4 商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型的實現(xiàn)

    4.1風(fēng)險評估的實現(xiàn)框架

    商業(yè)銀行隨時面對遭遇傷害和損失的可能性，而這些風(fēng)險由關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱點來確定。實現(xiàn)信息系統(tǒng)風(fēng)險評估模型，需對信息資產(chǎn)的識別，進行威脅分析和弱點分析，實現(xiàn)框架如圖4所示。

 
圖4 風(fēng)險評估模型實現(xiàn)框架

    信息資產(chǎn)不僅包括硬件設(shè)備，還包括應(yīng)用軟件和信息系統(tǒng)的相關(guān)人員。信息資產(chǎn)的識別與賦值可以通過普查和調(diào)查的方式實現(xiàn)。

    信息系統(tǒng)的威脅來源于內(nèi)部風(fēng)險的管理和外部風(fēng)險環(huán)境的變化，通常使用的手段包括：用戶訪談、異常行為檢測、日志分析等方法進行分析。

    弱點來源于信息系統(tǒng)的安全與業(yè)務(wù)安全需求的不匹配，弱點分析的方法有：應(yīng)用軟件評估、網(wǎng)絡(luò)構(gòu)架評估、人工評估、工具掃描、安全管理審計、策略評估等。

    4.2風(fēng)險評估的實施步驟

    商業(yè)銀行信息系統(tǒng)風(fēng)險評估的實施主要有如下步驟：

    1）對信息系統(tǒng)風(fēng)險戰(zhàn)略進行分析

    商業(yè)銀行首先應(yīng)建立信息系統(tǒng)風(fēng)險戰(zhàn)略，并在內(nèi)部發(fā)布和維護，以對信息安全的支持與承諾，使其與銀行的業(yè)務(wù)發(fā)展相一致。

    信息系統(tǒng)風(fēng)險評估必須對信息系統(tǒng)業(yè)務(wù)支持的可行性進行分析，了解技術(shù)發(fā)展的內(nèi)外部狀況和管理層對信息技術(shù)的支持度等情況，評價信息系統(tǒng)風(fēng)險戰(zhàn)略是否與業(yè)務(wù)發(fā)展戰(zhàn)略相一致。如圖5所示，首先需要確定總風(fēng)險和剩余風(fēng)險；其次把確認(rèn)的風(fēng)險進行排序，建立戰(zhàn)略風(fēng)險和流程風(fēng)險項目；最后確定流程執(zhí)行的效力。

 圖5 信息系統(tǒng)風(fēng)險戰(zhàn)略及流程分析

    2）對風(fēng)險評估內(nèi)容進行詳細(xì)定義。

    建立信息系統(tǒng)風(fēng)險評估范圍的表格，如該項評估所包含的系統(tǒng)、人員、資源等。對信息系統(tǒng)的運行進行評估，如主機系統(tǒng)、硬件設(shè)備、人員管理、災(zāi)難備份、權(quán)限管理等。

    建立信息系統(tǒng)流程評估表格，如主流程、次流程、流程所對應(yīng)的操作；流程中的主要固有風(fēng)險、風(fēng)險的控制手段等。

    3）明確審計的技術(shù)和步驟。

    確定信息系統(tǒng)審計需要使用的技術(shù)和技術(shù)使用的步驟，常用的測試技術(shù)有現(xiàn)場觀察、訪談、審閱、再執(zhí)行、知識評估等。

    4）出具審計報告。

    對信息系統(tǒng)進行測試后，出具評估報告。評估報告應(yīng)包括信息系統(tǒng)的基本情況、面臨的內(nèi)外部風(fēng)險、評估所發(fā)現(xiàn)的問題、對評估發(fā)現(xiàn)事項提出的建議。

    5）風(fēng)險問題的跟蹤和跟進。

    評估完成后，對發(fā)現(xiàn)的問題需根據(jù)問題的重要性和對象，提出報告并跟蹤解決。

    5 結(jié)束語

    將業(yè)務(wù)評估模型和技術(shù)評估模型相結(jié)合，建立一套基于商業(yè)銀行信息系統(tǒng)風(fēng)險評估評估模型與實施方法，可以避免傳統(tǒng)評估模型應(yīng)用在商業(yè)銀行風(fēng)險評估上的片面性。并通對商業(yè)銀行的資產(chǎn)、威脅、脆弱性、風(fēng)險進行識別，發(fā)現(xiàn)控制缺陷、漏洞和以前從信息系統(tǒng)內(nèi)部看不到的潛在風(fēng)險，提出有效的解決方案，幫助商業(yè)銀行建立健全內(nèi)部控制制度，并根據(jù)業(yè)務(wù)發(fā)展的需要，明確信息化建設(shè)的目標(biāo)和內(nèi)容，不斷調(diào)整現(xiàn)有的信息系統(tǒng)管理架構(gòu)和流程，使其更好地服務(wù)于商業(yè)銀行的業(yè)務(wù)管理。

    參考文獻

[1] COBIT Security Baseline  Copyright © 2004 by the IT Governance Institute. ISBN: 1-893209-79-2
[2] CISA REVIEW MANUAL 2004. Copyright 2003 the Information System Audit and Control Association Inc.
[3] 孫強主編.信息系統(tǒng)審計：安全、風(fēng)險管理與控制.機械工業(yè)出版社 2003.09
[4] 中國信息安全產(chǎn)品測評認(rèn)證中心編著  信息安全標(biāo)準(zhǔn)與法律法規(guī)  人民郵電出版社 2003.09
[5] 周支元.王如龍 基于面向?qū)ο蟮臋?quán)限管理系統(tǒng)設(shè)計與實現(xiàn) [J]．計算技術(shù)與自動化2004，（3）：96—98．
[6] 趙戰(zhàn)生.信息安全風(fēng)險評估，中科院研究生院信息安全國家重點實驗室 2004。7
[7] 鄧子云.王如龍  網(wǎng)上銀行的安全方案 [J]．信息安全與通訊保密  2005（6）：122—123．

作者簡介：

    楊烺（1973-），男，湖南常德人，CISA（國際注冊信息系統(tǒng)審計師），碩士研究生，主要研究方向：軟件項目管理、信息系統(tǒng)風(fēng)險評估與審計。聯(lián)系電話：13874874970
    西米莎（1981－），女，湖南沅陵人 ，碩士研究生，主要研究方向：軟件工程、IT項目管理、企業(yè)信息化、聯(lián)系電話：13874881761  
    王如龍(1954- )，男，湖南益陽人，湖南大學(xué)教授、湖南省計算技術(shù)研究所研究員，主要研究方向：企業(yè)信息化、軟件工程、IT項目管理。
Email: Wangrulong@temco.com .cn    聯(lián)系電話：13808460316