信息安全风险管理范文

时间:2023-03-20 14:21:14

导语:如何才能写好一篇信息安全风险管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全风险管理

篇1

随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字(Keywords):

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:

图一信息安全风险管理模型

既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:

(1)确定ISMS的范畴和安全边界

(2)在范畴内定义信息安全策略、方针和指南

(3)对范畴内的相关信息和信息系统进行风险评估

a)Planning(规划)

b)InformationGathering(信息搜集)

c)RiskAnalysis(风险分析)

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis(威胁分析)

uVulnerabilityAnalysis(弱点分析)

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment(影响和可能性评估)

uRiskResultAnalysis(风险结果分析)

d)Identifying&SelectingSafeguards(鉴别和选择防护措施)

e)Monitoring&Implementation(监控和实施)

f)Effectestimation(效果检查与评估)

(4)实施和运营初步的ISMS体系

(5)对ISMS运营的过程和效果进行监控

(6)在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息;

b)和客户沟通并明确项目范围、目标与蓝图;

c)建议并明确项目成员组成和分工;

d)对项目约束条件和风险进行声明;

e)对客户领导和项目成员进行意识、知识或工具培训;

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分;

b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;

d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准;

b)对项目资产鉴别报告、风险分析报告进行审核和批准;

c)对需要进行的相关风险处置建议进行项目安排;

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集:

背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。

篇2

关键词:电子信息;安全风险管理;信息科技;网络信息

1电子信息存在的安全问题

信息科技的发展和信息时代的到来给人们生活带来了极大的便利,让人们的生活变得多姿多彩。此外,信息时代的到来也在逐步改变企业的商业架构,崛起了许多符合潮流发展的新兴企业。但在信息科技不断发展的过程中,电子信息安全问题也日益突出,人们对电子信息防范的安全问题也越发重视。电子信息的安全问题包括了信息的完整性、保密性、真实性、占有性、可用性和实用性,这也是确保信息安全的基本要求。具体信息安全分类如图1所示。相关企业如果没有强大的安全防范措施,一旦出现下面几种情况就很容易导致信息泄露,引发电子信息安全风险。

1.1网民法律意识比较淡薄

网络本身具备很强的虚拟性、隐蔽性和开放性等特点,每个人都可以是网络信息的传播者和制造者。当然,其中不乏有人利用一些手段,在这个虚拟世界为自己谋取利益,时常会发生的黑客入侵事件就是典型的例子。无论是商业间的相互竞争,还是不经意间犯的错,都反映出网民对网络犯罪的相关法律意识比较淡薄。近来年,网络资源共享成为了社会焦点,动一动手指就能与世界分享各种信息。但因部分网民欠缺科技保护等法律知识,在分享资源的过程中,就很容易给电子信息企业造成危害,导致企业信息安全性下降,这些都不利于电子信息企业的进一步发展。除此之外,网络上的不良和虚假信息泛滥,容易误导网民,甚至出现一些对企业不利的群体攻击性事件,反而间接地让犯罪分子钻了漏洞,盗取了企业的相关电子信息。

1.2电子信息安全管理技术比较落后

计算机网络的开放性和隐蔽性让网络存在许多未知的不确定因素。比如计算机病毒,如果用户在对计算机进行操作中不经意间打开了被植入的木马病毒或者恶意网站等,就很容易导致电子信息出现安全问题,且当前很多病毒查杀软件只能查杀相对明显、普通的病毒,而对于隐蔽性强的病毒没有效果,体现出了电子信息安全管理技术比较落后。

2电子信息安全管理策略研究

2.1计算机技术方面的管理

针对计算机应用软件建立起安全防护措施,其中包括了数据库操作系统、信息运输、数据储存、网站访问和基础设备等方面。比如,设置防火墙,加强对网络访问的控制,利用防火墙功效避免电子数据被非法拷贝;利用入侵检测技术实现对电子信息安全风险管理的识别和探究;利用电子信息签名技术防范电子文件遭受恶意滥用;利用身份实名认证进行登录,避免黑客的入侵。与此同时,还要不断加大防毒软件和查毒技术的研究力度,让计算机系统能得到全面升级,更加全面地拦截网络病毒。

2.2电子信息的具体管理

在电子信息安全防范制度和防治措施的制订过程中,要以信息档案管理的特点和要求为基础,并不断培养信息管理人员的实际安全意识。建立起电子信息管理安全制度,并进行规范化管理。在设置电子信息访问权限的过程中,必须对信息的网络区域和类别进行规划和部署,针对机密信息,必须进行单独隔离;非机密的信息则运用授权管理方式来实现对信息的利用。电子信息在网络储存的过程中,必须以信息储存频率和用户的具体要求为出发点,并进行分级储存。因存储介质的寿命不是很长,因此,可以制作纸质拷贝,从而达到双向储存的目的。针对电子信息资源的管理,可运用多人协同负责制度,开展岗位的定期轮换,以避免因个人的集中管理而导致电子信息风险的出现。

2.3建立电子信息安全保障体系

电子信息安全管理工作的开展,对管理能力的要求要比技术能力的要求更高,而做好预防措施的重点在于做好补救措施,所以,必须建立电子信息安全保障体系,提高电子信息的安全等级,从而达到预防信息安全风险的目的。电子信息安全保障体系的建立具体可从技术保障体系、管理制度保障体系、监督体系三个方面着手,让计算机网络的软硬件能保持安全状态。在对电子信息进行实际存储和管理中,严格制订并规范管理制度,做到重要档案多次备份,并不断强化追踪和控制职能,管理人员之间要加强监督,从而有效保障电子信息安全体系的运行,确保信息的安全。

3结束语

在人们的生产、生活中,电子信息已具有非常重要的地位,但电子信息在不断发展的过程中,各种信息安全风险也随之产生,而信息安全事故一旦发生,就会给档案信息造成很大的损害。因此,人们越来越认识到电子信息安全管理的重要性,并采取相应的措施来加强对信息安全的管理,从而规避电子信息风险,确保电子信息的安全。

参考文献:

[1]王海景,李艳丽.电子信息档案管理的风险控制策略[J].学园,2015(05).

[2]杨晗,袁野.浅谈电子科技企业信息安全技术[J].电子制作,2015(12).

[3]何文涛.电子科技企业信息安全技术研究[J].电子制作,2017(04).

[4]于倩,李灵君.网络环境下企业信息管理安全的对策分析[J].网络安全技术与应用,2017(11).

篇3

 

1 风险管理概念解析

 

风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(risk management)是指在风险方面,指导和控制组织的协调活动。

 

与风险管理定义密切相关的,还有“风险管理框架”和“风险管理过程”两个词汇。

 

风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(be embedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。

 

风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。

 

风险管理过程才体现了信息安全应该如何做(how)的问题。

 

严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出: 风险管理的阶段划分仅作示意。

 

2 风险评估及其过程

 

在GB/T 23694—2013 / ISO Guide 73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。

 

风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。

 

为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。

 

无论如何划分,风险评估都要完成下面这些活动:

 

在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。

 

3 区分风险评估与风险管理

 

我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。

 

风险管理是一个持续循环,不断上升的过程,它被定义为一个持续的周期,每隔一个阶段就开始新的循环,这些循环要贯穿组织的始终,是组织管理的一部分。风险评估则更像“搞运动”,其一般按照一定的时间间隔进行,但是如果发生组织业务变化、出理新的漏洞或基础机构变化等,都可能启动新的风险评估过程。

 

风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。

 

这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估,在每一次风险评估中都会发现潜在的问题,并在接下来的风险应对过程中加以解决,从而使组织管理风险的能力得到提升。

 

4 风险应对概念解析

 

无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。

 

风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73:2009中,对这个定义也有详细的注解,包括:

 

“风险应对”定义的注1较为详细,其中给出了可能的应对措施,其中1)规避风险,6)分担或转移风险以及)接受风险,与ISO/IEC 27001:2005的描述基本类似,)为寻求机会而承担或增加风险更偏重组织业务角度视角,3)、4)与5)则是降低风险的基本途径,这三项的任何之一都可以改变目前的风险状况。

篇4

关键词 信息工程安全系统 风险评估 控制

中图分类号:X92 文献标识码:A

对项目风险管理来说,风险评估是对信息工程安全资产所面临的威胁、存在的弱点、造成的影响及三者综合作用所带来风险的可能性的评估。作为项目风险管理的基础,风险评估是确定信息工程安全需求的一个重要途径,属于信息工程安全管理体系策划的过程。

1 风险评估概述

风险评估是在综合考虑成本效益的前提下,通过安全措施控制风险,使残余风险降低到可以控制的程度。因为任何信息系统都会有安全风险,所谓安全信息系统,实际上指信息系统在实施了风险评估以后做出了风险控制,仍然存在残余风险是可被接受的信息系统我们就称为安全信息系统。追求信息系统安全就不能脱离全面完整的信息系统安全评估,就必须运用信息系统安全风险评估的思想和规范对信息系统进行安全评估。

风险评估的主要任务包括:(1)识别面临的各种风险。(2)评估风险概率和可能带来的负面影响。(3)确定承受风险的能力。(4)确定风险消减和控制的优先等级。(5)推荐风险消减对策。

1.1 信息工程安全系统项目风险评估概述

信息工程安全系统项目风险管理是围绕信息工程安全系统项目风险而展开的评估、处理和控制的活动。其中最重要的基本要素是风险评估,因为基于风险评估可以对政府部门信息工程安全系统项目有系统全面的了解,找出潜在问题,分析原因,判断严重性和相关影响,以此确定信息工程安全系统建设的需求。项目是一个过程,从项目的开始到结束,风险评估要求风险评估贯穿到信息系统的整个生命周期提出了三个环节要进行风险评估:一是信息系统规划设计阶段,二是系统验收阶段,三是信息系统运维阶段。管理的不确定性,有限的资源和千变万化的危险和漏洞,使得所有的风险不可能完全缓解。一个信息系统的项目专业人员必须要协同用户、项目经理对信息系统各种潜在的影响进行评估,使其达到一个合理水平。

由于种种原因,信息安全系统存在着很多漏洞及缺陷,如黑客攻击或系统本身的原因,会造成系统安全事件,给系统带来不好的影响。因此,要对项目的信息安全风险进行相应的评估,评估的主要内容包括系统的安全漏洞和系统可能带来的负面影响,根据相应的等级来进行划分,评估出可能发生的安全风险。

1.2 信息工程安全系统项目风险评估过程

一般来说,系统信息工程安全项目风险评估分为四个不同的阶段。

第一个阶段:风险评估准备阶段。

(1)根据相应的风险评估准则,调研项目的实际情况,然后制定风险评估的计划表。按照实际操作来看,计划通常要由三个重要的表格组成,这三个表分别是:《信息工程安全系统的描述报告》、《信息工程安全系统的分析报告》和《信息工程安全系统的安全要求报告》。通过这些表格及具体的计划表,要对项目的风险评价进行计划。计划的内容一般要设计如下范围:目的、范围、目标、组织架构、经费预算、进度安排。制定好计划书后要及时汇报给决策层。如果决策层有异议,应该及时根据意见加以修改。只有获得决策层的审核和同意后,计划书才能获得批准,才能够获得相应的资源加以执行。

(2)结合项目的具体实际,对整个风险评估流程加以确定。不同的项目风险评估流程是不一样的,必须要结合具体的项目实际对评估的流程加以确定,如何工作,如何评估,评估结果如何衡量等。这个步骤,通常应该形成一个书面的《风险评估程序》,便于后面工作人员的具体操作。

(3)根据项目具体实际,选择特定的风险评估方法和工具。风险评估方法和工具千差万别,具体的某个项目,有针对性地 选择成本低,效果好,结合项目实际的具体方法和工具。

第二个阶段:风险因素识别。

(1)对所有需要保护的信息资产加以清点。根据上文确定的三个相关报告,对单位或项目所有的资产加以清点,找出重要的、对安全有重大影响的信息资产并造册,形成书面的《需要保护的资产清单》。(2)结合相关工具,识别出可能面临的威胁。一般来说,目前信息安全行业都有相应的较为全面的威胁或漏洞库,结合这些数据库,对单位的具体资产进行详细的清点和评估,就能找出可能面临的威胁,编制书面的《威胁列表》。(3)根据上面的工作,参照漏洞库,可以对整个单位信息资产面临的脆弱性加以评估,形成书面的《脆弱性列表》。

第三个阶段:风险程度分析。

(1)确认单位目前已经采用的安全防范措施。通过书面形式,对单位目前已经有的具体防范措施加以总结,填写到《已有安全措施分析报告》。(2)对可能面临的威胁的动机加以分析。面临的威胁的动机一般分为:涉及利益者的攻击、对系统好奇、对自己的技术自负等,要形成书面的《威胁动机分析报告》。(3)分析单位可能面临的威胁行为的能力。这一步主要是对可能面临威胁的具体评估,包括强度、广度、深度等。(4)分析信息资产的价值。信息自查的价值主要从以下几个方面来评估:关键性,价格,敏感性等。(5)分析可能面临的影响的程度。具体包括:资产损失,任务妨害,人员伤亡等。

第四个阶段:风险等级评价阶段。

(1)对威胁的动机加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(2)对威胁的行为能力加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(3)对系统脆弱性加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(4)对资产价值加以评估,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(5)对影响程度加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(6)对所有因素加以综合评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。

一般来说,有公认的具体算法。但各单位具体实际情况不一而足。所以,对于公认的算法可以进行修改,或者提出自己认为更符合实际情况的算法。

2 信息工程安全系统项目风险控制

2. 1 风险控制概述

风险评估的目的是进行风险控制,进而最大可能排除系统面临的风险。所以,在信息风险评估之后,就要进行风险控制,其目的是为了尽可能降低系统面临的风险和漏洞。而系统的风险和漏洞,是不可能完全排除的,不论下多么大的成本。只能在一定范围内,尽可能控制在可以接受的范围。一般来说,为了控制可能发生的风险,主要采用以下几种方式:(1)规避风险。规避就是避免使用。例如有一些信息资产面临很大的风险,如果完全消除风险,需要很大的成本,需要更多的经济投入等。那么,一个比较可行的办法就是避免使用这样的资产,或者一些敏感的、需要保密的数据,不在这些资产上使用,从而规避掉可能发生的风险。(2)转移风险。这种方式的思路,就是将已经面临风险的资产转移到风险较低,或者没有风险的资产上。如某单位需要处理技术上足够复杂,没有能力处理的业务时,可以通过寻求外包给第三方专业机构的形式,要求对方做好风险处理,从而达到转移风险的目的。(3)降低风险。降低风险就是在资产面临风险时,通过各种手段和方法来降低其面临的风险。

2.2 信息工程安全系统项目风险控制过程

在信息工程安全项目管理中,风险控制可以划分为四个阶段,分别是:现有风险判断、确定风险控制目标、采取选择和实施具体的风险控制措施。

在不同的阶段,进行不同的工作流程和具体内容,分别如下:

第一阶段:预备阶段。在本阶段,主要是对单位现有的信息资产激进型识别、编号、评估并造册,形成书面报告。

第二阶段:现存风险判断。在本阶段,通过各种工具和方法,对系统信息资产面临的风险加以评级。一般来说,风险的评级主要分为两种:可接受的系统风险和不可接受的系统风险。然后,对系统目前存在的一些风险加以判断,到底是否能够接受。

第三阶段:确定风险控制目标。本阶段主要的工作流程和内容包括:(1)分析风险控制需求。针对上面提出的不可接受的风险,分析其具体需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具体的成本和措施等。(2)确立风险控制目标。完全搞清楚其具体需求后,就可以确定风险控制的目标。

第四阶段:控制措施选择与实施。

控制措施选择阶段的工作流程和内容如下:(1)选择风险控制方式。确定目标后,就可以采用具体的风险控制方式。选择方式时必须考虑到单位的具体情况,能否实现以及经济投入成本、投入产出比等。(2)选择风险控制措施。控制措施实施阶段的工作流程和内容如下:①制定风险控制实施计划:选择好相应的风险控制方式后,即可制定具体的实施计划。实施计划必须为书面,便于后面的审查以及对照。②实施风险控制措施:采用规避、降低、转移等具体方式来控制。实施过程应该遵循相应的工作流程和标准,并书面记录在案。

3 结语

当前网络信息安全技术发展迅速,任何信息系统都会有安全风险。没有任何一种解决方案可以防御所有危及网络信息安全的攻击。因此我们需要不断跟踪新技术,对所采用的网络信息安全防范技术进行升级完善,以确保相关利益不受侵犯。

参考文献

[1] Stuart McClure 等.黑客大曝光――网络安全机密与解决方案[M].北京:清华大学出版社,2006:140.

[2] 魏仕民等.信息安全概论[M].北京:高等教育出版社,2005:40-41.

[3] 曲平.安全信息管理技术的研发与运用[J].信息通信,2013.

篇5

[关键词]金融机构;信息资产;操作风险;风险管理

金融机构操作风险具有不同于信用风险和市场风险的显著特征,是其基础性风险。巴塞尔委员会对操作风险的定义是:“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”它是指由于不当或不足的方式操作业务或外部事件而对银行业务带来负面影响的可能性。操作风险是与银行业务操作紧密相联系的风险,它和信用风险、市场风险共同构成商业银行的三大风险。对于操作风险的监管。直接涉及银行信息资产风险的监管,银行信息资产风险监管与操作风险监管有着密切关系,加强操作风险的监管,就必须高度重视信息资产风险的监管。

一、IT环境下操作风险的挑战

(一)IT环境下操作风险的隐患

当前由于银行系统漏洞或缺陷导致的操作风险事件呈现出上升趋势。据银监会通报,2007年以来银行业发生的5起典型信息系统风险事件,分别是:2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;2007年8月15日,中国工商银行对计算机系统进行升级,由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分证券业务受阻,在持续5个半小时后,系统才逐步恢复正常;2007年10月18日,中国建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,事故持续了两个小时,在证券交易收盘后才恢复正常;2007年12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动了应急预案,但仍然中断营业近1个小时:2008年1月7日,北京银行因主干专线的入户接入设备发生故障,造成在京117家支行所属网点柜台交易缓慢,业务无法正常进行,故障在1个多小时后才得以解决。上述案例中,既有信息系统自身原因引发的故障,也有人员操作失误引发的故障,信息系统风险已成为商业银行关注和防范的焦点。

金融业信息技术事故统计表明,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2―3天以上不能恢复。将直接危及其他银行乃至整个金融系统的稳定。目前。我国银行业的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,信息科技风险管理显得相对薄弱。

技术型操作风险的隐患源于:1.操作系统漏洞。银行应用的Unix,Win-dows等操作系统存在一定安全隐患;2.安全设施的漏洞。网络层、应用层的防火墙自身是否安全、设置是否错误,需要经过检验。美国一项调查表明,32%的泄密是由内部作案造成,所有的防火墙都不同程度地被黑客攻击过;3.安全管理的漏洞。现有的一些信息系统缺少定期的安全测试与检查,更缺少安全监控。在已破获的采用计算机技术犯罪的案件中,内部授权人员作案的占58%;4.安全协议的漏洞。由于银行网络系统内部运行的各种协议(如TCP/IP,IPX/SPX等)是在资源及网络技术均不成熟的情况下设计的,还存在着脆弱的认证机制、容易被窃听和监视、易受欺骗等安全隐患;5.内控制度的漏洞。管理制度、运行规程不完善,不能有效地杜绝内部作案,更缺乏良好的故障处理反应机制。

(二)lT环境下操作风险的表现形式

技术导向型操作风险是指由于技术问题,特别是信息技术的应用对银行的系统、流程、产品、服务和交易等产生不良影响而导致的操作风险,包括IT技术、网络系统、产品的服务缺陷。以及外部法律、税收和监管方面的变化对银行冲击而造成的风险。关于金融机构技术导向型操作风险涵盖的范畴及其风险的含义,在2006年出台的银行业监督管理法中给出了明确定义:“主要包括总体风险,研发风险、运行维护风险、外包风险等信息系统生命周期几个高风险点……其中,总体风险是指金融机构信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险;研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险;运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险;外包风险是指金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务或外部技术供应商时形成的风险。”

二、金融机构信息资产安全的需求

金融机构信息系统是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。金融机构信息系统具有如下特点:1.金融信息化的建设以及网上银行业务的迅猛发展,使得银行等金融机构的业务集中度非常高。2.数据大集中后,由于单笔交易所跨越的网络环节越来越多,信息系统对网络的依赖性越来越高。3.信息安全性要求高,信息系统的各种文档资料和用户资料均需保密。

(一)信息资产安全的边界

有关信息资产的含义,目前众说纷纭,本文借鉴屈延文(2006)给出的定义,即信息资产是由信息范畴资产、系统范畴资产和附加范畴资产组成。其中信息范畴资产是指信息存在形式、信息内容、内容价值;系统范畴资产是指系统存在形式、系统行为、行为价值;附加范畴资产则是不同的关注者(计划者、拥有者、设计者、实施者和用户等)对信息与系统两个范畴关注的需求价值(附加价值)。例如包括开发、运营、管理、维护和服务等产生的关注性的资产。

随着信息技术的发展与应用,信息安全的内涵也在不断的延伸。从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。

(二)信息资产安全性原则

信息,在ISO17799中被看作是一种资产,这种资产可以增加组织的价值,因而它也需要得到恰当的保护。信息资产安全需要保护信息资源,防止未经授权或偶然因素对信息资源的破坏、修改、非法利用或恶意泄露,以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范(1SO,IEC 17799)和其他一些机构的文

献中,都定义了信息安全的基本特性:如保密性,完整性。有效性;另外也可包括诸如真实性,可审计性,不可否认性和可控性等。

三、金融机构信息资产操作风险监管的对策

风险监管是信息资产安全管理的核心。信息系统风险管理的目标是通过建立有效的机制。实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。

(一)信息资产操作风险管理的原则和目标

实施信息资产风险管理的原则为:1.针对性。对金融机构信息资产所面临的安全需求进行认真全面地分析,找出具有针对性的安全威胁。有的放矢地做好安全工作:2.均衡性。对信息安全的各个环节进行安全强度分析,找出信息安全的脆弱点,提出强度均衡的设计方案;3.时效性。在实施信息安全管理时,要量力而行,安全投入与所需要的功效相适应。即对信息安全面临的威胁及可能承担的风险进行定性和定量的分析,从而制定出合理的安全策略;4.独立性。信息安全所采用的技术均应立足国内,不得直接引用未经消化改造的境外安全保密技术和设备;5.综合性。信息安全必须通过技术、管理和安全基础设施的综合实施才能奏效,即信息安全=风险分析+执行策略+基础实施+漏洞监测+实时响应。

金融机构信息资产安全管理的目标为:一是对信息资产安全现状做出正确判断;二是较为准确地估计特定系统风险;三是建立相应的控制风险的机制,并把这些机制融为一体形成防护体系;四是最大限度地提高系统的可用性,并把系统带来的风险控制在可接受范围内。

(二)构建信息资产操作风险管理框架

金融信息化环境下,很多机构的信息资产面临诸多威胁(包括来自内部的威胁和来自外部的威胁)。威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露。资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响)。风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定。对企业信息系统安全风险的分析。就得出了系统的防护需求。根据防护需求的不同,制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对金融机构造成的影响。资产、威胁和脆弱性构成了风险的三个关键要素,而风险评估则是围绕这些要素及其相关属性依据国家有关管理要求和技术标准,对信息系统及其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。本文借鉴MSF风险管理框架,建立以操作风险管理为核心的信息资产安全模型。即风险识别、风险分析和分级、风险计划和调度、风险跟踪和报告、风险控制以及风险学习六个步骤。

1 风险识别。风险识别的目的是发现潜在的威胁,预防某个特定威胁利用某个特定系统的脆弱性对系统造成损失,威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。风险识别应该在信息系统的生命周期中不断地重复。

2 风险分析与分级。风险分析是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。

3 风险计划和调度。风险计划提取风险分析中获得的信息并用其明确表达策略、计划和工作。风险调度可以确保计划被认可并融入标准的日常信息资产安全管理进程和基础设施中,从而确保风险管理作为日常工作的一部分执行。

4 风险跟踪。风险跟踪监控特定风险的状况以及它们各自工作计划中的进展情况。风险跟踪也包含监控变化风险的概率、影响、暴露程度以及其他因素,这些变化可能改变优先级或风险计划、信息资产特性、资源或是进度表。风险跟踪从风险等级的角度定义风险管理过程在信息资产中的可见度。

5 风险控制。风险控制是执行风险工作计划和相关现状报告的过程。风险控制也包含项目变化控制请求的初始化,而风险状况或风险计划的更改可能导致信息资产特性、资源或进度表的更改。

6 风险学习。使知识和相应项目案例及工具正式化,并在团队和企业内部以可再度使用的形式提取知识。

信息系统的安全性、可靠性、有效性直接关系到整个金融业的安全和稳健运行。在当前构建和谐社会的重要阶段,金融业的安全变得更为关键。操作风险防范的重要内容就是从技术防范为主的被动信息安全转移到以预防为主的主动风险管理框架中来,把风险控制在可承受的范围之内,为社会提供安全、持续的金融服务。

赵秀云教授简介

篇6

关键词:通信安全;通信监理;安全风险管控;

中图分类号:C93 文献标识码:A 文章编号:1009-914x(2014)26-01-01

随着时代的发展,通信已经渐渐的融入了人们的生活,并成为人们生活中最主要的联络方式。而通信安全是人们现在最关心的事情,通信监理显得尤为重要,由于目前的通信信息和内容常常出现被他人盗取等不安全事件,所以监理企业对于安全风险管控的力度也在不断地加强,监理企业的责任和工作压力也在不断地增大。保障通信的安全所需要的各不相同,许多不可预见的因素也存在很多,这些因素均影响着通信的安全效果,这也对监理企业安全风险管控有着更高的要求。

一、 通信监理安全风险工作

(一) 通信事业的发展现状

改革开放以来,我国的各行各业、各方各面的发展都很迅猛。在通信方面也有了迅猛的发展,从过去人们手中的呼机到风靡一时的“大哥大”,都可以看出我国通讯事业的发展。再到现在每家都有的电话和以互联网为支撑的中国通信,可以看出中国的通信事业已进行了一次又一次的革命性的进步。通讯事业的发展一直是人们热点关注的事情。到现在人们所进入的3G时代和正在向我们招手的4G时代,都让人们为之疯狂与欣喜。这些都是人类智慧的结晶所在。但是,就算通讯技术发展如此之快的中国,也不是世界的佼佼者。通信市场在世界上来说竞争力很大,看往外面的国家我国的通信事业存在着很大的不足,我们还应继续努力,迎接通讯事业上更大的挑战。

(二)通信监理安全风险工作的概念

所谓风险是指在预期的结果之外可能会发生的损失的不确定性。通信监理安全风险工作就是指在人们正常的使用通信设备时可能在预期的好的结果之外不良的后果或不利的影响,我们对这些不好的结果或不利的影响进行监督和管制,并做好预防的措施。简单点来说就是监理在通信中所能出现的任何的安全性的不利因素。而这些风险确实随机的、客观存在的,有可能因为人们通讯设备的不良所造成安全性问题的出现,也有可能因为我们或者企业不正当的使用通信工具或通信设备所带来的影响,这些风险的发生有可能是偶然的也有可能是必然的。这些风险的发生是一个随机的事件,是众多的风险因素所造成的。所以通信理安全风险工作不仅要防治那些恶意的破坏和盗取,还要尽量减少这些偶然因素对通信安全造成的影响。

(三)通信监理工作的内容

通信监理工作包括对于通信安全的网络监控、对于通信的日常维护、对其进行合理的优化调整、对于通信障碍的合理处理和做出一些对于通讯安全障碍的应急措施等各个环节的工作。通信监理要求我们对这些可能出现或可能遇到的风险进行评估分析和处理,还要求我们对那些潜在的风险进行预测和识别,并对其加以处理。对那些客观存在的风险,我们应该做好应对的措施,或者从客观上彻底的解决这些存在的风险,这个工作似乎很困难,所以我们要从经济的角度出发,以最低的消耗,实现对风险最有力的、最有效的解决。对于一些恶意的破坏,我们要做好多方面的防御和追踪,让我们尽量的将这些风险可能造成的损失降到最低。我们的工作就是做到对于这些风险运用最合理、最有效、最科学的办法来实现安全风险最小化,合理的处置这些风险和这些风险带来的不良的后果。或者说通信监理安全风险工作的最主要目的就是实现对通信安全的最大的保障。

(三)通信监理工作的意义

通信现在为大多数人和大多数企业所使用,而且还被用在很多重大事件的通信方面,所以保障通信的安全是最重要的,这也就体现了通讯监理工作的重要性。通信监理工作可以有效地保障通信内容和信息的可靠性和安全性。防止一些破坏分子的恶意破坏,导致通信的瘫痪或紊乱,有效地保障人们和企业的通信的顺畅,减少了很多不必要的麻烦。还可以通过通信监理工作对一切有客观原因引起的通讯安全与障碍的进行处理应对,有效地降低风险,提高通讯的质量与安全。

二、安全风险管控

(一)风险因素分析识别方法

中国现如今有很多大型的通信企业,这些企业就要对风险做好提前的预防和解决的措施。首先我们要对这些依然存在的或潜在的风险进行识别。常采用调查法、对未来信息的预测法和根据时态发展的复杂性对其进行有效地辨别。并对这些风险进行分析,常采用结构分析的方法进行。由总体到细节,层层瓦解分析,并得出可能造成的威胁和潜在的后果,并对这些威胁和后果做出有效地防范措施和合理的应对方法。

(二)防范安全风险的措施

有效的防范这些安全风险可以减少监管企业的很多不必要的麻烦,并且可以有效的保障一些大型企业的商业机密和个人的通信质量和安全。所以我们要做一些有效地措施对其进行防范。首先,我们要避免一些内部通讯人员的不良的操作。为了避免内部人员带来的安全风险,我们应该定期的对内部人员的操作进行审核和监督,并对内部人员恶意破坏通信安全进行处罚,如屡教不改也可加大对其内部人员破坏的处罚力度并借助政府的力量对其进行处罚。其次,我们要尽量的减少由外部因素带来的安全风险的影响,在通讯设备上我们尽尽我们的努力做到最好,消除由外部通讯设备的不良而造成的通讯安全风险的影响。最后,对于通讯企业和通讯监理企业,应该做好自己的本分,做好风险的识别、分析,并对这些风险做好防范,提前做出应对措施。保障每个人的通讯安全。

在通讯中,风险往往被人们认为是不确定性的,主要包括资源的访问和控制、鉴别、完整性、机密性和有效性等。

(1)访问的控制:只能允许已授权的设备和个人使用网络资源

(2)鉴权认证:可以确认要参与到的身份(如设备,个人等)。AAA认证技术可用来进行鉴权认证

(3)完整性:信息在传递过程中不可被未经授予权的删除、修改、复制或添加

(4)有效性:在受到意外影响时,不会拒绝授权用户的行为

(三)通信监理工作的意义

通信现在为大多数人和大多数企业所使用,而且还被用在很多重大事件的通信方面,所以保障通信的安全是最重要的,这也就体现了通讯监理工作的重要性。通信监理工作可以有效地保障通信内容和信息的可靠性和安全性。防止一些破坏分子的恶意破坏,导致通信的瘫痪或紊乱,有效地保障人们和企业的通信的顺畅,减少了很多不必要的麻烦。还可以通过通信监理工作对一切有客观原因引起的通讯安全与障碍的进行处理应对,有效地降低风险,提高通讯的质量与安全。

三、 小结

在这个发展迅猛的社会里,通讯已经成为我们不可缺少的成分。而对于通讯的质量和安全是我们最为看重的,通讯安全的保障同时也保障了我们的私有生活的安全和企业机密的安全性。本文主要就通讯监理风险管控进行分析和探究,意在保障通讯的安全,将通讯安全风险带来的损失降到最低。

参考文献

[1] 刘铁忠;张振华;陈妍;李志祥;;国防科研人员保密素质影响因素SEM建模研究[J];北京理工大学学报(社会科学版);2010年04期

[2] 李晗;魏海燕;潘炜;;校园网络中信息安全及保密问题浅析[J];信息安全与通信保密;2011年03期

[3] 李洪敏;刘鸿强;陈志;卢敏;凌荣辉;;新时期科研机构保密工作的难点及对策[J];信息安全与通信保密;2008年09期

[4] 国家保密局副局长丛兵指出:要加强信息安全保密管理工作[J];信息安全与通信保密;2004年11期

篇7

一、档案数字化管理是时展的最佳选择

面对档案数字化存在的问题有人可能会产生疑问,既然有可能不安全,为何还要实现档案管理的数字化呢?这就不得不提出档案管理数字化带给人们的便捷了。对比以前的档案管理方式,不仅需要占用的管理人员多,而且管理效率低,出错率高,管理人员劳动负担重。但是当计算机和互联网的发展应用到生产、生活的各个方面时,我们不禁想到了将档案管理工作也交给计算机和网络。这样不但便于档案的保存和查询,而且提高了管理的效率,降低了档案管理的出错率,还让信息的搜集变得更加容易,更加快速,可以说是构建了信息搜索的“高速公路”。这么多的优点,使我们不得不选择将档案管理数字化,替代传统的人工管理的旧方法。

二、档案管理数字化中的信息安全风险

正如上面所说的,我们将档案进行数字化管理就必须要利用计算机和网络,而网络是存在风险的,进而就是说,我们计算机中的各项档案信息也是存在风险的。这些风险可能是由于网络中的一些不法分子利用我们的档案信息去从事诈骗或者其他犯罪事宜。尤其是一些计算机和网络技术水平超高的黑客,凭借自己的技术将档案中的信息弄到手,或者导致网络瘫痪影响正常工作的进行。比如说可能会因为黑客的入侵导致档案泄密,也可能因网络瘫痪而影响正常工作的进行等。

三、档案管理数字化中的信息安全风险的控制

对于在档案管理过程中出现的信息安全风险,我们必须要进行控制并提出对应的解决对策,这样才能保证档案的安全和我们的工作可以正常地进行。我们可以从以下几个方面来应对。

(一)从档案信息的录入、接收者开始防范

面对着档案信息可能出问题的环节,我们就必须从源头开始控制并预防。对于档案信息的录入者和接收者要进行规范,首先避免档案信息会从他们这里漏出。

1.规范档案信息录入者的行为。我们要制定好明确地规范档案管理者和档案信息录入者的行为指南,让他们了解自己经手的信息是否可以在互联网上公开。如果能的话,应该遵循什么原则,也就是要规范好档案的范围和界限以及保密级别。在规定范围内的档案信息可以在互联网上公开,进行调阅。但要注意,档案的保密程度会随着时间的延长而出现变化,所以,我们要根据档案密级的变化而调整档案的保密还是开放,从而使档案能够更好的让人们利用。而有一部分档案的级别是不能公开的,比如涉及个人隐私的、知识版权的都是需要永久保密的。这部分档案绝对不能在网络上,所以档案管理人员在进行具体操作的时候,必须既遵守国家的法律规定,又要遵循制定的档案规律。这样才能避免档案对象的合法权益受到损害。

2.规范档案接收者的行为。档案接收者是那些对在网上已经的档案信息下载或利用的个人或者组织。这些人的行为也必须加以规范,约束他们尊重别人的知识和版权,不非法占有和伪造,不对档案信息进行非法修改,自觉遵守约束行为的这些规范。

(二)采取技术约束

除了依靠接收人的自觉遵守规范以外,还要加强技术方面的强制控制。比如,可以给档案加密码,有以下几种方法:1.数字签名法。让使用人首先在互联网上进行签名,即身份确定,正好证明使用人的信息和身份的真实性,排除入侵者的可能性。2.加防火墙。使外部网络无法轻易攻击档案信息所在的局域网,从而使内部信息不会被窃取或受到破坏。3.给档案信息加上密钥。将档案信息设置成能看到一部分,即一部分明文,剩余部分需要密码才能继续浏览。

(三)必要的政策控制和授权控制不可缺少

篇8

当前,互联网和电子信息技术的快速发展,为人们的生活、工作和学习提供了极大的便利,为推动国民经济发展做出了突出的贡献。但与此同时,信息安全逐渐成为制约电信运营企业发展的一个瓶颈,各种信息安全风险和隐患随着互联网的普及和信息技术的发展越来越值得关注,怎样保障信息安全成为电信运营企业面临的重要任务。本文结合电信运营企业的实际情况,对电信企业信息安全项目的风险问题进行了分析,提出了加强信息安全项目风险管理的要求和风险控制方法,阐述了电信运营企业信息安全项目风险管理策略,以供参考。

关键词:

电信运营企业;信息安全;项目风险管理

近年来,我国电信网络系统越来越成熟,电信用户数量大幅上涨,而电信运营企业的信息安全系统建设相对比较缓慢,实际运行经验和信息安全系统平台管理都存在很多不足,这也使得各种信息安全事故频发,给国家、社会和人们造成巨大损失。为了解决这个困境,电信运营企业必须积极构建完善的信息安全系统,投入更多精力和成本,加强信息安全项目风险管理,配备先进的网络安全监控技术,实时掌握电信网络安全状态,全面提高电信网络系统的安全性和稳定性。

一、电信运营企业信息安全项目存在的风险问题

(一)需求不确定电信运营企业的信息安全项目涉及相关硬件平台、软件系统以及信息安全保障内容,多种内容和因素的影响使得信息安全项目需求具有不确定性。一方面,用户需求的不确定性,不同用户对于同一个信息安全项目可以有着不同的要求和理解,而同一个用户在不同地点、不同时间也会有不同要求;另一方面,工作量的不确定性,信息安全系统建设的工作量无法通过有效方法进行估算,很多信息安全项目都具有创造性,没有先例可以参考借鉴,实际建设和估算计划往往较大差异,项目计划的不准确很容易造成预算超标、时间拖延,甚至整个项目的失败。

(二)技术风险信息安全项目在某些方面都具有抽象性,这样使得各个阶段的项目设计没有可以遵循和参照的规范,信息安全项目设计和传统项目相比存在较大差异,设计和施工无法分离,前期的需求说明和要求不能确定对于后期设计是否充分和完整,存在很多技术方面的风险。由于组织设计存在问题或者缺陷,信息安全项目功能无法达到用户要求,例如,信息安全项目运转效率较低,无法保障信息安全质量;相关信息安全资料不方面,使用和理解不方便;信息安全项目响应速度过慢,无法满足用户要求。同时,数据库设计不合理也是信息安全项目面临的常见技术问题,代码设计不全面、数据完整性控制不足、数据冗余等,都导致信息安全项目存在潜在风险。

(三)进度风险对于信息安全项目,严格控制项目进度、优化项目进度管理,确保整个信息安全项目在规定时间内完成是电信运营企业信息安全项目风险管理的重要内容,但是在实际应用中,一方面前期的规划设计方案不合理,后期开发建设过程中出现各种问题;另一方面,信息安全项目实施过程中出现问题或者遇到意外,又没有有效的补救办法,造成工期延误。一旦信息安全项目被延误,仅通过增加工作人员无法有效地进行弥补,开发设计人员之间需要沟通交流和默契配合,而随着工作人员的增多,会加剧信息安全项目设计开发的复杂性,甚至导致更多的返工和混乱。

(四)成本风险信息安全项目的实施成本主要包括维护费用、软件培训费用、使用许可费用、硬件费用等,在具体的应用过程中,结合时间安排和项目进度,怎样合理分配应用费用,有效控制应用成本是电信运营企业需要面临的重要问题。若信息安全项目无法按照相关进度计划有效开展,会导致实施成本增加和时间延误,即使信息安全项目被使用,也达不到预算和时间要求。

(五)其他风险信息安全项目风险管理和安全管理人员、工作目标、组织结构、信息网络、信息系统、网络架构等有着密切的关系,并且信息安全项目开发设计是一个劳动密集型任务,每个阶段都需要有人的参与,但是人的行为是很难预测和控制的,因此人的因素使信息安全项目存在很大不确定性。

二、电信运营企业信息安全项目风险管理策略

电信运营企业的信息安全项目具有复杂性、创造性、一次性等特点,建设过程中需要耗费大量的财力、物力和人力,而信息安全项目往往是风险和收益共存,项目规模越大,利润越高,但是风险也越高,信息安全项目必须进行有效地控制和管理,但是这些项目往往受到多种因素的影响,管理控制不到位,就会造成项目无法达到预期目标、工期超出计划、投资超出预算等。在实际应用中,电信运营企业的信息安全项目风险管理必须做好以下几点:

(一)制定风险应对计划为了避免发生各种风险事件,应制定科学合理的风险应对计划,结合电信运营企业的实际情况和自身特点,基于风险定量分析和定性识别,采取预防式策略,减轻或者避免风险事件,做好充分的准备工作,最大程度地降低或者消除信息安全项目风险事件发生概率。电信运营企业在制定信息安全项目的风险应对计划时,应包括应急方案、资源需求、风险应对行动计划、风险量化评估、风险定性识别等内容。结合项目应用条件、环境和项目自身的变化,根据专家经验、历史经验、风险影响等判断信息安全项目的风险征兆,有针对性地制定相应风险应对计划。同时,信息安全项目的应急方案应坚持按需定制,对项目中的紧急或者特殊事件采取有效的应急控制措施,确保信息安全项目顺利实施。

(二)风险主动控制基于信息安全项目的风险分析,电信运营企业应做好风险主动控制,全面控制和监督信息安全项目全过程。首先,结合已经识别的信息安全项目风险,整理和获取当前风险状态,结合已经发生的条件,判断信息安全项目风险是否已经发展为问题。其次,结合风险分析和跟踪结果,有效、及时地控制信息安全项目实施,结合风险应对计划,确定采用怎样的行动。电信运营企业对信息安全项目进行风险主动控制时,主要包括以下三个步骤:第一步,执行风险预防性措施,结合信息安全项目制定的风险应对计划,做好风险的事前防范和控制,避免发生安全事故影响信息安全项目的进度、质量和成本,实施第一步时,结合信息安全项目应对计划中的各种防范活动,做好事前管理和控制,对相应执行情况进行存档,便于风险发展评估和执行效果跟踪。第二步,确定风险,结合信息安全项目的风险定量分析结果进行风险评估排序,对不同阶段内已经识别的项目风险,重点关注高影响风险,广泛收集风险事件相关信息,跟踪信息风险。第三步,判断新情况,结合信息安全项目具体情况,根据风险控制和跟踪结果,判断是否存在一些没有被识别的风险或者风险是否发生一些新情况,结合具体情况,重新调整信息安全项目管理计划。

(三)健全信息安全项目风险管理制度电信运营企业应高度重视信息安全项目的风险管理,严格落实保密制度,加强保密监督,平衡保密和电信网络系统信息资源开放共享的关系,强化电信保密管理,确保电信运营企业的信息安全项目顺利实施。首先,对于电信运营企业的信息安全项目进行风险划分,严格控制秘密信息;其次,落实保密审批和信息公开制度,构建信息安全项目风险管理责任制;再次,强化保密监督,信息安全项目风险控制和信息保护应由专门的工作人员或者机构负责,检查和监督信息安全项目风险管理情况。

(四)加强风险管理控制首先,电信运营企业应认真分析信息安全项目的用户要求和应用特点,安排专业技术功底好、实践经验丰富的工作人员进行开发设计,规划设计阶段应全面考虑到信息安全项目的各种影响因素,制定科学合理、切实可行的风险管理计划。其次,加强信息安全项目进度风险控制,一个项目的顺利实施需要很多工作人员的共同努力,通过加强风险跟踪、风险分析、风险识别、风险管理等措施,加快信息安全项目开发速度,保障电信运营企业的经济效益。最后,信息安全项目实施过程中一旦遇到问题或者发生安全事件,会给电信运营企业造成很大的经济损失,在前期规划设计阶段,应做好成本投资计划,充分考虑到信息安全项目的经济利益和风险,在整个项目实施过程中加强成本风险控制,强化工作人员的责任意识,最大程度地确保信息安全项目的顺利进行。

三、结束语

篇9

[关键词]巴塞尔新资本协议;操作风险管 ;IS027001;信息资产

[中图分类号]F831 [文献标识码]A [文章编号]1006-5024(2009)04-0167-04

[作者简介]董红,北京航空航天大学经济管理学院博士生,研究方向为风险管理与决策;(北京100083)

邱菀华,中国光大银行总行风险管理部教授,博士生导师,研究方向为决策、风险与项目管理;

林直友,中国光大银行总行风险管理部业务经理、硕士,研究方向为金融风险管理。(北京100045)

金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。

一、操作风险管理的困惑与问题

到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、业务、资产管理和零售经纪类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。

巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么

样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。

因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。

二、ISO27001简介

ISO/IEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS7799―1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISO/IEC17799,BS7799-2升版并转换为国际标准ISO/IEC2700I,它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。

信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISO/IEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。

1 机密性――信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。

2 完整性――保护资产的准确和完整的特性。

3 可用性――根据授权实体的要求可访问和利用的特性。

企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。

可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控

制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。

三、基于风险的信息安全管理体系的构建

信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。

(一)策划并建立信息安全管理体系

1 确定安全方针和范围

信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。

2 资产的识别和评价

资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。

资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。

资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。

3 风险评估

资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。

(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。

(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。

(3)对已有安全控制措施进行确认。

(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。

(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。

(6)选择控制目标和措施

选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。

(7)获得最高管理者的授权批准

风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。

(二)实施并运行信息安全管理体系

阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。

(三)监视并评审信息安全管理体系

监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。

(四)改进信息安全管理体系

基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。

四、信息资产类操作风险管理的实施建议

ISO27001是文件化的体系,它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的ISO27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。

篇10

近几年来,在领导高度重视下,我们加大了信息科技建设的推进力度,大大缩小了与同业科技差距:建成了现代化、高标准的信息系统数据中心,初步形成同城生产和灾备两中心模式;全面开展网络改造,将广域网三级架构改为二级架构,各营业网点配置2条专线,分别直接上联生产中心和同城灾备中心,实现了业务网与互联网专网进行物理隔离,增强了网络系统的稳定性和安全性;建设完善了网上银行、银行卡系统、资金债券系统、信贷系统等应用系统,形成了结构清晰、业务功能基本满足业务发展和经营管理需要的应用系统体系。相对于信息化建设发展水平的快速提高,我行的信息科技风险管理水平略显滞后,也与监管当局的要求存在一定的差距。开发测试体系建设需进一步完善,代码质量管理、Bug管理、开发过程管理、测试管理需进一步加强;系统运行管理有待改进,生产系统监控和流程管理自动化管理手段不足,逻辑访问控制有待加强;业务连续性管理及应急体制建设有待加强,应制订全行性的业务连续性规划及应急演练方案,并定期更新,切实发挥相关部门职能,按要求组织开展应急预案的演练,提高应急演练的有效性和覆盖面。李秀生:北京农商银行的信息科技风险管理制度体系涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性。信息科技风险管理进展为了提升信息科技风险管理水平,北京农商银行根据监管要求,结合信息科技建设实际情况,不断完善科技风险管理治理架构,初步建立了科技风险防控体系,有效预防和消除了科技风险事件的发生,确保了生产安全稳定运行和信息安全。

1.完善信息科技风险治理结构,明确信息科技风险“三道防线”的职责。成立了信息科技管理委员会,除了审议信息科技战略规划、推动信息科技建设的职能外,着重加强审议信息科技风险管理、信息安全策略、信息安全重大事项和信息安全评估报告等科技风险管理职能,强化了科技风险管理体系建设中高层的推动作用;设置了首席信息官,直接参与跟信息科技运用有关的业务发展决策,确保信息科技各项工作的有效开展和落实;形成了由信息科技部门、风险管理部门及审计部门组成的信息科技风险“三道防线”。

2.持续建立健全信息科技风险管理制度体系。对现有信息科技制度体系进行了整体评估,重新梳理确定信息科技制度体系架构,建立包括制度、实施细则及技术规范(标准)三层架构的制度体系。同时规范对现有制度的管理,形成了《信息科技制度汇编》,涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性,有效指导信息化建设和风险管理工作的开展。

3.事前、事中、事后管理并重,提升信息科技风险管理水平。一是强化风险防控意识,防范于未然。持续对全体科技员工进行风险意识教育,树立对风险防控的高度敏感性和责任心,积极向员工传导遵守法律法规和实施内部控制的重要性,培养员工的诚信和道德,规范员工职业行为,从源头上控制、减少潜在风险的发生。二是健全内控机制,规范事中管理。科学合理设置科技岗位,明确每个岗位的职责、权限,建立了逐级授权和审批机制,并制定相应控制措施;规范岗位操作流程,重要操作如版本迁移、数据修改等实行双人制,一人操作,一人复核,防止出现控制真空,产生风险;同时重视利用技术手段来强化风险管理,如批量作业自动化系统、系统和网络监控系统监控系统的建成有效地提升了系统运维风险管理水平。三是加强信息科技风险的识别和检查,持续督促、跟踪整改,深入挖掘信息科技运行及管理存在的问题和潜在风险,制订整改措施并积极整改。建立内部定期专项检查机制,根据每年年初制订检查计划,进行检查,详细记录检查结果,建立风险整改台账,定期对整改情况进行监督及跟踪。除加强上述自查工作之外,还积极配合监管当局开展各项检查,积极借助外部的力量帮助发现问题,查找隐患,从而提升科技风险防范能力。

4.加强信息安全体系建设,强化信息安全管理。完成了信息安全体系规划,建立科学合理的信息安全体系框架,制定较为完善的信息安全策略;通过实施网络边界控制、内网与互联网隔离、全面病毒防护、桌面系统监控、数据分级与使用保护等系列安全项目,建设形成覆盖数据安全、网络安全、系统安全和应用安全的综合信息安全体系,确保生产系统安全和客户信息安全,防范科技风险。未来的工作重点通过以上科技风险管理工作的开展,有效消除和防范了科技运行及科技管理中的风险隐患,近几年我行未发生信息科技风险事件,科技风险管理水平和防控能力得到显著提升。针对目前科技风险管理中存在的薄弱环节,未来信息科技风险管理的工作重点将体现在以下几个方面。

1.进一步完善信息科技风险治理结构,持续推进科技风险“三道防线”建设。进一步明确信息科技风险治理结构中各级主体的工作职责,充分发挥各级主体的职能作用,形成职责明确、结构合理的信息科技风险管理架构;特别是加强风险管理部门对信息科技风险的管控,形成一个职责明确、功能互补、相互监督、相互制约、共同发展的信息科技风险防范的有机整体。

2.加强软件开发质量管理体系建设,强化开发过程中风险的管理。建成基于我行现在的CMMI3级的软件研发规范体系,通过CMMI3级验收,全面推广体系的应用,整个体系涵盖了软件的需求、设计、开发、测试等各环节,有效规范了整个开发过程的管理;落实需求归口管理机制,推行重大项目需求评审机制,进行重要系统组织级方案评审,提高项目计划管理和风险管理水平;全面推行软件配置管理,提高软件版本管理水平;强化外包管理,规范外包人员工作量评估,加强外包人员工作环境管理。

3.进一步推进运维体系建设。加强对生产变更的风险评估,严格变更过程管理,严控变更风险;确保事件分级制度的落地执行,形成有效的事件升级和响应机制;进一步加强对问题的快速解决,并逐步深化问题的后续管理,从多维度进行生产问题分析,提高生产管理水平;充分发挥系统监控、网络监控工具的作用,完成应用监控建设,全面了解系统运行状态,及时定位故障;全面提高运维管理水平及风险防控能力。