信息科技风险监管的国际经验及启示

信息科技风险监管的国际经验及启示

编者按：2010年3月7日至13日，信息中心派员参加了新加坡金管局举办的第二期“信息技术监管专题研讨班”，期间参与了计算机犯罪、网银安全、支付卡安全和全球化的数据中心建设、管理及监管等方面的研讨，并提出了信息科技风险监管的国际经验及对我国的启示，现予编发，供参阅。

一、信息科技风险监管的经验

（一）新加坡金管局信息科技风险监管工作经验。新加坡金管局从2001年开始开展信息科技风险监管工作，经过不断实践、探索，在取得工作成绩的同时，也摸索出一套较为先进的监管做法。一是工作流程。其信息科技风险监管由现场检查和非现场监管构成。现场检查的工作方式有访谈、调阅资料、现场取证等，检查结束后金管局给金融机构检查意见书（类似于我会的事实确认书），金融机构要在3个星期内向金管局提交整改报告（已整改的问题、未整改问题的整改计划），金管局在现场检查结束后3个月内向金融机构发送现场检查报告，在下次现场检查时核查整改情况。金融机构按照新加坡金管局的要求填报调查问卷作为非现场监管的资料。二是监管理念。在要求“金融机构有效控制信息科技风险”监管理念指导下，检查人员由过去看金融机构计算机等设备上的参数配臵，转变为目前主要是看银行对信息科技风险的防范策略、流程控制等新的监管内容。三是处罚措施。罚款是处罚的一种方式，另一种处罚方式是提高存款准备金率。在对银行的监管工作中，信息科技风险的情况要纳入银行监管部门

对银行的总体风险评价和评级，与银行监管部门沟通后可提高存款准备金率，以提升银行信息科技风险管控的重视和能力。四是定期召集商业银行高管人员会议传达科技监管信息。研讨班期间，恰逢新加坡金管局每个季度举办1次的信息科技风险例会，参会人员有新加坡各金融机构CEO、CIO和信息科技管理人员。新加坡金管局利用此种形式，以各种监管数字、图表为基础，向被监管机构定期讲解银行卡风险事件、互联网安全等信息科技风险发展的最新形势，对金融机构进行技术辅导，警示风险，并介绍有关风险领域的解决方案。

（二）新加坡金管局的银行IT外包监管做法。新加坡金管局的信息科技风险监管规章制度没有直接涵盖对银行技术外包服务商（TSP-Technology Service Providers）的具体要求，但鉴于TSP对银行业信息科技风险的系统性影响，金管局在其《电子银行和技术风险管理指引》中的外包（Outsourcing）章节中对外包商的监管作了规定，核心思想是“银行使用技术外包商并没有产生责任的改变”，要求银行有能力识别、使用合格的技术外包商。

（三）银行数据安全问题成为重要的监管关注点。数据泄露保护（DLP-Data Loss Prevention）是研讨的主要内容之一。一是研讨了近年来国际上发生的一系列数据丢失并导致了客户资金被盗等恶性案件。如2009年8月德国某银行由于数据泄漏而导致了30万欧元的经济损失、2010年3月汇丰瑞士私人银行一个IT员工窃取了该行24000个账户信息。黑客窃取银行数据并

盗取资金，已经形成一条地下产业链，并成为一种主要的金融业计算机犯罪行为。二是研讨了终端安全和数据泄漏保护的解决方案，包括制订数据保护策略和流程；对银行信息根据保密性、重要性进行分级，并采取加强的保护措施；对文档进行加密保护；在网络出口采取措施，控制敏感信息从银行的流出等。

（四）支付卡和网上银行交易安全形势严峻。由于网上支付信息安全的形势严峻，银行卡交易安全、网上银行安全是这次会议的一个重要主题。VISA的统计数字显示，2009年三分之二的在线交易是银行卡账户，其中信用卡“无卡”交易欺诈趋势呈上升态势。无卡支付是指消费者通过商家网站、电话、电子邮件等形式，向商家提供有关信用卡信息（如提供信用卡号、有效期和CVV识别码等），商家向银行信用卡中心提交信息实现无卡刷卡支付。由于商家掌握了客户完成信用卡支付所需的各种身份认证信息，因而可以伪冒交易，风险极大，近年来我国也多次出现此类案件。

各国监管机构普遍对银行卡支付安全、网上支付安全、无卡交易欺诈等非常重视，并提出了许多可以借鉴的解决方案。首先，网上支付安全最重要的基础是客户端的安全。MAS认为，由于客户在线支付的各种技术手段不能自行选择、由银行指定和提供，因此客户端安全的责任在银行而非客户本身，银行有义务对客户进行安全教育，并提供更安全和便捷的技术工具去增强客户端的安全性。其次，加快推广银行卡的EMV（芯片卡）和动态认证的实施进程。相对于磁条卡，EMV有安全性高和不易伪造的特点，

MAS要求新加坡的银行去年起开展EMV迁移工作，至今年年底所有新加坡银行发放的银行卡（包括贷记和借记卡）都将同时支持EMV标准和磁条卡标准。在对芯片卡认证方式（包括静态数据认证（SDA）、动态数据认证（DDA）、混合数据认证（CDA））上，MAS要求银行发放动态和混合数据认证的芯片卡并逐步替代已有的静态数据认证芯片卡，以解决静态卡中可能存在的仿冒风险。此项监管措施的实施致使涉及银行卡的金融诈骗案件呈明显下降趋势。

…… 此处隐藏：1647字，全部文档内容请下载后查看。喜欢就下载吧 ……