論電子商務(wù)風(fēng)險管理及改進(jìn)建議

1、論電子商務(wù)風(fēng)險管理及改進(jìn)建議電子商務(wù)安全風(fēng)險管理策略成為理論與實(shí)踐中必須重視的 課題。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風(fēng)險策略的薄弱點(diǎn)，隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷發(fā)展，商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等，而電子商務(wù)的出 現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破 壞程度。2009年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大， 仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2010年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告 65679件，超過2010年全年案件數(shù)，商業(yè) 銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實(shí)踐中必須重視 的課題。一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)（一）以事件驅(qū)動

2、的初級階段時期19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與 計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段，由事 件驅(qū)動，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技 術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許 多組織對信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后 糾正式的管理方式。（二）標(biāo)準(zhǔn)化時期企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安 全管理策略，其中包括了安全管理的技術(shù)手段和管理制度（或稱運(yùn)作管理）。幾乎所有從事電子商務(wù)的企業(yè)都擁

3、有自己的安全策 略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等， 基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一， 但是安全風(fēng)險分析 還存在不足之處。（三）安全風(fēng)險管理策略時期隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次，安全管理策略也演進(jìn)到安全風(fēng)險管理階段。主要特點(diǎn)如下：1. 安全風(fēng)險管理成為主流趨勢；在安全管理策略的演進(jìn)過程中，技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險管理的分析、防范 策略，從而安全管理進(jìn)入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。2. 安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的電子銀行業(yè)務(wù)風(fēng)險管理

4、原則、英國標(biāo)準(zhǔn)協(xié)會制訂的 BS7799 等。各國也日益重視安全風(fēng)險管理，制定了許多規(guī)范。例如美國 貨幣監(jiān)理署（OCC）的電子銀行最終規(guī)則、香港金融管理局的電 子銀行服務(wù)的安全風(fēng)險管理 等。中國銀行業(yè)監(jiān)督管理委員也于 2006年頒布了電子銀行業(yè)務(wù)管理辦法，對國內(nèi)企業(yè)的電子商 務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。3. 利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險， 在相當(dāng)程度 上取決于采用的信息技術(shù)的先進(jìn)程度，系統(tǒng)的設(shè)計(jì)開發(fā)水平，以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等；銀行依靠傳統(tǒng)的風(fēng)險管理 機(jī)制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣，監(jiān)管機(jī)構(gòu) 也難以完全

5、依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價 和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對 電子銀行安全性進(jìn)行評估的辦法， 加強(qiáng)對電子銀行安全性和技術(shù) 風(fēng)險的管理和監(jiān)管。4. 在許多國家信息系統(tǒng)審計(jì)作為一種信息技術(shù)服務(wù)被廣泛 提供，許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險 工作，從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險，充分衡量保持安全的代價 和收益之間的關(guān)系，尋求用最小的代價實(shí)現(xiàn)最大的效用， 在風(fēng)險 分析中也形成一套較為成熟的模式。二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點(diǎn)（一）系統(tǒng)管理思想缺乏目前的電子商務(wù)安全風(fēng)險管理策

6、略， 在全局上缺乏系統(tǒng)論理 論的指導(dǎo)，在實(shí)際操作中受到多種多樣的安全攻擊時會不可避免 地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網(wǎng)絡(luò)。實(shí)踐中被采用的安全風(fēng)險管理策略， 以及作為指導(dǎo)意見的規(guī) 則規(guī)范，如信息安全管理實(shí)務(wù)準(zhǔn)則、信息技術(shù)安全性評估準(zhǔn) 則，盡管提出了比較全面的安全風(fēng)險管理方案，層次上也比較 清晰，但是還不足以作為一個風(fēng)險防范系統(tǒng)。實(shí)踐中，電子商務(wù) 組織是一個復(fù)雜的系統(tǒng)組織，電子商務(wù)的安全風(fēng)險管理體系和過 程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng) 險管理中是不可或缺的。（二）風(fēng)險分析的模型與方法不成熟，定量分析不足電子商務(wù)模式自身的發(fā)展歷史也不過 20幾年，在風(fēng)險分析 的

7、定量技術(shù)上并不成熟；如 BS7799中推薦的電子商務(wù)安全風(fēng)險 管理中實(shí)施風(fēng)險評估時，往往將威脅發(fā)生的可能性定性劃分為幾 個級別，將威脅所造成的影響也定性劃分為15級，實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別，在操作上易行，但造成了度量的不精確。在進(jìn)行監(jiān)控和審計(jì)之后，也存在 無法量化、對比的問題。（三）忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合本質(zhì)上，電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng) 的風(fēng)險的改變，以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的 新風(fēng)險；現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題，站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理

8、的研究無法立足于一個比較高的 層次；忽略了風(fēng)險的整體性，只進(jìn)行偏信息和技術(shù)的研究，導(dǎo)致 了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè) 務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務(wù)的 風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制，兩個方面存在脫節(jié)，同樣 屬于商業(yè)銀行的風(fēng)險，存在著不同的管理策略，導(dǎo)致多頭管理、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮，乃至缺位管理。（四）風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè) 在發(fā)達(dá)國家，信息系統(tǒng)審計(jì)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定

9、期對電子銀行的安全性進(jìn)行 評估的辦法，提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。 而國內(nèi)初步建立了國家信息安全組織保障體系，制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、 法律法規(guī)，風(fēng)險評估工作得到了一 定重視，但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很 大差距。（五）風(fēng)險轉(zhuǎn)自管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門；但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然 存在較大差距，風(fēng)險控制實(shí)質(zhì)上仍然分散在各個子部門；風(fēng)險的評估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門；風(fēng)險管理部門、內(nèi)審稽核部門實(shí)質(zhì)上無法控制電子商務(wù)安全風(fēng)險。

10、例如，風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報(bào)告，表面上履行的內(nèi)控審核的流程，但審核作用有限，無法完成電子商務(wù)安 全風(fēng)險管理中的監(jiān)控與審計(jì)環(huán)節(jié)。三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議（一）基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理 策略框架利用系統(tǒng)理論作為總體的指導(dǎo)思想，將電子商務(wù)安全風(fēng)險管 理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)。 將商業(yè)銀行電子商務(wù)安 全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中，經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實(shí)施控制降低風(fēng)險的措施、將風(fēng) 險控制在可接受的范圍內(nèi)， 然后進(jìn)行監(jiān)控和審計(jì)；尤其重要的是 把監(jiān)控和審計(jì)所得到的

11、內(nèi)容作為新一輪風(fēng)險分析輸入，從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個 步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)，安全風(fēng)險管理的有效 性就上一個臺階，商業(yè)銀行的安全管理水平變得到了提高。（二）電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法 來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排 序的方法。實(shí)踐中，商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安 全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險 的內(nèi)部計(jì)量法中規(guī)定，商業(yè)銀行內(nèi)部估計(jì)風(fēng)險敞口指標(biāo)、 損失事 件發(fā)生的概率、風(fēng)險損失，巴塞爾委員會制定資本要求的轉(zhuǎn)換系 數(shù)；在

12、度量損失的分布時，主要利用統(tǒng)計(jì)和精算技術(shù)。商業(yè)銀行 應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來，利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。(三) 將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險 管理范疇將商業(yè)銀行所面臨的全部風(fēng)險放在一個框架中考慮。傳統(tǒng)風(fēng)險管理以及電子商務(wù)安全風(fēng)險管理都是風(fēng)險管理系統(tǒng)中子系統(tǒng)， 二者相互聯(lián)系、相互影響，不可分割。嘗試借鑒信用風(fēng)險與操作 風(fēng)險度量的方法與思想，短期內(nèi)將其與信用風(fēng)險控制銜接，最終形成一個全面的商業(yè)銀行安全風(fēng)險管理框架。(四) 商業(yè)銀行要積極促進(jìn)電子商務(wù)安全風(fēng)險管理策略的改 進(jìn)(1) 、充分利用國內(nèi)或國外能夠獲得的信息系統(tǒng)審計(jì)、

13、外部信息安全評估等服務(wù)，采取定期評估審計(jì)、不斷采取措施改善風(fēng) 險狀態(tài)的策略；(2) 、在目前商業(yè)銀行的組織與管理體制下，風(fēng)險控制部門 與傳統(tǒng)金融業(yè)務(wù)部門的流程需不斷改善，商業(yè)銀行必須創(chuàng)造條件，加強(qiáng)風(fēng)險管理部門與電子商務(wù)部門的交叉配合，包括各部門人員的配臵、培訓(xùn)等各方面；使風(fēng)險管理部門能夠履行安全風(fēng)險 管理的監(jiān)控與審計(jì)職能；(3) 、商業(yè)銀行必須重視對傳統(tǒng)金融風(fēng)險與電子商務(wù)安全風(fēng)險的統(tǒng)一度量問題的研究，不斷提高風(fēng)險管理部門綜合控制風(fēng)險 的能力，充分考慮電子商務(wù)安全風(fēng)險與信用風(fēng)險、操作風(fēng)險的交叉問題，為實(shí)現(xiàn)全面風(fēng)險管理奠定基礎(chǔ)。 依賴外部的信息安全管理行業(yè)在發(fā)達(dá)國家，信息系統(tǒng)審計(jì)作為一種信息技術(shù)服

14、務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作。 商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn) 行評估的辦法，提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān) 管。而國內(nèi)初步建立了國家信息安全組織保障體系，制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、 法律法規(guī)，風(fēng)險評估工作得到 了一定重視，但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍 有很大差距。（五）風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門；但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然 存在較大差距，風(fēng)險控制實(shí)質(zhì)上仍然分散在各個子部門；風(fēng)險的評估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門；風(fēng)險管理部門、內(nèi)審稽核部門實(shí)質(zhì)上無法控制電子商務(wù)安全風(fēng)險。 例如，風(fēng)險管理部門接受了電子交易部的