4 商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的實(shí)現(xiàn)

    4.1風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)框架

    商業(yè)銀行隨時(shí)面對(duì)遭遇傷害和損失的可能性，而這些風(fēng)險(xiǎn)由關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱點(diǎn)來(lái)確定。實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型，需對(duì)信息資產(chǎn)的識(shí)別，進(jìn)行威脅分析和弱點(diǎn)分析，實(shí)現(xiàn)框架如圖4所示。

 
圖4 風(fēng)險(xiǎn)評(píng)估模型實(shí)現(xiàn)框架

    信息資產(chǎn)不僅包括硬件設(shè)備，還包括應(yīng)用軟件和信息系統(tǒng)的相關(guān)人員。信息資產(chǎn)的識(shí)別與賦值可以通過(guò)普查和調(diào)查的方式實(shí)現(xiàn)。

    信息系統(tǒng)的威脅來(lái)源于內(nèi)部風(fēng)險(xiǎn)的管理和外部風(fēng)險(xiǎn)環(huán)境的變化，通常使用的手段包括：用戶訪談、異常行為檢測(cè)、日志分析等方法進(jìn)行分析。

    弱點(diǎn)來(lái)源于信息系統(tǒng)的安全與業(yè)務(wù)安全需求的不匹配，弱點(diǎn)分析的方法有：應(yīng)用軟件評(píng)估、網(wǎng)絡(luò)構(gòu)架評(píng)估、人工評(píng)估、工具掃描、安全管理審計(jì)、策略評(píng)估等。

    4.2風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟

    商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的實(shí)施主要有如下步驟：

    1）對(duì)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略進(jìn)行分析

    商業(yè)銀行首先應(yīng)建立信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略，并在內(nèi)部發(fā)布和維護(hù)，以對(duì)信息安全的支持與承諾，使其與銀行的業(yè)務(wù)發(fā)展相一致。

    信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估必須對(duì)信息系統(tǒng)業(yè)務(wù)支持的可行性進(jìn)行分析，了解技術(shù)發(fā)展的內(nèi)外部狀況和管理層對(duì)信息技術(shù)的支持度等情況，評(píng)價(jià)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略是否與業(yè)務(wù)發(fā)展戰(zhàn)略相一致。如圖5所示，首先需要確定總風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)；其次把確認(rèn)的風(fēng)險(xiǎn)進(jìn)行排序，建立戰(zhàn)略風(fēng)險(xiǎn)和流程風(fēng)險(xiǎn)項(xiàng)目；最后確定流程執(zhí)行的效力。

 圖5 信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略及流程分析

    2）對(duì)風(fēng)險(xiǎn)評(píng)估內(nèi)容進(jìn)行詳細(xì)定義。

    建立信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍的表格，如該項(xiàng)評(píng)估所包含的系統(tǒng)、人員、資源等。對(duì)信息系統(tǒng)的運(yùn)行進(jìn)行評(píng)估，如主機(jī)系統(tǒng)、硬件設(shè)備、人員管理、災(zāi)難備份、權(quán)限管理等。

    建立信息系統(tǒng)流程評(píng)估表格，如主流程、次流程、流程所對(duì)應(yīng)的操作；流程中的主要固有風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的控制手段等。

    3）明確審計(jì)的技術(shù)和步驟。

    確定信息系統(tǒng)審計(jì)需要使用的技術(shù)和技術(shù)使用的步驟，常用的測(cè)試技術(shù)有現(xiàn)場(chǎng)觀察、訪談、審閱、再執(zhí)行、知識(shí)評(píng)估等。

    4）出具審計(jì)報(bào)告。

    對(duì)信息系統(tǒng)進(jìn)行測(cè)試后，出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)包括信息系統(tǒng)的基本情況、面臨的內(nèi)外部風(fēng)險(xiǎn)、評(píng)估所發(fā)現(xiàn)的問(wèn)題、對(duì)評(píng)估發(fā)現(xiàn)事項(xiàng)提出的建議。

    5）風(fēng)險(xiǎn)問(wèn)題的跟蹤和跟進(jìn)。

    評(píng)估完成后，對(duì)發(fā)現(xiàn)的問(wèn)題需根據(jù)問(wèn)題的重要性和對(duì)象，提出報(bào)告并跟蹤解決。

    5 結(jié)束語(yǔ)

    將業(yè)務(wù)評(píng)估模型和技術(shù)評(píng)估模型相結(jié)合，建立一套基于商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估模型與實(shí)施方法，可以避免傳統(tǒng)評(píng)估模型應(yīng)用在商業(yè)銀行風(fēng)險(xiǎn)評(píng)估上的片面性。并通對(duì)商業(yè)銀行的資產(chǎn)、威脅、脆弱性、風(fēng)險(xiǎn)進(jìn)行識(shí)別，發(fā)現(xiàn)控制缺陷、漏洞和以前從信息系統(tǒng)內(nèi)部看不到的潛在風(fēng)險(xiǎn)，提出有效的解決方案，幫助商業(yè)銀行建立健全內(nèi)部控制制度，并根據(jù)業(yè)務(wù)發(fā)展的需要，明確信息化建設(shè)的目標(biāo)和內(nèi)容，不斷調(diào)整現(xiàn)有的信息系統(tǒng)管理架構(gòu)和流程，使其更好地服務(wù)于商業(yè)銀行的業(yè)務(wù)管理。

    參考文獻(xiàn)

[1] COBIT Security Baseline  Copyright © 2004 by the IT Governance Institute. ISBN: 1-893209-79-2
[2] CISA REVIEW MANUAL 2004. Copyright 2003 the Information System Audit and Control Association Inc.
[3] 孫強(qiáng)主編.信息系統(tǒng)審計(jì)：安全、風(fēng)險(xiǎn)管理與控制.機(jī)械工業(yè)出版社 2003.09
[4] 中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心編著  信息安全標(biāo)準(zhǔn)與法律法規(guī)  人民郵電出版社 2003.09
[5] 周支元.王如龍 基于面向?qū)ο蟮臋?quán)限管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) [J]．計(jì)算技術(shù)與自動(dòng)化2004，（3）：96—98．
[6] 趙戰(zhàn)生.信息安全風(fēng)險(xiǎn)評(píng)估，中科院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室 2004。7
[7] 鄧子云.王如龍  網(wǎng)上銀行的安全方案 [J]．信息安全與通訊保密  2005（6）：122—123．

作者簡(jiǎn)介：

    楊烺（1973-），男，湖南常德人，CISA（國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師），碩士研究生，主要研究方向：軟件項(xiàng)目管理、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與審計(jì)。聯(lián)系電話：13874874970
    西米莎（1981－），女，湖南沅陵人 ，碩士研究生，主要研究方向：軟件工程、IT項(xiàng)目管理、企業(yè)信息化、聯(lián)系電話：13874881761  
    王如龍(1954- )，男，湖南益陽(yáng)人，湖南大學(xué)教授、湖南省計(jì)算技術(shù)研究所研究員，主要研究方向：企業(yè)信息化、軟件工程、IT項(xiàng)目管理。
Email: Wangrulong@temco.com .cn    聯(lián)系電話：13808460316