一、基线

基线是指法律规定或监管指引推荐的最低期望值。可以理解为机构为开展互联网业务所应达到的最低的治理和管控水平。换言之，如机构评估自身的网络安全成熟度达不到此层级，则在充分改进前，不宜开展互联网相关业务。

1.网络风险管理和监督

一是管理层管理信息安全和业务连续性计划，不定期开会讨论信息安全风险议题，将与信息安全相关的项目和费用纳入预算，并每年至少向董事会提交一次关于信息安全和业务连续性的总体状况的书面报告。二是建立与风险相适应的信息安全战略，将技术、策略、流程和培训活动结合起来，明确信息技术风险管理、威胁信息共享、第三方管理、事件响应和恢复的理念。三是管理层组织并维护IT资产清单，基于数据分类和业务价值，确定IT资产的优先保护顺序。制定变更管理流程，批准对系统配置、硬件、软件、应用程序和安全工具的更改。四是建立信息安全和业务连续性风险管理职能，开展风险评估活动。关注对客户信息的保护，确定可预见的内外部威胁、威胁的可能性和潜在损害，以及策略、流程和客户信息系统保护措施的充分性。五是利用独立审计对整个机构的策略、流程和控制措施进行评估，以了解与机构运营相关的重大风险和控制问题，包括新产品、新兴技术和信息系统的风险。定期对日志活动进行独立审查，以确保日志管理受控。追踪内部审计、独立测试及评估发现的问题和拟采取的纠正措施，以确保问题得到及时解决。六是确定了信息安全人员的角色和责任。制定了相关流程，以确定为提高本机构信息安全防御水平，安全人员需要哪些额外的专业知识。按年度进行信息安全培训。

2.威胁情报和协作

一是加入威脅和漏洞信息共享组织，从那里得到相关威胁情报信息。二是应用威胁信息监视威胁和漏洞、加强内部风险管理和控制。三是以安全的方式审核和保存安全事件日志，利用其对事件进行事后调查。

3.网络安全控制

涵盖预防性控制、侦测控制、纠正性控制三个方面，内容较多，此处略。

4.外部依赖管理

一是明确依赖于外部连接的关键业务流程，并确保第三方连接是被授权的。

二是利用网络图表标识所有外部连接，利用数据流图记录流向外部各方的信息。三是在签订合同之前对第三方进行尽职调查，审查范围包括其背景、声誉、财务状况、稳定性和安全控制措施。四是维护第三方服务提供商列表。进行风险评估以确定服务提供商的重要性。五是与所有处理、存储或传输机密数据或提供关键服务的第三方签署正式合同，并明确相关安全和隐私要求。合同：要求第三方对机构的机密数据的安全性负责;要求由独立方定期审查和验证第三方的安全控制措施;明确了如果第三方未能达到规定的安全要求，机构可用的追索权;明确了应对安全事件的责任;规定了合同终止时返回或销毁数据的安全要求。

二、演进

机构在满足基线要求的基础上，继续对自身管控能力进行提升。建立了网络安全责任制，制定了正式的网络安全流程和策略，明确了网络安全保护范围涵盖客户信息、信息资产和系统。

1.网络风险管理和监督

一是管理层制定网络安全计划，保证遵守与网络安全相关的法律和监管要求。通过预算流程对网络安全人员和工具进行管控，并在预算过程中建立一个子流程，以估计与网络安全事件相关的潜在费用。根据固有风险状况的变化情况更新网络安全策略。二是每年更新一次资产清单，并对关键资产进行识别，以反映资产的购入、重新部署和报废活动。建立书面的IT资产生命周期管理规定，主动管理资产报废活动以限制安全风险。三是建立了风险管理流程，包含网络风险识别、测量、缓解、监控和报告等方面。管理层审阅内外部审计报告，并改进现有的网络安全策略、流程和控制措施，对网络安全风险评估报告中的中度和高度剩余风险问题进行监控。四是利用风险评估识别由新产品、服务或连接引起的网络安全风险。风险评估的关注点不仅包括客户信息，还涵盖了机构的所有IT资产以及使用报废软硬件的风险。五是通过独立审计确认机构的风险管理职能、威胁信息共享机制、网络安全控制职能、第三方关系管理和事件响应计划和恢复能力与其风险和复杂性相称。六是由具有适当知识和经验的管理层来领导本机构的网络安全工作。具有网络安全职责的工作人员具备执行职位必要任务所需的资格。对候选员工、承包商和第三方进行背景审查。七是制定网络安全人员相关知识技能继续教育计划，并对培训的有效性进行确认。

2.威胁情报和协作

一是该机构收到的威胁信息涵盖网络攻击战术、模式的分析和风险缓解建议。二是合理分配威胁信息收集和分析职责，并确保不相冲突。建立安全运营中心SOC或类似机构以协调网络安全控制流程。监控系统持续有效运行，并能够为事件的高效处理提供有力支持。三是通过可信渠道与其他实体共享威胁和漏洞信息，派出代表参加执法单位或信息共享组织的会议。

3.网络安全控制

涵盖预防性控制、侦测控制、纠正性控制三个方面，内容较多，此处略。

4.外部依赖管理

一是将关键业务流程映射到支持的外部连接上。以安全的方式存储网络和系统图表，对访问进行适当的限制，并至少每年更新一次。对主要和备用第三方连接的控制措施，进行定期监控和测试。二是董事会审查外包尽职调查结果，包括管理层提出的关于使用可能影响机构固有风险的第三方的建议。三是在合同中明确第三方连接设备如防火墙、路由器的管理责任，明确第三方通知直接和间接安全事件和漏洞的责任，规定了数据存储或传输的地理限制。四是建立了确定新的第三方关系的过程。指定部门和员工负责持续监督第三方访问活动。以与第三方的风险程度相适应的深度和频率对第三方进行监控。

三、中级

机构已经形成相对完备的网络风险管理制度体系，相关安全控制措施经过实践验证并且相互间保持一致，同时将风险管理实践整合到业务战略中。

1.网络风险管理和监督

一是董事会拥有网络安全专业知识，或聘请专家协助履行相关监督责任。董事会批准并公布网络风险偏好。高管层根据网络安全事件编制网络安全指标和报告，董事会审议这些指标和报告，以明确机构威胁趋势和安全状况，并审查和批准管理层的业务恢复优先次序决策和资源分配决策。二是管理层制定并定期审查网络安全战略，以应对网络威胁和该机构固有风险的变化。将网络安全战略纳入全面风险管理体系，及时更新与业务线网络风险有关的所有策略。三是除非有有正式的变更请求、批准文件以及对安全影响的评估，基准配置不得变更。IT变更管理流程要求在分析、批准、测试和报告变更活动时，评估网络安全风险。

2.威胁情报和协作

一是按照签署的协议收集同业和政府的相关信息。维护一个只读的网络威胁情报资料库。二是威胁情报团队对来自多个信源的威胁情报进行可信度、相关性和风险暴露评估。为每个威胁创建一个配置文件，以识别威胁的可能意图、能力和目标。分析威胁情报以制定网络威胁情况概要，涵盖面临的风险和考虑采取的具体行动。三是基于员工的具体工作职能，向其共享威胁、脆弱性和事件信息。与其他金融机构或第三方签署威胁信息共享协议。积极与同业、执法机构、监管部門和相关论坛分享信息。

3.网络安全控制

涵盖预防性控制、侦测控制、纠正性控制三个方面，内容较多，此处略。

4.外部依赖管理

一是利用经过验证的资产清单创建综合图表，描述数据存储、数据流、基础架构和连接情况。设计和验证安全控制措施，检测和防止来自第三方连接的入侵。

二是要求第三方服务提供商对其第三方如分包商等进行尽职调查。在与高风险供应商签署合同前，由机构或由第三方进行实地考察。三是制定了第三方服务水平协议或类似手段，要求第三方及时通知安全事件。四是根据最小特权原则对第三方员工访问机构的机密数据的行为进行跟踪。五是对高风险供应商进行定期现场评估以确保适当的安全控制措施已到位。

四、先进

机构的网络安全管控能力已经达到同业先进水平。开始进行跨业务线的网络安全分析和管控，对业务风险决策责任进行了明确和分配，对大部分风险管理流程进行自动化控制，同时在此基础上进行持续的流程改进。

1.网络风险管理和监督

一是将网络风险偏好纳入机构的整体风险偏好当中。管理层建立了正式的流程来不断改进网络安全监督工作，业务部门负责有效管理与其活动相关的所有网络风险。管理层能够在网络攻击导致重大损失时查明其根本原因。管理层的行动考虑了该机构对同业造成的网络风险。二是利用行业认可的网络安全标准分析网络安全计划。网络安全战略和风险偏好明确了该机构作为金融业关键基础设施组成部分的角色。管理层正在不断改进现有的网络安全计划，以适应网络安全目标状态的变化。

2.威胁情报和协作

一是建立了网络情报模型并以之收集威胁信息。自动实时地从多个来源接收威胁情报。该机构的威胁情报涵盖了可能增加网络安全威胁的地缘政治事件。二是建立了专门的网络威胁识别和分析委员会来进行沟通并协调应对举措。制定了正式的流程，以解决从多个信源收到的信息中的潜在冲突。三是利用新兴的内外部威胁情报和相关日志分析来预测未来的攻击。。

3.网络安全控制

涵盖预防性控制、侦测控制、纠正性控制三个方面，内容较多，此处略。

4.外部依赖管理

一是在网络连接基础设施投产或变更前，对安全体系结构进行验证并记录。与第三方服务提供商密切合作，以保持和改善外部连接的安全性。二是针对第三方尽职调查活动制定持续的流程改进计划。每年对高风险供应商进行审计。三是在合同中要求第三方服务提供商的安全策略达到或超过本机构的安全策略。四是第三方员工访问第三方托管系统上的机密数据将被主动跟踪。

五、创新

机构在达到同业先进水平的基础上，持续进行创新活动。主要体现在：推动本机构、全行业来创新网络风险管理的流程和技术;制定新的控制措施、研发新的工具或创建新的信息共享组织;将实时预测分析与自动响应相关联等。

1.网络风险管理和监督

一是管理层根据董事会的指示，开发可能被全体同业采用的网络安全改进措施。董事会对管理层的行为进行验证，以明确其是否考虑到了该机构对电信、能源等关键基础设施造成的网络风险。二是建立了正式的变更管理流程，对各种变更请求进行管理，并识别和测量可能导致网络攻击风险增加的安全风险事件。在机构层面全面应用自动化工具来检测和阻止对软件和硬件的未经授权的更改。三是可识别和分析本机构和其他行业发生的网络事件的共性，以实现更具预测性的风险管理。建立了相关流程，以分析本机构的网络安全事件可能对整个金融行业造成的财务影响。四是实时更新风险评估，对新的风险进行预测。拥有自动化分析工具，可提供预测信息和实时风险指标。

2.威胁情报和协作

一是威胁分析系统会自动将威胁数据与特定风险关联起来，在提醒管理层的同时采取基于风险的自动操作。二是该机构使用多种情报来源，如相关日志分析、漏洞缺陷通报和地缘政治事件来预测潜在的攻击。三是IT系统会根据威胁情报和警报自动检测配置漏洞。建立了实时与业务部门共享网络威胁情报的机制，情报内容包括如果不采取措施可能造成的的潜在财务和业务影响。四是系统会自动通知管理层该机构特有的业务风险水平以及为缓解风险而推荐采取的流程步骤。

3.网络安全控制

涵盖预防性控制、侦测控制、纠正性控制三个方面，内容较多，此处略。

作者简介：

刘雪松（1982.11-），男，汉族，山东文登人，四川大学硕士研究生，主要研究方向：区域经济。