|
|
|
|
|
|
一、软件安全开发度量指标的定义与作用 (一)什么是软件安全开发度量指标 银监会在发布的《商业银行操作风险管理指引》中,将度量指标定义为“代表某一风险领域变化情况并可定期监控的统计指标”。软件安全开发度量指标可用于监测系统开发过程中以及系统上线后发现的各项风险及控制措施,并作为反映风险变化情况的早期预警指标,开发团队以及安全团队可根据预警信息及早采取措施,提升开发安全质量,防范应用及系统安全风险。 (二)软件安全开发度量指标的作用 安言咨询建立完善的软件安全开发度量指标可以为全面风险管理实施提供切实的支持,并可以在如下三方面实现显著提升。 1.提高风险监控的及时性 软件安全开发度量指标的首要用途是可以帮助客户方内部在不需要进行复杂的模型运算的前提下,就可以及时了解风险暴露的变化状况。显然对于软件安全开发度量指标的监测频率可以远远高于计算经济资本的频率。这种及时性可以显著提升客户方内部对于风险趋势的把握能力。 2.提高经营决策的前瞻性 对于软件安全开发度量指标的持续监测和分析,安言咨询可以帮助客户方内部有效把握各...
根据中国银行业监督管理委员会的《电子银行业务管理办法》要求,在境内开展电子银行业务的金融机构应定期对电子银行系统进行安全评估,并将其作为电子银行风险管理的重要组成部分。 安言咨询将根据中国银监会的《电子银行安全评估指引》和《网上银行安全评估内部审核规范》,参照《电子银行业务管理办法》、《网上银行系统信息安全通用规范》等相关制度规范的要求,开展电子银行安全评估工作。 1.符合性核查依据 本次电子银行安全评估工作主要依据以下政策法规和标准规范: 《电子银行安全评估指引》(中国银行业监督管理委员会) 2.项目进度及范围 依据《电子银行业务管理办法》的要求在风险管理架构和制度、安全策略文档、系统安全性及业务连续性四个主要安全域,包括了安全策略、内控制度建设、系统安全性、业务连续性、业务应急、风险管理状况及风险预警七方面内容对电子银行进行综合评估。 2.1项目评估范围 具体安全评估内容及评估执行级别请见下表: 评估域 评估项 风险管理架构和制度 电子银行业务高级管理职责和制度设计 董事会和高管层的认识和支持 电子银行业务管理部门岗位设...
银行企业高度依赖信息科技,信息科技重在安全,而关注安全即关注风险。认识到信息科技风险作为银行风险重要组成部分,树立并强化全面的信息科技风险意识,着力加强和完善相关规划、建设和管理工作,继而建立全面的信息安全和信息科技风险管理体系,是银行企业面临的一项紧迫课题。 就信息科技风险管理整体性工作而言,银监会发布的《商业银行信息科技风险管理指引》无疑是国内各银行企业一致遵从的“标准”,但如何理解科技风险,如何解读合规要求,如何与商业银行IT内控对接,如何确保落地,往往给相关管理者带来诸多困惑。 安言咨询从事信息安全专业咨询,重点关注金融银行业,先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业咨询服务,对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方案。 我们认为,银监会《商业银行信息科技风险管理指引》与国际权威的COSO-ERM企业全面风险管理框架有着高度的一致性,这意味着,银行企业在IT领域实施风险管理,必然遵循企业全面风险管理的总体框架,并与包括市场风险、信用风险、流动风险等在内的传统业务风险保持对接,...
随着互联网的发展和网络技术的不断进步,信息安全问题已经成为每一个企业运营管理中必须要考虑的一个问题。由于互联网的开放性、便捷性以及业务对于IT技术的依赖性,企业信息可由诸多方面的原因造成轻易外泄,给企业的正常运营带来安全隐患。企业在充分利用IT技术,享受信息传递的方便快捷的同时,降低企业信息安全风险显得尤为重要。 安言咨询根据ISO27001:2013版风险评估新要求,采用ISO 31000:2009《风险管理—原则与指南》(国际标准化组织ISO/IEC 于2009年11月15日发布的国际标准)作为为客户实施信息安全风险评估的主要标准依据。针对信息安全策略层面、信息安全管理层面、组织结构和管理制度层面和信息安全技术四个方面提供全面的风险评估过程,识别、分析和处置相关信息安全风险,形成综合性信息安全风险管理框架。 信息安全风险评估方法 安言咨询通过完整的信息安全风险评估可以更加深入地阐明客户方信息安全管理现状,企业业务运营的特定环境中存在的信息安全隐患,以及帮助客户形成信息安全风险库及评估模板,建立有效的风险管理工具,形成未来动态的、可持续改进的信息安全风险管理机制,进而帮助客户实现信息安全目标。通过对潜在信息安全风险进行量化分析和描...
自2017年6月1日网络安全法正式施行至今,针对网络安全法相关的解读层出不穷,并由此衍生了一些工作事项,其中针对关键信息基础设施(以下简称“CII”)的评估就是一项广大企业关注的内容,安言咨询特别针对CII风险评估的要求进行了梳理,具体如下: CII的提出背景 2016年11月7日全国人民代表大会常务委员会正式发布《中华人民共和国网络安全法》(以下简称“网络安全法”),2017年6月1日起施行。网络安全法中首次提出了关CII的概念,网络安全法的第二节针对CII的运行安全提出了相关要求。 CII的定义 网络安全法第三十一条明确定义了可能属于CII的相关行业和领域,同时还明确了CII遭到破坏、丧失功能或数据泄漏可能产生的影响。 原文条款如下: 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 针对CII的风险评估 网络安全法第三十八条明确要求关键信息基础设施的运营者应当自行或者委托网...
通过开展信息安全风险审计及合规检查,通过了解企业信息安全管理现状,面临的外部风险,同时结合企业需要满足的外部合规要求开展信息安全专项审计或合规检查,揭示企业面临的信息安全及合规风险,最终出具信息安全风险审计报告或者合规检查报告。确保企业能够客观知晓自身面临的各类风险,并未后续改进措施的制定和推动落地提供参考。 信息安全风险审计关注要点 安言咨询在开展企业信息安全风险审计时,会重点关注企业内部针对信息系统的一般控制和应用控制。两大部分审计关注内容如下图所示: 在一般控制审计部分,主要关注通用类的信息安全风险,包括组织架构、岗位职责、供应商管理、基础设施安全、业务连续性、项目安全风险管理、网络安全等方面; 在应用控制审计部分,主要关注针对特定信息系统的不同风险,包括业务相关风险跟踪、输入输出控制、信息系统性能、数据安全、代码安全、系统自身的特定风险; 信息安全风险审计工作过程 信息安全风险审计工作过程可分为审计准备、审计实施、报告编写、讨论定稿四大阶...
版权所有©上海安言信息技术有限公司 2014-2015
