1.1 -XXXX银行信息科技风险评估操作规程.docVIP

PAGE 10 XXXX银行信息科技风险评估操作规程 总则 为规范XXXX银行信息科技风险评估工作，提高信息科技风险管理水平，根据监管要求及《XXXX银行信息科技风险管理办法》，制定本操作规程。 本规程所指信息科技风险是信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 本规程所指信息科技风险评估是对信息科技风险的风险辨识（包括分类）、风险分析和风险评价。 本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。 本规程适用于全行。 风险评估计划 2.1总行市场与操作风险管理部制定信息科技风险评估计划，每年组织开展一次全面的信息科技风险评估。 2.2出现以下情况，应结合本单位以往风险评估情况，确定是否启动信息科技风险评估： （1）新系统上线或已有系统进行重大变更； （2）内部或同业出现重大信息科技事件； （3）信息科技审计中发现重大问题； 监管机构发布风险提示。 2.3分行市场与操作风险管理部门根据总行风险评估工作要求，结合本行实际情况制定风险评估计划，组织开展信息科技风险评估工作。 风险评估准备 3.1.风险评估牵头部门确定风险评估目标。评估目标包括： （1）满足监管要求； （2）满足我行业务持续发展在信息科技方面的需要； （3）识别现有信息技术及管理上的不足等。 3.2.风险评估牵头部门确定风险评估范围。评估范围依据评估目标确定，包括： （1）信息资产，如物理、系统、网络、应用、数据等； （2）信息科技活动，如合规管理、开发管理、运维管理、外包管理等； （3）信息科技工作流程，如事件管理、配置管理、变更管理等。 3.3.风险评估牵头部门负责组建风险评估团队，授权风险评估团队开展风险评估工作。 3.4.风险评估团队制定风险评估计划书，明确风险评估实施的计划安排，包括评估工作内容、时间进度和各阶段成果清单等内容。 3.5.风险评估团队制定风险评估方案，明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。 3.5.1.评估依据包括： （1）现有国际标准、国家标准、行业标准； （2）行业主管机关的要求和制度； （3）信息科技安全保护等级要求； （4）信息科技互联单位的安全要求； （5）信息系统本身的实时性或性能要求等。 3.5.2.风险评估方法包括： （1）基线分析法：采用一套标准的风险控制措施来对所有的风险点进行对比分析，确保达到一个最基本的风险保护级别。 （2）简要分析法：利用个人的知识和经验分析风险。 （3）详细分析法：对资产进行深度识别和赋值，评估针对资产的威胁，并分析脆弱点。 3.6.风险评估计划书和风险评估方案报送主管领导批准后执行。 3.7.风险评估牵头部门通过风险评估启动会等形式启动具体风险评估工作。 风险识别 4.1资产识别 资产识别参见《XXXX银行信息资产管理办法》中资产识别及赋值的要求。 4.2威胁识别 4.2.1.威胁识别采用以下方法： （1）人员访谈； （2）调查问卷； （3）物理检查； 4.2.2.评估人员参照信息科技威胁源清单（附件1），从以下方面分析威胁： （1）人员威胁：故意破坏和无意失误； （2）系统威胁：系统、网络或服务出现的故障； （3）环境威胁：电源故障、污染、液体泄漏、火灾等； （4）自然威胁：洪水、地震、台风、雷击等。 4.2.3.评估人员参照威胁赋值表（附件2）对已识别的威胁赋值。威胁赋值应综合考虑以下方面： （1）以往安全事件报告中出现过的威胁及其频率的统计； （2）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； （3）近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。 4.3脆弱性识别 4.3.1脆弱性识别采用以下方法： （1）访谈，主要涉及资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等； （2）调查问卷 ； （3）物理检查 ； （4）查阅和分析文件 ； （5）工具测试，测试办法包括：漏洞自动扫描工具、安全测试和评估 、渗透测试 和代码评审。 4.3.2.参照信息科技脆弱性清单（附件3），从以下方面识别被评估对象的脆弱性： （1）技术性脆弱性：系统、程序、设备中存在的漏洞或缺陷； （2）操作性脆弱性：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞； （3）管理性脆弱性：策略、程序、规章制度、人员意识、组织结构等方面的不足。 4.3.3.评估人员参照脆弱性严重程度赋值表（附件4）对已识别的脆弱性赋值。 4.4确认已有风险控制措施的有效性。 风险评价 5.1.确定风险可能性 5.1.1.根据威胁出现频率及脆弱性的状况，确定威胁利用脆弱性导致风险事件发生的可能性，即： 风险事件的可能性=L(