導(dǎo)語：如何才能寫好一篇信息安全風(fēng)險(xiǎn)管理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程，通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個(gè)管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評(píng)估－維護(hù)和改進(jìn)）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險(xiǎn)分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評(píng)估）

uRiskResultAnalysis（風(fēng)險(xiǎn)結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評(píng)估）

（4）實(shí)施和運(yùn)營初步的ISMS體系

（5）對ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營中對ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識(shí)到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個(gè)階段，進(jìn)行項(xiàng)目實(shí)踐：

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息；

b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項(xiàng)目成員組成和分工；

d)對項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明；

e)對客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn)；

f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表；

d)對存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn)；

c)對需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析

運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持，項(xiàng)目組長應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)，且項(xiàng)目成員除了包含一些專業(yè)安全評(píng)估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組；然后可以在一級(jí)資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組，如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組；進(jìn)一步可以針對各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析。如針對IP城域網(wǎng)，其主要風(fēng)險(xiǎn)可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺(tái)，其主要風(fēng)險(xiǎn)可能包括：主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進(jìn)行評(píng)定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評(píng)定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評(píng)價(jià)規(guī)則，主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。

篇2

關(guān)鍵詞：電子信息；安全風(fēng)險(xiǎn)管理；信息科技；網(wǎng)絡(luò)信息

1電子信息存在的安全問題

信息科技的發(fā)展和信息時(shí)代的到來給人們生活帶來了極大的便利，讓人們的生活變得多姿多彩。此外，信息時(shí)代的到來也在逐步改變企業(yè)的商業(yè)架構(gòu)，崛起了許多符合潮流發(fā)展的新興企業(yè)。但在信息科技不斷發(fā)展的過程中，電子信息安全問題也日益突出，人們對電子信息防范的安全問題也越發(fā)重視。電子信息的安全問題包括了信息的完整性、保密性、真實(shí)性、占有性、可用性和實(shí)用性，這也是確保信息安全的基本要求。具體信息安全分類如圖1所示。相關(guān)企業(yè)如果沒有強(qiáng)大的安全防范措施，一旦出現(xiàn)下面幾種情況就很容易導(dǎo)致信息泄露，引發(fā)電子信息安全風(fēng)險(xiǎn)。

1.1網(wǎng)民法律意識(shí)比較淡薄

網(wǎng)絡(luò)本身具備很強(qiáng)的虛擬性、隱蔽性和開放性等特點(diǎn)，每個(gè)人都可以是網(wǎng)絡(luò)信息的傳播者和制造者。當(dāng)然，其中不乏有人利用一些手段，在這個(gè)虛擬世界為自己謀取利益，時(shí)常會(huì)發(fā)生的黑客入侵事件就是典型的例子。無論是商業(yè)間的相互競爭，還是不經(jīng)意間犯的錯(cuò)，都反映出網(wǎng)民對網(wǎng)絡(luò)犯罪的相關(guān)法律意識(shí)比較淡薄。近來年，網(wǎng)絡(luò)資源共享成為了社會(huì)焦點(diǎn)，動(dòng)一動(dòng)手指就能與世界分享各種信息。但因部分網(wǎng)民欠缺科技保護(hù)等法律知識(shí)，在分享資源的過程中，就很容易給電子信息企業(yè)造成危害，導(dǎo)致企業(yè)信息安全性下降，這些都不利于電子信息企業(yè)的進(jìn)一步發(fā)展。除此之外，網(wǎng)絡(luò)上的不良和虛假信息泛濫，容易誤導(dǎo)網(wǎng)民，甚至出現(xiàn)一些對企業(yè)不利的群體攻擊性事件，反而間接地讓犯罪分子鉆了漏洞，盜取了企業(yè)的相關(guān)電子信息。

1.2電子信息安全管理技術(shù)比較落后

計(jì)算機(jī)網(wǎng)絡(luò)的開放性和隱蔽性讓網(wǎng)絡(luò)存在許多未知的不確定因素。比如計(jì)算機(jī)病毒，如果用戶在對計(jì)算機(jī)進(jìn)行操作中不經(jīng)意間打開了被植入的木馬病毒或者惡意網(wǎng)站等，就很容易導(dǎo)致電子信息出現(xiàn)安全問題，且當(dāng)前很多病毒查殺軟件只能查殺相對明顯、普通的病毒，而對于隱蔽性強(qiáng)的病毒沒有效果，體現(xiàn)出了電子信息安全管理技術(shù)比較落后。

2電子信息安全管理策略研究

2.1計(jì)算機(jī)技術(shù)方面的管理

針對計(jì)算機(jī)應(yīng)用軟件建立起安全防護(hù)措施，其中包括了數(shù)據(jù)庫操作系統(tǒng)、信息運(yùn)輸、數(shù)據(jù)儲(chǔ)存、網(wǎng)站訪問和基礎(chǔ)設(shè)備等方面。比如，設(shè)置防火墻，加強(qiáng)對網(wǎng)絡(luò)訪問的控制，利用防火墻功效避免電子數(shù)據(jù)被非法拷貝；利用入侵檢測技術(shù)實(shí)現(xiàn)對電子信息安全風(fēng)險(xiǎn)管理的識(shí)別和探究；利用電子信息簽名技術(shù)防范電子文件遭受惡意濫用；利用身份實(shí)名認(rèn)證進(jìn)行登錄，避免黑客的入侵。與此同時(shí)，還要不斷加大防毒軟件和查毒技術(shù)的研究力度，讓計(jì)算機(jī)系統(tǒng)能得到全面升級(jí)，更加全面地?cái)r截網(wǎng)絡(luò)病毒。

2.2電子信息的具體管理

在電子信息安全防范制度和防治措施的制訂過程中，要以信息檔案管理的特點(diǎn)和要求為基礎(chǔ)，并不斷培養(yǎng)信息管理人員的實(shí)際安全意識(shí)。建立起電子信息管理安全制度，并進(jìn)行規(guī)范化管理。在設(shè)置電子信息訪問權(quán)限的過程中，必須對信息的網(wǎng)絡(luò)區(qū)域和類別進(jìn)行規(guī)劃和部署，針對機(jī)密信息，必須進(jìn)行單獨(dú)隔離；非機(jī)密的信息則運(yùn)用授權(quán)管理方式來實(shí)現(xiàn)對信息的利用。電子信息在網(wǎng)絡(luò)儲(chǔ)存的過程中，必須以信息儲(chǔ)存頻率和用戶的具體要求為出發(fā)點(diǎn)，并進(jìn)行分級(jí)儲(chǔ)存。因存儲(chǔ)介質(zhì)的壽命不是很長，因此，可以制作紙質(zhì)拷貝，從而達(dá)到雙向儲(chǔ)存的目的。針對電子信息資源的管理，可運(yùn)用多人協(xié)同負(fù)責(zé)制度，開展崗位的定期輪換，以避免因個(gè)人的集中管理而導(dǎo)致電子信息風(fēng)險(xiǎn)的出現(xiàn)。

2.3建立電子信息安全保障體系

電子信息安全管理工作的開展，對管理能力的要求要比技術(shù)能力的要求更高，而做好預(yù)防措施的重點(diǎn)在于做好補(bǔ)救措施，所以，必須建立電子信息安全保障體系，提高電子信息的安全等級(jí)，從而達(dá)到預(yù)防信息安全風(fēng)險(xiǎn)的目的。電子信息安全保障體系的建立具體可從技術(shù)保障體系、管理制度保障體系、監(jiān)督體系三個(gè)方面著手，讓計(jì)算機(jī)網(wǎng)絡(luò)的軟硬件能保持安全狀態(tài)。在對電子信息進(jìn)行實(shí)際存儲(chǔ)和管理中，嚴(yán)格制訂并規(guī)范管理制度，做到重要檔案多次備份，并不斷強(qiáng)化追蹤和控制職能，管理人員之間要加強(qiáng)監(jiān)督，從而有效保障電子信息安全體系的運(yùn)行，確保信息的安全。

3結(jié)束語

在人們的生產(chǎn)、生活中，電子信息已具有非常重要的地位，但電子信息在不斷發(fā)展的過程中，各種信息安全風(fēng)險(xiǎn)也隨之產(chǎn)生，而信息安全事故一旦發(fā)生，就會(huì)給檔案信息造成很大的損害。因此，人們越來越認(rèn)識(shí)到電子信息安全管理的重要性，并采取相應(yīng)的措施來加強(qiáng)對信息安全的管理，從而規(guī)避電子信息風(fēng)險(xiǎn)，確保電子信息的安全。

參考文獻(xiàn)：

［1］王海景，李艷麗.電子信息檔案管理的風(fēng)險(xiǎn)控制策略［J］.學(xué)園，2015（05）.

［2］楊晗，袁野.淺談電子科技企業(yè)信息安全技術(shù)［J］.電子制作，2015（12）.

［3］何文濤.電子科技企業(yè)信息安全技術(shù)研究［J］.電子制作，2017（04）.

［4］于倩，李靈君.網(wǎng)絡(luò)環(huán)境下企業(yè)信息管理安全的對策分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（11）.

篇3

 

1 風(fēng)險(xiǎn)管理概念解析

 

風(fēng)險(xiǎn)管理是組織管理活動(dòng)的一部分，其管理的主要對象就是風(fēng)險(xiǎn)。在GB/T 23694—2013 / ISO Guide 73：2009《風(fēng)險(xiǎn)管理 術(shù)語》中曾經(jīng)指出，風(fēng)險(xiǎn)管理由一系列的活動(dòng)組成，這些活動(dòng)包括了標(biāo)識(shí)、評(píng)價(jià)、處理和可能影響組織正常運(yùn)行事件的整個(gè)過程，其準(zhǔn)確的定義為：風(fēng)險(xiǎn)管理(risk management)是指在風(fēng)險(xiǎn)方面，指導(dǎo)和控制組織的協(xié)調(diào)活動(dòng)。

 

與風(fēng)險(xiǎn)管理定義密切相關(guān)的，還有“風(fēng)險(xiǎn)管理框架”和“風(fēng)險(xiǎn)管理過程”兩個(gè)詞匯。

 

風(fēng)險(xiǎn)管理框架(risk management framework)是指為設(shè)計(jì)、執(zhí)行、監(jiān)督、評(píng)審和持續(xù)改進(jìn)整個(gè)組織的風(fēng)險(xiǎn)管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個(gè)有用的注解，分別為：風(fēng)險(xiǎn)管理框架是要素集合，這個(gè)框架并不是單獨(dú)存在的，這就體現(xiàn)了風(fēng)險(xiǎn)的特點(diǎn)之一，就是一系列的“點(diǎn)”，這些點(diǎn)是要被嵌入(be embedded)。特別值得指出的是，校準(zhǔn)(align))、整合(integrate)和嵌入(embed)是信息管理安全領(lǐng)域，也是整個(gè)管理學(xué)領(lǐng)域的常見詞匯。其中，在戰(zhàn)略層面一般強(qiáng)調(diào)校準(zhǔn)，即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略，都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細(xì)的策略或流程層次，則強(qiáng)調(diào)整合或嵌入。例如，已經(jīng)有人力資源的管理規(guī)程，需要嵌入安全管理的部分，或者已經(jīng)有事件管理規(guī)程，將其與信息安全事件管理進(jìn)行整合?？傊?zhǔn)、整合和嵌入是值得深入研究的三種方法。

 

風(fēng)險(xiǎn)管理過程強(qiáng)調(diào)的是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。

 

風(fēng)險(xiǎn)管理過程才體現(xiàn)了信息安全應(yīng)該如何做(how)的問題。

 

嚴(yán)格講，風(fēng)險(xiǎn)管理不僅僅是過程，是一系列的活動(dòng)。因此，在下文的圖3中，我們特別指出： 風(fēng)險(xiǎn)管理的階段劃分僅作示意。

 

2 風(fēng)險(xiǎn)評(píng)估及其過程

 

在GB/T 23694—2013 / ISO Guide 73：2009中，風(fēng)險(xiǎn)評(píng)估并不是作為一個(gè)單獨(dú)的過程定義的。其中定義為：風(fēng)險(xiǎn)評(píng)估(risk assessment)包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過程。

 

風(fēng)險(xiǎn)評(píng)估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當(dāng)時(shí)并沒有單獨(dú)把“風(fēng)險(xiǎn)識(shí)別”作為一個(gè)單獨(dú)的階段?；蛘哒f，在當(dāng)時(shí)的定義中，“風(fēng)險(xiǎn)識(shí)別”是作為“風(fēng)險(xiǎn)分析”的一個(gè)階段而出現(xiàn)的，詳細(xì)定義為：風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)在內(nèi)的全過程。

 

為了更好地理解其中的變化，我們在表1中給出了風(fēng)險(xiǎn)評(píng)估包括的階段的術(shù)語定義。

 

無論如何劃分，風(fēng)險(xiǎn)評(píng)估都要完成下面這些活動(dòng)：

 

在上述三個(gè)步驟中，步驟一與步驟二較為通用，或者說，截至到風(fēng)險(xiǎn)分析階段，我們需要確定風(fēng)險(xiǎn)的等級(jí)，這都可以按照通用的標(biāo)準(zhǔn)或方法提前定義好。步驟三則不同，這個(gè)步驟需要結(jié)合組織自己定義的風(fēng)險(xiǎn)準(zhǔn)則。

 

3 區(qū)分風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理

 

我們可以簡單地認(rèn)為，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的一個(gè)階段，只是在更大的風(fēng)險(xiǎn)管理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的階段。如果把風(fēng)險(xiǎn)管理理解成一個(gè)“對癥下藥”的過程，那么風(fēng)險(xiǎn)評(píng)估就是其中的“對癥”過程，只是找到問題所在，并沒有義務(wù)解決。而風(fēng)險(xiǎn)管理是在整個(gè)組織內(nèi)把風(fēng)險(xiǎn)降低到可接受水平的整個(gè)過程。主要階段包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(risk treatment) )。

 

風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷上升的過程，它被定義為一個(gè)持續(xù)的周期，每隔一個(gè)階段就開始新的循環(huán)，這些循環(huán)要貫穿組織的始終，是組織管理的一部分。風(fēng)險(xiǎn)評(píng)估則更像“搞運(yùn)動(dòng)”，其一般按照一定的時(shí)間間隔進(jìn)行，但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機(jī)構(gòu)變化等，都可能啟動(dòng)新的風(fēng)險(xiǎn)評(píng)估過程。

 

風(fēng)險(xiǎn)管理的循環(huán)過程不是在原地踏步的，它的每一次新循環(huán)都應(yīng)該上一個(gè)新的臺(tái)階，呈螺旋上升的形狀。如圖3所示。

 

這種臺(tái)階或者檔次的上升的來源就是組織定期或臨時(shí)啟動(dòng)的風(fēng)險(xiǎn)評(píng)估，在每一次風(fēng)險(xiǎn)評(píng)估中都會(huì)發(fā)現(xiàn)潛在的問題，并在接下來的風(fēng)險(xiǎn)應(yīng)對過程中加以解決，從而使組織管理風(fēng)險(xiǎn)的能力得到提升。

 

4 風(fēng)險(xiǎn)應(yīng)對概念解析

 

無論風(fēng)險(xiǎn)評(píng)估步驟進(jìn)行得多么完美，都只是找到了問題，而解決問題應(yīng)該是組織的最終目的。風(fēng)險(xiǎn)應(yīng)對的步驟就是評(píng)估、選擇并且執(zhí)行這些改進(jìn)措施的過程。

 

風(fēng)險(xiǎn)應(yīng)對(risk treatment)是指處理8)風(fēng)險(xiǎn)的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個(gè)定義也有詳細(xì)的注解，包括：

 

“風(fēng)險(xiǎn)應(yīng)對”定義的注1較為詳細(xì)，其中給出了可能的應(yīng)對措施，其中1)規(guī)避風(fēng)險(xiǎn)，6)分擔(dān)或轉(zhuǎn)移風(fēng)險(xiǎn)以及)接受風(fēng)險(xiǎn)，與ISO/IEC 27001：2005的描述基本類似，)為尋求機(jī)會(huì)而承擔(dān)或增加風(fēng)險(xiǎn)更偏重組織業(yè)務(wù)角度視角，3)、4)與5)則是降低風(fēng)險(xiǎn)的基本途徑，這三項(xiàng)的任何之一都可以改變目前的風(fēng)險(xiǎn)狀況。

篇4

關(guān)鍵詞 信息工程安全系統(tǒng) 風(fēng)險(xiǎn)評(píng)估 控制

中圖分類號(hào)：X92 文獻(xiàn)標(biāo)識(shí)碼：A

對項(xiàng)目風(fēng)險(xiǎn)管理來說，風(fēng)險(xiǎn)評(píng)估是對信息工程安全資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估。作為項(xiàng)目風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是確定信息工程安全需求的一個(gè)重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風(fēng)險(xiǎn)評(píng)估概述

風(fēng)險(xiǎn)評(píng)估是在綜合考慮成本效益的前提下，通過安全措施控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可以控制的程度。因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)，所謂安全信息系統(tǒng)，實(shí)際上指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估以后做出了風(fēng)險(xiǎn)控制，仍然存在殘余風(fēng)險(xiǎn)是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評(píng)估，就必須運(yùn)用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范對信息系統(tǒng)進(jìn)行安全評(píng)估。

風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括：（1）識(shí)別面臨的各種風(fēng)險(xiǎn)。（2）評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響。（3）確定承受風(fēng)險(xiǎn)的能力。（4）確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)。（5）推薦風(fēng)險(xiǎn)消減對策。

1.1 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)評(píng)估概述

信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)管理是圍繞信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)而展開的評(píng)估、處理和控制的活動(dòng)。其中最重要的基本要素是風(fēng)險(xiǎn)評(píng)估，因?yàn)榛陲L(fēng)險(xiǎn)評(píng)估可以對政府部門信息工程安全系統(tǒng)項(xiàng)目有系統(tǒng)全面的了解，找出潛在問題，分析原因，判斷嚴(yán)重性和相關(guān)影響，以此確定信息工程安全系統(tǒng)建設(shè)的需求。項(xiàng)目是一個(gè)過程，從項(xiàng)目的開始到結(jié)束，風(fēng)險(xiǎn)評(píng)估要求風(fēng)險(xiǎn)評(píng)估貫穿到信息系統(tǒng)的整個(gè)生命周期提出了三個(gè)環(huán)節(jié)要進(jìn)行風(fēng)險(xiǎn)評(píng)估：一是信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，二是系統(tǒng)驗(yàn)收階段，三是信息系統(tǒng)運(yùn)維階段。管理的不確定性，有限的資源和千變?nèi)f化的危險(xiǎn)和漏洞，使得所有的風(fēng)險(xiǎn)不可能完全緩解。一個(gè)信息系統(tǒng)的項(xiàng)目專業(yè)人員必須要協(xié)同用戶、項(xiàng)目經(jīng)理對信息系統(tǒng)各種潛在的影響進(jìn)行評(píng)估，使其達(dá)到一個(gè)合理水平。

由于種種原因，信息安全系統(tǒng)存在著很多漏洞及缺陷，如黑客攻擊或系統(tǒng)本身的原因，會(huì)造成系統(tǒng)安全事件，給系統(tǒng)帶來不好的影響。因此，要對項(xiàng)目的信息安全風(fēng)險(xiǎn)進(jìn)行相應(yīng)的評(píng)估，評(píng)估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負(fù)面影響，根據(jù)相應(yīng)的等級(jí)來進(jìn)行劃分，評(píng)估出可能發(fā)生的安全風(fēng)險(xiǎn)。

1.2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)評(píng)估過程

一般來說，系統(tǒng)信息工程安全項(xiàng)目風(fēng)險(xiǎn)評(píng)估分為四個(gè)不同的階段。

第一個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段。

（1）根據(jù)相應(yīng)的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則，調(diào)研項(xiàng)目的實(shí)際情況，然后制定風(fēng)險(xiǎn)評(píng)估的計(jì)劃表。按照實(shí)際操作來看，計(jì)劃通常要由三個(gè)重要的表格組成，這三個(gè)表分別是：《信息工程安全系統(tǒng)的描述報(bào)告》、《信息工程安全系統(tǒng)的分析報(bào)告》和《信息工程安全系統(tǒng)的安全要求報(bào)告》。通過這些表格及具體的計(jì)劃表，要對項(xiàng)目的風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行計(jì)劃。計(jì)劃的內(nèi)容一般要設(shè)計(jì)如下范圍：目的、范圍、目標(biāo)、組織架構(gòu)、經(jīng)費(fèi)預(yù)算、進(jìn)度安排。制定好計(jì)劃書后要及時(shí)匯報(bào)給決策層。如果決策層有異議，應(yīng)該及時(shí)根據(jù)意見加以修改。只有獲得決策層的審核和同意后，計(jì)劃書才能獲得批準(zhǔn)，才能夠獲得相應(yīng)的資源加以執(zhí)行。

（2）結(jié)合項(xiàng)目的具體實(shí)際，對整個(gè)風(fēng)險(xiǎn)評(píng)估流程加以確定。不同的項(xiàng)目風(fēng)險(xiǎn)評(píng)估流程是不一樣的，必須要結(jié)合具體的項(xiàng)目實(shí)際對評(píng)估的流程加以確定，如何工作，如何評(píng)估，評(píng)估結(jié)果如何衡量等。這個(gè)步驟，通常應(yīng)該形成一個(gè)書面的《風(fēng)險(xiǎn)評(píng)估程序》，便于后面工作人員的具體操作。

（3）根據(jù)項(xiàng)目具體實(shí)際，選擇特定的風(fēng)險(xiǎn)評(píng)估方法和工具。風(fēng)險(xiǎn)評(píng)估方法和工具千差萬別，具體的某個(gè)項(xiàng)目，有針對性地 選擇成本低，效果好，結(jié)合項(xiàng)目實(shí)際的具體方法和工具。

第二個(gè)階段：風(fēng)險(xiǎn)因素識(shí)別。

（1）對所有需要保護(hù)的信息資產(chǎn)加以清點(diǎn)。根據(jù)上文確定的三個(gè)相關(guān)報(bào)告，對單位或項(xiàng)目所有的資產(chǎn)加以清點(diǎn)，找出重要的、對安全有重大影響的信息資產(chǎn)并造冊，形成書面的《需要保護(hù)的資產(chǎn)清單》。（2）結(jié)合相關(guān)工具，識(shí)別出可能面臨的威脅。一般來說，目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫，結(jié)合這些數(shù)據(jù)庫，對單位的具體資產(chǎn)進(jìn)行詳細(xì)的清點(diǎn)和評(píng)估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據(jù)上面的工作，參照漏洞庫，可以對整個(gè)單位信息資產(chǎn)面臨的脆弱性加以評(píng)估，形成書面的《脆弱性列表》。

第三個(gè)階段：風(fēng)險(xiǎn)程度分析。

（1）確認(rèn)單位目前已經(jīng)采用的安全防范措施。通過書面形式，對單位目前已經(jīng)有的具體防范措施加以總結(jié)，填寫到《已有安全措施分析報(bào)告》。（2）對可能面臨的威脅的動(dòng)機(jī)加以分析。面臨的威脅的動(dòng)機(jī)一般分為：涉及利益者的攻擊、對系統(tǒng)好奇、對自己的技術(shù)自負(fù)等，要形成書面的《威脅動(dòng)機(jī)分析報(bào)告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評(píng)估，包括強(qiáng)度、廣度、深度等。（4）分析信息資產(chǎn)的價(jià)值。信息自查的價(jià)值主要從以下幾個(gè)方面來評(píng)估：關(guān)鍵性，價(jià)格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產(chǎn)損失，任務(wù)妨害，人員傷亡等。

第四個(gè)階段：風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)階段。

（1）對威脅的動(dòng)機(jī)加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統(tǒng)脆弱性加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產(chǎn)價(jià)值加以評(píng)估，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評(píng)價(jià)，采用五級(jí)劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認(rèn)的具體算法。但各單位具體實(shí)際情況不一而足。所以，對于公認(rèn)的算法可以進(jìn)行修改，或者提出自己認(rèn)為更符合實(shí)際情況的算法。

2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)控制

2. 1 風(fēng)險(xiǎn)控制概述

風(fēng)險(xiǎn)評(píng)估的目的是進(jìn)行風(fēng)險(xiǎn)控制，進(jìn)而最大可能排除系統(tǒng)面臨的風(fēng)險(xiǎn)。所以，在信息風(fēng)險(xiǎn)評(píng)估之后，就要進(jìn)行風(fēng)險(xiǎn)控制，其目的是為了盡可能降低系統(tǒng)面臨的風(fēng)險(xiǎn)和漏洞。而系統(tǒng)的風(fēng)險(xiǎn)和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內(nèi)，盡可能控制在可以接受的范圍。一般來說，為了控制可能發(fā)生的風(fēng)險(xiǎn)，主要采用以下幾種方式：（1）規(guī)避風(fēng)險(xiǎn)。規(guī)避就是避免使用。例如有一些信息資產(chǎn)面臨很大的風(fēng)險(xiǎn)，如果完全消除風(fēng)險(xiǎn)，需要很大的成本，需要更多的經(jīng)濟(jì)投入等。那么，一個(gè)比較可行的辦法就是避免使用這樣的資產(chǎn)，或者一些敏感的、需要保密的數(shù)據(jù)，不在這些資產(chǎn)上使用，從而規(guī)避掉可能發(fā)生的風(fēng)險(xiǎn)。（2）轉(zhuǎn)移風(fēng)險(xiǎn)。這種方式的思路，就是將已經(jīng)面臨風(fēng)險(xiǎn)的資產(chǎn)轉(zhuǎn)移到風(fēng)險(xiǎn)較低，或者沒有風(fēng)險(xiǎn)的資產(chǎn)上。如某單位需要處理技術(shù)上足夠復(fù)雜，沒有能力處理的業(yè)務(wù)時(shí)，可以通過尋求外包給第三方專業(yè)機(jī)構(gòu)的形式，要求對方做好風(fēng)險(xiǎn)處理，從而達(dá)到轉(zhuǎn)移風(fēng)險(xiǎn)的目的。（3）降低風(fēng)險(xiǎn)。降低風(fēng)險(xiǎn)就是在資產(chǎn)面臨風(fēng)險(xiǎn)時(shí)，通過各種手段和方法來降低其面臨的風(fēng)險(xiǎn)。

2.2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)控制過程

在信息工程安全項(xiàng)目管理中，風(fēng)險(xiǎn)控制可以劃分為四個(gè)階段，分別是：現(xiàn)有風(fēng)險(xiǎn)判斷、確定風(fēng)險(xiǎn)控制目標(biāo)、采取選擇和實(shí)施具體的風(fēng)險(xiǎn)控制措施。

在不同的階段，進(jìn)行不同的工作流程和具體內(nèi)容，分別如下：

第一階段：預(yù)備階段。在本階段，主要是對單位現(xiàn)有的信息資產(chǎn)激進(jìn)型識(shí)別、編號(hào)、評(píng)估并造冊，形成書面報(bào)告。

第二階段：現(xiàn)存風(fēng)險(xiǎn)判斷。在本階段，通過各種工具和方法，對系統(tǒng)信息資產(chǎn)面臨的風(fēng)險(xiǎn)加以評(píng)級(jí)。一般來說，風(fēng)險(xiǎn)的評(píng)級(jí)主要分為兩種：可接受的系統(tǒng)風(fēng)險(xiǎn)和不可接受的系統(tǒng)風(fēng)險(xiǎn)。然后，對系統(tǒng)目前存在的一些風(fēng)險(xiǎn)加以判斷，到底是否能夠接受。

第三階段：確定風(fēng)險(xiǎn)控制目標(biāo)。本階段主要的工作流程和內(nèi)容包括：（1）分析風(fēng)險(xiǎn)控制需求。針對上面提出的不可接受的風(fēng)險(xiǎn)，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風(fēng)險(xiǎn)控制目標(biāo)。完全搞清楚其具體需求后，就可以確定風(fēng)險(xiǎn)控制的目標(biāo)。

第四階段：控制措施選擇與實(shí)施。

控制措施選擇階段的工作流程和內(nèi)容如下：（1）選擇風(fēng)險(xiǎn)控制方式。確定目標(biāo)后，就可以采用具體的風(fēng)險(xiǎn)控制方式。選擇方式時(shí)必須考慮到單位的具體情況，能否實(shí)現(xiàn)以及經(jīng)濟(jì)投入成本、投入產(chǎn)出比等。（2）選擇風(fēng)險(xiǎn)控制措施?？刂拼胧?shí)施階段的工作流程和內(nèi)容如下：①制定風(fēng)險(xiǎn)控制實(shí)施計(jì)劃：選擇好相應(yīng)的風(fēng)險(xiǎn)控制方式后，即可制定具體的實(shí)施計(jì)劃。實(shí)施計(jì)劃必須為書面，便于后面的審查以及對照。②實(shí)施風(fēng)險(xiǎn)控制措施：采用規(guī)避、降低、轉(zhuǎn)移等具體方式來控制。實(shí)施過程應(yīng)該遵循相應(yīng)的工作流程和標(biāo)準(zhǔn)，并書面記錄在案。

3 結(jié)語

當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速，任何信息系統(tǒng)都會(huì)有安全風(fēng)險(xiǎn)。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)，對所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進(jìn)行升級(jí)完善，以確保相關(guān)利益不受侵犯。

參考文獻(xiàn)

[1] Stuart McClure 等.黑客大曝光――網(wǎng)絡(luò)安全機(jī)密與解決方案[M].北京：清華大學(xué)出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術(shù)的研發(fā)與運(yùn)用[J].信息通信，2013.

篇5

[關(guān)鍵詞]金融機(jī)構(gòu)；信息資產(chǎn)；操作風(fēng)險(xiǎn)；風(fēng)險(xiǎn)管理

金融機(jī)構(gòu)操作風(fēng)險(xiǎn)具有不同于信用風(fēng)險(xiǎn)和市場風(fēng)險(xiǎn)的顯著特征，是其基礎(chǔ)性風(fēng)險(xiǎn)。巴塞爾委員會(huì)對操作風(fēng)險(xiǎn)的定義是：“操作風(fēng)險(xiǎn)是指由不完善或有問題的內(nèi)部程序、人員及系統(tǒng)或外部事件所造成損失的風(fēng)險(xiǎn)。”它是指由于不當(dāng)或不足的方式操作業(yè)務(wù)或外部事件而對銀行業(yè)務(wù)帶來負(fù)面影響的可能性。操作風(fēng)險(xiǎn)是與銀行業(yè)務(wù)操作緊密相聯(lián)系的風(fēng)險(xiǎn)，它和信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)共同構(gòu)成商業(yè)銀行的三大風(fēng)險(xiǎn)。對于操作風(fēng)險(xiǎn)的監(jiān)管。直接涉及銀行信息資產(chǎn)風(fēng)險(xiǎn)的監(jiān)管，銀行信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管與操作風(fēng)險(xiǎn)監(jiān)管有著密切關(guān)系，加強(qiáng)操作風(fēng)險(xiǎn)的監(jiān)管，就必須高度重視信息資產(chǎn)風(fēng)險(xiǎn)的監(jiān)管。

一、IT環(huán)境下操作風(fēng)險(xiǎn)的挑戰(zhàn)

(一)IT環(huán)境下操作風(fēng)險(xiǎn)的隱患

當(dāng)前由于銀行系統(tǒng)漏洞或缺陷導(dǎo)致的操作風(fēng)險(xiǎn)事件呈現(xiàn)出上升趨勢。據(jù)銀監(jiān)會(huì)通報(bào)，2007年以來銀行業(yè)發(fā)生的5起典型信息系統(tǒng)風(fēng)險(xiǎn)事件，分別是：2007年3月21日，交通銀行因主機(jī)監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近4個(gè)小時(shí)，所有營業(yè)網(wǎng)點(diǎn)無法正常開展業(yè)務(wù)；2007年8月15日，中國工商銀行對計(jì)算機(jī)系統(tǒng)進(jìn)行升級(jí)，由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個(gè)人業(yè)務(wù)系統(tǒng)運(yùn)行不暢，業(yè)務(wù)辦理速度緩慢，部分證券業(yè)務(wù)受阻，在持續(xù)5個(gè)半小時(shí)后，系統(tǒng)才逐步恢復(fù)正常；2007年10月18日，中國建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進(jìn)行，事故持續(xù)了兩個(gè)小時(shí)，在證券交易收盤后才恢復(fù)正常；2007年12月21日，招商銀行因運(yùn)行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進(jìn)行，雖啟動(dòng)了應(yīng)急預(yù)案，但仍然中斷營業(yè)近1個(gè)小時(shí)：2008年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京117家支行所屬網(wǎng)點(diǎn)柜臺(tái)交易緩慢，業(yè)務(wù)無法正常進(jìn)行，故障在1個(gè)多小時(shí)后才得以解決。上述案例中，既有信息系統(tǒng)自身原因引發(fā)的故障，也有人員操作失誤引發(fā)的故障，信息系統(tǒng)風(fēng)險(xiǎn)已成為商業(yè)銀行關(guān)注和防范的焦點(diǎn)。

金融業(yè)信息技術(shù)事故統(tǒng)計(jì)表明，如果銀行系統(tǒng)中斷1小時(shí)，將直接影響該行的基本支付業(yè)務(wù)；中斷1天，將對其聲譽(yù)造成極大傷害；中斷2―3天以上不能恢復(fù)。將直接危及其他銀行乃至整個(gè)金融系統(tǒng)的穩(wěn)定。目前。我國銀行業(yè)的IT建設(shè)正處于高速發(fā)展期，在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時(shí)，信息科技風(fēng)險(xiǎn)管理顯得相對薄弱。

技術(shù)型操作風(fēng)險(xiǎn)的隱患源于：1.操作系統(tǒng)漏洞。銀行應(yīng)用的Unix，Win-dows等操作系統(tǒng)存在一定安全隱患；2.安全設(shè)施的漏洞。網(wǎng)絡(luò)層、應(yīng)用層的防火墻自身是否安全、設(shè)置是否錯(cuò)誤，需要經(jīng)過檢驗(yàn)。美國一項(xiàng)調(diào)查表明，32％的泄密是由內(nèi)部作案造成，所有的防火墻都不同程度地被黑客攻擊過；3.安全管理的漏洞。現(xiàn)有的一些信息系統(tǒng)缺少定期的安全測試與檢查，更缺少安全監(jiān)控。在已破獲的采用計(jì)算機(jī)技術(shù)犯罪的案件中，內(nèi)部授權(quán)人員作案的占58％；4.安全協(xié)議的漏洞。由于銀行網(wǎng)絡(luò)系統(tǒng)內(nèi)部運(yùn)行的各種協(xié)議(如TCP／IP，IPX／SPX等)是在資源及網(wǎng)絡(luò)技術(shù)均不成熟的情況下設(shè)計(jì)的，還存在著脆弱的認(rèn)證機(jī)制、容易被竊聽和監(jiān)視、易受欺騙等安全隱患；5.內(nèi)控制度的漏洞。管理制度、運(yùn)行規(guī)程不完善，不能有效地杜絕內(nèi)部作案，更缺乏良好的故障處理反應(yīng)機(jī)制。

(二)lT環(huán)境下操作風(fēng)險(xiǎn)的表現(xiàn)形式

技術(shù)導(dǎo)向型操作風(fēng)險(xiǎn)是指由于技術(shù)問題，特別是信息技術(shù)的應(yīng)用對銀行的系統(tǒng)、流程、產(chǎn)品、服務(wù)和交易等產(chǎn)生不良影響而導(dǎo)致的操作風(fēng)險(xiǎn)，包括IT技術(shù)、網(wǎng)絡(luò)系統(tǒng)、產(chǎn)品的服務(wù)缺陷。以及外部法律、稅收和監(jiān)管方面的變化對銀行沖擊而造成的風(fēng)險(xiǎn)。關(guān)于金融機(jī)構(gòu)技術(shù)導(dǎo)向型操作風(fēng)險(xiǎn)涵蓋的范疇及其風(fēng)險(xiǎn)的含義，在2006年出臺(tái)的銀行業(yè)監(jiān)督管理法中給出了明確定義：“主要包括總體風(fēng)險(xiǎn)，研發(fā)風(fēng)險(xiǎn)、運(yùn)行維護(hù)風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)等信息系統(tǒng)生命周期幾個(gè)高風(fēng)險(xiǎn)點(diǎn)……其中，總體風(fēng)險(xiǎn)是指金融機(jī)構(gòu)信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)；研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)；運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)；外包風(fēng)險(xiǎn)是指金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)?！?/p>

二、金融機(jī)構(gòu)信息資產(chǎn)安全的需求

金融機(jī)構(gòu)信息系統(tǒng)是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。金融機(jī)構(gòu)信息系統(tǒng)具有如下特點(diǎn)：1.金融信息化的建設(shè)以及網(wǎng)上銀行業(yè)務(wù)的迅猛發(fā)展，使得銀行等金融機(jī)構(gòu)的業(yè)務(wù)集中度非常高。2.數(shù)據(jù)大集中后，由于單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來越多，信息系統(tǒng)對網(wǎng)絡(luò)的依賴性越來越高。3.信息安全性要求高，信息系統(tǒng)的各種文檔資料和用戶資料均需保密。

(一)信息資產(chǎn)安全的邊界

有關(guān)信息資產(chǎn)的含義，目前眾說紛紜，本文借鑒屈延文(2006)給出的定義，即信息資產(chǎn)是由信息范疇資產(chǎn)、系統(tǒng)范疇資產(chǎn)和附加范疇資產(chǎn)組成。其中信息范疇資產(chǎn)是指信息存在形式、信息內(nèi)容、內(nèi)容價(jià)值；系統(tǒng)范疇資產(chǎn)是指系統(tǒng)存在形式、系統(tǒng)行為、行為價(jià)值；附加范疇資產(chǎn)則是不同的關(guān)注者(計(jì)劃者、擁有者、設(shè)計(jì)者、實(shí)施者和用戶等)對信息與系統(tǒng)兩個(gè)范疇關(guān)注的需求價(jià)值(附加價(jià)值)。例如包括開發(fā)、運(yùn)營、管理、維護(hù)和服務(wù)等產(chǎn)生的關(guān)注性的資產(chǎn)。

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵也在不斷的延伸。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(píng)(評(píng)估)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。

(二)信息資產(chǎn)安全性原則

信息，在ISO17799中被看作是一種資產(chǎn)，這種資產(chǎn)可以增加組織的價(jià)值，因而它也需要得到恰當(dāng)?shù)谋Ｗo(hù)。信息資產(chǎn)安全需要保護(hù)信息資源，防止未經(jīng)授權(quán)或偶然因素對信息資源的破壞、修改、非法利用或惡意泄露，以實(shí)現(xiàn)信息保密性、完整性與可用性的要求。在國際標(biāo)準(zhǔn)化組織的信息安全管理標(biāo)準(zhǔn)規(guī)范(1SO，IEC 17799)和其他一些機(jī)構(gòu)的文

獻(xiàn)中，都定義了信息安全的基本特性：如保密性，完整性。有效性；另外也可包括諸如真實(shí)性，可審計(jì)性，不可否認(rèn)性和可控性等。

三、金融機(jī)構(gòu)信息資產(chǎn)操作風(fēng)險(xiǎn)監(jiān)管的對策

風(fēng)險(xiǎn)監(jiān)管是信息資產(chǎn)安全管理的核心。信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制。實(shí)現(xiàn)對信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制，推動(dòng)銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

(一)信息資產(chǎn)操作風(fēng)險(xiǎn)管理的原則和目標(biāo)

實(shí)施信息資產(chǎn)風(fēng)險(xiǎn)管理的原則為：1.針對性。對金融機(jī)構(gòu)信息資產(chǎn)所面臨的安全需求進(jìn)行認(rèn)真全面地分析，找出具有針對性的安全威脅。有的放矢地做好安全工作：2.均衡性。對信息安全的各個(gè)環(huán)節(jié)進(jìn)行安全強(qiáng)度分析，找出信息安全的脆弱點(diǎn)，提出強(qiáng)度均衡的設(shè)計(jì)方案；3.時(shí)效性。在實(shí)施信息安全管理時(shí)，要量力而行，安全投入與所需要的功效相適應(yīng)。即對信息安全面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性和定量的分析，從而制定出合理的安全策略；4.獨(dú)立性。信息安全所采用的技術(shù)均應(yīng)立足國內(nèi)，不得直接引用未經(jīng)消化改造的境外安全保密技術(shù)和設(shè)備；5.綜合性。信息安全必須通過技術(shù)、管理和安全基礎(chǔ)設(shè)施的綜合實(shí)施才能奏效，即信息安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+基礎(chǔ)實(shí)施+漏洞監(jiān)測+實(shí)時(shí)響應(yīng)。

金融機(jī)構(gòu)信息資產(chǎn)安全管理的目標(biāo)為：一是對信息資產(chǎn)安全現(xiàn)狀做出正確判斷；二是較為準(zhǔn)確地估計(jì)特定系統(tǒng)風(fēng)險(xiǎn)；三是建立相應(yīng)的控制風(fēng)險(xiǎn)的機(jī)制，并把這些機(jī)制融為一體形成防護(hù)體系；四是最大限度地提高系統(tǒng)的可用性，并把系統(tǒng)帶來的風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。

(二)構(gòu)建信息資產(chǎn)操作風(fēng)險(xiǎn)管理框架

金融信息化環(huán)境下，很多機(jī)構(gòu)的信息資產(chǎn)面臨諸多威脅(包括來自內(nèi)部的威脅和來自外部的威脅)。威脅利用信息系統(tǒng)存在的各種漏洞(如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等)，對信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露。資產(chǎn)的暴露(如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露)，會(huì)對資產(chǎn)的價(jià)值產(chǎn)生影響(包括直接和間接的影響)。風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價(jià)值所決定。對企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析。就得出了系統(tǒng)的防護(hù)需求。根據(jù)防護(hù)需求的不同，制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險(xiǎn)，并抗擊威脅。

信息安全風(fēng)險(xiǎn)是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對金融機(jī)構(gòu)造成的影響。資產(chǎn)、威脅和脆弱性構(gòu)成了風(fēng)險(xiǎn)的三個(gè)關(guān)鍵要素，而風(fēng)險(xiǎn)評(píng)估則是圍繞這些要素及其相關(guān)屬性依據(jù)國家有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過程。本文借鑒MSF風(fēng)險(xiǎn)管理框架，建立以操作風(fēng)險(xiǎn)管理為核心的信息資產(chǎn)安全模型。即風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和分級(jí)、風(fēng)險(xiǎn)計(jì)劃和調(diào)度、風(fēng)險(xiǎn)跟蹤和報(bào)告、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)學(xué)習(xí)六個(gè)步驟。

1　風(fēng)險(xiǎn)識(shí)別。風(fēng)險(xiǎn)識(shí)別的目的是發(fā)現(xiàn)潛在的威脅，預(yù)防某個(gè)特定威脅利用某個(gè)特定系統(tǒng)的脆弱性對系統(tǒng)造成損失，威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。風(fēng)險(xiǎn)識(shí)別應(yīng)該在信息系統(tǒng)的生命周期中不斷地重復(fù)。

2　風(fēng)險(xiǎn)分析與分級(jí)。風(fēng)險(xiǎn)分析是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程，即利用定性或定量的方法，借助于風(fēng)險(xiǎn)評(píng)估工具，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制。

3　風(fēng)險(xiǎn)計(jì)劃和調(diào)度。風(fēng)險(xiǎn)計(jì)劃提取風(fēng)險(xiǎn)分析中獲得的信息并用其明確表達(dá)策略、計(jì)劃和工作。風(fēng)險(xiǎn)調(diào)度可以確保計(jì)劃被認(rèn)可并融入標(biāo)準(zhǔn)的日常信息資產(chǎn)安全管理進(jìn)程和基礎(chǔ)設(shè)施中，從而確保風(fēng)險(xiǎn)管理作為日常工作的一部分執(zhí)行。

4　風(fēng)險(xiǎn)跟蹤。風(fēng)險(xiǎn)跟蹤監(jiān)控特定風(fēng)險(xiǎn)的狀況以及它們各自工作計(jì)劃中的進(jìn)展情況。風(fēng)險(xiǎn)跟蹤也包含監(jiān)控變化風(fēng)險(xiǎn)的概率、影響、暴露程度以及其他因素，這些變化可能改變優(yōu)先級(jí)或風(fēng)險(xiǎn)計(jì)劃、信息資產(chǎn)特性、資源或是進(jìn)度表。風(fēng)險(xiǎn)跟蹤從風(fēng)險(xiǎn)等級(jí)的角度定義風(fēng)險(xiǎn)管理過程在信息資產(chǎn)中的可見度。

5　風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)控制是執(zhí)行風(fēng)險(xiǎn)工作計(jì)劃和相關(guān)現(xiàn)狀報(bào)告的過程。風(fēng)險(xiǎn)控制也包含項(xiàng)目變化控制請求的初始化，而風(fēng)險(xiǎn)狀況或風(fēng)險(xiǎn)計(jì)劃的更改可能導(dǎo)致信息資產(chǎn)特性、資源或進(jìn)度表的更改。

6　風(fēng)險(xiǎn)學(xué)習(xí)。使知識(shí)和相應(yīng)項(xiàng)目案例及工具正式化，并在團(tuán)隊(duì)和企業(yè)內(nèi)部以可再度使用的形式提取知識(shí)。

信息系統(tǒng)的安全性、可靠性、有效性直接關(guān)系到整個(gè)金融業(yè)的安全和穩(wěn)健運(yùn)行。在當(dāng)前構(gòu)建和諧社會(huì)的重要階段，金融業(yè)的安全變得更為關(guān)鍵。操作風(fēng)險(xiǎn)防范的重要內(nèi)容就是從技術(shù)防范為主的被動(dòng)信息安全轉(zhuǎn)移到以預(yù)防為主的主動(dòng)風(fēng)險(xiǎn)管理框架中來，把風(fēng)險(xiǎn)控制在可承受的范圍之內(nèi)，為社會(huì)提供安全、持續(xù)的金融服務(wù)。

趙秀云教授簡介

篇6

關(guān)鍵詞：通信安全；通信監(jiān)理；安全風(fēng)險(xiǎn)管控；

中圖分類號(hào)：C93 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914x（2014）26-01-01

隨著時(shí)代的發(fā)展，通信已經(jīng)漸漸的融入了人們的生活，并成為人們生活中最主要的聯(lián)絡(luò)方式。而通信安全是人們現(xiàn)在最關(guān)心的事情，通信監(jiān)理顯得尤為重要，由于目前的通信信息和內(nèi)容常常出現(xiàn)被他人盜取等不安全事件，所以監(jiān)理企業(yè)對于安全風(fēng)險(xiǎn)管控的力度也在不斷地加強(qiáng)，監(jiān)理企業(yè)的責(zé)任和工作壓力也在不斷地增大。保障通信的安全所需要的各不相同，許多不可預(yù)見的因素也存在很多，這些因素均影響著通信的安全效果，這也對監(jiān)理企業(yè)安全風(fēng)險(xiǎn)管控有著更高的要求。

一、 通信監(jiān)理安全風(fēng)險(xiǎn)工作

（一） 通信事業(yè)的發(fā)展現(xiàn)狀

改革開放以來，我國的各行各業(yè)、各方各面的發(fā)展都很迅猛。在通信方面也有了迅猛的發(fā)展，從過去人們手中的呼機(jī)到風(fēng)靡一時(shí)的“大哥大”，都可以看出我國通訊事業(yè)的發(fā)展。再到現(xiàn)在每家都有的電話和以互聯(lián)網(wǎng)為支撐的中國通信，可以看出中國的通信事業(yè)已進(jìn)行了一次又一次的革命性的進(jìn)步。通訊事業(yè)的發(fā)展一直是人們熱點(diǎn)關(guān)注的事情。到現(xiàn)在人們所進(jìn)入的3G時(shí)代和正在向我們招手的4G時(shí)代，都讓人們?yōu)橹偪衽c欣喜。這些都是人類智慧的結(jié)晶所在。但是，就算通訊技術(shù)發(fā)展如此之快的中國，也不是世界的佼佼者。通信市場在世界上來說競爭力很大，看往外面的國家我國的通信事業(yè)存在著很大的不足，我們還應(yīng)繼續(xù)努力，迎接通訊事業(yè)上更大的挑戰(zhàn)。

（二）通信監(jiān)理安全風(fēng)險(xiǎn)工作的概念

所謂風(fēng)險(xiǎn)是指在預(yù)期的結(jié)果之外可能會(huì)發(fā)生的損失的不確定性。通信監(jiān)理安全風(fēng)險(xiǎn)工作就是指在人們正常的使用通信設(shè)備時(shí)可能在預(yù)期的好的結(jié)果之外不良的后果或不利的影響，我們對這些不好的結(jié)果或不利的影響進(jìn)行監(jiān)督和管制，并做好預(yù)防的措施。簡單點(diǎn)來說就是監(jiān)理在通信中所能出現(xiàn)的任何的安全性的不利因素。而這些風(fēng)險(xiǎn)確實(shí)隨機(jī)的、客觀存在的，有可能因?yàn)槿藗兺ㄓ嵲O(shè)備的不良所造成安全性問題的出現(xiàn)，也有可能因?yàn)槲覀兓蛘咂髽I(yè)不正當(dāng)?shù)氖褂猛ㄐ殴ぞ呋蛲ㄐ旁O(shè)備所帶來的影響，這些風(fēng)險(xiǎn)的發(fā)生有可能是偶然的也有可能是必然的。這些風(fēng)險(xiǎn)的發(fā)生是一個(gè)隨機(jī)的事件，是眾多的風(fēng)險(xiǎn)因素所造成的。所以通信理安全風(fēng)險(xiǎn)工作不僅要防治那些惡意的破壞和盜取，還要盡量減少這些偶然因素對通信安全造成的影響。

（三）通信監(jiān)理工作的內(nèi)容

通信監(jiān)理工作包括對于通信安全的網(wǎng)絡(luò)監(jiān)控、對于通信的日常維護(hù)、對其進(jìn)行合理的優(yōu)化調(diào)整、對于通信障礙的合理處理和做出一些對于通訊安全障礙的應(yīng)急措施等各個(gè)環(huán)節(jié)的工作。通信監(jiān)理要求我們對這些可能出現(xiàn)或可能遇到的風(fēng)險(xiǎn)進(jìn)行評(píng)估分析和處理，還要求我們對那些潛在的風(fēng)險(xiǎn)進(jìn)行預(yù)測和識(shí)別，并對其加以處理。對那些客觀存在的風(fēng)險(xiǎn)，我們應(yīng)該做好應(yīng)對的措施，或者從客觀上徹底的解決這些存在的風(fēng)險(xiǎn)，這個(gè)工作似乎很困難，所以我們要從經(jīng)濟(jì)的角度出發(fā)，以最低的消耗，實(shí)現(xiàn)對風(fēng)險(xiǎn)最有力的、最有效的解決。對于一些惡意的破壞，我們要做好多方面的防御和追蹤，讓我們盡量的將這些風(fēng)險(xiǎn)可能造成的損失降到最低。我們的工作就是做到對于這些風(fēng)險(xiǎn)運(yùn)用最合理、最有效、最科學(xué)的辦法來實(shí)現(xiàn)安全風(fēng)險(xiǎn)最小化，合理的處置這些風(fēng)險(xiǎn)和這些風(fēng)險(xiǎn)帶來的不良的后果?；蛘哒f通信監(jiān)理安全風(fēng)險(xiǎn)工作的最主要目的就是實(shí)現(xiàn)對通信安全的最大的保障。

（三）通信監(jiān)理工作的意義

通信現(xiàn)在為大多數(shù)人和大多數(shù)企業(yè)所使用，而且還被用在很多重大事件的通信方面，所以保障通信的安全是最重要的，這也就體現(xiàn)了通訊監(jiān)理工作的重要性。通信監(jiān)理工作可以有效地保障通信內(nèi)容和信息的可靠性和安全性。防止一些破壞分子的惡意破壞，導(dǎo)致通信的癱瘓或紊亂，有效地保障人們和企業(yè)的通信的順暢，減少了很多不必要的麻煩。還可以通過通信監(jiān)理工作對一切有客觀原因引起的通訊安全與障礙的進(jìn)行處理應(yīng)對，有效地降低風(fēng)險(xiǎn)，提高通訊的質(zhì)量與安全。

二、安全風(fēng)險(xiǎn)管控

（一）風(fēng)險(xiǎn)因素分析識(shí)別方法

中國現(xiàn)如今有很多大型的通信企業(yè)，這些企業(yè)就要對風(fēng)險(xiǎn)做好提前的預(yù)防和解決的措施。首先我們要對這些依然存在的或潛在的風(fēng)險(xiǎn)進(jìn)行識(shí)別。常采用調(diào)查法、對未來信息的預(yù)測法和根據(jù)時(shí)態(tài)發(fā)展的復(fù)雜性對其進(jìn)行有效地辨別。并對這些風(fēng)險(xiǎn)進(jìn)行分析，常采用結(jié)構(gòu)分析的方法進(jìn)行。由總體到細(xì)節(jié)，層層瓦解分析，并得出可能造成的威脅和潛在的后果，并對這些威脅和后果做出有效地防范措施和合理的應(yīng)對方法。

（二）防范安全風(fēng)險(xiǎn)的措施

有效的防范這些安全風(fēng)險(xiǎn)可以減少監(jiān)管企業(yè)的很多不必要的麻煩，并且可以有效的保障一些大型企業(yè)的商業(yè)機(jī)密和個(gè)人的通信質(zhì)量和安全。所以我們要做一些有效地措施對其進(jìn)行防范。首先，我們要避免一些內(nèi)部通訊人員的不良的操作。為了避免內(nèi)部人員帶來的安全風(fēng)險(xiǎn)，我們應(yīng)該定期的對內(nèi)部人員的操作進(jìn)行審核和監(jiān)督，并對內(nèi)部人員惡意破壞通信安全進(jìn)行處罰，如屢教不改也可加大對其內(nèi)部人員破壞的處罰力度并借助政府的力量對其進(jìn)行處罰。其次，我們要盡量的減少由外部因素帶來的安全風(fēng)險(xiǎn)的影響，在通訊設(shè)備上我們盡盡我們的努力做到最好，消除由外部通訊設(shè)備的不良而造成的通訊安全風(fēng)險(xiǎn)的影響。最后，對于通訊企業(yè)和通訊監(jiān)理企業(yè)，應(yīng)該做好自己的本分，做好風(fēng)險(xiǎn)的識(shí)別、分析，并對這些風(fēng)險(xiǎn)做好防范，提前做出應(yīng)對措施。保障每個(gè)人的通訊安全。

在通訊中，風(fēng)險(xiǎn)往往被人們認(rèn)為是不確定性的，主要包括資源的訪問和控制、鑒別、完整性、機(jī)密性和有效性等。

（1）訪問的控制：只能允許已授權(quán)的設(shè)備和個(gè)人使用網(wǎng)絡(luò)資源

（2）鑒權(quán)認(rèn)證：可以確認(rèn)要參與到的身份（如設(shè)備，個(gè)人等）。AAA認(rèn)證技術(shù)可用來進(jìn)行鑒權(quán)認(rèn)證

（3）完整性：信息在傳遞過程中不可被未經(jīng)授予權(quán)的刪除、修改、復(fù)制或添加

（4）有效性：在受到意外影響時(shí)，不會(huì)拒絕授權(quán)用戶的行為

（三）通信監(jiān)理工作的意義

通信現(xiàn)在為大多數(shù)人和大多數(shù)企業(yè)所使用，而且還被用在很多重大事件的通信方面，所以保障通信的安全是最重要的，這也就體現(xiàn)了通訊監(jiān)理工作的重要性。通信監(jiān)理工作可以有效地保障通信內(nèi)容和信息的可靠性和安全性。防止一些破壞分子的惡意破壞，導(dǎo)致通信的癱瘓或紊亂，有效地保障人們和企業(yè)的通信的順暢，減少了很多不必要的麻煩。還可以通過通信監(jiān)理工作對一切有客觀原因引起的通訊安全與障礙的進(jìn)行處理應(yīng)對，有效地降低風(fēng)險(xiǎn)，提高通訊的質(zhì)量與安全。

三、 小結(jié)

在這個(gè)發(fā)展迅猛的社會(huì)里，通訊已經(jīng)成為我們不可缺少的成分。而對于通訊的質(zhì)量和安全是我們最為看重的，通訊安全的保障同時(shí)也保障了我們的私有生活的安全和企業(yè)機(jī)密的安全性。本文主要就通訊監(jiān)理風(fēng)險(xiǎn)管控進(jìn)行分析和探究，意在保障通訊的安全，將通訊安全風(fēng)險(xiǎn)帶來的損失降到最低。

參考文獻(xiàn)

[1] 劉鐵忠；張振華；陳妍；李志祥；；國防科研人員保密素質(zhì)影響因素SEM建模研究[J]；北京理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）；2010年04期

[2] 李晗；魏海燕；潘煒；；校園網(wǎng)絡(luò)中信息安全及保密問題淺析[J]；信息安全與通信保密；2011年03期

[3] 李洪敏；劉鴻強(qiáng)；陳志；盧敏；凌榮輝；；新時(shí)期科研機(jī)構(gòu)保密工作的難點(diǎn)及對策[J]；信息安全與通信保密；2008年09期

[4] 國家保密局副局長叢兵指出：要加強(qiáng)信息安全保密管理工作[J]；信息安全與通信保密；2004年11期

篇7

一、檔案數(shù)字化管理是時(shí)展的最佳選擇

面對檔案數(shù)字化存在的問題有人可能會(huì)產(chǎn)生疑問，既然有可能不安全，為何還要實(shí)現(xiàn)檔案管理的數(shù)字化呢？這就不得不提出檔案管理數(shù)字化帶給人們的便捷了。對比以前的檔案管理方式，不僅需要占用的管理人員多，而且管理效率低，出錯(cuò)率高，管理人員勞動(dòng)負(fù)擔(dān)重。但是當(dāng)計(jì)算機(jī)和互聯(lián)網(wǎng)的發(fā)展應(yīng)用到生產(chǎn)、生活的各個(gè)方面時(shí)，我們不禁想到了將檔案管理工作也交給計(jì)算機(jī)和網(wǎng)絡(luò)。這樣不但便于檔案的保存和查詢，而且提高了管理的效率，降低了檔案管理的出錯(cuò)率，還讓信息的搜集變得更加容易，更加快速，可以說是構(gòu)建了信息搜索的“高速公路”。這么多的優(yōu)點(diǎn)，使我們不得不選擇將檔案管理數(shù)字化，替代傳統(tǒng)的人工管理的舊方法。

二、檔案管理數(shù)字化中的信息安全風(fēng)險(xiǎn)

正如上面所說的，我們將檔案進(jìn)行數(shù)字化管理就必須要利用計(jì)算機(jī)和網(wǎng)絡(luò)，而網(wǎng)絡(luò)是存在風(fēng)險(xiǎn)的，進(jìn)而就是說，我們計(jì)算機(jī)中的各項(xiàng)檔案信息也是存在風(fēng)險(xiǎn)的。這些風(fēng)險(xiǎn)可能是由于網(wǎng)絡(luò)中的一些不法分子利用我們的檔案信息去從事詐騙或者其他犯罪事宜。尤其是一些計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)水平超高的黑客，憑借自己的技術(shù)將檔案中的信息弄到手，或者導(dǎo)致網(wǎng)絡(luò)癱瘓影響正常工作的進(jìn)行。比如說可能會(huì)因?yàn)楹诳偷娜肭謱?dǎo)致檔案泄密，也可能因網(wǎng)絡(luò)癱瘓而影響正常工作的進(jìn)行等。

三、檔案管理數(shù)字化中的信息安全風(fēng)險(xiǎn)的控制

對于在檔案管理過程中出現(xiàn)的信息安全風(fēng)險(xiǎn)，我們必須要進(jìn)行控制并提出對應(yīng)的解決對策，這樣才能保證檔案的安全和我們的工作可以正常地進(jìn)行。我們可以從以下幾個(gè)方面來應(yīng)對。

（一）從檔案信息的錄入、接收者開始防范

面對著檔案信息可能出問題的環(huán)節(jié)，我們就必須從源頭開始控制并預(yù)防。對于檔案信息的錄入者和接收者要進(jìn)行規(guī)范，首先避免檔案信息會(huì)從他們這里漏出。

1.規(guī)范檔案信息錄入者的行為。我們要制定好明確地規(guī)范檔案管理者和檔案信息錄入者的行為指南，讓他們了解自己經(jīng)手的信息是否可以在互聯(lián)網(wǎng)上公開。如果能的話，應(yīng)該遵循什么原則，也就是要規(guī)范好檔案的范圍和界限以及保密級(jí)別。在規(guī)定范圍內(nèi)的檔案信息可以在互聯(lián)網(wǎng)上公開，進(jìn)行調(diào)閱。但要注意，檔案的保密程度會(huì)隨著時(shí)間的延長而出現(xiàn)變化，所以，我們要根據(jù)檔案密級(jí)的變化而調(diào)整檔案的保密還是開放，從而使檔案能夠更好的讓人們利用。而有一部分檔案的級(jí)別是不能公開的，比如涉及個(gè)人隱私的、知識(shí)版權(quán)的都是需要永久保密的。這部分檔案絕對不能在網(wǎng)絡(luò)上，所以檔案管理人員在進(jìn)行具體操作的時(shí)候，必須既遵守國家的法律規(guī)定，又要遵循制定的檔案規(guī)律。這樣才能避免檔案對象的合法權(quán)益受到損害。

2.規(guī)范檔案接收者的行為。檔案接收者是那些對在網(wǎng)上已經(jīng)的檔案信息下載或利用的個(gè)人或者組織。這些人的行為也必須加以規(guī)范，約束他們尊重別人的知識(shí)和版權(quán)，不非法占有和偽造，不對檔案信息進(jìn)行非法修改，自覺遵守約束行為的這些規(guī)范。

（二）采取技術(shù)約束

除了依靠接收人的自覺遵守規(guī)范以外，還要加強(qiáng)技術(shù)方面的強(qiáng)制控制。比如，可以給檔案加密碼，有以下幾種方法：1.數(shù)字簽名法。讓使用人首先在互聯(lián)網(wǎng)上進(jìn)行簽名，即身份確定，正好證明使用人的信息和身份的真實(shí)性，排除入侵者的可能性。2.加防火墻。使外部網(wǎng)絡(luò)無法輕易攻擊檔案信息所在的局域網(wǎng)，從而使內(nèi)部信息不會(huì)被竊取或受到破壞。3.給檔案信息加上密鑰。將檔案信息設(shè)置成能看到一部分，即一部分明文，剩余部分需要密碼才能繼續(xù)瀏覽。

（三）必要的政策控制和授權(quán)控制不可缺少

篇8

當(dāng)前,互聯(lián)網(wǎng)和電子信息技術(shù)的快速發(fā)展,為人們的生活、工作和學(xué)習(xí)提供了極大的便利,為推動(dòng)國民經(jīng)濟(jì)發(fā)展做出了突出的貢獻(xiàn)。但與此同時(shí),信息安全逐漸成為制約電信運(yùn)營企業(yè)發(fā)展的一個(gè)瓶頸,各種信息安全風(fēng)險(xiǎn)和隱患隨著互聯(lián)網(wǎng)的普及和信息技術(shù)的發(fā)展越來越值得關(guān)注,怎樣保障信息安全成為電信運(yùn)營企業(yè)面臨的重要任務(wù)。本文結(jié)合電信運(yùn)營企業(yè)的實(shí)際情況,對電信企業(yè)信息安全項(xiàng)目的風(fēng)險(xiǎn)問題進(jìn)行了分析,提出了加強(qiáng)信息安全項(xiàng)目風(fēng)險(xiǎn)管理的要求和風(fēng)險(xiǎn)控制方法,闡述了電信運(yùn)營企業(yè)信息安全項(xiàng)目風(fēng)險(xiǎn)管理策略,以供參考。

關(guān)鍵詞:

電信運(yùn)營企業(yè);信息安全;項(xiàng)目風(fēng)險(xiǎn)管理

近年來,我國電信網(wǎng)絡(luò)系統(tǒng)越來越成熟,電信用戶數(shù)量大幅上漲,而電信運(yùn)營企業(yè)的信息安全系統(tǒng)建設(shè)相對比較緩慢,實(shí)際運(yùn)行經(jīng)驗(yàn)和信息安全系統(tǒng)平臺(tái)管理都存在很多不足,這也使得各種信息安全事故頻發(fā),給國家、社會(huì)和人們造成巨大損失。為了解決這個(gè)困境,電信運(yùn)營企業(yè)必須積極構(gòu)建完善的信息安全系統(tǒng),投入更多精力和成本,加強(qiáng)信息安全項(xiàng)目風(fēng)險(xiǎn)管理,配備先進(jìn)的網(wǎng)絡(luò)安全監(jiān)控技術(shù),實(shí)時(shí)掌握電信網(wǎng)絡(luò)安全狀態(tài),全面提高電信網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性。

一、電信運(yùn)營企業(yè)信息安全項(xiàng)目存在的風(fēng)險(xiǎn)問題

(一)需求不確定電信運(yùn)營企業(yè)的信息安全項(xiàng)目涉及相關(guān)硬件平臺(tái)、軟件系統(tǒng)以及信息安全保障內(nèi)容,多種內(nèi)容和因素的影響使得信息安全項(xiàng)目需求具有不確定性。一方面,用戶需求的不確定性,不同用戶對于同一個(gè)信息安全項(xiàng)目可以有著不同的要求和理解,而同一個(gè)用戶在不同地點(diǎn)、不同時(shí)間也會(huì)有不同要求;另一方面,工作量的不確定性,信息安全系統(tǒng)建設(shè)的工作量無法通過有效方法進(jìn)行估算,很多信息安全項(xiàng)目都具有創(chuàng)造性,沒有先例可以參考借鑒,實(shí)際建設(shè)和估算計(jì)劃往往較大差異,項(xiàng)目計(jì)劃的不準(zhǔn)確很容易造成預(yù)算超標(biāo)、時(shí)間拖延,甚至整個(gè)項(xiàng)目的失敗。

(二)技術(shù)風(fēng)險(xiǎn)信息安全項(xiàng)目在某些方面都具有抽象性,這樣使得各個(gè)階段的項(xiàng)目設(shè)計(jì)沒有可以遵循和參照的規(guī)范,信息安全項(xiàng)目設(shè)計(jì)和傳統(tǒng)項(xiàng)目相比存在較大差異,設(shè)計(jì)和施工無法分離,前期的需求說明和要求不能確定對于后期設(shè)計(jì)是否充分和完整,存在很多技術(shù)方面的風(fēng)險(xiǎn)。由于組織設(shè)計(jì)存在問題或者缺陷,信息安全項(xiàng)目功能無法達(dá)到用戶要求,例如,信息安全項(xiàng)目運(yùn)轉(zhuǎn)效率較低,無法保障信息安全質(zhì)量;相關(guān)信息安全資料不方面,使用和理解不方便;信息安全項(xiàng)目響應(yīng)速度過慢,無法滿足用戶要求。同時(shí),數(shù)據(jù)庫設(shè)計(jì)不合理也是信息安全項(xiàng)目面臨的常見技術(shù)問題,代碼設(shè)計(jì)不全面、數(shù)據(jù)完整性控制不足、數(shù)據(jù)冗余等,都導(dǎo)致信息安全項(xiàng)目存在潛在風(fēng)險(xiǎn)。

(三)進(jìn)度風(fēng)險(xiǎn)對于信息安全項(xiàng)目,嚴(yán)格控制項(xiàng)目進(jìn)度、優(yōu)化項(xiàng)目進(jìn)度管理,確保整個(gè)信息安全項(xiàng)目在規(guī)定時(shí)間內(nèi)完成是電信運(yùn)營企業(yè)信息安全項(xiàng)目風(fēng)險(xiǎn)管理的重要內(nèi)容,但是在實(shí)際應(yīng)用中,一方面前期的規(guī)劃設(shè)計(jì)方案不合理,后期開發(fā)建設(shè)過程中出現(xiàn)各種問題;另一方面,信息安全項(xiàng)目實(shí)施過程中出現(xiàn)問題或者遇到意外,又沒有有效的補(bǔ)救辦法,造成工期延誤。一旦信息安全項(xiàng)目被延誤,僅通過增加工作人員無法有效地進(jìn)行彌補(bǔ),開發(fā)設(shè)計(jì)人員之間需要溝通交流和默契配合,而隨著工作人員的增多,會(huì)加劇信息安全項(xiàng)目設(shè)計(jì)開發(fā)的復(fù)雜性,甚至導(dǎo)致更多的返工和混亂。

(四)成本風(fēng)險(xiǎn)信息安全項(xiàng)目的實(shí)施成本主要包括維護(hù)費(fèi)用、軟件培訓(xùn)費(fèi)用、使用許可費(fèi)用、硬件費(fèi)用等,在具體的應(yīng)用過程中,結(jié)合時(shí)間安排和項(xiàng)目進(jìn)度,怎樣合理分配應(yīng)用費(fèi)用,有效控制應(yīng)用成本是電信運(yùn)營企業(yè)需要面臨的重要問題。若信息安全項(xiàng)目無法按照相關(guān)進(jìn)度計(jì)劃有效開展,會(huì)導(dǎo)致實(shí)施成本增加和時(shí)間延誤,即使信息安全項(xiàng)目被使用,也達(dá)不到預(yù)算和時(shí)間要求。

(五)其他風(fēng)險(xiǎn)信息安全項(xiàng)目風(fēng)險(xiǎn)管理和安全管理人員、工作目標(biāo)、組織結(jié)構(gòu)、信息網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)架構(gòu)等有著密切的關(guān)系,并且信息安全項(xiàng)目開發(fā)設(shè)計(jì)是一個(gè)勞動(dòng)密集型任務(wù),每個(gè)階段都需要有人的參與,但是人的行為是很難預(yù)測和控制的,因此人的因素使信息安全項(xiàng)目存在很大不確定性。

二、電信運(yùn)營企業(yè)信息安全項(xiàng)目風(fēng)險(xiǎn)管理策略

電信運(yùn)營企業(yè)的信息安全項(xiàng)目具有復(fù)雜性、創(chuàng)造性、一次性等特點(diǎn),建設(shè)過程中需要耗費(fèi)大量的財(cái)力、物力和人力,而信息安全項(xiàng)目往往是風(fēng)險(xiǎn)和收益共存,項(xiàng)目規(guī)模越大,利潤越高,但是風(fēng)險(xiǎn)也越高,信息安全項(xiàng)目必須進(jìn)行有效地控制和管理,但是這些項(xiàng)目往往受到多種因素的影響,管理控制不到位,就會(huì)造成項(xiàng)目無法達(dá)到預(yù)期目標(biāo)、工期超出計(jì)劃、投資超出預(yù)算等。在實(shí)際應(yīng)用中,電信運(yùn)營企業(yè)的信息安全項(xiàng)目風(fēng)險(xiǎn)管理必須做好以下幾點(diǎn):

(一)制定風(fēng)險(xiǎn)應(yīng)對計(jì)劃為了避免發(fā)生各種風(fēng)險(xiǎn)事件,應(yīng)制定科學(xué)合理的風(fēng)險(xiǎn)應(yīng)對計(jì)劃,結(jié)合電信運(yùn)營企業(yè)的實(shí)際情況和自身特點(diǎn),基于風(fēng)險(xiǎn)定量分析和定性識(shí)別,采取預(yù)防式策略,減輕或者避免風(fēng)險(xiǎn)事件,做好充分的準(zhǔn)備工作,最大程度地降低或者消除信息安全項(xiàng)目風(fēng)險(xiǎn)事件發(fā)生概率。電信運(yùn)營企業(yè)在制定信息安全項(xiàng)目的風(fēng)險(xiǎn)應(yīng)對計(jì)劃時(shí),應(yīng)包括應(yīng)急方案、資源需求、風(fēng)險(xiǎn)應(yīng)對行動(dòng)計(jì)劃、風(fēng)險(xiǎn)量化評(píng)估、風(fēng)險(xiǎn)定性識(shí)別等內(nèi)容。結(jié)合項(xiàng)目應(yīng)用條件、環(huán)境和項(xiàng)目自身的變化,根據(jù)專家經(jīng)驗(yàn)、歷史經(jīng)驗(yàn)、風(fēng)險(xiǎn)影響等判斷信息安全項(xiàng)目的風(fēng)險(xiǎn)征兆,有針對性地制定相應(yīng)風(fēng)險(xiǎn)應(yīng)對計(jì)劃。同時(shí),信息安全項(xiàng)目的應(yīng)急方案應(yīng)堅(jiān)持按需定制,對項(xiàng)目中的緊急或者特殊事件采取有效的應(yīng)急控制措施,確保信息安全項(xiàng)目順利實(shí)施。

(二)風(fēng)險(xiǎn)主動(dòng)控制基于信息安全項(xiàng)目的風(fēng)險(xiǎn)分析,電信運(yùn)營企業(yè)應(yīng)做好風(fēng)險(xiǎn)主動(dòng)控制,全面控制和監(jiān)督信息安全項(xiàng)目全過程。首先,結(jié)合已經(jīng)識(shí)別的信息安全項(xiàng)目風(fēng)險(xiǎn),整理和獲取當(dāng)前風(fēng)險(xiǎn)狀態(tài),結(jié)合已經(jīng)發(fā)生的條件,判斷信息安全項(xiàng)目風(fēng)險(xiǎn)是否已經(jīng)發(fā)展為問題。其次,結(jié)合風(fēng)險(xiǎn)分析和跟蹤結(jié)果,有效、及時(shí)地控制信息安全項(xiàng)目實(shí)施,結(jié)合風(fēng)險(xiǎn)應(yīng)對計(jì)劃,確定采用怎樣的行動(dòng)。電信運(yùn)營企業(yè)對信息安全項(xiàng)目進(jìn)行風(fēng)險(xiǎn)主動(dòng)控制時(shí),主要包括以下三個(gè)步驟:第一步,執(zhí)行風(fēng)險(xiǎn)預(yù)防性措施,結(jié)合信息安全項(xiàng)目制定的風(fēng)險(xiǎn)應(yīng)對計(jì)劃,做好風(fēng)險(xiǎn)的事前防范和控制,避免發(fā)生安全事故影響信息安全項(xiàng)目的進(jìn)度、質(zhì)量和成本,實(shí)施第一步時(shí),結(jié)合信息安全項(xiàng)目應(yīng)對計(jì)劃中的各種防范活動(dòng),做好事前管理和控制,對相應(yīng)執(zhí)行情況進(jìn)行存檔,便于風(fēng)險(xiǎn)發(fā)展評(píng)估和執(zhí)行效果跟蹤。第二步,確定風(fēng)險(xiǎn),結(jié)合信息安全項(xiàng)目的風(fēng)險(xiǎn)定量分析結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估排序,對不同階段內(nèi)已經(jīng)識(shí)別的項(xiàng)目風(fēng)險(xiǎn),重點(diǎn)關(guān)注高影響風(fēng)險(xiǎn),廣泛收集風(fēng)險(xiǎn)事件相關(guān)信息,跟蹤信息風(fēng)險(xiǎn)。第三步,判斷新情況,結(jié)合信息安全項(xiàng)目具體情況,根據(jù)風(fēng)險(xiǎn)控制和跟蹤結(jié)果,判斷是否存在一些沒有被識(shí)別的風(fēng)險(xiǎn)或者風(fēng)險(xiǎn)是否發(fā)生一些新情況,結(jié)合具體情況,重新調(diào)整信息安全項(xiàng)目管理計(jì)劃。

(三)健全信息安全項(xiàng)目風(fēng)險(xiǎn)管理制度電信運(yùn)營企業(yè)應(yīng)高度重視信息安全項(xiàng)目的風(fēng)險(xiǎn)管理,嚴(yán)格落實(shí)保密制度,加強(qiáng)保密監(jiān)督,平衡保密和電信網(wǎng)絡(luò)系統(tǒng)信息資源開放共享的關(guān)系,強(qiáng)化電信保密管理,確保電信運(yùn)營企業(yè)的信息安全項(xiàng)目順利實(shí)施。首先,對于電信運(yùn)營企業(yè)的信息安全項(xiàng)目進(jìn)行風(fēng)險(xiǎn)劃分,嚴(yán)格控制秘密信息;其次,落實(shí)保密審批和信息公開制度,構(gòu)建信息安全項(xiàng)目風(fēng)險(xiǎn)管理責(zé)任制;再次,強(qiáng)化保密監(jiān)督,信息安全項(xiàng)目風(fēng)險(xiǎn)控制和信息保護(hù)應(yīng)由專門的工作人員或者機(jī)構(gòu)負(fù)責(zé),檢查和監(jiān)督信息安全項(xiàng)目風(fēng)險(xiǎn)管理情況。

(四)加強(qiáng)風(fēng)險(xiǎn)管理控制首先,電信運(yùn)營企業(yè)應(yīng)認(rèn)真分析信息安全項(xiàng)目的用戶要求和應(yīng)用特點(diǎn),安排專業(yè)技術(shù)功底好、實(shí)踐經(jīng)驗(yàn)豐富的工作人員進(jìn)行開發(fā)設(shè)計(jì),規(guī)劃設(shè)計(jì)階段應(yīng)全面考慮到信息安全項(xiàng)目的各種影響因素,制定科學(xué)合理、切實(shí)可行的風(fēng)險(xiǎn)管理計(jì)劃。其次,加強(qiáng)信息安全項(xiàng)目進(jìn)度風(fēng)險(xiǎn)控制,一個(gè)項(xiàng)目的順利實(shí)施需要很多工作人員的共同努力,通過加強(qiáng)風(fēng)險(xiǎn)跟蹤、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)管理等措施,加快信息安全項(xiàng)目開發(fā)速度,保障電信運(yùn)營企業(yè)的經(jīng)濟(jì)效益。最后,信息安全項(xiàng)目實(shí)施過程中一旦遇到問題或者發(fā)生安全事件,會(huì)給電信運(yùn)營企業(yè)造成很大的經(jīng)濟(jì)損失,在前期規(guī)劃設(shè)計(jì)階段,應(yīng)做好成本投資計(jì)劃,充分考慮到信息安全項(xiàng)目的經(jīng)濟(jì)利益和風(fēng)險(xiǎn),在整個(gè)項(xiàng)目實(shí)施過程中加強(qiáng)成本風(fēng)險(xiǎn)控制,強(qiáng)化工作人員的責(zé)任意識(shí),最大程度地確保信息安全項(xiàng)目的順利進(jìn)行。

三、結(jié)束語

篇9

[關(guān)鍵詞]巴塞爾新資本協(xié)議；操作風(fēng)險(xiǎn)管 ；IS027001；信息資產(chǎn)

[中圖分類號(hào)]F831　[文獻(xiàn)標(biāo)識(shí)碼]A　[文章編號(hào)]1006-5024(2009)04-0167-04

[作者簡介]董紅，北京航空航天大學(xué)經(jīng)濟(jì)管理學(xué)院博士生，研究方向?yàn)轱L(fēng)險(xiǎn)管理與決策；(北京100083)

邱菀華，中國光大銀行總行風(fēng)險(xiǎn)管理部教授，博士生導(dǎo)師，研究方向?yàn)闆Q策、風(fēng)險(xiǎn)與項(xiàng)目管理；

林直友，中國光大銀行總行風(fēng)險(xiǎn)管理部業(yè)務(wù)經(jīng)理、碩士，研究方向?yàn)榻鹑陲L(fēng)險(xiǎn)管理。(北京100045)

金融業(yè)的全面開放和金融服務(wù)的管制放松，以及高端化的信息技術(shù)，使銀行的業(yè)務(wù)、產(chǎn)品日益多元化，這直接導(dǎo)致其面臨的風(fēng)險(xiǎn)更為復(fù)雜和多樣。國內(nèi)外銀行業(yè)重大違規(guī)事件及美國金融海嘯影響的迅速擴(kuò)大，迫切需要國內(nèi)外金融監(jiān)管部門和從業(yè)機(jī)構(gòu)反思對操作風(fēng)險(xiǎn)的管理和防范，加強(qiáng)合規(guī)管理。2004年的巴塞爾新資本協(xié)議，將操作風(fēng)險(xiǎn)正式納入資本監(jiān)管范圍，并進(jìn)一步提出了明確的監(jiān)管資本要求。2007年我國銀監(jiān)會(huì)再次對其進(jìn)行解讀和說明。然而，由于操作風(fēng)險(xiǎn)情況復(fù)雜，與銀行自身的規(guī)模、經(jīng)驗(yàn)、業(yè)務(wù)特征等密切相關(guān)，具有和動(dòng)態(tài)變化等特點(diǎn)。因此，探索適合銀行不同類別操作風(fēng)險(xiǎn)特點(diǎn)的管理和計(jì)量方法，是一項(xiàng)十分重要而緊迫的課題。

一、操作風(fēng)險(xiǎn)管理的困惑與問題

到目前為止，有關(guān)操作風(fēng)險(xiǎn)的定義、管理及計(jì)量問題一直困擾著各家商業(yè)銀行和監(jiān)管機(jī)構(gòu)，國內(nèi)外銀行也未對它形成統(tǒng)一的認(rèn)識(shí)。本文采用至今已被大多數(shù)銀行所接受的巴塞爾銀行監(jiān)管委員會(huì)有關(guān)操作風(fēng)險(xiǎn)的定義，即由于不完善或有問題的內(nèi)部程序、人員和系統(tǒng)或因外部事件導(dǎo)致?lián)p失的風(fēng)險(xiǎn)。新資本協(xié)議從風(fēng)險(xiǎn)監(jiān)管的角度將操作風(fēng)險(xiǎn)事件劃分為七種類型，包括內(nèi)部欺詐，外部欺詐，雇員活動(dòng)和工作場所的安全問題，客戶、產(chǎn)品和業(yè)務(wù)活動(dòng)的安全問題，銀行維系經(jīng)營的實(shí)物資產(chǎn)損壞，業(yè)務(wù)中斷和系統(tǒng)故障，執(zhí)行、交付和過程管理等。就其風(fēng)險(xiǎn)成因可分為人員、流程、系統(tǒng)和外部事件四大類。此外，按產(chǎn)品線將商業(yè)銀行的業(yè)務(wù)劃分為公司金融、交易和銷售、零售銀行業(yè)務(wù)、商業(yè)銀行業(yè)務(wù)、支付和結(jié)算、業(yè)務(wù)、資產(chǎn)管理和零售經(jīng)紀(jì)類，并對每一類產(chǎn)品分別規(guī)定不同的操作風(fēng)險(xiǎn)資本要求系數(shù)，籍以用標(biāo)準(zhǔn)法計(jì)算操作風(fēng)險(xiǎn)總體資本要求。

巴塞爾委員會(huì)給出了管理操作風(fēng)險(xiǎn)的十大原則，但這些原則都是從宏觀角度要求商業(yè)銀行應(yīng)該建立什么

樣的組織、制度和流程，并未給出管理操作風(fēng)險(xiǎn)的詳細(xì)方法和手段。實(shí)際工作中，我們發(fā)現(xiàn)信息資產(chǎn)是商業(yè)銀行極其重要的一類資產(chǎn)，在信息時(shí)代，一個(gè)機(jī)構(gòu)要利用其擁有的資產(chǎn)，特別是信息資產(chǎn)來完成其使命，因此，對信息資產(chǎn)的管理關(guān)系到該機(jī)構(gòu)能否完成其使命的大事。然而，由于信息資產(chǎn)對IT系統(tǒng)的依賴性很強(qiáng)，絕大部分具有無形化、易變化、易傳播的特點(diǎn)，且風(fēng)險(xiǎn)存在于其產(chǎn)生、傳遞、使用和銷毀等各個(gè)環(huán)節(jié)，與一般銀行產(chǎn)品相比，具有很大的獨(dú)特性。所以，我們建議將此類資產(chǎn)作為商業(yè)銀行一類獨(dú)特的產(chǎn)品線來進(jìn)行管理。在實(shí)踐中，我們發(fā)現(xiàn)ISO27001為有效管理組織的信息資產(chǎn)、確保信息安全提出了一整套要求和最佳實(shí)踐指南。它從11個(gè)方面對信息資產(chǎn)的安全管理提出要求，其管理思想完全符合操作風(fēng)險(xiǎn)的管理原則，并且是在其原則基礎(chǔ)上的細(xì)化，如高層管理的支持和承諾、資源管理、風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核、信息的溝通、有效性測量和改進(jìn)，等等?？梢姡琁SO27001不僅適用于多數(shù)IT軟硬件開發(fā)等企業(yè)，同時(shí)也適用于銀行、保險(xiǎn)等信息化程度較高的金融行業(yè)。

因此，我們希望能夠使用ISO27001的管理標(biāo)準(zhǔn)來細(xì)化商業(yè)銀行信息資產(chǎn)類產(chǎn)品的風(fēng)險(xiǎn)管理，進(jìn)而按照操作風(fēng)險(xiǎn)管理的總體原則與其他類產(chǎn)品進(jìn)行融合，最終實(shí)現(xiàn)在總體框架要求下對信息資產(chǎn)類操作風(fēng)險(xiǎn)的細(xì)化管理。

二、ISO27001簡介

ISO／IEC27001源自英國標(biāo)準(zhǔn)協(xié)會(huì)制定的BS7799，包括兩部分內(nèi)容：BS7799―1信息安全管理實(shí)施細(xì)則和BS7799-2信息安全管理體系規(guī)范。其中，BS7799-1被ISO組織吸納為ISO／IEC17799，BS7799-2升版并轉(zhuǎn)換為國際標(biāo)準(zhǔn)ISO／IEC2700I，它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規(guī)范，其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出組織應(yīng)遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。

信息是一種資產(chǎn)，就像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織是不可或缺的，需要妥善保護(hù)。根據(jù)ISO／IEC27001的定義，資產(chǎn)是對組織有價(jià)值的任何東西。它能以多種形式存在，如有形資產(chǎn)(硬件、軟件、數(shù)據(jù)文件、人員等)、無形資產(chǎn)(聲譽(yù)、品牌、客戶關(guān)系等)、輔助資產(chǎn)(信息資產(chǎn)的制造、存儲(chǔ)、傳輸、處理、銷毀等)。信息安全就是指保持這些資產(chǎn)的機(jī)密性、完整性和可用性。另外，也可包括諸如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。

1　機(jī)密性――信息具有不能被未授權(quán)的個(gè)人、實(shí)體或者過程利用或知悉的特性。

2　完整性――保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。

3　可用性――根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性。

企業(yè)的業(yè)務(wù)戰(zhàn)略以企業(yè)的資產(chǎn)來得以體現(xiàn)，但資產(chǎn)自身不可避免地帶有漏洞，我們稱之為資產(chǎn)的脆弱性。外界的威脅則利用資產(chǎn)的脆弱性，給企業(yè)帶來風(fēng)險(xiǎn)。信息安全就是要保護(hù)信息資產(chǎn)免受威脅的影響，從而確保業(yè)務(wù)的連續(xù)性，縮減業(yè)務(wù)風(fēng)險(xiǎn)，最大化投資收益并充分把握業(yè)務(wù)機(jī)會(huì)。構(gòu)建信息安全管理體系，就是通過對組織信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，確定重要信息資產(chǎn)清單以及風(fēng)險(xiǎn)等級(jí)，從而采取相應(yīng)的控制措施來實(shí)現(xiàn)信息資產(chǎn)的安全性。信息安全管理的核心是風(fēng)險(xiǎn)管理，其對象是組織的信息資產(chǎn)。我們將其作為操作風(fēng)險(xiǎn)管理產(chǎn)品線之外的第九類特殊產(chǎn)品線，評(píng)估其價(jià)值和風(fēng)險(xiǎn)，確定相應(yīng)的安全需求，并制定安全措施來降低和控制資產(chǎn)的風(fēng)險(xiǎn)。

可見，信息安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響，包括由于IT流程缺陷、系統(tǒng)的業(yè)務(wù)需求／流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意／蓄意失誤、外部事件等因素直接導(dǎo)致業(yè)務(wù)操作風(fēng)險(xiǎn)并間接導(dǎo)致信用、市場、聲譽(yù)等風(fēng)險(xiǎn)。它不僅存在于應(yīng)用系統(tǒng)及IT基礎(chǔ)設(shè)施等信息資產(chǎn)中，而且存在于業(yè)務(wù)流程及管理流程中。ISMS是通過實(shí)施一整套適當(dāng)?shù)目?/p>

制措施來實(shí)現(xiàn)目標(biāo)的，包括策略、過程、程序、組織結(jié)構(gòu)和軟硬件功能，他們可以是行政、技術(shù)、管理、法律等方面的。IS017799包含了11個(gè)管理要項(xiàng)，既有偏重管理的信息安全方針、安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、事故管理、業(yè)務(wù)連續(xù)性管理、法律符合性等方面，也有偏重于技術(shù)的通信和操作管理、訪問控制、系統(tǒng)開發(fā)和維護(hù)等內(nèi)容，每一部分都針對不同的主體或范圍，在這11個(gè)管理要項(xiàng)中，它又細(xì)分為39個(gè)控制目標(biāo)和133個(gè)控制措施。可以說，ISO／IEC27001是目前國際上關(guān)于信息安全管理要求最全面、最完整的體系，可有效防范信息資產(chǎn)風(fēng)險(xiǎn)，從而進(jìn)一步鞏固操作風(fēng)險(xiǎn)的駕馭能力，保證組織核心業(yè)務(wù)的持續(xù)運(yùn)行。

三、基于風(fēng)險(xiǎn)的信息安全管理體系的構(gòu)建

信息安全管理體系是基于業(yè)務(wù)風(fēng)險(xiǎn)方法建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全，提出了基于戴明環(huán)的Plan-Do-Check-Act(PDCA)風(fēng)險(xiǎn)模型，強(qiáng)調(diào)全過程和動(dòng)態(tài)的控制，如圖所示。它的設(shè)計(jì)思路充分體現(xiàn)了“過程方法”的特點(diǎn)，以過程為控制對象，在業(yè)務(wù)和風(fēng)險(xiǎn)管理過程中控制風(fēng)險(xiǎn)，實(shí)現(xiàn)持續(xù)改進(jìn)，并達(dá)到監(jiān)管方要求實(shí)現(xiàn)的事前、事中、事后全程控制。

(一)策劃并建立信息安全管理體系

1　確定安全方針和范圍

信息安全管理體系可覆蓋組織的全部或部分，組織需根據(jù)業(yè)務(wù)特征、地理位置、資產(chǎn)和技術(shù)等明確界定體系的范圍，并使之文件化。另外，要制定ISMS方針和策略，它是指導(dǎo)如何對組織信息資產(chǎn)進(jìn)行管理的規(guī)則，是構(gòu)建信息安全管理體系的宗旨。它表明了管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。

2　資產(chǎn)的識(shí)別和評(píng)價(jià)

資產(chǎn)管理是實(shí)施有效ISMS的基礎(chǔ)，也是風(fēng)險(xiǎn)評(píng)估的核心內(nèi)容。資產(chǎn)管理的優(yōu)劣直接影響評(píng)估的效率和質(zhì)量以及保持循環(huán)評(píng)估的連續(xù)性，而且有助于預(yù)見這些數(shù)據(jù)在之后風(fēng)險(xiǎn)分析中的重要作用。

資產(chǎn)識(shí)別A：為保證資產(chǎn)識(shí)別的合理性，建議組織從業(yè)務(wù)流程角度(縱向比較)和信息活動(dòng)(橫向比較)兩個(gè)角度進(jìn)行。在清晰識(shí)別資產(chǎn)后，組織應(yīng)根據(jù)資產(chǎn)的重要性形成文件，建立資產(chǎn)清單，包含資產(chǎn)類型、格式、位置、責(zé)任人、備份信息和業(yè)務(wù)價(jià)值。

資產(chǎn)評(píng)價(jià)的目的是確保資產(chǎn)受到相應(yīng)等級(jí)的保護(hù)，以保障在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度。企業(yè)的所有資產(chǎn)都處在業(yè)務(wù)流程和相應(yīng)的支持過程中，資產(chǎn)的重要程度，應(yīng)根據(jù)其所處業(yè)務(wù)流程的位置，且與其它資產(chǎn)的比較中界定。通過分析資產(chǎn)的機(jī)密性、完整性、可用性及其它需求進(jìn)行評(píng)估。對資產(chǎn)賦值時(shí)，一方面要考慮資產(chǎn)購買成本，另一方面也要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性和可用性受到損害時(shí)，對業(yè)務(wù)運(yùn)營的負(fù)面影響程度。

3　風(fēng)險(xiǎn)評(píng)估

資產(chǎn)管理和風(fēng)險(xiǎn)評(píng)估是相輔相成，緊密相連的。在實(shí)際操作過程中，資產(chǎn)管理數(shù)據(jù)可為風(fēng)險(xiǎn)評(píng)估提供支持；而每次風(fēng)險(xiǎn)評(píng)估正是對資產(chǎn)管理數(shù)據(jù)進(jìn)行修正和維護(hù)的過程。因此，定義全面合理的信息安全風(fēng)險(xiǎn)評(píng)估方法及風(fēng)險(xiǎn)可接受準(zhǔn)則是十分關(guān)鍵的。評(píng)估方法要和組織既定的體系范圍、安全需求、法律法規(guī)相適應(yīng)。另外，組織應(yīng)建立風(fēng)險(xiǎn)評(píng)估文件，解釋和說明所選擇的風(fēng)險(xiǎn)評(píng)估方法，介紹所采用的技術(shù)和工具。

(1)威脅識(shí)別T：威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或事件。評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)統(tǒng)計(jì)數(shù)據(jù)判斷威脅發(fā)生的頻率或概率。

(2)脆弱性識(shí)別V：弱點(diǎn)是資產(chǎn)本身存在的，若被威脅利用將引起資產(chǎn)或目標(biāo)的損害。我們將針對每一項(xiàng)要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對其嚴(yán)重程度進(jìn)行評(píng)估，為其賦值。

(3)對已有安全控制措施進(jìn)行確認(rèn)。

(4)建立風(fēng)險(xiǎn)測量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則，結(jié)合資產(chǎn)本身的價(jià)值、威脅發(fā)生的概率、威脅利用弱點(diǎn)的影響程度和已有控制等來確定風(fēng)險(xiǎn)的大小與等級(jí)R。即R=f(A，v，T)＝f[Ia，L(Va，T)]，其中Ia表示資產(chǎn)的重要程度；Va表示某資產(chǎn)本身的脆弱性，L表示威脅利用脆弱性對資產(chǎn)造成安全事件的可能性。

(5)識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法，包括接受風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等。組織應(yīng)加以分析，區(qū)別對待所識(shí)別的信息安全風(fēng)險(xiǎn)。若風(fēng)險(xiǎn)滿足組織可接受的風(fēng)險(xiǎn)準(zhǔn)則，將接受風(fēng)險(xiǎn)。否則，考慮規(guī)避風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn)。若無法規(guī)避或轉(zhuǎn)移的風(fēng)險(xiǎn)，應(yīng)采取適當(dāng)?shù)目刂拼胧瑢⑺档偷娇山邮芩健?/p>

(6)選擇控制目標(biāo)和措施

選擇并建立文件化的控制目標(biāo)和措施，制定風(fēng)險(xiǎn)處置計(jì)劃。ISO27001系列強(qiáng)調(diào)在風(fēng)險(xiǎn)處理方式及控制措施的選擇上，組織應(yīng)考慮發(fā)展戰(zhàn)略、組織文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡，以滿足法律法規(guī)及相關(guān)方的要求。另外，實(shí)施控制措施后仍會(huì)有殘余風(fēng)險(xiǎn)存在，我們需要密切監(jiān)視這些風(fēng)險(xiǎn)，防止它誘發(fā)新的風(fēng)險(xiǎn)事件。

(7)獲得最高管理者的授權(quán)批準(zhǔn)

風(fēng)險(xiǎn)識(shí)別和評(píng)估對后續(xù)可行的風(fēng)險(xiǎn)監(jiān)測和控制至關(guān)重要。有效的風(fēng)險(xiǎn)識(shí)別要同時(shí)考慮內(nèi)部因素(如企業(yè)結(jié)構(gòu)、性質(zhì)、文化以及人員的素質(zhì)和流動(dòng)性等)和外部因素(如環(huán)境的變化和技術(shù)的發(fā)展)，他們可能對組織目標(biāo)的實(shí)現(xiàn)造成重大不利影響。在識(shí)別絕大多數(shù)潛在的不利風(fēng)險(xiǎn)的同時(shí)，組織還應(yīng)該評(píng)估自身對這些風(fēng)險(xiǎn)的承受能力。通過有效的風(fēng)險(xiǎn)評(píng)估，組織可以更好地掌握其風(fēng)險(xiǎn)狀況和最有效地使用風(fēng)險(xiǎn)管理資源。

(二)實(shí)施并運(yùn)行信息安全管理體系

闡明并實(shí)施風(fēng)險(xiǎn)處置計(jì)劃。在此過程中，組織應(yīng)指明和分配適當(dāng)?shù)墓芾泶胧①Y源(人員、時(shí)間和資金)、職責(zé)和優(yōu)先級(jí)。針對不同的管理層次、崗位和職責(zé)制訂不同的培訓(xùn)計(jì)劃，記錄并考核培訓(xùn)的效果。通過提高全員的信息安全意識(shí)，塑造企業(yè)的風(fēng)險(xiǎn)文化，保證意識(shí)和控制活動(dòng)的同步，確保體系的持續(xù)有效性和實(shí)時(shí)性。同時(shí)，組織應(yīng)搜集證據(jù)、記錄信息安全管理活動(dòng)，為將來的評(píng)審、檢查做準(zhǔn)備。

(三)監(jiān)視并評(píng)審信息安全管理體系

監(jiān)控、評(píng)審階段主要用來加強(qiáng)、修訂及改進(jìn)已識(shí)別的控制措施和解決方案。對不合理、不充分的控制措施應(yīng)及時(shí)采取糾正和預(yù)防。組織可通過多種方式檢查和監(jiān)視信息安全管理體系的運(yùn)行狀況，如收集安全審核的結(jié)果、事故、以及所有相關(guān)方的建議和反饋；定期評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)；通過內(nèi)部審核和管理評(píng)審檢查信息安全管理體系的有效性、符合性等。此外，組織應(yīng)做好記錄，并報(bào)告影響信息安全管理體系有效性或業(yè)績的所有活動(dòng)、事件。

(四)改進(jìn)信息安全管理體系

基于評(píng)審結(jié)果或其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)信息安全管理體系，開始新一輪的PDCA循環(huán)。改進(jìn)活動(dòng)和措施必須獲得所有相關(guān)方的認(rèn)可，并確保達(dá)到預(yù)期目的。

四、信息資產(chǎn)類操作風(fēng)險(xiǎn)管理的實(shí)施建議

ISO27001是文件化的體系，它把傳統(tǒng)的銀行信息安全與IT治理、風(fēng)險(xiǎn)審計(jì)和風(fēng)險(xiǎn)評(píng)估結(jié)合在一起，產(chǎn)生了一個(gè)新的管理維度和應(yīng)用維度。在國際標(biāo)準(zhǔn)化的大潮流下，將基于風(fēng)險(xiǎn)評(píng)估的ISO27001體系要求引入業(yè)務(wù)流程和風(fēng)險(xiǎn)體系，規(guī)范現(xiàn)有業(yè)務(wù)運(yùn)作，全面提升員工的風(fēng)險(xiǎn)意識(shí)和責(zé)任，從而有效地降低內(nèi)部欺詐等各類風(fēng)險(xiǎn)發(fā)生的幾率，做到從源頭防范風(fēng)險(xiǎn)，保護(hù)客戶信息。

篇10

近幾年來，在領(lǐng)導(dǎo)高度重視下，我們加大了信息科技建設(shè)的推進(jìn)力度，大大縮小了與同業(yè)科技差距：建成了現(xiàn)代化、高標(biāo)準(zhǔn)的信息系統(tǒng)數(shù)據(jù)中心，初步形成同城生產(chǎn)和災(zāi)備兩中心模式；全面開展網(wǎng)絡(luò)改造，將廣域網(wǎng)三級(jí)架構(gòu)改為二級(jí)架構(gòu)，各營業(yè)網(wǎng)點(diǎn)配置2條專線，分別直接上聯(lián)生產(chǎn)中心和同城災(zāi)備中心，實(shí)現(xiàn)了業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)專網(wǎng)進(jìn)行物理隔離，增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性；建設(shè)完善了網(wǎng)上銀行、銀行卡系統(tǒng)、資金債券系統(tǒng)、信貸系統(tǒng)等應(yīng)用系統(tǒng)，形成了結(jié)構(gòu)清晰、業(yè)務(wù)功能基本滿足業(yè)務(wù)發(fā)展和經(jīng)營管理需要的應(yīng)用系統(tǒng)體系。相對于信息化建設(shè)發(fā)展水平的快速提高，我行的信息科技風(fēng)險(xiǎn)管理水平略顯滯后，也與監(jiān)管當(dāng)局的要求存在一定的差距。開發(fā)測試體系建設(shè)需進(jìn)一步完善，代碼質(zhì)量管理、Bug管理、開發(fā)過程管理、測試管理需進(jìn)一步加強(qiáng)；系統(tǒng)運(yùn)行管理有待改進(jìn)，生產(chǎn)系統(tǒng)監(jiān)控和流程管理自動(dòng)化管理手段不足，邏輯訪問控制有待加強(qiáng)；業(yè)務(wù)連續(xù)性管理及應(yīng)急體制建設(shè)有待加強(qiáng)，應(yīng)制訂全行性的業(yè)務(wù)連續(xù)性規(guī)劃及應(yīng)急演練方案，并定期更新，切實(shí)發(fā)揮相關(guān)部門職能，按要求組織開展應(yīng)急預(yù)案的演練，提高應(yīng)急演練的有效性和覆蓋面。李秀生:北京農(nóng)商銀行的信息科技風(fēng)險(xiǎn)管理制度體系涵蓋開發(fā)測試、運(yùn)行維護(hù)、設(shè)備管理、安全管理、風(fēng)險(xiǎn)管理等方面計(jì)31項(xiàng)制度，每年進(jìn)行一次評(píng)估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學(xué)性、合理性和可操作性。信息科技風(fēng)險(xiǎn)管理進(jìn)展為了提升信息科技風(fēng)險(xiǎn)管理水平，北京農(nóng)商銀行根據(jù)監(jiān)管要求，結(jié)合信息科技建設(shè)實(shí)際情況，不斷完善科技風(fēng)險(xiǎn)管理治理架構(gòu)，初步建立了科技風(fēng)險(xiǎn)防控體系，有效預(yù)防和消除了科技風(fēng)險(xiǎn)事件的發(fā)生，確保了生產(chǎn)安全穩(wěn)定運(yùn)行和信息安全。

1.完善信息科技風(fēng)險(xiǎn)治理結(jié)構(gòu)，明確信息科技風(fēng)險(xiǎn)“三道防線”的職責(zé)。成立了信息科技管理委員會(huì)，除了審議信息科技戰(zhàn)略規(guī)劃、推動(dòng)信息科技建設(shè)的職能外，著重加強(qiáng)審議信息科技風(fēng)險(xiǎn)管理、信息安全策略、信息安全重大事項(xiàng)和信息安全評(píng)估報(bào)告等科技風(fēng)險(xiǎn)管理職能，強(qiáng)化了科技風(fēng)險(xiǎn)管理體系建設(shè)中高層的推動(dòng)作用；設(shè)置了首席信息官，直接參與跟信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策，確保信息科技各項(xiàng)工作的有效開展和落實(shí)；形成了由信息科技部門、風(fēng)險(xiǎn)管理部門及審計(jì)部門組成的信息科技風(fēng)險(xiǎn)“三道防線”。

2.持續(xù)建立健全信息科技風(fēng)險(xiǎn)管理制度體系。對現(xiàn)有信息科技制度體系進(jìn)行了整體評(píng)估，重新梳理確定信息科技制度體系架構(gòu)，建立包括制度、實(shí)施細(xì)則及技術(shù)規(guī)范（標(biāo)準(zhǔn)）三層架構(gòu)的制度體系。同時(shí)規(guī)范對現(xiàn)有制度的管理，形成了《信息科技制度匯編》，涵蓋開發(fā)測試、運(yùn)行維護(hù)、設(shè)備管理、安全管理、風(fēng)險(xiǎn)管理等方面計(jì)31項(xiàng)制度，每年進(jìn)行一次評(píng)估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學(xué)性、合理性和可操作性，有效指導(dǎo)信息化建設(shè)和風(fēng)險(xiǎn)管理工作的開展。

3.事前、事中、事后管理并重，提升信息科技風(fēng)險(xiǎn)管理水平。一是強(qiáng)化風(fēng)險(xiǎn)防控意識(shí)，防范于未然。持續(xù)對全體科技員工進(jìn)行風(fēng)險(xiǎn)意識(shí)教育，樹立對風(fēng)險(xiǎn)防控的高度敏感性和責(zé)任心，積極向員工傳導(dǎo)遵守法律法規(guī)和實(shí)施內(nèi)部控制的重要性，培養(yǎng)員工的誠信和道德，規(guī)范員工職業(yè)行為，從源頭上控制、減少潛在風(fēng)險(xiǎn)的發(fā)生。二是健全內(nèi)控機(jī)制，規(guī)范事中管理?？茖W(xué)合理設(shè)置科技崗位，明確每個(gè)崗位的職責(zé)、權(quán)限，建立了逐級(jí)授權(quán)和審批機(jī)制，并制定相應(yīng)控制措施；規(guī)范崗位操作流程，重要操作如版本遷移、數(shù)據(jù)修改等實(shí)行雙人制，一人操作，一人復(fù)核，防止出現(xiàn)控制真空，產(chǎn)生風(fēng)險(xiǎn)；同時(shí)重視利用技術(shù)手段來強(qiáng)化風(fēng)險(xiǎn)管理，如批量作業(yè)自動(dòng)化系統(tǒng)、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)的建成有效地提升了系統(tǒng)運(yùn)維風(fēng)險(xiǎn)管理水平。三是加強(qiáng)信息科技風(fēng)險(xiǎn)的識(shí)別和檢查，持續(xù)督促、跟蹤整改，深入挖掘信息科技運(yùn)行及管理存在的問題和潛在風(fēng)險(xiǎn)，制訂整改措施并積極整改。建立內(nèi)部定期專項(xiàng)檢查機(jī)制，根據(jù)每年年初制訂檢查計(jì)劃，進(jìn)行檢查，詳細(xì)記錄檢查結(jié)果，建立風(fēng)險(xiǎn)整改臺(tái)賬，定期對整改情況進(jìn)行監(jiān)督及跟蹤。除加強(qiáng)上述自查工作之外，還積極配合監(jiān)管當(dāng)局開展各項(xiàng)檢查，積極借助外部的力量幫助發(fā)現(xiàn)問題，查找隱患，從而提升科技風(fēng)險(xiǎn)防范能力。

4.加強(qiáng)信息安全體系建設(shè)，強(qiáng)化信息安全管理。完成了信息安全體系規(guī)劃，建立科學(xué)合理的信息安全體系框架，制定較為完善的信息安全策略；通過實(shí)施網(wǎng)絡(luò)邊界控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離、全面病毒防護(hù)、桌面系統(tǒng)監(jiān)控、數(shù)據(jù)分級(jí)與使用保護(hù)等系列安全項(xiàng)目，建設(shè)形成覆蓋數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全的綜合信息安全體系，確保生產(chǎn)系統(tǒng)安全和客戶信息安全，防范科技風(fēng)險(xiǎn)。未來的工作重點(diǎn)通過以上科技風(fēng)險(xiǎn)管理工作的開展，有效消除和防范了科技運(yùn)行及科技管理中的風(fēng)險(xiǎn)隱患，近幾年我行未發(fā)生信息科技風(fēng)險(xiǎn)事件，科技風(fēng)險(xiǎn)管理水平和防控能力得到顯著提升。針對目前科技風(fēng)險(xiǎn)管理中存在的薄弱環(huán)節(jié)，未來信息科技風(fēng)險(xiǎn)管理的工作重點(diǎn)將體現(xiàn)在以下幾個(gè)方面。

1.進(jìn)一步完善信息科技風(fēng)險(xiǎn)治理結(jié)構(gòu)，持續(xù)推進(jìn)科技風(fēng)險(xiǎn)“三道防線”建設(shè)。進(jìn)一步明確信息科技風(fēng)險(xiǎn)治理結(jié)構(gòu)中各級(jí)主體的工作職責(zé)，充分發(fā)揮各級(jí)主體的職能作用，形成職責(zé)明確、結(jié)構(gòu)合理的信息科技風(fēng)險(xiǎn)管理架構(gòu)；特別是加強(qiáng)風(fēng)險(xiǎn)管理部門對信息科技風(fēng)險(xiǎn)的管控，形成一個(gè)職責(zé)明確、功能互補(bǔ)、相互監(jiān)督、相互制約、共同發(fā)展的信息科技風(fēng)險(xiǎn)防范的有機(jī)整體。

2.加強(qiáng)軟件開發(fā)質(zhì)量管理體系建設(shè)，強(qiáng)化開發(fā)過程中風(fēng)險(xiǎn)的管理。建成基于我行現(xiàn)在的CMMI3級(jí)的軟件研發(fā)規(guī)范體系，通過CMMI3級(jí)驗(yàn)收，全面推廣體系的應(yīng)用，整個(gè)體系涵蓋了軟件的需求、設(shè)計(jì)、開發(fā)、測試等各環(huán)節(jié)，有效規(guī)范了整個(gè)開發(fā)過程的管理；落實(shí)需求歸口管理機(jī)制，推行重大項(xiàng)目需求評(píng)審機(jī)制，進(jìn)行重要系統(tǒng)組織級(jí)方案評(píng)審，提高項(xiàng)目計(jì)劃管理和風(fēng)險(xiǎn)管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強(qiáng)化外包管理，規(guī)范外包人員工作量評(píng)估，加強(qiáng)外包人員工作環(huán)境管理。

3.進(jìn)一步推進(jìn)運(yùn)維體系建設(shè)。加強(qiáng)對生產(chǎn)變更的風(fēng)險(xiǎn)評(píng)估，嚴(yán)格變更過程管理，嚴(yán)控變更風(fēng)險(xiǎn)；確保事件分級(jí)制度的落地執(zhí)行，形成有效的事件升級(jí)和響應(yīng)機(jī)制；進(jìn)一步加強(qiáng)對問題的快速解決，并逐步深化問題的后續(xù)管理，從多維度進(jìn)行生產(chǎn)問題分析，提高生產(chǎn)管理水平；充分發(fā)揮系統(tǒng)監(jiān)控、網(wǎng)絡(luò)監(jiān)控工具的作用，完成應(yīng)用監(jiān)控建設(shè)，全面了解系統(tǒng)運(yùn)行狀態(tài)，及時(shí)定位故障；全面提高運(yùn)維管理水平及風(fēng)險(xiǎn)防控能力。