一、基線

基線是指法律規(guī)定或監(jiān)管指引推薦的最低期望值?？梢岳斫鉃闄C(jī)構(gòu)為開展互聯(lián)網(wǎng)業(yè)務(wù)所應(yīng)達(dá)到的最低的治理和管控水平。換言之，如機(jī)構(gòu)評(píng)估自身的網(wǎng)絡(luò)安全成熟度達(dá)不到此層級(jí)，則在充分改進(jìn)前，不宜開展互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)。

1.網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和監(jiān)督

一是管理層管理信息安全和業(yè)務(wù)連續(xù)性計(jì)劃，不定期開會(huì)討論信息安全風(fēng)險(xiǎn)議題，將與信息安全相關(guān)的項(xiàng)目和費(fèi)用納入預(yù)算，并每年至少向董事會(huì)提交一次關(guān)于信息安全和業(yè)務(wù)連續(xù)性的總體狀況的書面報(bào)告。二是建立與風(fēng)險(xiǎn)相適應(yīng)的信息安全戰(zhàn)略，將技術(shù)、策略、流程和培訓(xùn)活動(dòng)結(jié)合起來，明確信息技術(shù)風(fēng)險(xiǎn)管理、威脅信息共享、第三方管理、事件響應(yīng)和恢復(fù)的理念。三是管理層組織并維護(hù)IT資產(chǎn)清單，基于數(shù)據(jù)分類和業(yè)務(wù)價(jià)值，確定IT資產(chǎn)的優(yōu)先保護(hù)順序。制定變更管理流程，批準(zhǔn)對(duì)系統(tǒng)配置、硬件、軟件、應(yīng)用程序和安全工具的更改。四是建立信息安全和業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)管理職能，開展風(fēng)險(xiǎn)評(píng)估活動(dòng)。關(guān)注對(duì)客戶信息的保護(hù)，確定可預(yù)見的內(nèi)外部威脅、威脅的可能性和潛在損害，以及策略、流程和客戶信息系統(tǒng)保護(hù)措施的充分性。五是利用獨(dú)立審計(jì)對(duì)整個(gè)機(jī)構(gòu)的策略、流程和控制措施進(jìn)行評(píng)估，以了解與機(jī)構(gòu)運(yùn)營相關(guān)的重大風(fēng)險(xiǎn)和控制問題，包括新產(chǎn)品、新興技術(shù)和信息系統(tǒng)的風(fēng)險(xiǎn)。定期對(duì)日志活動(dòng)進(jìn)行獨(dú)立審查，以確保日志管理受控。追蹤內(nèi)部審計(jì)、獨(dú)立測(cè)試及評(píng)估發(fā)現(xiàn)的問題和擬采取的糾正措施，以確保問題得到及時(shí)解決。六是確定了信息安全人員的角色和責(zé)任。制定了相關(guān)流程，以確定為提高本機(jī)構(gòu)信息安全防御水平，安全人員需要哪些額外的專業(yè)知識(shí)。按年度進(jìn)行信息安全培訓(xùn)。

2.威脅情報(bào)和協(xié)作

一是加入威脅和漏洞信息共享組織，從那里得到相關(guān)威脅情報(bào)信息。二是應(yīng)用威脅信息監(jiān)視威脅和漏洞、加強(qiáng)內(nèi)部風(fēng)險(xiǎn)管理和控制。三是以安全的方式審核和保存安全事件日志，利用其對(duì)事件進(jìn)行事后調(diào)查。

3.網(wǎng)絡(luò)安全控制

涵蓋預(yù)防性控制、偵測(cè)控制、糾正性控制三個(gè)方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是明確依賴于外部連接的關(guān)鍵業(yè)務(wù)流程，并確保第三方連接是被授權(quán)的。

二是利用網(wǎng)絡(luò)圖表標(biāo)識(shí)所有外部連接，利用數(shù)據(jù)流圖記錄流向外部各方的信息。三是在簽訂合同之前對(duì)第三方進(jìn)行盡職調(diào)查，審查范圍包括其背景、聲譽(yù)、財(cái)務(wù)狀況、穩(wěn)定性和安全控制措施。四是維護(hù)第三方服務(wù)提供商列表。進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定服務(wù)提供商的重要性。五是與所有處理、存儲(chǔ)或傳輸機(jī)密數(shù)據(jù)或提供關(guān)鍵服務(wù)的第三方簽署正式合同，并明確相關(guān)安全和隱私要求。合同：要求第三方對(duì)機(jī)構(gòu)的機(jī)密數(shù)據(jù)的安全性負(fù)責(zé);要求由獨(dú)立方定期審查和驗(yàn)證第三方的安全控制措施;明確了如果第三方未能達(dá)到規(guī)定的安全要求，機(jī)構(gòu)可用的追索權(quán);明確了應(yīng)對(duì)安全事件的責(zé)任;規(guī)定了合同終止時(shí)返回或銷毀數(shù)據(jù)的安全要求。

二、演進(jìn)

機(jī)構(gòu)在滿足基線要求的基礎(chǔ)上，繼續(xù)對(duì)自身管控能力進(jìn)行提升。建立了網(wǎng)絡(luò)安全責(zé)任制，制定了正式的網(wǎng)絡(luò)安全流程和策略，明確了網(wǎng)絡(luò)安全保護(hù)范圍涵蓋客戶信息、信息資產(chǎn)和系統(tǒng)。

1.網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和監(jiān)督

一是管理層制定網(wǎng)絡(luò)安全計(jì)劃，保證遵守與網(wǎng)絡(luò)安全相關(guān)的法律和監(jiān)管要求。通過預(yù)算流程對(duì)網(wǎng)絡(luò)安全人員和工具進(jìn)行管控，并在預(yù)算過程中建立一個(gè)子流程，以估計(jì)與網(wǎng)絡(luò)安全事件相關(guān)的潛在費(fèi)用。根據(jù)固有風(fēng)險(xiǎn)狀況的變化情況更新網(wǎng)絡(luò)安全策略。二是每年更新一次資產(chǎn)清單，并對(duì)關(guān)鍵資產(chǎn)進(jìn)行識(shí)別，以反映資產(chǎn)的購入、重新部署和報(bào)廢活動(dòng)。建立書面的IT資產(chǎn)生命周期管理規(guī)定，主動(dòng)管理資產(chǎn)報(bào)廢活動(dòng)以限制安全風(fēng)險(xiǎn)。三是建立了風(fēng)險(xiǎn)管理流程，包含網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別、測(cè)量、緩解、監(jiān)控和報(bào)告等方面。管理層審閱內(nèi)外部審計(jì)報(bào)告，并改進(jìn)現(xiàn)有的網(wǎng)絡(luò)安全策略、流程和控制措施，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告中的中度和高度剩余風(fēng)險(xiǎn)問題進(jìn)行監(jiān)控。四是利用風(fēng)險(xiǎn)評(píng)估識(shí)別由新產(chǎn)品、服務(wù)或連接引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估的關(guān)注點(diǎn)不僅包括客戶信息，還涵蓋了機(jī)構(gòu)的所有IT資產(chǎn)以及使用報(bào)廢軟硬件的風(fēng)險(xiǎn)。五是通過獨(dú)立審計(jì)確認(rèn)機(jī)構(gòu)的風(fēng)險(xiǎn)管理職能、威脅信息共享機(jī)制、網(wǎng)絡(luò)安全控制職能、第三方關(guān)系管理和事件響應(yīng)計(jì)劃和恢復(fù)能力與其風(fēng)險(xiǎn)和復(fù)雜性相稱。六是由具有適當(dāng)知識(shí)和經(jīng)驗(yàn)的管理層來領(lǐng)導(dǎo)本機(jī)構(gòu)的網(wǎng)絡(luò)安全工作。具有網(wǎng)絡(luò)安全職責(zé)的工作人員具備執(zhí)行職位必要任務(wù)所需的資格。對(duì)候選員工、承包商和第三方進(jìn)行背景審查。七是制定網(wǎng)絡(luò)安全人員相關(guān)知識(shí)技能繼續(xù)教育計(jì)劃，并對(duì)培訓(xùn)的有效性進(jìn)行確認(rèn)。

2.威脅情報(bào)和協(xié)作

一是該機(jī)構(gòu)收到的威脅信息涵蓋網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)、模式的分析和風(fēng)險(xiǎn)緩解建議。二是合理分配威脅信息收集和分析職責(zé)，并確保不相沖突。建立安全運(yùn)營中心SOC或類似機(jī)構(gòu)以協(xié)調(diào)網(wǎng)絡(luò)安全控制流程。監(jiān)控系統(tǒng)持續(xù)有效運(yùn)行，并能夠?yàn)槭录母咝幚硖峁┯辛χС?。三是通過可信渠道與其他實(shí)體共享威脅和漏洞信息，派出代表參加執(zhí)法單位或信息共享組織的會(huì)議。

3.網(wǎng)絡(luò)安全控制

涵蓋預(yù)防性控制、偵測(cè)控制、糾正性控制三個(gè)方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是將關(guān)鍵業(yè)務(wù)流程映射到支持的外部連接上。以安全的方式存儲(chǔ)網(wǎng)絡(luò)和系統(tǒng)圖表，對(duì)訪問進(jìn)行適當(dāng)?shù)南拗?，并至少每年更新一次。?duì)主要和備用第三方連接的控制措施，進(jìn)行定期監(jiān)控和測(cè)試。二是董事會(huì)審查外包盡職調(diào)查結(jié)果，包括管理層提出的關(guān)于使用可能影響機(jī)構(gòu)固有風(fēng)險(xiǎn)的第三方的建議。三是在合同中明確第三方連接設(shè)備如防火墻、路由器的管理責(zé)任，明確第三方通知直接和間接安全事件和漏洞的責(zé)任，規(guī)定了數(shù)據(jù)存儲(chǔ)或傳輸?shù)牡乩硐拗?。四是建立了確定新的第三方關(guān)系的過程。指定部門和員工負(fù)責(zé)持續(xù)監(jiān)督第三方訪問活動(dòng)。以與第三方的風(fēng)險(xiǎn)程度相適應(yīng)的深度和頻率對(duì)第三方進(jìn)行監(jiān)控。

三、中級(jí)

機(jī)構(gòu)已經(jīng)形成相對(duì)完備的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理制度體系，相關(guān)安全控制措施經(jīng)過實(shí)踐驗(yàn)證并且相互間保持一致，同時(shí)將風(fēng)險(xiǎn)管理實(shí)踐整合到業(yè)務(wù)戰(zhàn)略中。

1.網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和監(jiān)督

一是董事會(huì)擁有網(wǎng)絡(luò)安全專業(yè)知識(shí)，或聘請(qǐng)專家協(xié)助履行相關(guān)監(jiān)督責(zé)任。董事會(huì)批準(zhǔn)并公布網(wǎng)絡(luò)風(fēng)險(xiǎn)偏好。高管層根據(jù)網(wǎng)絡(luò)安全事件編制網(wǎng)絡(luò)安全指標(biāo)和報(bào)告，董事會(huì)審議這些指標(biāo)和報(bào)告，以明確機(jī)構(gòu)威脅趨勢(shì)和安全狀況，并審查和批準(zhǔn)管理層的業(yè)務(wù)恢復(fù)優(yōu)先次序決策和資源分配決策。二是管理層制定并定期審查網(wǎng)絡(luò)安全戰(zhàn)略，以應(yīng)對(duì)網(wǎng)絡(luò)威脅和該機(jī)構(gòu)固有風(fēng)險(xiǎn)的變化。將網(wǎng)絡(luò)安全戰(zhàn)略納入全面風(fēng)險(xiǎn)管理體系，及時(shí)更新與業(yè)務(wù)線網(wǎng)絡(luò)風(fēng)險(xiǎn)有關(guān)的所有策略。三是除非有有正式的變更請(qǐng)求、批準(zhǔn)文件以及對(duì)安全影響的評(píng)估，基準(zhǔn)配置不得變更。IT變更管理流程要求在分析、批準(zhǔn)、測(cè)試和報(bào)告變更活動(dòng)時(shí)，評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.威脅情報(bào)和協(xié)作

一是按照簽署的協(xié)議收集同業(yè)和政府的相關(guān)信息。維護(hù)一個(gè)只讀的網(wǎng)絡(luò)威脅情報(bào)資料庫。二是威脅情報(bào)團(tuán)隊(duì)對(duì)來自多個(gè)信源的威脅情報(bào)進(jìn)行可信度、相關(guān)性和風(fēng)險(xiǎn)暴露評(píng)估。為每個(gè)威脅創(chuàng)建一個(gè)配置文件，以識(shí)別威脅的可能意圖、能力和目標(biāo)。分析威脅情報(bào)以制定網(wǎng)絡(luò)威脅情況概要，涵蓋面臨的風(fēng)險(xiǎn)和考慮采取的具體行動(dòng)。三是基于員工的具體工作職能，向其共享威脅、脆弱性和事件信息。與其他金融機(jī)構(gòu)或第三方簽署威脅信息共享協(xié)議。積極與同業(yè)、執(zhí)法機(jī)構(gòu)、監(jiān)管部門和相關(guān)論壇分享信息。

3.網(wǎng)絡(luò)安全控制

涵蓋預(yù)防性控制、偵測(cè)控制、糾正性控制三個(gè)方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是利用經(jīng)過驗(yàn)證的資產(chǎn)清單創(chuàng)建綜合圖表，描述數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)流、基礎(chǔ)架構(gòu)和連接情況。設(shè)計(jì)和驗(yàn)證安全控制措施，檢測(cè)和防止來自第三方連接的入侵。

二是要求第三方服務(wù)提供商對(duì)其第三方如分包商等進(jìn)行盡職調(diào)查。在與高風(fēng)險(xiǎn)供應(yīng)商簽署合同前，由機(jī)構(gòu)或由第三方進(jìn)行實(shí)地考察。三是制定了第三方服務(wù)水平協(xié)議或類似手段，要求第三方及時(shí)通知安全事件。四是根據(jù)最小特權(quán)原則對(duì)第三方員工訪問機(jī)構(gòu)的機(jī)密數(shù)據(jù)的行為進(jìn)行跟蹤。五是對(duì)高風(fēng)險(xiǎn)供應(yīng)商進(jìn)行定期現(xiàn)場(chǎng)評(píng)估以確保適當(dāng)?shù)陌踩刂拼胧┮训轿弧?/p>

四、先進(jìn)

機(jī)構(gòu)的網(wǎng)絡(luò)安全管控能力已經(jīng)達(dá)到同業(yè)先進(jìn)水平。開始進(jìn)行跨業(yè)務(wù)線的網(wǎng)絡(luò)安全分析和管控，對(duì)業(yè)務(wù)風(fēng)險(xiǎn)決策責(zé)任進(jìn)行了明確和分配，對(duì)大部分風(fēng)險(xiǎn)管理流程進(jìn)行自動(dòng)化控制，同時(shí)在此基礎(chǔ)上進(jìn)行持續(xù)的流程改進(jìn)。

1.網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和監(jiān)督

一是將網(wǎng)絡(luò)風(fēng)險(xiǎn)偏好納入機(jī)構(gòu)的整體風(fēng)險(xiǎn)偏好當(dāng)中。管理層建立了正式的流程來不斷改進(jìn)網(wǎng)絡(luò)安全監(jiān)督工作，業(yè)務(wù)部門負(fù)責(zé)有效管理與其活動(dòng)相關(guān)的所有網(wǎng)絡(luò)風(fēng)險(xiǎn)。管理層能夠在網(wǎng)絡(luò)攻擊導(dǎo)致重大損失時(shí)查明其根本原因。管理層的行動(dòng)考慮了該機(jī)構(gòu)對(duì)同業(yè)造成的網(wǎng)絡(luò)風(fēng)險(xiǎn)。二是利用行業(yè)認(rèn)可的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)分析網(wǎng)絡(luò)安全計(jì)劃。網(wǎng)絡(luò)安全戰(zhàn)略和風(fēng)險(xiǎn)偏好明確了該機(jī)構(gòu)作為金融業(yè)關(guān)鍵基礎(chǔ)設(shè)施組成部分的角色。管理層正在不斷改進(jìn)現(xiàn)有的網(wǎng)絡(luò)安全計(jì)劃，以適應(yīng)網(wǎng)絡(luò)安全目標(biāo)狀態(tài)的變化。

2.威脅情報(bào)和協(xié)作

一是建立了網(wǎng)絡(luò)情報(bào)模型并以之收集威脅信息。自動(dòng)實(shí)時(shí)地從多個(gè)來源接收威脅情報(bào)。該機(jī)構(gòu)的威脅情報(bào)涵蓋了可能增加網(wǎng)絡(luò)安全威脅的地緣政治事件。二是建立了專門的網(wǎng)絡(luò)威脅識(shí)別和分析委員會(huì)來進(jìn)行溝通并協(xié)調(diào)應(yīng)對(duì)舉措。制定了正式的流程，以解決從多個(gè)信源收到的信息中的潛在沖突。三是利用新興的內(nèi)外部威脅情報(bào)和相關(guān)日志分析來預(yù)測(cè)未來的攻擊。。

3.網(wǎng)絡(luò)安全控制

涵蓋預(yù)防性控制、偵測(cè)控制、糾正性控制三個(gè)方面，內(nèi)容較多，此處略。

4.外部依賴管理

一是在網(wǎng)絡(luò)連接基礎(chǔ)設(shè)施投產(chǎn)或變更前，對(duì)安全體系結(jié)構(gòu)進(jìn)行驗(yàn)證并記錄。與第三方服務(wù)提供商密切合作，以保持和改善外部連接的安全性。二是針對(duì)第三方盡職調(diào)查活動(dòng)制定持續(xù)的流程改進(jìn)計(jì)劃。每年對(duì)高風(fēng)險(xiǎn)供應(yīng)商進(jìn)行審計(jì)。三是在合同中要求第三方服務(wù)提供商的安全策略達(dá)到或超過本機(jī)構(gòu)的安全策略。四是第三方員工訪問第三方托管系統(tǒng)上的機(jī)密數(shù)據(jù)將被主動(dòng)跟蹤。

五、創(chuàng)新

機(jī)構(gòu)在達(dá)到同業(yè)先進(jìn)水平的基礎(chǔ)上，持續(xù)進(jìn)行創(chuàng)新活動(dòng)。主要體現(xiàn)在：推動(dòng)本機(jī)構(gòu)、全行業(yè)來創(chuàng)新網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的流程和技術(shù);制定新的控制措施、研發(fā)新的工具或創(chuàng)建新的信息共享組織;將實(shí)時(shí)預(yù)測(cè)分析與自動(dòng)響應(yīng)相關(guān)聯(lián)等。

1.網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和監(jiān)督

一是管理層根據(jù)董事會(huì)的指示，開發(fā)可能被全體同業(yè)采用的網(wǎng)絡(luò)安全改進(jìn)措施。董事會(huì)對(duì)管理層的行為進(jìn)行驗(yàn)證，以明確其是否考慮到了該機(jī)構(gòu)對(duì)電信、能源等關(guān)鍵基礎(chǔ)設(shè)施造成的網(wǎng)絡(luò)風(fēng)險(xiǎn)。二是建立了正式的變更管理流程，對(duì)各種變更請(qǐng)求進(jìn)行管理，并識(shí)別和測(cè)量可能導(dǎo)致網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)增加的安全風(fēng)險(xiǎn)事件。在機(jī)構(gòu)層面全面應(yīng)用自動(dòng)化工具來檢測(cè)和阻止對(duì)軟件和硬件的未經(jīng)授權(quán)的更改。三是可識(shí)別和分析本機(jī)構(gòu)和其他行業(yè)發(fā)生的網(wǎng)絡(luò)事件的共性，以實(shí)現(xiàn)更具預(yù)測(cè)性的風(fēng)險(xiǎn)管理。建立了相關(guān)流程，以分析本機(jī)構(gòu)的網(wǎng)絡(luò)安全事件可能對(duì)整個(gè)金融行業(yè)造成的財(cái)務(wù)影響。四是實(shí)時(shí)更新風(fēng)險(xiǎn)評(píng)估，對(duì)新的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)。擁有自動(dòng)化分析工具，可提供預(yù)測(cè)信息和實(shí)時(shí)風(fēng)險(xiǎn)指標(biāo)。

2.威脅情報(bào)和協(xié)作

一是威脅分析系統(tǒng)會(huì)自動(dòng)將威脅數(shù)據(jù)與特定風(fēng)險(xiǎn)關(guān)聯(lián)起來，在提醒管理層的同時(shí)采取基于風(fēng)險(xiǎn)的自動(dòng)操作。二是該機(jī)構(gòu)使用多種情報(bào)來源，如相關(guān)日志分析、漏洞缺陷通報(bào)和地緣政治事件來預(yù)測(cè)潛在的攻擊。三是IT系統(tǒng)會(huì)根據(jù)威脅情報(bào)和警報(bào)自動(dòng)檢測(cè)配置漏洞。建立了實(shí)時(shí)與業(yè)務(wù)部門共享網(wǎng)絡(luò)威脅情報(bào)的機(jī)制，情報(bào)內(nèi)容包括如果不采取措施可能造成的的潛在財(cái)務(wù)和業(yè)務(wù)影響。四是系統(tǒng)會(huì)自動(dòng)通知管理層該機(jī)構(gòu)特有的業(yè)務(wù)風(fēng)險(xiǎn)水平以及為緩解風(fēng)險(xiǎn)而推薦采取的流程步驟。

3.網(wǎng)絡(luò)安全控制

涵蓋預(yù)防性控制、偵測(cè)控制、糾正性控制三個(gè)方面，內(nèi)容較多，此處略。

作者簡(jiǎn)介：

劉雪松（1982.11-），男，漢族，山東文登人，四川大學(xué)碩士研究生，主要研究方向：區(qū)域經(jīng)濟(jì)。