|
|
|
|
|
|
一、軟件安全開發度量指標的定義與作用 (一)什么是軟件安全開發度量指標 銀監會在發布的《商業銀行操作風險管理指引》中,將度量指標定義為“代表某一風險領域變化情況并可定期監控的統計指標”。軟件安全開發度量指標可用于監測系統開發過程中以及系統上線后發現的各項風險及控制措施,并作為反映風險變化情況的早期預警指標,開發團隊以及安全團隊可根據預警信息及早采取措施,提升開發安全質量,防范應用及系統安全風險。 (二)軟件安全開發度量指標的作用 安言咨詢建立完善的軟件安全開發度量指標可以為全面風險管理實施提供切實的支持,并可以在如下三方面實現顯著提升。 1.提高風險監控的及時性 軟件安全開發度量指標的首要用途是可以幫助客戶方內部在不需要進行復雜的模型運算的前提下,就可以及時了解風險暴露的變化狀況。顯然對于軟件安全開發度量指標的監測頻率可以遠遠高于計算經濟資本的頻率。這種及時性可以顯著提升客戶方內部對于風險趨勢的把握能力。 2.提高經營決策的前瞻性 對于軟件安全開發度量指標的持續監測和分析,安言咨詢可以幫助客戶方內部有效把握各...
根據中國銀行業監督管理委員會的《電子銀行業務管理辦法》要求,在境內開展電子銀行業務的金融機構應定期對電子銀行系統進行安全評估,并將其作為電子銀行風險管理的重要組成部分。 安言咨詢將根據中國銀監會的《電子銀行安全評估指引》和《網上銀行安全評估內部審核規范》,參照《電子銀行業務管理辦法》、《網上銀行系統信息安全通用規范》等相關制度規范的要求,開展電子銀行安全評估工作。 1.符合性核查依據 本次電子銀行安全評估工作主要依據以下政策法規和標準規范: 《電子銀行安全評估指引》(中國銀行業監督管理委員會) 2.項目進度及范圍 依據《電子銀行業務管理辦法》的要求在風險管理架構和制度、安全策略文檔、系統安全性及業務連續性四個主要安全域,包括了安全策略、內控制度建設、系統安全性、業務連續性、業務應急、風險管理狀況及風險預警七方面內容對電子銀行進行綜合評估。 2.1項目評估范圍 具體安全評估內容及評估執行級別請見下表: 評估域 評估項 風險管理架構和制度 電子銀行業務高級管理職責和制度設計 董事會和高管層的認識和支持 電子銀行業務管理部門崗位設...
銀行企業高度依賴信息科技,信息科技重在安全,而關注安全即關注風險。認識到信息科技風險作為銀行風險重要組成部分,樹立并強化全面的信息科技風險意識,著力加強和完善相關規劃、建設和管理工作,繼而建立全面的信息安全和信息科技風險管理體系,是銀行企業面臨的一項緊迫課題。 就信息科技風險管理整體性工作而言,銀監會發布的《商業銀行信息科技風險管理指引》無疑是國內各銀行企業一致遵從的“標準”,但如何理解科技風險,如何解讀合規要求,如何與商業銀行IT內控對接,如何確保落地,往往給相關管理者帶來諸多困惑。 安言咨詢從事信息安全專業咨詢,重點關注金融銀行業,先后為包括建設銀行、交通銀行、農業銀行、招商銀行、廣發銀行等機構提供過專業咨詢服務,對銀行企業實施IT治理、信息科技風險管理和內控合規有著深刻的理解,并為此專門提出一套解決方案。 我們認為,銀監會《商業銀行信息科技風險管理指引》與國際權威的COSO-ERM企業全面風險管理框架有著高度的一致性,這意味著,銀行企業在IT領域實施風險管理,必然遵循企業全面風險管理的總體框架,并與包括市場風險、信用風險、流動風險等在內的傳統業務風險保持對接,...
隨著互聯網的發展和網絡技術的不斷進步,信息安全問題已經成為每一個企業運營管理中必須要考慮的一個問題。由于互聯網的開放性、便捷性以及業務對于IT技術的依賴性,企業信息可由諸多方面的原因造成輕易外泄,給企業的正常運營帶來安全隱患。企業在充分利用IT技術,享受信息傳遞的方便快捷的同時,降低企業信息安全風險顯得尤為重要。 安言咨詢根據ISO27001:2013版風險評估新要求,采用ISO 31000:2009《風險管理—原則與指南》(國際標準化組織ISO/IEC 于2009年11月15日發布的國際標準)作為為客戶實施信息安全風險評估的主要標準依據。針對信息安全策略層面、信息安全管理層面、組織結構和管理制度層面和信息安全技術四個方面提供全面的風險評估過程,識別、分析和處置相關信息安全風險,形成綜合性信息安全風險管理框架。 信息安全風險評估方法 安言咨詢通過完整的信息安全風險評估可以更加深入地闡明客戶方信息安全管理現狀,企業業務運營的特定環境中存在的信息安全隱患,以及幫助客戶形成信息安全風險庫及評估模板,建立有效的風險管理工具,形成未來動態的、可持續改進的信息安全風險管理機制,進而幫助客戶實現信息安全目標。通過對潛在信息安全風險進行量化分析和描...
自2017年6月1日網絡安全法正式施行至今,針對網絡安全法相關的解讀層出不窮,并由此衍生了一些工作事項,其中針對關鍵信息基礎設施(以下簡稱“CII”)的評估就是一項廣大企業關注的內容,安言咨詢特別針對CII風險評估的要求進行了梳理,具體如下: CII的提出背景 2016年11月7日全國人民代表大會常務委員會正式發布《中華人民共和國網絡安全法》(以下簡稱“網絡安全法”),2017年6月1日起施行。網絡安全法中首次提出了關CII的概念,網絡安全法的第二節針對CII的運行安全提出了相關要求。 CII的定義 網絡安全法第三十一條明確定義了可能屬于CII的相關行業和領域,同時還明確了CII遭到破壞、喪失功能或數據泄漏可能產生的影響。 原文條款如下: 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。 針對CII的風險評估 網絡安全法第三十八條明確要求關鍵信息基礎設施的運營者應當自行或者委托網...
通過開展信息安全風險審計及合規檢查,通過了解企業信息安全管理現狀,面臨的外部風險,同時結合企業需要滿足的外部合規要求開展信息安全專項審計或合規檢查,揭示企業面臨的信息安全及合規風險,最終出具信息安全風險審計報告或者合規檢查報告。確保企業能夠客觀知曉自身面臨的各類風險,并未后續改進措施的制定和推動落地提供參考。 信息安全風險審計關注要點 安言咨詢在開展企業信息安全風險審計時,會重點關注企業內部針對信息系統的一般控制和應用控制。兩大部分審計關注內容如下圖所示: 在一般控制審計部分,主要關注通用類的信息安全風險,包括組織架構、崗位職責、供應商管理、基礎設施安全、業務連續性、項目安全風險管理、網絡安全等方面; 在應用控制審計部分,主要關注針對特定信息系統的不同風險,包括業務相關風險跟蹤、輸入輸出控制、信息系統性能、數據安全、代碼安全、系統自身的特定風險; 信息安全風險審計工作過程 信息安全風險審計工作過程可分為審計準備、審計實施、報告編寫、討論定稿四大階...
