金融科技应用安全风险监测实践分享.pdfVIP

金融科技应用安全风险监测实践分享 （照片部分由主办方添加） 姓名 钱伟峰 个人介绍 钱伟峰 • 安言咨询副总经理 ，10年以上IT风险管理咨询经验 ，3年以上IT审计经验。 为包括一汽集团、吉利汽车、海尔集团、上汽大众、农业银行、建设银行、交通银行、光大银行、华 夏银行、广发银行在内的众多企业提供咨询与IT审计服务。 • CISA、CISP、PMP、ISMS审核员、ITSMS审核员、ITSS项 目经理 • 工信部IT审计师授权培训讲师 （信息系统运行与服务审计、信息安全审计章节授课人、信息安全 审计章节培训教材编写者 ） 风险监测指标的特点 l 由定性向定量转变 好 坏 亡羊补牢 未雨绸缪 l 由事后向事前转变 l 由孤立向联系转变 风险监测指标的优势 应用安全风险监测 提供数字化的安全 完善安全工作的闭 监测指标 环机制 及时性 前瞻性 宏观性 应用安全风险识别 风险识别的可参考维度 • 开发全生命周期 • 系统缺陷类型 • 基础环境信息 • 背景数据 • 缺陷库数据 应用安全风险监测指标分类- Ⅰ 按因果维度分类 ： 安全 成 因 影 响 缺陷 成因指标 结果指标 控 制 l 系统安全定级不准确 l 通过安全测试的平均轮次 l 设计缺陷未及时评审 控制指标 l 等保测评发现安全缺陷占比 l 选用非标准版本基础软件 l 代码审计覆盖率 l 因缺陷引发的生产事件 占比 l …… l 缺陷整改完成率 l …… l 缺陷重复出现率 l …… 应用安全风险监测指标分类-Ⅱ 按时间维度分类 ： 风险事件 时间 发生 事前指标 事后指标 事中指标 l 上线安全评估发现缺陷占比 l 新技术风险评估 占比 l Top10问题数量 占比 l 安全构件选用 占比 l 代码复读发现的安全缺陷占比