網絡安全評估之網絡安全成熟度-FFIEC網絡安全評估工具概述

一、基線

基線是指法律規定或監管指引推薦的最低期望值。可以理解為機構為開展互聯網業務所應達到的最低的治理和管控水平。換言之，如機構評估自身的網絡安全成熟度達不到此層級，則在充分改進前，不宜開展互聯網相關業務。

1.網絡風險管理和監督

一是管理層管理信息安全和業務連續性計劃，不定期開會討論信息安全風險議題，將與信息安全相關的項目和費用納入預算，并每年至少向董事會提交一次關于信息安全和業務連續性的總體狀況的書面報告。二是建立與風險相適應的信息安全戰略，將技術、策略、流程和培訓活動結合起來，明確信息技術風險管理、威脅信息共享、第三方管理、事件響應和恢復的理念。三是管理層組織并維護IT資產清單，基于數據分類和業務價值，確定IT資產的優先保護順序。制定變更管理流程，批準對系統配置、硬件、軟件、應用程序和安全工具的更改。四是建立信息安全和業務連續性風險管理職能，開展風險評估活動。關注對客戶信息的保護，確定可預見的內外部威脅、威脅的可能性和潛在損害，以及策略、流程和客戶信息系統保護措施的充分性。五是利用獨立審計對整個機構的策略、流程和控制措施進行評估，以了解與機構運營相關的重大風險和控制問題，包括新產品、新興技術和信息系統的風險。定期對日志活動進行獨立審查，以確保日志管理受控。追蹤內部審計、獨立測試及評估發現的問題和擬采取的糾正措施，以確保問題得到及時解決。六是確定了信息安全人員的角色和責任。制定了相關流程，以確定為提高本機構信息安全防御水平，安全人員需要哪些額外的專業知識。按年度進行信息安全培訓。

2.威脅情報和協作

一是加入威脅和漏洞信息共享組織，從那里得到相關威脅情報信息。二是應用威脅信息監視威脅和漏洞、加強內部風險管理和控制。三是以安全的方式審核和保存安全事件日志，利用其對事件進行事后調查。

3.網絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內容較多，此處略。

4.外部依賴管理

一是明確依賴于外部連接的關鍵業務流程，并確保第三方連接是被授權的。

二是利用網絡圖表標識所有外部連接，利用數據流圖記錄流向外部各方的信息。三是在簽訂合同之前對第三方進行盡職調查，審查范圍包括其背景、聲譽、財務狀況、穩定性和安全控制措施。四是維護第三方服務提供商列表。進行風險評估以確定服務提供商的重要性。五是與所有處理、存儲或傳輸機密數據或提供關鍵服務的第三方簽署正式合同，并明確相關安全和隱私要求。合同：要求第三方對機構的機密數據的安全性負責;要求由獨立方定期審查和驗證第三方的安全控制措施;明確了如果第三方未能達到規定的安全要求，機構可用的追索權;明確了應對安全事件的責任;規定了合同終止時返回或銷毀數據的安全要求。

二、演進

機構在滿足基線要求的基礎上，繼續對自身管控能力進行提升。建立了網絡安全責任制，制定了正式的網絡安全流程和策略，明確了網絡安全保護范圍涵蓋客戶信息、信息資產和系統。

1.網絡風險管理和監督

一是管理層制定網絡安全計劃，保證遵守與網絡安全相關的法律和監管要求。通過預算流程對網絡安全人員和工具進行管控，并在預算過程中建立一個子流程，以估計與網絡安全事件相關的潛在費用。根據固有風險狀況的變化情況更新網絡安全策略。二是每年更新一次資產清單，并對關鍵資產進行識別，以反映資產的購入、重新部署和報廢活動。建立書面的IT資產生命周期管理規定，主動管理資產報廢活動以限制安全風險。三是建立了風險管理流程，包含網絡風險識別、測量、緩解、監控和報告等方面。管理層審閱內外部審計報告，并改進現有的網絡安全策略、流程和控制措施，對網絡安全風險評估報告中的中度和高度剩余風險問題進行監控。四是利用風險評估識別由新產品、服務或連接引起的網絡安全風險。風險評估的關注點不僅包括客戶信息，還涵蓋了機構的所有IT資產以及使用報廢軟硬件的風險。五是通過獨立審計確認機構的風險管理職能、威脅信息共享機制、網絡安全控制職能、第三方關系管理和事件響應計劃和恢復能力與其風險和復雜性相稱。六是由具有適當知識和經驗的管理層來領導本機構的網絡安全工作。具有網絡安全職責的工作人員具備執行職位必要任務所需的資格。對候選員工、承包商和第三方進行背景審查。七是制定網絡安全人員相關知識技能繼續教育計劃，并對培訓的有效性進行確認。

2.威脅情報和協作

一是該機構收到的威脅信息涵蓋網絡攻擊戰術、模式的分析和風險緩解建議。二是合理分配威脅信息收集和分析職責，并確保不相沖突。建立安全運營中心SOC或類似機構以協調網絡安全控制流程。監控系統持續有效運行，并能夠為事件的高效處理提供有力支持。三是通過可信渠道與其他實體共享威脅和漏洞信息，派出代表參加執法單位或信息共享組織的會議。

3.網絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內容較多，此處略。

4.外部依賴管理

一是將關鍵業務流程映射到支持的外部連接上。以安全的方式存儲網絡和系統圖表，對訪問進行適當的限制，并至少每年更新一次。對主要和備用第三方連接的控制措施，進行定期監控和測試。二是董事會審查外包盡職調查結果，包括管理層提出的關于使用可能影響機構固有風險的第三方的建議。三是在合同中明確第三方連接設備如防火墻、路由器的管理責任，明確第三方通知直接和間接安全事件和漏洞的責任，規定了數據存儲或傳輸的地理限制。四是建立了確定新的第三方關系的過程。指定部門和員工負責持續監督第三方訪問活動。以與第三方的風險程度相適應的深度和頻率對第三方進行監控。

三、中級

機構已經形成相對完備的網絡風險管理制度體系，相關安全控制措施經過實踐驗證并且相互間保持一致，同時將風險管理實踐整合到業務戰略中。

1.網絡風險管理和監督

一是董事會擁有網絡安全專業知識，或聘請專家協助履行相關監督責任。董事會批準并公布網絡風險偏好。高管層根據網絡安全事件編制網絡安全指標和報告，董事會審議這些指標和報告，以明確機構威脅趨勢和安全狀況，并審查和批準管理層的業務恢復優先次序決策和資源分配決策。二是管理層制定并定期審查網絡安全戰略，以應對網絡威脅和該機構固有風險的變化。將網絡安全戰略納入全面風險管理體系，及時更新與業務線網絡風險有關的所有策略。三是除非有有正式的變更請求、批準文件以及對安全影響的評估，基準配置不得變更。IT變更管理流程要求在分析、批準、測試和報告變更活動時，評估網絡安全風險。

2.威脅情報和協作

一是按照簽署的協議收集同業和政府的相關信息。維護一個只讀的網絡威脅情報資料庫。二是威脅情報團隊對來自多個信源的威脅情報進行可信度、相關性和風險暴露評估。為每個威脅創建一個配置文件，以識別威脅的可能意圖、能力和目標。分析威脅情報以制定網絡威脅情況概要，涵蓋面臨的風險和考慮采取的具體行動。三是基于員工的具體工作職能，向其共享威脅、脆弱性和事件信息。與其他金融機構或第三方簽署威脅信息共享協議。積極與同業、執法機構、監管部門和相關論壇分享信息。

3.網絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內容較多，此處略。

4.外部依賴管理

一是利用經過驗證的資產清單創建綜合圖表，描述數據存儲、數據流、基礎架構和連接情況。設計和驗證安全控制措施，檢測和防止來自第三方連接的入侵。

二是要求第三方服務提供商對其第三方如分包商等進行盡職調查。在與高風險供應商簽署合同前，由機構或由第三方進行實地考察。三是制定了第三方服務水平協議或類似手段，要求第三方及時通知安全事件。四是根據最小特權原則對第三方員工訪問機構的機密數據的行為進行跟蹤。五是對高風險供應商進行定期現場評估以確保適當的安全控制措施已到位。

四、先進

機構的網絡安全管控能力已經達到同業先進水平。開始進行跨業務線的網絡安全分析和管控，對業務風險決策責任進行了明確和分配，對大部分風險管理流程進行自動化控制，同時在此基礎上進行持續的流程改進。

1.網絡風險管理和監督

一是將網絡風險偏好納入機構的整體風險偏好當中。管理層建立了正式的流程來不斷改進網絡安全監督工作，業務部門負責有效管理與其活動相關的所有網絡風險。管理層能夠在網絡攻擊導致重大損失時查明其根本原因。管理層的行動考慮了該機構對同業造成的網絡風險。二是利用行業認可的網絡安全標準分析網絡安全計劃。網絡安全戰略和風險偏好明確了該機構作為金融業關鍵基礎設施組成部分的角色。管理層正在不斷改進現有的網絡安全計劃，以適應網絡安全目標狀態的變化。

2.威脅情報和協作

一是建立了網絡情報模型并以之收集威脅信息。自動實時地從多個來源接收威脅情報。該機構的威脅情報涵蓋了可能增加網絡安全威脅的地緣政治事件。二是建立了專門的網絡威脅識別和分析委員會來進行溝通并協調應對舉措。制定了正式的流程，以解決從多個信源收到的信息中的潛在沖突。三是利用新興的內外部威脅情報和相關日志分析來預測未來的攻擊。。

3.網絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內容較多，此處略。

4.外部依賴管理

一是在網絡連接基礎設施投產或變更前，對安全體系結構進行驗證并記錄。與第三方服務提供商密切合作，以保持和改善外部連接的安全性。二是針對第三方盡職調查活動制定持續的流程改進計劃。每年對高風險供應商進行審計。三是在合同中要求第三方服務提供商的安全策略達到或超過本機構的安全策略。四是第三方員工訪問第三方托管系統上的機密數據將被主動跟蹤。

五、創新

機構在達到同業先進水平的基礎上，持續進行創新活動。主要體現在：推動本機構、全行業來創新網絡風險管理的流程和技術;制定新的控制措施、研發新的工具或創建新的信息共享組織;將實時預測分析與自動響應相關聯等。

1.網絡風險管理和監督

一是管理層根據董事會的指示，開發可能被全體同業采用的網絡安全改進措施。董事會對管理層的行為進行驗證，以明確其是否考慮到了該機構對電信、能源等關鍵基礎設施造成的網絡風險。二是建立了正式的變更管理流程，對各種變更請求進行管理，并識別和測量可能導致網絡攻擊風險增加的安全風險事件。在機構層面全面應用自動化工具來檢測和阻止對軟件和硬件的未經授權的更改。三是可識別和分析本機構和其他行業發生的網絡事件的共性，以實現更具預測性的風險管理。建立了相關流程，以分析本機構的網絡安全事件可能對整個金融行業造成的財務影響。四是實時更新風險評估，對新的風險進行預測。擁有自動化分析工具，可提供預測信息和實時風險指標。

2.威脅情報和協作

一是威脅分析系統會自動將威脅數據與特定風險關聯起來，在提醒管理層的同時采取基于風險的自動操作。二是該機構使用多種情報來源，如相關日志分析、漏洞缺陷通報和地緣政治事件來預測潛在的攻擊。三是IT系統會根據威脅情報和警報自動檢測配置漏洞。建立了實時與業務部門共享網絡威脅情報的機制，情報內容包括如果不采取措施可能造成的的潛在財務和業務影響。四是系統會自動通知管理層該機構特有的業務風險水平以及為緩解風險而推薦采取的流程步驟。

3.網絡安全控制

涵蓋預防性控制、偵測控制、糾正性控制三個方面，內容較多，此處略。

作者簡介：

劉雪松（1982.11-），男，漢族，山東文登人，四川大學碩士研究生，主要研究方向：區域經濟。