一、基線

基線是指法律規(guī)定或監(jiān)管指引推薦的最低期望值?？梢岳斫鉃闄C構(gòu)為開展互聯(lián)網(wǎng)業(yè)務所應達到的最低的治理和管控水平。換言之，如機構(gòu)評估自身的網(wǎng)絡安全成熟度達不到此層級，則在充分改進前，不宜開展互聯(lián)網(wǎng)相關(guān)業(yè)務。

1.網(wǎng)絡風險管理和監(jiān)督

一是管理層管理信息安全和業(yè)務連續(xù)性計劃，不定期開會討論信息安全風險議題，將與信息安全相關(guān)的項目和費用納入預算，并每年至少向董事會提交一次關(guān)于信息安全和業(yè)務連續(xù)性的總體狀況的書面報告。二是建立與風險相適應的信息安全戰(zhàn)略，將技術(shù)、策略、流程和培訓活動結(jié)合起來，明確信息技術(shù)風險管理、威脅信息共享、第三方管理、事件響應和恢復的理念。三是管理層組織并維護IT資產(chǎn)清單，基于數(shù)據(jù)分類和業(yè)務價值，確定IT資產(chǎn)的優(yōu)先保護順序。制定變更管理流程，批準對系統(tǒng)配置、硬件、軟件、應用程序和安全工具的更改。四是建立信息安全和業(yè)務連續(xù)性風險管理職能，開展風險評估活動。關(guān)注對客戶信息的保護，確定可預見的內(nèi)外部威脅、威脅的可能性和潛在損害，以及策略、流程和客戶信息系統(tǒng)保護措施的充分性。五是利用獨立審計對整個機構(gòu)的策略、流程和控制措施進行評估，以了解與機構(gòu)運營相關(guān)的重大風險和控制問題，包括新產(chǎn)品、新興技術(shù)和信息系統(tǒng)的風險。定期對日志活動進行獨立審查，以確保日志管理受控。追蹤內(nèi)部審計、獨立測試及評估發(fā)現(xiàn)的問題和擬采取的糾正措施，以確保問題得到及時解決。六是確定了信息安全人員的角色和責任。制定了相關(guān)流程，以確定為提高本機構(gòu)信息安全防御水平，安全人員需要哪些額外的專業(yè)知識。按年度進行信息安全培訓。

2.威脅情報和協(xié)作

一是加入威脅和漏洞信息共享組織，從那里得到相關(guān)威脅情報信息。二是應用威脅信息監(jiān)視威脅和漏洞、加強內(nèi)部風險管理和控制。三是以安全的方式審核和保存安全事件日志，利用其對事件進行事后調(diào)查。

3.網(wǎng)絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是明確依賴于外部連接的關(guān)鍵業(yè)務流程，并確保第三方連接是被授權(quán)的。

二是利用網(wǎng)絡圖表標識所有外部連接，利用數(shù)據(jù)流圖記錄流向外部各方的信息。三是在簽訂合同之前對第三方進行盡職調(diào)查，審查范圍包括其背景、聲譽、財務狀況、穩(wěn)定性和安全控制措施。四是維護第三方服務提供商列表。進行風險評估以確定服務提供商的重要性。五是與所有處理、存儲或傳輸機密數(shù)據(jù)或提供關(guān)鍵服務的第三方簽署正式合同，并明確相關(guān)安全和隱私要求。合同：要求第三方對機構(gòu)的機密數(shù)據(jù)的安全性負責;要求由獨立方定期審查和驗證第三方的安全控制措施;明確了如果第三方未能達到規(guī)定的安全要求，機構(gòu)可用的追索權(quán);明確了應對安全事件的責任;規(guī)定了合同終止時返回或銷毀數(shù)據(jù)的安全要求。

二、演進

機構(gòu)在滿足基線要求的基礎(chǔ)上，繼續(xù)對自身管控能力進行提升。建立了網(wǎng)絡安全責任制，制定了正式的網(wǎng)絡安全流程和策略，明確了網(wǎng)絡安全保護范圍涵蓋客戶信息、信息資產(chǎn)和系統(tǒng)。

1.網(wǎng)絡風險管理和監(jiān)督

一是管理層制定網(wǎng)絡安全計劃，保證遵守與網(wǎng)絡安全相關(guān)的法律和監(jiān)管要求。通過預算流程對網(wǎng)絡安全人員和工具進行管控，并在預算過程中建立一個子流程，以估計與網(wǎng)絡安全事件相關(guān)的潛在費用。根據(jù)固有風險狀況的變化情況更新網(wǎng)絡安全策略。二是每年更新一次資產(chǎn)清單，并對關(guān)鍵資產(chǎn)進行識別，以反映資產(chǎn)的購入、重新部署和報廢活動。建立書面的IT資產(chǎn)生命周期管理規(guī)定，主動管理資產(chǎn)報廢活動以限制安全風險。三是建立了風險管理流程，包含網(wǎng)絡風險識別、測量、緩解、監(jiān)控和報告等方面。管理層審閱內(nèi)外部審計報告，并改進現(xiàn)有的網(wǎng)絡安全策略、流程和控制措施，對網(wǎng)絡安全風險評估報告中的中度和高度剩余風險問題進行監(jiān)控。四是利用風險評估識別由新產(chǎn)品、服務或連接引起的網(wǎng)絡安全風險。風險評估的關(guān)注點不僅包括客戶信息，還涵蓋了機構(gòu)的所有IT資產(chǎn)以及使用報廢軟硬件的風險。五是通過獨立審計確認機構(gòu)的風險管理職能、威脅信息共享機制、網(wǎng)絡安全控制職能、第三方關(guān)系管理和事件響應計劃和恢復能力與其風險和復雜性相稱。六是由具有適當知識和經(jīng)驗的管理層來領(lǐng)導本機構(gòu)的網(wǎng)絡安全工作。具有網(wǎng)絡安全職責的工作人員具備執(zhí)行職位必要任務所需的資格。對候選員工、承包商和第三方進行背景審查。七是制定網(wǎng)絡安全人員相關(guān)知識技能繼續(xù)教育計劃，并對培訓的有效性進行確認。

2.威脅情報和協(xié)作

一是該機構(gòu)收到的威脅信息涵蓋網(wǎng)絡攻擊戰(zhàn)術(shù)、模式的分析和風險緩解建議。二是合理分配威脅信息收集和分析職責，并確保不相沖突。建立安全運營中心SOC或類似機構(gòu)以協(xié)調(diào)網(wǎng)絡安全控制流程。監(jiān)控系統(tǒng)持續(xù)有效運行，并能夠為事件的高效處理提供有力支持。三是通過可信渠道與其他實體共享威脅和漏洞信息，派出代表參加執(zhí)法單位或信息共享組織的會議。

3.網(wǎng)絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是將關(guān)鍵業(yè)務流程映射到支持的外部連接上。以安全的方式存儲網(wǎng)絡和系統(tǒng)圖表，對訪問進行適當?shù)南拗?，并至少每年更新一次。對主要和備用第三方連接的控制措施，進行定期監(jiān)控和測試。二是董事會審查外包盡職調(diào)查結(jié)果，包括管理層提出的關(guān)于使用可能影響機構(gòu)固有風險的第三方的建議。三是在合同中明確第三方連接設備如防火墻、路由器的管理責任，明確第三方通知直接和間接安全事件和漏洞的責任，規(guī)定了數(shù)據(jù)存儲或傳輸?shù)牡乩硐拗啤Ｋ氖墙⒘舜_定新的第三方關(guān)系的過程。指定部門和員工負責持續(xù)監(jiān)督第三方訪問活動。以與第三方的風險程度相適應的深度和頻率對第三方進行監(jiān)控。

三、中級

機構(gòu)已經(jīng)形成相對完備的網(wǎng)絡風險管理制度體系，相關(guān)安全控制措施經(jīng)過實踐驗證并且相互間保持一致，同時將風險管理實踐整合到業(yè)務戰(zhàn)略中。

1.網(wǎng)絡風險管理和監(jiān)督

一是董事會擁有網(wǎng)絡安全專業(yè)知識，或聘請專家協(xié)助履行相關(guān)監(jiān)督責任。董事會批準并公布網(wǎng)絡風險偏好。高管層根據(jù)網(wǎng)絡安全事件編制網(wǎng)絡安全指標和報告，董事會審議這些指標和報告，以明確機構(gòu)威脅趨勢和安全狀況，并審查和批準管理層的業(yè)務恢復優(yōu)先次序決策和資源分配決策。二是管理層制定并定期審查網(wǎng)絡安全戰(zhàn)略，以應對網(wǎng)絡威脅和該機構(gòu)固有風險的變化。將網(wǎng)絡安全戰(zhàn)略納入全面風險管理體系，及時更新與業(yè)務線網(wǎng)絡風險有關(guān)的所有策略。三是除非有有正式的變更請求、批準文件以及對安全影響的評估，基準配置不得變更。IT變更管理流程要求在分析、批準、測試和報告變更活動時，評估網(wǎng)絡安全風險。

2.威脅情報和協(xié)作

一是按照簽署的協(xié)議收集同業(yè)和政府的相關(guān)信息。維護一個只讀的網(wǎng)絡威脅情報資料庫。二是威脅情報團隊對來自多個信源的威脅情報進行可信度、相關(guān)性和風險暴露評估。為每個威脅創(chuàng)建一個配置文件，以識別威脅的可能意圖、能力和目標。分析威脅情報以制定網(wǎng)絡威脅情況概要，涵蓋面臨的風險和考慮采取的具體行動。三是基于員工的具體工作職能，向其共享威脅、脆弱性和事件信息。與其他金融機構(gòu)或第三方簽署威脅信息共享協(xié)議。積極與同業(yè)、執(zhí)法機構(gòu)、監(jiān)管部門和相關(guān)論壇分享信息。

3.網(wǎng)絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是利用經(jīng)過驗證的資產(chǎn)清單創(chuàng)建綜合圖表，描述數(shù)據(jù)存儲、數(shù)據(jù)流、基礎(chǔ)架構(gòu)和連接情況。設計和驗證安全控制措施，檢測和防止來自第三方連接的入侵。

二是要求第三方服務提供商對其第三方如分包商等進行盡職調(diào)查。在與高風險供應商簽署合同前，由機構(gòu)或由第三方進行實地考察。三是制定了第三方服務水平協(xié)議或類似手段，要求第三方及時通知安全事件。四是根據(jù)最小特權(quán)原則對第三方員工訪問機構(gòu)的機密數(shù)據(jù)的行為進行跟蹤。五是對高風險供應商進行定期現(xiàn)場評估以確保適當?shù)陌踩刂拼胧┮训轿弧?/p>

四、先進

機構(gòu)的網(wǎng)絡安全管控能力已經(jīng)達到同業(yè)先進水平。開始進行跨業(yè)務線的網(wǎng)絡安全分析和管控，對業(yè)務風險決策責任進行了明確和分配，對大部分風險管理流程進行自動化控制，同時在此基礎(chǔ)上進行持續(xù)的流程改進。

1.網(wǎng)絡風險管理和監(jiān)督

一是將網(wǎng)絡風險偏好納入機構(gòu)的整體風險偏好當中。管理層建立了正式的流程來不斷改進網(wǎng)絡安全監(jiān)督工作，業(yè)務部門負責有效管理與其活動相關(guān)的所有網(wǎng)絡風險。管理層能夠在網(wǎng)絡攻擊導致重大損失時查明其根本原因。管理層的行動考慮了該機構(gòu)對同業(yè)造成的網(wǎng)絡風險。二是利用行業(yè)認可的網(wǎng)絡安全標準分析網(wǎng)絡安全計劃。網(wǎng)絡安全戰(zhàn)略和風險偏好明確了該機構(gòu)作為金融業(yè)關(guān)鍵基礎(chǔ)設施組成部分的角色。管理層正在不斷改進現(xiàn)有的網(wǎng)絡安全計劃，以適應網(wǎng)絡安全目標狀態(tài)的變化。

2.威脅情報和協(xié)作

一是建立了網(wǎng)絡情報模型并以之收集威脅信息。自動實時地從多個來源接收威脅情報。該機構(gòu)的威脅情報涵蓋了可能增加網(wǎng)絡安全威脅的地緣政治事件。二是建立了專門的網(wǎng)絡威脅識別和分析委員會來進行溝通并協(xié)調(diào)應對舉措。制定了正式的流程，以解決從多個信源收到的信息中的潛在沖突。三是利用新興的內(nèi)外部威脅情報和相關(guān)日志分析來預測未來的攻擊。。

3.網(wǎng)絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是在網(wǎng)絡連接基礎(chǔ)設施投產(chǎn)或變更前，對安全體系結(jié)構(gòu)進行驗證并記錄。與第三方服務提供商密切合作，以保持和改善外部連接的安全性。二是針對第三方盡職調(diào)查活動制定持續(xù)的流程改進計劃。每年對高風險供應商進行審計。三是在合同中要求第三方服務提供商的安全策略達到或超過本機構(gòu)的安全策略。四是第三方員工訪問第三方托管系統(tǒng)上的機密數(shù)據(jù)將被主動跟蹤。

五、創(chuàng)新

機構(gòu)在達到同業(yè)先進水平的基礎(chǔ)上，持續(xù)進行創(chuàng)新活動。主要體現(xiàn)在：推動本機構(gòu)、全行業(yè)來創(chuàng)新網(wǎng)絡風險管理的流程和技術(shù);制定新的控制措施、研發(fā)新的工具或創(chuàng)建新的信息共享組織;將實時預測分析與自動響應相關(guān)聯(lián)等。

1.網(wǎng)絡風險管理和監(jiān)督

一是管理層根據(jù)董事會的指示，開發(fā)可能被全體同業(yè)采用的網(wǎng)絡安全改進措施。董事會對管理層的行為進行驗證，以明確其是否考慮到了該機構(gòu)對電信、能源等關(guān)鍵基礎(chǔ)設施造成的網(wǎng)絡風險。二是建立了正式的變更管理流程，對各種變更請求進行管理，并識別和測量可能導致網(wǎng)絡攻擊風險增加的安全風險事件。在機構(gòu)層面全面應用自動化工具來檢測和阻止對軟件和硬件的未經(jīng)授權(quán)的更改。三是可識別和分析本機構(gòu)和其他行業(yè)發(fā)生的網(wǎng)絡事件的共性，以實現(xiàn)更具預測性的風險管理。建立了相關(guān)流程，以分析本機構(gòu)的網(wǎng)絡安全事件可能對整個金融行業(yè)造成的財務影響。四是實時更新風險評估，對新的風險進行預測。擁有自動化分析工具，可提供預測信息和實時風險指標。

2.威脅情報和協(xié)作

一是威脅分析系統(tǒng)會自動將威脅數(shù)據(jù)與特定風險關(guān)聯(lián)起來，在提醒管理層的同時采取基于風險的自動操作。二是該機構(gòu)使用多種情報來源，如相關(guān)日志分析、漏洞缺陷通報和地緣政治事件來預測潛在的攻擊。三是IT系統(tǒng)會根據(jù)威脅情報和警報自動檢測配置漏洞。建立了實時與業(yè)務部門共享網(wǎng)絡威脅情報的機制，情報內(nèi)容包括如果不采取措施可能造成的的潛在財務和業(yè)務影響。四是系統(tǒng)會自動通知管理層該機構(gòu)特有的業(yè)務風險水平以及為緩解風險而推薦采取的流程步驟。

3.網(wǎng)絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內(nèi)容較多，此處略。

作者簡介：

劉雪松（1982.11-），男，漢族，山東文登人，四川大學碩士研究生，主要研究方向：區(qū)域經(jīng)濟。