作者:中国工商银行业务研发中心 戴心齐 李吉
随着银行信息化建设的深入推进,现代商业银行信息化程度越来越高,伴随而来的银行信息安全问题也日趋复杂化,一方面网络钓鱼、病毒木马等传统安全问题层出不穷;另一方面以美国第一资本(Capital One)银行云平台数据泄露为代表的新技术安全问题引发了行业对安全问题的重新审视与思考;同时,国内外法律法规环境不断完善,行业监管部门也纷纷加大了对信息安全事件的问责和处罚力度。在当前复杂的信息安全形势下,各银行迫切需要全面掌握自身的安全能力现状,发现能力短板、查漏补缺,持续提升安全管理水平和产业竞争力。
目前,业界已有评估信息安全能力的通用理论,但在银行业尚未形成指导安全能力评估落地的方法,本文旨在通过借鉴信息安全能力评估的理论思想,结合银行信息安全管理最佳实践,研究探索一套可落地的银行信息安全能力成熟度评估方法,通过客观、量化手段来反映银行信息安全能力现状。
一、银行信息安全能力成熟度模型
借鉴关键基础设施网络安全框架(NIST CSF)和能力成熟度模型(CMM)的理论思想,并结合银行信息安全管理最佳实践,本文制定形成了银行信息安全能力成熟度模型(BIS-CMM)(如图1所示),该模型是指导银行开展信息安全能力成熟度评估的方法论。
图1 银行信息安全能力成熟度模型
银行信息安全能力成熟度模型由以下三方面构成。
安全能力维度:基于银行信息安全管理最佳实践,从管理和技术两方面,明确银行信息安全能力维度。
信息安全过程:引入关键基础设施网络安全框架核心思想,围绕识别、保护、检测、响应、恢复五个信息安全管控过程建立信息安全过程域体系。
能力成熟度等级:借鉴能力成熟度模型的能力分级思想,形成五个级别的能力成熟度分级标准。
二、银行信息安全能力成熟度评估方案
银行信息安全能力成熟度评估方案是用于评估银行信息安全能力成熟度的具体依据,方案思路包括三方面:
一是根据银行信息安全管理的最佳实践,对信息安全管理和技术两个维度的能力进行定义;
二是借鉴关键基础设施网络安全框架思想建立信息安全过程域体系,针对各过程域分别从管理和技术两个维度制定具体安全措施;
三是借鉴能力成熟度模型思想 , 分别针对管理和技术安全措施的落实程度制定可量化的能力成熟度等级判定标准。
方案实施方面,首先对每项安全措施是否落实进行判断,之后对其落实程度进行评估,判定其达到的能力成熟度等级。
1、安全能力定义
根据银行信息安全管理的最佳实践,将安全能力划分为管理和技术两方面的能力。
一是管理能力:包括信息安全组织机构、工作职责、管控流程的明确性;相关流程制度制定、发布、修订的规范性;信息安全组织机构运作、沟通协调、要求及流程落地执行的有效性。
二是技术能力:包括利用技术手段和产品工具,对信息安全要求和制度流程的固化执行能力;对信息安全工作的自动化和持续支持能力;针对信息安全风险的检测和响应能力。
2、信息安全措施制定
关键基础设施网络安全框架为企业提供了一套围绕信息安全管理过程(IPDRR)制定信息安全措施的方法论。银行信息安全措施的制定,可以在该方法指导基础上,结合自身需要和银行特点进行制定。具体如下。
制定原则
银行安全措施的制定应遵从全面性、适用性、先进性的原则。
全面性:需要结合信息安全法律法规及行业监管要求、国内外主流信息安全标准及行业规范、银行信息安全管理最佳实践三方面制定,确保安全措施制定的全面性。
适用性:一是需要符合银行特点,对于银行信息安全风险的控制要有针对性;二是对于全球性银行,需要考虑不同国家和地区法律法规及监管的差异,明确安全措施适用的国家和地区。
先进性:随着业务与技术发展、内外部威胁的不断变化,安全管理的思路和安全防护重点也随之不断变化,因此,安全措施的制定需要考虑后续能够根据安全形势变化定期进行更新与持续改进,确保安全措施的先进性。
建立安全过程域体系
引用关键基础设施网络安全框架核心形成信息安全过程域体系(如图2所示),安全过程域体系覆盖信息安全管理的5个过程,包括信息安全管理过程下的23个安全过程域和108个安全过程子域。安全过程域体系是指导制定安全措施的框架基础,是指导信息安全全面过程管理的核心。
图2 银行信息安全过程域体系
编制安全措施
安全措施的编制是按照全面性、适用性、先进性原则,针对23个安全过程域、108个过程子领域编制具体细化的安全措施的过程。
以资产管理过程域为示例,首先在关键基础设施网络安全框架核心提供的通用安全参考(如COBIT 5、ISO/IEC 27001)基础上,结合法律法规要求(如我国网络安全法、欧盟GDPR)、金融行业安全标准规范(如PCI DSS、Swift安全框架)、银行信息安全管理最佳实践(如银行自身制度规范),丰富完善适用银行的信息安全参考文献目录(如图3所示);之后对银行信息安全参考文献中的具体内容进行分析,从管理和技术两个能力维度进行归纳与提炼,编制形成具体细化的安全措施条款,并针对每项安全措施明确适用的安全领域(如网络安全)和国家/ 地区(如图4所示)。
图3 银行信息安全参考文献示例
图4 安全措施示例
3、能力成熟度等级判定标准制定
安全能力成熟度等级判定标准,是按照定义的安全能力成熟度等级,分别从管理和技术两个能力维度,针对每个能力级别制定具体的能力判定标准。
定义安全能力成熟度等级
借鉴能力成熟度模型的思想,将银行信息安全能力成熟度分为五个成熟度等级:1级是非正式执行级,2级是计划跟踪级,3级是充分定义级,4级是量化控制级,5级是持续优化级。能力级别从1级至5级逐级提高,高级别的能力涵盖低级别的能力,对能力成熟度等级的说明如下(如图5所示)。
图5 安全能力成熟度等级
制定能力成熟度等级判定标准
能力成熟度等级判定标准分别从管理和技术两个维度,针对每个能力级别制定具体的能力判定标准。以非正式执行级和充分定义级为示例,管理和技术能力维度下的具体能力判定标准见表1。
表1 能力成熟度等级判定标准示例
4、评估方法
基于安全措施和能力成熟度等级判定标准建立检查评估矩阵(见表2),该矩阵是指导实施能力成熟度评估的方法。在实施评估时,首先应对每项安全措施是否落实进行判断,之后对其落实程度进行评估,判定其达到的能力成熟度等级。对于管理和技术不同维度的安全措施,需要分别使用相应维度的能力成熟度等级判定标准进行判定,详见检查评估矩阵中圆圈标注的交叉点。
表2 检查评估矩阵
三、实施过程
为帮助银行全面掌握自身安全能力现状,发现能力短板,以下将根据上述理论,对实施信息安全能力成熟度评估的具体操作方法进行说明。
1、评估对象选择
评估开始前需要确定评估对象与范围,银行可根据实际需要开展全面的信息安全能力成熟度评估,也可选取某个或部分安全领域开展针对性的能力成熟度评估,如网络安全、服务器安全领域。
2、能力成熟度评估
信息安全能力成熟度的评估包括如下两个步骤:
安全措施的能力成熟度评估
分别从各安全领域,针对其领域内每个安全过程域中的每项安全措施的执行情况进行评估,首先判断被评估银行是否将相关安全措施落实,之后按照能力成熟度等级判定标准对每项安全措施的落实程度进行量化评级(如图 6 所示)。
图6 安全措施能力成熟度评估示例
安全过程域的能力成熟度评估
安全过程域的能力成熟度评估,旨在以全局或专业领域(如服务器安全)视角,从全过程展现信息安全能力成熟度。评估方法为通过计算安全过程域的能力符合度(域内达到相应级别的安全措施的数量占比),对安全过程域达到的能力成熟度等级进行判定,具体操作如下。
安全过程域的能力符合度计算:以网络安全专业领域为例,对该专业领域下每个过程域中所有安全措施的量化评级结果(如图 7 蓝色虚框中的数据)进行计算,分别得出达到 1~5 级的安全控制措施数量占比(如图 7 绿色虚框中的数据)。如:资产管理过程域 ID.AM_1 过程子领域的计算公式为,ID.AM_1 过程子领域 4 级能力符合度 =(达到 4 级的安全措施数量+ 达到更高等级的安全控制措施数量)/ID.AM_1 过程子领域内安全措施总数 ×100%,计算结果为(5+3)/11×100%=73%(如图 7 红色虚框中的数据),按照相同计算方法,1 ~ 5 级的能力符合度分别为 100%、91%、91%、73%、27%,同 理 资 产 管 理 过 程 域 1~5 级 的 能 力 符 合 度 分 别 为 100%、98%、95%、75%、25%。
图7 能力符合度计算示例
安全过程域的能力成熟度判定:根据银行信息安全管理经验,当安全过程域某等级能力符合度大于等于60% 时,即判定其成熟度基本达到了该等级。以网络安全领域中资产管理过程域(图 7)为例 , 其 4 级能力符合度为 75%,大于 60%,则该过程域成熟度达到 4 级;其 5 级能力符合度为 25%,小于 60%,则该过程域成熟度未达到 5 级,因此其能力成熟度达到的最高等级为 4 级。按照相同方法,对每个安全专业领域下每个安全过程域的成熟度进行计算,之后汇总形成全局视角的安全能力成熟度评价(如图 8 所示)。
图8 安全过程域能力成熟度
3、持续改进
能力成熟度评估结果是对银行信息安全能力现状的客观、量化反映,通过能力成熟度评估可为银行制定信息安全能力提升目标提供能力现状参考,银行可结合自身业务发展、安全需要以及成本收益等综合因素开展能力提升工作;此外,通过能力成熟度评估可以定期对安全能力的提升效果进行跟踪与评价,促进银行信息安全能力的不断提升和持续改进。
安全能力成熟度评估是银行定位自身安全能力现状并针对性提升的有效手段,在落实安全能力成熟度评估工作时,银行需积极跟进内外部形势的变化、国内法律法规及监管的新要求以及新技术应用引入的新风险,及时对银行信息安全能力成熟度评估方案进行更新与调整,每年定期开展评估工作,有效防范安全风险,为银行信息化建设、金融科技发展保驾护航。
声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。