商业银行信息系统风险评估管理制度与流程

1、商业银行信息系统风险评估管理制度与流程信息系统风险评估管理制度第一章总则第一条 为规范商业银行(以下简称“本行”)通过定性方式对信 息系统进行风险评估，系统地识别本行信息系统所面临的风险并 确定风险控制的优先等级，从而对其实施有效控制，将风险降低 到本行可以接受的水平之内。本管理制度与其它文件(BCP、DRP、 风险预警控制程序)一起构成原则性的管理制度。第二条本管理制度所称信息系统风险评估是指通过识别并评估 资产、威胁、影响/损失、脆弱点以及已采取的安全措施，进而 评估威胁发生的可能性及其损失，从而确定风险等级的活动。第三条威胁可能对银行造成损害的不期望事件的潜在原因。第四条脆弱点是指可能被

2、一个或多个威胁所利用的弱点。第五条风险特定的威胁利用脆弱点，进而对银行造成损害的不期望事件。第六条 保密性(C Confidentiality)确保信息仅仅为那些被授权使用的人获取。第七条 完整性(I Integrity)确保信息和信息处理方法的正确性和完整性。第八条可用性（A Availability）确保经过授权的用户在需要时能获取信息和相关资产。第九条 本管理制度适用于本行信息系统风险评估的管理。第二章职责与权限第十条行长职责（一）确定风险的可接受准则；（二）批准“风险评估计划”；（三）批准“风险评估报告”和残余风险；（四）批准“风险处置计划”。第十一条分管行长职责（一）监视信息资产所面

3、临的威胁和脆弱点的重大变化，适时组织进行风险评估；（二）确定风险评估的范围；（三）组织风险评估小组，任命组长和组员。第十二条风险评估小组负责实施银行信息资产的风险评估，并 验证风险处置措施有效性。第十三条科技信息部职责（一）信息系统风险方案的提出（二）组织成立信息系统风险评估小组（三）保管信息系统风险评估的有关文档和记录。第三章管理内容第十四条风险评估的周期（一）一般情况下，银行每两年进行一次风险评估。特殊情况下 可增加风险评估的频次，由信息科技委员会确定，按本管理制度 实施。（二）特殊情况包括：本行新增重要信息资产；信息资产所处环境发生重大变化；组织机构、技术发生重大变化；本行认为有必要的其

4、他情况。信息系统风险评估管理流程一、流程图徂昨艺3 自洗.七险订ILT7似粉W5E.匚他ihUi 汇 flO3 W1、流程说明（一）策划方案科技信息部首先对信息系统风险进行方案的策划，交分管行长审 核，分管行长确定风险评估范围。风险评估的范围可以是整个信 息安全管理体系覆盖的范围，也可以是某个物理区域或某个业务 流程。（二）成立组织分管行长根据风险评估范围，组织有关人员成立风险评估小组， 并任命组长和组员。小组成员应包括本行管理层、部门经理、信 息安全人员、信息资产的管理人员及相关的技术人员。（三）培训小组成员应熟悉银行信息系统运作情况并经过必要的风险评估 知识培训。培训的内容主要有：.确定风

5、险的可接受准则原则上中等风险（即M级）和低风险（即L级）为可接受风 险，极大风险（即E级）和高风险（即H级）为不可接受风险。.风险评估计划根据策划的结果，风险评估组组长编制“风险评估计划”，经行 长批准后发放至有关部门。“风险评估计划”的内容包括评估目 的、评估范围、评估小组以及评估日程安排等。（四）风险识别与评估信息资产识别（1）风险评估小组对信息资产及其责任部门进行识别，将结果填入“信息资产清单”中。（2）信息资产分类根据资产的性质以及可能面临的风险的不同，将信息资产分为以 下几类：信息及其承载媒体：设计开发和测试过程中产生的设计和测 试文件，技术资料，项目管理文件，样品，产品销售相关的市

6、场 营销策略，市场信息，客户信息，销售合同，产品数据，管理文 件，人事信息，财务信息等；软件资产：应用软件、系统软件、开发工具、测试软件等；实物资产：产品（包括成品、在制品及不合格品），生产设备，测试设备，计算机设备，网络设备，其他的技术型设备（电源、 空调），处所等；人员：具有特定技能的职员，包括员工、客户、承包人、保 安人员等；服务：网络接入、供电、供水、供热、设备外包维护、废物 处理等；组织形象与声誉：企业形象、公共关系等。威胁识别（1）识别信息资产的安全属性信息资产具有保密性（C）、完整性（I）、可用性（A）三个安全 属性（以下简称C.I.A安全属性）。风险评估小组识别资产的安 全属性

7、并填入“风险评估汇总表”中。不同的信息资产可能具有 不同的C.I.A安全属性。（2）风险评估小组根据信息资产的C.I.A安全属性、所处的环 境、信息资产以前遭受的威胁损害等因素，识别信息资产可能面 临的威胁，将识别结果填入“风险评估汇总表”中。一项资产可 能面临多个威胁，一个威胁也可能影响多个资产。（3）根据威胁来源的不同，将威胁的类型分为以下几类：人员威胁：包括故意破坏（如：黑客、间谍、传播恶意代码、 蓄意传播病毒邮件、非授权访问、非授权修改/删除等）或无意 失误（如：误操作、丢失等）；系统威胁：系统、网络或设备出现的故障（如：系统故障、 硬件故障、存储媒体老化等）；环境威胁：供电故障、污染

8、、液体泄漏、火灾等；脆弱点识别（1）风险评估小组识别每项威胁可能利用的脆弱点，将识别结 果填入“风险评估汇总表”中。一项威胁可能利用多个脆弱点， 一个脆弱点也可能被多个威胁所利用。自然威胁：洪水、飓风、地震、雷电等。（2）脆弱点来源于以下几个方面：物理脆弱点：组织的物理布局中存在的漏洞或缺陷；技术脆弱点：系统、程序、设备中存在的漏洞或缺陷；管理脆弱点：安全策略、规章制度、人员意识、组织结构等方 面存在的不足。威胁发生可能性的评估（1）风险评估小组评估每项威胁发生的可能性。威胁发生的可 能性分为几乎从不发生、不太可能发生、可能发生、很可能发生 和几乎肯定发生。（2）可从以下方面来判定威胁发生的可

9、能性（包含但不局限于）:信息资产的价值，信息资产的价值决定了其重要性，在一般 情况下，信息资产价值越大，其威胁发生的可能性越大；信息资产获取的难易程度，信息资产获取越简单，其威胁发 生的可能性越大；脆弱点的多少及被利用的难易程度；攻击者能力，包括时间、资源、专业知识和动机；自然灾害的历史数据；银行目前采取的安全措施等。损失/影响评估风险评估小组评估威胁发生后对信息资产的C.I.A安全属性所 造成的损失影响，将结果填入“风险评估汇总表”。损失/影响按 严重程度的不同可分为五级即可忽略、小、中等、大及灾难。等 级定义如下：（1）可忽略：最小程度的损知影响，几乎不影响银行的业务运 作和银行形象，对银

10、行和员工不造成负面影响；（2）小：较小程度的损失/影响，对银行的业务运作和银行形象 有较小的影响，对于银行形象和员工士气有较低程度的影响；（3）中等：中等程度的损失/影响，对银行业务运作和银行形 象造成了明显的影响，对银行形象造成了一定程度的影响，员工 士气明显下降；（4）大：较大程度的损失/影响，市场大幅度缩减，外部批评非 常严厉，影响到了所有的员工，士气和绩效受到了影响，承受的 压力明显增大；（5）灾难：最为严重的损失/影响，正常业务陷于停顿，市场几 乎丧失殆尽，造成的影响无可挽回，对员工造成了严重影响。（五）风险等级的确定1.风险等级由损失/影响等级和威胁发生的可能性两个因素共同 决定。

11、在损失/影响等级保持不变的情况下，风险等级与威胁发 生的可能性之间成同方向变动的关系；在威胁发生的可能性保持 不变的情况下，风险等级与损失/影响等级之间成同方向变动的关系。2 .根据确定的威胁发生的可能性及损失/影响等级，利用风险评 估矩阵，确定风险等级，将结果填入“风险评估汇总表”。威胁发生的可能 性损失/影响可忽略小中等大灾难几乎肯定发生HHEEE很可能发生MHHEE可能发生LMHEE不太可能发生LLMHE几乎从不发生LLMMH注：E（Extreme risk）：极大风险H（High risk）:高风险M（Moderate risk）：中等风险L（Low risk）:低风险（六）风险处置根

12、据风险接受准则判定风险是否可接受。风险评估小组针对不可 接受的风险，填写“风险处置计划”。.风险处置的优先级风险等级越高，其风险处置的优先级别也越高，即极大风险（E级） 的处置优先于其他级别风险，高风险（H级）的处置优先于中等 风险（M级）和低风险（L级），中等风险（M级）的处置优先 于低风险（L级）。.风险处置措施的选择（1）责任部门在收到“风险处置计划”后，应认真进行原因分 析，并针对识别的原因，制定相应的处置措施，将风险降低到组 织可以接受的等级。针对一项资产可能需要采取多个处置措施， 而这些处置措施通常不是单独作用的，更多的情况是多个处置措 施联合作用才能将风险降低到可接受的水平。（2

13、）如因技术水平、风险处置的成本等因素的限制而无法对不 可接受的风险进行有效处置时，责任部门应将下列情况详细反应 在“风险处置计划”中并报行长审批：a银行目前采取的措施；b,将该风险降低到可接受的水平所需的采取的措施和花费的资源；如果不对该风险进行处置，银行可能面临的问题等。经行长批准后，将该风险列入“残余风险表”中。（3）选择的风险处置措施经行长审批后实施。责任部门按批准 的处置措施认真进行整改，整改完成后将整改情况反馈至风险评 估小组，风险评估小组组长指定验证人员对风险处置措施的实施 情况进行验证。如果措施有效，将风险降低到银行可接受的风险 等级，可进行下一步活动。（4）风险处置可包括：控制

14、风险：实施有效控制，降低威胁发生的现实可能性和造 成的影响，将风险降低到可以接受的等级，包括：（a）减少威胁， 即通过有效实施风险控制措施，避免威胁发生，从而保护信息资产；（b）减少脆弱点，即通过有效实施风险控制措施，减少脆弱点。 如采取适当的技术措施，对员工实施安全教育培训，强化员工的 安全意识和安全操作能力；（c）降低影响，即通过预防性措施降低威胁发生后可能造成的 损失。如对重要信息的备份、制定业务连续性计划等。转嫁风险：将风险全部或部分地转移到其他责任方，如通过 购买保险或外包等方式将风险转移给他方；避免风险：远离风险环境或采取与风险环境相隔离的措施。如 将有高安全要求的设备或业务活动设置在高安全区中，增加特殊 防护手段防止设备或业务活动遭受威胁的影响。接受风险：接受风险的决策，包括接受M级和L级的风险 的决定，也包括因技术、成本等因素被迫接受的H级和E级风 险的决策。（七）风险评估报告风险评估完成后，由风险评估小组组长编制“风险评估报告”， 经行长审批后下发至有关部门和人员。（八）残余风险风险评估小组将残余风险填入“残