樊良,孫登昕
(人民銀行菏澤市中支巨野縣支行,山東菏澤274000)
風(fēng)險導(dǎo)向下人民銀行信息技術(shù)審計模型構(gòu)建
樊良,孫登昕
(人民銀行菏澤市中支巨野縣支行,山東菏澤274000)
中央銀行的業(yè)務(wù)工作對信息技術(shù)的依賴程度不斷提高,信息安全和技術(shù)風(fēng)險問題也日益受到關(guān)注,在人民銀行系統(tǒng)全面開展信息技術(shù)審計應(yīng)得到各部門的高度重視。信息技術(shù)審計是面對計算機(jī)信息系統(tǒng)的審計,其目標(biāo)是通過對計算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別以及管理和環(huán)境風(fēng)險水平計算,來評估審計對象科技信息安全狀態(tài)和存在的不足的流程,探索建立人民銀行信息科技審計模型,發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風(fēng)險點和控制薄弱環(huán)節(jié),提出有針對性的意見和建議,促進(jìn)和維護(hù)計算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。
人民銀行;信息技術(shù);風(fēng)險導(dǎo)向?qū)徲?/p>
隨著信息化的迅猛發(fā)展,信息技術(shù)已經(jīng)滲透到各個金融管理和服務(wù)領(lǐng)域。中央銀行的業(yè)務(wù)工作對信息技術(shù)的依賴程度不斷提高,信息安全和技術(shù)風(fēng)險問題也日益受到關(guān)注,在人民銀行系統(tǒng)全面開展信息技術(shù)審計應(yīng)得到各部門的高度重視。信息技術(shù)審計是面對計算機(jī)信息系統(tǒng)的審計,其目標(biāo)是通過對計算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別,以及管理和環(huán)境風(fēng)險水平計算,來評估審計對象科技信息安全狀態(tài)和存在的不足的流程,探索建立人民銀行信息科技審計模型,發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風(fēng)險點和控制薄弱環(huán)節(jié),提出有針對性的意見和建議,促進(jìn)和維護(hù)計算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。
(一)資產(chǎn)重要性識別
資產(chǎn)是具有價值的信息或資源,是安全策略保護(hù)的對象。它能夠以多種形式存在,有無形的、有形的,有硬件、軟件,有文檔、代碼,也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。信息科技審計中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量,而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。根據(jù)資產(chǎn)的表現(xiàn)形式,可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。
通過對資產(chǎn)的機(jī)密性、完整性和可用性綜合分析評定,可以對被審計資產(chǎn)的重要性給出一個評估結(jié)論。筆者將資產(chǎn)重要性劃分為五級,級別越高表示資產(chǎn)重要性程度越高。具體見表1。
(二)資產(chǎn)威脅識別
表1 資產(chǎn)重要性等級劃分
威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素,是客觀存在的。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī),人為因素又可分為惡意和無意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機(jī)密性、完整性或可用性等方面造成損害;也可能是偶發(fā)的、或蓄意的事件。根據(jù)人民銀行科技信息工作實際,根據(jù)表現(xiàn)形式,威脅主要分為以下幾類。見表2。
表2 一種基于表現(xiàn)形式的威脅分類
判斷威脅出現(xiàn)的頻率是威脅識別的重要工作,審計人
員應(yīng)根據(jù)經(jīng)驗和(或)科技部門提供的有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。根據(jù)人民銀行工作實踐,判斷依據(jù)主要包括以下三個方面。
1.以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計。
2.實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計。
3.近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計,以及發(fā)布的威脅預(yù)警。
威脅頻率等級劃分為五級,分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大,威脅出現(xiàn)的頻率越高。表3提供了威脅出現(xiàn)頻率的一種賦值方法。
表3 威脅賦值表
(三)資產(chǎn)脆弱性識別
脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別,弱點是資產(chǎn)本身存在的,如果沒有相應(yīng)的威脅發(fā)生,單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健,再嚴(yán)重的威脅也不會導(dǎo)致安全事件,并造成損失。即,威脅總是要利用資產(chǎn)的弱點才可能造成危害。
脆弱性識別將針對每一項需要保護(hù)的資產(chǎn),找出可能被威脅利用的弱點,并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱性識別所采用的方法主要有:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。
脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行,技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面,前者與具體技術(shù)活動相關(guān),后者與管理環(huán)境相關(guān)。具體識別內(nèi)容見表4。
可以根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度,采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性由于很多弱點反映的是同一方面的問題,應(yīng)綜合考慮這些弱點,最終確定這一方面的脆弱性嚴(yán)重程度。對某個資產(chǎn),其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。因此,資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。
脆弱性嚴(yán)重程度的等級劃分為五級,分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大,脆弱性嚴(yán)重程度越高。見表5。
(四)風(fēng)險分析
審計人員在完成了資產(chǎn)識別、威脅識別、脆弱性識別,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響,即安全風(fēng)險。風(fēng)險計算以下面的范式形式化加以說明:
表4 脆弱性識別內(nèi)容
表5 脆弱性嚴(yán)重程度賦值表
風(fēng)險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))
其中,R表示安全風(fēng)險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)。
1.計算安全事件發(fā)生的可能性
根據(jù)威脅出現(xiàn)頻率及脆弱性狀況,計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,即:
安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率,脆弱性)=L (T,V)
在具體評估中,應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)以及資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。
2.計算安全事件發(fā)生后的損失
根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度,計算安全事件一旦發(fā)生后的損失,即:
安全事件的影響=F(資產(chǎn)重要程度,脆弱性嚴(yán)重程度)=F(Ia,Va)
部分安全事件的發(fā)生造成的影響不僅僅是針對該資產(chǎn)本身,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時,應(yīng)將對組織的影響也考慮在內(nèi)。
3.計算風(fēng)險值
根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的
損失,計算風(fēng)險值,即:
風(fēng)險值=R(安全事件發(fā)生的可能性,安全事件的損失)=R(L(T,V),F(xiàn)(Ia,Va))
具體計算方法可以采用風(fēng)險矩陣測量法。
這種方法的特點是根據(jù)以上過程事先估算的資產(chǎn)價值、威脅等級和脆弱性等級賦值建立一個對應(yīng)矩陣,預(yù)先將風(fēng)險等級進(jìn)行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險。資產(chǎn)風(fēng)險判別矩陣如表6所示。
表6 資產(chǎn)風(fēng)險判別矩陣
對于每一資產(chǎn)的風(fēng)險,都將考慮資產(chǎn)價值、威脅等級和脆弱性等級。例如,如果資產(chǎn)值為3,威脅等級為“高”,脆弱性為“低”。查表可知風(fēng)險值為5。如果資產(chǎn)值為2,威脅為“低”,脆弱性為“高”,則風(fēng)險值為4。由上表可以推知,風(fēng)險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴(kuò)大。
當(dāng)一個資產(chǎn)是由若干個子資產(chǎn)構(gòu)成時,可以先分別計算子資產(chǎn)所面臨的風(fēng)險,然后計算總值。例如:系統(tǒng)S有三種資產(chǎn)A1,A2,A3。并存在兩種威脅:T1,T2。設(shè)資產(chǎn)A1的值為3,A2的值為2,A3的值為4。如果對于A1和T1,威脅發(fā)生的可能性為“低”,脆弱性帶來的損失是“中”,則頻率值為1(見表1)。則A1的風(fēng)險為4。同樣,設(shè)A2的威脅可能性為“中”,脆弱性帶來損失為“高”,得風(fēng)險值為6。對每種資產(chǎn)和相應(yīng)威脅計算其總資產(chǎn)風(fēng)險值。總系統(tǒng)分?jǐn)?shù)ST=A1T +A2T+A3T。這樣可以比較不同系統(tǒng)來建立優(yōu)先權(quán),并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)。
(五)風(fēng)險結(jié)果判定
風(fēng)險等級劃分為五級,等級越高,風(fēng)險越高。審計人員應(yīng)根據(jù)所采用的風(fēng)險計算方法為每個等級設(shè)定風(fēng)險值范圍,并對所有風(fēng)險計算結(jié)果進(jìn)行等級處理,最終給予審計對象一個審計結(jié)果。見表7。
表7 風(fēng)險等級劃分表
人民銀行應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響,提出一個可接受風(fēng)險閾值。對某些風(fēng)險,如果評估值小于或等于可接受風(fēng)險閾值,是可接受風(fēng)險,可保持已有的安全措施;如果評估值大于可接受風(fēng)險閾值,是不可接受風(fēng)險,則需要采取安全措施以降低、控制風(fēng)險。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面,可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實施。
在對于不可接受風(fēng)險選擇適當(dāng)?shù)陌踩胧┖?,為確保安全措施的有效性,可進(jìn)行再審計,以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。
某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi),應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。
在信息技術(shù)審計中如何堅持風(fēng)險導(dǎo)向?qū)徲嬍且粋€不斷摸索、不斷總結(jié)提高的過程。筆者認(rèn)為,只有不斷積累風(fēng)險數(shù)據(jù)信息,持之以恒的加強(qiáng)人才培養(yǎng),新舊審計模式互為補充,才能更進(jìn)一步發(fā)揮好內(nèi)部審計職能。因此,應(yīng)注意以下幾點。
(一)建立動態(tài)的風(fēng)險信息數(shù)據(jù)庫,為運用現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆J教峁┬畔⒒A(chǔ)
由于內(nèi)部審計時間資源有限,不可能對所有的監(jiān)督內(nèi)容和所有的環(huán)節(jié)進(jìn)行全面監(jiān)督,比較科學(xué)的辦法是建立一個完整的審計風(fēng)險模型,對造成審計風(fēng)險的多種因素進(jìn)行全面分析和評估,發(fā)現(xiàn)被審計單位內(nèi)部控制中的薄弱環(huán)節(jié),確定審計的重點和范圍,從而制定更具有針對性的審計策略。
(二)新型審計模式的運用并不意味著舊審計模式的消亡
風(fēng)險導(dǎo)向?qū)徲嬍窃趥鹘y(tǒng)審計模式基礎(chǔ)上發(fā)展起來的新型審計模式,立足于對被審計對象整體風(fēng)險管理進(jìn)行系統(tǒng)審查、分析和評價,并以此確定審計策略及審計計劃。因此,必須注重新舊審計模式的有機(jī)結(jié)合。將風(fēng)險導(dǎo)向?qū)徲嬂砟钊谌雮鹘y(tǒng)審計模式,可以使傳統(tǒng)審計項目內(nèi)容得以擴(kuò)展,審計更加靈活,更好地堅持全面審計、突出重點的原則。
(三)重視信息技術(shù)審計人才的培養(yǎng),為風(fēng)險導(dǎo)向?qū)徲嬏峁┲橇χС?/p>
人民銀行運用風(fēng)險導(dǎo)向?qū)徲嫹椒?,不僅要求內(nèi)部審計人員熟練掌握有關(guān)規(guī)章制度,還要求審計人員利用審計職業(yè)獨特的判斷力,在實際運用中對審計風(fēng)險點加以判斷。因此,復(fù)合型人才培養(yǎng)與儲備是運用風(fēng)險導(dǎo)向?qū)徲嫹椒ū夭豢缮俚那疤釛l件。要通過各類后續(xù)教育及培訓(xùn),進(jìn)一步更新內(nèi)部審計人員業(yè)務(wù)知識,提升專業(yè)勝任能力,逐步建立起具有現(xiàn)代知識素養(yǎng)和職業(yè)水平的內(nèi)部審計干部隊伍。
(四)加快輔助審計軟件的開發(fā)及應(yīng)用,為風(fēng)險導(dǎo)向?qū)徲嬏峁┘夹g(shù)支持
隨著信息技術(shù)的發(fā)展,審計技術(shù)手段日新月異。在風(fēng)險導(dǎo)向模式下,加強(qiáng)審計信息化建設(shè)十分重要。通過搭建信息收集和監(jiān)測平臺,開發(fā)和應(yīng)用計算機(jī)輔助審計軟件,迅速有效地完成各項審計信息的審核工作,將內(nèi)部審計人員從機(jī)械性檢查中解放出來,把主要精力用在對重要業(yè)務(wù)系統(tǒng)、重要業(yè)務(wù)環(huán)節(jié)的監(jiān)控和評價上,從而減少審計成本、提升審計效率。
[1]中國人民銀行福州中心支行內(nèi)審處.借鑒風(fēng)險導(dǎo)向型審計拓展央行內(nèi)審新領(lǐng)域[J].福建金融,2007(10).
[2]羅伯特·莫勒爾.布林克現(xiàn)代內(nèi)部審計學(xué)[M].北京:中國時代經(jīng)濟(jì)出版社,2005.
[3]孫曉,馬鵬飛.人民銀行信息技術(shù)應(yīng)用的風(fēng)險管理研究——基于審計角度的分析[J].金融會計,2011(12).
[4]李帆,駱鈺.風(fēng)險導(dǎo)向?qū)徲嬆J皆谌嗣胥y行內(nèi)部審計中的運用研究[J].武漢金融,2009(9).
[5]林久榮.中央銀行風(fēng)險導(dǎo)向?qū)徲嬆J教接慬J].審計監(jiān)督,2009(2).
[責(zé)任編輯:王鑫]
F830
A
1005-913X(2015)12-0113-03
2015-10-09
樊良(1963-),男,山東鄆城人,經(jīng)濟(jì)師,研究方向:金融審計。