時間:2022-03-03 17:50:33
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全風險管理,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【 關鍵詞 】 企業(yè)信息;信息安全;風險管理;框架探究
1 引言
人類社會在不斷發(fā)展,信息化逐漸融入人們生活。信息資源對于現(xiàn)代企業(yè)來講,是每時每刻都存在的運轉(zhuǎn)載體,各種重要數(shù)據(jù)、企業(yè)的知識產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息,除這些信息外,其他相關方面的數(shù)據(jù)也被企業(yè)所利用,例如合作伙伴、客戶、員工等資料,尤其是一些服務性企業(yè),比如網(wǎng)商、快遞公司、金融公司、通信公司、航空公司等,這些企業(yè)更需要以信息系統(tǒng)作為支撐,信息資源成為企業(yè)不可或缺的重要組成部分。
2 新形勢下我國信息安全面臨的問題
2.1 風險意識在主觀上的淡薄
在我國信息安全上面,思想認識面臨高風險的形勢,大部分企業(yè)的管理高層對信息資產(chǎn)的認識嚴重不足。或者局限在IT的安全方面,沒有合理的安全觀念引導企業(yè)在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,規(guī)范安全風險和安全法律法規(guī)對員工的培訓缺乏,很多信息安全事故的發(fā)生都是因為安全意識的薄弱造成的。
2.2 缺乏信息安全管理系統(tǒng)的思想
大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中,這種出現(xiàn)問題再去想彌補的方法是靜態(tài)的管理,不能在提前進行信息安全風險評估上做更有效的信息系統(tǒng)管理。
2.3 信息安全不僅僅是技術部門的事
多數(shù)企業(yè)認為信息安全的責任和義務都是IT部門的,造成信息技術部門無法和企業(yè)內(nèi)部其他部門互動,進而形成孤立的局面。但是,信息安全的實現(xiàn)需要各個部門的全員行動,特別是規(guī)范標準以及規(guī)章制度的貫徹落實,更牽涉到企業(yè)的每一名員工,全員行動的要求更是不能缺少。
2.4 存在重視安全技術而輕視安全管理的情況
現(xiàn)今為止,仍有很多企業(yè)僅僅依賴產(chǎn)品安全,認為信息安全就是信息產(chǎn)品安全。一般企業(yè)現(xiàn)在都會采用計算機和網(wǎng)絡技術來構(gòu)建企業(yè)的信息系統(tǒng),但是沒有把相應的管理措施開展到位。信息安全問題應該加強做好管理工作,不能單從技術方面著手。
2.5 現(xiàn)代管理手段與理論欠缺
日益龐大的現(xiàn)代化信息規(guī)模與越來越復雜的網(wǎng)絡結(jié)構(gòu),讓現(xiàn)有的風險管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足,企業(yè)應該結(jié)合實際情況和需要,把國際上優(yōu)異的信息安全風險管理理論以及先進的最佳實踐用作指導,以此達到信息安全的目的。
3 企業(yè)信息安全風險管理的框架探究
企業(yè)信息安全風險管理的框架包括兩個部分,一是企業(yè)信息安全風險管理的過程,二是企業(yè)信息安全風險管理的實施。其中,實施是過程的保障,整合各種資源要通過實施才能達到;過程是實施的前提,對過程的清楚有利于建立企業(yè)信息安全風險管理的統(tǒng)一理解,以此逐漸實現(xiàn)信息安全風險管理。企業(yè)信息安全風險管理包括風險分析、風險計劃、風險識別、風險監(jiān)督、計劃實施、風險改進六個動態(tài)過程。
信息安全風險管理是動態(tài)、持續(xù)性過程,信息安全通過潛在的風險識別、分析,同時進行計劃、實施、監(jiān)督、改善,然后再進入到下一個循環(huán)里,通過持續(xù)不斷的循環(huán)活動進行有計劃、持續(xù)的控制,不斷改進。
參照戴明的PDCA質(zhì)量管理模式,把安全項目實施劃分為四個階段,分別是準備和策劃、執(zhí)行和部署、監(jiān)控和檢查、評價和改進,實施階段有幾個工作步驟:(1)準備和策劃工作階段,首先調(diào)研信息安全風險管理現(xiàn)狀,接著進行風險評估,然后編制信息安全風險管理方案;(2)執(zhí)行和部署工作階段,進行部署安排,按計劃執(zhí)行,接著進行安全培訓;(3)監(jiān)控和檢查工作階段,做好企業(yè)安全現(xiàn)狀檢查,預測未來的變化;(4)評價和改進工作階段,制定改善措施,響應緊急事件。
4 企業(yè)信息安全風險管理的實施
在風險管理中人、過程、基礎結(jié)構(gòu)和實施是四大影響風險管理能力的關鍵因素,企業(yè)的信息安全風險管理能力同時也受著這四個因素制約,所以企業(yè)信息安全管理中十分重要的就是人通過各類資源和企業(yè)基礎結(jié)構(gòu)達到信息安全風險管理過程的實施活動。
企業(yè)在開始嘗試安全風險管理實施之前,很重要的一點是應該檢驗現(xiàn)有安全風險管理的完善度。假如企業(yè)在安全風險管理上沒有規(guī)范的流程和正式的策略,就會出現(xiàn)框架的實施非常艱難。換句話說讓企業(yè)有一些正式的策略和明確的指導,將避免大多數(shù)員工都在工作中不知所措。假如在安全風險管理上發(fā)現(xiàn)企業(yè)相對不夠成熟,則可以采取試點的形式,把安全風險管理實施到單個業(yè)務單元中,直到通過試運行在框架中顯示有效以后,再考慮將其他業(yè)務單元導入至整個企業(yè)框架中。
框架實踐需要以最優(yōu)實踐的經(jīng)驗為基準,必須有利于企業(yè)確定安全現(xiàn)狀,同時按照需要的安全方向進行改進,企業(yè)的安全風險管理能力通過不斷的提高,就能逐漸努力向著安全的目標前進。
5 結(jié)束語
進入信息化時代,企業(yè)已經(jīng)把信息系統(tǒng)的高效、互聯(lián)、精確的特征當作賴以生存和發(fā)展的必要條件。因此所伴隨產(chǎn)生的信息安全風險就成了企業(yè)關注的重點問題。在此情況之下,企業(yè)建立信息安全風險管理機制,利用科學的方法和手段控制各種風險的發(fā)生顯得尤為重要。動態(tài)循環(huán)是企業(yè)信息安全風險管理的一個過程,在風險評估的前提下,要落實對風險控制措施。同時對過程的實施要進行有效的控制和監(jiān)督,這就需要一個明確清晰并且具有可操作性的信息安全風險框架來指導。還有需要探究的工作在信息安全風險管理領域里,但愿本文能引來更多這一領域探究,從而做出保障企業(yè)信息安全的貢獻。
參考文獻
[1] 陳慧勤.企業(yè)信息安全風險管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企業(yè)IT風險管理的體系構(gòu)建與實現(xiàn)路徑[J].科技管理研究,2014,34(2):36-55.
[3] 葉銘.企業(yè)動態(tài)信息安全風險控制系統(tǒng)的研究[J].2012,08(11):81-85.
關鍵詞:信息系統(tǒng)安全 信息系統(tǒng)管理 計算機尖端科技
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2016)11-0209-01
目前,世界各國經(jīng)濟都在迅速發(fā)展,經(jīng)濟全球化的進程逐漸加快,伴隨著經(jīng)濟的推進,尖端科技迅猛發(fā)展。因此,電腦逐漸走進了各家各戶,移動互聯(lián)正在改變?nèi)藗兊纳罘绞健S嬎銠C網(wǎng)絡技術的優(yōu)越性使得人們對計算機網(wǎng)絡愈來愈“信賴”。然而隨之產(chǎn)生的便是用戶的網(wǎng)絡信息泄露事件。計算機網(wǎng)絡安全問題已經(jīng)受到了更多人的重視。所以,對信息系統(tǒng)安全風險管理方法的研究有著鮮明的現(xiàn)實意義。
1 信息系統(tǒng)安全風險管理方法研究
隨著計算機網(wǎng)絡技術的不突破何如普及,極大的方便著人們的生活和學習,而且正在慢慢的改變?nèi)藗兊纳罘绞健D壳埃嬎銠C網(wǎng)絡技術已經(jīng)被應用到軍事科技當中,中增強著我國國防力量。使得未來戰(zhàn)爭真正的實現(xiàn)“兵不血刃”。與此同時,信息系統(tǒng)的安全問題會“威脅”著國家的經(jīng)濟建設,和國防建設。所以這一切都表明了信息系統(tǒng)安全問題是一個國家安全建設的基礎,是國家社會發(fā)展和建設的保障。而信息系統(tǒng)的安全成為了信息化革命的基本。甚至可以說,信息系統(tǒng)安全問題關系著國家安全,民族發(fā)展是全人民的的頭等大事。信息系統(tǒng)安全計劃建設是了一個國家和民族的戰(zhàn)略性目標,已經(jīng)是不爭的事實。
2 信息系統(tǒng)的信息安全現(xiàn)狀
當今社會信息系統(tǒng)安全問題不容樂觀,信息系統(tǒng)面臨著嚴峻的安全風險。根據(jù)調(diào)查來看,每年的重大信息系統(tǒng)安全事件正在逐年增加。信息系統(tǒng)安全問題主要包含以下兩大方面:一是由于現(xiàn)今科技技術的不完善性和局限性,使得信息系統(tǒng)在構(gòu)建之初便存在著漏洞,導致信息系統(tǒng)“脆弱”。二是現(xiàn)實社會中的各種經(jīng)濟斗爭和利益斗爭,使得原本的信息系統(tǒng)漏洞被“開發(fā)利用”。計算機網(wǎng)絡技術是一個復雜的大系統(tǒng),它是由眾多的代碼、硬件、軟件、協(xié)議所共同組成。在計算機網(wǎng)絡技術的不完善和設計人員思想局限性的前提下,使得信息安全系統(tǒng)在構(gòu)建的時候會出現(xiàn)不可避免的漏洞。例如,計算機網(wǎng)絡中一個操作系統(tǒng)需要幾千幾萬的代碼組成,甚至更多。為滿足用戶的各種需要,設計的技術復雜性逐漸增多。據(jù)調(diào)查在繁瑣的計算機網(wǎng)絡設計時,很可能一千行代碼中便會存在一個錯誤。因此,信息系統(tǒng)的漏洞越來越多,越來越嚴重。另一方面,“黑客”作為一種“文化現(xiàn)象”一直伴隨著計算機網(wǎng)絡技術的發(fā)展而發(fā)展。并且隨著人們之間的利益沖突不斷加劇,使得黑客的惡意攻擊事件愈演愈劣。此外,根據(jù)調(diào)查顯示,在攻擊技術復雜的計算機網(wǎng)絡時,黑客相對應需要的知識卻越來越少[1]。
3 信息系統(tǒng)風險管理的目的和作用
信息系統(tǒng)安全是目前全世界所面臨的重大問題。雖然,信息安全問題具有著普遍性,但是同時因為它的特殊性,使得我們不得不重視。信息系統(tǒng)的安全管理已經(jīng)不再是“0”和“1”之間的問題。我們不斷的探索,為了找到一個更好的信息系統(tǒng)安全管理方法。我們希望新的信息系統(tǒng)安全管理方法可以改變現(xiàn)今網(wǎng)絡安全的現(xiàn)狀,并且讓更多的人可以更好的享受計算機網(wǎng)絡技術帶來的方便。計算機網(wǎng)絡在人們的生活和學習中有著重要的的作用,在國家建設上有著重要的地位,信息系統(tǒng)的安全管理的研究,我們旨在便利更多的人民群眾,更好的建設國家,為祖國的建設作出貢獻。我們要做到防患于未然,讓國家和人民免于信息系統(tǒng)安全問題的威脅。由此我們可以得出這樣的結(jié)論:風險管理是信息系統(tǒng)安全管理方法的新模式,而最佳的信息系統(tǒng)安全保障方法就是對信息系統(tǒng)進行風險管理。
4 信息系統(tǒng)風險管理的趨勢
縱觀世界,信息系統(tǒng)安全風險管理的經(jīng)歷了技術,技術與管理相結(jié)合的階段。當前,在信息安全保障意識的前提下,還在不斷的深入完善。如何將傳統(tǒng)的風險管理理論和實際相結(jié)合并更好的應用于信息安全管理領域,是全世界面臨的一個尚未解決的問題。
5 信息安全風險管理理論基礎
信息安全風險管理研究的理論基礎大的方面是國家規(guī)定的計算機網(wǎng)絡技術管理法則,和現(xiàn)今的計算機網(wǎng)絡技術。小的方面是現(xiàn)今信息系統(tǒng)所具有的保密性、完整性、可用性、脆弱性。以及網(wǎng)絡信息系統(tǒng)面臨的威脅[2]。
6 網(wǎng)絡信息系統(tǒng)風險管理的ISISRM管理方法
6.1 ISISRM方法的基本思想
ISISRM方法體現(xiàn)的是“定制”思想,它具有較強的開放性,在識別風險因素并進行解決的同時,它不會拘泥于單一的解決方法。它可以使風險管理過程和用戶使用目的緊密集合結(jié)合在一起,并且在風險評估時采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經(jīng)濟管理學的知識,它將不再只解決信息安全問題,而是從用戶的角度上來說變成了一種“投資”行為[3]。
6.2 ISISRM方法的管理周期
按照ISISRM的設計邏輯,ISISRM的管理周期分為風險管理準備階段、信息安全風險因素識別階段、信息安全風險分析和評估階段、信息系統(tǒng)安全保障分析階段、信息系統(tǒng)安全決策階段、信息安全風險動態(tài)監(jiān)控階段。
7 結(jié)語
計算機網(wǎng)絡技術迅速發(fā)展,加速了社會信息化的進程,使得人文建設與信息系統(tǒng)關系日益“親密”,但是隨之而來的信息安全問題值得引起我們的重視,并讓我們花費人力和物力進行解決,它時刻的威脅著我們社會主義人文建設。所以我們應該運用ISISRM這樣的風險安全方法進行信息系統(tǒng)安全的維護和改善。
參考文獻
[1]孫鵬鵬.信息安全風險評估系統(tǒng)的研究與開發(fā)[D].北京交通大學,2007.
關鍵詞:安全風險管理,風險,弱點,評估,管理,信息安全
[概述]: 隨著企業(yè)網(wǎng)絡的不斷擴大,越來越多的安全威脅在影響著企業(yè)的安全狀況,近兩年,熊貓燒香、conficter蠕蟲,都給企業(yè)帶來了大量的安全損失,然而,解決企業(yè)的信息安全問題,不能單獨從某一個方面入手,最好的解決方案應該是從整體上降低信息安全風險。
國際上傳統(tǒng)的風險管理流程較為概略,在中國特有的網(wǎng)絡環(huán)境中也比較缺乏可實施性,本文將會針對中國IT環(huán)境的建設過程,遵循一定信息安全系統(tǒng)建設規(guī)律,考慮到各個信息安全產(chǎn)品之間的整合和聯(lián)動,形成一個完善的動態(tài)信息安全風險管理體系,讓國際標準在中國的IT環(huán)境中得以實現(xiàn)。
1.IT系統(tǒng)信息安全建設的現(xiàn)狀
傳統(tǒng)的信息安全建設網(wǎng)網(wǎng)局限于防御系統(tǒng)的建設,企業(yè)不斷的在投入資金,購買各種各樣的硬件設備和軟件系統(tǒng),主要的功能集中在抵御各類安全威脅,其中包括:終端防病毒系統(tǒng)、終端安全管理系統(tǒng)、防火墻、入侵防御設備、Web防護類設備,入侵檢測等等。采用這樣的信息安全產(chǎn)品能夠取得一些效果,但是往往造成信息安全系統(tǒng)比較被動,不能夠主動的發(fā)現(xiàn)安全風險,及時的降低安全風險。
(1)經(jīng)常采用的信息安全產(chǎn)品我們在信息安全建設的初級階段,經(jīng)常采購的信息安全產(chǎn)品包括:
l防病毒:在終端部署的企業(yè)防病毒產(chǎn)品,檢測和查殺各類病毒;
l防火墻(Firewall):訪問控制設備,幫助建立基本的企業(yè)網(wǎng)絡安全邊界;
lWeb Cache設備:部署在外部網(wǎng)絡,實現(xiàn)對網(wǎng)絡訪問的緩存,提升訪問速度;
l負載均衡:對網(wǎng)絡訪問性能進行調(diào)控,保證網(wǎng)絡負載均衡;
l郵件安全網(wǎng)關:實時檢測和過濾各類病毒郵件及垃圾郵件;
l入侵檢測和防御系統(tǒng):檢測網(wǎng)絡數(shù)據(jù),對網(wǎng)絡內(nèi)部的各類攻擊行為進行報警;
部署的安全設備能夠起到一定的安全防護功能,但是隨著安全威脅的不斷變化和發(fā)展,現(xiàn)有的安全機制已經(jīng)難以滿足目前的信息安全需求,我們需要主動地控制安全風險,才能夠在不斷復雜的安全環(huán)境中確保企業(yè)網(wǎng)絡的安全。。
(2)普遍意義上的安全風險管理信息安全風險管理的本質(zhì),可以看作是動態(tài)地對信息安全風險的管理,即要實現(xiàn)對信息和信息系統(tǒng)的風險進行有效評估、分析、控制和管理。在ISO標準當中,已經(jīng)給出了一個非常經(jīng)典的安全風險模型,如下圖:
也就是說,只有企業(yè)具有了信息化的核心資產(chǎn)(比如有很重要的數(shù)據(jù)保存在服務器上),這些資產(chǎn)存在弱點和漏洞(比如微軟操作系統(tǒng)的漏洞),又存在被損害的可能(比如病毒、黑客攻擊等等),才可能給企業(yè)造成損失。因此,企業(yè)的安全風險和這三個方面相關,企業(yè)也只有同時管理好這三個方面,才可能真正的確保網(wǎng)絡安全。
而傳統(tǒng)的安全產(chǎn)品(如前所述),只是去抵御安全威脅,卻忽視了資產(chǎn)的重要性和對漏洞的管理。。更加不可能實現(xiàn)多安全風險的準確評估和動態(tài)管理。
(3)風險管理流程既然要降低安全風險,我們就需要一個成熟的流程來對信息安全風險進行管理和控制,一般的安全風險管理流程如下:
l識別風險:準確識別網(wǎng)絡中存在的安全風險;
l分析風險:通過定性或者定量的方法確定現(xiàn)存的安全風險是否需要消除;
l消除風險:通過有效的手段降低安全風險;
l監(jiān)控風險:監(jiān)控安全風險的變化,做到對風險的動態(tài)管理。。
(4)安全風險管理的問題傳統(tǒng)的安全產(chǎn)品,如IDS,防病毒系統(tǒng)等只是在被動的抵御或檢測安全威脅,缺乏主動的防護措施和手段;而要實現(xiàn)主動的信息安全管理,則需要對企業(yè)整體的安全風險進行監(jiān)控和管理,但在執(zhí)行過程中,存在如下問題:
l沒有技術手段實現(xiàn)對安全風險的全面的監(jiān)控;
l消除信息安全風險的手段不明確;
l缺乏詳細的可實施的信息安全風險管理流程,能夠結(jié)合所有的信息安全產(chǎn)品,從而實現(xiàn)全面的安全風險管理。
2.動態(tài)安全風險管理體系
基于國際信息安全標準,結(jié)合中國IT環(huán)境的特點,我們應該首先明確安全風險的三個重要方面及控制手段,有計劃有步驟的加強整個信息安全體系的建設,才有可能最終實現(xiàn)完善的風險管理系統(tǒng)。
(1)可實施的安全風險管理理論根據(jù)安全風險的特點和三個關鍵要素,我們可以針對信息安全風險形成更具可實施性的安全風險管理方法論,其核心思路是根據(jù)企業(yè)的基礎環(huán)境,全面準確的評估安全風險,并根據(jù)安全風險的狀況結(jié)合系統(tǒng)、網(wǎng)絡層面的安全防御手段有效抵御安全威脅,最終主動的降低整體安全風險。
要實現(xiàn)對安全風險的管理和控制,需要實現(xiàn)完整的風險管理流程:
l發(fā)現(xiàn)安全風險:通過有效的手段,確定存在安全風險的資產(chǎn)和區(qū)域,定位安全風險存在的區(qū)域;
l評估安全風險:準確高效的評估安全風險,了解安全風險的大小和實質(zhì);
l強制措施降低風險:通過管理或強制等安全手段,主動地降低安全風險;
l安全防御:通過各類系統(tǒng)、網(wǎng)絡安全設備,防御各類安全威脅;
l修補:主動修補存在的各類漏洞,全面降低安全風險。
綜上所述,通過完整的安全風險管理流程,對整個網(wǎng)絡的安全風險實現(xiàn)全面的管理和控制,5個步驟缺一不可,同時,風險管理流程根據(jù)企業(yè)的具體情況,可以有不同的實現(xiàn)方式,最終實現(xiàn):
l始終遵守確定的安全政策;
l基于風險管理,整合網(wǎng)內(nèi)現(xiàn)有的安全防護產(chǎn)品;
l通過全面的實時防護產(chǎn)品更好的檢測并阻止安全威脅;
(2)實現(xiàn)安全風險管理的詳細步驟:1——確立安全標準和方針;
2——統(tǒng)計信息資產(chǎn);
3——整合并確認資產(chǎn)的商業(yè)價值;
4——檢測資產(chǎn)存在的安全漏洞;
5——了解存在的潛在威脅;
6——分析存在的安全風險;
7——通過安全防御產(chǎn)品實時阻斷安全威脅;
8——強制安全策略并應用補救措施;
9——評估安全效果和影響;
10——針對已有策略進行比對。
綜上所述,傳統(tǒng)的安全產(chǎn)品(防病毒、防火墻等),只是去抵御安全威脅,卻忽視了對整體安全風險的考慮,而整合的安全風險管理體系考慮到了可能影響企業(yè)安全風險的三個關鍵要素,并且可以結(jié)合現(xiàn)有的安全產(chǎn)品,通過完善安全風險管理流程幫助企業(yè)實時的控制整體安全風險,真正的解決安全問題。
(3)安全風險管理體系的建設步驟要實現(xiàn)完善的安全風險管理,我們需要有計劃有步驟的完善自身的安全風險管理體系,并且制定相應的安全策略,做到有的放矢。企業(yè)在構(gòu)建安全風險管理體系的時候,有一個基本次序:
l 首先,構(gòu)建完善的終端安全體系,因為終端安全是基礎,任何安全威脅最終影響到的都是終端系統(tǒng),同時,終端面對的病毒等威脅數(shù)量最多;
l 其次,是構(gòu)建完善的網(wǎng)絡防護體系,如防火墻、入侵防護系統(tǒng)、垃圾郵件過濾系統(tǒng)等,從網(wǎng)絡層面第一時間抵御安全威脅,同時,還要防御各類終端難以防御的網(wǎng)絡攻擊行為;
l 最后,當已經(jīng)建立了高效的防護體系之后,需要建立全面的資產(chǎn)管理和風險管理體系,整合現(xiàn)有的安全設備和手段,形成成熟完備的動態(tài)安全風險管理體系。
[參考文獻]:
BS7799、ISO27001、
【關鍵詞】信息安全 體系建設
在現(xiàn)有的社會背景下,互聯(lián)網(wǎng)以及網(wǎng)絡通信技術的完善,使得信息傳播的速度變得更加的迅速。由于現(xiàn)在信息技術的廣泛使用,在企業(yè)的運行模式中,信息技術的融合面積也變得更加的廣闊,對于信息的依賴程度也日漸加重,信息技術在企業(yè)中的滲透變得更加的深入和徹底,在企業(yè)正常運作的方方面面中進行了有效的融合。
在企業(yè)中使用信息技術,相對應信息技術自身的安全體系要求就變得更加的細致,在信息技術使用過程中安全體系的建設是必不可少的一項重要內(nèi)容。使用信息安全體系建設來有效的解決信息安全的問題,在今后企業(yè)的信息使用中有十分重要的實現(xiàn)價值。針對信息安全體系的構(gòu)建應該進行以下的分析:
按照現(xiàn)有的信息安全狀況進行信息安全體系建設,就是將信息安全的構(gòu)架進行模塊之間相互構(gòu)建和連接,將它們形成不可分割的整體,使它們共同的結(jié)合成為信息安全體系。信息安全體系自身帶有系統(tǒng)性,完整性以及全面性的信息安全保障能力,這種整合之后的能力比之前獨立的信息安全模塊能力之和要具有更多的優(yōu)勢,在現(xiàn)有的信息安全體系建設中,會將企業(yè)安全技術,企業(yè)安全風險管理,企業(yè)安全組織以及運行模式進行安全體系的融合,這種信息安全體系的構(gòu)建才能符合現(xiàn)在企業(yè)的使用要求。
一、信息安全體系信息安全策略的制定
在信息安全體系的構(gòu)建中,信息安全策略的實施就是信息安全體系的核心內(nèi)容,這種核心內(nèi)容的展現(xiàn)就是將企業(yè)的信息安全模式進行針對性保護的規(guī)劃。按照企業(yè)保護形式的不同進行細致的分類以及匯總。在信息安全體系的構(gòu)建中,信息安全策略的實施就是將整體信息安全進行正面的引導,將信息安全體系能夠較好的為企業(yè)進行服務,將信息安全體系各個方面進行可行性技術的管理,在模塊的運行模式中進行有效的保障,并且,信息安全策略在使用的過程中,也包含著信息安全體系構(gòu)建所有細小分支的內(nèi)容,這些內(nèi)容想要全面的進行展現(xiàn),就應該采用一些方法和技術進行有效的管理,以此來保證信息安全系統(tǒng)整體運行模式的準確性和完備性。
二、信息安全體系安全風險管理體系的制定
在信息安全體系實施過程中,針對于信息安全風險管理的設置,就是按照企業(yè)風險為主線,以信息安全相關標準以及需求為策略,將主線與策略進行結(jié)合,就是信息安全體系安全風險管理的方案制定標準。在信息安全風險管理體系的制定過程中,首先,應該對企業(yè)自身的保護系統(tǒng)進行目標性的確定,將目標進行合理有效的規(guī)劃;然后,在信息安全體系安全風險管理實施的過程中,對企業(yè)自身的風險系數(shù)進行可控性的評估,對于現(xiàn)在的風險以及將來的風險進行系數(shù)的控制,為企業(yè)今后的發(fā)展奠定平穩(wěn)的基礎;最后,在信息安全體系安全風險管理體系的制定中,應該將所有的體系規(guī)劃進行相關專業(yè)人員的審核以及評估,在評估的過程中,對企業(yè)進行全面的分析,保證安全風險管理體系制定可行性。由于企業(yè)安全風險管理體系是貫穿企業(yè)全過程的,對于該管理體系的制定,不僅僅應該進行企業(yè)的評估,還應該對現(xiàn)有的社會狀況進行有效的結(jié)合,以便企業(yè)在社會競爭狀況中有穩(wěn)固的成長。
三、信息安全體系安全技術體系的構(gòu)建
在信息安全體系中,安全技術體系的構(gòu)建就是信息安全體系構(gòu)建的基礎,這種基礎性的建設是按照企業(yè)安全策略以及安全風險管理進行針對性指導的,這種體系的構(gòu)建,應該按照現(xiàn)有的狀況進行多方面的研究與分析,只有這樣才能將企業(yè)的各個部門進行結(jié)合,將部門的問題進行技術上的落實,共同建立企業(yè)各個部門相互協(xié)同發(fā)展的信息安全體系。這種安全技術體系的良好構(gòu)建,可以將企業(yè)的信息系統(tǒng)進行全方位,多角度,整體性的安全掌控,以保證企業(yè)的正常信息安全體系的運轉(zhuǎn)。
四、信息安全體系安全組織與管理體系的構(gòu)建
在信息安全體系安全組織與管理體系的構(gòu)建中,應該將安全組織與管理進行有效的設計,這種安全組織與管理體系的構(gòu)建,就是企業(yè)信息安全體系發(fā)揮作用的最關鍵的后盾保障,這種保障的基礎就是安全管理體系的科學設計。
[關鍵詞]巴塞爾新資本協(xié)議;操作風險管 ;IS027001;信息資產(chǎn)
[中圖分類號]F831 [文獻標識碼]A [文章編號]1006-5024(2009)04-0167-04
[作者簡介]董紅,北京航空航天大學經(jīng)濟管理學院博士生,研究方向為風險管理與決策;(北京100083)
邱菀華,中國光大銀行總行風險管理部教授,博士生導師,研究方向為決策、風險與項目管理;
林直友,中國光大銀行總行風險管理部業(yè)務經(jīng)理、碩士,研究方向為金融風險管理。(北京100045)
金融業(yè)的全面開放和金融服務的管制放松,以及高端化的信息技術,使銀行的業(yè)務、產(chǎn)品日益多元化,這直接導致其面臨的風險更為復雜和多樣。國內(nèi)外銀行業(yè)重大違規(guī)事件及美國金融海嘯影響的迅速擴大,迫切需要國內(nèi)外金融監(jiān)管部門和從業(yè)機構(gòu)反思對操作風險的管理和防范,加強合規(guī)管理。2004年的巴塞爾新資本協(xié)議,將操作風險正式納入資本監(jiān)管范圍,并進一步提出了明確的監(jiān)管資本要求。2007年我國銀監(jiān)會再次對其進行解讀和說明。然而,由于操作風險情況復雜,與銀行自身的規(guī)模、經(jīng)驗、業(yè)務特征等密切相關,具有和動態(tài)變化等特點。因此,探索適合銀行不同類別操作風險特點的管理和計量方法,是一項十分重要而緊迫的課題。
一、操作風險管理的困惑與問題
到目前為止,有關操作風險的定義、管理及計量問題一直困擾著各家商業(yè)銀行和監(jiān)管機構(gòu),國內(nèi)外銀行也未對它形成統(tǒng)一的認識。本文采用至今已被大多數(shù)銀行所接受的巴塞爾銀行監(jiān)管委員會有關操作風險的定義,即由于不完善或有問題的內(nèi)部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險。新資本協(xié)議從風險監(jiān)管的角度將操作風險事件劃分為七種類型,包括內(nèi)部欺詐,外部欺詐,雇員活動和工作場所的安全問題,客戶、產(chǎn)品和業(yè)務活動的安全問題,銀行維系經(jīng)營的實物資產(chǎn)損壞,業(yè)務中斷和系統(tǒng)故障,執(zhí)行、交付和過程管理等。就其風險成因可分為人員、流程、系統(tǒng)和外部事件四大類。此外,按產(chǎn)品線將商業(yè)銀行的業(yè)務劃分為公司金融、交易和銷售、零售銀行業(yè)務、商業(yè)銀行業(yè)務、支付和結(jié)算、業(yè)務、資產(chǎn)管理和零售經(jīng)紀類,并對每一類產(chǎn)品分別規(guī)定不同的操作風險資本要求系數(shù),籍以用標準法計算操作風險總體資本要求。
巴塞爾委員會給出了管理操作風險的十大原則,但這些原則都是從宏觀角度要求商業(yè)銀行應該建立什么
樣的組織、制度和流程,并未給出管理操作風險的詳細方法和手段。實際工作中,我們發(fā)現(xiàn)信息資產(chǎn)是商業(yè)銀行極其重要的一類資產(chǎn),在信息時代,一個機構(gòu)要利用其擁有的資產(chǎn),特別是信息資產(chǎn)來完成其使命,因此,對信息資產(chǎn)的管理關系到該機構(gòu)能否完成其使命的大事。然而,由于信息資產(chǎn)對IT系統(tǒng)的依賴性很強,絕大部分具有無形化、易變化、易傳播的特點,且風險存在于其產(chǎn)生、傳遞、使用和銷毀等各個環(huán)節(jié),與一般銀行產(chǎn)品相比,具有很大的獨特性。所以,我們建議將此類資產(chǎn)作為商業(yè)銀行一類獨特的產(chǎn)品線來進行管理。在實踐中,我們發(fā)現(xiàn)ISO27001為有效管理組織的信息資產(chǎn)、確保信息安全提出了一整套要求和最佳實踐指南。它從11個方面對信息資產(chǎn)的安全管理提出要求,其管理思想完全符合操作風險的管理原則,并且是在其原則基礎上的細化,如高層管理的支持和承諾、資源管理、風險評估、內(nèi)部審核、信息的溝通、有效性測量和改進,等等。可見,ISO27001不僅適用于多數(shù)IT軟硬件開發(fā)等企業(yè),同時也適用于銀行、保險等信息化程度較高的金融行業(yè)。
因此,我們希望能夠使用ISO27001的管理標準來細化商業(yè)銀行信息資產(chǎn)類產(chǎn)品的風險管理,進而按照操作風險管理的總體原則與其他類產(chǎn)品進行融合,最終實現(xiàn)在總體框架要求下對信息資產(chǎn)類操作風險的細化管理。
二、ISO27001簡介
ISO/IEC27001源自英國標準協(xié)會制定的BS7799,包括兩部分內(nèi)容:BS7799―1信息安全管理實施細則和BS7799-2信息安全管理體系規(guī)范。其中,BS7799-1被ISO組織吸納為ISO/IEC17799,BS7799-2升版并轉(zhuǎn)換為國際標準ISO/IEC2700I,它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規(guī)范,其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出組織應遵循的風險評估標準。
信息是一種資產(chǎn),就像其他重要的業(yè)務資產(chǎn)一樣,對組織是不可或缺的,需要妥善保護。根據(jù)ISO/IEC27001的定義,資產(chǎn)是對組織有價值的任何東西。它能以多種形式存在,如有形資產(chǎn)(硬件、軟件、數(shù)據(jù)文件、人員等)、無形資產(chǎn)(聲譽、品牌、客戶關系等)、輔助資產(chǎn)(信息資產(chǎn)的制造、存儲、傳輸、處理、銷毀等)。信息安全就是指保持這些資產(chǎn)的機密性、完整性和可用性。另外,也可包括諸如真實性、可核查性、不可否認性和可靠性等。
1 機密性――信息具有不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。
2 完整性――保護資產(chǎn)的準確和完整的特性。
3 可用性――根據(jù)授權(quán)實體的要求可訪問和利用的特性。
企業(yè)的業(yè)務戰(zhàn)略以企業(yè)的資產(chǎn)來得以體現(xiàn),但資產(chǎn)自身不可避免地帶有漏洞,我們稱之為資產(chǎn)的脆弱性。外界的威脅則利用資產(chǎn)的脆弱性,給企業(yè)帶來風險。信息安全就是要保護信息資產(chǎn)免受威脅的影響,從而確保業(yè)務的連續(xù)性,縮減業(yè)務風險,最大化投資收益并充分把握業(yè)務機會。構(gòu)建信息安全管理體系,就是通過對組織信息資產(chǎn)的風險評估,確定重要信息資產(chǎn)清單以及風險等級,從而采取相應的控制措施來實現(xiàn)信息資產(chǎn)的安全性。信息安全管理的核心是風險管理,其對象是組織的信息資產(chǎn)。我們將其作為操作風險管理產(chǎn)品線之外的第九類特殊產(chǎn)品線,評估其價值和風險,確定相應的安全需求,并制定安全措施來降低和控制資產(chǎn)的風險。
可見,信息安全風險,是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響,包括由于IT流程缺陷、系統(tǒng)的業(yè)務需求/流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接導致業(yè)務操作風險并間接導致信用、市場、聲譽等風險。它不僅存在于應用系統(tǒng)及IT基礎設施等信息資產(chǎn)中,而且存在于業(yè)務流程及管理流程中。ISMS是通過實施一整套適當?shù)目?/p>
制措施來實現(xiàn)目標的,包括策略、過程、程序、組織結(jié)構(gòu)和軟硬件功能,他們可以是行政、技術、管理、法律等方面的。IS017799包含了11個管理要項,既有偏重管理的信息安全方針、安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、事故管理、業(yè)務連續(xù)性管理、法律符合性等方面,也有偏重于技術的通信和操作管理、訪問控制、系統(tǒng)開發(fā)和維護等內(nèi)容,每一部分都針對不同的主體或范圍,在這11個管理要項中,它又細分為39個控制目標和133個控制措施。可以說,ISO/IEC27001是目前國際上關于信息安全管理要求最全面、最完整的體系,可有效防范信息資產(chǎn)風險,從而進一步鞏固操作風險的駕馭能力,保證組織核心業(yè)務的持續(xù)運行。
三、基于風險的信息安全管理體系的構(gòu)建
信息安全管理體系是基于業(yè)務風險方法建立、實施、運行、監(jiān)視、評審、保持和改進信息安全,提出了基于戴明環(huán)的Plan-Do-Check-Act(PDCA)風險模型,強調(diào)全過程和動態(tài)的控制,如圖所示。它的設計思路充分體現(xiàn)了“過程方法”的特點,以過程為控制對象,在業(yè)務和風險管理過程中控制風險,實現(xiàn)持續(xù)改進,并達到監(jiān)管方要求實現(xiàn)的事前、事中、事后全程控制。
(一)策劃并建立信息安全管理體系
1 確定安全方針和范圍
信息安全管理體系可覆蓋組織的全部或部分,組織需根據(jù)業(yè)務特征、地理位置、資產(chǎn)和技術等明確界定體系的范圍,并使之文件化。另外,要制定ISMS方針和策略,它是指導如何對組織信息資產(chǎn)進行管理的規(guī)則,是構(gòu)建信息安全管理體系的宗旨。它表明了管理層的承諾,提出組織管理信息安全的方法,為組織的信息安全管理提供方向和支持。
2 資產(chǎn)的識別和評價
資產(chǎn)管理是實施有效ISMS的基礎,也是風險評估的核心內(nèi)容。資產(chǎn)管理的優(yōu)劣直接影響評估的效率和質(zhì)量以及保持循環(huán)評估的連續(xù)性,而且有助于預見這些數(shù)據(jù)在之后風險分析中的重要作用。
資產(chǎn)識別A:為保證資產(chǎn)識別的合理性,建議組織從業(yè)務流程角度(縱向比較)和信息活動(橫向比較)兩個角度進行。在清晰識別資產(chǎn)后,組織應根據(jù)資產(chǎn)的重要性形成文件,建立資產(chǎn)清單,包含資產(chǎn)類型、格式、位置、責任人、備份信息和業(yè)務價值。
資產(chǎn)評價的目的是確保資產(chǎn)受到相應等級的保護,以保障在處理信息時指明保護的需求、優(yōu)先級和期望程度。企業(yè)的所有資產(chǎn)都處在業(yè)務流程和相應的支持過程中,資產(chǎn)的重要程度,應根據(jù)其所處業(yè)務流程的位置,且與其它資產(chǎn)的比較中界定。通過分析資產(chǎn)的機密性、完整性、可用性及其它需求進行評估。對資產(chǎn)賦值時,一方面要考慮資產(chǎn)購買成本,另一方面也要考慮當這種資產(chǎn)的機密性、完整性和可用性受到損害時,對業(yè)務運營的負面影響程度。
3 風險評估
資產(chǎn)管理和風險評估是相輔相成,緊密相連的。在實際操作過程中,資產(chǎn)管理數(shù)據(jù)可為風險評估提供支持;而每次風險評估正是對資產(chǎn)管理數(shù)據(jù)進行修正和維護的過程。因此,定義全面合理的信息安全風險評估方法及風險可接受準則是十分關鍵的。評估方法要和組織既定的體系范圍、安全需求、法律法規(guī)相適應。另外,組織應建立風險評估文件,解釋和說明所選擇的風險評估方法,介紹所采用的技術和工具。
(1)威脅識別T:威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或事件。評估者應根據(jù)經(jīng)驗和有關統(tǒng)計數(shù)據(jù)判斷威脅發(fā)生的頻率或概率。
(2)脆弱性識別V:弱點是資產(chǎn)本身存在的,若被威脅利用將引起資產(chǎn)或目標的損害。我們將針對每一項要保護的信息資產(chǎn),找出每一種威脅所能利用的脆弱性,并對其嚴重程度進行評估,為其賦值。
(3)對已有安全控制措施進行確認。
(4)建立風險測量的方法及風險等級評價原則,結(jié)合資產(chǎn)本身的價值、威脅發(fā)生的概率、威脅利用弱點的影響程度和已有控制等來確定風險的大小與等級R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示資產(chǎn)的重要程度;Va表示某資產(chǎn)本身的脆弱性,L表示威脅利用脆弱性對資產(chǎn)造成安全事件的可能性。
(5)識別并評價風險處理的方法,包括接受風險、降低風險、規(guī)避風險、轉(zhuǎn)移風險等。組織應加以分析,區(qū)別對待所識別的信息安全風險。若風險滿足組織可接受的風險準則,將接受風險。否則,考慮規(guī)避風險或轉(zhuǎn)移風險。若無法規(guī)避或轉(zhuǎn)移的風險,應采取適當?shù)目刂拼胧瑢⑺档偷娇山邮芩健?/p>
(6)選擇控制目標和措施
選擇并建立文件化的控制目標和措施,制定風險處置計劃。ISO27001系列強調(diào)在風險處理方式及控制措施的選擇上,組織應考慮發(fā)展戰(zhàn)略、組織文化、人員素質(zhì),并特別關注成本與風險的平衡,以滿足法律法規(guī)及相關方的要求。另外,實施控制措施后仍會有殘余風險存在,我們需要密切監(jiān)視這些風險,防止它誘發(fā)新的風險事件。
(7)獲得最高管理者的授權(quán)批準
風險識別和評估對后續(xù)可行的風險監(jiān)測和控制至關重要。有效的風險識別要同時考慮內(nèi)部因素(如企業(yè)結(jié)構(gòu)、性質(zhì)、文化以及人員的素質(zhì)和流動性等)和外部因素(如環(huán)境的變化和技術的發(fā)展),他們可能對組織目標的實現(xiàn)造成重大不利影響。在識別絕大多數(shù)潛在的不利風險的同時,組織還應該評估自身對這些風險的承受能力。通過有效的風險評估,組織可以更好地掌握其風險狀況和最有效地使用風險管理資源。
(二)實施并運行信息安全管理體系
闡明并實施風險處置計劃。在此過程中,組織應指明和分配適當?shù)墓芾泶胧①Y源(人員、時間和資金)、職責和優(yōu)先級。針對不同的管理層次、崗位和職責制訂不同的培訓計劃,記錄并考核培訓的效果。通過提高全員的信息安全意識,塑造企業(yè)的風險文化,保證意識和控制活動的同步,確保體系的持續(xù)有效性和實時性。同時,組織應搜集證據(jù)、記錄信息安全管理活動,為將來的評審、檢查做準備。
(三)監(jiān)視并評審信息安全管理體系
監(jiān)控、評審階段主要用來加強、修訂及改進已識別的控制措施和解決方案。對不合理、不充分的控制措施應及時采取糾正和預防。組織可通過多種方式檢查和監(jiān)視信息安全管理體系的運行狀況,如收集安全審核的結(jié)果、事故、以及所有相關方的建議和反饋;定期評審殘余風險和可接受風險的等級;通過內(nèi)部審核和管理評審檢查信息安全管理體系的有效性、符合性等。此外,組織應做好記錄,并報告影響信息安全管理體系有效性或業(yè)績的所有活動、事件。
(四)改進信息安全管理體系
基于評審結(jié)果或其他相關信息,采取糾正和預防措施,以持續(xù)改進信息安全管理體系,開始新一輪的PDCA循環(huán)。改進活動和措施必須獲得所有相關方的認可,并確保達到預期目的。
四、信息資產(chǎn)類操作風險管理的實施建議
ISO27001是文件化的體系,它把傳統(tǒng)的銀行信息安全與IT治理、風險審計和風險評估結(jié)合在一起,產(chǎn)生了一個新的管理維度和應用維度。在國際標準化的大潮流下,將基于風險評估的ISO27001體系要求引入業(yè)務流程和風險體系,規(guī)范現(xiàn)有業(yè)務運作,全面提升員工的風險意識和責任,從而有效地降低內(nèi)部欺詐等各類風險發(fā)生的幾率,做到從源頭防范風險,保護客戶信息。
隨著銀行業(yè)對信息技術的依賴程度日益提升,信息科技風險亦隨之上升。信息科技風險具有影響范圍廣、突發(fā)性強、技術含量高、復雜度高、隱藏性深等特點,直接影響商業(yè)銀行的穩(wěn)健經(jīng)營,關乎商業(yè)銀行聲譽、金融安全和社會穩(wěn)定,是商業(yè)銀行面臨的主要風險。如何在快速推進信息系統(tǒng)建設的同時,加強信息科技風險管理,減少或杜絕銀行因信息科技而給自身或客戶帶來損失,是銀行目前信息化建設需要研究的重要課題。信息科技風險管理現(xiàn)狀作為第一家從農(nóng)信社成功改制的北京農(nóng)商銀行,與四大行及股份制商業(yè)銀行相比,信息科技基礎十分薄弱。
近幾年來,在領導高度重視下,我們加大了信息科技建設的推進力度,大大縮小了與同業(yè)科技差距:建成了現(xiàn)代化、高標準的信息系統(tǒng)數(shù)據(jù)中心,初步形成同城生產(chǎn)和災備兩中心模式;全面開展網(wǎng)絡改造,將廣域網(wǎng)三級架構(gòu)改為二級架構(gòu),各營業(yè)網(wǎng)點配置2條專線,分別直接上聯(lián)生產(chǎn)中心和同城災備中心,實現(xiàn)了業(yè)務網(wǎng)與互聯(lián)網(wǎng)專網(wǎng)進行物理隔離,增強了網(wǎng)絡系統(tǒng)的穩(wěn)定性和安全性;建設完善了網(wǎng)上銀行、銀行卡系統(tǒng)、資金債券系統(tǒng)、信貸系統(tǒng)等應用系統(tǒng),形成了結(jié)構(gòu)清晰、業(yè)務功能基本滿足業(yè)務發(fā)展和經(jīng)營管理需要的應用系統(tǒng)體系。相對于信息化建設發(fā)展水平的快速提高,我行的信息科技風險管理水平略顯滯后,也與監(jiān)管當局的要求存在一定的差距。開發(fā)測試體系建設需進一步完善,代碼質(zhì)量管理、Bug管理、開發(fā)過程管理、測試管理需進一步加強;系統(tǒng)運行管理有待改進,生產(chǎn)系統(tǒng)監(jiān)控和流程管理自動化管理手段不足,邏輯訪問控制有待加強;業(yè)務連續(xù)性管理及應急體制建設有待加強,應制訂全行性的業(yè)務連續(xù)性規(guī)劃及應急演練方案,并定期更新,切實發(fā)揮相關部門職能,按要求組織開展應急預案的演練,提高應急演練的有效性和覆蓋面。李秀生:北京農(nóng)商銀行的信息科技風險管理制度體系涵蓋開發(fā)測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度,每年進行一次評估和修訂,并在全行范圍內(nèi)印發(fā)執(zhí)行,確保制度的科學性、合理性和可操作性。信息科技風險管理進展為了提升信息科技風險管理水平,北京農(nóng)商銀行根據(jù)監(jiān)管要求,結(jié)合信息科技建設實際情況,不斷完善科技風險管理治理架構(gòu),初步建立了科技風險防控體系,有效預防和消除了科技風險事件的發(fā)生,確保了生產(chǎn)安全穩(wěn)定運行和信息安全。
1.完善信息科技風險治理結(jié)構(gòu),明確信息科技風險“三道防線”的職責。成立了信息科技管理委員會,除了審議信息科技戰(zhàn)略規(guī)劃、推動信息科技建設的職能外,著重加強審議信息科技風險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風險管理職能,強化了科技風險管理體系建設中高層的推動作用;設置了首席信息官,直接參與跟信息科技運用有關的業(yè)務發(fā)展決策,確保信息科技各項工作的有效開展和落實;形成了由信息科技部門、風險管理部門及審計部門組成的信息科技風險“三道防線”。
2.持續(xù)建立健全信息科技風險管理制度體系。對現(xiàn)有信息科技制度體系進行了整體評估,重新梳理確定信息科技制度體系架構(gòu),建立包括制度、實施細則及技術規(guī)范(標準)三層架構(gòu)的制度體系。同時規(guī)范對現(xiàn)有制度的管理,形成了《信息科技制度匯編》,涵蓋開發(fā)測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度,每年進行一次評估和修訂,并在全行范圍內(nèi)印發(fā)執(zhí)行,確保制度的科學性、合理性和可操作性,有效指導信息化建設和風險管理工作的開展。
3.事前、事中、事后管理并重,提升信息科技風險管理水平。一是強化風險防控意識,防范于未然。持續(xù)對全體科技員工進行風險意識教育,樹立對風險防控的高度敏感性和責任心,積極向員工傳導遵守法律法規(guī)和實施內(nèi)部控制的重要性,培養(yǎng)員工的誠信和道德,規(guī)范員工職業(yè)行為,從源頭上控制、減少潛在風險的發(fā)生。二是健全內(nèi)控機制,規(guī)范事中管理。科學合理設置科技崗位,明確每個崗位的職責、權(quán)限,建立了逐級授權(quán)和審批機制,并制定相應控制措施;規(guī)范崗位操作流程,重要操作如版本遷移、數(shù)據(jù)修改等實行雙人制,一人操作,一人復核,防止出現(xiàn)控制真空,產(chǎn)生風險;同時重視利用技術手段來強化風險管理,如批量作業(yè)自動化系統(tǒng)、系統(tǒng)和網(wǎng)絡監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)的建成有效地提升了系統(tǒng)運維風險管理水平。三是加強信息科技風險的識別和檢查,持續(xù)督促、跟蹤整改,深入挖掘信息科技運行及管理存在的問題和潛在風險,制訂整改措施并積極整改。建立內(nèi)部定期專項檢查機制,根據(jù)每年年初制訂檢查計劃,進行檢查,詳細記錄檢查結(jié)果,建立風險整改臺賬,定期對整改情況進行監(jiān)督及跟蹤。除加強上述自查工作之外,還積極配合監(jiān)管當局開展各項檢查,積極借助外部的力量幫助發(fā)現(xiàn)問題,查找隱患,從而提升科技風險防范能力。
4.加強信息安全體系建設,強化信息安全管理。完成了信息安全體系規(guī)劃,建立科學合理的信息安全體系框架,制定較為完善的信息安全策略;通過實施網(wǎng)絡邊界控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離、全面病毒防護、桌面系統(tǒng)監(jiān)控、數(shù)據(jù)分級與使用保護等系列安全項目,建設形成覆蓋數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全和應用安全的綜合信息安全體系,確保生產(chǎn)系統(tǒng)安全和客戶信息安全,防范科技風險。未來的工作重點通過以上科技風險管理工作的開展,有效消除和防范了科技運行及科技管理中的風險隱患,近幾年我行未發(fā)生信息科技風險事件,科技風險管理水平和防控能力得到顯著提升。針對目前科技風險管理中存在的薄弱環(huán)節(jié),未來信息科技風險管理的工作重點將體現(xiàn)在以下幾個方面。
1.進一步完善信息科技風險治理結(jié)構(gòu),持續(xù)推進科技風險“三道防線”建設。進一步明確信息科技風險治理結(jié)構(gòu)中各級主體的工作職責,充分發(fā)揮各級主體的職能作用,形成職責明確、結(jié)構(gòu)合理的信息科技風險管理架構(gòu);特別是加強風險管理部門對信息科技風險的管控,形成一個職責明確、功能互補、相互監(jiān)督、相互制約、共同發(fā)展的信息科技風險防范的有機整體。
2.加強軟件開發(fā)質(zhì)量管理體系建設,強化開發(fā)過程中風險的管理。建成基于我行現(xiàn)在的CMMI3級的軟件研發(fā)規(guī)范體系,通過CMMI3級驗收,全面推廣體系的應用,整個體系涵蓋了軟件的需求、設計、開發(fā)、測試等各環(huán)節(jié),有效規(guī)范了整個開發(fā)過程的管理;落實需求歸口管理機制,推行重大項目需求評審機制,進行重要系統(tǒng)組織級方案評審,提高項目計劃管理和風險管理水平;全面推行軟件配置管理,提高軟件版本管理水平;強化外包管理,規(guī)范外包人員工作量評估,加強外包人員工作環(huán)境管理。
3.進一步推進運維體系建設。加強對生產(chǎn)變更的風險評估,嚴格變更過程管理,嚴控變更風險;確保事件分級制度的落地執(zhí)行,形成有效的事件升級和響應機制;進一步加強對問題的快速解決,并逐步深化問題的后續(xù)管理,從多維度進行生產(chǎn)問題分析,提高生產(chǎn)管理水平;充分發(fā)揮系統(tǒng)監(jiān)控、網(wǎng)絡監(jiān)控工具的作用,完成應用監(jiān)控建設,全面了解系統(tǒng)運行狀態(tài),及時定位故障;全面提高運維管理水平及風險防控能力。
4.加強業(yè)務連續(xù)性規(guī)劃和應急管理工作。強化業(yè)務連續(xù)性規(guī)劃及應急體制建設的重要性,根據(jù)應用系統(tǒng)規(guī)模和復雜程度有針對性地制訂業(yè)務持續(xù)性保障規(guī)劃,根據(jù)風險發(fā)生的部位、概率和危害程度分級制訂應急預案,并經(jīng)過評估和測試,及時進行維護、調(diào)整和更新,確保應急啟動時的有效性,切實提升業(yè)務連續(xù)性管理及應急管理水平。
信息科技風險管理工作是一項長期的、艱巨的工程,因此要不斷提高認識,強化危機意識、責任意識。從實際情況出發(fā),充分借鑒相關國際標準和最佳實踐,不斷探索和改進,建立有效的信息科技風險的識別、計量、監(jiān)測和控制機制,提升風險管理水平和防控能力,努力通過風險管理水平的提升推動信息化建設,為業(yè)務的發(fā)展、創(chuàng)新和管理提升提供堅實的保障。
1銀行加強信息科技風險管理的重要性
1.1加強信息科技風險管理是金融監(jiān)管部門關注的重要內(nèi)容在我國轉(zhuǎn)變經(jīng)濟體制以后斤民多的銀行在發(fā)展過程中都實現(xiàn)了上市這樣就使得這些銀行在國際金融格局中也在扮演著非常重要的角色同時地位也是非常重要的。銀行業(yè)的發(fā)展不僅僅會導致本國經(jīng)濟發(fā)展受到影響同時也會導致世界經(jīng)濟受到影響因此國家相關監(jiān)管部門對信息科技風險管理工作是非常重視的而且對銀行業(yè)的發(fā)展也是非常重視的。銀監(jiān)會對銀行的信息科技風險管理工作提出了非常全面的要求這樣能夠更好的對信息科技風險工作進行改進同時也能更好的完善相關的工作。1.2加強信息科技風險管理是銀行自身發(fā)展和提高TI治理水平的需要銀行在進行信息化建設的過程中正在逐漸深化這樣使得銀行對信息科技風險有了更好的認識。慢慢從單一的信息安全問題轉(zhuǎn)變到現(xiàn)在的生產(chǎn)運行、應用研發(fā)以及信息安全等方面共同發(fā)展的信息科技風險管理。信息科技風險管理在一定程度上體現(xiàn)了銀行信息化的程度以及整體風險的管理水平。銀行業(yè)在發(fā)展過程中也在不斷進行改革,在這個過程中銀行完成了從國家控制到股份制改革的實現(xiàn),同時慢慢實現(xiàn)了上市這對銀行業(yè)來說是非常大的一個轉(zhuǎn)變,同時也是容易出現(xiàn)風險的過程出現(xiàn)風險不僅僅會導致銀行的正常業(yè)務辦理出現(xiàn)問題,也會導致銀行的信譽和市值出現(xiàn)很大的變化因此崖影于業(yè)在發(fā)展過程中一定要重視信息科技風險。這樣才能在這方面提出更高的要求。
2銀行業(yè)加強信息科技風險管理的有關舉措
信息科技風險是信息科技業(yè)務在銀行業(yè)中應用的過程中由于自然因素、人為因素、科技漏洞或者是管理方面存在的缺陷導致的在操作、法律以及聲譽方面的風險。銀行信息科技風險管理包括對信息科技進行治理同時對信息科技風險進行管理對信息安全進行管理這樣能夠更好的促進銀行業(yè)發(fā)展。銀行業(yè)在發(fā)展過程中信息科技組織管理體系也在不斷的建設這樣也使得銀行在利用先進的科技建立平臺方面取得了非常好的成績。建立健全信息科技管理組織體系和信息科技風險管理體系是為了更好的加強信息科技風險的管理基礎,同時也是為了更好的滿足銀監(jiān)會的要求。銀行業(yè)在發(fā)展過程中相關的負責人和相關的部「]要制定信息科技戰(zhàn)略,同時在相關的技術規(guī)范也要進行規(guī)劃這樣能夠更好的在信息科技重大決策依據(jù)信息科技風險管理方面得到更好的發(fā)展。同時也能更好的推動信息科技治理建設。信息科技管理委員會對相關的科技項目方案進行審查的時候廠定要確保信息科技架構(gòu)體系的合理性和延續(xù)性。在銀行業(yè)中首席信息官在信息科技管理體系方面得到了更近一步的完善。在信息科技管理方面要不斷的積累經(jīng)驗,這樣能夠更好的建立完善的信息科技管理制度同時也能建立更加完善的技術標準規(guī)范體系。很多的銀行在信息科技管理方面已經(jīng)有了很大的發(fā)展在相關的制度方面也有了很大的變化其中對信息安全、系統(tǒng)運行和系統(tǒng)應用方面的技術規(guī)范有了很多規(guī)范,這樣能夠更好的提升銀行的信息科技管理水平,同時在規(guī)范化和標準化方面也有了很大的提高。銀行在按照相關的要求建立系統(tǒng)平臺的時候?qū)崿F(xiàn)了科技管理的自動化,同時也將相關的管理要求進行了落實而且落實的效果也是非常好的。同時崖影于還建立了信息科技現(xiàn)場檢查和非現(xiàn)場檢查機制面向各級科技部門每年開展2次現(xiàn)場檢查海月利用各類技術管理平臺定期開展1次非現(xiàn)場檢查并對檢查發(fā)現(xiàn)問題的整改進展進行持續(xù)的跟蹤、管理和考核確保整改措施落實到位。有效防范生產(chǎn)運行風險是加強信息科技風險管理的關鍵。生產(chǎn)運行風險是信息科技風險的突出外在表現(xiàn),I商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導思想,并持續(xù)強化運行管理操作的各項措施降低運行風險。首先建立了信息系統(tǒng)安全等級體系根據(jù)系統(tǒng)安全等級在性能容量管理、災備、監(jiān)控等方面采取不同的風險管理措施在保證系統(tǒng)對外服務水平的同時池有效控制了科技成本投入。信息安全貫穿于信息科技全流程是信息科技風險管理的重要內(nèi)容。信息安全管理的核心是要建立健全信息安全的內(nèi)部控制體系通過技術和管理手段確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性。
3信息科技風險管理需要
科技部門和各業(yè)務部門共同推進、共擔風險從信息科技風險管理實踐來看,雖然信息科技風險管理更多關注的是信息科技領域但其中相當一部分內(nèi)容與業(yè)務部門息息相關。因此信息科技風險管理實際上是銀行的一項全局性工作需要業(yè)務部門共同參與和推進。在生產(chǎn)運行領域的業(yè)務連續(xù)性管理方面在信息科技部門系統(tǒng)的基礎上需要業(yè)務部門制定業(yè)務層面的應急計劃脂導業(yè)務人員在信息系統(tǒng)中斷和恢復時進行業(yè)務的應急處理從而與信息科技部門協(xié)同開展應急恢復工作。在應用研發(fā)方面產(chǎn)品質(zhì)量會引發(fā)系統(tǒng)運行風險而引發(fā)產(chǎn)品質(zhì)量問題的因素是多方面的,既包括程序設計和開發(fā)缺陷等技術因素池包括業(yè)務測試驗證和需求不完善或質(zhì)量不高等業(yè)務因素。
4結(jié)束語
銀行業(yè)在發(fā)展過程中信息科技風險管理是工作中非常重要的組成部分同時也是銀行業(yè)在信息化進程過程中要面臨的十分重要的問題。銀行業(yè)在發(fā)展過程中要共同努力,同時也要實現(xiàn)銀行內(nèi)部科技部門和業(yè)務部門的結(jié)合這樣能夠更好的打造一個安全和抗風險的金融平臺能夠更好的促進銀行業(yè)務的健康發(fā)展。
作者:張寶海 單位:中國農(nóng)業(yè)銀行綏化分行
關鍵詞:信息安全;風險評估;教學
信息安全風險評估是進行信息安全管理的重要依據(jù),通過對信息系統(tǒng)進行系統(tǒng)的風險分析和評估,發(fā)現(xiàn)存在的安全問題并提出相應的措施,這對于保護和管理信息系統(tǒng)至關重要。目前國內(nèi)外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》,對信息安全風險評估提出了具體的要求;歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風險評估課題組”,提出了我國開展信息安全風險評估的對策和辦法。2004年,國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準;2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求,同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件。《信息安全風險評估》課程教學,是信息安全專業(yè)一門重要的專業(yè)課程,能全面培養(yǎng)學生綜合運用專業(yè)知識,評估并解決信息系統(tǒng)安全問題的能力,是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一。《信息安全風險評估》課程本身的理論性與實踐性都很強,課程發(fā)展十分迅速,涉及的學科范圍也較廣,傳統(tǒng)的教學的模式不能使該課程的特點很好地展示出來,無法適應社會經(jīng)濟發(fā)展對信息安全從業(yè)人員的新要求,教學改革勢在必行。
一、現(xiàn)狀與存在的問題
信息安全風險評估是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結(jié)果可以作為信息安全風險管理的指南,用來確定合適的管理方針和選擇相應的控制措施來保護信息資產(chǎn),全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來,高校在制訂本科專業(yè)教學培養(yǎng)目標和教學計劃時,側(cè)重于具體安全理論和技術的教學和講授,特別是重點強調(diào)了密碼學、防火墻、入侵檢測、網(wǎng)絡安全等安全理論與技術的傳授。從目前高校的教學內(nèi)容看,多數(shù)側(cè)重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內(nèi)容的介紹上,而且教學課時數(shù)也較少,只有十個學時。當前從《信息安全風險評估》課程的教學情況來看,該課程在信息安全教育教學過程中地位有待提高,實踐教學的建設與研究迫切需要深化。
當前該課程的教學實踐中普遍存在以下幾個方面的問題,嚴重制約了《信息安全風險評估》課程教學質(zhì)量的提高:
1.本科教學大都以理論內(nèi)容為主體,實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內(nèi)容的講授為主,實驗和課程設計的學時較少,實驗內(nèi)容也大多屬于驗證性質(zhì),缺少具有研究和探索性質(zhì)的信息安全風險評估實踐內(nèi)容和課程設計;
2.教學方法單一,缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少,師資力量相對薄弱,教學經(jīng)驗也比較缺乏,仍以主要由教師講述的傳統(tǒng)教學方式為主,學生進行具體實踐和操作的課時較少,缺乏創(chuàng)新性的教學和研究,基本沒有具有探索性和創(chuàng)新性特點的教學內(nèi)容,不利于發(fā)揮學生主觀能動性,提高其創(chuàng)新能力;
3.實驗環(huán)境無法滿足教學需求,缺乏專業(yè)的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚,缺乏相關的實驗設備;而且受到資金和專業(yè)發(fā)展等多方面因素的制約,難以設立專門的信息安全風險評估實驗室。此外,信息安全風險評估是以計算機技術為核心,涉及管理科學、安全技術、通信和信息工程等多個學科,對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識,又要加強實踐訓練。
二、教學改革與探索
高校計算機相關專業(yè)開設《信息安全風險評估》課程,不是培養(yǎng)網(wǎng)絡信息安全方面的全才或戰(zhàn)略人才,而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足,我們從以下幾個方面對該課程的教學改革進行了探索:
1.重新確立課程培養(yǎng)目標。①重點培養(yǎng)學生分析和評估信息安全問題的能力:《信息安全風險評估》課程是一門理論性和實踐性緊密結(jié)合的課程,目前開設該課程的高校較少,各學校的教學內(nèi)容也多種多樣。該課程的教學目標即要培養(yǎng)學生發(fā)現(xiàn)信息系統(tǒng)存在的安全風險,同時也需要培養(yǎng)他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養(yǎng)學生實際操作的能力:信息安全風險評估的關鍵是對信息系統(tǒng)的資產(chǎn)進行分類,對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法,包括使用各種自動化和半自動化的工具,可在模擬實驗里,通過不斷地訓練實現(xiàn)。③培養(yǎng)學生繼續(xù)學習、勇于探索創(chuàng)新的能力:隨著信息化的不斷發(fā)展,信息系統(tǒng)所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內(nèi)以及相關的行業(yè)標準,培養(yǎng)和提高學生繼續(xù)學習的能力。另外,《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環(huán)節(jié)培養(yǎng)學生獨力分析信息系統(tǒng)安全的能力,培養(yǎng)學生對信息安全風險評估領域進行探索和研究的興趣,最終使學生掌握信息安全風險評估的知識和技能,能夠解決具體信息系統(tǒng)的安全問題。
2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規(guī)是進行信息系統(tǒng)安全風險評估的依據(jù)和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》(國信辦2006年5號文);同時,隨著信息安全等級保護制度的推行,公安部會同有關部門出臺了一系列政策文件,主要包括:《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等;國家信息安全標準化委員會頒發(fā)了《信息安全風險評估規(guī)范》(GB/T 20984~2007)、《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現(xiàn),我們在教學過程中,增加了《GB/T20984-2007信息安全技術信息安全風險評估規(guī)范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T
22080-2008信息安全管理體系要求》、《GB/T22081-
2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統(tǒng)安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統(tǒng)安全等級保護通用測試指南》等相關評估標準和指南的學習,并編制相關的調(diào)查、檢查、測試表,重點強調(diào)對脆弱性檢測的理論依據(jù)的描述,檢測方法及其步驟的詳細記錄。
3.利用各種測評工具,提高學生實踐能力。在信息安全風險評估過程中,資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學和實踐對教師和學生都提出了較高的專業(yè)課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具,并對具體的信息系統(tǒng)進行自動化或半自動化的分析,加深了學生信息安全風險評估的理論知識理解,同時注重培養(yǎng)學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實踐性教學內(nèi)容。通過評估,該系統(tǒng)的服務器存在感染病毒的癥狀,其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描,發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息,培養(yǎng)學生使用測評工具對具體信息系統(tǒng)進行安全風險評估的能力,并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統(tǒng)安全狀況不可或缺的重要手段。
筆者結(jié)合自己的教學實踐體會,論述了當前《信息安全風險評估》課程中存在的問題以及解決對策。《信息安全風險評估》課程教學改革和建設是一個長期的、系統(tǒng)化的工程,需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅,制定新的評估標準和評估方案,并使得學生在有限的時間和環(huán)境下掌握相應的知識和技能,以滿足社會對信息安全人才的需求。
參考文獻:
[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用,2010,26(8):6-8.
[2]楊春暉,張昊,王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密,2007,(12):75-77.
[3]潘平,楊平,羅東梅,何朝霞.信息系統(tǒng)安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
【關鍵詞】智慧城市;安全風險;風險識別;風險評估
1.引言
自IBM于2009提出“智慧地球”理念以來,國內(nèi)外已經(jīng)有眾多城市以網(wǎng)絡為基礎,打造數(shù)字化、泛在互聯(lián)的新型智慧型城市。在智慧城市的建設和研究過程中,將新興的物聯(lián)網(wǎng)、云計算、超級計算,以及基礎通信網(wǎng)絡、軟件服務化、數(shù)據(jù)共享、整合、挖掘與分析等技術全面應用。同時也對信息安全帶來了全角度的沖擊。
建設智慧城市必將面臨各種風險,本文主要研究和討論智慧城市工程信息系統(tǒng)的風險和評估方法。并且為建設智慧城市信息安全提供設計思路。
目前信息安全風險評估的方法主要有層次分析法[1]、神經(jīng)網(wǎng)絡方法[2]和模糊理論[3]等;信息安全要求是通過對安全風險的系統(tǒng)評估予以識別的[4]。風險評估是依據(jù)有關信息安全技術與管理標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。
2.建設智慧城市面臨的信息安全風險
2.1 智慧城市信息系統(tǒng)的基本結(jié)構(gòu)
智慧城市主要由三部分組成,底層為基礎設施平臺,主要包括互聯(lián)網(wǎng)絡和感知網(wǎng)絡;數(shù)據(jù)共享平臺主要包括基礎信息資源庫,例如人口信息、地理信息等;應用服務平臺是面向公眾、企業(yè)及政府的綜合服務門戶平臺。
2.2 智慧城市面臨的信息安全風險
信息安全風險是認為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響[5]。如表1所示,智慧城市面臨的信息安全風險主要有物理破壞、人為破壞、設備故障、內(nèi)部與外部攻擊、數(shù)據(jù)誤用、數(shù)據(jù)丟失以及應用程序錯誤等風險。智慧城市服務面廣、影響廣泛,面對大眾,其持續(xù)服務能力和流暢服務能力直接關系到智慧城市建設的成敗。而這兩個服務能力又取決于管理者和建設者對以上風險的認知和處理程度。
3.信息安全風險識別
信息安全風險識別的基本依據(jù)就是客觀世界的因果關聯(lián)性和可認識性[5]。在建設智慧城市的過程中,信息系統(tǒng)必將面臨各種安全風險。明確識別風險,評估風險,并合理的管理風險,是參與智慧城市項目建設中每個人的責任和義務。
風險識別主要有兩種方法,一種是從主觀信息源出發(fā)的識別方法。主要利用頭腦風暴法,德爾菲方法(Delphi method)和情景分析法(Scenarios analysis)。前兩種方法在我國使用的較多,情景分析法是一種定性預測方法,對預測對象可能出現(xiàn)的情況或引起的后果做出預測的方法,操作過程復雜,目前在我國的具體應用較少。另外一種風險識別的方法是從客觀信息源出發(fā)的識別方法。主要利用核對表法、流程圖法、數(shù)據(jù)或結(jié)果實驗法、工作結(jié)構(gòu)分解分析法和財務報表法等。
信息安全風險管理是識別并評估風險、將風險降低至可接受級別、執(zhí)行適當機制來維護這種級別的過程。沒有絕對安全的環(huán)境,每種環(huán)境都會存在某種程度的脆弱性,都會面臨一定的威脅。問題的關鍵在于識別威脅,估計它們實際發(fā)生的可能性以及可能造成的破壞,并采取恰當?shù)拇胧⑾到y(tǒng)環(huán)境的總體風險降低至組織機構(gòu)認為可以接受的級別。
4.終端面臨安全風險
用戶訪問智慧城市信息數(shù)據(jù)的終端雖然不屬于智能城市建設的范疇,但面對大量的用戶終端,智慧城市工程相關管理和技術人員必須要考慮智慧城市系統(tǒng)對用戶終端的影響。
根據(jù)CATR 2013年3月4日的研究數(shù)據(jù)顯示,預計2013年中國3G用戶將增長1.5-1.8億戶,用戶規(guī)模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數(shù)據(jù),也將通過3G移動互聯(lián)網(wǎng)送至用戶的智能手機上。會存在黑客利用智慧城市信息服務平臺攻擊用戶智能終端的情況。
另外一部分用戶將使用個人計算機機通過互聯(lián)網(wǎng)訪問智慧城市信息數(shù)據(jù)。同樣黑客也有機會利用智慧城市信息服務平臺攻擊用戶的個人計算機。
最后,由于智能電視、網(wǎng)絡機頂盒的出現(xiàn),還將會有部分用戶通過電視機訪問智慧城市的信息數(shù)據(jù),黑客也有攻擊智能電視機網(wǎng)絡機頂盒等電視機接入設備。
智慧城市工程的建設,要應對網(wǎng)絡犯罪和黑客攻擊,維護移動互聯(lián)網(wǎng)安全,需要將移動網(wǎng)絡、后臺服務以及個體終端結(jié)合起來,從全局角度提出一個完整的綜合性解決方案,這就對普通用戶、移動運營商、網(wǎng)絡安全供應商、手機制造商、第三方軟件開發(fā)商以及網(wǎng)絡信息提供商都提出了更高的要求。同時,還需要政府監(jiān)管部門完善響應的監(jiān)管體系,加強相關法律法規(guī)的建設。
5.信息安全風險評估
信息安全風險評估是依據(jù)有關信息安全技術與管理標準,對信息系統(tǒng)及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,并提出有針對性的抵御威脅的防護對策和整改措施。進行信息安全風險評估,就是要防范和化解信息安全風險,或者將風險控制在可接受的水平,從而為最大限度的保障網(wǎng)絡和信息安全提供科學依據(jù)。[6]
通過風險評估后,就可以針對信息系統(tǒng)中的高危風險進行風險管理。風險評估目前主要有定量風險分析方法和定性風險分析方法。國內(nèi)外研究人員又在此基礎上提出了層次分析法(AHP),故障樹分析法和基于模糊數(shù)學的分析方法。另外就是基于科研機構(gòu)頒布的標準或指南的信息安全風險評估方法,比較傳統(tǒng)的方法有BS7799標準、CC標準、ISO13335信息和通信技術安全管理指南和NIST相關標準等。這些標準或指南對信息安全風險評估具有很好的指導作用,且大多數(shù)是基于定性的風險評估,對評估者的能力要求高,評估具有很大的主觀性。
對于智慧城市工程的信息系統(tǒng),可以采用多種不同的方法對信息系統(tǒng)進行綜合風險評估,將不同風險評估方法得出的結(jié)果系統(tǒng)分析,實施全方位、多角度的風險管理。只有通過對信息系統(tǒng)的安全風險評估才能對智慧城市工程存在的風險進行合理、科學和有效的管理。
6.結(jié)束語
在建設智慧城市工程的過程中,信息安全風險評估以及風險管理勢在必行。在規(guī)劃設計階段根據(jù)實際投資和項目情況,以國家相關標準為基礎進行規(guī)劃設計,并參照《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)對信息系統(tǒng)進行安全保護。正確識別和評估安全風險要始終貫穿到工程項目建設的每一個環(huán)節(jié)中。在項目建設初期從多角度、全方位識別風險,不留風險盲區(qū);在項目建設過程中,通過風險評估的結(jié)論,將風險降低到可以接受的程度;在后期的使用維護過程中,始終使用PDCA方法,不斷的去識別、評估和降低安全風險。動態(tài)將風險識別和風險評估方法貫徹到智慧城市工程的每一個階段,確保實現(xiàn)安全可靠的智慧型政府、智慧型民生和智慧型產(chǎn)業(yè)。
參考文獻
[1]王奕,費洪曉,蔣蘋.FAHP方法在信息安全風險評估中的研究[J].計算機工程與科學,2006,28(9):4-6.
[2]趙冬梅,劉海峰,劉晨光.基于BP神經(jīng)網(wǎng)絡的信息安全風險評估[J].計算機工程與應用,2007,43(1):139-141.
[3]陳光,匡光華.信息安全風險評估的模糊多準則決策方法[J].信息安全域通信保密,2006,7:23-25.
[4]信息安全管理實施指南(ISO17799:2005C).
[5]信息安全風險評估規(guī)范(GB/T20984-2007).
【關鍵詞】信息科技風險;金融信息化;風險管控
1.引言
金融信息化指在金融領域全面發(fā)展和應用現(xiàn)代信息技術,以創(chuàng)新智能技術工具更新改造和裝備金融業(yè),使金融活動的結(jié)構(gòu)框架重心從物理性空間向信息性空間轉(zhuǎn)變的過程。簡而言之,金融信息化就是指將現(xiàn)代信息技術應用于金融領域的過程。隨著金融信息化向縱深方向發(fā)展,信息安全已成為全球金融機構(gòu)所面臨的重要風險之一。當前金融機構(gòu)面臨的主要信息科技風險包括缺乏有效的信息科技風險管理戰(zhàn)略、信息科技治理結(jié)構(gòu)還不夠完善、高級管理層重視不夠、信息安全管理工作更多強調(diào)技術層面以及合規(guī)風險。
中國的金融機構(gòu)都制定了業(yè)務發(fā)展戰(zhàn)略,但缺乏與業(yè)務發(fā)展戰(zhàn)略相一致的信息科技發(fā)展戰(zhàn)略,也缺乏信息科技風險戰(zhàn)略,以指導信息科技風險管控工作。金融機構(gòu)內(nèi)部大多數(shù)部門都認為信息科技工作是信息科技部門的事情,同樣信息科技風險管理也只是信息科技部門的責任,導致了信息科技治理結(jié)構(gòu)不夠完善,信息科技風險管理缺乏業(yè)務、風險管理、內(nèi)部審計部門的有效支持。高級管理層在“口頭上”都很重視,但高級管理層很少履行切實的承諾,在資金上給與足夠的支持。更多金融機構(gòu)注重從技術層面加強邊界保護,而很少從流程、技術、人員三個不可分離的層面從事信息安全管理工作。由于當前在信息科技風險管控方面不能夠滿足外部監(jiān)管機構(gòu)的要求,從而給金融機構(gòu)帶來合規(guī)風險。即使金融機構(gòu)應結(jié)合自身業(yè)務發(fā)展戰(zhàn)略,在對信息科技風險評估的基礎上,借鑒先進金融機構(gòu)的良好做法和國際標準基礎上,制定出與業(yè)務發(fā)展目標保持一致的信息科技風險管理戰(zhàn)略。加強信息科技風險治理結(jié)構(gòu)建設,設計出包括高級管理層、業(yè)務部門、信息科技部門、風險管理部門、審計和合規(guī)部門在內(nèi)的信息科技風險治理架構(gòu),以滿足信息科技風險管理對治理結(jié)構(gòu)的要求。從業(yè)務需求出發(fā),從人員、技術和流程三個角度加強信息科技風險管控程序建設,逐步提高信息科技風險管控能力,滿足外部監(jiān)管要求。還要持續(xù)地加強高級管理層、管理層以及一般人員,并包括合作伙伴等人員的信息安全意識教育和培訓。
鑒于實業(yè)界對金融信息化風險的高度重視,本文從金融信息化風險概念、分類和管控方法等方面對現(xiàn)有文獻中的相關理論進行回顧,并對國內(nèi)外的研究現(xiàn)狀進行進一步的對比分析。
2.金融信息化風險的內(nèi)涵和分類
2.1 金融信息化風險的概念
金融信息化風險是信息科技在商業(yè)銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。信息科技風險不是一種新的風險類型,而是一種系數(shù)型風險,其風險就在于隨著信息科技對銀行經(jīng)營與管理的不斷滲透,會使已存在的交易、戰(zhàn)略、法律、信譽等風險擴大化。金融信息化風險是金融企業(yè)風險之一。
2.2 金融信息化風險的來源
金融機構(gòu)信息系統(tǒng)風險的主要挑戰(zhàn)來自于基礎技術的復雜性和多變性。具體而言,金融機構(gòu)信息技術的復雜多變通過以下幾種渠道可能導致風險的產(chǎn)生。
(1)電子商業(yè)銀行的技術創(chuàng)新和客戶服務變革的速度比傳統(tǒng)的創(chuàng)新更快,例如在新技術和新業(yè)務的推出時間周期大大縮短,因此很難預測客戶的需求。客戶需求波動與服務能力的不一致給商業(yè)銀行帶來了資源浪費或損失顧客的風險。(2)在線上交易中,Web站點要與金融機構(gòu)后臺核心業(yè)務系統(tǒng)互聯(lián)互通。因此,信息系統(tǒng)的架構(gòu)設計必須較為合理,在操作性和可用性上有良好的體驗。對技術的依賴程度增加使得風險更為集中,風險的管控要求更高的技術素養(yǎng)、知識和能力。(3)網(wǎng)絡銀行與傳統(tǒng)銀行采用了不同的服務模式,其價值鏈中引入更多合作伙伴、合作聯(lián)盟和外包服務商,從而增強了網(wǎng)絡銀行的操作和安全復雜性。新的服務模式融入了金融機構(gòu)和非金融機構(gòu),但這些非金融機構(gòu)并不在金融業(yè)的監(jiān)管之列,使得技術風險監(jiān)管產(chǎn)生了許多復雜的問題,在出現(xiàn)故障或發(fā)生問題時,很難界定各自的責任。(4)互聯(lián)網(wǎng)本身無所不在的特性,使信息訪問的各個環(huán)節(jié)都很難控制,一系列相應技術的應用,如授權(quán)管理、客戶身份確認技術、信息等級管理制度、稽核跟蹤技術等,使得金融機構(gòu)必須投入更多資源才能確保對信息訪問的嚴格控制,從而在無形中提高了事故發(fā)生的可能性。(5)隨著移動互聯(lián)網(wǎng)在商業(yè)銀行信息系統(tǒng)中的應用(如無線POS、移動銀行等),在實現(xiàn)將移動互聯(lián)網(wǎng)與現(xiàn)有的網(wǎng)絡平臺互聯(lián)時,信息更容易受到攻擊。(6)伴隨著我國各金融機構(gòu)數(shù)據(jù)大集中的開展,商業(yè)銀行各種技術風險也相應集中,對數(shù)據(jù)大集中的穩(wěn)定性、高效性和可靠性提出了更高的要求。
2.3 金融信息化風險的分類
按照產(chǎn)生來源,金融機構(gòu)的信息化風險可劃分為內(nèi)部風險和外部風險。
(1)內(nèi)部風險
實體安全為主信息安全為輔的后端保護思想主要是指在電子文件產(chǎn)生初期,照搬傳統(tǒng)檔案保護理論和實踐的模式應對電子文件安全的思想,其出發(fā)點是圍繞實體安全需要指導和實施電子文件安全管理。
1.1后端保護思想產(chǎn)生的根源
20世紀80-90年代是我國電子文件應用的初期,主要應用于辦公自動化和計算機輔助檔案管理業(yè)務中,電子文件發(fā)揮的作用主要是紙質(zhì)文件的副本,所以電子文件安全還不是文檔工作的重點,即使開始關注電子文件安全,也是在文檔分離體制的框架內(nèi)進行,因而對電子文件安全管理照搬傳統(tǒng)檔案保護的安全管理思想也是順理成章的。
1.2后端保護思想在實踐中的表現(xiàn)
后端保護思想的核心是以文件實體材料的安全為主要保護對象,在此思想的指導下,我國實行了一種權(quán)宜之計的“雙套制”管理模式,即采取一式兩樣的方式,紙質(zhì)版文件一套,電子版文件脫機備份一套。試圖通過這種“雙保險”的方式既保障文件內(nèi)容的安全,又保留電子文件的特性。與此配套國家相繼出臺了《CAD電子文件光盤存儲歸檔與檔案管理要求第一部分:電子文件歸檔與檔案管理》(GB/T13967-1992)、中華人民共和國檔案行業(yè)標準《磁性載體檔案管理與保護規(guī)范》(DA/T15-1995)、《電子文件歸檔與管理規(guī)范》(GB/T18894-2002)(下文簡稱《規(guī)范》)等標準,從這些標準內(nèi)容可以清晰的反映出電子文件的安全管理是被放在傳統(tǒng)保護框架內(nèi)進行的。如《規(guī)范》中的“7.1歸檔要求文件形成部門或信息管理部門應定期把經(jīng)過鑒定符合歸檔條件的電子文件向檔案部門移交,并按檔案管理要求的格式將其存儲到符合保管期限要求的脫機載體上。”“8.1歸檔電子文件的整理按DA/T22規(guī)定的要求進行,8.2歸檔電子文件以件為單位整理”等,這些規(guī)定集中體現(xiàn)了對電子文件的管理是按照《規(guī)范》中所指的DA/T22,即《歸檔文件整理規(guī)則》(DA/T22—2000)來實施。雖然在《規(guī)范》中的第3條對電子文件的術語和定義做了規(guī)定和說明,關注到電子文件與紙質(zhì)文件的不同特性,但管理方法上并沒有實質(zhì)性的調(diào)整。
1.3后端保護思想產(chǎn)生的影響
傳統(tǒng)檔案管理思想的束縛和固有管理模式的慣性使電子文件管理初期形態(tài)存在諸多問題,給電子文件全面的安全管理埋下很多隱患,主要表現(xiàn)在:在管理理念上,夸大了電子文件的不安全性對電子檔案代替紙質(zhì)檔案持懷疑甚至是否定態(tài)度,阻礙了對電子文件安全性問題的積極探索;在管理實踐上,“‘雙套制’的存在為電子文件(檔案)取得信任設了一道難過的坎。”也給檔案管理帶來不少新的問題和挑戰(zhàn)。諸如電子文件的流失、制作及保管成本的大幅度增加、電子文件方便利用優(yōu)勢的喪失等等。2008年的一個調(diào)查顯示“在機構(gòu)大量生成和使用電子文件的前提下,有73.5%機構(gòu)認為電子文件不可以代替文件獨立行使文件的職能”,這種情況至今沒有太大改觀。由于實體安全為主信息安全為輔的后端保護思想,不是從電子文件本身特性出發(fā)量身定制,因而它也不可能從根本上解決電子文件安全管理問題。所以,突破傳統(tǒng)觀念藩籬,建立符合電子文件安全管理的指導思想成為繼續(xù)探索的方向。
2前端控制與全程保護的風險管理思想階段
任何新事物本質(zhì)的發(fā)現(xiàn),都需要一個從感性到理性,從現(xiàn)象到本質(zhì)的認識過程。電子文件這一新形態(tài)文件的出現(xiàn),同樣需要逐步了解和認識的過程。20世紀90年代末到21世紀最初的幾年,檔案學界和業(yè)界對電子文件安全所進行的理論研究和實踐摸索,基本上廓清了電子文件與紙質(zhì)等傳統(tǒng)文件(檔案)的不同,為找到真正適合電子文件安全管理的指導思想和恰當?shù)膶嵺`方式提供了指引。由此我國的電子文件安全管理進入了實體安全與信息安全并重的風險管理思想階段。
2.1信息安全是表征電子文件安全性的核心指標
透過對電子文件產(chǎn)生和管理環(huán)境特點的研究,可知電子文件與傳統(tǒng)紙質(zhì)文件相區(qū)別的基本特征有兩個:一是計算機系統(tǒng)是電子文件生成和管理的必要環(huán)境;二是電子文件信息以二進制數(shù)字代碼記錄和存儲。這兩個基本特征應該成為探尋電子文件安全管理指導思想的出發(fā)點和電子文件安全管理的重點。計算機系統(tǒng)是信息技術的核心產(chǎn)品,它具有升級換代快,個性化強(不同的用戶可按需定制軟硬件系統(tǒng),造成格式多樣,信息不兼容等問題),安全漏洞高科技化(操作系統(tǒng)、信息流轉(zhuǎn)通道中存在后門、黑客、病毒等惡意破壞和竊取信息的操縱者等多種風險)等特點,這些特點決定了生存在其中的電子文件形態(tài)多樣且更新淘汰快,可操作性強,信息安全問題更加隱秘復雜,難以控制。照搬傳統(tǒng)檔案單一策略的后端的實體保護難以應對電子文件在生成和管理環(huán)境中面臨的安全問題,只有將安全管理擴展到文件生命周期的全過程中,通過全程保護才能滿足電子文件安全的需要。筆者認為上文提到的《規(guī)范》中已經(jīng)界定了有關電子文件特性的內(nèi)容,可為探求電子文件安全本質(zhì)問題提供指導。《規(guī)范》中術語部分有三個重要概念的界定,即“真實性(authenticity)指對電子文件的內(nèi)容、結(jié)構(gòu)和背景信息進行鑒定后,確認其與形成時的原始狀況一致;完整性(integrity)指電子文件的內(nèi)容、結(jié)構(gòu)、背景信息和元數(shù)據(jù)等無缺損;有效性(util-ity)指電子文件應具備的可理解性和可被利用性,包括信息的可識別性、存儲系統(tǒng)的可靠性、載體的完好性和兼容性等。”這三個術語揭示了電子文件生成環(huán)境和管理環(huán)境基本特性的內(nèi)涵,為確定電子文件安全管理目標提供了方向。真實性、完整性和有效性三個指標的管理目標的實現(xiàn),必須將電子文件生成系統(tǒng)的安全、文件信息內(nèi)容及流轉(zhuǎn)過程中的安全、存儲載體的安全等納入到一個完整管理系統(tǒng)中進行全程動態(tài)監(jiān)控和管理。所以,用真實性、完整性和有效性指標表征的信息安全是電子文件安全的核心指標。
2.2前端控制全程保護對電子文件安全管理的必要性
“電子文件的產(chǎn)生使得人們更有必要以比過去大得多的熱情關注文件運動的整體性,更積極的把文件‘從生到死’從頭到尾的整個運動過程全面而系統(tǒng)地管理起來。”國際檔案理事會也指出:“電子文件管理工作范圍的第一項原則是‘檔案館應參與產(chǎn)生和保管具有檔案價值文件的電子系統(tǒng)的整個生命周期,以便文件真實可靠,且適合保存。’”由此出發(fā),國際檔案理事會1997年頒發(fā)的《電子文件管理指南》把電子文件生命周期描述為概念階段、形成階段和維護階段。這種有別于傳統(tǒng)文件生命周期的描述是充分考慮了電子文件的特性,因而是符合電子文件運動規(guī)律的。電子文件生命周期的概念(或曰設計)階段是至關重要的,它的質(zhì)量直接關系著電子文件生命周期全過程的有效監(jiān)控和各種管理功能的實現(xiàn)。文檔部門互相協(xié)作,科學指導是對概念階段質(zhì)量把控,滿足生命周期全程保護需求的重要保障。具體做法是:在電子文件管理系統(tǒng)方案設計時文檔部門要本著充分貫徹既瞻前又顧后的全局原則和可持續(xù)發(fā)展理念,指導管理系統(tǒng)具備為電子文件的生成、系統(tǒng)運行的過程控制和升級換代的日常維護等一切生命過程提供安全保障的功能。實際上,無論對紙質(zhì)文件(檔案)的保護還是電子文件(檔案)安全管理,前端控制和全程保護都是必需的。根據(jù)文件生命周期理論可知,所有形態(tài)的文件與檔案都是同一內(nèi)容的不同價值形態(tài),所以只有保障文件(檔案)從制作形成到壽命終結(jié)的每一個階段的持續(xù)保護,才能最大限度的保護文件(檔案)的真實性、完整性和有效性。
2.3風險管理在電子文件安全管理中的引入
前端控制全程保護與風險管理的理念高度契合,二者都是從防患于未然的角度來實施安全管理。風險管理作為安全管理的核心組成部分,不僅是一種安全管理指導理念,同時也是一種安全實踐方式。用風險管理的思路來研究和管理電子文件主要是通過防止不良后果的發(fā)生或減輕風險事故的危害而達到防患于未然的目的。在檔案界有關電子文件風險管理研究的代表性成果主要是馮惠玲帶領的課題組出版的《電子文件風險管理》(中國人民大學出版社,2008年)。該成果系統(tǒng)的闡釋了電子文件風險管理的基本理論和管理對策。該成果指出:電子文件風險是指“電子文件質(zhì)量缺損及其引發(fā)其他損失的不確定性,是可能產(chǎn)生的預期結(jié)果與實際結(jié)果的負面差異”,通過對電子文件風險的識別、成因的分析、風險的評估等系統(tǒng)的規(guī)劃,有效監(jiān)控風險,應對風險,使電子文件更加安全。在電子文件安全管理中最能體現(xiàn)風險管理的重要性有兩個關鍵問題,一是關于電子文件管理系統(tǒng)功能的設計,二是對“元數(shù)據(jù)”功能的研究和管理。有關電子文件管理系統(tǒng)功能設計在本文2.2已做了闡述,主要是通過前端控制來貫徹風險管理的思想。至于對“元數(shù)據(jù)”功能的研究和管理問題,檔案界經(jīng)歷了一個從忽視到重視的過程。元數(shù)據(jù)的重要性主要體現(xiàn)在:“元數(shù)據(jù)”是電子文件身份和內(nèi)容的證明和封裝,也可以表達為“元數(shù)據(jù)加上文件內(nèi)容就構(gòu)成了有證據(jù)作用的文件”。我國自電子文件產(chǎn)生以來,元數(shù)據(jù)的管理是比較最薄弱的環(huán)節(jié)。無論是“雙套制”,還是專門的文檔管理系統(tǒng),一直存在“元數(shù)據(jù)”功能的殘缺和管理缺位的問題,這也是長期以來電子文件的安全性和檔案性不被信賴的重要原因。因而在電子文件安全管理過程中堅持貫徹風險管理思想的指導和實踐的應用是非常必要的。我國應用風險管理指導思想比較明確和有成效的實踐是電子文件備份制度的建立和推廣。2009年國家檔案局局長楊冬權(quán)在全國檔案館工作會議上提出:“為確保國家檔案安全,各級國家檔案館要通過建立異地備份庫等形式,對本級重要檔案及電子文件實行異地備份,對重要的電子文件還要實行異質(zhì)備份,確保電子文件的長期可讀,確保檔案信息資源的絕對安全。”同時要求這項工作要在2012年底前完成。備份的方式有兩種模式可供選擇:一種是主要針對政府和企事業(yè)單位的電子文件,通過建立專有網(wǎng)站或是開發(fā)應用軟件對重要文件進行集中保存和統(tǒng)一備份;另一種是館際互備,這是目前選擇備份的主要方式。據(jù)統(tǒng)計,截止到2012年全國已有47對副省級市以上國家檔案館達成協(xié)議,互為檔案異地備份館。此外浙江省根據(jù)國家要求,結(jié)合本省情況,在2013年頒發(fā)了《浙江省檔案登記備份工作規(guī)范》(浙檔發(fā)〔2013〕23號),包含了傳統(tǒng)和電子文件所有檔案的備份工作要求,把風險管理貫穿到所有形態(tài)檔案管理過程中。國家檔案局在2012年頒發(fā)了《電子檔案移交與接收辦法》,開始推進電子檔案的集中保管。電子檔案移交的前提是電子文件必須完整安全的歸檔,所以隨著該辦法的實施,對電子文件安全性全面認識和科學管理將起到實質(zhì)性的推動作用,前端控制全程保護的風險管理指導思想的貫徹也將更加有效。
3納入國家信息安全戰(zhàn)略的安全管理思想階段
網(wǎng)絡時代,乃至撲面而來的大數(shù)據(jù)時代,信息安全已不斷上升為國家安全的重要組成部分。世界范圍的信息安全風險日益復雜,日益嚴峻,從國家整體和高度進行頂層設計的信息安全戰(zhàn)略成為當今信息安全管理指導思想的主流。國家戰(zhàn)略的目的是從國家意志的高度出發(fā),統(tǒng)籌協(xié)調(diào)各個領域的安全問題,制定國家宏觀規(guī)劃和重大政策,不斷增強國家安全保障能力。電子文件是國家信息安全的核心資源,為了維護國家整體信息安全,尋求宏觀層面的政策、標準等管理力量的支持,將電子文件安全管理納入到國家信息安全戰(zhàn)略進行頂層設計和指導變得日益重要。
3.1國家信息安全戰(zhàn)略思想的提出及其內(nèi)涵
隨著電子文件實踐的深入,各種安全管理問題陸續(xù)展現(xiàn)。世界范圍內(nèi)對電子文件管理共性的認識和管理策略不斷趨于一致,特別是一些信息化整體水平較高的國家,經(jīng)歷了由分布式管理到集中式管理的探索過程,在21世紀最初幾年“紛紛以戰(zhàn)略動議、政策引導、標準規(guī)范等形式提出體現(xiàn)國家意志和利益的重大舉措,”進入“以頂層設計帶動總體規(guī)劃,以國家戰(zhàn)略帶動全面發(fā)展”的時期。我國在2006年以馮惠玲為代表的理論界率先提出“加強頂層設計,制定和實施我國電子文件管理的國家戰(zhàn)略已經(jīng)迫在眉睫。”隨后她帶領團隊進行了比較系統(tǒng)的研究,其成果集中體現(xiàn)在《電子文件管理國家戰(zhàn)略》一書中。“電子文件管理國家戰(zhàn)略,就是從國家層面和戰(zhàn)略視角對電子文件管理全局性、基本性、長期性問題所進行的目標定位、統(tǒng)籌規(guī)劃和基本制度安排。是一個國家對電子文件管理工作的基本態(tài)度和總體思路,其表現(xiàn)是法規(guī)、政策、標準、規(guī)劃、項目等體現(xiàn)國家意志、帶有全局性的關于電子文件管理的國家行為。”由于我國實行的文檔分離管理模式,以及各自為政的電子文件分散管理現(xiàn)狀等,使得電子文件失真失控,信息孤島等問題嚴重。解決這些問題的關鍵在于引入系統(tǒng)論思想,將頂層設計思想應用于電子文件安全管理中,“摒棄單一部門,單一技術方法的做法,從國家安全的高度認識電子文件安全的重要性,協(xié)同多部門多途徑維護檔案的安全,”構(gòu)建起基于立體的檔案保護環(huán)境的檔案安全保障體系。
3.2國家信息安全戰(zhàn)略的推進電子文件國家信息安全戰(zhàn)略實現(xiàn)的途徑主要從技術、國家政策、標準規(guī)范等幾個方面進行推進。
3.2.1技術層面的國家戰(zhàn)略。信息安全關系到國家重大安全的關鍵因素,特別是隨著信息技術的進步,掌握先進技術開發(fā)與應用主動權(quán)的發(fā)達國家,成為壟斷和控制發(fā)展中國家信息安全的最大威脅者。美國微軟公司對全球電腦操作系統(tǒng)的掌控,以及不斷爆出的信息竊密事件,諸如斯諾登事件等,不斷敲響信息安全的警鐘。信息安全領域中高科技的竊密手段無孔不入,上到國家,下至個人,無處不在的第三只眼睛的窺探,隱私難保,安全岌岌可危。主動進行風險監(jiān)控、防范是必要的,但更有效的辦法是推動國家信息技術自主知識產(chǎn)權(quán)產(chǎn)品的開發(fā)和應用。“從國家安全的高度考慮,國家已開始建設‘自主、安全、可控的IT系統(tǒng)’,把信息安全掌握在自己手中,才能確保國家網(wǎng)絡安全和信息安全。”電子文件的管理對信息技術具有高度的依賴性,由于技術原因造成的安全問題也是最為突出的。我國在2009年4月9日成立了版式聯(lián)盟,該聯(lián)盟由中國電子工業(yè)標準化技術協(xié)會發(fā)起,聯(lián)合我國版式技術應用領域產(chǎn)品與服務的制造者、使用者、政府和中介組織版式技術等部門,對廣泛涉及檔案管理、數(shù)字出版、數(shù)字辦公、數(shù)字印刷、信息等領域的信息進行統(tǒng)一規(guī)范,為信息的真實性、完整性、長期可讀性提供良好的技術環(huán)境。
3.2.2政策層面的國家戰(zhàn)略。政策以其權(quán)威性、導向性、探索性、靈活性的特點可以為標準的制定與實施提供引導和支持。我國政策層面的國家戰(zhàn)略指導思想主要包括國家層面的五年規(guī)劃、信息行業(yè)的發(fā)展規(guī)劃、文檔部門的發(fā)展規(guī)劃等自上而下編制和推行的宏觀層面上的方針政策。2000年后我國提出建設國家信息安全保障體系,2003年國家“兩辦”頒發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》,該意見明確了我國信息安全保障工作的指導方針、基本原則和主要任務,并確立了用五年左右的時間基本建成國家信息安全保障體系的工作目標。同時將等級保護、風險評估、應急響應和災難恢復作為我國信息安全保障過程中的四個重要環(huán)節(jié)。與電子文件信息安全密切相關的國家標準對電子文件安全管理有著更直接的指導價值。文檔部門對這些標準的解讀與應用要重點的關注和研究。據(jù)統(tǒng)計,信息行業(yè)“在1995-2008年期間的信息安全國家標準共83項。”并且在這期間更新標準高達60%。由此可見我國在國家層面上對信息安全是非常重視的,對信息技術發(fā)展的動態(tài)跟進也比較及時,這為電子文件安全管理標準的研制和推廣提供了有力的指導。近年來國家檔案局也開始重視頂層政策的設計,不斷向國家安全戰(zhàn)略靠攏,最為顯著的成果是在2010年5月12日,國家檔案局局長楊冬權(quán)在全國檔案安全體系建設工作會議上,提出“要樹立‘檔案安全事關黨和國家根本利益的思想’,要樹立‘安全第一’的思想,要樹立‘安全問題人人有責’的思想,與建立覆蓋人民群眾的檔案資源體系和方便人民群眾的檔案利用體系相呼應,建立起確保檔案安全保密的檔案安全體系。”國家信息安全戰(zhàn)略是一個系統(tǒng)大工程,關系到體制、技術、法規(guī)等多層面的設計和協(xié)調(diào),在推進過程中所面臨的難題將是復雜多樣的,因而在這個過程中,國家層面要關照到所有的信息領域,真正做到統(tǒng)籌兼顧,確保推行的實效,信息資源(包括產(chǎn)生、流轉(zhuǎn)、保存等)行業(yè)也要肩負起國家安全職責,為建立起強大的國家信息安全保障體系做出應有的貢獻。
關 鍵 詞: 商業(yè)銀行;信息科技;風險管理
中圖分類號: F830.33 文獻標識碼:A 文章編號:1006-3544(2013)05-0031-02
一、商業(yè)銀行信息科技風險
在信息技術與銀行業(yè)務深度融合的今天,信息科技風險事件往往涉及范圍廣、客戶多、金額大,在給銀行造成經(jīng)濟損失的同時,也會帶來很大的聲譽損失。銀監(jiān)會前主席劉明康曾表示:“如果銀行系統(tǒng)中斷1小時,將直接影響該行的基本支付業(yè)務;中斷1天,將對其聲譽造成極大傷害;中斷2~3天以上不能恢復,將直接危及其他銀行乃至整個金融系統(tǒng)的穩(wěn)定。”因此,可以毫不夸張地說信息科技安全運行和健康發(fā)展是銀行業(yè)務正常開展的重要保障和基本前提, 關乎銀行聲譽、金融安全和社會穩(wěn)定。表1顯示了近年來商業(yè)銀行發(fā)生的幾起典型信息科技風險事件。
根據(jù)中國銀監(jiān)會的《商業(yè)銀行信息科技風險管理指引》,信息科技風險是指信息科技在商業(yè)銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。在巴塞爾新資本協(xié)議體系中,信息科技風險被視為操作風險的一種。它具有區(qū)別于一般操作風險的特殊性:(1)風險因素復雜,大量使用外包和新技術使得風險控制的復雜度大幅提高。(2)潛伏性、偶發(fā)性和不確定性突出。比如,通過充分風險論證的生產(chǎn)系統(tǒng),短期內(nèi)無風險隱患,而隨著生產(chǎn)環(huán)境的壓力逐步擴大, 系統(tǒng)的脆弱性就會逐步暴露;一個具有很高安全性的電子銀行,隨著病毒的不斷變種,黑客技術的提高,新的安全問題就會出現(xiàn)。(3)信息科技風險一般不直接造成經(jīng)濟損失,其造成的間接損失難以計量且極可能引發(fā)聲譽風險。(4)影響范圍廣。單個信息系統(tǒng)的故障就可能影響銀行多項業(yè)務。 在銀行數(shù)據(jù)大集中的形勢和背景下,信息科技風險也趨于集中,成為惟一能使銀行瞬間癱瘓的風險。
從國內(nèi)的監(jiān)管導向看,筆者認為信息科技風險管理有兩個重要的目標:一是保證銀行業(yè)務的穩(wěn)定和連續(xù);二是保護客戶信息安全。如果不能實現(xiàn)這兩個目標,則可能引發(fā)直接或間接的經(jīng)濟損失以及聲譽風險和法律風險。
二、信息科技風險的影響因素
從前述信息科技風險管理的兩個目標出發(fā),可以通過分析影響目標實現(xiàn)的因素來了解引致信息科技風險的原因。影響銀行業(yè)務的穩(wěn)定和連續(xù)的因素主要有軟硬件故障、人員誤操作、關鍵人員離崗、系統(tǒng)超負荷運行、網(wǎng)絡癱瘓、電力中斷、病毒傳播、應用系統(tǒng)及版本出現(xiàn)異常、數(shù)據(jù)缺失或丟失、外包服務不到位、自然災害或人為損壞設備、缺少業(yè)務連續(xù)性計劃、災備基礎設施不健全、日常應急演練不充分,等等。影響客戶信息安全的因素主要有內(nèi)部人員利用流程、權(quán)限漏洞盜用客戶數(shù)據(jù);外部人員運用技術手段侵入系統(tǒng)盜用客戶信息;內(nèi)外勾結(jié)盜用客戶信息、外包服務商泄密等等。
以上這些因素在巴塞爾新資本協(xié)議中也有相關的描述。巴塞爾新資本協(xié)議對操作風險的損失事件形態(tài)分為7個類型,吳博(2010)將其中與信息科技風險的損失事件有關的三個類型整理后大致覆蓋了引發(fā)信息科技風險的因素,見表2。
當然,上述這些影響信息科技風險管理目標實現(xiàn)的因素仍只是引發(fā)信息科技風險的中間變量,其本身也可被視作信息科技風險的表現(xiàn)形式。透過這些表現(xiàn)可以很容易發(fā)現(xiàn)管理不到位才是導致信息科技風險的最根本原因。
從實踐來看,近年來信息科技快速發(fā)展有力支持了商業(yè)銀行各項業(yè)務的快速擴張。但同時,管理、運行維護跟不上的矛盾也日漸突出,“重建設、輕管理、重開發(fā)、輕運維”的現(xiàn)象較為普遍。有監(jiān)管部門研究表明,近年來發(fā)生的信息科技風險事件中,多數(shù)事件發(fā)生都源于制度不健全、流程不完善、落實不到位,很少有純粹技術原因引發(fā)的事件。因此,可以說管理到位是防范信息科技風險的關鍵。
三、信息科技風險管理措施
信息科技風險管理應貫穿于信息科技工作的全流程,涉及到信息科技風險管理的“三道防線”,需要由信息科技部門和各業(yè)務部門共同完成。具體管理措施如下:
1. 完善風險治理架構(gòu),各司其職。構(gòu)建和完善信息科技風險管理的三大防線,即信息科技管理、信息科技風險管理、信息科技風險審計,從三個不同角度、不同緯度,對風險進行立體防控。需要注意的是三大防線的安排不應是簡單的對應信息科技風險管理的事前、事中、事后三階段,風險管理部門、審計部門應積極參與到業(yè)務連續(xù)性計劃制定、應急演練、系統(tǒng)開發(fā)、外包管理等信息科技日常風險管理工作中,實現(xiàn)風險管理的前移。
2. 健全管理制度體系,重在執(zhí)行。建立、健全信息科技管理制度和業(yè)務操作流程并認真執(zhí)行。制度建設要從新產(chǎn)品上線或新系統(tǒng)投產(chǎn)前開始,要建立完善的上線或投產(chǎn)方案以及上線或投產(chǎn)后相關的管理制度和業(yè)務流程,并制定回退機制或應急預案以應對意外情況。同時,要積極研究各類信息安全風險案例,總結(jié)歸納新的風險點,有針對性地完善制度。要建立制度執(zhí)行的監(jiān)督評價機制,商業(yè)銀行的董事會、監(jiān)事會、高級管理層以及審計部門要切實監(jiān)督評價信息科技各項制度的執(zhí)行情況,對制度執(zhí)行不到位的責任人要進行問責或處罰。
3. 合理規(guī)劃系統(tǒng)資源, 未雨綢繆。(1) 縱向規(guī)劃發(fā)展進度。在系統(tǒng)規(guī)劃設計階段就要評估能否滿足未來較長時間的業(yè)務需求,合理安排系統(tǒng)升級、版本切換等工作。(2)橫向匹配系統(tǒng)資源。在系統(tǒng)資源短期內(nèi)不變的情況下,合理分配資源,通過系統(tǒng)分級,將資源優(yōu)先分配給等級高的系統(tǒng)以保障重要系統(tǒng)的穩(wěn)健運行。
4. 密切監(jiān)測系統(tǒng)運行,防患未然。通過技術平臺對信息系統(tǒng)的運行狀況進行全程監(jiān)控。一、二級骨干網(wǎng)是否暢通、網(wǎng)點終端和自助設備是否運行正常、應用系統(tǒng)是否正常服務、是否有異常交易、網(wǎng)絡是否遭到非法入侵等,都必須納入實時監(jiān)控范圍,以確保在第一時間發(fā)現(xiàn)問題和風險點,及時采取應對措施,防患于未然。
