導語：如何才能寫好一篇信息安全風險管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風險管理模型，如下圖一所示：

圖一信息安全風險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監(jiān)控與評估－維護和改進）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標準、結(jié)合企業(yè)信息系統(tǒng)實際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進行風險評估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風險分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點分析）

u資產(chǎn)/威脅/弱點的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風險結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護措施）

e)Monitoring&Implementation（監(jiān)控和實施）

f)Effectestimation（效果檢查與評估）

（4）實施和運營初步的ISMS體系

（5）對ISMS運營的過程和效果進行監(jiān)控

（6）在運營中對ISMS進行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風險管理主要實踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運營者意識到有必要對IP寬帶網(wǎng)絡(luò)進行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風險。

由于網(wǎng)絡(luò)運營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1項目準備階段。

a)主要搜集和分析與項目相關(guān)的背景信息；

b)和客戶溝通并明確項目范圍、目標與藍圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風險進行聲明；

e)對客戶領(lǐng)導和項目成員進行意識、知識或工具培訓；

f)匯報項目進度計劃并獲得客戶領(lǐng)導批準等。

3.2項目執(zhí)行階段。

a)在項目范圍內(nèi)進行安全域劃分；

b)分安全域進行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個安全域進行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風險評估表和風險關(guān)系映射表；

d)對存在的主要風險進行風險等級綜合評價，并按照重要次序，給出相應(yīng)的防護措施選擇和風險處置建議。

3.3項目總結(jié)階段

a)項目中產(chǎn)生的策略、指南等文檔進行審核和批準；

b)對項目資產(chǎn)鑒別報告、風險分析報告進行審核和批準；

c)對需要進行的相關(guān)風險處置建議進行項目安排；

4IP寬帶網(wǎng)絡(luò)安全風險管理實踐要點分析

運營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機為核心的IT系統(tǒng)的安全風險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執(zhí)行的不同階段，需要特別注意以下要點：

4.1安全目標

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項目成員

應(yīng)該得到運營商高層領(lǐng)導的明確支持，項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔，且項目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組；然后可以在一級資產(chǎn)組內(nèi)，按照功能或地域進行劃分二級資產(chǎn)組，如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組；進一步可以針對各個二級資產(chǎn)組的每個設(shè)備進行更為細致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進行針對性威脅分析。如針對IP城域網(wǎng)，其主要風險可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺，其主要風險可能包括：主機病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評價規(guī)則，主要由運營商管理人員按照規(guī)則進行評價。

篇2

關(guān)鍵詞：電子信息；安全風險管理；信息科技；網(wǎng)絡(luò)信息

1電子信息存在的安全問題

信息科技的發(fā)展和信息時代的到來給人們生活帶來了極大的便利，讓人們的生活變得多姿多彩。此外，信息時代的到來也在逐步改變企業(yè)的商業(yè)架構(gòu)，崛起了許多符合潮流發(fā)展的新興企業(yè)。但在信息科技不斷發(fā)展的過程中，電子信息安全問題也日益突出，人們對電子信息防范的安全問題也越發(fā)重視。電子信息的安全問題包括了信息的完整性、保密性、真實性、占有性、可用性和實用性，這也是確保信息安全的基本要求。具體信息安全分類如圖1所示。相關(guān)企業(yè)如果沒有強大的安全防范措施，一旦出現(xiàn)下面幾種情況就很容易導致信息泄露，引發(fā)電子信息安全風險。

1.1網(wǎng)民法律意識比較淡薄

網(wǎng)絡(luò)本身具備很強的虛擬性、隱蔽性和開放性等特點，每個人都可以是網(wǎng)絡(luò)信息的傳播者和制造者。當然，其中不乏有人利用一些手段，在這個虛擬世界為自己謀取利益，時常會發(fā)生的黑客入侵事件就是典型的例子。無論是商業(yè)間的相互競爭，還是不經(jīng)意間犯的錯，都反映出網(wǎng)民對網(wǎng)絡(luò)犯罪的相關(guān)法律意識比較淡薄。近來年，網(wǎng)絡(luò)資源共享成為了社會焦點，動一動手指就能與世界分享各種信息。但因部分網(wǎng)民欠缺科技保護等法律知識，在分享資源的過程中，就很容易給電子信息企業(yè)造成危害，導致企業(yè)信息安全性下降，這些都不利于電子信息企業(yè)的進一步發(fā)展。除此之外，網(wǎng)絡(luò)上的不良和虛假信息泛濫，容易誤導網(wǎng)民，甚至出現(xiàn)一些對企業(yè)不利的群體攻擊性事件，反而間接地讓犯罪分子鉆了漏洞，盜取了企業(yè)的相關(guān)電子信息。

1.2電子信息安全管理技術(shù)比較落后

計算機網(wǎng)絡(luò)的開放性和隱蔽性讓網(wǎng)絡(luò)存在許多未知的不確定因素。比如計算機病毒，如果用戶在對計算機進行操作中不經(jīng)意間打開了被植入的木馬病毒或者惡意網(wǎng)站等，就很容易導致電子信息出現(xiàn)安全問題，且當前很多病毒查殺軟件只能查殺相對明顯、普通的病毒，而對于隱蔽性強的病毒沒有效果，體現(xiàn)出了電子信息安全管理技術(shù)比較落后。

2電子信息安全管理策略研究

2.1計算機技術(shù)方面的管理

針對計算機應(yīng)用軟件建立起安全防護措施，其中包括了數(shù)據(jù)庫操作系統(tǒng)、信息運輸、數(shù)據(jù)儲存、網(wǎng)站訪問和基礎(chǔ)設(shè)備等方面。比如，設(shè)置防火墻，加強對網(wǎng)絡(luò)訪問的控制，利用防火墻功效避免電子數(shù)據(jù)被非法拷貝；利用入侵檢測技術(shù)實現(xiàn)對電子信息安全風險管理的識別和探究；利用電子信息簽名技術(shù)防范電子文件遭受惡意濫用；利用身份實名認證進行登錄，避免黑客的入侵。與此同時，還要不斷加大防毒軟件和查毒技術(shù)的研究力度，讓計算機系統(tǒng)能得到全面升級，更加全面地攔截網(wǎng)絡(luò)病毒。

2.2電子信息的具體管理

在電子信息安全防范制度和防治措施的制訂過程中，要以信息檔案管理的特點和要求為基礎(chǔ)，并不斷培養(yǎng)信息管理人員的實際安全意識。建立起電子信息管理安全制度，并進行規(guī)范化管理。在設(shè)置電子信息訪問權(quán)限的過程中，必須對信息的網(wǎng)絡(luò)區(qū)域和類別進行規(guī)劃和部署，針對機密信息，必須進行單獨隔離；非機密的信息則運用授權(quán)管理方式來實現(xiàn)對信息的利用。電子信息在網(wǎng)絡(luò)儲存的過程中，必須以信息儲存頻率和用戶的具體要求為出發(fā)點，并進行分級儲存。因存儲介質(zhì)的壽命不是很長，因此，可以制作紙質(zhì)拷貝，從而達到雙向儲存的目的。針對電子信息資源的管理，可運用多人協(xié)同負責制度，開展崗位的定期輪換，以避免因個人的集中管理而導致電子信息風險的出現(xiàn)。

2.3建立電子信息安全保障體系

電子信息安全管理工作的開展，對管理能力的要求要比技術(shù)能力的要求更高，而做好預(yù)防措施的重點在于做好補救措施，所以，必須建立電子信息安全保障體系，提高電子信息的安全等級，從而達到預(yù)防信息安全風險的目的。電子信息安全保障體系的建立具體可從技術(shù)保障體系、管理制度保障體系、監(jiān)督體系三個方面著手，讓計算機網(wǎng)絡(luò)的軟硬件能保持安全狀態(tài)。在對電子信息進行實際存儲和管理中，嚴格制訂并規(guī)范管理制度，做到重要檔案多次備份，并不斷強化追蹤和控制職能，管理人員之間要加強監(jiān)督，從而有效保障電子信息安全體系的運行，確保信息的安全。

3結(jié)束語

在人們的生產(chǎn)、生活中，電子信息已具有非常重要的地位，但電子信息在不斷發(fā)展的過程中，各種信息安全風險也隨之產(chǎn)生，而信息安全事故一旦發(fā)生，就會給檔案信息造成很大的損害。因此，人們越來越認識到電子信息安全管理的重要性，并采取相應(yīng)的措施來加強對信息安全的管理，從而規(guī)避電子信息風險，確保電子信息的安全。

參考文獻：

［1］王海景，李艷麗.電子信息檔案管理的風險控制策略［J］.學園，2015（05）.

［2］楊晗，袁野.淺談電子科技企業(yè)信息安全技術(shù)［J］.電子制作，2015（12）.

［3］何文濤.電子科技企業(yè)信息安全技術(shù)研究［J］.電子制作，2017（04）.

［4］于倩，李靈君.網(wǎng)絡(luò)環(huán)境下企業(yè)信息管理安全的對策分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（11）.

篇3

 

1 風險管理概念解析

 

風險管理是組織管理活動的一部分，其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73：2009《風險管理 術(shù)語》中曾經(jīng)指出，風險管理由一系列的活動組成，這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程，其準確的定義為：風險管理(risk management)是指在風險方面，指導和控制組織的協(xié)調(diào)活動。

 

與風險管理定義密切相關(guān)的，還有“風險管理框架”和“風險管理過程”兩個詞匯。

 

風險管理框架(risk management framework)是指為設(shè)計、執(zhí)行、監(jiān)督、評審和持續(xù)改進整個組織的風險管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個有用的注解，分別為：風險管理框架是要素集合，這個框架并不是單獨存在的，這就體現(xiàn)了風險的特點之一，就是一系列的“點”，這些點是要被嵌入(be embedded)。特別值得指出的是，校準(align))、整合(integrate)和嵌入(embed)是信息管理安全領(lǐng)域，也是整個管理學領(lǐng)域的常見詞匯。其中，在戰(zhàn)略層面一般強調(diào)校準，即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略，都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細的策略或流程層次，則強調(diào)整合或嵌入。例如，已經(jīng)有人力資源的管理規(guī)程，需要嵌入安全管理的部分，或者已經(jīng)有事件管理規(guī)程，將其與信息安全事件管理進行整合。總之，校準、整合和嵌入是值得深入研究的三種方法。

 

風險管理過程強調(diào)的是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。

 

風險管理過程才體現(xiàn)了信息安全應(yīng)該如何做(how)的問題。

 

嚴格講，風險管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出： 風險管理的階段劃分僅作示意。

 

2 風險評估及其過程

 

在GB/T 23694—2013 / ISO Guide 73：2009中，風險評估并不是作為一個單獨的過程定義的。其中定義為：風險評估(risk assessment)包括風險識別、風險分析和風險評價的全過程。

 

風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當時并沒有單獨把“風險識別”作為一個單獨的階段。或者說，在當時的定義中，“風險識別”是作為“風險分析”的一個階段而出現(xiàn)的，詳細定義為：風險評估包括風險分析和風險評價在內(nèi)的全過程。

 

為了更好地理解其中的變化，我們在表1中給出了風險評估包括的階段的術(shù)語定義。

 

無論如何劃分，風險評估都要完成下面這些活動：

 

在上述三個步驟中，步驟一與步驟二較為通用，或者說，截至到風險分析階段，我們需要確定風險的等級，這都可以按照通用的標準或方法提前定義好。步驟三則不同，這個步驟需要結(jié)合組織自己定義的風險準則。

 

3 區(qū)分風險評估與風險管理

 

我們可以簡單地認為，風險評估是風險管理的一個階段，只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程，那么風險評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務(wù)解決。而風險管理是在整個組織內(nèi)把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應(yīng)對(risk treatment) )。

 

風險管理是一個持續(xù)循環(huán)，不斷上升的過程，它被定義為一個持續(xù)的周期，每隔一個階段就開始新的循環(huán)，這些循環(huán)要貫穿組織的始終，是組織管理的一部分。風險評估則更像“搞運動”，其一般按照一定的時間間隔進行，但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機構(gòu)變化等，都可能啟動新的風險評估過程。

 

風險管理的循環(huán)過程不是在原地踏步的，它的每一次新循環(huán)都應(yīng)該上一個新的臺階，呈螺旋上升的形狀。如圖3所示。

 

這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估，在每一次風險評估中都會發(fā)現(xiàn)潛在的問題，并在接下來的風險應(yīng)對過程中加以解決，從而使組織管理風險的能力得到提升。

 

4 風險應(yīng)對概念解析

 

無論風險評估步驟進行得多么完美，都只是找到了問題，而解決問題應(yīng)該是組織的最終目的。風險應(yīng)對的步驟就是評估、選擇并且執(zhí)行這些改進措施的過程。

 

風險應(yīng)對(risk treatment)是指處理8)風險的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個定義也有詳細的注解，包括：

 

“風險應(yīng)對”定義的注1較為詳細，其中給出了可能的應(yīng)對措施，其中1)規(guī)避風險，6)分擔或轉(zhuǎn)移風險以及)接受風險，與ISO/IEC 27001：2005的描述基本類似，)為尋求機會而承擔或增加風險更偏重組織業(yè)務(wù)角度視角，3)、4)與5)則是降低風險的基本途徑，這三項的任何之一都可以改變目前的風險狀況。

篇4

關(guān)鍵詞 信息工程安全系統(tǒng) 風險評估 控制

中圖分類號：X92 文獻標識碼：A

對項目風險管理來說，風險評估是對信息工程安全資產(chǎn)所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎(chǔ)，風險評估是確定信息工程安全需求的一個重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風險評估概述

風險評估是在綜合考慮成本效益的前提下，通過安全措施控制風險，使殘余風險降低到可以控制的程度。因為任何信息系統(tǒng)都會有安全風險，所謂安全信息系統(tǒng)，實際上指信息系統(tǒng)在實施了風險評估以后做出了風險控制，仍然存在殘余風險是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評估，就必須運用信息系統(tǒng)安全風險評估的思想和規(guī)范對信息系統(tǒng)進行安全評估。

風險評估的主要任務(wù)包括：（1）識別面臨的各種風險。（2）評估風險概率和可能帶來的負面影響。（3）確定承受風險的能力。（4）確定風險消減和控制的優(yōu)先等級。（5）推薦風險消減對策。

1.1 信息工程安全系統(tǒng)項目風險評估概述

信息工程安全系統(tǒng)項目風險管理是圍繞信息工程安全系統(tǒng)項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估，因為基于風險評估可以對政府部門信息工程安全系統(tǒng)項目有系統(tǒng)全面的了解，找出潛在問題，分析原因，判斷嚴重性和相關(guān)影響，以此確定信息工程安全系統(tǒng)建設(shè)的需求。項目是一個過程，從項目的開始到結(jié)束，風險評估要求風險評估貫穿到信息系統(tǒng)的整個生命周期提出了三個環(huán)節(jié)要進行風險評估：一是信息系統(tǒng)規(guī)劃設(shè)計階段，二是系統(tǒng)驗收階段，三是信息系統(tǒng)運維階段。管理的不確定性，有限的資源和千變?nèi)f化的危險和漏洞，使得所有的風險不可能完全緩解。一個信息系統(tǒng)的項目專業(yè)人員必須要協(xié)同用戶、項目經(jīng)理對信息系統(tǒng)各種潛在的影響進行評估，使其達到一個合理水平。

由于種種原因，信息安全系統(tǒng)存在著很多漏洞及缺陷，如黑客攻擊或系統(tǒng)本身的原因，會造成系統(tǒng)安全事件，給系統(tǒng)帶來不好的影響。因此，要對項目的信息安全風險進行相應(yīng)的評估，評估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負面影響，根據(jù)相應(yīng)的等級來進行劃分，評估出可能發(fā)生的安全風險。

1.2 信息工程安全系統(tǒng)項目風險評估過程

一般來說，系統(tǒng)信息工程安全項目風險評估分為四個不同的階段。

第一個階段：風險評估準備階段。

（1）根據(jù)相應(yīng)的風險評估準則，調(diào)研項目的實際情況，然后制定風險評估的計劃表。按照實際操作來看，計劃通常要由三個重要的表格組成，這三個表分別是：《信息工程安全系統(tǒng)的描述報告》、《信息工程安全系統(tǒng)的分析報告》和《信息工程安全系統(tǒng)的安全要求報告》。通過這些表格及具體的計劃表，要對項目的風險評價進行計劃。計劃的內(nèi)容一般要設(shè)計如下范圍：目的、范圍、目標、組織架構(gòu)、經(jīng)費預(yù)算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議，應(yīng)該及時根據(jù)意見加以修改。只有獲得決策層的審核和同意后，計劃書才能獲得批準，才能夠獲得相應(yīng)的資源加以執(zhí)行。

（2）結(jié)合項目的具體實際，對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的，必須要結(jié)合具體的項目實際對評估的流程加以確定，如何工作，如何評估，評估結(jié)果如何衡量等。這個步驟，通常應(yīng)該形成一個書面的《風險評估程序》，便于后面工作人員的具體操作。

（3）根據(jù)項目具體實際，選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別，具體的某個項目，有針對性地 選擇成本低，效果好，結(jié)合項目實際的具體方法和工具。

第二個階段：風險因素識別。

（1）對所有需要保護的信息資產(chǎn)加以清點。根據(jù)上文確定的三個相關(guān)報告，對單位或項目所有的資產(chǎn)加以清點，找出重要的、對安全有重大影響的信息資產(chǎn)并造冊，形成書面的《需要保護的資產(chǎn)清單》。（2）結(jié)合相關(guān)工具，識別出可能面臨的威脅。一般來說，目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫，結(jié)合這些數(shù)據(jù)庫，對單位的具體資產(chǎn)進行詳細的清點和評估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據(jù)上面的工作，參照漏洞庫，可以對整個單位信息資產(chǎn)面臨的脆弱性加以評估，形成書面的《脆弱性列表》。

第三個階段：風險程度分析。

（1）確認單位目前已經(jīng)采用的安全防范措施。通過書面形式，對單位目前已經(jīng)有的具體防范措施加以總結(jié)，填寫到《已有安全措施分析報告》。（2）對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為：涉及利益者的攻擊、對系統(tǒng)好奇、對自己的技術(shù)自負等，要形成書面的《威脅動機分析報告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估，包括強度、廣度、深度等。（4）分析信息資產(chǎn)的價值。信息自查的價值主要從以下幾個方面來評估：關(guān)鍵性，價格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產(chǎn)損失，任務(wù)妨害，人員傷亡等。

第四個階段：風險等級評價階段。

（1）對威脅的動機加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統(tǒng)脆弱性加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產(chǎn)價值加以評估，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認的具體算法。但各單位具體實際情況不一而足。所以，對于公認的算法可以進行修改，或者提出自己認為更符合實際情況的算法。

2 信息工程安全系統(tǒng)項目風險控制

2. 1 風險控制概述

風險評估的目的是進行風險控制，進而最大可能排除系統(tǒng)面臨的風險。所以，在信息風險評估之后，就要進行風險控制，其目的是為了盡可能降低系統(tǒng)面臨的風險和漏洞。而系統(tǒng)的風險和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內(nèi)，盡可能控制在可以接受的范圍。一般來說，為了控制可能發(fā)生的風險，主要采用以下幾種方式：（1）規(guī)避風險。規(guī)避就是避免使用。例如有一些信息資產(chǎn)面臨很大的風險，如果完全消除風險，需要很大的成本，需要更多的經(jīng)濟投入等。那么，一個比較可行的辦法就是避免使用這樣的資產(chǎn)，或者一些敏感的、需要保密的數(shù)據(jù)，不在這些資產(chǎn)上使用，從而規(guī)避掉可能發(fā)生的風險。（2）轉(zhuǎn)移風險。這種方式的思路，就是將已經(jīng)面臨風險的資產(chǎn)轉(zhuǎn)移到風險較低，或者沒有風險的資產(chǎn)上。如某單位需要處理技術(shù)上足夠復(fù)雜，沒有能力處理的業(yè)務(wù)時，可以通過尋求外包給第三方專業(yè)機構(gòu)的形式，要求對方做好風險處理，從而達到轉(zhuǎn)移風險的目的。（3）降低風險。降低風險就是在資產(chǎn)面臨風險時，通過各種手段和方法來降低其面臨的風險。

2.2 信息工程安全系統(tǒng)項目風險控制過程

在信息工程安全項目管理中，風險控制可以劃分為四個階段，分別是：現(xiàn)有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。

在不同的階段，進行不同的工作流程和具體內(nèi)容，分別如下：

第一階段：預(yù)備階段。在本階段，主要是對單位現(xiàn)有的信息資產(chǎn)激進型識別、編號、評估并造冊，形成書面報告。

第二階段：現(xiàn)存風險判斷。在本階段，通過各種工具和方法，對系統(tǒng)信息資產(chǎn)面臨的風險加以評級。一般來說，風險的評級主要分為兩種：可接受的系統(tǒng)風險和不可接受的系統(tǒng)風險。然后，對系統(tǒng)目前存在的一些風險加以判斷，到底是否能夠接受。

第三階段：確定風險控制目標。本階段主要的工作流程和內(nèi)容包括：（1）分析風險控制需求。針對上面提出的不可接受的風險，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風險控制目標。完全搞清楚其具體需求后，就可以確定風險控制的目標。

第四階段：控制措施選擇與實施。

控制措施選擇階段的工作流程和內(nèi)容如下：（1）選擇風險控制方式。確定目標后，就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況，能否實現(xiàn)以及經(jīng)濟投入成本、投入產(chǎn)出比等。（2）選擇風險控制措施。控制措施實施階段的工作流程和內(nèi)容如下：①制定風險控制實施計劃：選擇好相應(yīng)的風險控制方式后，即可制定具體的實施計劃。實施計劃必須為書面，便于后面的審查以及對照。②實施風險控制措施：采用規(guī)避、降低、轉(zhuǎn)移等具體方式來控制。實施過程應(yīng)該遵循相應(yīng)的工作流程和標準，并書面記錄在案。

3 結(jié)語

當前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速，任何信息系統(tǒng)都會有安全風險。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)，對所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進行升級完善，以確保相關(guān)利益不受侵犯。

參考文獻

[1] Stuart McClure 等.黑客大曝光――網(wǎng)絡(luò)安全機密與解決方案[M].北京：清華大學出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術(shù)的研發(fā)與運用[J].信息通信，2013.

篇5

[關(guān)鍵詞]金融機構(gòu)；信息資產(chǎn)；操作風險；風險管理

金融機構(gòu)操作風險具有不同于信用風險和市場風險的顯著特征，是其基礎(chǔ)性風險。巴塞爾委員會對操作風險的定義是：“操作風險是指由不完善或有問題的內(nèi)部程序、人員及系統(tǒng)或外部事件所造成損失的風險。”它是指由于不當或不足的方式操作業(yè)務(wù)或外部事件而對銀行業(yè)務(wù)帶來負面影響的可能性。操作風險是與銀行業(yè)務(wù)操作緊密相聯(lián)系的風險，它和信用風險、市場風險共同構(gòu)成商業(yè)銀行的三大風險。對于操作風險的監(jiān)管。直接涉及銀行信息資產(chǎn)風險的監(jiān)管，銀行信息資產(chǎn)風險監(jiān)管與操作風險監(jiān)管有著密切關(guān)系，加強操作風險的監(jiān)管，就必須高度重視信息資產(chǎn)風險的監(jiān)管。

一、IT環(huán)境下操作風險的挑戰(zhàn)

(一)IT環(huán)境下操作風險的隱患

當前由于銀行系統(tǒng)漏洞或缺陷導致的操作風險事件呈現(xiàn)出上升趨勢。據(jù)銀監(jiān)會通報，2007年以來銀行業(yè)發(fā)生的5起典型信息系統(tǒng)風險事件，分別是：2007年3月21日，交通銀行因主機監(jiān)控軟件存在缺陷，導致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近4個小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務(wù)；2007年8月15日，中國工商銀行對計算機系統(tǒng)進行升級，由于沒有避開業(yè)務(wù)高峰期，導致個人業(yè)務(wù)系統(tǒng)運行不暢，業(yè)務(wù)辦理速度緩慢，部分證券業(yè)務(wù)受阻，在持續(xù)5個半小時后，系統(tǒng)才逐步恢復(fù)正常；2007年10月18日，中國建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進行，事故持續(xù)了兩個小時，在證券交易收盤后才恢復(fù)正常；2007年12月21日，招商銀行因運行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進行，雖啟動了應(yīng)急預(yù)案，但仍然中斷營業(yè)近1個小時：2008年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京117家支行所屬網(wǎng)點柜臺交易緩慢，業(yè)務(wù)無法正常進行，故障在1個多小時后才得以解決。上述案例中，既有信息系統(tǒng)自身原因引發(fā)的故障，也有人員操作失誤引發(fā)的故障，信息系統(tǒng)風險已成為商業(yè)銀行關(guān)注和防范的焦點。

金融業(yè)信息技術(shù)事故統(tǒng)計表明，如果銀行系統(tǒng)中斷1小時，將直接影響該行的基本支付業(yè)務(wù)；中斷1天，將對其聲譽造成極大傷害；中斷2―3天以上不能恢復(fù)。將直接危及其他銀行乃至整個金融系統(tǒng)的穩(wěn)定。目前。我國銀行業(yè)的IT建設(shè)正處于高速發(fā)展期，在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時，信息科技風險管理顯得相對薄弱。

技術(shù)型操作風險的隱患源于：1.操作系統(tǒng)漏洞。銀行應(yīng)用的Unix，Win-dows等操作系統(tǒng)存在一定安全隱患；2.安全設(shè)施的漏洞。網(wǎng)絡(luò)層、應(yīng)用層的防火墻自身是否安全、設(shè)置是否錯誤，需要經(jīng)過檢驗。美國一項調(diào)查表明，32％的泄密是由內(nèi)部作案造成，所有的防火墻都不同程度地被黑客攻擊過；3.安全管理的漏洞。現(xiàn)有的一些信息系統(tǒng)缺少定期的安全測試與檢查，更缺少安全監(jiān)控。在已破獲的采用計算機技術(shù)犯罪的案件中，內(nèi)部授權(quán)人員作案的占58％；4.安全協(xié)議的漏洞。由于銀行網(wǎng)絡(luò)系統(tǒng)內(nèi)部運行的各種協(xié)議(如TCP／IP，IPX／SPX等)是在資源及網(wǎng)絡(luò)技術(shù)均不成熟的情況下設(shè)計的，還存在著脆弱的認證機制、容易被竊聽和監(jiān)視、易受欺騙等安全隱患；5.內(nèi)控制度的漏洞。管理制度、運行規(guī)程不完善，不能有效地杜絕內(nèi)部作案，更缺乏良好的故障處理反應(yīng)機制。

(二)lT環(huán)境下操作風險的表現(xiàn)形式

技術(shù)導向型操作風險是指由于技術(shù)問題，特別是信息技術(shù)的應(yīng)用對銀行的系統(tǒng)、流程、產(chǎn)品、服務(wù)和交易等產(chǎn)生不良影響而導致的操作風險，包括IT技術(shù)、網(wǎng)絡(luò)系統(tǒng)、產(chǎn)品的服務(wù)缺陷。以及外部法律、稅收和監(jiān)管方面的變化對銀行沖擊而造成的風險。關(guān)于金融機構(gòu)技術(shù)導向型操作風險涵蓋的范疇及其風險的含義，在2006年出臺的銀行業(yè)監(jiān)督管理法中給出了明確定義：“主要包括總體風險，研發(fā)風險、運行維護風險、外包風險等信息系統(tǒng)生命周期幾個高風險點……其中，總體風險是指金融機構(gòu)信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風險；研發(fā)風險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險；運行維護風險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險；外包風險是指金融機構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)或外部技術(shù)供應(yīng)商時形成的風險。”

二、金融機構(gòu)信息資產(chǎn)安全的需求

金融機構(gòu)信息系統(tǒng)是指銀行業(yè)金融機構(gòu)運用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。金融機構(gòu)信息系統(tǒng)具有如下特點：1.金融信息化的建設(shè)以及網(wǎng)上銀行業(yè)務(wù)的迅猛發(fā)展，使得銀行等金融機構(gòu)的業(yè)務(wù)集中度非常高。2.數(shù)據(jù)大集中后，由于單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來越多，信息系統(tǒng)對網(wǎng)絡(luò)的依賴性越來越高。3.信息安全性要求高，信息系統(tǒng)的各種文檔資料和用戶資料均需保密。

(一)信息資產(chǎn)安全的邊界

有關(guān)信息資產(chǎn)的含義，目前眾說紛紜，本文借鑒屈延文(2006)給出的定義，即信息資產(chǎn)是由信息范疇資產(chǎn)、系統(tǒng)范疇資產(chǎn)和附加范疇資產(chǎn)組成。其中信息范疇資產(chǎn)是指信息存在形式、信息內(nèi)容、內(nèi)容價值；系統(tǒng)范疇資產(chǎn)是指系統(tǒng)存在形式、系統(tǒng)行為、行為價值；附加范疇資產(chǎn)則是不同的關(guān)注者(計劃者、擁有者、設(shè)計者、實施者和用戶等)對信息與系統(tǒng)兩個范疇關(guān)注的需求價值(附加價值)。例如包括開發(fā)、運營、管理、維護和服務(wù)等產(chǎn)生的關(guān)注性的資產(chǎn)。

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵也在不斷的延伸。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實施技術(shù)。

(二)信息資產(chǎn)安全性原則

信息，在ISO17799中被看作是一種資產(chǎn)，這種資產(chǎn)可以增加組織的價值，因而它也需要得到恰當?shù)谋Ｗo。信息資產(chǎn)安全需要保護信息資源，防止未經(jīng)授權(quán)或偶然因素對信息資源的破壞、修改、非法利用或惡意泄露，以實現(xiàn)信息保密性、完整性與可用性的要求。在國際標準化組織的信息安全管理標準規(guī)范(1SO，IEC 17799)和其他一些機構(gòu)的文

獻中，都定義了信息安全的基本特性：如保密性，完整性。有效性；另外也可包括諸如真實性，可審計性，不可否認性和可控性等。

三、金融機構(gòu)信息資產(chǎn)操作風險監(jiān)管的對策

風險監(jiān)管是信息資產(chǎn)安全管理的核心。信息系統(tǒng)風險管理的目標是通過建立有效的機制。實現(xiàn)對信息系統(tǒng)風險的識別、計量、評價、預(yù)警和控制，推動銀行業(yè)金融機構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力。

(一)信息資產(chǎn)操作風險管理的原則和目標

實施信息資產(chǎn)風險管理的原則為：1.針對性。對金融機構(gòu)信息資產(chǎn)所面臨的安全需求進行認真全面地分析，找出具有針對性的安全威脅。有的放矢地做好安全工作：2.均衡性。對信息安全的各個環(huán)節(jié)進行安全強度分析，找出信息安全的脆弱點，提出強度均衡的設(shè)計方案；3.時效性。在實施信息安全管理時，要量力而行，安全投入與所需要的功效相適應(yīng)。即對信息安全面臨的威脅及可能承擔的風險進行定性和定量的分析，從而制定出合理的安全策略；4.獨立性。信息安全所采用的技術(shù)均應(yīng)立足國內(nèi)，不得直接引用未經(jīng)消化改造的境外安全保密技術(shù)和設(shè)備；5.綜合性。信息安全必須通過技術(shù)、管理和安全基礎(chǔ)設(shè)施的綜合實施才能奏效，即信息安全=風險分析+執(zhí)行策略+基礎(chǔ)實施+漏洞監(jiān)測+實時響應(yīng)。

金融機構(gòu)信息資產(chǎn)安全管理的目標為：一是對信息資產(chǎn)安全現(xiàn)狀做出正確判斷；二是較為準確地估計特定系統(tǒng)風險；三是建立相應(yīng)的控制風險的機制，并把這些機制融為一體形成防護體系；四是最大限度地提高系統(tǒng)的可用性，并把系統(tǒng)帶來的風險控制在可接受范圍內(nèi)。

(二)構(gòu)建信息資產(chǎn)操作風險管理框架

金融信息化環(huán)境下，很多機構(gòu)的信息資產(chǎn)面臨諸多威脅(包括來自內(nèi)部的威脅和來自外部的威脅)。威脅利用信息系統(tǒng)存在的各種漏洞(如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等)，對信息系統(tǒng)進行滲透和攻擊。如果滲透和攻擊成功，將導致企業(yè)資產(chǎn)的暴露。資產(chǎn)的暴露(如系統(tǒng)高級管理人員由于不小心而導致重要機密信息的泄露)，會對資產(chǎn)的價值產(chǎn)生影響(包括直接和間接的影響)。風險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定。對企業(yè)信息系統(tǒng)安全風險的分析。就得出了系統(tǒng)的防護需求。根據(jù)防護需求的不同，制定系統(tǒng)的安全解決方案，選擇適當?shù)姆雷o措施，進而降低安全風險，并抗擊威脅。

信息安全風險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對金融機構(gòu)造成的影響。資產(chǎn)、威脅和脆弱性構(gòu)成了風險的三個關(guān)鍵要素，而風險評估則是圍繞這些要素及其相關(guān)屬性依據(jù)國家有關(guān)管理要求和技術(shù)標準，對信息系統(tǒng)及其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。本文借鑒MSF風險管理框架，建立以操作風險管理為核心的信息資產(chǎn)安全模型。即風險識別、風險分析和分級、風險計劃和調(diào)度、風險跟蹤和報告、風險控制以及風險學習六個步驟。

1　風險識別。風險識別的目的是發(fā)現(xiàn)潛在的威脅，預(yù)防某個特定威脅利用某個特定系統(tǒng)的脆弱性對系統(tǒng)造成損失，威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。風險識別應(yīng)該在信息系統(tǒng)的生命周期中不斷地重復(fù)。

2　風險分析與分級。風險分析是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認安全風險及其大小的過程，即利用定性或定量的方法，借助于風險評估工具，確定信息資產(chǎn)的風險等級和優(yōu)先風險控制。

3　風險計劃和調(diào)度。風險計劃提取風險分析中獲得的信息并用其明確表達策略、計劃和工作。風險調(diào)度可以確保計劃被認可并融入標準的日常信息資產(chǎn)安全管理進程和基礎(chǔ)設(shè)施中，從而確保風險管理作為日常工作的一部分執(zhí)行。

4　風險跟蹤。風險跟蹤監(jiān)控特定風險的狀況以及它們各自工作計劃中的進展情況。風險跟蹤也包含監(jiān)控變化風險的概率、影響、暴露程度以及其他因素，這些變化可能改變優(yōu)先級或風險計劃、信息資產(chǎn)特性、資源或是進度表。風險跟蹤從風險等級的角度定義風險管理過程在信息資產(chǎn)中的可見度。

5　風險控制。風險控制是執(zhí)行風險工作計劃和相關(guān)現(xiàn)狀報告的過程。風險控制也包含項目變化控制請求的初始化，而風險狀況或風險計劃的更改可能導致信息資產(chǎn)特性、資源或進度表的更改。

6　風險學習。使知識和相應(yīng)項目案例及工具正式化，并在團隊和企業(yè)內(nèi)部以可再度使用的形式提取知識。

信息系統(tǒng)的安全性、可靠性、有效性直接關(guān)系到整個金融業(yè)的安全和穩(wěn)健運行。在當前構(gòu)建和諧社會的重要階段，金融業(yè)的安全變得更為關(guān)鍵。操作風險防范的重要內(nèi)容就是從技術(shù)防范為主的被動信息安全轉(zhuǎn)移到以預(yù)防為主的主動風險管理框架中來，把風險控制在可承受的范圍之內(nèi)，為社會提供安全、持續(xù)的金融服務(wù)。

趙秀云教授簡介

篇6

關(guān)鍵詞：通信安全；通信監(jiān)理；安全風險管控；

中圖分類號：C93 文獻標識碼：A 文章編號：1009-914x（2014）26-01-01

隨著時代的發(fā)展，通信已經(jīng)漸漸的融入了人們的生活，并成為人們生活中最主要的聯(lián)絡(luò)方式。而通信安全是人們現(xiàn)在最關(guān)心的事情，通信監(jiān)理顯得尤為重要，由于目前的通信信息和內(nèi)容常常出現(xiàn)被他人盜取等不安全事件，所以監(jiān)理企業(yè)對于安全風險管控的力度也在不斷地加強，監(jiān)理企業(yè)的責任和工作壓力也在不斷地增大。保障通信的安全所需要的各不相同，許多不可預(yù)見的因素也存在很多，這些因素均影響著通信的安全效果，這也對監(jiān)理企業(yè)安全風險管控有著更高的要求。

一、 通信監(jiān)理安全風險工作

（一） 通信事業(yè)的發(fā)展現(xiàn)狀

改革開放以來，我國的各行各業(yè)、各方各面的發(fā)展都很迅猛。在通信方面也有了迅猛的發(fā)展，從過去人們手中的呼機到風靡一時的“大哥大”，都可以看出我國通訊事業(yè)的發(fā)展。再到現(xiàn)在每家都有的電話和以互聯(lián)網(wǎng)為支撐的中國通信，可以看出中國的通信事業(yè)已進行了一次又一次的革命性的進步。通訊事業(yè)的發(fā)展一直是人們熱點關(guān)注的事情。到現(xiàn)在人們所進入的3G時代和正在向我們招手的4G時代，都讓人們?yōu)橹偪衽c欣喜。這些都是人類智慧的結(jié)晶所在。但是，就算通訊技術(shù)發(fā)展如此之快的中國，也不是世界的佼佼者。通信市場在世界上來說競爭力很大，看往外面的國家我國的通信事業(yè)存在著很大的不足，我們還應(yīng)繼續(xù)努力，迎接通訊事業(yè)上更大的挑戰(zhàn)。

（二）通信監(jiān)理安全風險工作的概念

所謂風險是指在預(yù)期的結(jié)果之外可能會發(fā)生的損失的不確定性。通信監(jiān)理安全風險工作就是指在人們正常的使用通信設(shè)備時可能在預(yù)期的好的結(jié)果之外不良的后果或不利的影響，我們對這些不好的結(jié)果或不利的影響進行監(jiān)督和管制，并做好預(yù)防的措施。簡單點來說就是監(jiān)理在通信中所能出現(xiàn)的任何的安全性的不利因素。而這些風險確實隨機的、客觀存在的，有可能因為人們通訊設(shè)備的不良所造成安全性問題的出現(xiàn)，也有可能因為我們或者企業(yè)不正當?shù)氖褂猛ㄐ殴ぞ呋蛲ㄐ旁O(shè)備所帶來的影響，這些風險的發(fā)生有可能是偶然的也有可能是必然的。這些風險的發(fā)生是一個隨機的事件，是眾多的風險因素所造成的。所以通信理安全風險工作不僅要防治那些惡意的破壞和盜取，還要盡量減少這些偶然因素對通信安全造成的影響。

（三）通信監(jiān)理工作的內(nèi)容

通信監(jiān)理工作包括對于通信安全的網(wǎng)絡(luò)監(jiān)控、對于通信的日常維護、對其進行合理的優(yōu)化調(diào)整、對于通信障礙的合理處理和做出一些對于通訊安全障礙的應(yīng)急措施等各個環(huán)節(jié)的工作。通信監(jiān)理要求我們對這些可能出現(xiàn)或可能遇到的風險進行評估分析和處理，還要求我們對那些潛在的風險進行預(yù)測和識別，并對其加以處理。對那些客觀存在的風險，我們應(yīng)該做好應(yīng)對的措施，或者從客觀上徹底的解決這些存在的風險，這個工作似乎很困難，所以我們要從經(jīng)濟的角度出發(fā)，以最低的消耗，實現(xiàn)對風險最有力的、最有效的解決。對于一些惡意的破壞，我們要做好多方面的防御和追蹤，讓我們盡量的將這些風險可能造成的損失降到最低。我們的工作就是做到對于這些風險運用最合理、最有效、最科學的辦法來實現(xiàn)安全風險最小化，合理的處置這些風險和這些風險帶來的不良的后果。或者說通信監(jiān)理安全風險工作的最主要目的就是實現(xiàn)對通信安全的最大的保障。

（三）通信監(jiān)理工作的意義

通信現(xiàn)在為大多數(shù)人和大多數(shù)企業(yè)所使用，而且還被用在很多重大事件的通信方面，所以保障通信的安全是最重要的，這也就體現(xiàn)了通訊監(jiān)理工作的重要性。通信監(jiān)理工作可以有效地保障通信內(nèi)容和信息的可靠性和安全性。防止一些破壞分子的惡意破壞，導致通信的癱瘓或紊亂，有效地保障人們和企業(yè)的通信的順暢，減少了很多不必要的麻煩。還可以通過通信監(jiān)理工作對一切有客觀原因引起的通訊安全與障礙的進行處理應(yīng)對，有效地降低風險，提高通訊的質(zhì)量與安全。

二、安全風險管控

（一）風險因素分析識別方法

中國現(xiàn)如今有很多大型的通信企業(yè)，這些企業(yè)就要對風險做好提前的預(yù)防和解決的措施。首先我們要對這些依然存在的或潛在的風險進行識別。常采用調(diào)查法、對未來信息的預(yù)測法和根據(jù)時態(tài)發(fā)展的復(fù)雜性對其進行有效地辨別。并對這些風險進行分析，常采用結(jié)構(gòu)分析的方法進行。由總體到細節(jié)，層層瓦解分析，并得出可能造成的威脅和潛在的后果，并對這些威脅和后果做出有效地防范措施和合理的應(yīng)對方法。

（二）防范安全風險的措施

有效的防范這些安全風險可以減少監(jiān)管企業(yè)的很多不必要的麻煩，并且可以有效的保障一些大型企業(yè)的商業(yè)機密和個人的通信質(zhì)量和安全。所以我們要做一些有效地措施對其進行防范。首先，我們要避免一些內(nèi)部通訊人員的不良的操作。為了避免內(nèi)部人員帶來的安全風險，我們應(yīng)該定期的對內(nèi)部人員的操作進行審核和監(jiān)督，并對內(nèi)部人員惡意破壞通信安全進行處罰，如屢教不改也可加大對其內(nèi)部人員破壞的處罰力度并借助政府的力量對其進行處罰。其次，我們要盡量的減少由外部因素帶來的安全風險的影響，在通訊設(shè)備上我們盡盡我們的努力做到最好，消除由外部通訊設(shè)備的不良而造成的通訊安全風險的影響。最后，對于通訊企業(yè)和通訊監(jiān)理企業(yè)，應(yīng)該做好自己的本分，做好風險的識別、分析，并對這些風險做好防范，提前做出應(yīng)對措施。保障每個人的通訊安全。

在通訊中，風險往往被人們認為是不確定性的，主要包括資源的訪問和控制、鑒別、完整性、機密性和有效性等。

（1）訪問的控制：只能允許已授權(quán)的設(shè)備和個人使用網(wǎng)絡(luò)資源

（2）鑒權(quán)認證：可以確認要參與到的身份（如設(shè)備，個人等）。AAA認證技術(shù)可用來進行鑒權(quán)認證

（3）完整性：信息在傳遞過程中不可被未經(jīng)授予權(quán)的刪除、修改、復(fù)制或添加

（4）有效性：在受到意外影響時，不會拒絕授權(quán)用戶的行為

（三）通信監(jiān)理工作的意義

通信現(xiàn)在為大多數(shù)人和大多數(shù)企業(yè)所使用，而且還被用在很多重大事件的通信方面，所以保障通信的安全是最重要的，這也就體現(xiàn)了通訊監(jiān)理工作的重要性。通信監(jiān)理工作可以有效地保障通信內(nèi)容和信息的可靠性和安全性。防止一些破壞分子的惡意破壞，導致通信的癱瘓或紊亂，有效地保障人們和企業(yè)的通信的順暢，減少了很多不必要的麻煩。還可以通過通信監(jiān)理工作對一切有客觀原因引起的通訊安全與障礙的進行處理應(yīng)對，有效地降低風險，提高通訊的質(zhì)量與安全。

三、 小結(jié)

在這個發(fā)展迅猛的社會里，通訊已經(jīng)成為我們不可缺少的成分。而對于通訊的質(zhì)量和安全是我們最為看重的，通訊安全的保障同時也保障了我們的私有生活的安全和企業(yè)機密的安全性。本文主要就通訊監(jiān)理風險管控進行分析和探究，意在保障通訊的安全，將通訊安全風險帶來的損失降到最低。

參考文獻

[1] 劉鐵忠；張振華；陳妍；李志祥；；國防科研人員保密素質(zhì)影響因素SEM建模研究[J]；北京理工大學學報（社會科學版）；2010年04期

[2] 李晗；魏海燕；潘煒；；校園網(wǎng)絡(luò)中信息安全及保密問題淺析[J]；信息安全與通信保密；2011年03期

[3] 李洪敏；劉鴻強；陳志；盧敏；凌榮輝；；新時期科研機構(gòu)保密工作的難點及對策[J]；信息安全與通信保密；2008年09期

[4] 國家保密局副局長叢兵指出：要加強信息安全保密管理工作[J]；信息安全與通信保密；2004年11期

篇7

一、檔案數(shù)字化管理是時展的最佳選擇

面對檔案數(shù)字化存在的問題有人可能會產(chǎn)生疑問，既然有可能不安全，為何還要實現(xiàn)檔案管理的數(shù)字化呢？這就不得不提出檔案管理數(shù)字化帶給人們的便捷了。對比以前的檔案管理方式，不僅需要占用的管理人員多，而且管理效率低，出錯率高，管理人員勞動負擔重。但是當計算機和互聯(lián)網(wǎng)的發(fā)展應(yīng)用到生產(chǎn)、生活的各個方面時，我們不禁想到了將檔案管理工作也交給計算機和網(wǎng)絡(luò)。這樣不但便于檔案的保存和查詢，而且提高了管理的效率，降低了檔案管理的出錯率，還讓信息的搜集變得更加容易，更加快速，可以說是構(gòu)建了信息搜索的“高速公路”。這么多的優(yōu)點，使我們不得不選擇將檔案管理數(shù)字化，替代傳統(tǒng)的人工管理的舊方法。

二、檔案管理數(shù)字化中的信息安全風險

正如上面所說的，我們將檔案進行數(shù)字化管理就必須要利用計算機和網(wǎng)絡(luò)，而網(wǎng)絡(luò)是存在風險的，進而就是說，我們計算機中的各項檔案信息也是存在風險的。這些風險可能是由于網(wǎng)絡(luò)中的一些不法分子利用我們的檔案信息去從事詐騙或者其他犯罪事宜。尤其是一些計算機和網(wǎng)絡(luò)技術(shù)水平超高的黑客，憑借自己的技術(shù)將檔案中的信息弄到手，或者導致網(wǎng)絡(luò)癱瘓影響正常工作的進行。比如說可能會因為黑客的入侵導致檔案泄密，也可能因網(wǎng)絡(luò)癱瘓而影響正常工作的進行等。

三、檔案管理數(shù)字化中的信息安全風險的控制

對于在檔案管理過程中出現(xiàn)的信息安全風險，我們必須要進行控制并提出對應(yīng)的解決對策，這樣才能保證檔案的安全和我們的工作可以正常地進行。我們可以從以下幾個方面來應(yīng)對。

（一）從檔案信息的錄入、接收者開始防范

面對著檔案信息可能出問題的環(huán)節(jié)，我們就必須從源頭開始控制并預(yù)防。對于檔案信息的錄入者和接收者要進行規(guī)范，首先避免檔案信息會從他們這里漏出。

1.規(guī)范檔案信息錄入者的行為。我們要制定好明確地規(guī)范檔案管理者和檔案信息錄入者的行為指南，讓他們了解自己經(jīng)手的信息是否可以在互聯(lián)網(wǎng)上公開。如果能的話，應(yīng)該遵循什么原則，也就是要規(guī)范好檔案的范圍和界限以及保密級別。在規(guī)定范圍內(nèi)的檔案信息可以在互聯(lián)網(wǎng)上公開，進行調(diào)閱。但要注意，檔案的保密程度會隨著時間的延長而出現(xiàn)變化，所以，我們要根據(jù)檔案密級的變化而調(diào)整檔案的保密還是開放，從而使檔案能夠更好的讓人們利用。而有一部分檔案的級別是不能公開的，比如涉及個人隱私的、知識版權(quán)的都是需要永久保密的。這部分檔案絕對不能在網(wǎng)絡(luò)上，所以檔案管理人員在進行具體操作的時候，必須既遵守國家的法律規(guī)定，又要遵循制定的檔案規(guī)律。這樣才能避免檔案對象的合法權(quán)益受到損害。

2.規(guī)范檔案接收者的行為。檔案接收者是那些對在網(wǎng)上已經(jīng)的檔案信息下載或利用的個人或者組織。這些人的行為也必須加以規(guī)范，約束他們尊重別人的知識和版權(quán)，不非法占有和偽造，不對檔案信息進行非法修改，自覺遵守約束行為的這些規(guī)范。

（二）采取技術(shù)約束

除了依靠接收人的自覺遵守規(guī)范以外，還要加強技術(shù)方面的強制控制。比如，可以給檔案加密碼，有以下幾種方法：1.數(shù)字簽名法。讓使用人首先在互聯(lián)網(wǎng)上進行簽名，即身份確定，正好證明使用人的信息和身份的真實性，排除入侵者的可能性。2.加防火墻。使外部網(wǎng)絡(luò)無法輕易攻擊檔案信息所在的局域網(wǎng)，從而使內(nèi)部信息不會被竊取或受到破壞。3.給檔案信息加上密鑰。將檔案信息設(shè)置成能看到一部分，即一部分明文，剩余部分需要密碼才能繼續(xù)瀏覽。

（三）必要的政策控制和授權(quán)控制不可缺少

篇8

當前,互聯(lián)網(wǎng)和電子信息技術(shù)的快速發(fā)展,為人們的生活、工作和學習提供了極大的便利,為推動國民經(jīng)濟發(fā)展做出了突出的貢獻。但與此同時,信息安全逐漸成為制約電信運營企業(yè)發(fā)展的一個瓶頸,各種信息安全風險和隱患隨著互聯(lián)網(wǎng)的普及和信息技術(shù)的發(fā)展越來越值得關(guān)注,怎樣保障信息安全成為電信運營企業(yè)面臨的重要任務(wù)。本文結(jié)合電信運營企業(yè)的實際情況,對電信企業(yè)信息安全項目的風險問題進行了分析,提出了加強信息安全項目風險管理的要求和風險控制方法,闡述了電信運營企業(yè)信息安全項目風險管理策略,以供參考。

關(guān)鍵詞:

電信運營企業(yè);信息安全;項目風險管理

近年來,我國電信網(wǎng)絡(luò)系統(tǒng)越來越成熟,電信用戶數(shù)量大幅上漲,而電信運營企業(yè)的信息安全系統(tǒng)建設(shè)相對比較緩慢,實際運行經(jīng)驗和信息安全系統(tǒng)平臺管理都存在很多不足,這也使得各種信息安全事故頻發(fā),給國家、社會和人們造成巨大損失。為了解決這個困境,電信運營企業(yè)必須積極構(gòu)建完善的信息安全系統(tǒng),投入更多精力和成本,加強信息安全項目風險管理,配備先進的網(wǎng)絡(luò)安全監(jiān)控技術(shù),實時掌握電信網(wǎng)絡(luò)安全狀態(tài),全面提高電信網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性。

一、電信運營企業(yè)信息安全項目存在的風險問題

(一)需求不確定電信運營企業(yè)的信息安全項目涉及相關(guān)硬件平臺、軟件系統(tǒng)以及信息安全保障內(nèi)容,多種內(nèi)容和因素的影響使得信息安全項目需求具有不確定性。一方面,用戶需求的不確定性,不同用戶對于同一個信息安全項目可以有著不同的要求和理解,而同一個用戶在不同地點、不同時間也會有不同要求;另一方面,工作量的不確定性,信息安全系統(tǒng)建設(shè)的工作量無法通過有效方法進行估算,很多信息安全項目都具有創(chuàng)造性,沒有先例可以參考借鑒,實際建設(shè)和估算計劃往往較大差異,項目計劃的不準確很容易造成預(yù)算超標、時間拖延,甚至整個項目的失敗。

(二)技術(shù)風險信息安全項目在某些方面都具有抽象性,這樣使得各個階段的項目設(shè)計沒有可以遵循和參照的規(guī)范,信息安全項目設(shè)計和傳統(tǒng)項目相比存在較大差異,設(shè)計和施工無法分離,前期的需求說明和要求不能確定對于后期設(shè)計是否充分和完整,存在很多技術(shù)方面的風險。由于組織設(shè)計存在問題或者缺陷,信息安全項目功能無法達到用戶要求,例如,信息安全項目運轉(zhuǎn)效率較低,無法保障信息安全質(zhì)量;相關(guān)信息安全資料不方面,使用和理解不方便;信息安全項目響應(yīng)速度過慢,無法滿足用戶要求。同時,數(shù)據(jù)庫設(shè)計不合理也是信息安全項目面臨的常見技術(shù)問題,代碼設(shè)計不全面、數(shù)據(jù)完整性控制不足、數(shù)據(jù)冗余等,都導致信息安全項目存在潛在風險。

(三)進度風險對于信息安全項目,嚴格控制項目進度、優(yōu)化項目進度管理,確保整個信息安全項目在規(guī)定時間內(nèi)完成是電信運營企業(yè)信息安全項目風險管理的重要內(nèi)容,但是在實際應(yīng)用中,一方面前期的規(guī)劃設(shè)計方案不合理,后期開發(fā)建設(shè)過程中出現(xiàn)各種問題;另一方面,信息安全項目實施過程中出現(xiàn)問題或者遇到意外,又沒有有效的補救辦法,造成工期延誤。一旦信息安全項目被延誤,僅通過增加工作人員無法有效地進行彌補,開發(fā)設(shè)計人員之間需要溝通交流和默契配合,而隨著工作人員的增多,會加劇信息安全項目設(shè)計開發(fā)的復(fù)雜性,甚至導致更多的返工和混亂。

(四)成本風險信息安全項目的實施成本主要包括維護費用、軟件培訓費用、使用許可費用、硬件費用等,在具體的應(yīng)用過程中,結(jié)合時間安排和項目進度,怎樣合理分配應(yīng)用費用,有效控制應(yīng)用成本是電信運營企業(yè)需要面臨的重要問題。若信息安全項目無法按照相關(guān)進度計劃有效開展,會導致實施成本增加和時間延誤,即使信息安全項目被使用,也達不到預(yù)算和時間要求。

(五)其他風險信息安全項目風險管理和安全管理人員、工作目標、組織結(jié)構(gòu)、信息網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)架構(gòu)等有著密切的關(guān)系,并且信息安全項目開發(fā)設(shè)計是一個勞動密集型任務(wù),每個階段都需要有人的參與,但是人的行為是很難預(yù)測和控制的,因此人的因素使信息安全項目存在很大不確定性。

二、電信運營企業(yè)信息安全項目風險管理策略

電信運營企業(yè)的信息安全項目具有復(fù)雜性、創(chuàng)造性、一次性等特點,建設(shè)過程中需要耗費大量的財力、物力和人力,而信息安全項目往往是風險和收益共存,項目規(guī)模越大,利潤越高,但是風險也越高,信息安全項目必須進行有效地控制和管理,但是這些項目往往受到多種因素的影響,管理控制不到位,就會造成項目無法達到預(yù)期目標、工期超出計劃、投資超出預(yù)算等。在實際應(yīng)用中,電信運營企業(yè)的信息安全項目風險管理必須做好以下幾點:

(一)制定風險應(yīng)對計劃為了避免發(fā)生各種風險事件,應(yīng)制定科學合理的風險應(yīng)對計劃,結(jié)合電信運營企業(yè)的實際情況和自身特點,基于風險定量分析和定性識別,采取預(yù)防式策略,減輕或者避免風險事件,做好充分的準備工作,最大程度地降低或者消除信息安全項目風險事件發(fā)生概率。電信運營企業(yè)在制定信息安全項目的風險應(yīng)對計劃時,應(yīng)包括應(yīng)急方案、資源需求、風險應(yīng)對行動計劃、風險量化評估、風險定性識別等內(nèi)容。結(jié)合項目應(yīng)用條件、環(huán)境和項目自身的變化,根據(jù)專家經(jīng)驗、歷史經(jīng)驗、風險影響等判斷信息安全項目的風險征兆,有針對性地制定相應(yīng)風險應(yīng)對計劃。同時,信息安全項目的應(yīng)急方案應(yīng)堅持按需定制,對項目中的緊急或者特殊事件采取有效的應(yīng)急控制措施,確保信息安全項目順利實施。

(二)風險主動控制基于信息安全項目的風險分析,電信運營企業(yè)應(yīng)做好風險主動控制,全面控制和監(jiān)督信息安全項目全過程。首先,結(jié)合已經(jīng)識別的信息安全項目風險,整理和獲取當前風險狀態(tài),結(jié)合已經(jīng)發(fā)生的條件,判斷信息安全項目風險是否已經(jīng)發(fā)展為問題。其次,結(jié)合風險分析和跟蹤結(jié)果,有效、及時地控制信息安全項目實施,結(jié)合風險應(yīng)對計劃,確定采用怎樣的行動。電信運營企業(yè)對信息安全項目進行風險主動控制時,主要包括以下三個步驟:第一步,執(zhí)行風險預(yù)防性措施,結(jié)合信息安全項目制定的風險應(yīng)對計劃,做好風險的事前防范和控制,避免發(fā)生安全事故影響信息安全項目的進度、質(zhì)量和成本,實施第一步時,結(jié)合信息安全項目應(yīng)對計劃中的各種防范活動,做好事前管理和控制,對相應(yīng)執(zhí)行情況進行存檔,便于風險發(fā)展評估和執(zhí)行效果跟蹤。第二步,確定風險,結(jié)合信息安全項目的風險定量分析結(jié)果進行風險評估排序,對不同階段內(nèi)已經(jīng)識別的項目風險,重點關(guān)注高影響風險,廣泛收集風險事件相關(guān)信息,跟蹤信息風險。第三步,判斷新情況,結(jié)合信息安全項目具體情況,根據(jù)風險控制和跟蹤結(jié)果,判斷是否存在一些沒有被識別的風險或者風險是否發(fā)生一些新情況,結(jié)合具體情況,重新調(diào)整信息安全項目管理計劃。

(三)健全信息安全項目風險管理制度電信運營企業(yè)應(yīng)高度重視信息安全項目的風險管理,嚴格落實保密制度,加強保密監(jiān)督,平衡保密和電信網(wǎng)絡(luò)系統(tǒng)信息資源開放共享的關(guān)系,強化電信保密管理,確保電信運營企業(yè)的信息安全項目順利實施。首先,對于電信運營企業(yè)的信息安全項目進行風險劃分,嚴格控制秘密信息;其次,落實保密審批和信息公開制度,構(gòu)建信息安全項目風險管理責任制;再次,強化保密監(jiān)督,信息安全項目風險控制和信息保護應(yīng)由專門的工作人員或者機構(gòu)負責,檢查和監(jiān)督信息安全項目風險管理情況。

(四)加強風險管理控制首先,電信運營企業(yè)應(yīng)認真分析信息安全項目的用戶要求和應(yīng)用特點,安排專業(yè)技術(shù)功底好、實踐經(jīng)驗豐富的工作人員進行開發(fā)設(shè)計,規(guī)劃設(shè)計階段應(yīng)全面考慮到信息安全項目的各種影響因素,制定科學合理、切實可行的風險管理計劃。其次,加強信息安全項目進度風險控制,一個項目的順利實施需要很多工作人員的共同努力,通過加強風險跟蹤、風險分析、風險識別、風險管理等措施,加快信息安全項目開發(fā)速度,保障電信運營企業(yè)的經(jīng)濟效益。最后,信息安全項目實施過程中一旦遇到問題或者發(fā)生安全事件,會給電信運營企業(yè)造成很大的經(jīng)濟損失,在前期規(guī)劃設(shè)計階段,應(yīng)做好成本投資計劃,充分考慮到信息安全項目的經(jīng)濟利益和風險,在整個項目實施過程中加強成本風險控制,強化工作人員的責任意識,最大程度地確保信息安全項目的順利進行。

三、結(jié)束語

篇9

[關(guān)鍵詞]巴塞爾新資本協(xié)議；操作風險管 ；IS027001；信息資產(chǎn)

[中圖分類號]F831　[文獻標識碼]A　[文章編號]1006-5024(2009)04-0167-04

[作者簡介]董紅，北京航空航天大學經(jīng)濟管理學院博士生，研究方向為風險管理與決策；(北京100083)

邱菀華，中國光大銀行總行風險管理部教授，博士生導師，研究方向為決策、風險與項目管理；

林直友，中國光大銀行總行風險管理部業(yè)務(wù)經(jīng)理、碩士，研究方向為金融風險管理。(北京100045)

金融業(yè)的全面開放和金融服務(wù)的管制放松，以及高端化的信息技術(shù)，使銀行的業(yè)務(wù)、產(chǎn)品日益多元化，這直接導致其面臨的風險更為復(fù)雜和多樣。國內(nèi)外銀行業(yè)重大違規(guī)事件及美國金融海嘯影響的迅速擴大，迫切需要國內(nèi)外金融監(jiān)管部門和從業(yè)機構(gòu)反思對操作風險的管理和防范，加強合規(guī)管理。2004年的巴塞爾新資本協(xié)議，將操作風險正式納入資本監(jiān)管范圍，并進一步提出了明確的監(jiān)管資本要求。2007年我國銀監(jiān)會再次對其進行解讀和說明。然而，由于操作風險情況復(fù)雜，與銀行自身的規(guī)模、經(jīng)驗、業(yè)務(wù)特征等密切相關(guān)，具有和動態(tài)變化等特點。因此，探索適合銀行不同類別操作風險特點的管理和計量方法，是一項十分重要而緊迫的課題。

一、操作風險管理的困惑與問題

到目前為止，有關(guān)操作風險的定義、管理及計量問題一直困擾著各家商業(yè)銀行和監(jiān)管機構(gòu)，國內(nèi)外銀行也未對它形成統(tǒng)一的認識。本文采用至今已被大多數(shù)銀行所接受的巴塞爾銀行監(jiān)管委員會有關(guān)操作風險的定義，即由于不完善或有問題的內(nèi)部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險。新資本協(xié)議從風險監(jiān)管的角度將操作風險事件劃分為七種類型，包括內(nèi)部欺詐，外部欺詐，雇員活動和工作場所的安全問題，客戶、產(chǎn)品和業(yè)務(wù)活動的安全問題，銀行維系經(jīng)營的實物資產(chǎn)損壞，業(yè)務(wù)中斷和系統(tǒng)故障，執(zhí)行、交付和過程管理等。就其風險成因可分為人員、流程、系統(tǒng)和外部事件四大類。此外，按產(chǎn)品線將商業(yè)銀行的業(yè)務(wù)劃分為公司金融、交易和銷售、零售銀行業(yè)務(wù)、商業(yè)銀行業(yè)務(wù)、支付和結(jié)算、業(yè)務(wù)、資產(chǎn)管理和零售經(jīng)紀類，并對每一類產(chǎn)品分別規(guī)定不同的操作風險資本要求系數(shù)，籍以用標準法計算操作風險總體資本要求。

巴塞爾委員會給出了管理操作風險的十大原則，但這些原則都是從宏觀角度要求商業(yè)銀行應(yīng)該建立什么

樣的組織、制度和流程，并未給出管理操作風險的詳細方法和手段。實際工作中，我們發(fā)現(xiàn)信息資產(chǎn)是商業(yè)銀行極其重要的一類資產(chǎn)，在信息時代，一個機構(gòu)要利用其擁有的資產(chǎn)，特別是信息資產(chǎn)來完成其使命，因此，對信息資產(chǎn)的管理關(guān)系到該機構(gòu)能否完成其使命的大事。然而，由于信息資產(chǎn)對IT系統(tǒng)的依賴性很強，絕大部分具有無形化、易變化、易傳播的特點，且風險存在于其產(chǎn)生、傳遞、使用和銷毀等各個環(huán)節(jié)，與一般銀行產(chǎn)品相比，具有很大的獨特性。所以，我們建議將此類資產(chǎn)作為商業(yè)銀行一類獨特的產(chǎn)品線來進行管理。在實踐中，我們發(fā)現(xiàn)ISO27001為有效管理組織的信息資產(chǎn)、確保信息安全提出了一整套要求和最佳實踐指南。它從11個方面對信息資產(chǎn)的安全管理提出要求，其管理思想完全符合操作風險的管理原則，并且是在其原則基礎(chǔ)上的細化，如高層管理的支持和承諾、資源管理、風險評估、內(nèi)部審核、信息的溝通、有效性測量和改進，等等。可見，ISO27001不僅適用于多數(shù)IT軟硬件開發(fā)等企業(yè)，同時也適用于銀行、保險等信息化程度較高的金融行業(yè)。

因此，我們希望能夠使用ISO27001的管理標準來細化商業(yè)銀行信息資產(chǎn)類產(chǎn)品的風險管理，進而按照操作風險管理的總體原則與其他類產(chǎn)品進行融合，最終實現(xiàn)在總體框架要求下對信息資產(chǎn)類操作風險的細化管理。

二、ISO27001簡介

ISO／IEC27001源自英國標準協(xié)會制定的BS7799，包括兩部分內(nèi)容：BS7799―1信息安全管理實施細則和BS7799-2信息安全管理體系規(guī)范。其中，BS7799-1被ISO組織吸納為ISO／IEC17799，BS7799-2升版并轉(zhuǎn)換為國際標準ISO／IEC2700I，它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出組織應(yīng)遵循的風險評估標準。

信息是一種資產(chǎn)，就像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織是不可或缺的，需要妥善保護。根據(jù)ISO／IEC27001的定義，資產(chǎn)是對組織有價值的任何東西。它能以多種形式存在，如有形資產(chǎn)(硬件、軟件、數(shù)據(jù)文件、人員等)、無形資產(chǎn)(聲譽、品牌、客戶關(guān)系等)、輔助資產(chǎn)(信息資產(chǎn)的制造、存儲、傳輸、處理、銷毀等)。信息安全就是指保持這些資產(chǎn)的機密性、完整性和可用性。另外，也可包括諸如真實性、可核查性、不可否認性和可靠性等。

1　機密性――信息具有不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。

2　完整性――保護資產(chǎn)的準確和完整的特性。

3　可用性――根據(jù)授權(quán)實體的要求可訪問和利用的特性。

企業(yè)的業(yè)務(wù)戰(zhàn)略以企業(yè)的資產(chǎn)來得以體現(xiàn)，但資產(chǎn)自身不可避免地帶有漏洞，我們稱之為資產(chǎn)的脆弱性。外界的威脅則利用資產(chǎn)的脆弱性，給企業(yè)帶來風險。信息安全就是要保護信息資產(chǎn)免受威脅的影響，從而確保業(yè)務(wù)的連續(xù)性，縮減業(yè)務(wù)風險，最大化投資收益并充分把握業(yè)務(wù)機會。構(gòu)建信息安全管理體系，就是通過對組織信息資產(chǎn)的風險評估，確定重要信息資產(chǎn)清單以及風險等級，從而采取相應(yīng)的控制措施來實現(xiàn)信息資產(chǎn)的安全性。信息安全管理的核心是風險管理，其對象是組織的信息資產(chǎn)。我們將其作為操作風險管理產(chǎn)品線之外的第九類特殊產(chǎn)品線，評估其價值和風險，確定相應(yīng)的安全需求，并制定安全措施來降低和控制資產(chǎn)的風險。

可見，信息安全風險，是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響，包括由于IT流程缺陷、系統(tǒng)的業(yè)務(wù)需求／流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意／蓄意失誤、外部事件等因素直接導致業(yè)務(wù)操作風險并間接導致信用、市場、聲譽等風險。它不僅存在于應(yīng)用系統(tǒng)及IT基礎(chǔ)設(shè)施等信息資產(chǎn)中，而且存在于業(yè)務(wù)流程及管理流程中。ISMS是通過實施一整套適當?shù)目?/p>

制措施來實現(xiàn)目標的，包括策略、過程、程序、組織結(jié)構(gòu)和軟硬件功能，他們可以是行政、技術(shù)、管理、法律等方面的。IS017799包含了11個管理要項，既有偏重管理的信息安全方針、安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、事故管理、業(yè)務(wù)連續(xù)性管理、法律符合性等方面，也有偏重于技術(shù)的通信和操作管理、訪問控制、系統(tǒng)開發(fā)和維護等內(nèi)容，每一部分都針對不同的主體或范圍，在這11個管理要項中，它又細分為39個控制目標和133個控制措施。可以說，ISO／IEC27001是目前國際上關(guān)于信息安全管理要求最全面、最完整的體系，可有效防范信息資產(chǎn)風險，從而進一步鞏固操作風險的駕馭能力，保證組織核心業(yè)務(wù)的持續(xù)運行。

三、基于風險的信息安全管理體系的構(gòu)建

信息安全管理體系是基于業(yè)務(wù)風險方法建立、實施、運行、監(jiān)視、評審、保持和改進信息安全，提出了基于戴明環(huán)的Plan-Do-Check-Act(PDCA)風險模型，強調(diào)全過程和動態(tài)的控制，如圖所示。它的設(shè)計思路充分體現(xiàn)了“過程方法”的特點，以過程為控制對象，在業(yè)務(wù)和風險管理過程中控制風險，實現(xiàn)持續(xù)改進，并達到監(jiān)管方要求實現(xiàn)的事前、事中、事后全程控制。

(一)策劃并建立信息安全管理體系

1　確定安全方針和范圍

信息安全管理體系可覆蓋組織的全部或部分，組織需根據(jù)業(yè)務(wù)特征、地理位置、資產(chǎn)和技術(shù)等明確界定體系的范圍，并使之文件化。另外，要制定ISMS方針和策略，它是指導如何對組織信息資產(chǎn)進行管理的規(guī)則，是構(gòu)建信息安全管理體系的宗旨。它表明了管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。

2　資產(chǎn)的識別和評價

資產(chǎn)管理是實施有效ISMS的基礎(chǔ)，也是風險評估的核心內(nèi)容。資產(chǎn)管理的優(yōu)劣直接影響評估的效率和質(zhì)量以及保持循環(huán)評估的連續(xù)性，而且有助于預(yù)見這些數(shù)據(jù)在之后風險分析中的重要作用。

資產(chǎn)識別A：為保證資產(chǎn)識別的合理性，建議組織從業(yè)務(wù)流程角度(縱向比較)和信息活動(橫向比較)兩個角度進行。在清晰識別資產(chǎn)后，組織應(yīng)根據(jù)資產(chǎn)的重要性形成文件，建立資產(chǎn)清單，包含資產(chǎn)類型、格式、位置、責任人、備份信息和業(yè)務(wù)價值。

資產(chǎn)評價的目的是確保資產(chǎn)受到相應(yīng)等級的保護，以保障在處理信息時指明保護的需求、優(yōu)先級和期望程度。企業(yè)的所有資產(chǎn)都處在業(yè)務(wù)流程和相應(yīng)的支持過程中，資產(chǎn)的重要程度，應(yīng)根據(jù)其所處業(yè)務(wù)流程的位置，且與其它資產(chǎn)的比較中界定。通過分析資產(chǎn)的機密性、完整性、可用性及其它需求進行評估。對資產(chǎn)賦值時，一方面要考慮資產(chǎn)購買成本，另一方面也要考慮當這種資產(chǎn)的機密性、完整性和可用性受到損害時，對業(yè)務(wù)運營的負面影響程度。

3　風險評估

資產(chǎn)管理和風險評估是相輔相成，緊密相連的。在實際操作過程中，資產(chǎn)管理數(shù)據(jù)可為風險評估提供支持；而每次風險評估正是對資產(chǎn)管理數(shù)據(jù)進行修正和維護的過程。因此，定義全面合理的信息安全風險評估方法及風險可接受準則是十分關(guān)鍵的。評估方法要和組織既定的體系范圍、安全需求、法律法規(guī)相適應(yīng)。另外，組織應(yīng)建立風險評估文件，解釋和說明所選擇的風險評估方法，介紹所采用的技術(shù)和工具。

(1)威脅識別T：威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或事件。評估者應(yīng)根據(jù)經(jīng)驗和有關(guān)統(tǒng)計數(shù)據(jù)判斷威脅發(fā)生的頻率或概率。

(2)脆弱性識別V：弱點是資產(chǎn)本身存在的，若被威脅利用將引起資產(chǎn)或目標的損害。我們將針對每一項要保護的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對其嚴重程度進行評估，為其賦值。

(3)對已有安全控制措施進行確認。

(4)建立風險測量的方法及風險等級評價原則，結(jié)合資產(chǎn)本身的價值、威脅發(fā)生的概率、威脅利用弱點的影響程度和已有控制等來確定風險的大小與等級R。即R=f(A，v，T)＝f[Ia，L(Va，T)]，其中Ia表示資產(chǎn)的重要程度；Va表示某資產(chǎn)本身的脆弱性，L表示威脅利用脆弱性對資產(chǎn)造成安全事件的可能性。

(5)識別并評價風險處理的方法，包括接受風險、降低風險、規(guī)避風險、轉(zhuǎn)移風險等。組織應(yīng)加以分析，區(qū)別對待所識別的信息安全風險。若風險滿足組織可接受的風險準則，將接受風險。否則，考慮規(guī)避風險或轉(zhuǎn)移風險。若無法規(guī)避或轉(zhuǎn)移的風險，應(yīng)采取適當?shù)目刂拼胧瑢⑺档偷娇山邮芩健?/p>

(6)選擇控制目標和措施

選擇并建立文件化的控制目標和措施，制定風險處置計劃。ISO27001系列強調(diào)在風險處理方式及控制措施的選擇上，組織應(yīng)考慮發(fā)展戰(zhàn)略、組織文化、人員素質(zhì)，并特別關(guān)注成本與風險的平衡，以滿足法律法規(guī)及相關(guān)方的要求。另外，實施控制措施后仍會有殘余風險存在，我們需要密切監(jiān)視這些風險，防止它誘發(fā)新的風險事件。

(7)獲得最高管理者的授權(quán)批準

風險識別和評估對后續(xù)可行的風險監(jiān)測和控制至關(guān)重要。有效的風險識別要同時考慮內(nèi)部因素(如企業(yè)結(jié)構(gòu)、性質(zhì)、文化以及人員的素質(zhì)和流動性等)和外部因素(如環(huán)境的變化和技術(shù)的發(fā)展)，他們可能對組織目標的實現(xiàn)造成重大不利影響。在識別絕大多數(shù)潛在的不利風險的同時，組織還應(yīng)該評估自身對這些風險的承受能力。通過有效的風險評估，組織可以更好地掌握其風險狀況和最有效地使用風險管理資源。

(二)實施并運行信息安全管理體系

闡明并實施風險處置計劃。在此過程中，組織應(yīng)指明和分配適當?shù)墓芾泶胧①Y源(人員、時間和資金)、職責和優(yōu)先級。針對不同的管理層次、崗位和職責制訂不同的培訓計劃，記錄并考核培訓的效果。通過提高全員的信息安全意識，塑造企業(yè)的風險文化，保證意識和控制活動的同步，確保體系的持續(xù)有效性和實時性。同時，組織應(yīng)搜集證據(jù)、記錄信息安全管理活動，為將來的評審、檢查做準備。

(三)監(jiān)視并評審信息安全管理體系

監(jiān)控、評審階段主要用來加強、修訂及改進已識別的控制措施和解決方案。對不合理、不充分的控制措施應(yīng)及時采取糾正和預(yù)防。組織可通過多種方式檢查和監(jiān)視信息安全管理體系的運行狀況，如收集安全審核的結(jié)果、事故、以及所有相關(guān)方的建議和反饋；定期評審殘余風險和可接受風險的等級；通過內(nèi)部審核和管理評審檢查信息安全管理體系的有效性、符合性等。此外，組織應(yīng)做好記錄，并報告影響信息安全管理體系有效性或業(yè)績的所有活動、事件。

(四)改進信息安全管理體系

基于評審結(jié)果或其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進信息安全管理體系，開始新一輪的PDCA循環(huán)。改進活動和措施必須獲得所有相關(guān)方的認可，并確保達到預(yù)期目的。

四、信息資產(chǎn)類操作風險管理的實施建議

ISO27001是文件化的體系，它把傳統(tǒng)的銀行信息安全與IT治理、風險審計和風險評估結(jié)合在一起，產(chǎn)生了一個新的管理維度和應(yīng)用維度。在國際標準化的大潮流下，將基于風險評估的ISO27001體系要求引入業(yè)務(wù)流程和風險體系，規(guī)范現(xiàn)有業(yè)務(wù)運作，全面提升員工的風險意識和責任，從而有效地降低內(nèi)部欺詐等各類風險發(fā)生的幾率，做到從源頭防范風險，保護客戶信息。

篇10

近幾年來，在領(lǐng)導高度重視下，我們加大了信息科技建設(shè)的推進力度，大大縮小了與同業(yè)科技差距：建成了現(xiàn)代化、高標準的信息系統(tǒng)數(shù)據(jù)中心，初步形成同城生產(chǎn)和災(zāi)備兩中心模式；全面開展網(wǎng)絡(luò)改造，將廣域網(wǎng)三級架構(gòu)改為二級架構(gòu)，各營業(yè)網(wǎng)點配置2條專線，分別直接上聯(lián)生產(chǎn)中心和同城災(zāi)備中心，實現(xiàn)了業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)專網(wǎng)進行物理隔離，增強了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性；建設(shè)完善了網(wǎng)上銀行、銀行卡系統(tǒng)、資金債券系統(tǒng)、信貸系統(tǒng)等應(yīng)用系統(tǒng)，形成了結(jié)構(gòu)清晰、業(yè)務(wù)功能基本滿足業(yè)務(wù)發(fā)展和經(jīng)營管理需要的應(yīng)用系統(tǒng)體系。相對于信息化建設(shè)發(fā)展水平的快速提高，我行的信息科技風險管理水平略顯滯后，也與監(jiān)管當局的要求存在一定的差距。開發(fā)測試體系建設(shè)需進一步完善，代碼質(zhì)量管理、Bug管理、開發(fā)過程管理、測試管理需進一步加強；系統(tǒng)運行管理有待改進，生產(chǎn)系統(tǒng)監(jiān)控和流程管理自動化管理手段不足，邏輯訪問控制有待加強；業(yè)務(wù)連續(xù)性管理及應(yīng)急體制建設(shè)有待加強，應(yīng)制訂全行性的業(yè)務(wù)連續(xù)性規(guī)劃及應(yīng)急演練方案，并定期更新，切實發(fā)揮相關(guān)部門職能，按要求組織開展應(yīng)急預(yù)案的演練，提高應(yīng)急演練的有效性和覆蓋面。李秀生:北京農(nóng)商銀行的信息科技風險管理制度體系涵蓋開發(fā)測試、運行維護、設(shè)備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學性、合理性和可操作性。信息科技風險管理進展為了提升信息科技風險管理水平，北京農(nóng)商銀行根據(jù)監(jiān)管要求，結(jié)合信息科技建設(shè)實際情況，不斷完善科技風險管理治理架構(gòu)，初步建立了科技風險防控體系，有效預(yù)防和消除了科技風險事件的發(fā)生，確保了生產(chǎn)安全穩(wěn)定運行和信息安全。

1.完善信息科技風險治理結(jié)構(gòu)，明確信息科技風險“三道防線”的職責。成立了信息科技管理委員會，除了審議信息科技戰(zhàn)略規(guī)劃、推動信息科技建設(shè)的職能外，著重加強審議信息科技風險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風險管理職能，強化了科技風險管理體系建設(shè)中高層的推動作用；設(shè)置了首席信息官，直接參與跟信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策，確保信息科技各項工作的有效開展和落實；形成了由信息科技部門、風險管理部門及審計部門組成的信息科技風險“三道防線”。

2.持續(xù)建立健全信息科技風險管理制度體系。對現(xiàn)有信息科技制度體系進行了整體評估，重新梳理確定信息科技制度體系架構(gòu)，建立包括制度、實施細則及技術(shù)規(guī)范（標準）三層架構(gòu)的制度體系。同時規(guī)范對現(xiàn)有制度的管理，形成了《信息科技制度匯編》，涵蓋開發(fā)測試、運行維護、設(shè)備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學性、合理性和可操作性，有效指導信息化建設(shè)和風險管理工作的開展。

3.事前、事中、事后管理并重，提升信息科技風險管理水平。一是強化風險防控意識，防范于未然。持續(xù)對全體科技員工進行風險意識教育，樹立對風險防控的高度敏感性和責任心，積極向員工傳導遵守法律法規(guī)和實施內(nèi)部控制的重要性，培養(yǎng)員工的誠信和道德，規(guī)范員工職業(yè)行為，從源頭上控制、減少潛在風險的發(fā)生。二是健全內(nèi)控機制，規(guī)范事中管理。科學合理設(shè)置科技崗位，明確每個崗位的職責、權(quán)限，建立了逐級授權(quán)和審批機制，并制定相應(yīng)控制措施；規(guī)范崗位操作流程，重要操作如版本遷移、數(shù)據(jù)修改等實行雙人制，一人操作，一人復(fù)核，防止出現(xiàn)控制真空，產(chǎn)生風險；同時重視利用技術(shù)手段來強化風險管理，如批量作業(yè)自動化系統(tǒng)、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)的建成有效地提升了系統(tǒng)運維風險管理水平。三是加強信息科技風險的識別和檢查，持續(xù)督促、跟蹤整改，深入挖掘信息科技運行及管理存在的問題和潛在風險，制訂整改措施并積極整改。建立內(nèi)部定期專項檢查機制，根據(jù)每年年初制訂檢查計劃，進行檢查，詳細記錄檢查結(jié)果，建立風險整改臺賬，定期對整改情況進行監(jiān)督及跟蹤。除加強上述自查工作之外，還積極配合監(jiān)管當局開展各項檢查，積極借助外部的力量幫助發(fā)現(xiàn)問題，查找隱患，從而提升科技風險防范能力。

4.加強信息安全體系建設(shè)，強化信息安全管理。完成了信息安全體系規(guī)劃，建立科學合理的信息安全體系框架，制定較為完善的信息安全策略；通過實施網(wǎng)絡(luò)邊界控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離、全面病毒防護、桌面系統(tǒng)監(jiān)控、數(shù)據(jù)分級與使用保護等系列安全項目，建設(shè)形成覆蓋數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全的綜合信息安全體系，確保生產(chǎn)系統(tǒng)安全和客戶信息安全，防范科技風險。未來的工作重點通過以上科技風險管理工作的開展，有效消除和防范了科技運行及科技管理中的風險隱患，近幾年我行未發(fā)生信息科技風險事件，科技風險管理水平和防控能力得到顯著提升。針對目前科技風險管理中存在的薄弱環(huán)節(jié)，未來信息科技風險管理的工作重點將體現(xiàn)在以下幾個方面。

1.進一步完善信息科技風險治理結(jié)構(gòu)，持續(xù)推進科技風險“三道防線”建設(shè)。進一步明確信息科技風險治理結(jié)構(gòu)中各級主體的工作職責，充分發(fā)揮各級主體的職能作用，形成職責明確、結(jié)構(gòu)合理的信息科技風險管理架構(gòu)；特別是加強風險管理部門對信息科技風險的管控，形成一個職責明確、功能互補、相互監(jiān)督、相互制約、共同發(fā)展的信息科技風險防范的有機整體。

2.加強軟件開發(fā)質(zhì)量管理體系建設(shè)，強化開發(fā)過程中風險的管理。建成基于我行現(xiàn)在的CMMI3級的軟件研發(fā)規(guī)范體系，通過CMMI3級驗收，全面推廣體系的應(yīng)用，整個體系涵蓋了軟件的需求、設(shè)計、開發(fā)、測試等各環(huán)節(jié)，有效規(guī)范了整個開發(fā)過程的管理；落實需求歸口管理機制，推行重大項目需求評審機制，進行重要系統(tǒng)組織級方案評審，提高項目計劃管理和風險管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強化外包管理，規(guī)范外包人員工作量評估，加強外包人員工作環(huán)境管理。

3.進一步推進運維體系建設(shè)。加強對生產(chǎn)變更的風險評估，嚴格變更過程管理，嚴控變更風險；確保事件分級制度的落地執(zhí)行，形成有效的事件升級和響應(yīng)機制；進一步加強對問題的快速解決，并逐步深化問題的后續(xù)管理，從多維度進行生產(chǎn)問題分析，提高生產(chǎn)管理水平；充分發(fā)揮系統(tǒng)監(jiān)控、網(wǎng)絡(luò)監(jiān)控工具的作用，完成應(yīng)用監(jiān)控建設(shè)，全面了解系統(tǒng)運行狀態(tài)，及時定位故障；全面提高運維管理水平及風險防控能力。