鍟嗕笟閾惰�屼俊鎭�绉戞妧椋庨櫓璇勪及鐮旂┒涓庡疄鏂?- 鐧惧害鏂囧簱

商业银行信息科技风险评估研究与实施

毛 南，姚沛年，曹玉磊，丁 辉

【摘 要】[摘 要]银行业数据大集中导致风险大集中，一旦发生信息安全事件，可能导致银行一夜关门。通过开展信息科技风险评估工作，提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准，介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具，希望能推动银行业风险评估工作。 【期刊名称】信息安全与通信保密 【年(卷),期】2012(000)005 【总页数】4

【关键词】[关键词]银行；信息科技；风险评估

0 引言

2011年4月12日，韩国网络规模最大的银行——农协银行遭到黑客攻击，包括数百万条客户信息在内的大量数据被恶意删除和篡改，导致该行5 000家分行全部停业，事件发生18天后，所有业务才恢复正常。同时，近年来国内银行核心系统宕机事件、网上银行安全事故、大量信用卡信息泄露等事件充分曝露出国内银行业在风险管理方面还存在严重缺失。为加大银行业信息科技风险管理力度，2009年银监会印发《商业银行信息科技风险管理指引》，要求各商业银行“建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制”。风险评估是风险识别和计量的重要手段，也是风险管理的重要组成部分。

1 风险评估前提

开展风险评估工作除了应具备专业技术人员和风险评估工具之外，还应制定信息科技风险管理策略和信息科技风险分级标准，这两者是风险评估工作开展的前提。

1.1 制定信息科技风险管理策略

风险评估工作如何开展，开展到何种程度，取决于本行的风险管理策略。一般情况下，风险管理策略可分为“激进”、“稳健”、“保守”3种策略。如果采用“激进”的风险管理策略，则风险评估工作可以少开展甚至不开展，风险处置时，只处置高风险，接受中、低风险。如果采用“稳健”的风险管理策略，则风险评估工作应该定期开展，风险处置时，处置高、中风险，接受低风险。如果采用“保守”的风险管理策略，则风险评估工作应该持续开展，风险处置时，高、中、低风险全部处置。信息科技风险管理策略应在全行风险管理策略的指导下，制定信息科技部门相对具体的风险管理策略。如开展全行信息系统安全等级保护工作，对于不同等级信息系统，安排不同的人力、物力、财力进行保障，可作为一种具体的风险管理策略。 1.2 制定信息科技风险分级标准

风险评估工作最重要的成果是评估发现的风险点列表。根据不同的风险管理策略，可以明确对高、中、低不同风险的处置要求。但是，高、中、低风险如何划分需要事先制定分级标准。风险分级标准的制定可以依据定量的指标，如损失金额、影响范围、影响时间等；也可以依据半定量的指标，如信息资产的重要程度、威胁程度、脆弱性程度等；还可以依据评估专家的“头脑风暴”确定一些定性指标，如本行核心系统缺少灾难备份系统可以认定为高风险。

2 风险评估标准

充分研究和利用国内外已有的风险管理、风险评估标准和业内最佳实践，对于风险评估工作的开展，具有很好的指导意义。常见的风险管理、风险评估标准包括ISO 27001、ISO 15408、ISO 13335、NIST SP800系列等。 2.1 ISO 27001信息安全管理体系简介

ISO 27001信息安全管理体系(Information Security Management Systems，ISMS)是全球普遍认同的权威的信息安全管理标准，提供了一整套针对企业信息安全风险管理的最佳实践和实施指南。ISO 27001统筹考虑了组织信息安全管理的方方面面，包括信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业务连续性管理、符合性在内的11个领域、133条控制措施[1]。ISO 27001通过PDCA过程模式(Plan、Do、Check、Act，PDCA)持续改进组织的安全管理。在风险评估工作中，可以参考ISO 27001提及的11个领域、133条控制措施，建立基本的评估模板。 2.2 ISO 15408信息技术安全性评估准则简介

ISO 15408信息技术安全性评估准则(以下简称“通用准则”)是1999年发布的，综合了美国(美国国家安全局和美国标准技术研究所)、加拿大、欧洲(英国、法国、德国、荷兰)等6国7方的计算机安全评估准则，等同于《信息技术安全性通用评估准则》(CC2.1版)。ISO/IEC 15408通用准则共分为3个部分：第一部分“简介和一般模型”介绍了通用准则的基本概念和基本原理，包括有关术语、概念、一般模型及与评估有关的一些框架；第二部分“安全功能要求”按照“类-子类-组件”的方式提出了安全功能要求；第三部分“安全保证要求”