 20-40 信息科技面临低风险,风险一旦发生,对该商业银行造成轻微损害,对其管理或运营产生轻微影响。
3(中) 40-60 信息科技面临一般程度的风险,风险一旦发生,会对该商业银行造成一定的损害,造成一定的经济或社会影响,但影响面和影响程度不大。
4(高) 60-80 信息科技面临高风险,风险一旦发生,会对该商业银行造成严重的损害,造成严重的经济或社会影响。
5(很高) 80-100 信息科技面临很高的风险,风险一旦发生,会对该商业银行造成无法弥补的损害,造成非常严重的经济或社会影响。
4 实践分析
本文对某商业银行进行信息科技风险评估实践,用以对本文提出的模型与方法进行实例220
验证。实例中管理域、业务流程域、业务系统域的风险值分别为 55、53、65。通过采集多
方意见对此三个风险域进行权重赋值,并最终加权得到的风险评估结果如下表 4 所示。
225
230
235
- 8 -
中国科技论文在线
表 4 信息科技风险评估结果
Tab. 4 Risk Assessment Results of Information Technology
风险域 风险值
编
号
风险一级
子域
加权
值
权
重
风险
值 风险二级子域
加权
值
权
重
风险
值
信息科技治理 5 50
信息科技风险管理 5 50
信息安全 68
信息系统开发、测
试和维护 65
信息科技运行 65
业务连续性管理 58
外包 5 50
内部审计 5 50
M 管理域 11 55
外部审计 5 50
电子银行 22 55
银行卡系统 15 50 P 业务流程域 53 其他重要应用系统
处理流程 52
银行卡系统 64
信贷管理系统 64
综合业务系统 64
中间业务和大前置
系统 64
网上银行系统 16 80
信息科技
风险 60
S 业务系统域 65
电话银行系统 51
各风险域的风险值比例图见下图 3 所示。
240
图 3 风险域的风险比例图
Fig. 3 Scale Drawing of Risks in Risk Domain
其中,管理域中信息安全、信息系统开发、测试和维护、信息科技运行和业务连续性管
理的风险值占比较高,分别占 14%、15%、15%和 12%。在系统开发、测试和维护方面,应245
加强对应用系统开发项目的验收工作,项目验收包括功能验收和应用程序安全性、稳定性和
性能方面的测试;在信息科技运行方面,应加强主机系统、数据库、中间件的口令策略、日
志审核策略、安全配置的管理;限制对设备的远程维护。
业务流程域在银行信息科技风险中风险值占比最低,其中电子银行和其他重要应用系统
处理流程的风险占比较高,分别为 42%和 30%。在电子银行方面,银行应对第三方认证机250
构进行定期评估;强化机制,搜索、监测和处理假冒或有意设置类似于金融机构的电话、网
站、短信号码等信息骗取客户资料的活动;在其他重要应用系统处理流程方面,应定期检查
ATM 机监控录像时间;柜员管理严密性需要加强,对柜员的创建、变更、交接、删除等各
个方面需进行有效管理;加强银行自身的数字证书管理,在紧急情况下必须具备销毁数字证
书的措施。 255
业务系统域中风险占比最高的两个系统分别为网上银行系统 24%、综合业务系统 19%。
高风险点主要出现在服务器方面,访问控制上应加强账号口令配置,及时删除空闲的用户组,
- 9 -
中国科技论文在线
配置相关登陆策略,阻止 root 用户远程直接登录,严格禁止远程交互命令,对系统资源进
行限制等;网络服务方面,不应启动过多守护进程和开启 telnet、ftp 等 shell 服务。日志审
计方面,系统应启用审计功能和 syslog 日志服务;安全性增强方面,应加强对系统 Banner260
信息的管理,剔除版本信息,换成警告信息,同时加强对系统网络协议栈的调整,增强对拒
绝攻击,ARP,半开式连接攻击等网络攻击的抵抗能力。
由风险等级评判表可得,X 银行信息科技风险值为 60,风险等级为三级,程度中,X
银行信息科技面临一般程度的风险,风险一旦发生,会对该商业银行造成一定的损害,造成
一定的经济或社会影响,但影响面和影响程度不大。风险评估结果显示,该商业银行信息科265
技风险管理域、业务流程域和业务系统域的风险值占比分别为 18%、27%、55%,表明该行
对风险管理和业务流程关键可控点的管理都相对规范,风险较大的是业务系统中资产的技术
风险,需要加强安全措施和监管防范。
5 结论
本文构建了商业银行信息科技风险评估模型,将风险划分为管理域、业务流程域和业务270
系统域,按照评估内容的不同分别采取符合性量化法和资产赋值法进行赋值量化,最终进行
整体域的风险加权量化。实践结果表明,此模型和方法在商业银行信息科技风险评估领域具
有可行性,较全面地反映了其安全状况,通过对不同风险进行的分类识别和统一量化,有利
于更精确地定位商业银行的信息科技风险,提高风险处置效率。
275
[参考文献] (References)
[1] 唐磊. 商业银行信息科技风险现状与管理策略分析[J]. 中国金融电脑 ,2009,(02):49-52.
[2] 任莉. 我国银行信息化风险及防范对策研究[J]. 经济论坛,2009,(12):94-97.
[3] 杨涛. 商业银行信息科技风险量化与管理研究[J]. 信息安全与技术,2010,(6):66-70.
[4] 周雪松. 商业银行应如何防范信息科技风险的思考[J]. 现代商业,2008,(36):28-29. 280
[5] 胡海华,崔维琪. 银行业信息技术风险的监管[J]. 银行家,2008,(04):86-87.
[6] 张海利,王振华. 商业银行信息科技风险分析及对策[J]. 中国金融电脑,2011,(9):40-42.
[7] 宋春燕. 一级分行信息科技风险点分析及防范策略[J]. 中国金融电脑 ,2009,(11):50-52.
[8] 毛南,姚沛年,曹玉磊等. 商业银行信息科技风险评估研究与实施[J]. 信息安全与通信保密,2012,(5):
66-71. 285
[9] 段艳,张锴. 村镇银行信息科技风险评估方法探析--基于模糊层次分析模型[J]. 金融理论与实践,2013,
(1):107-109.
[10] 何茂春. 商业银行信息科技风险的量化计量研究[J]. 金融论坛,2009,(2):42-48.
[11] 杨涛. 我国商业银行信息资产风险评估研究及应用[J]. 西部金融,2010,(7):19-20.
290
