亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        風(fēng)險導(dǎo)向下人民銀行信息技術(shù)審計模型構(gòu)建

        2015-12-07 03:19:27樊良孫登昕
        北方經(jīng)貿(mào) 2015年12期
        關(guān)鍵詞:安全事件安全措施人民銀行

        樊良,孫登昕

        (人民銀行菏澤市中支巨野縣支行,山東菏澤274000)

        風(fēng)險導(dǎo)向下人民銀行信息技術(shù)審計模型構(gòu)建

        樊良,孫登昕

        (人民銀行菏澤市中支巨野縣支行,山東菏澤274000)

        中央銀行的業(yè)務(wù)工作對信息技術(shù)的依賴程度不斷提高,信息安全和技術(shù)風(fēng)險問題也日益受到關(guān)注,在人民銀行系統(tǒng)全面開展信息技術(shù)審計應(yīng)得到各部門的高度重視。信息技術(shù)審計是面對計算機(jī)信息系統(tǒng)的審計,其目標(biāo)是通過對計算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別以及管理和環(huán)境風(fēng)險水平計算,來評估審計對象科技信息安全狀態(tài)和存在的不足的流程,探索建立人民銀行信息科技審計模型,發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風(fēng)險點和控制薄弱環(huán)節(jié),提出有針對性的意見和建議,促進(jìn)和維護(hù)計算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

        人民銀行;信息技術(shù);風(fēng)險導(dǎo)向?qū)徲?/p>

        一、人民銀行信息技術(shù)審計中風(fēng)險導(dǎo)向內(nèi)審模式的構(gòu)建思路

        隨著信息化的迅猛發(fā)展,信息技術(shù)已經(jīng)滲透到各個金融管理和服務(wù)領(lǐng)域。中央銀行的業(yè)務(wù)工作對信息技術(shù)的依賴程度不斷提高,信息安全和技術(shù)風(fēng)險問題也日益受到關(guān)注,在人民銀行系統(tǒng)全面開展信息技術(shù)審計應(yīng)得到各部門的高度重視。信息技術(shù)審計是面對計算機(jī)信息系統(tǒng)的審計,其目標(biāo)是通過對計算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別,以及管理和環(huán)境風(fēng)險水平計算,來評估審計對象科技信息安全狀態(tài)和存在的不足的流程,探索建立人民銀行信息科技審計模型,發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風(fēng)險點和控制薄弱環(huán)節(jié),提出有針對性的意見和建議,促進(jìn)和維護(hù)計算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

        二、人民銀行信息技術(shù)審計風(fēng)險評估指標(biāo)體系構(gòu)建

        (一)資產(chǎn)重要性識別

        資產(chǎn)是具有價值的信息或資源,是安全策略保護(hù)的對象。它能夠以多種形式存在,有無形的、有形的,有硬件、軟件,有文檔、代碼,也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。信息科技審計中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量,而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。根據(jù)資產(chǎn)的表現(xiàn)形式,可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。

        通過對資產(chǎn)的機(jī)密性、完整性和可用性綜合分析評定,可以對被審計資產(chǎn)的重要性給出一個評估結(jié)論。筆者將資產(chǎn)重要性劃分為五級,級別越高表示資產(chǎn)重要性程度越高。具體見表1。

        (二)資產(chǎn)威脅識別

        表1 資產(chǎn)重要性等級劃分

        威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素,是客觀存在的。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī),人為因素又可分為惡意和無意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機(jī)密性、完整性或可用性等方面造成損害;也可能是偶發(fā)的、或蓄意的事件。根據(jù)人民銀行科技信息工作實際,根據(jù)表現(xiàn)形式,威脅主要分為以下幾類。見表2。

        表2 一種基于表現(xiàn)形式的威脅分類

        判斷威脅出現(xiàn)的頻率是威脅識別的重要工作,審計人

        員應(yīng)根據(jù)經(jīng)驗和(或)科技部門提供的有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。根據(jù)人民銀行工作實踐,判斷依據(jù)主要包括以下三個方面。

        1.以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計。

        2.實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計。

        3.近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計,以及發(fā)布的威脅預(yù)警。

        威脅頻率等級劃分為五級,分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大,威脅出現(xiàn)的頻率越高。表3提供了威脅出現(xiàn)頻率的一種賦值方法。

        表3 威脅賦值表

        (三)資產(chǎn)脆弱性識別

        脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別,弱點是資產(chǎn)本身存在的,如果沒有相應(yīng)的威脅發(fā)生,單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健,再嚴(yán)重的威脅也不會導(dǎo)致安全事件,并造成損失。即,威脅總是要利用資產(chǎn)的弱點才可能造成危害。

        脆弱性識別將針對每一項需要保護(hù)的資產(chǎn),找出可能被威脅利用的弱點,并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱性識別所采用的方法主要有:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。

        脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行,技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面,前者與具體技術(shù)活動相關(guān),后者與管理環(huán)境相關(guān)。具體識別內(nèi)容見表4。

        可以根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度,采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性由于很多弱點反映的是同一方面的問題,應(yīng)綜合考慮這些弱點,最終確定這一方面的脆弱性嚴(yán)重程度。對某個資產(chǎn),其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。因此,資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

        脆弱性嚴(yán)重程度的等級劃分為五級,分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大,脆弱性嚴(yán)重程度越高。見表5。

        (四)風(fēng)險分析

        審計人員在完成了資產(chǎn)識別、威脅識別、脆弱性識別,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響,即安全風(fēng)險。風(fēng)險計算以下面的范式形式化加以說明:

        表4 脆弱性識別內(nèi)容

        表5 脆弱性嚴(yán)重程度賦值表

        風(fēng)險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))

        其中,R表示安全風(fēng)險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)。

        1.計算安全事件發(fā)生的可能性

        根據(jù)威脅出現(xiàn)頻率及脆弱性狀況,計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,即:

        安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率,脆弱性)=L (T,V)

        在具體評估中,應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)以及資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

        2.計算安全事件發(fā)生后的損失

        根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度,計算安全事件一旦發(fā)生后的損失,即:

        安全事件的影響=F(資產(chǎn)重要程度,脆弱性嚴(yán)重程度)=F(Ia,Va)

        部分安全事件的發(fā)生造成的影響不僅僅是針對該資產(chǎn)本身,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時,應(yīng)將對組織的影響也考慮在內(nèi)。

        3.計算風(fēng)險值

        根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的

        損失,計算風(fēng)險值,即:

        風(fēng)險值=R(安全事件發(fā)生的可能性,安全事件的損失)=R(L(T,V),F(xiàn)(Ia,Va))

        具體計算方法可以采用風(fēng)險矩陣測量法。

        這種方法的特點是根據(jù)以上過程事先估算的資產(chǎn)價值、威脅等級和脆弱性等級賦值建立一個對應(yīng)矩陣,預(yù)先將風(fēng)險等級進(jìn)行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險。資產(chǎn)風(fēng)險判別矩陣如表6所示。

        表6 資產(chǎn)風(fēng)險判別矩陣

        對于每一資產(chǎn)的風(fēng)險,都將考慮資產(chǎn)價值、威脅等級和脆弱性等級。例如,如果資產(chǎn)值為3,威脅等級為“高”,脆弱性為“低”。查表可知風(fēng)險值為5。如果資產(chǎn)值為2,威脅為“低”,脆弱性為“高”,則風(fēng)險值為4。由上表可以推知,風(fēng)險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴(kuò)大。

        當(dāng)一個資產(chǎn)是由若干個子資產(chǎn)構(gòu)成時,可以先分別計算子資產(chǎn)所面臨的風(fēng)險,然后計算總值。例如:系統(tǒng)S有三種資產(chǎn)A1,A2,A3。并存在兩種威脅:T1,T2。設(shè)資產(chǎn)A1的值為3,A2的值為2,A3的值為4。如果對于A1和T1,威脅發(fā)生的可能性為“低”,脆弱性帶來的損失是“中”,則頻率值為1(見表1)。則A1的風(fēng)險為4。同樣,設(shè)A2的威脅可能性為“中”,脆弱性帶來損失為“高”,得風(fēng)險值為6。對每種資產(chǎn)和相應(yīng)威脅計算其總資產(chǎn)風(fēng)險值。總系統(tǒng)分?jǐn)?shù)ST=A1T +A2T+A3T。這樣可以比較不同系統(tǒng)來建立優(yōu)先權(quán),并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)。

        (五)風(fēng)險結(jié)果判定

        風(fēng)險等級劃分為五級,等級越高,風(fēng)險越高。審計人員應(yīng)根據(jù)所采用的風(fēng)險計算方法為每個等級設(shè)定風(fēng)險值范圍,并對所有風(fēng)險計算結(jié)果進(jìn)行等級處理,最終給予審計對象一個審計結(jié)果。見表7。

        表7 風(fēng)險等級劃分表

        人民銀行應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響,提出一個可接受風(fēng)險閾值。對某些風(fēng)險,如果評估值小于或等于可接受風(fēng)險閾值,是可接受風(fēng)險,可保持已有的安全措施;如果評估值大于可接受風(fēng)險閾值,是不可接受風(fēng)險,則需要采取安全措施以降低、控制風(fēng)險。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面,可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實施。

        在對于不可接受風(fēng)險選擇適當(dāng)?shù)陌踩胧┖?,為確保安全措施的有效性,可進(jìn)行再審計,以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。

        某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi),應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。

        三、人民銀行信息技術(shù)審計中應(yīng)注意的問題

        在信息技術(shù)審計中如何堅持風(fēng)險導(dǎo)向?qū)徲嬍且粋€不斷摸索、不斷總結(jié)提高的過程。筆者認(rèn)為,只有不斷積累風(fēng)險數(shù)據(jù)信息,持之以恒的加強(qiáng)人才培養(yǎng),新舊審計模式互為補充,才能更進(jìn)一步發(fā)揮好內(nèi)部審計職能。因此,應(yīng)注意以下幾點。

        (一)建立動態(tài)的風(fēng)險信息數(shù)據(jù)庫,為運用現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆J教峁┬畔⒒A(chǔ)

        由于內(nèi)部審計時間資源有限,不可能對所有的監(jiān)督內(nèi)容和所有的環(huán)節(jié)進(jìn)行全面監(jiān)督,比較科學(xué)的辦法是建立一個完整的審計風(fēng)險模型,對造成審計風(fēng)險的多種因素進(jìn)行全面分析和評估,發(fā)現(xiàn)被審計單位內(nèi)部控制中的薄弱環(huán)節(jié),確定審計的重點和范圍,從而制定更具有針對性的審計策略。

        (二)新型審計模式的運用并不意味著舊審計模式的消亡

        風(fēng)險導(dǎo)向?qū)徲嬍窃趥鹘y(tǒng)審計模式基礎(chǔ)上發(fā)展起來的新型審計模式,立足于對被審計對象整體風(fēng)險管理進(jìn)行系統(tǒng)審查、分析和評價,并以此確定審計策略及審計計劃。因此,必須注重新舊審計模式的有機(jī)結(jié)合。將風(fēng)險導(dǎo)向?qū)徲嬂砟钊谌雮鹘y(tǒng)審計模式,可以使傳統(tǒng)審計項目內(nèi)容得以擴(kuò)展,審計更加靈活,更好地堅持全面審計、突出重點的原則。

        (三)重視信息技術(shù)審計人才的培養(yǎng),為風(fēng)險導(dǎo)向?qū)徲嬏峁┲橇χС?/p>

        人民銀行運用風(fēng)險導(dǎo)向?qū)徲嫹椒?,不僅要求內(nèi)部審計人員熟練掌握有關(guān)規(guī)章制度,還要求審計人員利用審計職業(yè)獨特的判斷力,在實際運用中對審計風(fēng)險點加以判斷。因此,復(fù)合型人才培養(yǎng)與儲備是運用風(fēng)險導(dǎo)向?qū)徲嫹椒ū夭豢缮俚那疤釛l件。要通過各類后續(xù)教育及培訓(xùn),進(jìn)一步更新內(nèi)部審計人員業(yè)務(wù)知識,提升專業(yè)勝任能力,逐步建立起具有現(xiàn)代知識素養(yǎng)和職業(yè)水平的內(nèi)部審計干部隊伍。

        (四)加快輔助審計軟件的開發(fā)及應(yīng)用,為風(fēng)險導(dǎo)向?qū)徲嬏峁┘夹g(shù)支持

        隨著信息技術(shù)的發(fā)展,審計技術(shù)手段日新月異。在風(fēng)險導(dǎo)向模式下,加強(qiáng)審計信息化建設(shè)十分重要。通過搭建信息收集和監(jiān)測平臺,開發(fā)和應(yīng)用計算機(jī)輔助審計軟件,迅速有效地完成各項審計信息的審核工作,將內(nèi)部審計人員從機(jī)械性檢查中解放出來,把主要精力用在對重要業(yè)務(wù)系統(tǒng)、重要業(yè)務(wù)環(huán)節(jié)的監(jiān)控和評價上,從而減少審計成本、提升審計效率。

        [1]中國人民銀行福州中心支行內(nèi)審處.借鑒風(fēng)險導(dǎo)向型審計拓展央行內(nèi)審新領(lǐng)域[J].福建金融,2007(10).

        [2]羅伯特·莫勒爾.布林克現(xiàn)代內(nèi)部審計學(xué)[M].北京:中國時代經(jīng)濟(jì)出版社,2005.

        [3]孫曉,馬鵬飛.人民銀行信息技術(shù)應(yīng)用的風(fēng)險管理研究——基于審計角度的分析[J].金融會計,2011(12).

        [4]李帆,駱鈺.風(fēng)險導(dǎo)向?qū)徲嬆J皆谌嗣胥y行內(nèi)部審計中的運用研究[J].武漢金融,2009(9).

        [5]林久榮.中央銀行風(fēng)險導(dǎo)向?qū)徲嬆J教接慬J].審計監(jiān)督,2009(2).

        [責(zé)任編輯:王鑫]

        F830

        A

        1005-913X(2015)12-0113-03

        2015-10-09

        樊良(1963-),男,山東鄆城人,經(jīng)濟(jì)師,研究方向:金融審計。

        猜你喜歡
        安全事件安全措施人民銀行
        化工企業(yè)易燃液體處理的安全措施
        2020年河北省人民銀行系統(tǒng)機(jī)構(gòu)、人員情況一覽表
        承壓類特種設(shè)備安全措施的優(yōu)化
        超高墩柱翻模施工工藝及其安全措施分析
        玩輪滑
        食品安全事件的價格沖擊效應(yīng)
        公交車公共安全事件調(diào)查
        2013卡巴斯基三大安全事件
        英國:公布食品安全事件年度報告
        河北省人民銀行人民幣信貸收支表
        麻豆国产精品va在线观看不卡 | 白白色发布会在线观看免费 | 高清偷自拍第1页| 一级片麻豆| 国产亚洲一区二区三区三州| 91麻豆精品久久久影院| 国产高清在线视频一区二区三区| 亚洲av无码成人网站在线观看 | 欧美亚洲国产人妖系列视| 久久AⅤ天堂Av无码AV| 免费人成在线观看播放视频| 亚洲综合色无码| 中文字幕人妻丝袜乱一区三区 | 国产精品日韩高清在线蜜芽| 亚洲中文字幕黄色小视频| 日本一级三级在线观看| 亚洲av区,一区二区三区色婷婷 | 亚洲欧美日韩精品久久亚洲区| 国产女奸网站在线观看| 91青青草免费在线视频| 伊人久久大香线蕉av最新午夜| 日本熟妇美熟bbw| 中文成人无码精品久久久不卡| 国产成人美女AV| 午夜视频福利一区二区三区| 亚洲av毛片在线免费看| 精品国际久久久久999波多野| 竹菊影视欧美日韩一区二区三区四区五区| 综合色久七七综合尤物| 久久久婷婷综合亚洲av| 亚洲福利二区三区四区| 99久久无色码中文字幕人妻蜜柚| 久久精品国产亚洲av麻豆| 国产欧美日韩视频一区二区三区| 女同性恋精品一区二区三区| av在线网站一区二区| 日韩 亚洲 制服 欧美 综合| 国产女厕偷窥系列在线视频| 人妻丰满熟妇AV无码区HD| 91久久国产情侣真实对白| 国产日本精品一区二区|