分析電子商務(wù)風(fēng)險(xiǎn)管理論文
前言:本站為你精心整理了分析電子商務(wù)風(fēng)險(xiǎn)管理論文范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢(xún)。
摘要:隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷發(fā)展,電子商務(wù)安全風(fēng)險(xiǎn)管理策略成為理論與實(shí)踐中必須重視的課題。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風(fēng)險(xiǎn)策略的薄弱點(diǎn),發(fā)展商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略,應(yīng)借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法改變電子商務(wù)安全管理對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序,用系統(tǒng)管理思想構(gòu)建商業(yè)銀行電子商務(wù)安全管理框架,并將商務(wù)安全風(fēng)險(xiǎn)納入風(fēng)險(xiǎn)管理范疇。
關(guān)鍵詞:商業(yè)銀行;電子商務(wù);風(fēng)險(xiǎn)管理
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、以及操作風(fēng)險(xiǎn)等,而電子商務(wù)的出現(xiàn)則加劇了上述各類(lèi)風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度。2004年以來(lái),我國(guó)面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件,超過(guò)2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題。
一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)
信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑。
(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端,安全問(wèn)題只涉及能訪問(wèn)終端的少數(shù)人。安全管理策略處于初級(jí)階段,由事件驅(qū)動(dòng),沒(méi)有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開(kāi)始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對(duì)信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。
(二)標(biāo)準(zhǔn)化時(shí)期
企業(yè)開(kāi)始將安全問(wèn)題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱(chēng)運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風(fēng)險(xiǎn)分析還存在不足之處。
(三)安全風(fēng)險(xiǎn)管理策略時(shí)期
隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次,安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下:
1.安全風(fēng)險(xiǎn)管理成為主流趨勢(shì);在安全管理策略的演進(jìn)過(guò)程中,技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險(xiǎn)管理的分析、防范策略,從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期。西方商業(yè)銀行已對(duì)安全風(fēng)險(xiǎn)管理形成共識(shí)。如安氏公司(is—One),認(rèn)為信息安全問(wèn)題最終將歸結(jié)為風(fēng)險(xiǎn)管理問(wèn)題,風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。
2.安全風(fēng)險(xiǎn)管理的國(guó)際標(biāo)準(zhǔn)和各國(guó)的規(guī)范逐漸形成并趨于完善。國(guó)際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等。各國(guó)也日益重視安全風(fēng)險(xiǎn)管理,制定了許多規(guī)范。例如美國(guó)貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等。中國(guó)銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對(duì)國(guó)內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見(jiàn)。
3.利用外部專(zhuān)業(yè)化機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的安全性評(píng)估已成為大部分國(guó)家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn),在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度,系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別、監(jiān)測(cè)、控制和管理相關(guān)風(fēng)險(xiǎn)。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對(duì)電子銀行的安全性進(jìn)行準(zhǔn)確評(píng)價(jià)和監(jiān)控。因此,大部分國(guó)家都采用了依靠外部專(zhuān)業(yè)化機(jī)構(gòu)定期對(duì)電子銀行安全性進(jìn)行評(píng)估的辦法,加強(qiáng)對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。
4.在許多國(guó)家信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢(xún)公司都提供類(lèi)似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專(zhuān)門(mén)從事電子商務(wù)的安全風(fēng)險(xiǎn)工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn),充分衡量保持安全的代價(jià)和收益之間的關(guān)系,尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用,在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式。
二、我國(guó)商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo),在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞,無(wú)法形成一張全面有序的安全網(wǎng)絡(luò)。
實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略,以及作為指導(dǎo)意見(jiàn)的規(guī)則規(guī)范,如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》,盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案,層次上也比較清晰,但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。實(shí)踐中,電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過(guò)程也是個(gè)復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的。
(二)風(fēng)險(xiǎn)分析的模型與方法不成熟,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過(guò)20幾年,在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí),往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級(jí)別,將威脅所造成的影響也定性劃分為1~5級(jí),實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級(jí)別,在操作上易行,但造成了度量的不精確。在進(jìn)行監(jiān)控和審計(jì)之后,也存在無(wú)法量化、對(duì)比的問(wèn)題。
(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合
本質(zhì)上,電子商務(wù)的安全風(fēng)險(xiǎn)無(wú)非是新興的商業(yè)模式對(duì)傳統(tǒng)的風(fēng)險(xiǎn)的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無(wú)法明晰的新風(fēng)險(xiǎn);現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問(wèn)題,站在金融領(lǐng)域本身來(lái)分析研究較少。這種狀況導(dǎo)致了對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無(wú)法立足于一個(gè)比較高的層次;忽略了風(fēng)險(xiǎn)的整體性,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距。對(duì)于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制,兩個(gè)方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險(xiǎn),存在著不同的管理策略,導(dǎo)致多頭管理、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮,乃至缺位管理。
(四)風(fēng)險(xiǎn)管理策略無(wú)法
依賴(lài)外部的信息安全管理行業(yè)
在發(fā)達(dá)國(guó)家,信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢(xún)公司都提供類(lèi)似的信息審計(jì)服務(wù)。IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專(zhuān)門(mén)從事電子商務(wù)的安全風(fēng)險(xiǎn)工作。商業(yè)銀行采用依靠外部專(zhuān)業(yè)化機(jī)構(gòu)定期對(duì)電子銀行的安全性進(jìn)行評(píng)估的辦法,提高對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。而國(guó)內(nèi)初步建立了國(guó)家信息安全組織保障體系,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī),風(fēng)險(xiǎn)評(píng)估工作得到了一定重視,但與發(fā)達(dá)國(guó)家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱
我國(guó)商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門(mén);但風(fēng)險(xiǎn)控制部門(mén)的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門(mén);風(fēng)險(xiǎn)的評(píng)估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門(mén);風(fēng)險(xiǎn)管理部門(mén)、內(nèi)審稽核部門(mén)實(shí)質(zhì)上無(wú)法控制電子商務(wù)安全風(fēng)險(xiǎn)。例如,風(fēng)險(xiǎn)管理部門(mén)接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無(wú)法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)。
三、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開(kāi)放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中,經(jīng)過(guò)信息安全的風(fēng)險(xiǎn)評(píng)估、資產(chǎn)識(shí)別和選擇、實(shí)施控制降低風(fēng)險(xiǎn)的措施、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),然后進(jìn)行監(jiān)控和審計(jì);尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入,從而開(kāi)始新一輪的風(fēng)險(xiǎn)管理過(guò)程。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)。每完成一個(gè)循環(huán),安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來(lái)改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序的方法。實(shí)踐中,商業(yè)銀行對(duì)操作風(fēng)險(xiǎn)的管理與對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處。巴塞爾委員會(huì)對(duì)商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定,商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險(xiǎn)損失,巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時(shí),主要利用統(tǒng)計(jì)和精算技術(shù)。商業(yè)銀行應(yīng)通過(guò)數(shù)據(jù)庫(kù)將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來(lái),利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試。
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)納入商業(yè)銀行總體風(fēng)險(xiǎn)管理范疇
將商業(yè)銀行所面臨的全部風(fēng)險(xiǎn)放在一個(gè)框架中考慮。傳統(tǒng)風(fēng)險(xiǎn)管理以及電子商務(wù)安全風(fēng)險(xiǎn)管理都是風(fēng)險(xiǎn)管理系統(tǒng)中子系統(tǒng),二者相互聯(lián)系、相互影響,不可分割。嘗試借鑒信用風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)度量的方法與思想,短期內(nèi)將其與信用風(fēng)險(xiǎn)控制銜接,最終形成一個(gè)全面的商業(yè)銀行安全風(fēng)險(xiǎn)管理框架。
(四)商業(yè)銀行要積極促進(jìn)電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)(1)充分利用國(guó)內(nèi)或國(guó)外能夠獲得的信息系統(tǒng)審計(jì)、外部信息安全評(píng)估等服務(wù),采取定期評(píng)估審計(jì)、不斷采取措施改善風(fēng)險(xiǎn)狀態(tài)的策略;(2)在目前商業(yè)銀行的組織與管理體制下,風(fēng)險(xiǎn)控制部門(mén)與傳統(tǒng)金融業(yè)務(wù)部門(mén)的流程需不斷改善,商業(yè)銀行必須創(chuàng)造條件,加強(qiáng)風(fēng)險(xiǎn)管理部門(mén)與電子商務(wù)部門(mén)的交叉配合,包括各部門(mén)人員的配置、培訓(xùn)等各方面;使風(fēng)險(xiǎn)管理部門(mén)能夠履行安全風(fēng)險(xiǎn)管理的監(jiān)控與審計(jì)職能;(3)商業(yè)銀行必須重視對(duì)傳統(tǒng)金融風(fēng)險(xiǎn)與電子商務(wù)安全風(fēng)險(xiǎn)的統(tǒng)一度量問(wèn)題的研究,不斷提高風(fēng)險(xiǎn)管理部門(mén)綜合控制風(fēng)險(xiǎn)的能力,充分考慮電子商務(wù)安全風(fēng)險(xiǎn)與信用風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)的交叉問(wèn)題,為實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理奠定基礎(chǔ)。依賴(lài)外部的信息安全管理行業(yè)在發(fā)達(dá)國(guó)家,信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢(xún)公司都提供類(lèi)似的信息審計(jì)服務(wù)。IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專(zhuān)門(mén)從事電子商務(wù)的安全風(fēng)險(xiǎn)工作。商業(yè)銀行采用依靠外部專(zhuān)業(yè)化機(jī)構(gòu)定期對(duì)電子銀行的安全性進(jìn)行評(píng)估的辦法,提高對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。而國(guó)內(nèi)初步建立了國(guó)家信息安全組織保障體系,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī),風(fēng)險(xiǎn)評(píng)估工作得到了一定重視,但與發(fā)達(dá)國(guó)家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱
我國(guó)商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門(mén);但風(fēng)險(xiǎn)控制部門(mén)的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門(mén);風(fēng)險(xiǎn)的評(píng)估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門(mén);風(fēng)險(xiǎn)管理部門(mén)、內(nèi)審稽核部門(mén)實(shí)質(zhì)上無(wú)法控制電子商務(wù)安全風(fēng)險(xiǎn)。例如,風(fēng)險(xiǎn)管理部門(mén)接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無(wú)法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)。
三、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開(kāi)放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中,經(jīng)過(guò)信息安全的風(fēng)險(xiǎn)評(píng)估、資產(chǎn)識(shí)別和選擇、實(shí)施控制降低風(fēng)險(xiǎn)的措施、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),然后進(jìn)行監(jiān)控和審計(jì);尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入,從而開(kāi)始新一輪的風(fēng)險(xiǎn)管理過(guò)程。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)。每完成一個(gè)循環(huán),安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來(lái)改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序的方法。實(shí)踐中,商業(yè)銀行對(duì)操作風(fēng)險(xiǎn)的管理與對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處。巴塞爾委員會(huì)對(duì)商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定,商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險(xiǎn)損失,巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時(shí),主要利用統(tǒng)計(jì)和精算技術(shù)。商業(yè)銀行應(yīng)通過(guò)數(shù)據(jù)庫(kù)將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來(lái),利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試。
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)納入商業(yè)銀行總體風(fēng)險(xiǎn)管理范疇
將商業(yè)銀行所面臨的全部風(fēng)險(xiǎn)放在一個(gè)框架中考慮。傳統(tǒng)風(fēng)險(xiǎn)管理以及電子商務(wù)安全風(fēng)險(xiǎn)管理都是風(fēng)險(xiǎn)管理系統(tǒng)中子系統(tǒng),二者相互聯(lián)系、相互影響,不可分割。嘗試借鑒信用風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)度量的方法與思想,短期內(nèi)將其與信用風(fēng)險(xiǎn)控制銜接,最終形成一個(gè)全面的商業(yè)銀行安全風(fēng)險(xiǎn)管理框架。
(四)商業(yè)銀行要積極促進(jìn)電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)(1)充分利用國(guó)內(nèi)或國(guó)外能夠獲得的信息系統(tǒng)審計(jì)、外部信息安全評(píng)估等服務(wù),采取定期評(píng)估審計(jì)、不斷采取措施改善風(fēng)險(xiǎn)狀態(tài)的策略;(2)在目前商業(yè)銀行的組織與管理體制下,風(fēng)險(xiǎn)控制部門(mén)與傳統(tǒng)金融業(yè)務(wù)部門(mén)的流程需不斷改善,商業(yè)銀行必須創(chuàng)造條件,加強(qiáng)風(fēng)險(xiǎn)管理部門(mén)與電子商務(wù)部門(mén)的交叉配合,包括各部門(mén)人員的配置、培訓(xùn)等各方面;使風(fēng)險(xiǎn)管理部門(mén)能夠履行安全風(fēng)險(xiǎn)管理的監(jiān)控與審計(jì)職能;(3)商業(yè)銀行必須重視對(duì)傳統(tǒng)金融風(fēng)險(xiǎn)與電子商務(wù)安全風(fēng)險(xiǎn)的統(tǒng)一度量問(wèn)題的研究,不斷提高風(fēng)險(xiǎn)管理部門(mén)綜合控制風(fēng)險(xiǎn)的能力,充分考慮電子商務(wù)安全風(fēng)險(xiǎn)與信用風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)的交叉問(wèn)題,為實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理奠定基礎(chǔ)。超級(jí)秘書(shū)網(wǎng):
