做好风险评估,提升银行风险管理能力
发布时间:2011-09-27   录入:启明星辰

风险评估的重要性

 

风险管理是一个识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受的水平。风险评估则是对风险发生的可能性及所造成的影响进行分析,是识别风险、评价风险的过程。因此,风险管理就是风险评估、风险控制和风险监测的过程,其中风险评估是风险管理的基础。

 

目前信息科技在银行业中扮演着越来越重要的角色,不仅IT系统高度密集,信息化程度高,同时还事关国计民生,信息科技在极大地促进银行业的发展,为银行业提供巨大发展机会的同时也使银行业面对巨大的技术风险。近年来海内外金融市场因为IT失效引起的银行损失案例比比皆是、层出不穷。如美国黑客入侵花旗银行设在连锁便利店7-Eleven内的自动提款机(ATM)的计算机网络,并盗取客户个人识别码,从2009年10月至2010年3月,盗取至少200万美元;美国男青年阿尔伯特•冈萨雷斯领导的黑客团伙利用计算机技术疯狂作案,先后共盗取超过4000万张信用卡账号和密码。可以预见,随着银行业务对信息科技依赖程度的提高,银行信息科技面临的风险会越来越大。


银监会2009年出台的《商业银行信息科技风险管理指引》中提出了信息科技风险的概念,即“是指信息科技在商业银行运营过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险 ”,信息科技风险管理的目标是“通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制”,保证信息系统安全稳健运行,提高信息技术使用水平,增强核心竞争力和可持续发展能力。信息科技风险评估正是信息科技风险识别、计量的过程,因此也受到各银行的重视。

 

实际上,风险评估应用范围很广。风险评估不仅是风险管理过程中重要的一环,在安全规划、业务连续性管理中也很重要,甚至在做等级保护时也离不开风险评估。

 

风险评估的种类

 

从风险评估的范围来看,信息科技风险评估可以分为整体风险评估和专项风险评估。整体风险评估是指对信息科技的各个方面,如治理,信息安全,信息系统开发、测试与维护,信息科技运行,信息科技外包,业务连续性管理,内外审计进行全面的风险评估;专项风险评估则对信息科技的某一方面、某个系统或者为某个目的进行的评估。如银监会颁布的《电子银行安全评估指引》所讲的安全评估就是对电子银行各系统的风险评估。常见的专项风险评估还可以根据评估对象分为网络评估、系统评估等。

 

整体风险评估侧重于反映宏观层面的风险,应该全面反映影响实现IT目标的风险,可使高级管理层把握信息科技的整体风险状况,从而根据风险状况,进行战略决策,最终提升风险管理能力;专项风险评估则侧重于反映微观层面的风险,反映信息科技某一方面或者某个系统存在的风险,根据风险决定相应的风险的处置措施,降低相关系统面临的风险。它们之间关系如下图所示:
 

风险评估的步骤

 

由于风险有影响和可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此风险评估需要对资产、弱点及威胁进行综合分析。

 

风险评估工作一般有以下几个步骤:

 

步骤1:描述分析评估对象,确定其目标或者价值

 

步骤2:识别评估对象存在的弱点

 

步骤3:识别评估对象面临的威胁

 

步骤4:通过分析弱点及威胁,确定事件发生的可能性

 

步骤5:通过分析资产及弱点分析事件如果发生,造成的影响

 

步骤6:通过已经分析出的可能性和影响确定风险等级

 

步骤7:根据风险等级提出风险处置建议

 

这几个步骤可划分为风险识别、风险分析、风险定级三个阶段,如下图所示:

 

 
从这个过程可以看出,风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别就要对评估对象存在的弱点及面临的威胁进行识别。由于评估对象面临的威胁是客观存在的,因此识别评估对象存在的弱点也就成为风险识别的关键。

 

启明星辰风险评估服务

 

启明星辰公司不仅协助多家银行完成了信息科技风险评估的项目,同时为了更好地做好银行信息科技的风险评估,根据不同的风险评估类型,做了大量的实际工作。

 

整体风险评估

 

整体风险评估反映的是宏观层面的风险,全面反应影响IT目标实现的风险。由于整体风险评估覆盖范围广,其又是反应宏观层面风险,因此应该以调查方式为主,以检查、安全测试方式为辅。为此启明星辰针对整体风险评估,设计了详细的调查问卷,涵盖了信息科技的各个方面。

 

设计调查问卷的指导思想为:IT目标是为了实现业务目标,而IT目标是通过资源实现的,资源包括数据、应用系统、基础设施、人,这些资源是通过流程进行管理的。一般来讲,银行的IT目标就是在满足合规管理的要求下,支持业务创新和业务运营。合规管理就是要符合监管机构的要求,如银监会;支持业务创新就是通过开发或者购买新的信息系统满足或者促进业务的发展;支持业务运营则是保证信息系统安全稳定运行,从而保证业务的持续运营。为了实现这个目标,需要管理流程和基础资源配备进行支撑,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。根据此思路,启明星辰确定了风险检查点和检查指标,形成了调查问卷。并且为了方便使用,将调查问卷做成工具,结合调查结果进行风险分析,问卷界面及风险分析结果如下图:
 

 

 

专项风险评估

 

专项风险评估主要关注微观层面的风险,反映信息科技某一方面或者某个系统存在的风险。所以通常情况下,专项风险评估应该采取以检查与安全测试为主,调查为辅的方法。无论在检查还是安全测试方面,启明星辰公司都有深厚的研究与积累。

 

启明星辰不但参与制定了国家一些标准,如漏洞扫描标准、IDS标准,而且紧密关注国际、国家及行业标准与要求,并组织人员对标准或者行业要求进行研究、解读,研读金融行业的标准如《巴塞尔协议》、《商业银行信息科技风险管理指引》、《电子银行安全评估指引》、《网上银行系统信息安全通用规范(试行)》等。通过对标准研究,可以更好的对系统进行检查,发现其中的弱点。

 

启明星辰通过长期积累,形成了一套完善的技术文档,如常见操作系统、数据库、网络设备、安全设备、网管系统的安全检查列表、安全配置手册及脚本工具。可以对评估对象的配置文件进行提取,并进行审核,发现其中的弱点。

 

启明星辰致力于漏洞技术的挖掘与攻击技术的研究,并且具有自己的积极防御实验室,可以从代码层面对应用系统进行检查。同时,积极防御实验室成员还可以模拟黑客行为,对系统进行人工渗透,可以直观地发现其中的弱点。

 

启明星辰通过对ITIL运维服务流程、CMM开发流程、项目管理流程的研究,熟悉开发流程、项目管理流程及服务的流程,从而可以结合客户实际情况,发现流程中的不合理性。

 

所采用的扫描工具天镜漏洞扫描系统是启明星辰具有自主知识产权的产品,可以对网络设备、操作系统、数据库、通用应用进行扫描,发现其中的弱点,并提供整改建议。

 

实际上,启明星辰不仅从技术上、管理上为风险评估做了大量基础性工作。同时,还为了保证风险评估工作的顺利开展,针对风险评估项目制定了有效的项目管理流程和标准。

 

再加个总结,把下段话包括进去。

 

风险评估是风险管理的基础,只有通过风险评估知识和经验的积累,才能做好风险评估,才能做好信息科技的风险管理工作,才能将风险控制在可接受的水平。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号