【51CTO.com 綜合消息】近年來，海內外金融領域因為IT失效引起的銀行損失案例比比皆是、層出不窮。如美國黑客入侵花旗銀行設在連鎖便利店7-11店內的自動提款機的計算機網絡，并盜取客戶個人識別碼，從2009年10月至2010年3月，盜取至少200萬美元；美國男青年阿爾伯特•岡薩雷斯領導的黑客團伙利用計算機技術瘋狂作案，先后共盜取超過4000萬張信用卡賬號和密碼……

在中國，銀監會在2009年出臺了《商業銀行信息科技風險管理指引》，對信息科技風險和信息科技風險管理的目標提出了具體的指導意見。

如此種種，信息科技在各個行業，尤其是銀行業，扮演著越來越重要的角色。銀行業由于其IT系統高度密集、信息化程度高且事關國計民生，因此可以預見，隨著銀行業電子化程度的提高，銀行信息科技面臨的風險還會越來越大。

因此，需要加強信息科技的風險管理。

風險管理是一個識別風險、評價風險、控制風險的過程，最終目標是將風險控制在可接受的水平。風險評估則是對風險發生的可能性及所造成的影響進行分析，是識別風險、評價風險的過程。因此，風險管理就是風險評估、風險控制的過程，而風險評估則是風險管理的基礎。

對于信息科技的風險管理來說，也需要以風險評估為基礎?？梢哉f，信息科技風險評估正是信息科技風險識別、計量的過程，也因此受到了各銀行的重視。

風險評估分整體和專項兩種

實際上，風險評估應用范圍很廣。風險評估不僅是風險管理過程中重要的一環，而且在安全規劃、業務連續性管理以及實施等級保護等多個方面都離不開風險評估。

從范圍來看，信息科技風險評估可以分為整體風險評估和專項風險評估。

整體風險評估是指對信息科技的各個方面，如治理、信息安全、信息系統開發、測試與維護、信息科技運行、外包、業務連續性管理等，進行全面的風險評估；專項風險評估則對信息科技的某一方面、某個系統或者為某個目的進行的評估。如銀監會頒布的《電子銀行安全評估指引》所講的安全評估就是對電子銀行各系統的風險評估，常見的專項風險評估還經常根據評估對象分為網絡評估、系統風險評估等。

整體風險評估側重于反映宏觀層面的風險，應該全面反映影響實現IT目標的風險，可使高級管理層把握信息科技的整體風險狀況，從而根據風險狀況，進行戰略決策，最終提升風險管理能力；專項風險評估則側重于反映微觀層面的風險，反映信息科技某一方面或者某個系統存在的風險，根據風險決定相應的風險的處置措施，降低相關系統面臨的風險。他們之間關系如下圖1所示：  

圖1 整體和專項風險評估關系示意

風險評估可劃分為三個階段

風險是對實現目標有所影響的事件的發生的可能性。從概念可以看到，風險有影響及可能性兩個屬性，而影響是由資產的價值與資產存在的弱點決定的，可能性是由資產面臨的威脅及資產存在的弱點決定的。因此風險評估需要對資產、弱點及威脅進行綜合分析。

風險評估工作一般有以下幾個步驟：

步驟1：描述分析評估對象，確定其目標或者價值

步驟2：識別評估對象存在的弱點

步驟3：識別評估對象面臨的威脅

步驟4：通過分析弱點及威脅，確定事件發生的可能性

步驟5：通過分析資產及弱點分析事件如果發生所造成的影響

步驟6：通過已經分析出的可能性和影響確定風險等級

步驟7：根據風險等級提出風險處置建議

這幾個步驟可劃分為風險識別、風險分析、風險定級三個階段，如下圖所示：  

圖2 風險評估可劃分為三個階段

從這個過程可以看出，風險識別是風險評估的基礎，只有完整地識別出被評估對象的風險才可能進行正確的風險分析、風險定級。風險識別是要對評估對象存在的弱點及面臨的威脅進行識別。由于評估對象面臨的威脅是客觀存在的，因此識別評估對象存在的弱點也就成為風險識別的關鍵。

風險評估實踐指導

啟明星辰公司不僅協助多家銀行完成了信息科技風險評估的項目，同時為了更好地做好銀行信息科技的風險評估，還根據不同的風險評估類型做了大量的實際工作。

1.整體風險評估

由于整體風險評估覆蓋范圍廣，其又是反映宏觀層面的風險，因此應該以調查方式為主，以檢查、安全測試方式為輔。

為此啟明星辰針對整體風險評估做了詳細的調查問卷，涵蓋了信息科技的各個方面。整個調查問卷的設計思想為：IT目標是為了實現業務目標，而IT目標是通過資源實現的，資源包括數據、應用系統、基礎設施、人，這些資源是通過流程進行管理的。

一般來講，銀行的IT目標就是在滿足合規管理的要求下，支持業務創新和業務運營。合規管理就是要符合監管機構的要求，如銀監會；支持業務創新就是通過開發或者購買新的信息系統滿足或者促進業務的發展；支持業務運營則是保證信息系統安全穩定運行，從而保證業務的持續運營。為了實現這個目標，需要管理流程和基礎資源配備進行支撐，管理流程可分為IT業務創新支持、IT業務運營支持、IT合規管理及IT治理等四類，基礎資源配備包括支撐IT運行的人、信息、應用系統及基礎設施。

根據此思路，啟明星辰確定了風險檢查點和檢查指標，形成了調查問卷。并且為了方便使用，將調查問卷做成工具，結合調查結果進行風險分析，問卷界面及風險分析結果如下圖3所示：  

圖3 啟明星辰整體風險評估調查問卷界面和風險分析結果示意

2.專項風險評估

專項風險評估應該反映微觀層面的風險，反映信息科技某一方面或者某個系統存在的風險，因此應該深入查找評估對象存在的風險。

基于此，專項風險評估應該采取以檢查與安全測試為主，調查為輔的方法。而無論在檢查還是安全測試方面，啟明星辰都有著深厚的研究與積累：
 
◆啟明星辰不但參與制定了國家一些標準，如漏洞掃描標準、IDS標準，而且緊密關注國際、國家及行業標準與要求，并組織人員對標準或者行業要求進行研究、解讀，研讀金融行業的標準如《巴塞爾協議》、《商業銀行信息科技風險管理指引》、《電子銀行安全評估指引》、《網上銀行系統信息安全通用規范（試行）》等。通過對標準研究，可以更好地協助用戶滿足監管機構的要求。 

◆啟明星辰通過長期積累，形成了一套完善的技術文檔，如常見操作系統、數據庫、網絡設備、安全設備、網管系統的安全檢查列表、安全配置手冊及腳本工具?？梢詫υu估對象的配置文件進行提取，并進行審核，發現其中的薄弱環節，并提供可行的整改建議。 

◆啟明星辰致力于漏洞技術的挖掘與攻擊技術的研究，并且具有自己的積極防御實驗室，可以從代碼層面對應用系統進行檢查。同時，積極防御實驗室成員還可以模擬黑客行為，對系統進行人工滲透，可以直觀地發現其中的弱點，并提供可行的整改建議。 

◆啟明星辰通過對ITIL運維服務流程、CMM開發流程、項目管理流程的研究，熟悉開發流程、項目管理流程及服務的流程，從而可以結合客戶實際情況，發現流程中的不合理性，以進行流程的完善。 

◆所采用的掃描工具-天鏡漏洞掃描系統是啟明星辰具有自主知識產權的產品，可以對網絡設備、操作系統、數據庫、通用應用進行掃描，發現其中的弱點，并提供整改建議。 

◆為了保證風險評估工作的順利進行，啟明星辰針對風險評估項目制定了有效的項目管理流程和標準。

小結

風險評估是風險管理的基礎，只有做好風險評估，才可能做好風險管理，才能將風險控制在可接受的水平。

根據評估范圍，風險評估可分為整體風險評估和專項風險評估兩類。啟明星辰經過長期的積累和實踐，在整體風險評估、專項風險評估方面都具有豐富的經驗，可以為用戶提供優質的風險評估服務，幫助用戶做好風險管理。