信息安全地图的探索：基于广州银行信用卡中心的实践_北京转创国际管理咨询有限公司广东分公司

来源：岭南金融研究院作者：刘敏段刚强缪恺 2022-3-14 10:59

摘要：金融行业作为中国经济发展的重要组成部分，属于监管部门的重点关注对象。信用卡业务作为银行零售业务之一，涉及大量的的客户信息和业务敏感数据，是信息安全重点监管领域。为提升信息安全管理，广州银行信用卡中心于2016年通过了ISO27001信息安全管理体系认证，并基于该体系推进信息安全建设和风险管理工作。但在信用卡业务全生命周期中，信息数据涉及作业系统多、使用节点多及对外信息联动多，场景相对复杂且具备一定的人员操作风险，相对其他金融业务信息安全管理难度更大。传统的信息安全管理模式并不能完全适用于信用卡业务场景，因此需要探索更适合信用卡业务的信息安全风险管理机制。

一、银行业信息安全管理发展及现状

（一）金融行业信息安全管理的发展

金融行业信息安全工作发展至今，大体经历了三个阶段：第一阶段以监管要求作为主要的基础和目标，如围绕《商业银行信息科技风险管理指引》来构建安全组织架构，形成安全管理制度和流程，建立安全检查、风险评估和整改机制；第二阶段为进行安全设备的布放和应用，如防病毒、“IPS/IDS”“WAF”“DLP”等安全设备，并利用安全设备进行安全防御与监测；第三阶段随着安全态势感知、大数据分析、人工智能等技术的兴起，以数据监控进行风险预测和管理的方式成为主流，这一阶段强调管理与技术并重，预测与预防并行，给信息安全管理带来了新的理念，同时也带来了新的挑战。

（二）外部环境给信息安全管理带来的挑战

2017年以来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规陆续出台，在信息安全管理与技术方面对企业提出了更多要求。银保监会和人民银行也紧跟步伐，加强了对金融行业信息安全的监管，2021年银保监会对银行业共计开出信息安全相关罚单28张，合计罚款约230万元。在国家机关、银行业监管机构等多方关注下，金融行业面临着信息安全合规与舆情风险的巨大挑战，时刻考验着金融行业的信息安全管理能力。

（三）信息安全与业务的关系

随着金融行业信息安全建设的发展，业务往往会受到来自信息安全的“阻碍”，这些“阻碍”多数体现在流程设计方面：业务部门要考虑客户体验和业务便利性，业务处理步骤、风险控制措施越简单越好；而信息安全管控可能会使流程变得更复杂，客户操作不那么便利，不但增加了业务工作量，也影响了客户的体验。但是，金融企业的商业价值是为客户提供金融服务，业务永远是其根本和主业，信息安全的价值在于为企业提供安全的业务环境，最终服务好客户，从这方面来讲信息安全与业务目标是一致的。想实现业务与信息安全的共赢，首要做的就是双方改变心态，朝着一个目标方向努力，争取最大公约数，取得风险与效益的平衡。

二、信息安全风险管理的痛点及挑战

（一）信用卡业务信息使用场景复杂

信用卡业务作为零售型业务，涉及的客户信息和业务敏感数据极多。业务全生命周期从贷前、贷中到贷后管理，信息涉及作业系统多且信息流转周期长，各业务环节均可能涉及人工操作且需要访问批量客户数据，人员操作风险也相对较高，如：信贷人员授信时需要访问客户全量申请信息和征信报告；客户经营环节可能对客户金融产品使用和行为信息进行整合和分析；客服坐席受理客户需求时需要访问客户身份信息和交易记录等。

随着业务和科技的发展,信息安全风险的种类也变得越来越复杂,信息安全风险识别和评估是对其进行管理的首要工作。传统的信息安全风险评估是基于识别信息资产，并对资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。由于企业性质和信息资产的侧重不同，进行标准的信息资产价值识别有一定困难；同时，威胁的手段多变，资产、弱点和威胁不是简单的一一对应的关系。回归信用卡业务纷繁复杂的业务实际，该风险评估方式对实际业务场景和流程中信息安全风险识别相对有限，无法精准有效的帮助业务部门识别业务场景和流程中实质的信息安全风险。

（二）一、二道防线联动及业务部门参与度不足

在2021年前，广州银行信用卡中心主要以信息资产为维度开展信息安全资产识别与风险评估、渗透测试、安全扫描、风险监测度量等风险管理和IT技术防护的工作。这些工作往往由二道防线的信息安全专业人员负责统筹执行，一道防线业务部门未参与或少部分兼职人员参与辅助性工作。由于业务部门和人员整体参与度不高，一是会让业务部门误解信息安全仅是信息安全管理部门的工作，并不需要自己重视和深度参与，导致业务部门作为一道防线缺乏主观能动性；二是业务部门对信息安全与业务场景、流程的关联性感知较弱，容易对信息安全工作的有效性产生质疑，认为一旦发生问题都是信息安全管理部门的原因，使信息安全管理部门陷入做得多、效果差、收获少的恶性循环中，不利于信息安全建设的良性发展。

另外，人作为信息安全最重要的风险因素之一，也是信息安全中最薄弱的环节。因为即使拥有最严格的防护和最先进的设备，但员工没有察觉到或者根本不在意他们也是风险因素时，这种风险最为致命。如果业务部门参与度不足，对业务场景和流程中的信息安全风险及参与人员的管控薄弱，则无法实现信息安全管理和业务、人员管理的有机结合和有效联动。

三、基于业务流程的信息安全风险地图探索与实践

金融机构是基于业务而存在的，重要的信息资源都存在于业务当中。从业务实现和信息使用综合的角度看，业务流程的实现也是信息资产运用和处理的过程。为了补偿传统信息安全风险评估的业务视角的不足，广州银行信用卡中心探索尝试了基于业务流程的信息安全风险识别与管理模式：信息安全风险地图。信息安全风险地图是从业务场景和流程角度出发的一种风险评估方法的尝试，以实现信息安全风险“识别-评估-应对”的风险控制机制，以及“设计-执行-评价-改进”的持续改进机制。

在实际推进时，由二道防线信息安全管理部门基于操作风险与控制自我评估（RCSA）框架及信用卡业务特性，制定“信息安全风险地图梳理表”，通过工具表指引业务场景梳理、风险及控制识别、风险处置与优化改进的推进（详见下图）。在实践中，根据信用卡业务特性和部门职能设定，以作业模式和流程相对统一规范的呼叫类部门为试点切入，信息安全管理部门通过传帮带的方式，一、二道防线联动共同开展业务流程的梳理和风险识别。2021年度，信息安全风险地图共在13个业务部门进行了实践，覆盖了81个业务场景流程，共识别了192个风险点，并对相关风险制定了117项处置措施和优化方案。

（一）业务场景和流程的风险识别

以业务部门为主导，按业务分类梳理本部门各业务场景、流程，并将业务流程分解成一个个的独立且关联的业务处理环节，分别识别该流程处理环节中涉及的信息内容、信息的级别、信息处理行为（产生、加工、存储和传送等）。然后，将流程中的信息处理环节作为一个实体或类同于信息资产，由业务部门、IT部门和信息安全管理部门协同，对该流程环节所面临的威胁（人员威胁、系统威胁和环境威胁等）和存在弱点（管理性弱点、技术性弱点和操作性弱点等）进行识别，并同时识别已采取的安全控制措施（管理性措施、技术性措施和操作性措施等），分析安全措施的效力，确定威胁利用弱点的可能性，评估措施的适用性与有效性（详见下图）。

构成风险的要素有四个：资产、威胁、弱点和安全措施，在识别了这四个要素之后，存在的风险就可以显现了。综合考虑监管红线、信息安全和业务部门对风险的容忍度，对于不可接受的信息安全风险，且管控措施缺失或其适用性和有效性不足的，则记入风险处置清单，列入下一步的处置计划中。

（二）风险处置和持续改进

风险的管理，是指以可接受的成本，降低或消除信息安全风险的过程，风险处置的方式包括降低风险、规避风险、转嫁风险和接受风险。对于待处置的信息安全风险，在信息安全风险地图实践中，会结合广州银行信用卡中心业务的目标、业务流程的可操作性、所需的资源和技术能力，从管理和技术方面综合考虑处置方案（详见下图）。主要通过降低风险：采取有效控制将风险降低到可接受的程度，实际上就是减小流程环节信息面临的威胁、弱点及降低风险带来的影响；以及规避风险：通过放弃某些可能带来风险的流程操作和调整业务流程实现的方式，来规避原流程环节的风险。

管理控制分几个方面，一是进行制度和流程优化，包括新建、优化管理制度，明确信息处理的相关管理要求，或者通过优化现有的业务流程，减少信息的使用或减少流程环节等，规避原业务场景中的风险；二是提炼作业流程中的信息安全SOP或禁止性行为要点等，通过开展信息安全意识及人员能力建设，提高员工整体的信息安全水平与意识，自发减少含有信息安全风险的操作，从而降低信息安全风险的发生概率；三是结合信息安全多级检查机制，将关键流程环节纳入业务部门信息安全自查，通过事后管控检验管理措施执行有效性和发现信息安全事件，通过溯源和根因分析发现问题并持续改进，并对关联人员进行相应教育和处罚，提高人员对信息安全的重视。

技术控制主要是以技控代替人控的思维，利用系统化、自动化手段减少人工操作行为，从而降低风险发生的概率和风险发生带来的影响。如：对于已系统化进行业务处理和控制的流程环节，对应用系统数据处理功能的管控与优化，如敏感信息页面脱敏、报表下载功能限制、批量数据访问权限收缩等，减少信息获取的风险敞口；对于人工操作进行信息处理的业务流程环节，则通过系统实现信息处理或将人工线下进行信息处理的操作改为人工通过系统进行信息处理，最大限度降低人员对信息的访问和人工的操作风险。以保险代销业务为例，在流程梳理和风控识别时，发现电销数据生成、编辑和导入系统环节人工操作环节多，流程复杂且存在人员操作风险。通过业务部门与信息安全管理部门共同开展优化方向与可行性分析，确定通过系统功能优化，从SAS直接按规则生成数据供给电销系统，并在系统上增加派数调整功能，代替繁琐的人工操作，降低信息泄露的风险（详见下图）。

（三）共性问题的信息安全技术建设

针对风险地图梳理过程中发现的共性问题，则考虑通过从整体层面思考技术解决方案，降低信用卡业务场景中共有的信息安全风险。如：针对终端安全的管控，通过终端安全管理方案，如绿盾、DLP等终端管理软件进行防控；针对第三方数据交互场景，参考同业优秀实践，实现了30个业务场景的去人工化解决方案，并已规划搭建数据交互平台，以适用于不同场景的数据交互需求；针对开发安全，则可以考虑建立应用安全管理流程,如SDL、DevSecOps等，在应用设计阶段与开发阶段，信息安全提早介入，使信息安全环节前移，更早的发现业务开发时存在信息安全风险，减少后期系统整改的成本。

（四）信息安全风险指标监测建设

鉴于当前利用数据监控进行风险预测和管理的方式逐渐成为主流，信息安全风险也在尝试进行指标监测。目前，广州银行信用卡中心已经初步建立信息安全度量指标，涵盖计算机终端、用户权限管控和数据安全等方面，重点对USB端口使用、SAS账号和摆渡账号的活跃度、数据外发等进行监测和质检，以发现风险趋势并进行响应和处置。如：通过监测并分析业务必要性，USB端口数量减少了约60%。针对信息安全地图中的重要信息处理流程环节，也可确定关键风险点，拟定信息安全风险监控指标，建立有效的监测数据获取、分析机制，逐步搭建覆盖信用卡业务全生命周期的监测指标体系。最终通过信息安全运营的能力，推动风险识别、处置和动态管控改进的持续化进行，逐步提高企业信息安全管理能力。

四、总结与感悟

合规经营和规范发展是金融行业的“安身立命之本”，对信息安全风险的有效管控是提升金融机构合规性和合规内控文化建设的重要一环。同时，信息安全风险是随着业务的发展、环境的变化而持续变化的，信息安全风险管理也是持续不断、循环递进的一个过程。深入业务、扎根业务，切实帮助业务发现实质的信息安全风险并解决问题，实现业务与信息安全的共赢，才是信息安全管理的核心价值所在。我们还需要在这条道路上进行持续不断的探索与实践。

参考文献：

[1]聂君/李燕/何杨军.《企业安全建设指南：金融行业安全架构与技术实践》，机械工业出版社，2019年4月第1版

[2]韩明.《基于流程理论的商业银行价值管理研究》，中国金融出版社，2010年10月第1版

[3]张初础.《银行内部控制评价实务》，立信会计出版社，2012年8月第1版

作者简介

刘敏，广州银行信用卡中心副总经理，工商管理硕士，关注信用卡合规内控、流程运营、客户服务等领域。

段刚强，广州银行信用卡中心信息安全高级经理，港大ICB研究生，CIA、CISA、CISP，关注信息安全、隐私合规、内控与操作风险等领域。

缪恺，广州银行信用卡中心资深信息安全专员，CISP、CISP-DSG、ISO27001内审员，关注信息安全管理、安全合规建设等领域。