• 快捷搜索
  • 全站搜索

商业银行信息资产分类分级研究与应用

2017-11-13 17:52:59作者:中国建设银行山东省分行 陈成 石磊 丛海燕 姜文进编辑:金融咨询网
本文通过对国内外信息资产分类分级相关业界标准的分析研究,提出信息资产分类分级的方法,并探索相应的管理流程,为商业银行进行信息资产管理及在此基础上开展信息科技风险评估及信息安全保护提供支持。

信息资产是商业银行资产的重要组成部分,识别信息资产,实施信息资产分类、分级是保护商业银行信息资产、构建信息安全保障体系的基础。中国建设银行山东省分行通过对信息资产分类分级情况的研究,提出一种适合商业银行的信息资产分类分级方法,并有效应用于商业银行信息科技风险评估及信息安全保障工作中。

信息资产分类分级的必要性

  随着商业银行信息化的深入,信息科技已经成为金融业务发展不可或缺的重要支撑。信息资产作为信息科技的载体,自然是商业银行资产的重要组成部分,也成了信息安全威胁的目标。为此,国内安全标准、行业监管、业界标准等管理要求也落实到具体的信息资产之上,信息资产重要性不言而喻。然而,银行业信息资产数量大、种类多,如采取“一刀切”式的管控方式,一方面投入大难以承受,另一方面,处处管控将严重影响使用的便利性。因此,对信息资产应采用重点保护、适度保护的安全策略,而分类分级是实施此策略的基础。

  本文通过对国内外信息资产分类分级相关业界标准的分析研究,提出信息资产分类分级的方法,并探索相应的管理流程,为商业银行进行信息资产管理及在此基础上开展信息科技风险评估及信息安全保护提供支持。

业界信息资产分类分级方法概述

  1.信息资产分类情况

  (1)银行业信息技术资产分类目录。中国银监会办公厅、工业和信息化部办公厅于2014年联合下发了《关于印发银行业应用安全可控信息技术推进指南(2014~2015年度)的通知》,提出了一种信息技术资产分类方法,信息资产分类由类别代码、名称、说明和相关引用标准等要素组成。类别分为10个大类和60多个小类。10大类主要涉及软件、硬件及技术服务等方面。

  (2)信息安全管理标准(ISO27001)资产分类。信息安全管理标准(ISO27001)的14个控制领域中有单独的一个领域是资产管理(Asset management),对信息资产的管理提出了明确要求,要求建立资产清单,明确资产责任人,对资产进行分类,按照资产生命周期提供全流程保护。

  (3)信息资产管理属性分类。更多地企业对信息资产的管理通常借鉴实物资产的管理方法。常用做法是按照企业组织架构及各部门职责进行分类管理,习惯把计算机、通讯设备、磁介质等看得见、摸得着的实物看成信息资产;对于企业有重要价值的电子数据、工作文档、报表报告、服务以及企业形象等,不作为信息资产进行保护,而实际上这些“无形”的信息资产对企业而言价值更大。

   2.信息资产分级情况

   (1)信息安全管理体系(ISO27001)对信息资产的分级情况。对于信息资产的分级,常见于ISo27001标准,信息安全的三个特性(机密性C、完整性I、可用性A)是其核心思想,在信息资产等级定义中也是围绕着这三个方面展开的。因此对信息资产机密性、完整性和可用性的赋值是评价信息资产等级依据。对信息资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值,并区分出各资产的价值等级,为风险评估提供量化基础。

  (2)国家安全等级保护体系对按照信息资产的分级情况。国家安全等级保护体系主要依据信息系统对由对社会和客户的影响力来进行划分,集中在无形价值方面(见表1)。

图片3.jpg

  3.现有信息资产分类分级存在的不足之处

  在信息资产分类方面,银监会的信息资产分类着重信息技术产品,主要考虑了软件、硬件及技术服务等方面的信息资产,对数据、人员等信息资产未提出明确的分类要求。lSO27001的标准条款提出了信息资产管理的具体要求和目标,但缺乏具体的指导方法。

  信息资产分级方面,ISO27001和国家等级保护都原则性地提出了思路,但缺乏具体可操作的指南性文件。.

  另外,信息资产分类分级落实方面缺乏配套的管理流程,难以保证方法的落地和有效实施。

  调研同业分类分级情况,较普遍的情况有:一是信息资产分类分级制度不健全,未建立流程化的管理机制,对于信息资产的统计、更新、责任落实未形成一套流程化的管理机制。随着企业信息系统的变更与更新,信息资产管理与实际情况出现偏差。二是目前商业银行对于信息资产尚未形成统一的分类方法,未建立覆盖全面的信息资产清单,或仅局限在硬件设备、信息系统等方面的分类,且未建立科学的分级体系。三是基于信息资产的风险管理应用存在不足,未建立以信息资产为基础的信息科技风险评估、岗位风险管理等机制。

信息资产分类分级实践

  中国建设银行山东分行在研究现有分类分级情况的基础上,遵守国家信息资产管理有关标准,以ISO27001标准为核心,结合工作实际情况,参考SP800—53等标准,建立了适合商业银行的信息资产分类分级方法论,通过制度化的流程固定下来,建立了信息资产清单建立、更新机制。并将分类分级结果与具体信息安全、信息科技风险评估活动结合,验证完善分类分级方法。

   1.信息资产分类

   中国建设银行山东省分行于2007年实施了信息安全管理体系(1SO27001),借鉴lSO27001的有关理念,形成了从信息安全角度进行信息资产管理的方法。根据lSO27001标准要求,通过对山东省分行体系范围内的信息资产进行全面细致的统计、归类,从机密性、完整性、可用性三个方面评定各类资产价值。在信息安全管理体系(ISO27001)实施的过程中,山东省分行将信息资产划分为数据资产、实物资产、软件资产、人员资产、服务资产五类,建立了覆盖全面的信息资产清单,并实施分级,形成了统一的信息资产分类分级方法。

  通过合并资产价值相同或相近的资产,以信息资产组的形式展现。对资产分类进行了进一步优化,在已识别的信息资产基础上,将重要信息资产结合组织的业务环境,以业务系统为主线,对信息资产进行有效分组,并以此作为下一步信息安全风险评估的基础。目前将信息资产划分为应用系统、系统主机、终端、非结构化数据、网络、物理环境等10个组别。

   2.信息资产分级

   在信息资产梳理完毕以后,为进行风险评估和分级管理,需要对资产价值进行定级量化。从信息资产的机密性、完整性、可用性三个方面进行定级,衡量每项信息资产的价值。

  首先制订定级标准,将资产的机密性、完整性、可用性分别按照严重程度划分为4个级别,各级别的定义和取值标准见表2。

图片4.jpg

  对每项资产的价值进行量化定级,分别从机密性、完整性、可用性三个方面进行分析,对照标准赋予相应的数值,实现资产价值量化,形成最终的资产清单。以后可据此进行风险评估和分级管理,具体见表3。

图片5.jpg

   3.信息资产分类分级流程。

   按照信息安全管理体系管理流程,首先是要确定范围,对范围内的资产进行识别,并根据资产的变动情况持续地进行管理。参考ISO27001标准,结合工作实际情况,信息资产分类分级流程主要为范围确定、资产登记、资产分类、资产定级、资产维护等五个阶段。

图片6.jpg
图为 信息资产分类分级流程

  具体步骤描述如下。

  第一步:范围确定。首先要确定资产的范围。按照确定的范围,梳理范围内的资产。

  第二步:资产登记。将整个分类标准对相关收集人员进行讲解,收集人员充分掌握后,对照《信息资产登记表》进行梳理登记。

  第三步:资产分类。按照分类标准,在登记过程中将信息资产归入相应的分类,并确定用途描述、所属部门、存放位置、责任人、保管者、资产使用人员等信息。

  第四步:资产定级。按照信息资产的三个重要属性,机密性、完整性、可用性进行定级,衡量每项信息资产的价值,具体遵照定级标准实施。

  第五步:资产维护。维护步骤仍是从确定范围开始,着重对变化的资产重新梳理登记,并进行资产价值的重新确定。

信息资产分类分级的应用

  信息资产分类分级实施完毕以后,在诸多方面均有应用,如资产管理、风险评估、安全技术防护、岗位风险管理等方面。

  (1)信息资产管理。在信息技术管理方面,信息资产管理的结果主要是形成与实际相符的信息资产清单。每项资产均对应责任人,有利于统一管理和管理职责的落实。

  (2)风险评估。利用资产清单作为信息安全风险评估的基础数据,对风险进行量化和等级评定。对资产价值量化后,进行风险评价,根据计算公式:风险值=资产价值×威胁可能性×威胁造成后果的严重性,可计算出相应的风险值,进行风险等级评定。

  (3)安全技术防护。对照信息资产清单,对于高等级的信息资产,结合风险评估结果,采取管理或技术管控措施,可清晰、准确地把握信息安全风险控制的对象(资产)、面临的威胁、风险存在的位置,全面掌握IT资产的风险状况,为风险控制提供决策依据和重点方向。确保高等级信息资产整体风险可控。

(文章来源:金融电子化杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章