李德波 谢宗晓

摘要：论文结合现有的标准/报告，初步探讨了金融信息系统技术风险管理的问题。这些报告主要包括：ISO/TR 13569：2005、ISO/IEC TR 27015：2012和新加坡金融管理局的《技术风险管理指引》。

关键词： 金融机构 金融信息系统 技术风险管理 信息安全

Financial Information System Technology Risk Management

Li Debo （ Inner Mongolia Information System Security Evaluation Center ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the technical risk management of financial information system based on the existing standards/reports. These reports mainly include： ISO/TR 13569： 2005， ISO/IEC TR 27015： 2012 and Technical Risk Management Guidelines.

Key words： financial institution， financial information system， technology risk management， information security

1 技術风险管理

“技术风险管理（TRM）”词汇，在信息安全情境中很少出现，因为在信息安全领域中，所有的风险都统称为“信息安全风险”。根据巴塞尔协议，银行所面临的风险分类为信用风险、市场风险和操作风险等，广义的信息系统风险一般会被归类进“操作风险”大类中。我们所讨论的“技术风险管理”援引自新加坡金融管理局（Monetary Authority of Singapore，MAS）在2013年发布的《技术风险管理指引》（Technology Risk Management Guidelines，TRMG）。

对于金融信息系统或者各类专门业务信息系统而言，单独讨论技术风险管理是有必要的，因为业务逻辑安全和业务信息安全等都区别于技术安全，例如，之前有诸多银行在ATM转账时，只验证账号，而不是账号与姓名同时验证，导致出现了诸多错误的转账。这就属于典型的业务逻辑设计问题，而不是一个技术问题。从成因讨论，这种设计带来的风险大多产生于需求分析阶段或流程设计阶段，在后续解决起来也比较困难。

但是，与工控系统信息安全和医疗系统信息安全等领域相比，金融系统安全可以参考的资料相对少得多。在本文中，我们介绍几个重要的标准/报告，主要包括：ISO/TR 13569：2005《金融服务 信息安全指南》、ISO/IEC TR 27015：2012《信息技术 安全技术 金融服务信息安全管理指南》和MAS TRMG。

2 ISO/TR 13569：2005

ISO/TR 13569：2005是由ISO/TC 68（金融服务）SC 2（安全管理与一般银行操作）发布，并且分别在1997年和1998年发布了第一版和第二版，2005年版是第三版。

ISO/TR 13569：2005适用于各种类型的金融机构，在规范性引用文件中列出了ISO/IEC 17799（后来的ISO/IEC 27002）和ISO/IEC 18028（后来的ISO/IEC 27032），在整体描述方面，极具金融行业特色，例如，考虑到金融行业的强监管，在开始的信息安全策略方面章节就专门强调法律法规符合性，并特别强调了公司治理、数据保护（隐私）和洗钱等内容，更重要的是，该标准自始至终都注意结合巴塞尔协议考虑金融信息安全。

ISO/TR 13569：2005共有14章，4个附录，其章节内容以及对应ISO/IEC 270021）及ISO/IEC 27001的异同[1-2]，如表1所示。

整体而言，ISO/TR 13569：2005中，从第9章到第14章的分类，是有一定的参考意义的，这个分类并没有与ISO/IEC 27002的控制域一一对应，而且还加了较为重要的“特定控制”，使得标准与业务流程结合紧密，本标准的优点，可能恰是ISO/IEC 27000标准族的标准所欠缺的。

3 SO/IEC TR 27015： 2012

ISO/IEC TR 27015：2012是ISO/IEC 27000成员标准，在2017年被废止，原因不是很明确，但可以确定的是该标准在业内应用较少，且存在几个明显的缺点：

1） 缺乏全面风险管理的视角，使得安全控制与业务流程相结合较为困难，导致部署流于形式，从某种程度上，ISO/IEC TR 27015：2012完全被写成了ISO/IEC 27001： 2005的加强版本；

2） 未能考虑金融领域的强监管特征，应用范围较广的标准，例如，ISO/IEC 27002：2013将此列入“符合性”，但是从ISO/TR 13569：2005来看，金融领域的标准必须考虑行业监管以及巴塞尔协议；

3） 没有充分考虑金融行业管理的特点，例如，MAS TRMG或ISO/TC 68发布的标准都无一例外地首先强调了“公司治理”。

补充一点说明，是否重视公司治理可能是由这些标准的制定者所导致的。因为ISO/IEC或者NIST发布的网络安全标准，一般都是出身于信息系统管理领域或者计算机相关学科的学者，这些学者对于“公司治理”普遍知之甚少。但是ISO/TC 68的人员则不同，他们一般来自金融企业，对财务等领域很熟悉，而公司治理在研究方法和研究问题上与该领域基本一致。

即便如此，ISO/IEC TR 27015： 2012对于业界也有一定的意义，例如，最新发布的ISO/IEC 27003： 2017整个架构与其非常类似，也就是说，对于通用的应用指南而言，这种形式还是适合的。

4 《技术风险管理指引》

我们之所以将MAS TRMG单独拿出来讨论，原因之一是ISO/TR 13569：2005发布比较早，后续又没有修订，在后续发布的标准/报告中最得ISO/TR 13569：2005精髓的，应该就是MAS TRMG了。

MAS TRMG发布于2013年，旨在指导金融机构建立风险管理原则及最佳实践标准，主要目标有：1）建立可靠稳健的风险管理框架；2）加强系统安全性、可靠性、弹性和可恢复性；3）应用强鉴别从而保护用户的数据、交易和系统。此外，正文中非常明确地指出MAS TRMG就是一个行业最佳实践。

MAS TRMG共有14章，6个附录，其章节内容以及对应ISO/TR 13569：2005和ISO/IEC 27001及ISO/IEC 27002的异同，如表2所示。

新加坡金融管理局的《技术风险管理指引》与ISO/IEC 27002的框架差异较大，但是更贴近金融行业的特点，应该是以后金融信息系统信息安全的发展趋势。

5 其他标准/报告

还有一个可以参考的标准，香港金融管理局的《电子银行服务安全风险管理》（Management of Security Risks in Electronic Banking Services），该标准发布于2000年7月，由于较早，导致渐渐失去时效性，本文中不再详细介绍。

最后需要指出的是，在本文中讨论的诸多概念参考了《香港货币银行用语汇编》。