风险评估实践指导

　　启明星辰公司不仅协助多家银行完成了信息科技风险评估的项目，同时为了更好地做好银行信息科技的风险评估，还根据不同的风险评估类型做了大量的实际工作。

　　1.整体风险评估

　　由于整体风险评估覆盖范围广，其又是反映宏观层面的风险，因此应该以调查方式为主，以检查、安全测试方式为辅。

　　为此启明星辰针对整体风险评估做了详细的调查问卷，涵盖了信息科技的各个方面。整个调查问卷的设计思想为：IT目标是为了实现业务目标，而IT目标是通过资源实现的，资源包括数据、应用系统、基础设施、人，这些资源是通过流程进行管理的。

　　一般来讲，银行的IT目标就是在满足合规管理的要求下，支持业务创新和业务运营。合规管理就是要符合监管机构的要求，如银监会;支持业务创新就是通过开发或者购买新的信息系统满足或者促进业务的发展;支持业务运营则是保证信息系统安全稳定运行，从而保证业务的持续运营。为了实现这个目标，需要管理流程和基础资源配备进行支撑，管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类，基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。

　　根据此思路，启明星辰确定了风险检查点和检查指标，形成了调查问卷。并且为了方便使用，将调查问卷做成工具，结合调查结果进行风险分析，问卷界面及风险分析结果如下图3所示：

▲

　　图3 启明星辰整体风险评估调查问卷界面和风险分析结果示意

　　2.专项风险评估

　　专项风险评估应该反映微观层面的风险，反映信息科技某一方面或者某个系统存在的风险，因此应该深入查找评估对象存在的风险。

　　基于此，专项风险评估应该采取以检查与安全测试为主，调查为辅的方法。而无论在检查还是安全测试方面，启明星辰都有着深厚的研究与积累：

• 　　 启明星辰不但参与制定了国家一些标准，如漏洞扫描标准、IDS标准，而且紧密关注国际、国家及行业标准与要求，并组织人员对标准或者行业要求进行研究、解读，研读金融行业的标准如《巴塞尔协议》、《商业银行信息科技风险管理指引》、《电子银行安全评估指引》、《网上银行系统信息安全通用规范(试行)》等。通过对标准研究，可以更好地协助用户满足监管机构的要求。
• 　　 启明星辰通过长期积累，形成了一套完善的技术文档，如常见操作系统、数据库、网络设备、安全设备、网管系统的安全检查列表、安全配置手册及脚本工具。可以对评估对象的配置文件进行提取，并进行审核，发现其中的薄弱环节，并提供可行的整改建议。
• 　　 启明星辰致力于漏洞技术的挖掘与攻击技术的研究，并且具有自己的积极防御实验室，可以从代码层面对应用系统进行检查。同时，积极防御实验室成员还可以模拟黑客行为，对系统进行人工渗透，可以直观地发现其中的弱点，并提供可行的整改建议。
• 　　 启明星辰通过对ITIL运维服务流程、CMM开发流程、项目管理流程的研究，熟悉开发流程、项目管理流程及服务的流程，从而可以结合客户实际情况，发现流程中的不合理性，以进行流程的完善。
• 　　 所采用的扫描工具-天镜漏洞扫描系统是启明星辰具有自主知识产权的产品，可以对网络设备、操作系统、数据库、通用应用进行扫描，发现其中的弱点，并提供整改建议。
• 　   为了保证风险评估工作的顺利进行，启明星辰针对风险评估项目制定了有效的项目管理流程和标准。

　　小结

　　风险评估是风险管理的基础，只有做好风险评估，才可能做好风险管理，才能将风险控制在可接受的水平。

　　根据评估范围，风险评估可分为整体风险评估和专项风险评估两类。启明星辰经过长期的积累和实践，在整体风险评估、专项风险评估方面都具有丰富的经验，可以为用户提供优质的风险评估服务，帮助用户做好风险管理。