站長資訊網(wǎng) 在中國,銀監(jiān)會在2009年出臺了《商業(yè)銀行信息科技風險管理指引》,對信息科技風險和信息科技風險管理的目標提出了具體的指導意見。
如此種種,信息科技在各個行業(yè),尤其是銀行業(yè),扮演著越來越重要的角色。銀行業(yè)由于其IT系統(tǒng)高度密集、信息化程度高且事關(guān)國計民生,因此可以預見,隨著銀行業(yè)電子化程度的提高,銀行信息科技面臨的風險還會越來越大。
因此,需要加強信息科技的風險管理。
風險管理是一個識別風險、評價風險、控制風險的過程,最終目標是將風險控制在可接受的水平。風險評估則是對風險發(fā)生的可能性及所造成的影響進行分析,是識別風險、評價風險的過程。因此,風險管理就是風險評估、風險控制的過程,而風險評估則是風險管理的基礎(chǔ)。
對于信息科技的風險管理來說,也需要以風險評估為基礎(chǔ)。可以說,信息科技風險評估正是信息科技風險識別、計量的過程,也因此受到了各銀行的重視。
風險評估分整體和專項兩種
實際上,風險評估應用范圍很廣。風險評估不僅是風險管理過程中重要的一環(huán),而且在安全規(guī)劃、業(yè)務(wù)連續(xù)性管理以及實施等級保護等多個方面都離不開風險評估。
從范圍來看,信息科技風險評估可以分為整體風險評估和專項風險評估。
整體風險評估是指對信息科技的各個方面,如治理、信息安全、信息系統(tǒng)開發(fā)、測試與維護、信息科技運行、外包、業(yè)務(wù)連續(xù)性管理等,進行全面的風險評估;專項風險評估則對信息科技的某一方面、某個系統(tǒng)或者為某個目的進行的評估。如銀監(jiān)會頒布的《電子銀行安全評估指引》所講的安全評估就是對電子銀行各系統(tǒng)的風險評估,常見的專項風險評估還經(jīng)常根據(jù)評估對象分為網(wǎng)絡(luò)評估、系統(tǒng)風險評估等。
整體風險評估側(cè)重于反映宏觀層面的風險,應該全面反映影響實現(xiàn)IT目標的風險,可使高級管理層把握信息科技的整體風險狀況,從而根據(jù)風險狀況,進行戰(zhàn)略決策,最終提升風險管理能力;專項風險評估則側(cè)重于反映微觀層面的風險,反映信息科技某一方面或者某個系統(tǒng)存在的風險,根據(jù)風險決定相應的風險的處置措施,降低相關(guān)系統(tǒng)面臨的風險。他們之間關(guān)系如下圖1所示:
圖1 整體和專項風險評估關(guān)系示意
風險評估可劃分為三個階段
風險是對實現(xiàn)目標有所影響的事件的發(fā)生的可能性。從概念可以看到,風險有影響及可能性兩個屬性,而影響是由資產(chǎn)的價值與資產(chǎn)存在的弱點決定的,可能性是由資產(chǎn)面臨的威脅及資產(chǎn)存在的弱點決定的。因此風險評估需要對資產(chǎn)、弱點及威脅進行綜合分析。
風險評估工作一般有以下幾個步驟:
步驟1:描述分析評估對象,確定其目標或者價值
步驟2:識別評估對象存在的弱點
步驟3:識別評估對象面臨的威脅
步驟4:通過分析弱點及威脅,確定事件發(fā)生的可能性
步驟5:通過分析資產(chǎn)及弱點分析事件如果發(fā)生所造成的影響
步驟6:通過已經(jīng)分析出的可能性和影響確定風險等級
步驟7:根據(jù)風險等級提出風險處置建議
這幾個步驟可劃分為風險識別、風險分析、風險定級三個階段,如下圖所示:
圖2 風險評估可劃分為三個階段
從這個過程可以看出,風險識別是風險評估的基礎(chǔ),只有完整地識別出被評估對象的風險才可能進行正確的風險分析、風險定級。風險識別是要對評估對象存在的弱點及面臨的威脅進行識別。由于評估對象面臨的威脅是客觀存在的,因此識別評估對象存在的弱點也就成為風險識別的關(guān)鍵。
風險評估實踐指導
啟明星辰公司不僅協(xié)助多家銀行完成了信息科技風險評估的項目,同時為了更好地做好銀行信息科技的風險評估,還根據(jù)不同的風險評估類型做了大量的實際工作。
1、整體風險評估
由于整體風險評估覆蓋范圍廣,其又是反映宏觀層面的風險,因此應該以調(diào)查方式為主,以檢查、安全測試方式為輔。
為此啟明星辰針對整體風險評估做了詳細的調(diào)查問卷,涵蓋了信息科技的各個方面。整個調(diào)查問卷的設(shè)計思想為:IT目標是為了實現(xiàn)業(yè)務(wù)目標,而IT目標是通過資源實現(xiàn)的,資源包括數(shù)據(jù)、應用系統(tǒng)、基礎(chǔ)設(shè)施、人,這些資源是通過流程進行管理的。
一般來講,銀行的IT目標就是在滿足合規(guī)管理的要求下,支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運營。合規(guī)管理就是要符合監(jiān)管機構(gòu)的要求,如銀監(jiān)會;支持業(yè)務(wù)創(chuàng)新就是通過開發(fā)或者購買新的信息系統(tǒng)滿足或者促進業(yè)務(wù)的發(fā)展;支持業(yè)務(wù)運營則是保證信息系統(tǒng)安全穩(wěn)定運行,從而保證業(yè)務(wù)的持續(xù)運營。為了實現(xiàn)這個目標,需要管理流程和基礎(chǔ)資源配備進行支撐,管理流程可分為IT業(yè)務(wù)創(chuàng)新支持、IT業(yè)務(wù)運營支持、IT合規(guī)管理及IT治理等四類,基礎(chǔ)資源配備包括支撐IT運行的人、信息、應用系統(tǒng)及基礎(chǔ)設(shè)施。
根據(jù)此思路,啟明星辰確定了風險檢查點和檢查指標,形成了調(diào)查問卷。并且為了方便使用,將調(diào)查問卷做成工具,結(jié)合調(diào)查結(jié)果進行風險分析,問卷界面及風險分析結(jié)果如下圖3所示:
圖3 啟明星辰整體風險評估調(diào)查問卷界面和風險分析結(jié)果示意
2、專項風險評估
專項風險評估應該反映微觀層面的風險,反映信息科技某一方面或者某個系統(tǒng)存在的風險,因此應該深入查找評估對象存在的風險。
基于此,專項風險評估應該采取以檢查與安全測試為主,調(diào)查為輔的方法。而無論在檢查還是安全測試方面,啟明星辰都有著深厚的研究與積累:
—啟明星辰不但參與制定了國家一些標準,如漏洞掃描標準、IDS標準,而且緊密關(guān)注國際、國家及行業(yè)標準與要求,并組織人員對標準或者行業(yè)要求進行研究、解讀,研讀金融行業(yè)的標準如《巴塞爾協(xié)議》、《商業(yè)銀行信息科技風險管理指引》、《電子銀行安全評估指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(試行)》等。通過對標準研究,可以更好地協(xié)助用戶滿足監(jiān)管機構(gòu)的要求。
—啟明星辰通過長期積累,形成了一套完善的技術(shù)文檔,如常見操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)管系統(tǒng)的安全檢查列表、安全配置手冊及腳本工具。可以對評估對象的配置文件進行提取,并進行審核,發(fā)現(xiàn)其中的薄弱環(huán)節(jié),并提供可行的整改建議。
—啟明星辰致力于漏洞技術(shù)的挖掘與攻擊技術(shù)的研究,并且具有自己的積極防御實驗室,可以從代碼層面對應用系統(tǒng)進行檢查。同時,積極防御實驗室成員還可以模擬黑客行為,對系統(tǒng)進行人工滲透,可以直觀地發(fā)現(xiàn)其中的弱點,并提供可行的整改建議。
—啟明星辰通過對ITIL運維服務(wù)流程、CMM開發(fā)流程、項目管理流程的研究,熟悉開發(fā)流程、項目管理流程及服務(wù)的流程,從而可以結(jié)合客戶實際情況,發(fā)現(xiàn)流程中的不合理性,以進行流程的完善。
—所采用的掃描工具–天鏡漏洞掃描系統(tǒng)是啟明星辰具有自主知識產(chǎn)權(quán)的產(chǎn)品,可以對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、通用應用進行掃描,發(fā)現(xiàn)其中的弱點,并提供整改建議。
—為了保證風險評估工作的順利進行,啟明星辰針對風險評估項目制定了有效的項目管理流程和標準。
小結(jié)
風險評估是風險管理的基礎(chǔ),只有做好風險評估,才可能做好風險管理,才能將風險控制在可接受的水平。
根據(jù)評估范圍,風險評估可分為整體風險評估和專項風險評估兩類。啟明星辰經(jīng)過長期的積累和實踐,在整體風險評估、專項風險評估方面都具有豐富的經(jīng)驗,可以為用戶提供優(yōu)質(zhì)的風險評估服務(wù),幫助用戶做好風險管理。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系我們,本站將會在24小時內(nèi)處理完畢。
