為進一步提升資訊科技風險管理水準, 通過資訊化手段規範執行資訊科技風險的監測、檢查、評估、處置和報告等工作, 開展對資訊科技風險管理體系中現有流程進行評估和優化, 同時對現有資訊科技風險管理系統進行優化, 進一步提升資訊科技風險管理水準和成熟度。
依據銀行客戶資訊科技風險管理制度和規範、監管機構要求、內部審計要求、國內外最佳實踐和同行業的先進經驗等要求收集、設計資訊科技風險管理系統的需求, 並執行已開發需求的系統功能測試。 資訊科技風險管理系統需求涵蓋資訊科技風險識別、風險檢查、風險評估、風險處置、風險監測、風險報告、公文處理、突發事件處理、制度管理、報表管理等領域。
【範圍】
工作的範圍包括:資訊科技風險管理體系評估、資訊科技風險管理系統的設計和測試。
統一的監管合規
目前國內很多銀行在IT風險管理合規方面的工作比較單一化, 單純從銀監會的《指引》要求出發去考慮問題, 而忽略了國家層面、人民銀行等其他相關的監管部門的要求, 導致了這些銀行在IT風險管理體系不能很好地與等級保護等要求相融合。 客戶需要綜合這些標準規範的要求, 以銀監會《指引》為主, 一次性識別出自身與眾多監管部門的主要要求中的差距, 來進行全面的改進。
風險管理方法論
商業銀行的資訊安全風險管理是一件異常複雜的事情, 如何識別、分析、處理風險, 如何組織這項活動, 組織規模越大, 業務越依賴資訊系統, 情況就越複雜。 根據ISO/IEC 27005, 從管理標準及理論方面, 將資訊安全風險管理劃分為如下幾個階段:
風險識別;
風險分析;
風險處置;
風險跟蹤;
風險管理全生命週期的溝通與文檔化。
其中, 風險識別、風險分析、風險處置、風險跟蹤是四個明確的任務階段, 而風險管理全生命週期的溝通與文檔化貫穿整個風險管理的各個階段。
風險管理各階段任務
具體落實到可操作層面, 可以將風險管理做如下展示:風險管理分為範疇確定、風險評估、風險處置、以及最終對識別的所有風險的接受監控幾個過程;整個過程中, 針對風險的溝通和監視評審貫穿整個風險管理的全過程。
風險管理過程示意圖
1)風險識別
風險識別的目的是確定可能發生什麼將導致潛在的損失, 並且洞察可能發生的損失將怎樣發生、在哪裡發生、為什麼發生。
資產識別
資產是對組織有價值的任何東西, 因此需要加以保護。 資產識別應該在適合的細節層面進行, 為風險評估提供充分的資訊。 資產識別的細節層面將影響風險評估中所收集的資訊總量。 細節層面可以在後續的資訊安全評估迴圈中優化。
威脅識別
威脅對如資訊、過程、系統等資產構成潛在損害, 並由此給組織帶來損害。 威脅可能是自然的或人為的, 可能是意外或故意的。 意外的或故意的威脅都應該得到識別。 威脅可能來自組織內部和外部。 應該整體並按類型(如非授權行為、物理損壞、技術失效)識別威脅, 從而已識別的通用類別中的單個威脅得到識別。
有些威脅可能影響多個資產。 在這種情形, 因受影響的資產不同, 威脅可能造成不同的影響。
可以從資產所有者或使用者、人力資源員工、設備管理者、資訊安全專員、物理安全專家、法律部門以及包括法律機構、氣象部門、保險和政府機構等獲得識別威脅和估算發生可能性所需的輸入。在處理威脅時,必須考慮環境和文化因素。 當前進行的評估,應該考慮從事件得到的內部經驗和過去進行的威脅評估。在適當時,參考其他的威脅清單(可能是針對某個組織或業務)以完善通用威脅清單。可以從行業機構、政府部門、法律機構和保險單位元獲得威脅清單和統計資料。在使用威脅清單或前期的威脅評估成果時,應該注意到的一點是,相關威脅是持續變化的,特別當業務環境或資訊系統發生變化時。
脆弱性識別
脆弱性的存在本身不會形成損害,它需要被某個威脅所利用。如果脆弱性沒有對應的威脅,則可以不需要實施控制措施,但應該注意並監視所發生的變化。應該注意到控制措施實施的不合理、控制措施故障或控制措施的錯誤使用本身也是一個脆弱點。控制措施因其運行的環境,可能有效或無效。相反,一個威脅如果沒有對應的脆弱點,也不會導致風險的發生。 脆弱點可能與資產的使用方式、目的等屬性有關,而不論資產購買和構建時的意圖。需要考慮不同來源的脆弱點,內在的或外來的。
可以從以下領域識別脆弱點: 組織架構、過程和程式、管理慣例、人員、物理環境、資訊系統組態、硬體、軟體或通訊設備、對外部的依賴。
已有控制措施
應該識別現有控制措施,以避免不必要的工作和成本,如重複的控制措施。另外,在識別現有控制措施時,應該進行檢查以確保控制措施在有效工作。如果控制措施沒有按預期進行工作,將會形成脆弱點。應該關注已選擇的控制措施(或策略)的運行失效,並因此需要補充控制措施以有效處理風險。
現有或計畫的控制措施可能被識別為無效的、不充分的或不合理的。應該檢查不充分或不合理的控制措施,以確定是否應該取消、由其他更有效的控制措施替代或繼續保持(如,因為成本控制因素)。
2) 風險分析
風險分析根據資產的重要性、已知脆弱點的範圍以及以前與組織相關的事件,而進行到不同的具體深度。估算辦法根據條件,可以是定性的、定量的或者是兩者的組合。實際上,通常首先採用定性估算以獲得一般性的風險級別指示和發現重大風險。隨後可能需要對重大風險進行更明確的或定量分析,因為通常定性分析比定量分析要簡單,而且花費要少。
分析的形式應該與作為確定範疇的一部分而制定的風險估算準則相一致。估算辦法更具體的內容描述如下:
a、定性估算
定性估算採用尺度分級屬性(如低、中、高)來描述潛在後果的嚴重性和潛在後果發生的可能性。定性估算的優點是易於所有相關人員的理解,同時其弱點是尺度選擇對主觀判斷的依賴。
可以對尺度進行修訂或調整,以適應當時的情況,並為不同的風險採用不同的描述。定性分析可以用於:
作為最初的篩選活動,以識別需要進一步具體分析的風險;
當定性分析對決策來說是合適時 ;
當量化資料不足以進行定量估算時 ;
定量分析應該使用可用的真實的資訊和資料。
b、定量估算
定量估算通過不同來源的資料,使用數位化的尺度來描述後果和可能性(而不是定性評估中所使用的描述性尺度)。分析的品質依賴於量化數位的準確性和完整性,以及所使用模型的有效性。在很多情況下,定量估算使用歷史的事件資料,優勢是其直接與資訊安全目標和組織所關心的問題相關。不足是缺乏新的風險或資訊安全弱點的資料。當無法獲得真實和可審計資料時,將顯示定量估算的不足,因為這將導致風險評估準確性和價值的假像。
後果和可能性的表達方式,以及其組合形成的風險等級的表達方式,將隨著風險的類型和風險評估輸出的使用目的不同而變化。在進行有效分析和溝通時,應該考慮後果和可能性的不確定性和可變性。
將風險分析結果根據其風險值大小,在風險矩陣中做分佈描述。如上圖所示:從風險的發生頻率及風險影響後果兩個座標形成風險矩陣,圖中綠色部分為風險發生頻率和後果都較小的低風險;黃色部分為風險發生頻率和後果都適中的中等風險;紅色部分為風險發生頻率和後果都較大的高風險。
通過上圖的分佈實例,可以很快梳理排列出風險值,為後續的風險處置提供依據:即首先處置高風險、對部分低風險可以暫時接受。
3) 風險處置
風險處置有四個選項:風險降低,風險接受,風險規避和風險轉移。
風險規避
風險規避是組織對超出風險承受度的風險,通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略。
規避方式:比如,在沒有足夠安全保障的資訊系統中,不處理特別敏感的資訊,從而防止敏感資訊的洩漏。再如,對於只處理內部業務的資訊系統,不使用互聯網,從而避免外部的有害入侵和不良攻擊。
風險降低
風險降低是組織在權衡成本效益之後,準備採取適當的控制措施降低風險或者減輕損失,將風險控制在風險承受度之內的策略。
風險降低是風險控制措施中最常使用的方式。風險降低主要從降低風險發生可能性(頻率)以及減少事件影響後果兩個方面進行。如下圖所示:通過降低可能性以及影響,都可以將原來紅色部分的高風險降低為綠色部分的低風險。
降低風險控制策略示意圖
通過對面臨風險的資產採取保護措施來降低風險。保護措施可以從構成風險的五個方面(即威脅源、威脅行為、脆弱性、資產和影響)來降低風險。比如,採用法律及行政手段制裁電腦犯罪(包括竊取機密資訊,攻擊關鍵的資訊系統基礎設施,傳播病毒、不健康資訊和垃圾郵件等),發揮法律的威懾作用,從而有效遏制威脅源的動機;採取身份認證措施,從而抵制身份假冒這種威脅行為的能力;及時給系統打補丁(特別是針對安全性漏洞的補丁),關閉無用的網路服務埠,從而減少系統的脆弱性,降低被利用的可能性;採用各種防護措施,建立資產的安全域,從而保證資產不受侵犯,其價值得到保持;採取容災備份、應急回應和業務連續計畫等措施,從而減少安全事件造成的影響程度。
風險接受
風險接受是組織對風險承受度之內的風險,在權衡成本效益之後,不準備採取控制措施降低風險或者減輕損失的策略。
接受風險是選擇對風險不採取進一步的處理措施,接受風險可能帶來的結果。採取不對風險進行處理的前提是:確定了資訊系統的風險等級,評估了風險發生的可能性以及帶來的潛在破壞,分析了使用每種處理措施的可行性,並進行了較全面的成本效益分析,認定某些功能、服務、資訊或資產不需要進一步保護。
風險轉移
風險轉移是組織準備借助他人力量,採取業務分包、購買保險等方式和適當的控制措施,將風險控制在風險承受度之內的策略。
轉移方式:比如,在本機構不具備足夠的安全保障的技術能力時,將資訊系統的技術體系(即資訊載體部分)外包給滿足安全保障要求的協力廠商機構,從而避免技術風險。再如,通過給昂貴的設備上保險,將設備損失的風險轉移給保險我行,從而降低資產價值的損失。
4)風險跟蹤
風險跟蹤的目的主要是針對接受的風險以及採用了風險處置後的風險進行情況跟蹤以及有效性的驗證,保證風險變化情況能夠得到有效掌控以及對於風險處置效果的監督和審核。
跟蹤實施計畫的實現情況,評估計畫行動以及附加需要實施的行動的有效性;
監控並評估風險圖的變化(採用關鍵風險指示和臨界風險點);
通過監督和內控檢查策略符合度 。
5)風險管理生命週期的溝通與文檔化
風險溝通是通過在決策者或其他相關利益方之間交換和/或共用風險資訊以達成協議的活動。這些資訊包括但不限於:風險的存在、性質、形式、可能性、嚴重性、處置和可接受性等。
各方之間有效溝通是重要的,因為這將對必須作出的決策有很大的影響。溝通將確保實施風險管理的責任人以及重大利益相關方理解決策出臺的基礎和為什麼需要特定的活動。溝通應是雙向的。
風險管理還應進行文檔化統一管理。例如規定必要的階段性報告產出;文檔輸入、輸出資料內容及格式要求;文檔命名規則;文檔歸檔管理規定;文檔保密管理規定等。
參考標準和文獻:
《國務院關於大力推進資訊化發展和切實保障資訊安全的若干意見》
等級保護相關標準規範
GB/T 20984-2007資訊安全風險評測規範
《商業銀行資訊科技風險管理指引》
《商業銀行資料中心監管指引》
《商業銀行外包風險管理指引》
《電子銀行業務管理辦法》
《網上銀行系統資訊安全保障評估準則》
《商業銀行操作風險管理指引》
《商業銀行內部控制指引》
COSO內部控制整體框架
CoBIT資訊及相關技術的控制目標
ISO27000系列標準
ISO/IEC 13335資訊安全管理標準
SSE-CMM 安全系統工程能力成熟度模型
請點擊螢幕右上方“…”
NSFOCUS-weixin
可以從資產所有者或使用者、人力資源員工、設備管理者、資訊安全專員、物理安全專家、法律部門以及包括法律機構、氣象部門、保險和政府機構等獲得識別威脅和估算發生可能性所需的輸入。在處理威脅時,必須考慮環境和文化因素。 當前進行的評估,應該考慮從事件得到的內部經驗和過去進行的威脅評估。在適當時,參考其他的威脅清單(可能是針對某個組織或業務)以完善通用威脅清單。可以從行業機構、政府部門、法律機構和保險單位元獲得威脅清單和統計資料。在使用威脅清單或前期的威脅評估成果時,應該注意到的一點是,相關威脅是持續變化的,特別當業務環境或資訊系統發生變化時。
脆弱性識別
脆弱性的存在本身不會形成損害,它需要被某個威脅所利用。如果脆弱性沒有對應的威脅,則可以不需要實施控制措施,但應該注意並監視所發生的變化。應該注意到控制措施實施的不合理、控制措施故障或控制措施的錯誤使用本身也是一個脆弱點。控制措施因其運行的環境,可能有效或無效。相反,一個威脅如果沒有對應的脆弱點,也不會導致風險的發生。 脆弱點可能與資產的使用方式、目的等屬性有關,而不論資產購買和構建時的意圖。需要考慮不同來源的脆弱點,內在的或外來的。
可以從以下領域識別脆弱點: 組織架構、過程和程式、管理慣例、人員、物理環境、資訊系統組態、硬體、軟體或通訊設備、對外部的依賴。
已有控制措施
應該識別現有控制措施,以避免不必要的工作和成本,如重複的控制措施。另外,在識別現有控制措施時,應該進行檢查以確保控制措施在有效工作。如果控制措施沒有按預期進行工作,將會形成脆弱點。應該關注已選擇的控制措施(或策略)的運行失效,並因此需要補充控制措施以有效處理風險。
現有或計畫的控制措施可能被識別為無效的、不充分的或不合理的。應該檢查不充分或不合理的控制措施,以確定是否應該取消、由其他更有效的控制措施替代或繼續保持(如,因為成本控制因素)。
2) 風險分析
風險分析根據資產的重要性、已知脆弱點的範圍以及以前與組織相關的事件,而進行到不同的具體深度。估算辦法根據條件,可以是定性的、定量的或者是兩者的組合。實際上,通常首先採用定性估算以獲得一般性的風險級別指示和發現重大風險。隨後可能需要對重大風險進行更明確的或定量分析,因為通常定性分析比定量分析要簡單,而且花費要少。
分析的形式應該與作為確定範疇的一部分而制定的風險估算準則相一致。估算辦法更具體的內容描述如下:
a、定性估算
定性估算採用尺度分級屬性(如低、中、高)來描述潛在後果的嚴重性和潛在後果發生的可能性。定性估算的優點是易於所有相關人員的理解,同時其弱點是尺度選擇對主觀判斷的依賴。
可以對尺度進行修訂或調整,以適應當時的情況,並為不同的風險採用不同的描述。定性分析可以用於:
作為最初的篩選活動,以識別需要進一步具體分析的風險;
當定性分析對決策來說是合適時 ;
當量化資料不足以進行定量估算時 ;
定量分析應該使用可用的真實的資訊和資料。
b、定量估算
定量估算通過不同來源的資料,使用數位化的尺度來描述後果和可能性(而不是定性評估中所使用的描述性尺度)。分析的品質依賴於量化數位的準確性和完整性,以及所使用模型的有效性。在很多情況下,定量估算使用歷史的事件資料,優勢是其直接與資訊安全目標和組織所關心的問題相關。不足是缺乏新的風險或資訊安全弱點的資料。當無法獲得真實和可審計資料時,將顯示定量估算的不足,因為這將導致風險評估準確性和價值的假像。
後果和可能性的表達方式,以及其組合形成的風險等級的表達方式,將隨著風險的類型和風險評估輸出的使用目的不同而變化。在進行有效分析和溝通時,應該考慮後果和可能性的不確定性和可變性。
將風險分析結果根據其風險值大小,在風險矩陣中做分佈描述。如上圖所示:從風險的發生頻率及風險影響後果兩個座標形成風險矩陣,圖中綠色部分為風險發生頻率和後果都較小的低風險;黃色部分為風險發生頻率和後果都適中的中等風險;紅色部分為風險發生頻率和後果都較大的高風險。
通過上圖的分佈實例,可以很快梳理排列出風險值,為後續的風險處置提供依據:即首先處置高風險、對部分低風險可以暫時接受。
3) 風險處置
風險處置有四個選項:風險降低,風險接受,風險規避和風險轉移。
風險規避
風險規避是組織對超出風險承受度的風險,通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略。
規避方式:比如,在沒有足夠安全保障的資訊系統中,不處理特別敏感的資訊,從而防止敏感資訊的洩漏。再如,對於只處理內部業務的資訊系統,不使用互聯網,從而避免外部的有害入侵和不良攻擊。
風險降低
風險降低是組織在權衡成本效益之後,準備採取適當的控制措施降低風險或者減輕損失,將風險控制在風險承受度之內的策略。
風險降低是風險控制措施中最常使用的方式。風險降低主要從降低風險發生可能性(頻率)以及減少事件影響後果兩個方面進行。如下圖所示:通過降低可能性以及影響,都可以將原來紅色部分的高風險降低為綠色部分的低風險。
降低風險控制策略示意圖
通過對面臨風險的資產採取保護措施來降低風險。保護措施可以從構成風險的五個方面(即威脅源、威脅行為、脆弱性、資產和影響)來降低風險。比如,採用法律及行政手段制裁電腦犯罪(包括竊取機密資訊,攻擊關鍵的資訊系統基礎設施,傳播病毒、不健康資訊和垃圾郵件等),發揮法律的威懾作用,從而有效遏制威脅源的動機;採取身份認證措施,從而抵制身份假冒這種威脅行為的能力;及時給系統打補丁(特別是針對安全性漏洞的補丁),關閉無用的網路服務埠,從而減少系統的脆弱性,降低被利用的可能性;採用各種防護措施,建立資產的安全域,從而保證資產不受侵犯,其價值得到保持;採取容災備份、應急回應和業務連續計畫等措施,從而減少安全事件造成的影響程度。
風險接受
風險接受是組織對風險承受度之內的風險,在權衡成本效益之後,不準備採取控制措施降低風險或者減輕損失的策略。
接受風險是選擇對風險不採取進一步的處理措施,接受風險可能帶來的結果。採取不對風險進行處理的前提是:確定了資訊系統的風險等級,評估了風險發生的可能性以及帶來的潛在破壞,分析了使用每種處理措施的可行性,並進行了較全面的成本效益分析,認定某些功能、服務、資訊或資產不需要進一步保護。
風險轉移
風險轉移是組織準備借助他人力量,採取業務分包、購買保險等方式和適當的控制措施,將風險控制在風險承受度之內的策略。
轉移方式:比如,在本機構不具備足夠的安全保障的技術能力時,將資訊系統的技術體系(即資訊載體部分)外包給滿足安全保障要求的協力廠商機構,從而避免技術風險。再如,通過給昂貴的設備上保險,將設備損失的風險轉移給保險我行,從而降低資產價值的損失。
4)風險跟蹤
風險跟蹤的目的主要是針對接受的風險以及採用了風險處置後的風險進行情況跟蹤以及有效性的驗證,保證風險變化情況能夠得到有效掌控以及對於風險處置效果的監督和審核。
跟蹤實施計畫的實現情況,評估計畫行動以及附加需要實施的行動的有效性;
監控並評估風險圖的變化(採用關鍵風險指示和臨界風險點);
通過監督和內控檢查策略符合度 。
5)風險管理生命週期的溝通與文檔化
風險溝通是通過在決策者或其他相關利益方之間交換和/或共用風險資訊以達成協議的活動。這些資訊包括但不限於:風險的存在、性質、形式、可能性、嚴重性、處置和可接受性等。
各方之間有效溝通是重要的,因為這將對必須作出的決策有很大的影響。溝通將確保實施風險管理的責任人以及重大利益相關方理解決策出臺的基礎和為什麼需要特定的活動。溝通應是雙向的。
風險管理還應進行文檔化統一管理。例如規定必要的階段性報告產出;文檔輸入、輸出資料內容及格式要求;文檔命名規則;文檔歸檔管理規定;文檔保密管理規定等。
參考標準和文獻:
《國務院關於大力推進資訊化發展和切實保障資訊安全的若干意見》
等級保護相關標準規範
GB/T 20984-2007資訊安全風險評測規範
《商業銀行資訊科技風險管理指引》
《商業銀行資料中心監管指引》
《商業銀行外包風險管理指引》
《電子銀行業務管理辦法》
《網上銀行系統資訊安全保障評估準則》
《商業銀行操作風險管理指引》
《商業銀行內部控制指引》
COSO內部控制整體框架
CoBIT資訊及相關技術的控制目標
ISO27000系列標準
ISO/IEC 13335資訊安全管理標準
SSE-CMM 安全系統工程能力成熟度模型
請點擊螢幕右上方“…”
NSFOCUS-weixin