4 商业银行信息系统风险评估模型的实现

    4.1风险评估的实现框架

    商业银行随时面对遭遇伤害和损失的可能性，而这些风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点来确定。实现信息系统风险评估模型，需对信息资产的识别，进行威胁分析和弱点分析，实现框架如图4所示。

 
图4 风险评估模型实现框架

    信息资产不仅包括硬件设备，还包括应用软件和信息系统的相关人员。信息资产的识别与赋值可以通过普查和调查的方式实现。

    信息系统的威胁来源于内部风险的管理和外部风险环境的变化，通常使用的手段包括：用户访谈、异常行为检测、日志分析等方法进行分析。

    弱点来源于信息系统的安全与业务安全需求的不匹配，弱点分析的方法有：应用软件评估、网络构架评估、人工评估、工具扫描、安全管理审计、策略评估等。

    4.2风险评估的实施步骤

    商业银行信息系统风险评估的实施主要有如下步骤：

    1）对信息系统风险战略进行分析

    商业银行首先应建立信息系统风险战略，并在内部发布和维护，以对信息安全的支持与承诺，使其与银行的业务发展相一致。

    信息系统风险评估必须对信息系统业务支持的可行性进行分析，了解技术发展的内外部状况和管理层对信息技术的支持度等情况，评价信息系统风险战略是否与业务发展战略相一致。如图5所示，首先需要确定总风险和剩余风险；其次把确认的风险进行排序，建立战略风险和流程风险项目；最后确定流程执行的效力。

 图5 信息系统风险战略及流程分析

    2）对风险评估内容进行详细定义。

    建立信息系统风险评估范围的表格，如该项评估所包含的系统、人员、资源等。对信息系统的运行进行评估，如主机系统、硬件设备、人员管理、灾难备份、权限管理等。

    建立信息系统流程评估表格，如主流程、次流程、流程所对应的操作；流程中的主要固有风险、风险的控制手段等。

    3）明确审计的技术和步骤。

    确定信息系统审计需要使用的技术和技术使用的步骤，常用的测试技术有现场观察、访谈、审阅、再执行、知识评估等。

    4）出具审计报告。

    对信息系统进行测试后，出具评估报告。评估报告应包括信息系统的基本情况、面临的内外部风险、评估所发现的问题、对评估发现事项提出的建议。

    5）风险问题的跟踪和跟进。

    评估完成后，对发现的问题需根据问题的重要性和对象，提出报告并跟踪解决。

    5 结束语

    将业务评估模型和技术评估模型相结合，建立一套基于商业银行信息系统风险评估评估模型与实施方法，可以避免传统评估模型应用在商业银行风险评估上的片面性。并通对商业银行的资产、威胁、脆弱性、风险进行识别，发现控制缺陷、漏洞和以前从信息系统内部看不到的潜在风险，提出有效的解决方案，帮助商业银行建立健全内部控制制度，并根据业务发展的需要，明确信息化建设的目标和内容，不断调整现有的信息系统管理架构和流程，使其更好地服务于商业银行的业务管理。

    参考文献

[1] COBIT Security Baseline  Copyright © 2004 by the IT Governance Institute. ISBN: 1-893209-79-2
[2] CISA REVIEW MANUAL 2004. Copyright 2003 the Information System Audit and Control Association Inc.
[3] 孙强主编.信息系统审计：安全、风险管理与控制.机械工业出版社 2003.09
[4] 中国信息安全产品测评认证中心编著  信息安全标准与法律法规  人民邮电出版社 2003.09
[5] 周支元.王如龙 基于面向对象的权限管理系统设计与实现 [J]．计算技术与自动化2004，（3）：96—98．
[6] 赵战生.信息安全风险评估，中科院研究生院信息安全国家重点实验室 2004。7
[7] 邓子云.王如龙  网上银行的安全方案 [J]．信息安全与通讯保密  2005（6）：122—123．

作者简介：

    杨烺（1973-），男，湖南常德人，CISA（国际注册信息系统审计师），硕士研究生，主要研究方向：软件项目管理、信息系统风险评估与审计。联系电话：13874874970
    西米莎（1981－），女，湖南沅陵人 ，硕士研究生，主要研究方向：软件工程、IT项目管理、企业信息化、联系电话：13874881761  
    王如龙(1954- )，男，湖南益阳人，湖南大学教授、湖南省计算技术研究所研究员，主要研究方向：企业信息化、软件工程、IT项目管理。
Email: Wangrulong@temco.com .cn    联系电话：13808460316

[1]   [2]   [3]