典型案例分析

信息安全风险管理流程案例分析

第一阶段
》背景情况


    某银行是 90 年代经中国人民银行批准设立的股份制商业银行，随着业务迅速发展，资产规模持续扩大，经营实力不断增强，在海内外已具备一定的影响。信息化作为其迅速发展的基石，可以说功不可没，成绩斐然。信息化在为这家银行提供巨大发展机会的同时也面临着巨大的风险。尤其是，自 2005 年完成新一代核心系统项目，实现系统大集中以来，信息系统的结构上发生了较大变化，信息系统的集中带来了风险的集中，常见的有：

    •  系统宕机，服务中断。

    •  系统响应时间过长。

    •  处理流程或者计算错误，比如计息错误。

    •  数据不准确，比如对账错误。

    •  客户信息泄露，比如被盗。

    •  数据记录不完整或不正确。

    •  客户账户资料或者客户身份 ID 被冒用。

    •  自动电子渠道遭受攻击，比如黑客入侵、拒绝服务攻击、电话渠道攻击

    •  病毒。

    •  自然灾害带来的设备、数据的毁损、服务中断。

    这些风险总结起来，可归结为机密性 (C) 、完整性 (I) 和可用性 (A) 三个方面。为了有效保障这家银行信息系统的安全稳定运行，提高安全风险管理水平，该行启动了信息安全风险管理体系规划项目。通过对现有业务流程的梳理分析，识别控制点，发现薄弱环节，全面掌握该行当前面临的信息安全风险级别，并形成该行信息安全风险管理流程、制度、表单及总体规划，为该行实现银联交易前三甲提供保障。