- 快捷搜索
- 全站搜索
信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,它对评估者专业要求较高,而基层央行起步较晚,基层人员缺乏经验,开展风险评估时往往无从着手。本文根据相关评估方法,结合工作实际设计评估简化方法,并取得较好应用效果。
一、风险评估的过程及方法
风险评估过程可分为4个阶段:制定评估计划、资料收集、风险分析和形成评估报告。其中风险分析又分为以下5个步骤。
(1)资产识别赋值。它是对各类资产安全价值的评估,不仅考虑资产的成本价格,更要考虑资产对本单位业务的安全重要性,具体方法如表1所示。
(2)资产弱点分析赋值。弱点是资产本身存在的某种脆弱性,其本身不会损害资产,但满足一定条件时,弱点可能被威胁利用而造成资产损失。资产弱点赋值是评估弱点被利用的难易程度(见表2)。
(3)威胁分析赋值。威胁分为自然与环境威胁、人为威胁两种,人为威胁又分为故意与非故意。在威胁分析过程中,应根据资产所处环境和资产以前遭受威胁损害的情况进行赋值(见表3)。
(4)控制措施分析赋值。安全控制指能降低威胁发生的可能性、减少资产脆弱性和威胁造成的影响的措施。应分析识别已采取的控制措施,对措施有效性进行确认赋值,使有效措施继续保持,防止重复浪费。对于确认不能有效控制风险的,应考虑取消或加固(见表4)。
(5)风险计算和处置。根据以下公式计算资产风险值,其中R为单个资产的风险值:
然后据表5确定风险等级。风险等级划分为5级,对低风险等级的风险项可不进行处置,但应进行监控和定期检查,以保证其仍处于可接受状态;对较低(合)以上的风险项,应制定风险缓解及整改措施、时间计划及相应责任人。风险处置要根据可行性、花费代价及风险管理目标进行综合考虑,以最恰当和最实际的方法,使风险降低到可容忍的程度。
二、风险评估的实际应用
风险评估方法在实际中的应用如表6所示。
三、总结
本文提出的信息安全评估方法是依据风险发生的可能性、资产重要性、可能造成的影响以及已采取的控制措施,对风险进行识别和分类,从全局角度运用综合评估方法对风险识别中获得的风险信息进行评价,较全面地反映目前信息安全风险状况,为信息安全风险控制和风险策略选择提供依据。
(文章来源:《金融电子化》杂志)
桌面终端安全管理工作点多面广,是信息安全工作的重点和难点。采用技术手段降低信息安全风险,有效保障金融机构重要信息资产不受
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信