XXXX銀行信息科技風險評價操作規(guī)程

1、xxxX艮行信息科技風險評估操作規(guī)程.總則為規(guī)范XXXX銀行信息科技風險評估工作，提高信息科 技風險管理水平，根據(jù)監(jiān)管要求及 XXXX銀行信息科技風險管 理辦法，制定本操作規(guī)程。本規(guī)程所指信息科技風險是信息科技在商業(yè)銀行運用 過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的 操作、法律和聲譽等風險。本規(guī)程所指信息科技風險評估是對信息科技風險的風 險辨識(包括分類)、風險分析和風險評價。本規(guī)程是對風險評估計劃、風險評估準備、風險識 別、風險評價、風險分析及報告等關鍵環(huán)節(jié)的管理。本規(guī)程適用于全行。.風險評估計劃總行市場與操作風險管理部制定信息科技風險評估計戈L每年組織開展一次全面的信息科技

2、風險評估。由現(xiàn)以下情況，應結合本單位以往風險評估情況，確定是否啟動信息科技風險評估：(1)新系統(tǒng)上線或已有系統(tǒng)進行重大變更；(2)內(nèi)部或同業(yè)由現(xiàn)重大信息科技事件；(3)信息科技審計中發(fā)現(xiàn)重大問題；(4) 監(jiān)管機構發(fā)布風險提示。分行市場與操作風險管理部門根據(jù)總行風險評估工作要 求，結合本行實際情況制定風險評估計劃，組織開展信息科 技風險評估工作。.風險評估準備風險評估牽頭部門確定風險評估目標。評估目標包括：(1)滿足監(jiān)管要求；(2)滿足我行業(yè)務持續(xù)發(fā)展在信息科技方面的需要；(3)識別現(xiàn)有信息技術及管理上的不足等。風險評估牽頭部門確定風險評估范圍。評估范圍依據(jù)評 估目標確定，包括：(1)信息資產(chǎn)，

3、如物理、系統(tǒng)、網(wǎng)絡、應用、數(shù)據(jù)等；(2)信息科技活動，如合規(guī)管理、開發(fā)管理、運維管理、 外包管理等；(3)信息科技工作流程，如事件管理、配置管理、變更管 理等。風險評估牽頭部門負責組建風險評估團隊，授權風險評 估團隊開展風險評估工作。風險評估團隊制定風險評估計劃書，明確風險評估實施 的計劃安排，包括評估工作內(nèi)容、時間進度和各階段成果清單等 內(nèi)容。風險評估團隊制定風險評估方案，明確風險評估依據(jù)、 風險識別方法、信息收集方式、風險分析方法等。評估依據(jù)包括：(1)現(xiàn)有國際標準、國家標準、行業(yè)標準；(2)行業(yè)主管機關的要求和制度；(3)信息科技安全保護等級要求；(4)信息科技互聯(lián)單位的安全要求；(5)

4、信息系統(tǒng)本身的實時性或性能要求等。風險評估方法包括：(1)基線分析法：采用一套標準的風險控制措施來對所有 的風險點進行對比分析，確保達到一個最基本的風險保護級別。(2)簡要分析法：利用個人的知識和經(jīng)驗分析風險。(3)詳細分析法：對資產(chǎn)進行深度識別和賦值，評估針對 資產(chǎn)的威脅，并分析脆弱點。風險評估計劃書和風險評估方案報送主管領導批準后執(zhí) 行。風險評估牽頭部門通過風險評估啟動會等形式啟動具體 風險評估工作。.風險識別資產(chǎn)識別資產(chǎn)識別參見XXXX銀行信息資產(chǎn)管理辦法中資產(chǎn)識別 及賦值的要求。威脅識別威脅識別采用以下方法：(1)人員訪談；(2)調(diào)查問卷；(3)物理檢查；評估人員參照信息科技威脅源清單

5、(附件 1),從以 下方面分析威脅：(1)人員威脅：故意破壞和無意失誤；(2)系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡或服務由現(xiàn)的故障；(3)環(huán)境威脅：電源故障、污染、液體泄漏、火災等；(4)自然威脅：洪水、地震、臺風、雷擊等。評估人員參照威脅賦值表(附件2)對已識別的威脅賦值。威脅賦值應綜合考慮以下方面：(1)以往安全事件報告中由現(xiàn)過的威脅及其頻率的統(tǒng)計；(2)實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；(3)近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè) 的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。脆弱性識別弱性識別采用以下方法：(1)訪談，主要涉及資產(chǎn)的所有者、使用者，以及相關業(yè)務領域和軟硬件方

6、面的專業(yè)人員等；(2)調(diào)查問卷；(3)物理檢查 ；(4)查閱和分析文件；(5)工具測試，測試辦法包括：漏洞自動掃描工具、安全 測試和評估、滲透測試和代碼評審。參照信息科技脆蚓性清單(附件3),從以下方面識別被評估對象的脆弱性：(1)技術性脆弱性：系統(tǒng)、程序、設備中存在的漏洞或缺陷；(2)操作性脆弱性：配置、操作和使用中的缺陷，包括人員的不良習慣、審計或備份中的漏洞；(3)管理性脆弱性：策略、程序、規(guī)章制度、人員意識、組織結構等方面的不足。評估人員參照脆弱性嚴重程度賦值表(附件4)對已識別的脆弱性賦值。確認已有風險控制措施的有效性。.風險評價.確定風險可能性根據(jù)威脅由現(xiàn)頻率及脆弱性的狀況，確定威

7、脅利用脆 弱性導致風險事件發(fā)生的可能性，即：風險事件的可能性=L(威脅由現(xiàn)頻率，脆弱性)=L(T, V )評估人員參照風險可能性衡量指標(附件 5)對風險 發(fā)生可能性進行衡量指標劃分和評分。確定風險影響程度根據(jù)資產(chǎn)價值及脆弱性嚴重程度，確定風險一旦發(fā)生后造成的損失，即：風險事件造成的影響程度=F(資產(chǎn)價值，脆弱性嚴重程度)=F(Ia , Va ) o評估人員參照風險影響程度衡量指標(附件6)對風險發(fā)生影響程度進行衡量指標劃分和評分。風險評價根據(jù)確定生的風險發(fā)生的可能性以及風險發(fā)生造成的 影響程度，確定風險等級，即：風險值=R(風險可能性，風險影響程度 )=R(L(T , V), F(Ia ,

8、Va ) o評估人員參照風險等級確定表(附件 7),確定風險 等級。.分析及報告評估人員對評價結果進行風險成因分析，提由風險處置 建議，撰寫風險評估報告，報告包括以下內(nèi)容：(1)風險評估背景(2)風險評估范圍(3)風險評估方法與過程(4)風險評估結果及風險成因分析(5)風險處置建議(6)詳細風險列表風險評估報告由評估牽頭部門組織編寫完成，向主管行 長報告，抄送總行市場與操作風險管理部和信息技術部。對評估 中發(fā)現(xiàn)的問題制定整改方案、及時整改，總行市場與操作風險管 理部定期組織抽查。.附則本規(guī)程由總行制定、修改，總行市場與操作風險管理部 解釋。本規(guī)程自XXXX年XX月XX日起實施。附件1:信息科技

9、威脅源清單威脅類別威脅名稱威脅描述人員威脅蓄息破壞蓄意以各種方式破壞信息資產(chǎn)，可能導致資 產(chǎn)/、可用蓄意泄露有權限訪問某種資產(chǎn)的用戶蓄意泄漏該信息非授權訪問沒有權限的用戶試圖越權訪問到信息，或者 較低權限的用戶試圖訪問更局權限的信息惡意代碼攻擊9丙毒、蠕蟲、邏輯炸彈、木馬后門等惡意代碼的攻擊非授權篡改對系統(tǒng)或數(shù)據(jù)進行非授權篡改，導致完整性盜竊劭取物品操作失誤在正常工作或使用過程中，由于操作不當而 無意中造成對資產(chǎn)的侵害身份假冒非授權人員冒用他人或授權人員身份大規(guī)模疾病感染流行病或大規(guī)模傳染病等竊聽通過網(wǎng)絡嗅探、偷聽、搭線竊聽等途徑非法獲取信息人員短缺完成某項工作的合格的人力資源不足泄密泄漏公司

10、秘密恐怖活動恐怖活動可能破壞信息資產(chǎn)，導致資產(chǎn)不可用稽核工具誤用由于稽核工具誤用導致信息系統(tǒng)不可用使用/、當由于資訊設備使用不當，導致信息資產(chǎn)受到 損害網(wǎng)絡濫用誤用路由協(xié)議干擾或破壞系統(tǒng)社會工程/欺騙以非技術手段（例如欺騙）獲取特定信息，包括間諜行為系統(tǒng)威脅設施故障或老化設備或介質出現(xiàn)老化或故障而導致可用性降低或耳、可用軟件故障軟件因為故障而可用性降低或/、口用系統(tǒng)/網(wǎng)絡過載網(wǎng)絡流量過載或系統(tǒng)資源耗竭而導致可用性 降低或/、可用環(huán)境威脅極端的溫度/濕 度資產(chǎn)所處環(huán)境的溫度/濕度發(fā)生劇烈變化，超 出正常范圍。空調(diào)設施不足供電不足電力中斷或者供電不穩(wěn)定落塵環(huán)境中存在嚴重的落塵問題環(huán)境污染資產(chǎn)所處環(huán)

11、境受到污染，包括有毒氣體和液 體電磁輻射/干擾資產(chǎn)所處環(huán)境存在電磁輻射或干擾靜電資產(chǎn)所處環(huán)境存在嚴重的靜電問題鼠害資產(chǎn)所處環(huán)境存在鼠害戰(zhàn)爭資產(chǎn)所處環(huán)境可能發(fā)生戰(zhàn)爭電壓波動電壓波動,超出設備能承受的正常范圍自然威脅地震資產(chǎn)所處環(huán)境可能發(fā)生地震水患資產(chǎn)所處環(huán)境可能發(fā)生水災/漏水情況臺風資產(chǎn)所處環(huán)境可能發(fā)生臺風閃電資產(chǎn)所處環(huán)境可能發(fā)生嚴重的雷電天氣火災資產(chǎn)所處環(huán)境可能發(fā)生火災龍卷風資產(chǎn)所處環(huán)境可能發(fā)生龍卷風附件2:威脅賦值表等級標識定義5很高出現(xiàn)的頻率很高（或學1次/周）；或在大多數(shù)情況下幾乎 不可避免；或可以證實經(jīng)常發(fā)生過4高的頻率較局（或1次/月）；或在大多數(shù)情況卜很有口 能會發(fā)生；或可以證實多

12、次發(fā)生過3中出現(xiàn)的頻率中等（或 1次/半年）；或在某種情況卜可能 會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā) 生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下 發(fā)生附件3:信息科技脆弱性清單廳P常見脆脆弱性清單組織信息安全職責1缺之有效的信息安全組織2安全責任不夠明確3未與第二方簽署必要的保密協(xié)議，或沒有相關的合同，以約束外包 方的行為，特別是針對網(wǎng)絡信息安全問題資產(chǎn)管理1沒有進行規(guī)范的信息資產(chǎn)標識、分類2未建立信息使用（建立、銷毀）流程3缺之合理的客戶信息資產(chǎn)管理機制人力資源安全1權限的濫用2操作失誤，培訓不足3特權管理員的篩選制度不夠完善4

13、缺乏相應的獎懲措施5安全技術培訓不足，執(zhí)行力度不夠6人員離職率局7員工工作量過大，維護人員不足8不止確的系統(tǒng)配置9對于人員流動狀態(tài)/、能及時更新物理與環(huán)境安全1機房環(huán)境不潔凈2防靜電措施/、力3缺乏對溫濕度的控制4自然老化5電源容量不足6硬件故障7硬件無檢查機制，硬件設備沒有得到止確的維護8機房沒有緊急出口9供電無雙回路，電源短路10缺之有效的門禁系統(tǒng)或物理訪問控制機制11缺乏對安全區(qū)域的劃分12缺乏UPSt電保護機制13缺乏防火措施14缺乏防水措施15缺乏防靜電措施16缺乏防鼠措施通訊與操作管理1從內(nèi)部對信息或信息處理功能的惡意破壞2備份介質安全性不夠3通過易于接入的Moden入到內(nèi)部網(wǎng)絡4

14、未根據(jù)功能/、同，實現(xiàn)網(wǎng)絡邏輯上的隔離5缺之對上網(wǎng)行為的管控6缺乏對敏感信息的權限的審計與跟蹤7重要的信息未經(jīng)加密傳輸8未對主機進們女全加固和配置9沒有基于系統(tǒng)的漏洞評估10缺乏對信息操作安全規(guī)范，帶來安全隱患11對于遠程傳輸未使用加密12對備份信息沒有定期進行測試13沒有定期檢查信息系統(tǒng)的安全14沒有對打印后的紙張文檔進行管理15沒有文檔化的配置、變更、操作管理流程16缺之統(tǒng)一的信息共享平臺，通過共享文件夾方式共享信息，且未設 定權限17對重要的數(shù)據(jù)缺乏備份機制18缺乏對系統(tǒng)日志的保護19沒有對系統(tǒng)進行容量規(guī)劃、控制和預測，導致系統(tǒng)不能為信息提供10足夠的資源；缺乏處理能力和存儲空間監(jiān)測和預

15、測機制。20未建立安全的信息交換機制21系統(tǒng)安全漏洞，安全補丁更新不及時，沒有采用補丁自動更新機 制，沒有安全評估，沒有檢查升級狀況22程序設計錯誤或OS設計缺陷23對配置信息的非法使用和破壞24缺乏未對敏感系統(tǒng)或設備上的操作員和管理員的活動進行監(jiān)控25沒有對遠程診斷接口進行保護26缺乏對移動介質的管控27缺乏驗收機制28缺乏惡意代碼、病毒防范機制29缺乏對筆記本電腦的管理訪問控制物理訪問控制措施不足廢棄賬戶、密碼沒有及時消除、更改員工轉崗未能及時對賬戶、口令及使用者權限發(fā)生變更缺乏對終端接入限制，終端可以從任何內(nèi)部區(qū)域連接每個人都能看到全部的代碼，也可操作這些代碼，可能造成誤刪缺乏統(tǒng)一帳號管

16、理功能，未對用戶登錄的id的唯一性進行限制,用戶賬戶存在共享行為。使用弱口令，且沒有嚴格要求所有用戶定期修改口令，導致賬號密 碼被有心人士破解缺乏對用戶的識別和鑒定沒有更改系統(tǒng)默認的管理員帳號10所有的服務器由一個管理員管理，但口令的管理不合理，多個服務器 使用同一口令，口令的更換不及時11缺乏對管理員權限與操作行為的限制系統(tǒng)取得、開發(fā)與維護缺乏對測試數(shù)據(jù)的驗證機制 無安全性需求分析和規(guī)范113輸出數(shù)據(jù)驗證/、充分信息安全事件管理1缺之安全事件匯報管理機制，無事故處理機制，未及時才艮告安全事 故，沒有建立事故反映機制，沒啟事故記錄2未針對安全事件米取預防糾正措施，未建立安全事件學習機制業(yè)務連續(xù)

17、性管理1沒有明確如遇突發(fā)事件時的機房管理應對措施，缺之緊急事件響應 的書面指導2沒有災難恢復計劃和業(yè)務連續(xù)性計劃，沒有進行業(yè)務連續(xù)性和影響 分析3沒有實施災難恢復演練4缺乏風險評估機制和風險管理機制符合性1不遵守法律或法規(guī)2缺乏對版權的管理，沒有限制非法軟件的傳播、復制、使用3沒有強制實施的信息安全策略或相關規(guī)定,缺乏信息安全策略性指 導規(guī)范12附件4:脆弱性嚴重程度賦值表等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高r如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略

18、附件5:風險可能性衡量指標可能性可能性 評分定義局可能性4發(fā)生概率高；或不存在相應人員、資源、制度、流程或標準作 為控制依據(jù)，實際也沒有實施任何控制的情況。較圖可能性3發(fā)生概率較高；或不存在相應人員、資源、制度、流程或標準 作為控制依據(jù)，但實際執(zhí)行了某些控制的情況。中可能性2發(fā)生概率中等；或存在相應人員、資源、制度、流程或標準作 為控制依據(jù)，但控制依據(jù)不夠完善或沒有得到全面、有效執(zhí)行 的情況。低可能性1發(fā)生概率較低；或存在相應人員、資源、制度、流程或標準作 為控制依據(jù)，控制依據(jù)完善或且得到有效執(zhí)行的情況。13附件6:風險影響程度衡量指標影響影響程度 評分定義局影響程度3關鍵信息系統(tǒng)運行啜到嚴重影響；重大財務損失（包括風險處 置成本，客戶流失等）；聲譽嚴重受損；導致嚴重法律后果或 嚴厲的監(jiān)管處罰。中影響程度2關鍵信息系統(tǒng)運行啜到影響；中度財務損失（包括風險處置成 本，客戶流失等）；聲譽受損；導致法律后果