信息平臺(tái)風(fēng)險(xiǎn)評(píng)估探索

1、信息平臺(tái)風(fēng)險(xiǎn)評(píng)估體系探索信息化作為企業(yè)經(jīng)濟(jì)的支撐，在加快實(shí)現(xiàn)企業(yè)信息化建設(shè)的 過(guò)程中，越來(lái)越關(guān)注信息化項(xiàng)目的合理性、有效性、經(jīng)濟(jì)性、可 用性和安全性。在這種需求的推動(dòng)下，信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估走上了 企業(yè)風(fēng)險(xiǎn)控制的前臺(tái)，成為企業(yè)信息化項(xiàng)目治理的重要組成部 分。運(yùn)用先進(jìn)的評(píng)估方法，逐步完善信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程， 建立適合我們行業(yè)風(fēng)險(xiǎn)特征的評(píng)估的模型，并通過(guò)信息系統(tǒng)風(fēng)險(xiǎn) 評(píng)估的手段，保障信息資產(chǎn)的安全、數(shù)據(jù)的完整、提高信息系統(tǒng) 的效率，可以使我們不斷加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理和內(nèi)部控制，以 適應(yīng)風(fēng)險(xiǎn)環(huán)境日益復(fù)雜化的需要，以確保信息系統(tǒng)安全、穩(wěn)定、 有效運(yùn)行。2企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析2.1企業(yè)信息系統(tǒng)基本特征企

2、業(yè)不斷完善信息管理系統(tǒng)，實(shí)現(xiàn)信息系統(tǒng)的電子化、網(wǎng)絡(luò) 化，使企業(yè)的信息系統(tǒng)具有了新的特點(diǎn)。1）企業(yè)業(yè)務(wù)系統(tǒng)的特點(diǎn)第一，是系統(tǒng)支持的業(yè)務(wù)特性和業(yè)務(wù)功能。即指系統(tǒng)提供的 功能應(yīng)該較為全面強(qiáng)大，且有一定的針對(duì)性，完全滿足企業(yè)現(xiàn)有 業(yè)務(wù)應(yīng)用的需要。第二，是系統(tǒng)的易用性。即指界面友好，易學(xué)易用；隨功能 可見在線聯(lián)機(jī)幫助；有應(yīng)用快捷通道；可根據(jù)工作特性和喜好定 制個(gè)性化功能界面及菜單選項(xiàng)；以圖形方式呈現(xiàn)業(yè)務(wù)流程及系統(tǒng) 功能，以引導(dǎo)操作者順利快捷的操作；可根據(jù)業(yè)務(wù)邏輯特點(diǎn)及關(guān) 注程度將業(yè)務(wù)數(shù)據(jù)信息進(jìn)行聯(lián)動(dòng)。第三，是系統(tǒng)的穩(wěn)定性和高可用性。即指系統(tǒng)是否能夠長(zhǎng)期 穩(wěn)定地給予用戶應(yīng)用請(qǐng)求的及時(shí)反饋。主要包括：是否基

3、于成熟 的平臺(tái)開發(fā)；是否經(jīng)過(guò)數(shù)百個(gè)實(shí)際客戶應(yīng)用的檢驗(yàn)；在運(yùn)行中能 否給予客戶均稀響應(yīng)，當(dāng)用戶數(shù)量達(dá)到一定量時(shí)，響應(yīng)速度會(huì)否 降低或者死機(jī)；會(huì)不會(huì)出現(xiàn)數(shù)據(jù)丟失現(xiàn)象；有沒(méi)有防止因誤操作 對(duì)數(shù)據(jù)造成損害的保護(hù)措施；對(duì)客戶錄入的數(shù)據(jù)是否有合法性判 定等。第四，是系統(tǒng)的可適用性和靈活性。通常系統(tǒng)技術(shù)實(shí)現(xiàn)的架 構(gòu)，決定了系統(tǒng)是否適用性和靈活性。主要包括：系統(tǒng)的業(yè)務(wù)流 程及輸入輸出表單是否可自定義、報(bào)表格式及報(bào)表輸出文件格 式；查詢條件，相關(guān)計(jì)算公式，數(shù)據(jù)來(lái)源等是否可自定義；系統(tǒng) 數(shù)據(jù)表格字段能否自定義重構(gòu)等；能否支持客戶端的多樣性從而 無(wú)需編程就能滿足不同行業(yè)和不同企業(yè)個(gè)性化需要，以及企業(yè)未 來(lái)發(fā)展對(duì)新業(yè)

4、務(wù)或業(yè)務(wù)改造的應(yīng)用需要。第五，是系統(tǒng)的擴(kuò)展性。即指系統(tǒng)是否易于擴(kuò)展或與其他系 統(tǒng)易于集成（在企業(yè)當(dāng)中總是存在多個(gè)系統(tǒng)，而企業(yè)的業(yè)務(wù)是相 關(guān)關(guān)聯(lián)的，所以存在將系統(tǒng)集成的客觀需求）。第六，是系統(tǒng)的易維護(hù)和易管理性。即指系統(tǒng)易維護(hù)和管理， 通過(guò)配置就可以實(shí)現(xiàn)；數(shù)據(jù)可備份恢復(fù)，防止系統(tǒng)崩潰帶來(lái)的損 失；軟件界面、皮膚、菜單、功能都可定義等。第七，是系統(tǒng)的安全性。即指系統(tǒng)能否很好地處理和應(yīng)對(duì)來(lái) 自各層面存在的安全問(wèn)題。2）信息系統(tǒng)的構(gòu)成主要業(yè)務(wù)系統(tǒng)包括營(yíng)銷信息系統(tǒng)、專賣管理系統(tǒng)、辦公自動(dòng) 化系統(tǒng)、財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)等等。3）網(wǎng)絡(luò)拓?fù)浞治鯥nternet原辦公區(qū)外網(wǎng)服務(wù)器fl日FlW|W Er|ail

5、 蹴器核心網(wǎng)庫(kù)房部?jī)?nèi)網(wǎng)服務(wù)器網(wǎng)培管理認(rèn)迎務(wù)器II省局 Cisco7201 省局 Cimco7206NG FW4000ADSLCiico7206區(qū)縣農(nóng)行訂單部2.2信息系統(tǒng)風(fēng)險(xiǎn)的特點(diǎn)業(yè)務(wù)處理中對(duì)及時(shí)性和可靠性的特殊需求，使得信息系統(tǒng)風(fēng) 險(xiǎn)體現(xiàn)出明顯的行業(yè)特征。1）信息系統(tǒng)風(fēng)險(xiǎn)的業(yè)務(wù)特點(diǎn)網(wǎng)絡(luò)和安全技術(shù)的飛速發(fā)展，使得信息技術(shù)越來(lái)越成為整個(gè) 企業(yè)管理和業(yè)務(wù)需求的有力支撐。因此企業(yè)對(duì)數(shù)據(jù)完整性要求極 高，對(duì)業(yè)務(wù)和數(shù)據(jù)的可用性、安全性，以及對(duì)業(yè)務(wù)中斷和數(shù)據(jù)丟 失等事故的防范和處理要求十分嚴(yán)格。2）信息系統(tǒng)風(fēng)險(xiǎn)的技術(shù)特點(diǎn)企業(yè)開展信息化的時(shí)間較長(zhǎng)，其應(yīng)用系統(tǒng)較為普及，但長(zhǎng)期 來(lái)，信息系統(tǒng)相對(duì)較為封閉。近年來(lái)

6、，隨著信息系統(tǒng)的要求越來(lái) 越高，信息系統(tǒng)不斷整合，數(shù)據(jù)的集中，對(duì)網(wǎng)絡(luò)依賴程度越來(lái)越 高。3）信息系統(tǒng)風(fēng)險(xiǎn)的現(xiàn)狀信息系統(tǒng)本身固有的風(fēng)險(xiǎn)在加大。行業(yè)是信息化技術(shù)與產(chǎn)品 相對(duì)密集的行業(yè)，由于信息化規(guī)模的不斷擴(kuò)大，信息技術(shù)迅速發(fā) 展，信息系統(tǒng)所采用信息技術(shù)與信息系統(tǒng)軟硬件本身存在著很大 的脆弱性，如果這些脆弱性被特定的威脅所利用，就會(huì)產(chǎn)生風(fēng)險(xiǎn)， 從而對(duì)信息系統(tǒng)的機(jī)密性、完整性及可用性產(chǎn)生損害。數(shù)據(jù)集后使信息系統(tǒng)風(fēng)險(xiǎn)不易分解。數(shù)據(jù)集中后信息系統(tǒng)風(fēng) 險(xiǎn)增大，系統(tǒng)一旦出現(xiàn)問(wèn)題，將影響到整個(gè)行業(yè)的正常運(yùn)營(yíng)。人 員的風(fēng)險(xiǎn)成為最大的風(fēng)險(xiǎn)。統(tǒng)計(jì)結(jié)果表明，在信息安全事故中， 只有20%30%是由于其他外部原因造成的，

7、70%80%是由于內(nèi) 部員工的疏忽造成的。3信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)3.1信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀與趨勢(shì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估已得到國(guó)際社會(huì)的普遍重視，風(fēng)險(xiǎn)評(píng)估的 重點(diǎn)也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個(gè)管理體系。西方國(guó)家在 實(shí)踐中不斷發(fā)現(xiàn)，風(fēng)險(xiǎn)評(píng)估作為保證信息安全的重要基石發(fā)揮著 關(guān)鍵作用。我國(guó)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作目前還處于起步階段，還沒(méi)有 形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開展信息系統(tǒng)風(fēng)險(xiǎn) 評(píng)估的人才隊(duì)伍。目前我國(guó)所進(jìn)行的一些信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的探 索和嘗試以及開發(fā)的一些計(jì)算機(jī)審計(jì)軟件還大都停留在對(duì)被評(píng) 估單位的電子數(shù)據(jù)進(jìn)行處理的階段。無(wú)論是國(guó)際上大型的跨國(guó)公 司還是國(guó)內(nèi)一些規(guī)模較大的企業(yè)都在不

8、斷地?cái)U(kuò)大信息技術(shù)在其 經(jīng)營(yíng)活動(dòng)的應(yīng)用范圍，運(yùn)用傳統(tǒng)的信息技術(shù)和風(fēng)險(xiǎn)評(píng)估知識(shí)已經(jīng) 不能實(shí)現(xiàn)真正意義上的“風(fēng)險(xiǎn)基礎(chǔ)模式”的風(fēng)險(xiǎn)評(píng)估，這些都影 響到我國(guó)IT治理和信息系統(tǒng)風(fēng)險(xiǎn)控制的實(shí)施。隨著行業(yè)經(jīng)營(yíng)管理活動(dòng)對(duì)信息技術(shù)的高度依存，信息科技風(fēng) 險(xiǎn)控制已成為行業(yè)風(fēng)險(xiǎn)管理的重要內(nèi)容，并需要從戰(zhàn)略的角度將 信息系統(tǒng)與實(shí)現(xiàn)公司治理的總體目標(biāo)緊密聯(lián)系在一起。因此，解 析信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀及存在的問(wèn)題，并根據(jù)國(guó)際經(jīng)驗(yàn)與我 國(guó)實(shí)際情況進(jìn)行差異性分析，最后，找到行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估 的有效方法，由此，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估在行業(yè)的飛躍。3.2行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的設(shè)計(jì)在目前所應(yīng)用的風(fēng)險(xiǎn)控制與評(píng)估模型中，基本區(qū)分為

9、兩類， 一類是基于業(yè)務(wù)風(fēng)險(xiǎn)控制的風(fēng)險(xiǎn)評(píng)估模型，這類模型的基礎(chǔ)是傳 統(tǒng)的風(fēng)險(xiǎn)評(píng)估理論，因此更加注重于業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng) 險(xiǎn)管理；另一類是關(guān)注于技術(shù)控制的風(fēng)險(xiǎn)評(píng)估模型，這類模型建 立在相關(guān)的信息安全標(biāo)準(zhǔn)之上，主要考慮的是技術(shù)的實(shí)現(xiàn)架構(gòu)和 實(shí)現(xiàn)方式，評(píng)估系統(tǒng)的技術(shù)風(fēng)險(xiǎn)。企業(yè)在面對(duì)實(shí)際的信息風(fēng)險(xiǎn)時(shí)，需要建立定位于信息全面管 理的風(fēng)險(xiǎn)評(píng)估模型。因此，必須結(jié)合業(yè)務(wù)風(fēng)險(xiǎn)模型和技術(shù)風(fēng)險(xiǎn)模 型的相關(guān)方法，通過(guò)分析系統(tǒng)自身內(nèi)部控制機(jī)制中存在的薄弱環(huán) 節(jié)和危險(xiǎn)因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行 為，完成系統(tǒng)弱點(diǎn)和安全威脅的定性分析，在信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn) 各要素之間建立風(fēng)險(xiǎn)評(píng)估模型。信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估

10、模型由三個(gè)基本元素組成，分別是核心 業(yè)務(wù)系統(tǒng)、信息系統(tǒng)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的方法和技術(shù)。核心業(yè)務(wù)系統(tǒng)是業(yè)務(wù)運(yùn)轉(zhuǎn)的基礎(chǔ)，是固有風(fēng)險(xiǎn)的體現(xiàn)，它通 過(guò)硬件平臺(tái)的支撐、應(yīng)用軟件的設(shè)計(jì)、數(shù)據(jù)資源的管理，實(shí)現(xiàn)業(yè) 務(wù)職能。信息系統(tǒng)風(fēng)險(xiǎn)管理，是控制剩余風(fēng)險(xiǎn)的能力。它主要包括系 統(tǒng)建設(shè)風(fēng)險(xiǎn)控制、系統(tǒng)數(shù)據(jù)完備性、系統(tǒng)功能實(shí)現(xiàn)、業(yè)務(wù)流程風(fēng) 險(xiǎn)控制、數(shù)據(jù)遷移等6個(gè)方面。風(fēng)險(xiǎn)評(píng)估的方法和技術(shù)，是風(fēng)險(xiǎn)評(píng)估和控制的手段。它針對(duì) 信息系統(tǒng)風(fēng)險(xiǎn)管理的需求和特點(diǎn)，采用不同的風(fēng)險(xiǎn)評(píng)估方法和技 術(shù)，識(shí)別固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)，對(duì)信息系統(tǒng)進(jìn)行整體風(fēng)險(xiǎn)的評(píng)估。4信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的實(shí)現(xiàn)4.1風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)框架企業(yè)隨時(shí)面對(duì)遭遇傷害和損失的可能

11、性，而這些風(fēng)險(xiǎn)由關(guān)鍵 信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱點(diǎn)來(lái)確定。實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型，需對(duì)信息資產(chǎn)的識(shí)別，進(jìn)行威脅分析和弱點(diǎn)分析，實(shí)現(xiàn)框架如圖所示。威分析演產(chǎn)普查用戶訪談黃產(chǎn)調(diào)查異常行為檢測(cè)日志分析風(fēng)險(xiǎn)評(píng)估模型實(shí)現(xiàn)框架信息資產(chǎn)不僅包括硬件設(shè)備，還包括應(yīng)用軟件和信息系統(tǒng)的 相關(guān)人員。信息資產(chǎn)的識(shí)別與賦值可以通過(guò)普查和調(diào)查的方式實(shí) 現(xiàn)。信息系統(tǒng)的威脅來(lái)源于內(nèi)部風(fēng)險(xiǎn)的管理和外部風(fēng)險(xiǎn)環(huán)境的 變化，通常使用的手段包括：用戶訪談、異常行為檢測(cè)、日志分 析等方法進(jìn)行分析。弱點(diǎn)來(lái)源于信息系統(tǒng)的安全與業(yè)務(wù)安全需求的不匹配，弱點(diǎn) 分析的方法有：應(yīng)用軟件評(píng)估、網(wǎng)絡(luò)構(gòu)架評(píng)估、人工評(píng)估、工具 掃描、安

12、全管理審計(jì)、策略評(píng)估等。4.2風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的實(shí)施主要有如下步驟：1）對(duì)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略進(jìn)行分析首先應(yīng)建立信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略，并在內(nèi)部發(fā)布和維護(hù)，以對(duì) 信息安全的支持與承諾，使其與企業(yè)的業(yè)務(wù)發(fā)展相一致。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估必須對(duì)信息系統(tǒng)業(yè)務(wù)支持的可行性進(jìn)行 分析，了解技術(shù)發(fā)展的內(nèi)外部狀況和管理層對(duì)信息技術(shù)的支持度等情況，評(píng)價(jià)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略是否與業(yè)務(wù)發(fā)展戰(zhàn)略相一致。如 圖所示，首先需要確定總風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)；其次把確認(rèn)的風(fēng)險(xiǎn)進(jìn) 行排序，建立戰(zhàn)略風(fēng)險(xiǎn)和流程風(fēng)險(xiǎn)項(xiàng)目；最后確定流程執(zhí)行的效力。透過(guò)此分析，將達(dá)到三個(gè)目的了解IT戰(zhàn)略或流程上的風(fēng)險(xiǎn)J定出可減低戰(zhàn)略性風(fēng)險(xiǎn)的主裝IT流程為風(fēng).險(xiǎn)

13、評(píng)估建立基礎(chǔ)在風(fēng)險(xiǎn)分柝中完成以下工作：確定風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能 力O對(duì)影響及曲嚴(yán)重性作出排序 闡述風(fēng)險(xiǎn)發(fā)生的可能性和頻 率確定和評(píng)估額外吸險(xiǎn)1.確定總風(fēng)險(xiǎn)及剩余風(fēng)險(xiǎn)考慮特關(guān)風(fēng)險(xiǎn)前后的 結(jié)果2.把確認(rèn)的風(fēng)險(xiǎn)作出排序險(xiǎn)內(nèi)容，以認(rèn)-叮的準(zhǔn) 則排序，以確定整體 風(fēng)險(xiǎn)的童要性3.確定相關(guān)流程的效力確定個(gè)別風(fēng)險(xiǎn)相關(guān)之 流程和內(nèi)部審計(jì)執(zhí)行 的效力信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略及流程分析2）對(duì)風(fēng)險(xiǎn)評(píng)估內(nèi)容進(jìn)行詳細(xì)定義。建立信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍的表格，如該項(xiàng)評(píng)估所包含的系 統(tǒng)、人員、資源等。對(duì)信息系統(tǒng)的運(yùn)行進(jìn)行評(píng)估，如主機(jī)系統(tǒng)、 硬件設(shè)備、人員管理、災(zāi)難備份、權(quán)限管理等。建立信息系統(tǒng)流程評(píng)估表格，如主流程、次流程、流程所對(duì) 應(yīng)的操作；流程中的主要固有風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的控制手段等。3）明確審計(jì)的技術(shù)和步驟。確定信息系統(tǒng)審計(jì)需要使用的技術(shù)和技術(shù)使用的步驟，常用 的測(cè)試技術(shù)有現(xiàn)場(chǎng)觀察、訪談、審閱、再執(zhí)行、知識(shí)評(píng)估等。4）出具審計(jì)報(bào)告。對(duì)信息系統(tǒng)進(jìn)行測(cè)試后，出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)包括信 息系統(tǒng)的基本情況、面臨的內(nèi)外部風(fēng)險(xiǎn)、評(píng)估所發(fā)現(xiàn)的問(wèn)題、對(duì) 評(píng)估發(fā)現(xiàn)事項(xiàng)提出的建議。5）風(fēng)險(xiǎn)問(wèn)題的跟蹤和跟進(jìn)。評(píng)估完成后，對(duì)發(fā)現(xiàn)的問(wèn)題需根據(jù)問(wèn)題的重要性和對(duì)象，提 出報(bào)告并跟