首页> 图书频道> 经管> 投资理财

6.3.4  风险评估的实施

2025年09月26日
版权
6.3.4 风险评估的实施

1.风险评估前提

开展风险评估工作除了应具备专业技术人员和风险评估工具之外,还应制定完成信息科技风险管理策略和信息科技风险分级标准,这两者是风险评估工作开展的前提。

(1)制定信息科技风险管理策略 风险评估工作如何开展,开展到何种程度,取决于本行的风险管理策略。从某种意义上来说,商业银行就是经营风险来获取回报的组织,风险管理策略在全行层面应该是一致的。一般情况下,风险管理策略可分为“激进”、“稳健”、“保守”三种策略。风险管理策略不但决定风险评估开展程度,也决定风险处置策略。如果采用“激进”的风险管理策略,则风险评估工作可以少开展甚至不开展;风险处置时,只处置高风险,接受中、低风险。如果采用“稳健”的风险管理策略,则风险评估工作应该定期开展;风险处置时,处置高、中风险,接受低风险。如果采用“保守”的风险管理策略,则风险评估工作应该持续开展,风险处置时,高、中、低风险全部处置。本行的风险管理策略可以长期不变,也可以根据经济形势发展的不同阶段,采用不同的风险管理策略。

(2)制定信息科技风险分级标准 风险评估工作最重要的成果是评估发现的风险点列表。根据不同的风险管理策略,可以明确对高、中、低不同风险的处置要求。但是,高、中、低风险如何划分需要事先制定分级标准。风险分级标准的制定可以依据定量的指标,如损失金额、影响范围、影响时间等;也可以依据半定量的指标,如信息资产的重要程度、威胁程度、脆弱性程度等;还可以依据评估专家的“头脑风暴”确定一些定性指标,如本行核心系统缺少灾难备份系统可以认定为高风险。

2.制定风险评估计划

研发风险管控部门根据内外部监管要求、风险管理策略及研发风险管控工作需要,制定风险评估工作计划。该计划应至少包含下述内容:计划评估时间、目标、范围、参与人员、评估方式、评估内容等。风险评估计划制定完成后,应报送本机构信息科技管理委员会(或风险管理委员会)或经其授权的部门审核批准后执行。

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

3.准备风险评估

(1)组建风险评估团队 研发风险管控部门牵头组建由熟悉信息科技风险管理和风险评估工作的人员组成的风险评估团队。该团队一般包括风险评估领导小组和风险评估工作组两部分。

风险评估工作组可根据专业条线或评估范围再细分为几个工作小组,每个小组以2~3人为宜。如在开展全面信息系统风险评估时,风险评估工作组可分为管理评估组、机房评估组、网络评估组、系统评估组、应用评估组、数据评估组、外包评估组、应急和灾备评估组等。

(2)制定风险评估方案 风险评估方案是制定风险评估工作开展的核心文档,方案包含但不限于下述内容:

1)评估组织。本次评估组织包括风险评估领导小组和风险评估工作组,包括具体人员组成、角色职责、联系方式等。

2)评估范围。例如,本次评估仅对新研发的信息安全等级保护级别为三级以上的系统的安全性进行评估,主要评估应用安全、数据安全、源代码安全、Web页面安全。

3)评估内容。根据监管类要求或评估标准,对评估范围进行细化。如应用安全部分关注身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、软件容错、资源控制、抗抵赖、输入控制、输出控制等方面实现情况;数据安全部分关注数据完整性、数据保密性、数据备份和恢复、敏感数据管理等;源代码安全和Web页面安全部分关注是否存在SQL注入、跨站脚本、密码明文存储或传输等高风险漏洞。

4)评估方式。选择一种或多种评估方式开展风险评估,常用方式见表6-4。

6-4 常用风险评估方式

978-7-111-51949-2-Part02-76.jpg

5)进度安排。进度安排部分一般包括各阶段进度安排及工作要求等。本次评估分为两个评估阶段:一是各部门自评估阶段;二是全面评估阶段,并对各阶段提出工作要求。

6)评估依据。评估依据包括(但不限于)现行国际标准、国家标准、行业标准;金融行业监管部门(中国人民银行、银监会等)的要求和制度;系统安全保护等级要求;系统互联单位的安全要求;系统本身的实时性或性能要求等。

7)相关附件。附件中一般应包括访谈列表、检查列表、评估报告模板等。其中,检查列表是对评估内容的进一步细化,包括但不限于检查项、检查方法、检查结果、风险等级等要素。

(3)培训与沟通 风险评估实施前,负责风险评估的牵头部门应组织评估团队学习评估方案,让所有评估参与人员熟悉方案内容。必要时制定风险评估过程管理相关规定,开展保密教育,签署保密合同或保密协议。

4.实施风险评估

(1)评估启动 组织召开风险评估启动动员会,对被评估机构和风险评估工作组提出要求。当发生下述情况时,应立即启动信息科技风险评估:组织机构发生重大调整或机构变动对信息系统产生较大影响;信息系统及相关资产发生重大调整和改变,如系统架构、网络架构、数据存储方式、技术平台等进行了较大改造或升级;发生重大信息科技事件或基于某些运行记录怀疑将发生重大信息科技事件;监管部门及内部管理要求中需启动信息科技风险评估的其他事项。

(2)评估开展 风险评估工作启动后,按照风险评估方案,正式组织开展风险评估工作。评估过程中要注意做好中间文档的保存,以及发现风险点的确认与取证。

5.风险评估总结

风险评估结束后,应形成具体完整的风险评估清单,至少包含下述内容:风险类别、风险描述、风险等级、识别时间、已采取的应对措施及效果等。

风险评估工作组根据风险评估的情况、风险管理现状、存在的主要风险、现有风险控制措施等,出具风险评估报告,并提出风险整改建议。

风险评估报告撰写完成后,需经评估组织部门、被评估部门确认后,方可提交风险评估领导小组审核。审核通过后,风险评估组织部门视情况通报风险评估报告,同时督办整改责任部门制定整改方案,推进风险整改。

风险评估组织部门应定期对残余风险进行评估,判断残余风险是否接受。如不接受,则应调整风险应对措施,确保残余风险控制到可接受水平。