銀行網路安全風控一案例 2020-02-11

 

      正如摩根大通董事長兼首席執行官傑米·戴蒙(Jamie Dimon)在該行《2018年年報》中就認識到的那樣,網路安全的威脅很可能是對美國金融體系的最大威脅(The threat of cyber security may very well be the biggest threat to the U.S. financial system)”。

   

     第一,對網路安全風險的高度重視。在摩根大通看來,網路安全風險是企業一個重要的、持續的、不斷發展的焦點。為此,摩根大通須投入大量資源保護並繼續提高整個集團所有電腦系統、軟體、網路和其他技術資產的安全性。其安全措施旨在防止未經授權的當事方試圖獲取機密資訊、破壞資料、破壞或降級服務、破壞系統或造成其他損害的網路安全攻擊。在過去數年裡,摩根大通為此作出大量投入,以增強其網路防禦能力,並加強與有關政府和執法機構及其他業務合作方聯繫,以便瞭解運營環境中的全方位網路安全風險,加強防禦,提高抵禦網路安全威脅的能力。與此同時,摩根大通積極參與與執法部門、政府官員、同行和行業團體有關網路安全風險的討論,並大力加強對員工和某些特定客戶群組的網路安全風險教育。

 

      第二,從三大源頭管控網路安全風險。除自身人員、網路、管道、軟體和系統等風險源頭外,摩根大通認為,與其開展業務或支持其業務活動的協力廠商(如供應商、交易所、清算所、中央保管機構和金融仲介機構)也可能是公司網路安全風險的來源。協力廠商網路安全事件,如系統故障或故障、協力廠商員工的不當行為或網路攻擊,可能影響他們向本集團交付產品或服務的能力,或導致本集團或集團客戶的資訊丟失或洩露。此外,客戶也可能是集團網路安全風險的來源,特別是當他們的活動和系統超出集團自身的安全和控制系統時。有鑑於此,摩根大通除持續強化自身網路安全風險源頭管控之外,還因此與某些供應商和客戶就網路安全風險和提高安全性的機會進行定期和持續的討論。以達到“幫他人幫自己”的效果。

       第三,把客戶隱私保護與網路安全風險管控有機地結合起來。摩根大通一直十分重視保護客戶隱私的重要性,並為此做了大量的工作,事實上,摩根大通一直努力開發新產品,以方便其客戶更容易理解摩根大通把他們的資料(在客戶允許的情況下)往哪裡發送,以及客戶可以如何更改或限制摩根大通對這些資料的處理。與此同時,摩根大通也把對客戶資料資訊保密作為自身整體網路安全風險管控的核心工作之一。

 

    第四,為網路安全風險管控持續作出巨額投資。摩根大通為了保護自身網路安全及其客戶資料與利用其服務的網路安全付出巨大努力和資源。據其年報所披露,摩根大通“每年在這些努力上花費近6億美元,並以某種方式安排了3000多名員工”從事這方面的工作。

 

     第五,建立和維持多層級全方位的網路風險管控體系和組織架構。為了保護自身基礎設施、資源和資訊的機密性、完整性和可用性,摩根大通制定了相應的網路安全計畫,以防止、檢測和應對網路攻擊。建立起了一套多層級全方位的網路風險管控體系和組織架構:

 

     一是在董事會層面,全球首席資訊官(The Global Chief Information Officer)、首席技術控制官(Chief Technology Control Officer)和首席資訊安全官(Chief Information Security Officer,簡稱CISO)至少每年向董事會審計委員會報告和更新一次網路安全風險管控的情況,當中的核心內容包括資訊安全計畫、建議的變更、網路安全政策和實踐(具體做法)、持續改進安全的努力,以及在重大網路安全事件方面的努力。此外,摩根大通會制定和持續更新其詳細的《網路安全事件應對計畫(Cybersecurity Incident Response Plan “IRP”),旨在使摩根大通能夠應對未遂的網路安全事件,與執法部門和其他政府機構協調此類應對措施,並通知受影響的相關客戶。在其他重點領域中,IRP旨在降低與網路安全事件相關的內幕交易風險,並包括這方面的各種升級點,包括圍繞相關事宜與合規部門和法律部門進行緊密的溝通。

 

      二是在集團的運營管理層面,網路安全和技術控制職能部門負責摩根大通整體資訊安全計畫的管理和監督。網路安全和技術控制組織(the Cybersecurity and Technology Control organization)與摩根大通的各業務線(Line of Business)合作,辨別與資訊安全風險相關問題,並支援摩根大通的資訊資源(包括應用程式)的技術保護計畫,基礎設施以及與摩根大通客戶相關的機密和個人資訊。網路安全和技術控制組織核心工作職責包括網路安全治理和控制、評估、保障和培訓、網路安全操作、業務管理人員和網路安全控制官員間的協調與溝通、用戶身份和訪問授權管理以及執行《資訊安全計畫(Information Security Program)》的彈性功能等。

 

    三是在具體日常管理執行操作層面,摩根大通的“全球網路安全和技術控制(The Global Cybersecurity and Technology Control)”治理結構的構建旨在識別、升級和化解資訊安全風險。這一結構利用關鍵的治理論壇來傳播資訊和監測技術等各項網路安全風險的工作,並在此基礎上建立和維持相應的議事機制。這些論壇在整個摩根大通集團的多個層次上建立,參與者包括來自各業務線和職能部門的代表。相關職能部門為這些論壇編制了包含關鍵技術風險概述和加強相關控制措施的報告,並由包括技術管理(technology management)、集團管理和運營管理委員會等各級管理層審查。論壇就資訊安全風險或其他相關事宜的議事結果最終要上報到集團控制委員會(The Firmwide Control Committee,簡稱FCC)作相關的決策。獨立風險管理(Independent Risk Management,簡稱IRM)提供對識別、評估、管理和減輕網路安全風險的活動的監督。作為網路安全治理論壇不可或缺的參與者,IRM積極監測和監督網路安全和技術控制職能。

 

     第六,建立和維持安全認知計畫(Security Awareness Program)。鑒於網路安全風險屬全面風險管理範疇,以及網路安全風險無處不在無處不有的特殊性,摩根大通特別注重通過常設的《網路安全認知計畫》持續和全面提升全行員工全員的網路安全風險防控意識。《網路安全認知計畫》的核心構成包括加強企業資訊技術風險和安全管理政策、標準和實踐的培訓,以及員工遵守這些政策的期望。《安全認知計畫》通過培訓讓員工瞭解如何識別潛在的網路安全風險並保護企業的資源和資訊。該培訓每年對全球所有員工都是強制性的,並輔以全企業範圍的測試計畫,包括季度網路釣魚測試(quarterly phishing tests)。此外,摩根大通的全球隱私計畫要求所有員工每年接受一次資料隱私認知培訓。這項以隱私為重點的培訓包括有關保密性和安全性的資訊,以及對未經授權訪問或使用資訊的回應等。

JP Management Development Ltd.
遠見管理發展有限公司
Tel:     +852-35116253 (Office) +852-69088682 (Mobile)
Email: jpmgthk8@outlook.com

© 2020 by JP Management Development Ltd.