【文章內(nèi)容簡介】 ；國家標準包括 GB17859， GB18336 等。同時我們將參考 COSO/ERM《企業(yè)風險管理一整體框架》、 Cobit 、 ITIL 、Prince2 等 IT 治理模型；這些標準和操作指南目前已經(jīng)被金融行業(yè)風險評估項目和 IT 治理項目中進行了實踐，并得到了用戶的認可和 好評。 除對標準的遵循外，啟明星辰的風險評估過程還緊密結(jié)合金融行業(yè)的各種業(yè)務特征，依據(jù) XXXXX 的業(yè)務特點，系統(tǒng)地制定了 XXXXX信息安全風險評估方案。 方案中標準的體現(xiàn)對照 評估過程 參照標準 調(diào)查表和問題的設(shè)計 《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 8 評估過程 參照標準 《電子銀行安全評估指引（征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評價試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務 信息安全指南》 Cobit 加拿大《威脅和風險評估工作指南》 美國國防部彩虹系列 NCSCTG019 ISO17799/BS7799 資產(chǎn)評估 ISO17799/BS7799 加拿大《威脅和風險評估工作指南》 風險分析方法 ISO13335 風險分析模型 《 AS/NZS 4360: 1999 風險管理標準》 風險計算模型 《 AS/NZS 4360: 1999 風險管理標準》 GAO/AIMD0033《信息安全風險評估》 安全管理評估 《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》 《電子銀行安全評估指引 （征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評價試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務 信息安全指南》 Cobit ISO17799/BS7799 ISO13335 物理安全評估 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》 ISO17799/BS7799 ISO ISO/TR 13569《銀行和相關(guān)金融服務 信息安全指南》 網(wǎng)絡(luò)設(shè)備安全性 ISO15408（ CC） GB17859 解決方案咨詢 《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管 理指引 》 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 9 評估過程 參照標準 《電子銀行安全評估指引（征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評價試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務 信息安全指南》 Cobit ISO17799/BS7799 相關(guān)標準規(guī)范介紹 COSO報告《內(nèi)部控制整體框架》與 ERM《企業(yè)風險管理一整體框架》 美國全美反舞弊性財務報告委員會（又稱 COSO 委員會）于 1992 年發(fā)布了《內(nèi)部控制 —— 整體框架》（以下稱 COSO 報告）。 COSO 報告為企事業(yè)單位構(gòu)建起一個三維立體的全面風險防范體系。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 10 COSO 報告提出， COSO 整 體框架包括 3 大運營目標和 5大控制要素。 內(nèi)部控制 3大運營目標： 運營的效果和效率； 財務報告的可靠性； 遵守適用的法律和法規(guī)（合規(guī)性） 內(nèi)部控制由 5個要素：即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控。五要素中，各個要素有其不同的功能，內(nèi)部控制并非五個要素的簡單相加，而是由這些相互聯(lián)系、相互制約、相輔相成的要素，按照一定的結(jié)構(gòu)組成的完整的、能對變化的環(huán)境做出反應的系統(tǒng)。控制環(huán)境是整個內(nèi)控系統(tǒng)的基石，支撐和決定著風險評估、控制活動、信息傳遞和監(jiān)督，是建立所有事項的基礎(chǔ)；實施風險評估進而管理風險 是建立控制活動的重點；控制活動是內(nèi)部控制的主要組成部分；信息傳遞貫穿上下，將整個內(nèi)控結(jié)構(gòu)凝聚在一起，是內(nèi)部控制的實質(zhì)；監(jiān)督位于頂端的重要位置，是內(nèi)控系統(tǒng)的特殊構(gòu)成要素，它獨立于各項生產(chǎn)經(jīng)營活動之外，是對其他內(nèi)部控制的一種再控制。 2021 年 COSO 又發(fā)布了 ERM《企業(yè)風險管理一整體框架》，如下圖所示： 說明： COSO 通用內(nèi)控框架與 ERM 雖是同一個機構(gòu)所發(fā)布，但是 ERM 不是 COSO 總體內(nèi)控框架的替代品。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 11 COBIT《信息及相關(guān)技術(shù)的控制目標》 1996 年，作為一項 IT 安全與控制的實踐標準， COBIT 由信 息系統(tǒng)審計與控制組織和 IT管理協(xié)會共同開發(fā)。它為 IT、安全、審計經(jīng)理和用戶提供了一套完整的參考框架。目前， COBIT 已經(jīng)發(fā)布了第四版，它正在成為控制數(shù)據(jù)、系統(tǒng)和相關(guān)風險的優(yōu)秀實踐法則，并逐漸被越來越多的用戶所接受。它將幫助企業(yè)部署對系統(tǒng)和網(wǎng)絡(luò)的有效管理。 COBIT 框架具有以業(yè)務為關(guān)注焦點、以過程為導向、基于控制和測量驅(qū)動的特點。為實現(xiàn)業(yè)務目標， COBIT 定義了七個獨立但又有所重疊的信息準則 : ? 有效性：應以及時、正確、一致和可用的方式來交付與業(yè)務過程有關(guān)的信息； ? 效率 2：通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟合理）資 源使用來交付信息； ? 保密性：保護敏感信息免受未授權(quán)泄漏； ? 完整性：信息的正確和完整，并根據(jù)業(yè)務價值和期望進行驗證； ? 可用性：若業(yè)務過程現(xiàn)在或?qū)硇枰獣r，信息是可用的。可關(guān)注于保護所需的資源及相關(guān)的能力； ? 符合性：符合業(yè)務過程必須遵循的法律法規(guī)要求和合同約定，即外部的強制性要求和內(nèi)部策略； ? 可靠性：為管理者提供適當?shù)男畔?，以管理組織并檢驗其可信和治理職責。 COBIT 將 IT 資源定義為： ? 應用系統(tǒng)：用戶處理信息的自動化用戶系統(tǒng)及手冊程序； ? 信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務以任何形式所使 用； ? 基礎(chǔ)設(shè)施：保障應用系統(tǒng)處理信息所需的技術(shù)和設(shè)施（硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等，以及放置、支持上述技術(shù)和設(shè)施的環(huán)境）； ? 人員：策劃、組織、采購、實施、交付、支持、監(jiān)視和評價信息系統(tǒng)和服務所需的人員。 COBIT 在四個域內(nèi)采用過程模型的方式定義 IT活動，四個域分別是：策劃與組織、獲取與實施、交付與支持、監(jiān)視與評價。這些域映射到傳統(tǒng)的 IT 職責域：計劃、建設(shè)、運營和監(jiān)視。即 PDCA 管理模型。管理指導方針的部件由衡量企業(yè)在 34 種 IT 流程中能力的工具所組成。這些工具包括了性能測量組件、為每種 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 12 IT 流程提供最佳實踐的關(guān)鍵成功因素清單，以及幫助進行基準測試的成熟度模型。 Cobit 的三維模型如下圖所示： Cobit 整體架構(gòu)如下圖所示： 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 13 ITIL《 IT 基礎(chǔ)架構(gòu)庫》 80 年代中期，英國政府部門發(fā)現(xiàn)提供給其的 IT 服務質(zhì)量不佳，于是要求當時的政府計算機和電信局（ CCTA）（后來并入英國政府商務部（ OGC）），啟動一個 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 14 項目對此進行調(diào)查，并開發(fā)一套有效的和可進行財務計量的 IT 資源使用方法以供本國的政府部門和私有部門使用。同時，這種方法還應該是獨立于廠商的并且可適用于不同規(guī)模、不同技術(shù)和業(yè)務需求的組織。這個項 目的最終成果是一套公開出版的 IT管理指南，這就是 ITIL（ Information Technology Infrastructure Library）。 到 90 年代中期， ITIL 成為了事實上的歐洲 IT服務管理標準。 90年代后期，ITIL 又被引入到美國、南非和澳大利亞等國家和地區(qū)。 2021 年英國標準協(xié)會（ BSI）在國際 IT 服務管理論壇（ itSMF）年會上正式發(fā)布了以 ITIL 為基礎(chǔ)的IT 服務管理英國國家標準 BS15000。 2021 年 BS15000 被提交給國際標準化組織（ ISO），申請成為了 IT 服務管理國際標準 ISO 20210。 ITIL 是有關(guān) IT 服務管理流程的最佳實踐，事實上，經(jīng)過近 20 多年的發(fā)展，以流程為主線，進行了全面的擴充，最終形成了如圖 1所示的框架。這個框架現(xiàn)在成為了事實上的 IT服務管理知識框架體系。 上圖顯示了引入模塊所處的整體環(huán)境和結(jié)構(gòu)。它顯示了每個模塊同業(yè)務和技 術(shù)的關(guān)系。從圖中可見，業(yè)務視野模塊是如何更緊密地同業(yè)務相聯(lián)系而信息和通 信技術(shù)（ ICT）基礎(chǔ)設(shè)施管理模塊是如何更緊密地同技術(shù)本身相聯(lián)系。服務提供 和服務支持模塊提供了過程框架和核心。 這七個模塊組成了 ITIL 的核心。下面將對其中各 個模塊的新的范圍、內(nèi)容及其關(guān)系進行介紹。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 15 ? 服務提供： 覆蓋了規(guī)劃和提供高質(zhì)量 IT 服務所需的過程，并且著眼于改進所提供的 IT 服務的質(zhì)量相關(guān)的長期過程。 ? 服務支持： 服務支持描述了同所提供的 IT 服務日常支持和維護活動相關(guān)的過程。 ? 信息和通信技術(shù)基礎(chǔ)設(shè)施管理（ ICT IM)： 信息和通信技術(shù)基礎(chǔ)設(shè)施管理覆蓋了從標識業(yè)務需求到招投標過程、到信息和通信技術(shù)組件和 IT 服務的測試、安裝、部署以及后續(xù)運行和優(yōu)化的信息和通信技術(shù)基礎(chǔ)設(shè)施管理的所有方面。 ? 規(guī)劃實施服務管理： 檢查組織機構(gòu)內(nèi)規(guī)劃、實施和改進服務管理過程中所涉及的 問題和任務。它也考慮同解決文化和組織機構(gòu)變更、開發(fā)遠景和戰(zhàn)略以及方案的最合適方法等相關(guān)的問題。 ? 應用管理： 描述了如何管理應用從最初的業(yè)務需求直至和包括應用廢棄的應用生命周期的所有階段。它將重點放在在應用的整個生命周期內(nèi)確保 IT 項目和戰(zhàn)略同業(yè)務建立緊密的聯(lián)系，以確保業(yè)務從其投資中獲得最佳價值。 ? 業(yè)務視野： 提供了建議和指南，以幫助 IT 人員理解他們?nèi)绾尾拍転闃I(yè)務目標作出貢獻以及如何更好地聯(lián)系和挖掘其角色和服務以最大化其貢獻。 ? 安全管理： 詳細描述了規(guī)劃和管理用于信息和 IT 服務的給定級別安全的過程，包括同響應安 全事故相關(guān)的所有方面。它也包括了風險和脆弱性的評估和管理，以及成本有效的對策的實施 ITIL 的 IT 服務流程可供我們在做安全咨詢及安全解決方案設(shè)計時作參考。 ISO27001《信息安全管理規(guī)范》 ISO 27001:2021 由 11 個大的控制方面、 39 個控制目標、 133 個控制措施構(gòu)成。 ISO/IEC 27001:2021 要求組織應根據(jù)整體業(yè)務活動及其面臨的風險通過制定信息安全方針、制定體系范圍、明確管理職責，通過風險評估確定控制目標與控制措施等活動建立信息安全管理體系（ ISMS）；體系一旦建立組織應按體 系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的文件，如方針、適用性聲明文件和實施安全控制所必須的程序文件。 通過建立、實施、運作、監(jiān)視、評審、保持并改進文件化的信息安全管理體 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 16 系，使組織擁有持續(xù)改進的信息安全保障能力，為實現(xiàn)業(yè)務目標提供支撐。 ISO/IEC 27001:2021 規(guī)定了建立、實施和文件化信息安全管理體系得要求。它規(guī)定了組織根據(jù)其需求實施安全控制的要求。體系規(guī)范的結(jié)構(gòu)如下圖所示： 圖 . ISO/IEC 27001:2021 結(jié)構(gòu) 信息安全管理體系作為一個管理標準，也遵 循了 PDCA（ PlanDoCheckAction，策劃 實施 檢查 行動）的持續(xù)改進的管理模式，這也反映在整個標準的架構(gòu)上，整個標準的重心在建立 ISMS 系統(tǒng)，如下圖所示： 圖 . ISMS 框架 規(guī)劃（建立 ISMS） 根據(jù)組織的整體策略和目標，建立安全策略、目標以及與管理風險和改進信息安全相關(guān)的過程和程序，以獲得結(jié)果。 執(zhí)行（實施和運作 實施和運作安全策略、控制、過程和程序。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 17 ISMS） 控制（監(jiān)視和評審ISMS） 適用時，根據(jù) ISMS 策略、目標和慣有經(jīng)驗評估行，并向管理層報告結(jié)果，進行評審。 改進（保持和改進 ISMS） 根據(jù)內(nèi)部 ISMS 審計和管理評審或其他信息施，以實現(xiàn)ISMS 的持續(xù)改進。 ISO/IEC 27001:2021 采用 PDCA“規(guī)劃 執(zhí)行 控制 改進”（ PDCA）過程模式。該模型適用于建立 ISMS 的所有過程。 ISMS 框架圖描述了 ISMS 如何輸入相關(guān)方的信息安全要求和期望，經(jīng)過必需的活動和過程，產(chǎn)生滿足這些需求和期望的信息安全輸出。 采用 PDCA 模型也反應了 OECD 指南（ 2021）《信息系統(tǒng)和網(wǎng)絡(luò)的安全治理》中所陳述的準則。 ISO/IEC 27001:2021 為在風險評估、安 全