马红杰-提升金融机构网络安全成熟度（12页）.pdf

1、提升金融机构网络安全成熟度:风险管理领先实践马红杰马红杰 德勤中国风险咨询网络安全总监受访企业成熟度报告背景介绍本调研由金融服务信息共享和分析中心（FS-ISAC）与德勤网络风险服务共同完成。FS-ISAC是一家总部位于美国的行业联盟，成员包括近7,000家金融机构，致力于降低全球金融体系中的网络风险。通过对FS-ISAC下97家成员单位的调研，就如何应对网络安全挑战进行调研，旨在评估各家网络安全预算和整体网络风险管理是否达到了良好状态。https:/ Informed）风险管理实践由管理层批准，但没有在整个组织中形成政策。（Repeatable）企业的风险管理活动获得管理层的批准，并形成政策

2、与制度。（Adaptive）企业根据网络安全活动中获取的经验教训和预测指标，自动调整其网络安全活动。来源：美，国家标准与技术研究院（NIST），“提升关键基础设施安全框架”，2018年4月16日2014年2月12日，美国国家标准技术研究院（NIST）正式发布了提升关键基础设施网络安全的框架第1.0版本。2018年4月16日，美国国家标准与技术研究院（NIST）再次发布了提升关键基础设施网络安全的框架1.1版本。该框架侧重于对美国国家与经济安全至关重要的行业，旨在形成一套适用于该领域的安全风险管控的“通用语言”，针对关键基础设施的安全风险管控的标准化实施给予指引，以帮助国家金融、能源、医疗保健等

3、关键系统更好第保护其信息和资产安全，抵御网络攻击。该框架强调用业务驱动引导网络安全活动，将网络安全风险作为组织风险管理流程的一部分。在框架的框架执行层级为组织提供了评估网络安全风险的背景以及针对此种风险的现有管理流程。框架执行层级从低到高分为四级，1 级为“局部”，4 级为“自适应”，描述了网络安全风险管理实践的严格与复杂程度，以及网络风险管理受业务需求的影响程度及其与组织的总体风险管理实践的结合度。自适应级网络安全成熟水平的特征 确保企业包括董事会及高级管理层的参与;提升网络安全在企业内的重要程度。网络安全可以在信息技术（IT）部门外获得更高级别的关注和更强的影响力;对网络安全的投入与公司业

4、务战略保持紧密的协同一致。能够整合这些基本特征，并以网络安全行业领先实践为参考的组织，将更有可能适应不断变化的业务模式和应对来自日益白热化的外部竞争格局的威胁。调查显示，单靠资金的投入可能无法解决网络安全问题，高昂的网络安全支出并不意味着能转化成更高的安全成熟水平。金融机构采用何种方式以更好的保护其数字资产安全，至少应与投入在网络安全方面的资金数量同样重要。NIST网络安全成熟度框架中所定义的“自适应级”的公司具备以下特征:聚焦成本同行业不同特征的企业，在网络安全方面的投入，可以为网络安全及风险管理决策人员在安全预算及支出等方面，提供决策参考。不同规模不同规模的企业在网络安全领域的支出差异明显

5、。规模较小的企业需要加快脚步，才能赶上规模较大企业对网络安全的投入。接受调查的小型企业在网络安全方面的支出占其收入的比例(0.2%)，几乎仅为中型企业(0.5%)或大型企业(0.4%)的一半大型企业组织架构较复杂，通常需要提供更多的产品和服务，并需要同时考虑多个业务部门和交付渠道接受调查的小型企业在IT预算中用于网络安全的比例(12%)高于大、中型企业(9%)小型企业已经意识到它们需要在网络安全方面加大投入力度，以满足网络安全监管要求和运营需求大型企业将其约五分之一的网络安全开支用于身份和访问管理 这几乎是中小型企业的两倍；而中小型企业往往倾向在终端和基础网络安全上增加支出聚焦成本同行业不同特

6、征的企业，在网络安全方面的投入，可以为网络安全及风险管理决策人员在安全预算及支出等方面，提供决策参考。在金融行业的不同领域中，网络安全支出也存在差异。银行业受访者表示，他们将约11%的IT预算用于网络安全，略高于行业平均水平；保险和非银行金融服务公司在网络安全方面分配的预算低于行业平均水平（10%）金融设施机构（清算机构，交易所和结算公司等），其网络安全预算投入最高，约占其整体IT预算的15%、总收入的0.75%金融服务提供商（金融产品/服务/应用程序），约占其IT总预算的11%和收入的0.60%就每位全职雇员人均网络安全支出而言，非银行金融服务公司支出金额大约为2,800美元，银行（约2,0