信息科技风险
| 风险 编号 |
|
风险名称 | 风险说明 | |||||
| 一级 风险/流程 |
二级 风险/流程 |
三级 风险/流程 |
||||||
| R2001 | 信息科技风险管理 | 信息科技风险管理策略 | 策略制定、审批与发布 | 信息科技风险管理策略未被制定 | 未制定信息科技风险管理策略文件,未能制定明确的符合北京银行业务需求和相关法律法规的信息科技风险管理要求,有可能影响北京银行业务目标的达成,信息科技风险管理工作无据可依。 | |||
| R2002 | 策略更新与维护 | 信息科技风险管理策略未进行更新维护 | 未对信息科技风险管理策略进行更新维护,无法确保信息科技风险管理策略的有效性。 | |||||
| R2003 | 信息科技风险评估 | 评估制度制定 | 信息科技风险管理制度不完善 | 信息科技风险管理制度不完善,可能导致信息科技风险管理过程中缺少依据。 | ||||
| R2004 | 年度评估计划 | 年度信息科技风险评估计划未被制定 | 由于未制定年度风险评估计划,未能合理规划年度风险评估任务及评估重点,不能确保风险评估工作的有序开展。 | |||||
| R2005 | 风险识别 | 信息科技风险识别流程不完善 | 风险识别流程不完善,可能无法确定信息科技存在隐患的所有区域,有可能无法识别在某些领域存在的信息科技风险。 | |||||
| R2006 | 风险分析 | 信息科技风险未被有效分析 | 由于未对已识别的风险及其特征进行分析,包括未对风险成因、风险发生的可能性和影响程度等进行分析,有可能无法明确风险防范措施及所需资源的优先级别。 | |||||
| R2007 | 风险评价 | 信息科技风险未被有效评价 | 由于未对风险发生的可能性和未对总体业务目标实现的影响程度进行有效评价,有可能无法确定风险的大小或等级。 | |||||
| R2008 | 风险报告 | 识别出来的信息科技风险未被报告 | 由于未按照国家法律法规和北京银行制度的要求,未披露或未报告北京银行已识别的信息科技风险,有可能无法确保配置足够的人力、财力资源,维持稳定、安全的运营环境。 | |||||
| R2009 | 信息科技风险应对 | 风险监控 | 信息科技风险未被监控 | 由于未设置信息科技风险监控指标,未采用人工或工具的方式监控信息科技风险状况,有可能无法及时发现潜在的信息科技风险隐患并予以处置,无法减小信息科技风险对北京银行的影响。 | ||||
| R2010 | 事件库 | 信息科技风险事件库未被建立 | 由于未构建信息科技风险事件库,未对已发生的信息科技风险事件进行梳理和记录,有可能无法提升北京银行信息科技风险意识,导致同类问题重复发生。 | |||||
| R2011 | 披露和报告机制 | 信息科技风险事件未被披露 | 由于未按照国家法律法规和北京银行制度的要求,未制定北京银行信息科技风险事件披露和报告机制,一旦发生符合披露或报告条件的信息科技风险事件,无法按要求及时上报;或者管理层不能及时识别可能影响银行声誉或绩效的不合规事件,从而不能及时进行应对而导致损失扩大化。 | |||||
| R2012 | 风险整改 | 信息科技风险问题未被及时整改 | 内外部审计、监管机构、合规部、风险管理部等检查发现的风险问题未按照限定的整改期限进行整改 | |||||
| R2013 | 风险意识 | 员工风险意识不强 | 员工在风险防控执行各个环节缺乏风险意识或不了解防控要求而导致风险防范处理能力不强。 | |||||
| R2014 | 合规意识 | 员工合规意识不强 | 银行员工个人缺乏合规意识或不了解法律与监管要求而导致不能达到合规要求。 | |||||
| R2015 | 持续改进 | 改进管理 | 信息科技风险管理过程未被评审和改进 | 由于未持续对信息科技风险管理过程进行评审和改进,无法确保信息科技风险管理体系的适宜性、充分性和有效性。 | ||||
| R2016 | 风险偏好与容忍度 | 风险偏好管理 | 信息科技风险偏好与北京银行整体风险偏好不符 | 信息科技风险偏好与北京银行整体风险偏好不符,无法准确反映北京银行的业务和信息科技战略。 | ||||
| R2017 | 风险偏好与容忍度 | 容忍度管理 | 信息科技风险容忍度指标不符合北京银行的情况 | 未建立信息科技风险容忍度指标,导致信息科技风险控制目标不明确。 | ||||
| R2018 | 内部控制 | 监控与评价 | 信息科技内部控制设计存在缺陷或未能得到有效的执行 | 信息科技内部控制设计存在缺陷或未能得到有效的执行,从而IT风险未能得到及时应对。 | ||||
| R3001 | 信息安全 | 物理安全 | 物理安全边界定义 | 物理安全区域划分标准不明确、不清晰 | 物理安全区域划分标准不明确、不清晰,可能导致无法有效保证重要信息科技设备的安全,难以实现资源最优配备,对其实施有效的预防、检测和恢复控制措施。 |
| R3002 | 安全边界保护措施 | 物理安全区域保护措施不完善 | 物理安全区域保护措施不完善,包括人员值守巡检、监控报警等方面,可能导致未经授权的访问,无法有效保证重要信息科技设备的安全。 | ||
| R3003 | 门禁管理 | 物理安全区域门禁授权机制不完善,未进行权限的检查 | 物理安全区域门禁授权机制,包括权限配置、授予、定期检查、回收等过程不完善,可能导致未经授权的访问,非授权访问者可以直接给信息系统带来物理破坏或进行数据窃取;未进行权限检查,可能导致不能及时发现授权机制存在的缺陷并持续完善。 | ||
| R3004 | 机房人员出入管理 | 人员出入机房未进行有效管控 | 机房出入管理中对人员的进出没有严格按照流程进行管理,或者进入过程没有严格遵循申请审批流程,可能导致非授权访问;未详尽记录人员进出情况,可能导致物理安全事件发生后无法溯源追责。 | ||
| R3005 | 机房设备出入管理 | 设备出入机房未进行有效管控 | 机房出入管理中对设备的进出没有严格按照流程进行管理,设备进入过程缺少审批,可能导致非授权设备进入机房;设备带出未进行有效登记,可能导致设备带出后无据可查,设备丢失后无法确认责任人。 | ||
| R3006 | 监控覆盖范围 | 安全监控未能全面覆盖机房、操作间、园区和办公出入口等重要物理安全区域 | 物理安全区域监控覆盖范围不全面,可能导致无法及时发现未经授权的物理安全区域访问,设备或人员非授权进出不能及时发现和记录。 | ||
| R3007 | 监控资料保存 | 物理安全区域监控资料保存不完整,保存期限短于相关规定 | 物理安全区域监控资料保存不完整,可能导致设备或人员非授权进出无法溯源追责。 | ||
| R3008 | 机房选址 | 机房选址时未对周围环境条件进行充分的评估 | 机房建设选址未评估,未考虑环境安全威胁,可能导致物理条件(防震、防风、承重等)不能满足设备运作要求或安全受到威胁,遭受自然和人为灾害的风险增加。 | ||
| R3009 | 基础设施配置 | 机房基础设施配置不完善,未经过有效验收 | 机房基础设施配置不完善,未经过有效验收,可能导致机房基础设施不能满足重要信息系统持续运行的需求。 | ||
| R3010 | 资料保存 | 机房规划、设计、建设、改造有关文档未妥善保存 | 机房建设或改造竣工后,未妥善保存相关资料和文档,不利于日后机房的安全管理及安全事件处理。 | ||
| R3011 | 日常巡检 | 机房管理人员未执行定期日常巡检,或巡检未有效执行 | 未安排定期设备日常巡检,或巡检未按照要求有效执行,未能及时发现设备运行异常情况,造成业务中断和银行财产受损。 | ||
| R3012 | 环境监测 | 机房管理人员未在机房部署监控系统,对物理环境(温度、湿度、灰尘、火情、水情、电力供应等)进行统一监测,或监控阈值设置不合理 | 未对物理环境(温度、湿度、灰尘、火情、水情、电力供应等)进行统一监测,或监控阈值设置不合理,可能导致未能及时发现环境变化或突发事件发生,引起业务中断和银行财产受损。 | ||
| R3013 | 定期维护 | 机房基础设施维护人员未对基础设施进行定期维护 | 未对机房基础设施进行定期维护,如UPS、供配电设施、空调设施、消防系统等,可能导致基础设施故障无法被及时排除,影响信息系统正常持续运行。 | ||
| R3014 | 网络安全 | 安全分区与隔离 | 网络安全区域未按可信级别统一划分 | 网络安全区域未按可信级别划分,可能导致网络安全域划分不合理,不统一,无法对不同安全域采取不同的安全策略,实现对网络安全域内资源的有效保护。 | |
| R3015 | 访问控制策略制定 | 网络安全域间的访问未能按照最小需求原则配置访问控制策略 | 网络安全域间的访问未能按照最小需求原则配置访问控制策略,访问控制粒度未达到地址和端口级,未对常见病毒、蠕虫传播端口进行过滤,可能导致各网络安全域之间未进行有效访问控制,发生非授权访问和病毒传播,无法实现对各网络安全域内资源的有效保护,造成信息泄露。 | ||
| R3016 | 访问控制策略更新与审核 | 网络安全域之间的访问控制策略未及时更新,过期不用策略未及时清除 | 网络安全域之间的访问控制策略未及时更新,过期不用策略未及时清除,可能导致策略不适用当前网络安全域分区情况,造成非授权访问,无法实现对网络安全域内资源的有效保护。 | ||
| R3017 | 网络安全域间的访问控制策略部署未按照相关流程经过审核,未获得授权 | 网络安全域间的访问控制策略部署未按照相关流程经过审核,未获得授权,可能导致访问控制策略非授权部署,无法实现对各网络安全域内资源的有效保护,造成信息泄露。 | |||
| R3018 | 外联网安全 | 外联网出口连接外部网络使用的通信线路类型不符合相关管理办法规定 | 外联网出口连接外部网络使用的通信线路类型不符合相关管理办法规定,使用了互联网等公共性质的网络通信线路,可能导致重要网络暴露在公共环境下,黑客可以通过端口扫描获取访问目标或进行窃听,给恶意攻击和非授权访问提供了渠道。 | ||
| R3019 | 外网与内网之间的访问控制策略不完善 | 外网与内网之间未通过外联防火墙实现完善的访问控制策略,如DMZ区对外网区开放了非业务必须的地址和服务端口,访问控制策略未限制到DMZ区主机的地址和端口等,可能导致无法有效控制DMZ区主机、内网区主机对外网区资源的访问,或外网区直接可以发起连接访问内网区。 | |||
| R3020 | 外联网区域真实地址信息未通过地址转换隐藏 | 外联网的DMZ区及内网区真实地址信息未通过地址转换隐藏,可能导致银行内部网络IP地址直接透给外部机构。 | |||
| R3021 | 互联网安全 | 互联网出口实际用途与应承载的业务类型不同 | 互联网出口实际用途与应承载的业务类型不同,可能导致无法有效控制互联网服务的提供以及对互联网资源的访问,发生非授权访问、恶意攻击、信息泄露等。 | ||
| R3022 | 不同类型互联网出口区域未定义不同的访问控制策略 | 不同类型互联网出口区域未定义不同的访问控制策略,可能导致无法有效控制互联网服务的提供以及对互联网资源的访问,发生非授权访问、恶意攻击、信息泄露等。 | |||
| R3023 | 互联网区域真实地址信息未通过地址转换隐藏 | 互联网的DMZ区、AP/DB区及内网区真实地址信息未通过地址转换隐藏,可能导致银行内部网络IP地址直接透给外部机构。 | |||
| R3024 | 面向互联网开放服务的应用未遵循分层部署原则 | 面向互联网开放服务的应用未遵循分层部署原则,如WEB服务器、前置服务器未部署于DMZ区,应用服务器和数据库服务器未部署于AP/DB区,可能导致重要服务器面向互联网,缺少有效的访问控制措施,导致其访问路径暴露在互联网上,给黑客攻击提供渠道。 | |||
| R3025 | 内网用户的上网管理策略不完善 | 内网用户的上网管理策略不完善,包括访问互联网的方式,上网专用终端、专用上网业务终端的安全要求,除上网代理服务器外的内网服务器区主机访问互联网的审批管理,和内网用户的上网行为管理等,可能导致非授权访问互联网,内网资源暴露,而发生信息泄露或遭受恶意攻击、病毒感染等。 | |||
| R3026 | 入侵防护机制未明确定义,或在网络边界处未完全部署入侵检测设备 | 入侵防护机制未明确定义,或在网络边界处未完全部署入侵检测设备,可能导致在网络受到危害之前无法及时拦截和响应入侵,造成网络服务瘫痪,或未授权人员获取网络资源。 | |||
| R3027 | 网络安全监测 | 网络安全监测未能全面覆盖重点网络区域 | 安全监测未全面覆盖重点网络区域,可能导致不能及时发现所有重点网络区域的安全问题。 | ||
| R3028 | 网络安全监测策略设计不充分或未完全部署 | 网络安全监测策略设计不充分或未完全部署,可能导致恶意代码攻击行为成功,无法过滤非法数据,无法及时发现异常行为等,造成安全事件的发生。 | |||
| R3029 | 网络监测分析不充分,缺乏必要的监测分析工具、情报输入以及专业人员 | 网络监测分析不充分,如缺少专业的安全分析人员和分析工具,缺少外部情报输入,未结合历史监测数据等,可能导致关键异常行为未被识别,安全威胁来源趋势不能充分识别,不能及时采取相关应对措施。 | |||
| R3030 | 系统安全 | 安全基线 | 系统(包括主机、应用系统、数据库等)安全基线未明确定义,或不完善,未能覆盖所有的系统类型 | 系统(包括主机、应用系统、数据库等)安全基线未明确定义,或不完善,未完全部署安全基线,未配置合理权限,如未及时安装补丁,未开启防病毒程序,未禁用不必要的网络服务,未开启日志记录及配置日志策略,未配置账户安全策略,服务器进程以管理员权限运行等,可能导致系统自身存在安全弱点,发生资源非授权使用,信息泄露等安全事件。 | |
| R3031 | 系统备份 | 系统安全配置未进行备份 | 系统安全配置未进行定期备份,可能导致系统发生故障后无法及时恢复安全配置。 | ||
| R3032 | 远程访问控制 | 系统远程访问控制策略未得到审批 | 服务器的远程访问未经过申请审批,无法控制远程访问地址,可能导致非法访问。 | ||
| R3033 | 入侵检测 | 重要服务器未对入侵行为进行检测 | 重要服务器未对入侵行为进行检测,无法尽早发现入侵攻击事件,可能导致信息系统遭到攻击造成信息泄露、业务中断等。 | ||
| R3034 | 应用安全 | 安全需求标准 | 不同应用系统未定义不同的安全需求标准,或安全需求标准未明确定义 | 不同应用系统未定义不同的安全需求标准,或安全需求标准未明确定义,可能导致应用系统安全需求考虑不充分,自身存在安全弱点。 | |
| R3035 | 安全需求和设计定义 | 应用系统开发过程中未充分考虑安全需求,并进行安全设计 | 未按照要求在应用系统开发过程中充分考虑安全需求,如SQL注入漏洞、路径遍历漏洞等的防范,安全需求被忽略或安全功能考虑不足,或未对安全需求的实现方式进行有效设计,可能导致应用系统开发完成后存在安全隐患,造成信息泄露或易遭受攻击。 | ||
| R3036 | 需求分析和设计评审 | 安全需求分析和安全设计未经过有效评审 | 安全需求分析和安全设计未经过有效评审,可能导致安全需求分析不到位,不充分,或安全设计不合理,在设计方案中使用的实现方法、使用的设计工具不当、方案存在含糊不清的地方等,若未能及时发现调整,导致开发完成后,应用系统自身存在安全弱点,未满足安全需求标准。 | ||
| R3037 | 安全代码标准 | 针对应用系统的开发未制定安全代码标准 | 针对应用系统的开发未制定安全代码标准,无法从源头上避免安全漏洞的引入,可能导致开发完成后,应用自身存在安全弱点,进而被利用造成安全事件发生。 | ||
| R3038 | 安全代码检测 | 开发过程中未严格执行有关代码质量控制机制,未对代码进行安全检测,未对安全质量进行严格把控 | 系统开发过程中未严格执行有关代码质量控制机制,未对代码进行安全检测,未对安全质量进行严格把控,如开发阶段项目组未通过工具和人工结合的方式进行代码安全的审查,人工代码走查未同时采用双人互查与项目经理抽查两种方式,在测试阶段未再次使用工具进行代码审查等,可能导致开发完成后,应用自身存在安全弱点,进而被利用造成安全事件发生。 | ||
| R3039 | 投产环境安全评估 | 应用投产前未对投产环境进行有效的安全评估,包括系统环境、网络环境等 | 应用投产前未对投产环境进行有效的安全评估,包括系统环境、网络环境等,导致投产后,可能因环境存在安全隐患而发生安全事件。 | ||
| R3040 | 数据安全 | 数据分类 | 数据分类标准未明确定义,分类不准确,敏感数据未被全面准确识别 | 数据分类标准未明确定义,分类不准确,敏感数据未被全面准确识别,可能导致敏感数据未被有针对性的施加保护,导致敏感数据泄露。 | |
| R3041 | 保护要求 | 数据管理和使用过程中未根据数据分类,明确数据保护要求 | 数据管理和使用过程中未根据数据分类,明确数据保护要求,未采取相应的数据保护措施可能导致数据泄露,关键数据因不完整而失效、数据不可用而影响业务的连续性造成业务中断等。 | ||
| R3042 | 数据调用 | 数据调用缺乏必要的授权流程 | 数据外借、查询,数据备份介质外借等数据提取过程前未经过有效审批,可能导致数据滥用和重要信息泄露,影响银行声誉。 | ||
| R3043 | 数据清理和销毁 | 数据清理和销毁缺乏必要的审核标准 | 数据清理和销毁缺乏必要的审核标准,可能导致误操作或恶意操作,造成信息泄露等。 | ||
| R3044 | 数据备份策略 | 重要数据备份及日志备份策略定义不完善,备份工作开展不充分 | 重要信息系统备份及日志备份策略不完善,如备份对象不全面,备份方式选择不当,备份数据的存放地点和环境不符合安全要求,导致备份无效或不能满足应用系统的业务连续性需求。 | ||
| R3045 | 数据备份执行 | 备份未按备份策略执行,或执行无效 | 备份未按备份策略执行,或执行无效,可能导致数据备份失败。 | ||
| R3046 | 数据备份介质管理 | 数据备份存储介质的管理不完善 | 数据备份存储介质的管理不完善,如物理存放环境,保存期限,管理人员职责,借出归还等,导致存储介质受到破坏,数据损坏丢失。 | ||
| R3047 | 数据备份恢复测试 | 备份数据未定期进行恢复测试 | 备份数据未定期进行恢复测试,验证备份数据的可用性,可能导致当灾难发生时无法从备份载体中恢复数 |