信息科技风险安全评估标准及实践

信息科技风险安全评估标准及实践

1银行业安全评估现状及存在问题分析

一是安全评估体系不健全。大局部商行银行未明确安全评估治理的组织机构，缺少安全评估治理制度，未建立符合本行风险治理需要的安全评估体系。二是安全评估流程不标准。许多商业银行安全评估尤其是自评估缺少标准的流程掌握，安全评估工作随便性强，大局部评估流于形式或依靠于个人阅历，安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性，对评估人员的力量要求较高，而许多商业银行评估人员未经过相应的培训，缺少阅历，并不真正具备安全评估的力量。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人阅历，很难发觉深层次问题并对风险精确定性，评估结果对风险处置的指导意见有限。五是安全评估数据积存缺乏。国内外主要的安全评估方法，需要依据历史大事统计大事发生概率，目前，许多商业银行尚未建立大事统计分析机制。

2安全评估治理的主要思路

通过讨论国内外信息科技风险安全评估标准、标准及实践，提出了商业银行信息科技风险安全评估治理思路。

2.1建立安全评估组织体系

信息安全风险评估组织体系建立应充分考虑安全评估自身特点，并应结合商业银行的风险治理体系，安全评估的组织体系应包括两个方面：一是建立安全评估日常治理体系。该局部体系应在信息科技风险治理体系的根底上，明确高管层、信息科技风险治理部门、信息科技治理部门及其它相关部门的安全评估职责；二是建立安全评估工程治理机制。商业银行组织安全评估时应成立工程治理组织，并严格根据工程治理的流程对安全评估进展有效掌握。

2.2建立信息安全风险评估标准流程

安全评估流程是安全评估标准化的掌握手段，能够有效的掌握安全评估的目标、范围、过程及质量，安全评估需要建立以下标准流程：一是安全评估的组织流程，即安全评估审批、总结、汇报等流程；二是安全评估的工程治理流程，安全评估应采纳工程的治理方式进展组织，并按工程治理流程组织评估并形成工程阶段成果；三是安全评估的评估方法流程。安全评估依据标准的评估方法，并结合评估对象的特点，从资产识别、威逼识别、脆弱性识别、风险评估、已有措施确认等方面，建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。

2.3培育专业信息安全风险评估人员

专业的安全评估人员是安全评估的根本保证，应加大对信息安全风险评估人员的培训力度，培训主要从以下几个方面进展：一是加大评估治理要求、评估流程的培训力度，让评估人员能够了解信息科技安全治理的要求，把握安全评估组织、工程及方法流程；二是加大信息安全学问培训力度，评估人员应全面学习信息安全的相关学问，了解目前信息安全面临的主要威逼及存在风险；三是加大安全评估技术培训力度，评估人员应了解安全评估相关技术，娴熟把握常用的安全评估工具；四是加大信息系统相关技术培训力度，安全评估要求评估人员应了解主机、网络及应系统等相关技术细节，应组织相应的技术培训，扩大评估人员的学问范围，并使评估人员深入了解各系统的技术细节。

2.4引入安全评估工具

为实现安全评估的专业化，商业银行应逐步引入和使用风险评估工具，风险评估工具包括以下三类：一是专业安全评估设备及软件，如漏洞扫描设备、安全审计平台等。二是特地的风险计算工具，如风险统计及计算表格，该类表格依据标准的计算方式，能够给出相对精确的风险量化值。二是风险治理系统，对风险进展汇总、统计及处置跟踪。

2.5建立风险评估数据积存机制

安全风险评估的精确与否依靠于大量信息安全相关数据，因此，需要建立风险评估数据积存机制：一是确定信息安全大事的收集、整理及汇总机制，信息安全大事统计来源分为外部和内部两个渠道，外部大事应依据安全部门、监管部门的通