德勤：提升金融机构网络安全成熟度——风险管理领先实践(20页).pdf

1、提升金融机构网络安全成熟度 风险管理领先实践 金融服务信息共享与分析中心(FS-ISAC) / 网络风险服务首席信息安全官（CISO）年度调研与分析报告（第二期） 网络安全服务（Deloitte Cyber）助力企业构建自内而外的网络安全意识，帮助企业在 面对持续变化的网络威胁时变得更强大、反应更敏捷，自身更具创新性，灵活应对挑战。 本报告由金融服务行业研究中心及金融服务信息共享与分析中心（FS-ISAC）共同发布 1 目录 关于本调研|2 引言|3 聚焦成本|4 领先网络安全管理特征|6 持续提升网络安全成熟度|12 尾注|15 2 关于本调研 本调研由金融服务信息共享和分析中心（FS-IS

2、AC） 与网络风险服务共同完成。FS-ISAC是一家总 部位于美国的行业联盟，成员包括近7,000家金融 机构，致力于降低全球金融体系中的网络风险。本 次调研共有97家企业参与，覆盖了不同规模企业 （图1）和所有金融子行业（因部分受访企业可分属 多个子行业，故图2数量总和超过97）。 本调研考察了金融机构网络安全运营的多个环节， 包括组织和管理网络安全活动，首席信息安全官 （CISO）的汇报路线，董事会对CISO工作的关注程 度，以及在财务方面应优先考虑哪些网络安全领 域等。 调研还要求受访者提供其在国家标准与技术研究 院（NIST）四级网络安全框架下的成熟度水平1 （图3）。百分之八十的受访

3、企业自行评估了他们 的成熟度水平，其余则由第三方评估得出。在97 家参与调查的企业中，74家反馈了对16个NIST网 络安全框架下各不同控制项的单独评价。 根据每个控制项中成熟度的评分，17家企业被 认定为成熟度达到自适应级，43家达到可重复 级，12家达到可知晓级，剩下的两家为初始级。 我们将网络安全成熟度判定为初始级的企业与可 知晓级企业进行了分组合并，以确保本报告分析 的严谨性。 注意：所有金额均以美元计算 analysis. 图1 受受访访企企业业规规模模 36 38 小型 (低于5亿美金) 中型 (5亿至20亿美金） 大型 (超过20亿美金) 23 资料来源：2019年FS-ISAC

4、/网络风险服务CISO调查，德 勤金融服务行业研究中心。 Deloitte Insights | 图2 受访企业所处行业 85% 84% 82% 零售/公司银行 消费者/金融服务（非银） 保险 服务提供商（金融产品/服务/应用程序） 金融设施（清算公司、交易所、支付平台等) 信用社 贸易联合会 IT或信息安全 管理服务供应商 0510152025303540 40 38 25 16 1 9 5 1 提升金融机构网络安全成熟度 3 来源：国家标准与技术研究院（NIST），“提升关键基础设施安全框架”，2018年4月16日。 Deloitte Insights | 图3 网络安全成熟度水平 企业没

5、有正式的网络安全风险管理，风险管理多数是无序的、甚至是被动的。初始级 可知晓级 可重复级 自适应级 风险管理实践由管理层批准，但没有在整个组织中形成政策。 企业的风险管理活动获得管理层的批准，并形成政策与制度。 企业根据网络安全活动中获取的经验教训和预测指标，自动调整其网络安全活动。 引言 如 今，数字化与物理技术的连接更加紧密。 如何理解并识别网络风险的发生对金融机 构至关重要。与此同时，网络安全团队必 须不断努力履行其义务及监督职责，同时满足客户 对隐私和创新业务解决方案不断提高的期望。 在过去的两年中，与FS-ISAC进行合作，通过对 FS-ISAC各成员单位就如何应对网络安全挑战进行调

6、 研，旨在评估各家网络安全预算和整体网络风险管 理是否达到了良好状态。 在2018年的抽样调研中， 我们了解了受访企业的CISO 如何履行其职能和职责， 进而对整个行业的网络安全 战略、 架构以及预算优先级提出了初步的见解。 2 今年，除了根据行业、公司规模和网络风险管理成 熟度来确定整个行业的预算支出模式外，我们还识 别出那些已经达到NIST所定义的最高成熟度水平公 司的几个核心特征 （参见图3）。 NIST网络安全成熟度框架3中所定义的“自适应级” 的公司具备以下特征: 确保企业包括董事会及高级管理层的参与; 提升网络安全在企业内的重要程度。网络安全可 以在信息技术（IT）部门外获得更高级