《11-XXXX银行信息科技风险评估操作规程》由会员分享,可在线阅读,更多相关《11-XXXX银行信息科技风险评估操作规程(15页珍藏版)》请在金锄头文库上搜索。
1、xxxX艮行信息科技风险评估操作规程1. 总则1.1. 为规范XXXX银行信息科技风险评估工作,提高信息科技风险管理水平,根据监管要求及XXXX银行信息科技风险管理办法,制定本操作规程。1.2. 本规程所指信息科技风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。1.3. 本规程所指信息科技风险评估是对信息科技风险的风险辨识(包括分类)、风险分析和风险评价。1.4. 本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。1.5. 本规程适用于全行。2. 风险评估计划2.1 总行市场与操作风险管理部制定
2、信息科技风险评估计划,每年组织开展一次全面的信息科技风险评估。2.2 出现以下情况,应结合本单位以往风险评估情况,确定是否启动信息科技风险评估:(1)新系统上线或已有系统进行重大变更;(2)内部或同业出现重大信息科技事件;(3)信息科技审计中发现重大问题;(4)监管机构发布风险提示。2.3 分行市场与操作风险管理部门根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,组织开展信息科技风险评估工作。3. 风险评估准备3.1. 风险评估牵头部门确定风险评估目标。评估目标包括:(1)满足监管要求;(2)满足我行业务持续发展在信息科技方面的需要;(3)识别现有信息技术及管理上的不足等。3.2.
3、 风险评估牵头部门确定风险评估范围。评估范围依据评估目标确定,包括:(1)信息资产,如物理、系统、网络、应用、数据等;(2)信息科技活动,如合规管理、开发管理、运维管理、外包管理等;(3)信息科技工作流程,如事件管理、配置管理、变更管理等。3.3. 风险评估牵头部门负责组建风险评估团队,授权风险评估团队开展风险评估工作。3.4. 风险评估团队制定风险评估计划书,明确风险评估实施的计划安排,包括评估工作内容、时间进度和各阶段成果清单等内容。3.5. 风险评估团队制定风险评估方案,明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。3.5.1. 评估依据包括:(1)现有国际标准、国家标准
4、、行业标准;(2)行业主管机关的要求和制度;(3)信息科技安全保护等级要求;(4)信息科技互联单位的安全要求;(5)信息系统本身的实时性或性能要求等。3.5.2. 风险评估方法包括:(1)基线分析法:采用一套标准的风险控制措施来对所有的风险点进行对比分析,确保达到一个最基本的风险保护级别。(2)简要分析法:利用个人的知识和经验分析风险。(3)详细分析法:对资产进行深度识别和赋值,评估针对资产的威胁,并分析脆弱点。3.6. 风险评估计划书和风险评估方案报送主管领导批准后执行。3.7. 风险评估牵头部门通过风险评估启动会等形式启动具体风险评估工作。4.1 风险识别资产识别资产识别参见XXXX银行信
5、息资产管理办法中资产识别及赋值的要求。4.2.1. 威胁识别威胁识别采用以下方法:(1)人员访谈;(2)调查问卷;(3)物理检查;评估人员参照信息科技威胁源清单(附件1),从以下方面分析威胁:(1)人员威胁:故意破坏和无意失误;(2)系统威胁:系统、网络或服务出现的故障;(3)环境威胁:电源故障、污染、液体泄漏、火灾等;(4)自然威胁:洪水、地震、台风、雷击等。评估人员参照威胁赋值表(附件2)对已识别的威胁赋值。威胁赋值应综合考虑以下方面:(1)以往安全事件报告中出现过的威胁及其频率的统计;(2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;(3)近一两年来国际组织发布的对于整个
6、社会或特定行业的威胁及其频率统计,以及发布的威胁预警。脆弱性识别4.3.1脆弱性识别采用以下方法:(1)访谈,主要涉及资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等;(2)调查问卷;(3)物理检查;(4)查阅和分析文件;(5)工具测试,测试办法包括:漏洞自动扫描工具、安全测试和评估、渗透测试和代码评审。参照信息科技脆弱性清单(附件3),从以下方面识别被评估对象的脆弱性:(1)技术性脆弱性:系统、程序、设备中存在的漏洞或缺陷;(2)操作性脆弱性:配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份中的漏洞;(3)管理性脆弱性:策略、程序、规章制度、人员意识、组织结构等方面的不
7、足。评估人员参照脆弱性严重程度赋值表(附件4)对已识别的脆弱性赋值。4.2 确认已有风险控制措施的有效性。3.8. 风险评价确定风险可能性3.8.1. 根据威胁出现频率及脆弱性的状况,确定威胁利用脆弱性导致风险事件发生的可能性,即:风险事件的可能性=L(威胁出现频率,脆弱性)=L(T,V)评估人员参照风险可能性衡量指标(附件5)对风险发生可能性进行衡量指标划分和评分。5.2 确定风险影响程度5.2.1. 根据资产价值及脆弱性严重程度,确定风险一旦发生后造成的损失,即:风险事件造成的影响程度=F(资产价值,脆弱性严重程度)=F(Ia,Va)。评估人员参照风险影响程度衡量指标(附件6)对风险发生影
8、响程度进行衡量指标划分和评分。5.3 风险评价5.3.1. 根据确定出的风险发生的可能性以及风险发生造成的影响程度,确定风险等级,即:风险值=R(风险可能性,风险影响程度)=R(L(T,V),F(Ia,Va)。评估人员参照风险等级确定表(附件7),确定风险等级。4. 分析及报告4.1. 评估人员对评价结果进行风险成因分析,提出风险处置建议,撰写风险评估报告,报告包括以下内容:(1)风险评估背景(2)风险评估范围(3)风险评估方法与过程(4)风险评估结果及风险成因分析(5)风险处置建议(6)详细风险列表4.2. 风险评估报告由评估牵头部门组织编写完成,向主管行长报告,抄送总行市场与操作风险管理部
9、和信息技术部。对评估中发现的问题制定整改方案、及时整改,总行市场与操作风险管理部定期组织抽查。5. 附则5.1. 本规程由总行制定、修改,总行市场与操作风险管理部解释。72本规程自XXXX年XX月XX日起实施。附件1:信息科技威胁源清单威胁类别威胁名称威胁描述人员威胁蓄意破坏蓄意以各种方式破坏信息资产,可能导致资产不可用蓄意泄露有权限访问某种资产的用户蓄意泄漏该信息非授权访问没有权限的用户试图越权访问到信息,或者较低权限的用户试图访问更高权限的信息恶意代码攻击病毒、蠕虫、逻辑炸弹、木马后门等恶意代码的攻击非授权篡改对系统或数据进行非授权篡改,导致完整性丧失盗窃窃取物品操作失误在正常工作或使用过
10、程中,由于操作不当而无意中造成对资产的侵害身份假冒非授权人员冒用他人或授权人员身份大规模疾病感染流行病或大规模传染病等窃听通过网络嗅探、偷听、搭线窃听等途径非法获取信息人员短缺完成某项工作的合格的人力资源不足泄密泄漏公司秘密恐怖活动恐怖活动可能破坏信息资产,导致资产不可用稽核工具误用由于稽核工具误用导致信息系统不可用使用不当由于资讯设备使用不当,导致信息资产受到损害网络滥用误用路由协议干扰或破坏系统社会工程/欺骗以非技术手段(例如欺骗)获取特定信息,包括间谍行为系统威胁设施故障或老化设备或介质出现老化或故障而导致可用性降低或不可用软件故障软件因为故障而可用性降低或不可用系统/网络过载网络流量过
11、载或系统资源耗竭而导致可用性降低或不可用环境威胁极端的温度/湿度资产所处环境的温度/湿度发生剧烈变化,超出正常范围。空调设施不足供电不足电力中断或者供电不稳定落尘环境中存在严重的落尘冋题环境污染资产所处环境受到污染,包括有毒气体和液体电磁辐射/干扰资产所处环境存在电磁辐射或干扰静电资产所处环境存在严重的静电冋题鼠害资产所处环境存在鼠害战争资产所处环境可能发生战争电压波动电压波动,超出设备能承受的正常范围自然威胁地震资产所处环境可能发生地震水患资产所处环境可能发生水灾/漏水情况台风资产所处环境可能发生台风闪电资产所处环境可能发生严重的雷电天气火灾资产所处环境可能发生火灾龙卷风资产所处环境可能发生
12、龙卷风附件2:威胁赋值表等级标识定义5很高出现的频率很咼(或1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过4高的频率较咼(或1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过3中出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过2低出现的频率较小;或一般不太可能发生;或没有被证实发生过1很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生附件3:信息科技脆弱性清单序口,号常见脆脆弱性清单组织信息安全职责1缺之有效的信息安全组织2安全责任不够明确3未与第三方签署必要的保密协议,或没有相关的合同,以约束外包方的行为,特别是针对网络信息安
13、全冋题资产管理1没有进行规范的信息资产标识、分类2未建立信息使用(建立、销毁)流程3缺之合理的客户信息资产管理机制人力资源安全1权限的滥用2操作失误,培训不足3特权管理员的筛选制度不够完善4缺乏相应的奖惩措施5安全技术培训不足,执行力度不够6人员离职率咼7员工工作量过大,维护人员不足8不正确的系统配置9对于人员流动状态不能及时更新物理与环境安全1机房环境不洁净2防静电措施不力3缺乏对温湿度的控制4自然老化5电源容量不足6硬件故障7硬件无检查机制,硬件设备没有得到正确的维护8机房没有紧急出口9供电无双回路,电源短路10缺之有效的门禁系统或物理访冋控制机制11缺乏对安全区域的划分12缺乏UPS断电
14、保护机制13缺乏防火措施14缺乏防水措施15缺乏防静电措施16缺乏防鼠措施通讯与操作管理1从内部对信息或信息处理功能的恶意破坏2备份介质安全性不够3通过易于接入的Modem入到内部网络4未根据功能不同,实现网络逻辑上的隔离5缺乏对上网行为的管控6缺乏对敏感信息的权限的审计与跟踪7重要的信息未经加密传输8未对主机进行安全加固和配置9没有基于系统的漏洞评估10缺乏对信息操作安全规范,带来安全隐患11对于远程传输未使用加密12对备份信息没有定期进行测试13没有定期检查信息系统的安全14没有对打印后的纸张文档进行管理15没有文档化的配置、变更、操作管理流程16缺乏统一的信息共享平台,通过共享文件夹方式共享信息,且未设定权限17对重要的数据缺乏备份机制18缺乏对系统日志的保护19没有对系统进行容量规划、控制和预测,导致系统不能为信息提供足够的资源;缺之处理能力和存储空间监测和预测机制。20未建立安全的信息交换机制21系统安全漏洞,安全补丁更新不及时,没有米用补丁自动更新机制,没有安全评估,没有检查升级状况
