数字化转型下金融信息安全能力成熟度模型

当前，科技推动产业发展、加快经济社会数字化转型升级已成为全球共识。在国家“十四五”规划纲要中，数字化发展也已作为重要内容独立成篇，并明确具体发展目标。在金融领域，以人工智能、区块链、云计算、大数据、5G为代表的新一代信息技术快速发展，智能投顾、供应链金融、数字普惠服务等新服务、新产品也不断涌现，成为金融机构转型的驱动力。

实现数字化转型，信息安全是重要保障，金融机构不仅要应对新技术、新服务、新产品带来的安全挑战，同时急需全面提升数字化的信息安全能力。要想科学地规划及建设新形势下的信息安全能力，需借助更多模型和工具进行分析、量化。本文主要介绍中信银行建设的金融信息安全能力成熟度模型。

一、数字化转型对金融信息安全的影响

数字化转型的底层逻辑是一场效率革命，所有转型都是围绕连接效率、数据效率以及决策效率展开。追本溯源，数字化转型是对业务(流程、场景、关系、人员)进行重新定义，内部实现全面在线，外部适应各种变化，从前端到后端，尽可能全面实现无需人工介入的自动化和智能化，全面提升效率，最终创造价值。

为实现数字化转型战略，金融机构将持续应用新技术，加快产品迭代和研发速度，优化内部资源，重构现有流程，不断推出新业务模式及高品质金融服务，更好地体现“金融为民、科技向善”的属性，促使金融科技健康良性发展，加速我国金融科技逐渐由“双稳”阶段向更加重视高质量发展、更关注优化结构运行的新阶段过渡。

与此同时，数字化转型给信息安全领域带来了新的机遇和挑战。

1.数字化的信息安全管理能力

大数据等技术的快速发展，为提升信息安全的数字化能力提供了机遇。例如，可通过大数据分析及可视化技术，构建实时安全合规与风险全景视图，利用人工智能、RPA等技术建设智能、精准的安全防护系统，基于DevOps、容器等技术实现平台化、工具化、工程化的安全研发管控能力。

2.信息安全与信息化的共生发展

随着数字化转型的深入，一方面，信息化技术团队为信息安全提供技术支持，帮助信息安全完成智能化、工具化的升级和转型；另一方面，企业组织和流程在快速变化，信息安全工作必须伴生演进，为数字化金融提供了安全保障，维护企业安全可信的生产运营环境。信息安全与信息化流程必须高度融合，信息安全和信息化团队需要相互带动。信息安全责任也不应仅由信息安全团队独自承担，而是要逐渐构建信息安全和信息化团队“共生共建共担”的新生态。

3.信息安全与业务效率的平衡

数字化转型提升了金融机构运营效率，而过度关注安全会降低金融机构经营效率，忽略安全问题则势必会给企业带来风险与损失，如何平衡信息安全和业务效率之间的关系成为金融机构重点关注的问题。可以想见，未来金融信息安全团队的一个重要工作将是创新安全应用和产品，在维护安全的前提下提升业务效率和体验。

4.未知风险的研究与防控

新技术、新服务、新产品加快了金融业数字化转型进程，同时也给不法分子带来了可乘之机。一方面，内部基础环境与技术发生巨大变化，安全防控面临挑战；另一方面，高科技、智能化的犯罪手段层出不穷，原有的技术手段已无法满足信息安全保障需求。在此背景下，信息安全工作的关键不仅是维护原有的安全防护策略，更重要的是持续对未知风险进行研究与防控，不断完善与升级信息安全防护策略。

二、金融信息安全能力成熟度模型的功能和特点

为应对数字化转型带来的挑战，一套能有效评估金融机构信息安全能力、促进信息安全能力建设的模型和工具显得尤为重要。

1.功能

作为企业数字化信息安全能力的标尺，金融信息安全能力成熟度模型具备以下功能：

(1)用数字化方式度量组织安全能力建设水平，指导建成自动化、可视化、自适应、可自愈的数字化信息安全管理能力。

(2)实现与国际、行业最佳实践的对标，强化新技术研究和防控能力，同时引入新理念、新技术、新工具，明确信息安全技术实施路径。

(3)支撑组织以数字化转型目标为导向的信息化战略落地，指导提升信息安全的服务和赋能水平，促进信息安全与信息化的相互融合。

2.特点

能实现上述目标的信息安全成熟度模型还需具备以下特点：

(1)特色性

以金融行业特色为基础，与现有金融组织结构、技术架构、管控活动等现状相适应。

(2)可操作性

通过构建能力域，逐层细化能力项，明确可量化的成熟度评价指标，最终衡量成熟度级别，确保模型的可操作性。

(3)科学性

遵循“计划、实施、监控和改进”总体原则，建立定期回顾机制，确保成熟度模型与国际先进方案、行业标准以及战略的持续一致性和全面性。

三、国内外信息安全成熟度模型间的比较

本文设计的金融信息安全能力成熟度模型，参考了国内外信息安全标准、行业信息安全最佳实践、各领域成熟度评估模型标准，如网络安全成熟度模型认证(CMMC)、《信息安全技术数据安全能力成熟度模型》、《信息安全技术信息安全等级保护基本要求》、软件安全构建成熟度模型(BSIMM)、软件保证成熟度模型(SAMM)等。各模型的特点见表1。

表1 国内外信息安全成熟度模型的特点

从上述模型的对比分析可看出，这些成熟度评估模型在评价方式、级别定义等维度大同小异，在评分维度、评价内容、评价粒度存在较大差异。在实际试用中，上述模型在评价范围、评价分工、评价展现、评价内容等方面并不完全适用金融机构，但提供了理论参考。

四、金融信息安全能力成熟度模型的设计与思考

通过充分考虑金融机构信息安全管控组织、活动和技术特点，融合数字化转型战略下组织、业务和技术转型目标，中信银行形成了一套能全面评估组织信息安全当前能力建设情况的工具——金融信息安全成熟度模型。该模型参照了CMMC、DSMM、BSIMM、SAMM、ISO27001等信息安全规范和模型，结合了Gartner等行业趋势和同业最佳实践设计。信息安全能力成熟度模型共分为六大信息安全能力域、25个能力子域、54个能力项。通过三大评估维度，定义一至五级能力成熟度级别，共设计887项评级标准，信息安全能力成熟度模型总体框架如图1所示。

图1 信息安全能力成熟度模型总体框架

1.六大信息安全能力域

(1)信息安全治理

对信息安全战略规划、技术研究等能力进行评价。其中包含了组织协作模式、自主可控、新技术及开源组件管理等管理要求，以及组件化的安全架构模式等评价内容。

(2)监督与评价

对信息安全风险识别与监测、安全检查与评价的能力进行评价。其中重点突出了自动化、非现场的安全检查能力，以及数字化、平台化的安全合规可视化能力。

(3)通用安全管理

对信息安全日常工作管理能力进行评价。其中充分体现了量化管理的工作思路。

(4)安全开发

对信息安全开发在技术和管理维度的综合能力进行评价。其中包含了对工程化安全开发、安全及技术融合、敏捷开发流程等工作的评价。

(5)安全运营

对信息安全运营在技术和管理维度的综合能力进行评价。其中提出了对用户案例设计、运营可视化等工作的评价。

(6)通用安全技术

对信息安全基础操作与安全技术运用的相关能力进行评价。其中将数据安全单独划分成子领域，作为重点领域进行评价，并提出了零信任、UEBA等新技术的建设要求。

2.三大评估维度

每个能力项都会基于三个维度进行评估，每个维度又包含若干评价项，从而使每个能力项的评估角度保持一致。

(1)组织建设与人员能力

职责：从组织及岗位职责角度进行评估。

岗位资格要求：从任职能力资格角度进行评估，如关键岗位可明确人员资格要求(岗位考试或证书或工作经验等)。

人员配置：从兼职或专职、岗位饱和度等角度进行评估，如特殊关键岗位需明确专人专岗。

(2)制度、流程与执行能力

管理规范：从规范化管理文档、操作指南角度进行评估。

执行：从执行流程及记录等角度进行评估。

测量评价：从工作测量指标角度进行评估。

优化与分享：从实施改进、分享经验等角度进行评估。

(3)技术能力与工具能力

技术工具支撑：从人工管理、工具/平台支撑等角度进行评估。

技术能力与功能：从技术实现、功能、新技术应用等角度进行评估。

3.五大能力成熟度级别定义

该模型共分为5级，分别为“非正式执行”“计划跟踪”“充分定义”“量化控制”“持续优化”，具体定义说明见表2。

表2 五大能力成熟度级别定义

4.评分说明

信息安全能力成熟度模型评分包括信息安全能力综合评分、信息安全能力级别评分。信息安全能力综合评分反映了企业信息安全建设总体情况，信息安全能力级别评分为最低级别能力项得分，反映了企业信息安全能力短板。

信息安全能力综合评分由评价项、能力项、能力子域和能力域逐级评价计算而来。信息安全能力综合评分结构总体评价关系如图2所示。

图2 信息安全能力综合评分结构总体评价关系

5.模型应用

中信银行每年通过项目形式开展信息安全能力成熟度评估工作，形成各领域评价得分，以及差距优先级及任务清单;同时成立组织级任务验收工作组，明确各专项任务负责人，确定任务里程碑，组织讨论推进，定期讨论验收，持续跟踪和推动优化信息安全能力建设。

以科技和业务创新推动产业发展、加快金融数字化转型升级已成为金融业共识。人工智能、区块链、云计算、大数据等新技术快速发展，业务布局、创新及开放速度进一步加快，使得金融科技面临愈加复杂的网络安全环境。随着数字化转型工作的深入，如何优化和建设信息安全能力，成为一个绕不开的话题。本文设计提出的金融信息安全能力成熟度模型是中信银行在信息安全领域数字化转型过程中的积极实践，能够促进组织向数字化、智能化的“免疫能力”演进，保障安全合规成为加快创新及效率的底座和引擎。