【正文】 安全風險評估理論模型 安全風險過程模型 本文中提供的安全風險模型主要依據 ASNZS 4360:2021 標準、國際風險評估標 準 ISO 17799， ISO/IEC 13335。結合我國的國情和金融行業(yè)特征，對這些規(guī)范作必要的取舍和擴充。因此，需要對其中的數據進行自動處理與分析，以減輕人工分析的負擔，改 善分析的速度與質量。這樣，既可以為評估工作快速地提供素材，實現高效率，按照客戶定義的接口快速、完整地提供原始數據。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 33 我們擬綜合 ISO/IEC13335 和 AS/NZS 4360 的幾種方法，依據《 銀行業(yè)金融機構信息系統(tǒng)風險管理指引 》的要求，根據提出的評估原則，建立本項安全工程的風險模型：風險評估 過程模型、風險管理模型、關系模型與計算模型。 ? 基線方法主要是使用一套標準的安全措施集合作用于信息系統(tǒng)，從而獲得最基本的保護級別； ? 非正式方法挖掘安全專家的知識和經驗，推導出一套實際可操作的風險分析方法； ? 詳細的風險評估方法主要是詳細描述系統(tǒng)中資產的類型和價值，評估與資產相關的威脅和風險； ? 復合方法綜合了基線方法（運用于一般的信息系統(tǒng)）和詳細方法（運用于重要的信息系統(tǒng)）。信息保障不是終點，但是整合到交易處理過程中，例如，設立為支持交易操作而設計的策略和控制。在評估交易操作的風險之后，組織機構還應該： 1. 制訂策略，選擇控制； 2. 增加對策略和控制的關注程度； 3. 監(jiān)控策略和控制的效力； 4. 根據結果來決定是否應該對策略和控制進行修 改。 一個成功的組織應該應用這些原則，將自己融入一個關注風險的持續(xù)的循環(huán)處理中。 Cobit、 ISO 17799:2021與 63 號文控制目標對應表如下： Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 PO PO1 定義戰(zhàn)略性的信息技術規(guī)劃 IT價值管理 第一條 商業(yè) IT結盟 信息安全管理承諾 第五條 現有性能評估 第十五條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 19 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 IT 戰(zhàn)略計劃 信息安全管理承諾 第五條 IT 戰(zhàn)術計劃 信息安全管理承諾 IT投資組合管理 P02 定義信息體系結構 企業(yè)信息結構模型 信息安全管理承諾 第六條 企業(yè)數據字典和數據語法規(guī)則 數據分類方案 完整性管理 PO3 決定技術方向 技術方向計劃 技術基礎設施計劃 監(jiān)測未來的趨勢和法規(guī) 信息安全管理承諾 技術標準 IT架構委員會 信息安全管理承諾 PO4 定義信息技術相關的過程 ,機構及其互相的關系 IT 流程框架 IT戰(zhàn)略委員會 信息安全管理承諾 第六條 第七條（二） 第八條 第九條 IT指導委員會 信息安全管理承諾 第六條 第七條（二） 第八條 第九條 IT 職能的機構設置 信息安全管理承諾 至 第六條 第七條（二） 第八條 第九條 第 四十四條 IT組織的結構 信息安全管理承諾 第六條 第七條（二） 第十條 角色和責任 第六條 第七條（二） 第八條 第九條 IT 質量保證的責任 第六條 第七條（二） 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 20 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 風險 ,安全和依從的責任 信息安全管理承諾 信息安全職責分配 個人信息的數據保護和隱私 第六 條 第七條（二） 第八條 數據和系統(tǒng)的擁有者 第六條 第七條（二） 監(jiān)督 信息安全職責分配 第七條（三） 職責分離 、測試與運營設施的分離 第十七條 第十條 第十一條 IT人員配備 第十條 第十一條 關鍵 IT人員 第十條 第十一條 第十二條 與員工簽約的政策和程序 在第三方協議中強調安全 關系 第七條（四） PO5 管理信息技術投資 財務管理框架 IT預算優(yōu)先 編制 IT預算過程 成本管理 收益管理 PO6 溝通管理的目標和方向 IT 策略和控制環(huán)境 , 信息安全意識、教育和培訓 企業(yè) IT風險和內部控制框架 信息安全策略文檔 , IT策略管理 第十五條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 21 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 PO64 策略的首次展出 IT 目標和方向的交流 管理人力資源 員工招聘和維持 員工能 力 第七條（八） 員工角色安排 報告信息安全事故和弱點 人員培訓 在第三方協議中強調安全 第七條（八） 對個別人員的依賴 第四十四條 人員清除程序 員工工作績效考評 工作變化和終止 確認符合外部的要求 質量管理系統(tǒng) IT 標準和質量實踐 發(fā)展和獲取標準 ALC 客戶的關注點 連續(xù)性的改進 質量管理 ,監(jiān)視和檢查 第七條（五） PO9 評估風險 IT 和業(yè)務風險管理結盟 風險關系的建立 事件鑒定 識別與外部組織相關的風險 設備的安全處置第二十條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 22 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 或重用 風險評估 識別與外部組織相關的風險 業(yè)務連續(xù)性和風險評估 第二十條 第七條（九） 風險響應 第二十條 一個風險行動計劃的維護和監(jiān)視 管理項目 項目管理構架 第三十三條 項目管理框 架 項目管理方法 利益相關者許諾 第三十四條 項目范圍聲明 第三十四條 項目階段開始 整合的項目計劃 項目資源 項目風險管理 項目質量計劃 項目變化控制 項目計劃的擔保方法 項目性能檢測 ,報告和監(jiān)視 項目結束 AI AI1 識別自動化的解決方案 企業(yè)功能及技術需求的定義及維護 第三十六條 風險分析報告 第三十五條 作用的選擇過程的可行性研究和公式化 需求和可行性的決定和認同 AI2 獲得和維護應用軟件 概要設計 第三十七條 詳細設計 第二十二條 第二十一條 應用控制和可審計性 第二十五條 第二十六條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 23 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 應用安全和可用性 應用系統(tǒng)和信息訪問控制 防范惡意和移動代碼 第二十六條 第二十五條 第二十四條 第二十三條 所需應用軟件的配置與實施 第二十四條 現有系統(tǒng)的重要升級 軟件包的變更限制 的 測試、保持和再評估 第二十條 應用軟件改進 軟件包的變更限制 軟件質量保證 操作系統(tǒng)變更后的應用系統(tǒng)技術評審 第二十三條 應用需求管理 軟件包的變更限制 應用軟件維護 第二十七條 AI3 獲得和維護技術基礎設施 技術基礎設施采購計劃 基礎設施資源保護和可用性 第十六條 基礎設施維護 可行性測試環(huán)境 第三十八條 第二十八條 第二十七條 AI4 發(fā)展和維護流程 對可操作性解決方案的設計 面向企業(yè)管理層的知識轉移 信息安全意識、教育和培訓 ADO 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 24 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 面向終端用戶的知識轉移 信息安全意識、教育和培訓 碼 ADO 面向操作人員和技術支持人員的知識轉移 信息安全意識、教育和培訓 ADO AI5 安裝和授權系統(tǒng) 獲取控制 ATE 供應合同管理 識別與外部組織相關的風險 在第三方協議中強調安全 安全要求分析和規(guī)范 的測試、保持和再評估 與法律法規(guī)要求的符合性 第五十九條 供應商的選擇 第五十三條 軟件的獲取 ADO 可開發(fā)資源的獲取 信息系統(tǒng)的安全要求 基礎設施、設備以及相關服務的獲取 AI6 管理變更 變更的標準和規(guī)程 信息處理設施的授權問題 在第三方協議中強調安全 開發(fā)和支持過程安全 軟件包的變更限制 第三十九條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 25 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 影響的評定、優(yōu)先化與授權 緊急變更 在第三方協議中強調安全 業(yè)務連續(xù)性計劃框架 第三十九條 變更情況的跟蹤報道 第三十九條 變更結束與歸檔 第三十九條 AI7 安裝和獲取解決方案及變更 培訓 信息安全意識、教育和培訓 測試計劃 的測試、保持和再評估 第四十條 實施計劃 第四十條 測試環(huán)境 、測試與運營設施的分離 第二十八條 系統(tǒng)與數據轉換 第二十八條 測試變更 安全要求分析和規(guī)范 第四十條 最終驗收測試 安全要求分析和規(guī)范 ATE 產品推出 ATE 軟件發(fā)布 第二十條 系統(tǒng)布署 ADO 變更的記錄與追蹤 第四十一條 實施后評審 第四十二條 DS DS1 定義和管理服務水平 服務水平管理框架的建立 第二十九條 定義服務 第三十一條 確定相關的服務 第五十二條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 26 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 水平協議 執(zhí)行服務水平協議 第五十二條 監(jiān)控并匯報服務水平管理的成果 第五十二條 回顧并更新服務水平管