关于城市商业银行信息安全风险评估的研究.docVIP

关于城市商业银行信息安全风险评估的研究 随着计算机技术和网络技术的迅猛发展，人类正进入信息社会，信息技术被广泛的应用于各行各业。金融业是最具典型的一个行业，银行业务的发展对信息资源的依赖程度越来越高，而由于环境的开放和信息系统自身的缺陷，敏感信息的泄露、计算机病毒的泛滥、黑客的入侵，导致信息面临巨大的安全风险。解决信息安全问题不仅要从技术方面着手，更应该加强信息安全的管理工作。只有从技术、管理等不同的方面采取措施，建立信息安全管理体系，并有效的进行安全风险管理和控制，才能真正的保证信息系统和信息资源的安全。 随着城市商业银行业务的不断发展，信息技术在银行内部扮演着越来越重要的角色。只有做好城商行信息安全的风险管理和控制工作，做到城商行信息系统能够持续、稳建、安全的运行、才能保证客户信息的安全、资金的安全。因此，城商行董事会和高管层也高度重视城商行的信息安全的风险管理工作。做好信息安全风险评估工作，是城商行信息安全风险管理工作的一项重要举措。 本文以城市商业银行信息科技资产为基础，详细介绍城商行信息安全风险评估工作的方法、过程和步骤，供广大读者参考。 信息安全风险评估的过程 参照行业内一些比较常用的风险评估方法及第三方咨询公司的合理化建议，城市商业银行信息安全风险评估工作涉及以下阶段：评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、识别安全措施和输出结果、分析可能性和影响、评价风险、风险处理、编写信息安全风险评估报告。 评估准备 评估准备 识别并评价资产 识别并评估威协 识别并评估脆弱性 识别安全措施 影响 可能性 评估风险 风险处理 编写信息安全风险评估报告 评估准备 信息安全风险评估准备是实施风险评估的前提，为了保证评估过程的可控性及评估结果的客观性，在信息安全风险评估前应进行充分的准备和计划，信息安全风险评估的准备活动主要包括：确定信息安全风险评估的目标；确定信息安全风险评估的范围；组建适当的评估管理与实施团队；进行系统调研；确定信息安全风险评估依据和方法；制定信息安全风险评估方案；获得最高管理者对信息安全风险评估工作的支持。 1.信息安全风险评估的目标 城市商业银行信息安全风险评估工作主要是为了保证行内与信息系统相关的信息资产能够达到城商行对信息安全的保密性、完整性和可用性的要求，为城商行业务的不断发壮大提供坚强、稳定、安全的信息科技环境。 2.信息安全风险评估的范围 城市商业银行信息安全风险评估工作的评估的范围主要包括行内信息科技相关的组织、人员、制度、管理流程、软硬件系统、文档、数据、设备、网络、机房等信息科技资产。 3.信息安全风险评估管理与实施团队 此次风险评估工作城市商业银行成立了专门的风险评估团队，负责人为总行信息科技部总经理，实施成员包括总行风险合规部员工、网络银行员工和信息科技部员工。外部专家团队邀请上海天帷公司的高级咨询顾问给予指导。 识别并评价资产 1.识别资产 在信息安全风险评估的过程中，应清晰的识别所有的相关的信息资产、不能遗漏，城市商业银行信息安全风险评估工作所识别的信息科技资产主要包括与信息科技相关的系统类资产和非系统类资产。目前城商行所采取的资产识别方式主要是手工记录表格的方式来完成。 系统类资产主要包括：行内目前正在使用的各类信息系统（如核心系统、信贷系统、电子银行系统、OA系统等），以及系统所包含的业务信息、系统组件、配置信息、日志信息和备份数据。 非系统类资产主要包括：文档数据类资产、应用软件类资产、硬件设备类资产、人力资源类资产、供应商类资产（如与城市商业银行有合作关系的外包厂商的相关信息）。 2资产赋值 城市商业银行信息安全风险评估工作在对信息科技资产识别完成得到详细的信息资产清单后，开始对资产进行评价，资产评价过程不是以信息科技资产的经济价值来衡量，而是以资产的保密性（C）、完整性（I）、和可用性（A）三个安全属性为基础进行衡量。资产在C、I、A上的要求不同，则资产的最终价值也不同。以下表1、表2和表3表示保密性、完整性和可用性的赋值表。 表1 资产保密性赋值表 赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 表2 资产完整性赋值表 赋值 标识 定义 5 很高 完整性价值非常关键，未经授权的修改或破