期刊发表网电话

全国热线
022-83699069

银行业信息科技风险安全评估管理研究

作者: 发布时间:2020-02-04 10:02:14 阅读: 31 次

摘  要

近年来,随着中国银行业的高速发展,在客户服务、产品创新、市场拓展和经营管理各个方面对信息科技的依赖程度日益增强,信息科技风险管理工作已经成为保障各项业务正常开展和资产安全的基础性工作。本文通过研究国内外信息科技风险安全评估法规、标准、规范及实践,从组织体系、评估流程、评估方法等方面入手,提出了信息科技风险安全评估管理的评估体系建设思路。

一、安全评估概念及作用

安全评估是信息科技风险安全评估的简称,是指组织依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。安全评估是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出决策的过程。信息安全管理应基于安全评估,只有在正确地、全面地识别风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,并决定需要调动多少资源、以什么的代价、采取什么样的措施去化解、控制风险。

二、安全评估主要标准及实践

信息安全评估涉及范围广,相关安全标准也十分庞杂。其中ISO27005 -2008明确了安全评估方法及流程,在全球范围内得到了广泛的应用。国内安全评估标准《信息安全技术 信息安全风险评估规范》(GB20984-2007)采用的评估方法基本与ISO27005一致,明确了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

三、银行业安全评估现状及存在问题分析

随着业务发展需要及监管要求,国内商业银行越来越重视信息科技风险管理工作,信息安全评估逐渐成为信息科技风险管理的基础性工作,但国内商业银行信息安全评估管理与国外银行相比存在较大差距。一是安全评估体系不健全。大部分商行银行未明确安全评估管理的组织机构,缺少安全评估管理制度,未建立符合本行风险管理需要的安全评估体系。二是安全评估流程不规范。很多商业银行安全评估尤其是自评估缺少标准的流程控制,安全评估工作随意性强,大部分评估流于形式或依赖于个人经验,安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性,对评估人员的能力要求较高,而很多商业银行评估人员未经过相应的培训,缺少经验,并不真正具备安全评估的能力。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人经验,很难发现深层次问题并对风险准确定性,评估结果对风险处置的指导意见有限。五是安全评估数据积累不足。国内外主要的安全评估方法,需要根据历史事件统计事件发生概率,目前,很多商业银行尚未建立事件统计分析机制。

四、安全评估管理的主要思路

通过研究国内外信息科技风险安全评估标准、规范及实践,提出了商业银行信息科技风险安全评估管理思路。

(一)建立安全评估组织体系

信息安全风险评估组织体系建设应充分考虑安全评估自身特点,并应结合商业银行的风险管理体系,安全评估的组织体系应包括两个方面:一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上,明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责;二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织,并严格按照项目管理的流程对安全评估进行有效控制。

(二)建立信息安全风险评估标准流程

安全评估流程是安全评估标准化的控制手段,能够有效的控制安全评估的目标、范围、过程及质量,安全评估需要建立以下标准流程:一是安全评估的组织流程,即安全评估审批、总结、汇报等流程;二是安全评估的项目管理流程,安全评估应采用项目的管理方式进行组织,并按项目管理流程组织评估并形成项目阶段成果。三是安全评估的评估方法流程。安全评估根据标准的评估方法,并结合评估对象的特点,从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面,建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。

(四)培养专业信息安全风险评估人员

专业的安全评估人员是安全评估的基本保证,应加大对信息安全风险评估人员的培训力度,培训主要从以下几个方面进行:一是加大评估管理要求、评估流程的培训力度,让评估人员能够了解信息科技安全管理的要求,掌握安全评估组织、项目及方法流程。二是加大信息安全知识培训力度,评估人员应全面学习信息安全的相关知识,了解目前信息安全面临的主要威胁及存在风险;三是加大安全评估技术培训力度,评估人员应了解安全评估相关技术,熟练掌握常用的安全评估工具;四是加大信息系统相关技术培训力度,安全评估要求评估人员应了解主机、网络及应系统等相关技术细节,应组织相应的技术培训,扩大评估人员的知识范围,并使评估人员深入了解各系统的技术细节。

(五)引入安全评估工具

为实现安全评估的专业化,商业银行应逐步引入和使用风险评估工具,风险评估工具包括以下三类:一是专业安全评估设备及软件,如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具,如风险统计及计算表格,该类表格根据标准的计算方式,能够给出相对准确的风险量化值。二是风险管理系统,对风险进行汇总、统计及处置跟踪。

(六)建立风险评估数据积累机制

安全风险评估的准确与否依赖于大量信息安全相关数据,因此,需要建立风险评估数据积累机制:一是确定信息安全事件的收集、整理及汇总机制,信息安全事件统计来源分为外部和内部两个渠道,外部事件应根据安全部门、监管部门的通报进行收集,内部事件通过安全事件报告汇总。二是建立信息系统数据积累机制,统计和汇总不同设备及系统的安全要求,按标准格式形成评估要点文档,作为相关评估的主要依据。

参考文献

(1)《ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系要求》

(2)《ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则》

(3)《ISOIEC 27005-2008 信息技术 安全技术 信息安全风险管理》

(4)《GBT 20984-2007 信息安全技术信息安全风险评估规范》

(5)《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》

(6)GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南

(7)《商业银行信息科技风险管理指引》