近年来,海内外金融领域因为IT失效引起的银行损失案例比比皆是、层出不穷。如美国黑客入侵花旗银行设在连锁便利店7-11店内的自动提款机的计算机网络,并盗取客户个人识别码,从2009年10月至2010年3月,盗取至少200万美元;美国男青年阿尔伯特·冈萨雷斯领导的黑客团伙利用计算机技术疯狂作案,先后共盗取超过4000万张信用卡账号和密码……
在中国,银监会在2009年出台了《商业银行信息科技风险管理指引》,对信息科技风险和信息科技风险管理的目标提出了具体的指导意见。
如此种种,信息科技在各个行业,尤其是银行业,扮演着越来越重要的角色。银行业由于其IT系统高度密集、信息化程度高且事关国计民生,因此可以预见,随着银行业电子化程度的提高,银行信息科技面临的风险还会越来越大。
因此,需要加强信息科技的风险管理。
风险管理是一个识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受的水平。风险评估则是对风险发生的可能性及所造成的影响进行分析,是识别风险、评价风险的过程。因此,风险管理就是风险评估、风险控制的过程,而风险评估则是风险管理的基础。
对于信息科技的风险管理来说,也需要以风险评估为基础。可以说,信息科技风险评估正是信息科技风险识别、计量的过程,也因此受到了各银行的重视。
风险评估分整体和专项两种
实际上,风险评估应用范围很广。风险评估不仅是风险管理过程中重要的一环,而且在安全规划、业务连续性管理以及实施等级保护等多个方面都离不开风险评估。
从范围来看,信息科技风险评估可以分为整体风险评估和专项风险评估。
整体风险评估是指对信息科技的各个方面,如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等,进行全面的风险评估;专项风险评估则对信息科技的某一方面、某个系统或者为某个目的进行的评估。如银监会颁布的《电子银行安全评估指引》所讲的安全评估就是对电子银行各系统的风险评估,常见的专项风险评估还经常根据评估对象分为网络评估、系统风险评估等。
整体风险评估侧重于反映宏观层面的风险,应该全面反映影响实现IT目标的风险,可使高级管理层把握信息科技的整体风险状况,从而根据风险状况,进行战略决策,最终提升风险管理能力;专项风险评估则侧重于反映微观层面的风险,反映信息科技某一方面或者某个系统存在的风险,根据风险决定相应的风险的处置措施,降低相关系统面临的风险。
风险评估可划分为三个阶段
风险是对实现目标有所影响的事件的发生的可能性。从概念可以看到,风险有影响及可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此风险评估需要对资产、弱点及威胁进行综合分析。
风险评估工作一般有以下几个步骤:
步骤1:描述分析评估对象,确定其目标或者价值
步骤2:识别评估对象存在的弱点
步骤3:识别评估对象面临的威胁
步骤4:通过分析弱点及威胁,确定事件发生的可能性
步骤5:通过分析资产及弱点分析事件如果发生所造成的影响
步骤6:通过已经分析出的可能性和影响确定风险等级
步骤7:根据风险等级提出风险处置建议
这几个步骤可划分为风险识别、风险分析、风险定级三个阶段。
从这个过程可以看出,风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别是要对评估对象存在的弱点及面临的威胁进行识别。由于评估对象面临的威胁是客观存在的,因此识别评估对象存在的弱点也就成为风险识别的关键。
风险评估实践指导
启明星辰公司不仅协助多家银行完成了信息科技风险评估的项目,同时为了更好地做好银行信息科技的风险评估,还根据不同的风险评估类型做了大量的实际工作。
1.整体风险评估
由于整体风险评估覆盖范围广,其又是反映宏观层面的风险,因此应该以调查方式为主,以检查、安全测试方式为辅。
为此启明星辰针对整体风险评估做了详细的调查问卷,涵盖了信息科技的各个方面。整个调查问卷的设计思想为:IT目标是为了实现业务目标,而IT目标是通过资源实现的,资源包括数据、应用系统、基础设施、人,这些资源是通过流程进行管理的。
一般来讲,银行的IT目标就是在满足合规管理的要求下,支持业务创新和业务运营。合规管理就是要符合监管机构的要求,如银监会;支持业务创新就是通过开发或者购买新的信息系统满足或者促进业务的发展;支持业务运营则是保证信息系统安全稳定运行,从而保证业务的持续运营。为了实现这个目标,需要管理流程和基础资源配备进行支撑,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。
根据此思路,启明星辰确定了风险检查点和检查指标,形成了调查问卷。
2.专项风险评估
专项风险评估应该反映微观层面的风险,反映信息科技某一方面或者某个系统存在的风险,因此应该深入查找评估对象存在的风险。
基于此,专项风险评估应该采取以检查与安全测试为主,调查为辅的方法。而无论在检查还是安全测试方面,启明星辰都有着深厚的研究与积累:
启明星辰不但参与制定了国家一些标准,如漏洞扫描标准、IDS标准,而且紧密关注国际、国家及行业标准与要求,并组织人员对标准或者行业要求进行研究、解读,研读金融行业的标准如《巴塞尔协议》、《商业银行信息科技风险管理指引》、《电子银行安全评估指引》、《网上银行系统信息安全通用规范(试行)》等。通过对标准研究,可以更好地协助用户满足监管机构的要求。
启明星辰通过长期积累,形成了一套完善的技术文档,如常见操作系统、数据库、网络设备、安全设备、网管系统的安全检查列表、安全配置手册及脚本工具。可以对评估对象的配置文件进行提取,并进行审核,发现其中的薄弱环节,并提供可行的整改建议。
启明星辰致力于漏洞技术的挖掘与攻击技术的研究,并且具有自己的积极防御实验室,可以从代码层面对应用系统进行检查。同时,积极防御实验室成员还可以模拟黑客行为,对系统进行人工渗透,可以直观地发现其中的弱点,并提供可行的整改建议。
启明星辰通过对ITIL运维服务流程、CMM开发流程、项目管理流程的研究,熟悉开发流程、项目管理流程及服务的流程,从而可以结合客户实际情况,发现流程中的不合理性,以进行流程的完善。
所采用的扫描工具-天镜漏洞扫描系统是启明星辰具有自主知识产权的产品,可以对网络设备、操作系统、数据库、通用应用进行扫描,发现其中的弱点,并提供整改建议。
为了保证风险评估工作的顺利进行,启明星辰针对风险评估项目制定了有效的项目管理流程和标准。
小结
风险评估是风险管理的基础,只有做好风险评估,才可能做好风险管理,才能将风险控制在可接受的水平。
根据评估范围,风险评估可分为整体风险评估和专项风险评估两类。启明星辰经过长期的积累和实践,在整体风险评估、专项风险评估方面都具有丰富的经验,可以为用户提供优质的风险评估服务,帮助用户做好风险管理。