商業(yè)銀行信息系統(tǒng)風(fēng)險評估管理制度與流程

1、商業(yè)銀行信息系統(tǒng)風(fēng)險評估管理制度與流程信息系統(tǒng)風(fēng)險評估管理制度第一章總則第一條 為規(guī)范商業(yè)銀行(以下簡稱“本行”)通過定性方式對信 息系統(tǒng)進(jìn)行風(fēng)險評估，系統(tǒng)地識別本行信息系統(tǒng)所面臨的風(fēng)險并 確定風(fēng)險控制的優(yōu)先等級，從而對其實施有效控制，將風(fēng)險降低 到本行可以接受的水平之內(nèi)。本管理制度與其它文件(BCP、DRP、 風(fēng)險預(yù)警控制程序)一起構(gòu)成原則性的管理制度。第二條本管理制度所稱信息系統(tǒng)風(fēng)險評估是指通過識別并評估 資產(chǎn)、威脅、影響/損失、脆弱點以及已采取的安全措施，進(jìn)而 評估威脅發(fā)生的可能性及其損失，從而確定風(fēng)險等級的活動。第三條威脅可能對銀行造成損害的不期望事件的潛在原因。第四條脆弱點是指可能被

2、一個或多個威脅所利用的弱點。第五條風(fēng)險特定的威脅利用脆弱點，進(jìn)而對銀行造成損害的不期望事件。第六條 保密性(C Confidentiality)確保信息僅僅為那些被授權(quán)使用的人獲取。第七條 完整性(I Integrity)確保信息和信息處理方法的正確性和完整性。第八條可用性（A Availability）確保經(jīng)過授權(quán)的用戶在需要時能獲取信息和相關(guān)資產(chǎn)。第九條 本管理制度適用于本行信息系統(tǒng)風(fēng)險評估的管理。第二章職責(zé)與權(quán)限第十條行長職責(zé)（一）確定風(fēng)險的可接受準(zhǔn)則；（二）批準(zhǔn)“風(fēng)險評估計劃”；（三）批準(zhǔn)“風(fēng)險評估報告”和殘余風(fēng)險；（四）批準(zhǔn)“風(fēng)險處置計劃”。第十一條分管行長職責(zé)（一）監(jiān)視信息資產(chǎn)所面

3、臨的威脅和脆弱點的重大變化，適時組織進(jìn)行風(fēng)險評估；（二）確定風(fēng)險評估的范圍；（三）組織風(fēng)險評估小組，任命組長和組員。第十二條風(fēng)險評估小組負(fù)責(zé)實施銀行信息資產(chǎn)的風(fēng)險評估，并 驗證風(fēng)險處置措施有效性。第十三條科技信息部職責(zé)（一）信息系統(tǒng)風(fēng)險方案的提出（二）組織成立信息系統(tǒng)風(fēng)險評估小組（三）保管信息系統(tǒng)風(fēng)險評估的有關(guān)文檔和記錄。第三章管理內(nèi)容第十四條風(fēng)險評估的周期（一）一般情況下，銀行每兩年進(jìn)行一次風(fēng)險評估。特殊情況下 可增加風(fēng)險評估的頻次，由信息科技委員會確定，按本管理制度 實施。（二）特殊情況包括：本行新增重要信息資產(chǎn)；信息資產(chǎn)所處環(huán)境發(fā)生重大變化；組織機構(gòu)、技術(shù)發(fā)生重大變化；本行認(rèn)為有必要的其

4、他情況。信息系統(tǒng)風(fēng)險評估管理流程一、流程圖徂昨藝3 自洗.七險訂ILT7似粉W5E.匚他ihUi 匯 flO3 W1、流程說明（一）策劃方案科技信息部首先對信息系統(tǒng)風(fēng)險進(jìn)行方案的策劃，交分管行長審 核，分管行長確定風(fēng)險評估范圍。風(fēng)險評估的范圍可以是整個信 息安全管理體系覆蓋的范圍，也可以是某個物理區(qū)域或某個業(yè)務(wù) 流程。（二）成立組織分管行長根據(jù)風(fēng)險評估范圍，組織有關(guān)人員成立風(fēng)險評估小組， 并任命組長和組員。小組成員應(yīng)包括本行管理層、部門經(jīng)理、信 息安全人員、信息資產(chǎn)的管理人員及相關(guān)的技術(shù)人員。（三）培訓(xùn)小組成員應(yīng)熟悉銀行信息系統(tǒng)運作情況并經(jīng)過必要的風(fēng)險評估 知識培訓(xùn)。培訓(xùn)的內(nèi)容主要有：.確定風(fēng)

5、險的可接受準(zhǔn)則原則上中等風(fēng)險（即M級）和低風(fēng)險（即L級）為可接受風(fēng) 險，極大風(fēng)險（即E級）和高風(fēng)險（即H級）為不可接受風(fēng)險。.風(fēng)險評估計劃根據(jù)策劃的結(jié)果，風(fēng)險評估組組長編制“風(fēng)險評估計劃”，經(jīng)行 長批準(zhǔn)后發(fā)放至有關(guān)部門?！帮L(fēng)險評估計劃”的內(nèi)容包括評估目 的、評估范圍、評估小組以及評估日程安排等。（四）風(fēng)險識別與評估信息資產(chǎn)識別（1）風(fēng)險評估小組對信息資產(chǎn)及其責(zé)任部門進(jìn)行識別，將結(jié)果填入“信息資產(chǎn)清單”中。（2）信息資產(chǎn)分類根據(jù)資產(chǎn)的性質(zhì)以及可能面臨的風(fēng)險的不同，將信息資產(chǎn)分為以 下幾類：信息及其承載媒體：設(shè)計開發(fā)和測試過程中產(chǎn)生的設(shè)計和測 試文件，技術(shù)資料，項目管理文件，樣品，產(chǎn)品銷售相關(guān)的市

6、場 營銷策略，市場信息，客戶信息，銷售合同，產(chǎn)品數(shù)據(jù)，管理文 件，人事信息，財務(wù)信息等；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具、測試軟件等；實物資產(chǎn)：產(chǎn)品（包括成品、在制品及不合格品），生產(chǎn)設(shè)備，測試設(shè)備，計算機設(shè)備，網(wǎng)絡(luò)設(shè)備，其他的技術(shù)型設(shè)備（電源、 空調(diào)），處所等；人員：具有特定技能的職員，包括員工、客戶、承包人、保 安人員等；服務(wù)：網(wǎng)絡(luò)接入、供電、供水、供熱、設(shè)備外包維護(hù)、廢物 處理等；組織形象與聲譽：企業(yè)形象、公共關(guān)系等。威脅識別（1）識別信息資產(chǎn)的安全屬性信息資產(chǎn)具有保密性（C）、完整性（I）、可用性（A）三個安全 屬性（以下簡稱C.I.A安全屬性）。風(fēng)險評估小組識別資產(chǎn)的安 全屬性

7、并填入“風(fēng)險評估匯總表”中。不同的信息資產(chǎn)可能具有 不同的C.I.A安全屬性。（2）風(fēng)險評估小組根據(jù)信息資產(chǎn)的C.I.A安全屬性、所處的環(huán) 境、信息資產(chǎn)以前遭受的威脅損害等因素，識別信息資產(chǎn)可能面 臨的威脅，將識別結(jié)果填入“風(fēng)險評估匯總表”中。一項資產(chǎn)可 能面臨多個威脅，一個威脅也可能影響多個資產(chǎn)。（3）根據(jù)威脅來源的不同，將威脅的類型分為以下幾類：人員威脅：包括故意破壞（如：黑客、間諜、傳播惡意代碼、 蓄意傳播病毒郵件、非授權(quán)訪問、非授權(quán)修改/刪除等）或無意 失誤（如：誤操作、丟失等）；系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或設(shè)備出現(xiàn)的故障（如：系統(tǒng)故障、 硬件故障、存儲媒體老化等）；環(huán)境威脅：供電故障、污染

8、、液體泄漏、火災(zāi)等；脆弱點識別（1）風(fēng)險評估小組識別每項威脅可能利用的脆弱點，將識別結(jié) 果填入“風(fēng)險評估匯總表”中。一項威脅可能利用多個脆弱點， 一個脆弱點也可能被多個威脅所利用。自然威脅：洪水、颶風(fēng)、地震、雷電等。（2）脆弱點來源于以下幾個方面：物理脆弱點：組織的物理布局中存在的漏洞或缺陷；技術(shù)脆弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷；管理脆弱點：安全策略、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方 面存在的不足。威脅發(fā)生可能性的評估（1）風(fēng)險評估小組評估每項威脅發(fā)生的可能性。威脅發(fā)生的可 能性分為幾乎從不發(fā)生、不太可能發(fā)生、可能發(fā)生、很可能發(fā)生 和幾乎肯定發(fā)生。（2）可從以下方面來判定威脅發(fā)生的可

9、能性（包含但不局限于）:信息資產(chǎn)的價值，信息資產(chǎn)的價值決定了其重要性，在一般 情況下，信息資產(chǎn)價值越大，其威脅發(fā)生的可能性越大；信息資產(chǎn)獲取的難易程度，信息資產(chǎn)獲取越簡單，其威脅發(fā) 生的可能性越大；脆弱點的多少及被利用的難易程度；攻擊者能力，包括時間、資源、專業(yè)知識和動機；自然災(zāi)害的歷史數(shù)據(jù)；銀行目前采取的安全措施等。損失/影響評估風(fēng)險評估小組評估威脅發(fā)生后對信息資產(chǎn)的C.I.A安全屬性所 造成的損失影響，將結(jié)果填入“風(fēng)險評估匯總表”。損失/影響按 嚴(yán)重程度的不同可分為五級即可忽略、小、中等、大及災(zāi)難。等 級定義如下：（1）可忽略：最小程度的損知影響，幾乎不影響銀行的業(yè)務(wù)運 作和銀行形象，對銀

10、行和員工不造成負(fù)面影響；（2）小：較小程度的損失/影響，對銀行的業(yè)務(wù)運作和銀行形象 有較小的影響，對于銀行形象和員工士氣有較低程度的影響；（3）中等：中等程度的損失/影響，對銀行業(yè)務(wù)運作和銀行形 象造成了明顯的影響，對銀行形象造成了一定程度的影響，員工 士氣明顯下降；（4）大：較大程度的損失/影響，市場大幅度縮減，外部批評非 常嚴(yán)厲，影響到了所有的員工，士氣和績效受到了影響，承受的 壓力明顯增大；（5）災(zāi)難：最為嚴(yán)重的損失/影響，正常業(yè)務(wù)陷于停頓，市場幾 乎喪失殆盡，造成的影響無可挽回，對員工造成了嚴(yán)重影響。（五）風(fēng)險等級的確定1.風(fēng)險等級由損失/影響等級和威脅發(fā)生的可能性兩個因素共同 決定。

11、在損失/影響等級保持不變的情況下，風(fēng)險等級與威脅發(fā) 生的可能性之間成同方向變動的關(guān)系；在威脅發(fā)生的可能性保持 不變的情況下，風(fēng)險等級與損失/影響等級之間成同方向變動的關(guān)系。2 .根據(jù)確定的威脅發(fā)生的可能性及損失/影響等級，利用風(fēng)險評 估矩陣，確定風(fēng)險等級，將結(jié)果填入“風(fēng)險評估匯總表”。威脅發(fā)生的可能 性損失/影響可忽略小中等大災(zāi)難幾乎肯定發(fā)生HHEEE很可能發(fā)生MHHEE可能發(fā)生LMHEE不太可能發(fā)生LLMHE幾乎從不發(fā)生LLMMH注：E（Extreme risk）：極大風(fēng)險H（High risk）:高風(fēng)險M（Moderate risk）：中等風(fēng)險L（Low risk）:低風(fēng)險（六）風(fēng)險處置根

12、據(jù)風(fēng)險接受準(zhǔn)則判定風(fēng)險是否可接受。風(fēng)險評估小組針對不可 接受的風(fēng)險，填寫“風(fēng)險處置計劃”。.風(fēng)險處置的優(yōu)先級風(fēng)險等級越高，其風(fēng)險處置的優(yōu)先級別也越高，即極大風(fēng)險（E級） 的處置優(yōu)先于其他級別風(fēng)險，高風(fēng)險（H級）的處置優(yōu)先于中等 風(fēng)險（M級）和低風(fēng)險（L級），中等風(fēng)險（M級）的處置優(yōu)先 于低風(fēng)險（L級）。.風(fēng)險處置措施的選擇（1）責(zé)任部門在收到“風(fēng)險處置計劃”后，應(yīng)認(rèn)真進(jìn)行原因分 析，并針對識別的原因，制定相應(yīng)的處置措施，將風(fēng)險降低到組 織可以接受的等級。針對一項資產(chǎn)可能需要采取多個處置措施， 而這些處置措施通常不是單獨作用的，更多的情況是多個處置措 施聯(lián)合作用才能將風(fēng)險降低到可接受的水平。（2

13、）如因技術(shù)水平、風(fēng)險處置的成本等因素的限制而無法對不 可接受的風(fēng)險進(jìn)行有效處置時，責(zé)任部門應(yīng)將下列情況詳細(xì)反應(yīng) 在“風(fēng)險處置計劃”中并報行長審批：a銀行目前采取的措施；b,將該風(fēng)險降低到可接受的水平所需的采取的措施和花費的資源；如果不對該風(fēng)險進(jìn)行處置，銀行可能面臨的問題等。經(jīng)行長批準(zhǔn)后，將該風(fēng)險列入“殘余風(fēng)險表”中。（3）選擇的風(fēng)險處置措施經(jīng)行長審批后實施。責(zé)任部門按批準(zhǔn) 的處置措施認(rèn)真進(jìn)行整改，整改完成后將整改情況反饋至風(fēng)險評 估小組，風(fēng)險評估小組組長指定驗證人員對風(fēng)險處置措施的實施 情況進(jìn)行驗證。如果措施有效，將風(fēng)險降低到銀行可接受的風(fēng)險 等級，可進(jìn)行下一步活動。（4）風(fēng)險處置可包括：控制

14、風(fēng)險：實施有效控制，降低威脅發(fā)生的現(xiàn)實可能性和造 成的影響，將風(fēng)險降低到可以接受的等級，包括：（a）減少威脅， 即通過有效實施風(fēng)險控制措施，避免威脅發(fā)生，從而保護(hù)信息資產(chǎn)；（b）減少脆弱點，即通過有效實施風(fēng)險控制措施，減少脆弱點。 如采取適當(dāng)?shù)募夹g(shù)措施，對員工實施安全教育培訓(xùn)，強化員工的 安全意識和安全操作能力；（c）降低影響，即通過預(yù)防性措施降低威脅發(fā)生后可能造成的 損失。如對重要信息的備份、制定業(yè)務(wù)連續(xù)性計劃等。轉(zhuǎn)嫁風(fēng)險：將風(fēng)險全部或部分地轉(zhuǎn)移到其他責(zé)任方，如通過 購買保險或外包等方式將風(fēng)險轉(zhuǎn)移給他方；避免風(fēng)險：遠(yuǎn)離風(fēng)險環(huán)境或采取與風(fēng)險環(huán)境相隔離的措施。如 將有高安全要求的設(shè)備或業(yè)務(wù)活動設(shè)置在高安全區(qū)中，增加特殊 防護(hù)手段防止設(shè)備或業(yè)務(wù)活動遭受威脅的影響。接受風(fēng)險：接受風(fēng)險的決策，包括接受M級和L級的風(fēng)險 的決定，也包括因技術(shù)、成本等因素被迫接受的H級和E級風(fēng) 險的決策。（七）風(fēng)險評估報告風(fēng)險評估完成后，由風(fēng)險評估小組組長編制“風(fēng)險評估報告”， 經(jīng)行長審批后下發(fā)至有關(guān)部門和人員。（八）殘余風(fēng)險風(fēng)險評估小組將殘余風(fēng)險填入“殘