时间:2022-03-03 17:50:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全风险管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1 引言
人类社会在不断发展,信息化逐渐融入人们生活。信息资源对于现代企业来讲,是每时每刻都存在的运转载体,各种重要数据、企业的知识产权等这些都是企业的内部信息,除这些信息外,其他相关方面的数据也被企业所利用,例如合作伙伴、客户、员工等资料,尤其是一些服务性企业,比如网商、快递公司、金融公司、通信公司、航空公司等,这些企业更需要以信息系统作为支撑,信息资源成为企业不可或缺的重要组成部分。
2 新形势下我国信息安全面临的问题
2.1 风险意识在主观上的淡薄
在我国信息安全上面,思想认识面临高风险的形势,大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面,没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,规范安全风险和安全法律法规对员工的培训缺乏,很多信息安全事故的发生都是因为安全意识的薄弱造成的。
2.2 缺乏信息安全管理系统的思想
大部分企业仍是将传统的管理方法用在安全管理模式中,这种出现问题再去想弥补的方法是静态的管理,不能在提前进行信息安全风险评估上做更有效的信息系统管理。
2.3 信息安全不仅仅是技术部门的事
多数企业认为信息安全的责任和义务都是IT部门的,造成信息技术部门无法和企业内部其他部门互动,进而形成孤立的局面。但是,信息安全的实现需要各个部门的全员行动,特别是规范标准以及规章制度的贯彻落实,更牵涉到企业的每一名员工,全员行动的要求更是不能缺少。
2.4 存在重视安全技术而轻视安全管理的情况
现今为止,仍有很多企业仅仅依赖产品安全,认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统,但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作,不能单从技术方面着手。
2.5 现代管理手段与理论欠缺
日益庞大的现代化信息规模与越来越复杂的网络结构,让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足,企业应该结合实际情况和需要,把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导,以此达到信息安全的目的。
3 企业信息安全风险管理的框架探究
企业信息安全风险管理的框架包括两个部分,一是企业信息安全风险管理的过程,二是企业信息安全风险管理的实施。其中,实施是过程的保障,整合各种资源要通过实施才能达到;过程是实施的前提,对过程的清楚有利于建立企业信息安全风险管理的统一理解,以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。
信息安全风险管理是动态、持续性过程,信息安全通过潜在的风险识别、分析,同时进行计划、实施、监督、改善,然后再进入到下一个循环里,通过持续不断的循环活动进行有计划、持续的控制,不断改进。
参照戴明的PDCA质量管理模式,把安全项目实施划分为四个阶段,分别是准备和策划、执行和部署、监控和检查、评价和改进,实施阶段有几个工作步骤:(1)准备和策划工作阶段,首先调研信息安全风险管理现状,接着进行风险评估,然后编制信息安全风险管理方案;(2)执行和部署工作阶段,进行部署安排,按计划执行,接着进行安全培训;(3)监控和检查工作阶段,做好企业安全现状检查,预测未来的变化;(4)评价和改进工作阶段,制定改善措施,响应紧急事件。
4 企业信息安全风险管理的实施
在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素,企业的信息安全风险管理能力同时也受着这四个因素制约,所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。
企业在开始尝试安全风险管理实施之前,很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略,就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导,将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟,则可以采取试点的形式,把安全风险管理实施到单个业务单元中,直到通过试运行在框架中显示有效以后,再考虑将其他业务单元导入至整个企业框架中。
框架实践需要以最优实践的经验为基准,必须有利于企业确定安全现状,同时按照需要的安全方向进行改进,企业的安全风险管理能力通过不断的提高,就能逐渐努力向着安全的目标前进。
5 结束语
进入信息化时代,企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下,企业建立信息安全风险管理机制,利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程,在风险评估的前提下,要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督,这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里,但愿本文能引来更多这一领域探究,从而做出保障企业信息安全的贡献。
参考文献
[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究,2014,34(2):36-55.
[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012,08(11):81-85.
关键词:信息系统安全 信息系统管理 计算机尖端科技
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2016)11-0209-01
目前,世界各国经济都在迅速发展,经济全球化的进程逐渐加快,伴随着经济的推进,尖端科技迅猛发展。因此,电脑逐渐走进了各家各户,移动互联正在改变人们的生活方式。计算机网络技术的优越性使得人们对计算机网络愈来愈“信赖”。然而随之产生的便是用户的网络信息泄露事件。计算机网络安全问题已经受到了更多人的重视。所以,对信息系统安全风险管理方法的研究有着鲜明的现实意义。
1 信息系统安全风险管理方法研究
随着计算机网络技术的不突破何如普及,极大的方便着人们的生活和学习,而且正在慢慢的改变人们的生活方式。目前,计算机网络技术已经被应用到军事科技当中,中增强着我国国防力量。使得未来战争真正的实现“兵不血刃”。与此同时,信息系统的安全问题会“威胁”着国家的经济建设,和国防建设。所以这一切都表明了信息系统安全问题是一个国家安全建设的基础,是国家社会发展和建设的保障。而信息系统的安全成为了信息化革命的基本。甚至可以说,信息系统安全问题关系着国家安全,民族发展是全人民的的头等大事。信息系统安全计划建设是了一个国家和民族的战略性目标,已经是不争的事实。
2 信息系统的信息安全现状
当今社会信息系统安全问题不容乐观,信息系统面临着严峻的安全风险。根据调查来看,每年的重大信息系统安全事件正在逐年增加。信息系统安全问题主要包含以下两大方面:一是由于现今科技技术的不完善性和局限性,使得信息系统在构建之初便存在着漏洞,导致信息系统“脆弱”。二是现实社会中的各种经济斗争和利益斗争,使得原本的信息系统漏洞被“开发利用”。计算机网络技术是一个复杂的大系统,它是由众多的代码、硬件、软件、协议所共同组成。在计算机网络技术的不完善和设计人员思想局限性的前提下,使得信息安全系统在构建的时候会出现不可避免的漏洞。例如,计算机网络中一个操作系统需要几千几万的代码组成,甚至更多。为满足用户的各种需要,设计的技术复杂性逐渐增多。据调查在繁琐的计算机网络设计时,很可能一千行代码中便会存在一个错误。因此,信息系统的漏洞越来越多,越来越严重。另一方面,“黑客”作为一种“文化现象”一直伴随着计算机网络技术的发展而发展。并且随着人们之间的利益冲突不断加剧,使得黑客的恶意攻击事件愈演愈劣。此外,根据调查显示,在攻击技术复杂的计算机网络时,黑客相对应需要的知识却越来越少[1]。
3 信息系统风险管理的目的和作用
信息系统安全是目前全世界所面临的重大问题。虽然,信息安全问题具有着普遍性,但是同时因为它的特殊性,使得我们不得不重视。信息系统的安全管理已经不再是“0”和“1”之间的问题。我们不断的探索,为了找到一个更好的信息系统安全管理方法。我们希望新的信息系统安全管理方法可以改变现今网络安全的现状,并且让更多的人可以更好的享受计算机网络技术带来的方便。计算机网络在人们的生活和学习中有着重要的的作用,在国家建设上有着重要的地位,信息系统的安全管理的研究,我们旨在便利更多的人民群众,更好的建设国家,为祖国的建设作出贡献。我们要做到防患于未然,让国家和人民免于信息系统安全问题的威胁。由此我们可以得出这样的结论:风险管理是信息系统安全管理方法的新模式,而最佳的信息系统安全保障方法就是对信息系统进行风险管理。
4 信息系统风险管理的趋势
纵观世界,信息系统安全风险管理的经历了技术,技术与管理相结合的阶段。当前,在信息安全保障意识的前提下,还在不断的深入完善。如何将传统的风险管理理论和实际相结合并更好的应用于信息安全管理领域,是全世界面临的一个尚未解决的问题。
5 信息安全风险管理理论基础
信息安全风险管理研究的理论基础大的方面是国家规定的计算机网络技术管理法则,和现今的计算机网络技术。小的方面是现今信息系统所具有的保密性、完整性、可用性、脆弱性。以及网络信息系统面临的威胁[2]。
6 网络信息系统风险管理的ISISRM管理方法
6.1 ISISRM方法的基本思想
ISISRM方法体现的是“定制”思想,它具有较强的开放性,在识别风险因素并进行解决的同时,它不会拘泥于单一的解决方法。它可以使风险管理过程和用户使用目的紧密集合结合在一起,并且在风险评估时采用了“适度量化”的原则。在ISISRM方法的我研究中引用了经济管理学的知识,它将不再只解决信息安全问题,而是从用户的角度上来说变成了一种“投资”行为[3]。
6.2 ISISRM方法的管理周期
按照ISISRM的设计逻辑,ISISRM的管理周期分为风险管理准备阶段、信息安全风险因素识别阶段、信息安全风险分析和评估阶段、信息系统安全保障分析阶段、信息系统安全决策阶段、信息安全风险动态监控阶段。
7 结语
计算机网络技术迅速发展,加速了社会信息化的进程,使得人文建设与信息系统关系日益“亲密”,但是随之而来的信息安全问题值得引起我们的重视,并让我们花费人力和物力进行解决,它时刻的威胁着我们社会主义人文建设。所以我们应该运用ISISRM这样的风险安全方法进行信息系统安全的维护和改善。
参考文献
[1]孙鹏鹏.信息安全风险评估系统的研究与开发[D].北京交通大学,2007.
关键词:安全风险管理,风险,弱点,评估,管理,信息安全
[概述]: 随着企业网络的不断扩大,越来越多的安全威胁在影响着企业的安全状况,近两年,熊猫烧香、conficter蠕虫,都给企业带来了大量的安全损失,然而,解决企业的信息安全问题,不能单独从某一个方面入手,最好的解决方案应该是从整体上降低信息安全风险。
国际上传统的风险管理流程较为概略,在中国特有的网络环境中也比较缺乏可实施性,本文将会针对中国IT环境的建设过程,遵循一定信息安全系统建设规律,考虑到各个信息安全产品之间的整合和联动,形成一个完善的动态信息安全风险管理体系,让国际标准在中国的IT环境中得以实现。
1.IT系统信息安全建设的现状
传统的信息安全建设网网局限于防御系统的建设,企业不断的在投入资金,购买各种各样的硬件设备和软件系统,主要的功能集中在抵御各类安全威胁,其中包括:终端防病毒系统、终端安全管理系统、防火墙、入侵防御设备、Web防护类设备,入侵检测等等。采用这样的信息安全产品能够取得一些效果,但是往往造成信息安全系统比较被动,不能够主动的发现安全风险,及时的降低安全风险。
(1)经常采用的信息安全产品我们在信息安全建设的初级阶段,经常采购的信息安全产品包括:
l防病毒:在终端部署的企业防病毒产品,检测和查杀各类病毒;
l防火墙(Firewall):访问控制设备,帮助建立基本的企业网络安全边界;
lWeb Cache设备:部署在外部网络,实现对网络访问的缓存,提升访问速度;
l负载均衡:对网络访问性能进行调控,保证网络负载均衡;
l邮件安全网关:实时检测和过滤各类病毒邮件及垃圾邮件;
l入侵检测和防御系统:检测网络数据,对网络内部的各类攻击行为进行报警;
部署的安全设备能够起到一定的安全防护功能,但是随着安全威胁的不断变化和发展,现有的安全机制已经难以满足目前的信息安全需求,我们需要主动地控制安全风险,才能够在不断复杂的安全环境中确保企业网络的安全。。
(2)普遍意义上的安全风险管理信息安全风险管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效评估、分析、控制和管理。在ISO标准当中,已经给出了一个非常经典的安全风险模型,如下图:
也就是说,只有企业具有了信息化的核心资产(比如有很重要的数据保存在服务器上),这些资产存在弱点和漏洞(比如微软操作系统的漏洞),又存在被损害的可能(比如病毒、黑客攻击等等),才可能给企业造成损失。因此,企业的安全风险和这三个方面相关,企业也只有同时管理好这三个方面,才可能真正的确保网络安全。
而传统的安全产品(如前所述),只是去抵御安全威胁,却忽视了资产的重要性和对漏洞的管理。。更加不可能实现多安全风险的准确评估和动态管理。
(3)风险管理流程既然要降低安全风险,我们就需要一个成熟的流程来对信息安全风险进行管理和控制,一般的安全风险管理流程如下:
l识别风险:准确识别网络中存在的安全风险;
l分析风险:通过定性或者定量的方法确定现存的安全风险是否需要消除;
l消除风险:通过有效的手段降低安全风险;
l监控风险:监控安全风险的变化,做到对风险的动态管理。。
(4)安全风险管理的问题传统的安全产品,如IDS,防病毒系统等只是在被动的抵御或检测安全威胁,缺乏主动的防护措施和手段;而要实现主动的信息安全管理,则需要对企业整体的安全风险进行监控和管理,但在执行过程中,存在如下问题:
l没有技术手段实现对安全风险的全面的监控;
l消除信息安全风险的手段不明确;
l缺乏详细的可实施的信息安全风险管理流程,能够结合所有的信息安全产品,从而实现全面的安全风险管理。
2.动态安全风险管理体系
基于国际信息安全标准,结合中国IT环境的特点,我们应该首先明确安全风险的三个重要方面及控制手段,有计划有步骤的加强整个信息安全体系的建设,才有可能最终实现完善的风险管理系统。
(1)可实施的安全风险管理理论根据安全风险的特点和三个关键要素,我们可以针对信息安全风险形成更具可实施性的安全风险管理方法论,其核心思路是根据企业的基础环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁,最终主动的降低整体安全风险。
要实现对安全风险的管理和控制,需要实现完整的风险管理流程:
l发现安全风险:通过有效的手段,确定存在安全风险的资产和区域,定位安全风险存在的区域;
l评估安全风险:准确高效的评估安全风险,了解安全风险的大小和实质;
l强制措施降低风险:通过管理或强制等安全手段,主动地降低安全风险;
l安全防御:通过各类系统、网络安全设备,防御各类安全威胁;
l修补:主动修补存在的各类漏洞,全面降低安全风险。
综上所述,通过完整的安全风险管理流程,对整个网络的安全风险实现全面的管理和控制,5个步骤缺一不可,同时,风险管理流程根据企业的具体情况,可以有不同的实现方式,最终实现:
l始终遵守确定的安全政策;
l基于风险管理,整合网内现有的安全防护产品;
l通过全面的实时防护产品更好的检测并阻止安全威胁;
(2)实现安全风险管理的详细步骤:1——确立安全标准和方针;
2——统计信息资产;
3——整合并确认资产的商业价值;
4——检测资产存在的安全漏洞;
5——了解存在的潜在威胁;
6——分析存在的安全风险;
7——通过安全防御产品实时阻断安全威胁;
8——强制安全策略并应用补救措施;
9——评估安全效果和影响;
10——针对已有策略进行比对。
综上所述,传统的安全产品(防病毒、防火墙等),只是去抵御安全威胁,却忽视了对整体安全风险的考虑,而整合的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素,并且可以结合现有的安全产品,通过完善安全风险管理流程帮助企业实时的控制整体安全风险,真正的解决安全问题。
(3)安全风险管理体系的建设步骤要实现完善的安全风险管理,我们需要有计划有步骤的完善自身的安全风险管理体系,并且制定相应的安全策略,做到有的放矢。企业在构建安全风险管理体系的时候,有一个基本次序:
l 首先,构建完善的终端安全体系,因为终端安全是基础,任何安全威胁最终影响到的都是终端系统,同时,终端面对的病毒等威胁数量最多;
l 其次,是构建完善的网络防护体系,如防火墙、入侵防护系统、垃圾邮件过滤系统等,从网络层面第一时间抵御安全威胁,同时,还要防御各类终端难以防御的网络攻击行为;
l 最后,当已经建立了高效的防护体系之后,需要建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成成熟完备的动态安全风险管理体系。
[参考文献]:
BS7799、ISO27001、
【关键词】信息安全 体系建设
在现有的社会背景下,互联网以及网络通信技术的完善,使得信息传播的速度变得更加的迅速。由于现在信息技术的广泛使用,在企业的运行模式中,信息技术的融合面积也变得更加的广阔,对于信息的依赖程度也日渐加重,信息技术在企业中的渗透变得更加的深入和彻底,在企业正常运作的方方面面中进行了有效的融合。
在企业中使用信息技术,相对应信息技术自身的安全体系要求就变得更加的细致,在信息技术使用过程中安全体系的建设是必不可少的一项重要内容。使用信息安全体系建设来有效的解决信息安全的问题,在今后企业的信息使用中有十分重要的实现价值。针对信息安全体系的构建应该进行以下的分析:
按照现有的信息安全状况进行信息安全体系建设,就是将信息安全的构架进行模块之间相互构建和连接,将它们形成不可分割的整体,使它们共同的结合成为信息安全体系。信息安全体系自身带有系统性,完整性以及全面性的信息安全保障能力,这种整合之后的能力比之前独立的信息安全模块能力之和要具有更多的优势,在现有的信息安全体系建设中,会将企业安全技术,企业安全风险管理,企业安全组织以及运行模式进行安全体系的融合,这种信息安全体系的构建才能符合现在企业的使用要求。
一、信息安全体系信息安全策略的制定
在信息安全体系的构建中,信息安全策略的实施就是信息安全体系的核心内容,这种核心内容的展现就是将企业的信息安全模式进行针对性保护的规划。按照企业保护形式的不同进行细致的分类以及汇总。在信息安全体系的构建中,信息安全策略的实施就是将整体信息安全进行正面的引导,将信息安全体系能够较好的为企业进行服务,将信息安全体系各个方面进行可行性技术的管理,在模块的运行模式中进行有效的保障,并且,信息安全策略在使用的过程中,也包含着信息安全体系构建所有细小分支的内容,这些内容想要全面的进行展现,就应该采用一些方法和技术进行有效的管理,以此来保证信息安全系统整体运行模式的准确性和完备性。
二、信息安全体系安全风险管理体系的制定
在信息安全体系实施过程中,针对于信息安全风险管理的设置,就是按照企业风险为主线,以信息安全相关标准以及需求为策略,将主线与策略进行结合,就是信息安全体系安全风险管理的方案制定标准。在信息安全风险管理体系的制定过程中,首先,应该对企业自身的保护系统进行目标性的确定,将目标进行合理有效的规划;然后,在信息安全体系安全风险管理实施的过程中,对企业自身的风险系数进行可控性的评估,对于现在的风险以及将来的风险进行系数的控制,为企业今后的发展奠定平稳的基础;最后,在信息安全体系安全风险管理体系的制定中,应该将所有的体系规划进行相关专业人员的审核以及评估,在评估的过程中,对企业进行全面的分析,保证安全风险管理体系制定可行性。由于企业安全风险管理体系是贯穿企业全过程的,对于该管理体系的制定,不仅仅应该进行企业的评估,还应该对现有的社会状况进行有效的结合,以便企业在社会竞争状况中有稳固的成长。
三、信息安全体系安全技术体系的构建
在信息安全体系中,安全技术体系的构建就是信息安全体系构建的基础,这种基础性的建设是按照企业安全策略以及安全风险管理进行针对性指导的,这种体系的构建,应该按照现有的状况进行多方面的研究与分析,只有这样才能将企业的各个部门进行结合,将部门的问题进行技术上的落实,共同建立企业各个部门相互协同发展的信息安全体系。这种安全技术体系的良好构建,可以将企业的信息系统进行全方位,多角度,整体性的安全掌控,以保证企业的正常信息安全体系的运转。
四、信息安全体系安全组织与管理体系的构建
在信息安全体系安全组织与管理体系的构建中,应该将安全组织与管理进行有效的设计,这种安全组织与管理体系的构建,就是企业信息安全体系发挥作用的最关键的后盾保障,这种保障的基础就是安全管理体系的科学设计。
[关键词]巴塞尔新资本协议;操作风险管 ;IS027001;信息资产
[中图分类号]F831 [文献标识码]A [文章编号]1006-5024(2009)04-0167-04
[作者简介]董红,北京航空航天大学经济管理学院博士生,研究方向为风险管理与决策;(北京100083)
邱菀华,中国光大银行总行风险管理部教授,博士生导师,研究方向为决策、风险与项目管理;
林直友,中国光大银行总行风险管理部业务经理、硕士,研究方向为金融风险管理。(北京100045)
金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、业务、资产管理和零售经纪类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么
样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。
因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。
二、ISO27001简介
ISO/IEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS7799―1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISO/IEC17799,BS7799-2升版并转换为国际标准ISO/IEC2700I,它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。
信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISO/IEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1 机密性――信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2 完整性――保护资产的准确和完整的特性。
3 可用性――根据授权实体的要求可访问和利用的特性。
企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控
制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1 确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2 资产的识别和评价
资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3 风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
ISO27001是文件化的体系,它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的ISO27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。
随着银行业对信息技术的依赖程度日益提升,信息科技风险亦随之上升。信息科技风险具有影响范围广、突发性强、技术含量高、复杂度高、隐藏性深等特点,直接影响商业银行的稳健经营,关乎商业银行声誉、金融安全和社会稳定,是商业银行面临的主要风险。如何在快速推进信息系统建设的同时,加强信息科技风险管理,减少或杜绝银行因信息科技而给自身或客户带来损失,是银行目前信息化建设需要研究的重要课题。信息科技风险管理现状作为第一家从农信社成功改制的北京农商银行,与四大行及股份制商业银行相比,信息科技基础十分薄弱。
近几年来,在领导高度重视下,我们加大了信息科技建设的推进力度,大大缩小了与同业科技差距:建成了现代化、高标准的信息系统数据中心,初步形成同城生产和灾备两中心模式;全面开展网络改造,将广域网三级架构改为二级架构,各营业网点配置2条专线,分别直接上联生产中心和同城灾备中心,实现了业务网与互联网专网进行物理隔离,增强了网络系统的稳定性和安全性;建设完善了网上银行、银行卡系统、资金债券系统、信贷系统等应用系统,形成了结构清晰、业务功能基本满足业务发展和经营管理需要的应用系统体系。相对于信息化建设发展水平的快速提高,我行的信息科技风险管理水平略显滞后,也与监管当局的要求存在一定的差距。开发测试体系建设需进一步完善,代码质量管理、Bug管理、开发过程管理、测试管理需进一步加强;系统运行管理有待改进,生产系统监控和流程管理自动化管理手段不足,逻辑访问控制有待加强;业务连续性管理及应急体制建设有待加强,应制订全行性的业务连续性规划及应急演练方案,并定期更新,切实发挥相关部门职能,按要求组织开展应急预案的演练,提高应急演练的有效性和覆盖面。李秀生:北京农商银行的信息科技风险管理制度体系涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性。信息科技风险管理进展为了提升信息科技风险管理水平,北京农商银行根据监管要求,结合信息科技建设实际情况,不断完善科技风险管理治理架构,初步建立了科技风险防控体系,有效预防和消除了科技风险事件的发生,确保了生产安全稳定运行和信息安全。
1.完善信息科技风险治理结构,明确信息科技风险“三道防线”的职责。成立了信息科技管理委员会,除了审议信息科技战略规划、推动信息科技建设的职能外,着重加强审议信息科技风险管理、信息安全策略、信息安全重大事项和信息安全评估报告等科技风险管理职能,强化了科技风险管理体系建设中高层的推动作用;设置了首席信息官,直接参与跟信息科技运用有关的业务发展决策,确保信息科技各项工作的有效开展和落实;形成了由信息科技部门、风险管理部门及审计部门组成的信息科技风险“三道防线”。
2.持续建立健全信息科技风险管理制度体系。对现有信息科技制度体系进行了整体评估,重新梳理确定信息科技制度体系架构,建立包括制度、实施细则及技术规范(标准)三层架构的制度体系。同时规范对现有制度的管理,形成了《信息科技制度汇编》,涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性,有效指导信息化建设和风险管理工作的开展。
3.事前、事中、事后管理并重,提升信息科技风险管理水平。一是强化风险防控意识,防范于未然。持续对全体科技员工进行风险意识教育,树立对风险防控的高度敏感性和责任心,积极向员工传导遵守法律法规和实施内部控制的重要性,培养员工的诚信和道德,规范员工职业行为,从源头上控制、减少潜在风险的发生。二是健全内控机制,规范事中管理。科学合理设置科技岗位,明确每个岗位的职责、权限,建立了逐级授权和审批机制,并制定相应控制措施;规范岗位操作流程,重要操作如版本迁移、数据修改等实行双人制,一人操作,一人复核,防止出现控制真空,产生风险;同时重视利用技术手段来强化风险管理,如批量作业自动化系统、系统和网络监控系统监控系统的建成有效地提升了系统运维风险管理水平。三是加强信息科技风险的识别和检查,持续督促、跟踪整改,深入挖掘信息科技运行及管理存在的问题和潜在风险,制订整改措施并积极整改。建立内部定期专项检查机制,根据每年年初制订检查计划,进行检查,详细记录检查结果,建立风险整改台账,定期对整改情况进行监督及跟踪。除加强上述自查工作之外,还积极配合监管当局开展各项检查,积极借助外部的力量帮助发现问题,查找隐患,从而提升科技风险防范能力。
4.加强信息安全体系建设,强化信息安全管理。完成了信息安全体系规划,建立科学合理的信息安全体系框架,制定较为完善的信息安全策略;通过实施网络边界控制、内网与互联网隔离、全面病毒防护、桌面系统监控、数据分级与使用保护等系列安全项目,建设形成覆盖数据安全、网络安全、系统安全和应用安全的综合信息安全体系,确保生产系统安全和客户信息安全,防范科技风险。未来的工作重点通过以上科技风险管理工作的开展,有效消除和防范了科技运行及科技管理中的风险隐患,近几年我行未发生信息科技风险事件,科技风险管理水平和防控能力得到显著提升。针对目前科技风险管理中存在的薄弱环节,未来信息科技风险管理的工作重点将体现在以下几个方面。
1.进一步完善信息科技风险治理结构,持续推进科技风险“三道防线”建设。进一步明确信息科技风险治理结构中各级主体的工作职责,充分发挥各级主体的职能作用,形成职责明确、结构合理的信息科技风险管理架构;特别是加强风险管理部门对信息科技风险的管控,形成一个职责明确、功能互补、相互监督、相互制约、共同发展的信息科技风险防范的有机整体。
2.加强软件开发质量管理体系建设,强化开发过程中风险的管理。建成基于我行现在的CMMI3级的软件研发规范体系,通过CMMI3级验收,全面推广体系的应用,整个体系涵盖了软件的需求、设计、开发、测试等各环节,有效规范了整个开发过程的管理;落实需求归口管理机制,推行重大项目需求评审机制,进行重要系统组织级方案评审,提高项目计划管理和风险管理水平;全面推行软件配置管理,提高软件版本管理水平;强化外包管理,规范外包人员工作量评估,加强外包人员工作环境管理。
3.进一步推进运维体系建设。加强对生产变更的风险评估,严格变更过程管理,严控变更风险;确保事件分级制度的落地执行,形成有效的事件升级和响应机制;进一步加强对问题的快速解决,并逐步深化问题的后续管理,从多维度进行生产问题分析,提高生产管理水平;充分发挥系统监控、网络监控工具的作用,完成应用监控建设,全面了解系统运行状态,及时定位故障;全面提高运维管理水平及风险防控能力。
4.加强业务连续性规划和应急管理工作。强化业务连续性规划及应急体制建设的重要性,根据应用系统规模和复杂程度有针对性地制订业务持续性保障规划,根据风险发生的部位、概率和危害程度分级制订应急预案,并经过评估和测试,及时进行维护、调整和更新,确保应急启动时的有效性,切实提升业务连续性管理及应急管理水平。
信息科技风险管理工作是一项长期的、艰巨的工程,因此要不断提高认识,强化危机意识、责任意识。从实际情况出发,充分借鉴相关国际标准和最佳实践,不断探索和改进,建立有效的信息科技风险的识别、计量、监测和控制机制,提升风险管理水平和防控能力,努力通过风险管理水平的提升推动信息化建设,为业务的发展、创新和管理提升提供坚实的保障。
1银行加强信息科技风险管理的重要性
1.1加强信息科技风险管理是金融监管部门关注的重要内容在我国转变经济体制以后斤民多的银行在发展过程中都实现了上市这样就使得这些银行在国际金融格局中也在扮演着非常重要的角色同时地位也是非常重要的。银行业的发展不仅仅会导致本国经济发展受到影响同时也会导致世界经济受到影响因此国家相关监管部门对信息科技风险管理工作是非常重视的而且对银行业的发展也是非常重视的。银监会对银行的信息科技风险管理工作提出了非常全面的要求这样能够更好的对信息科技风险工作进行改进同时也能更好的完善相关的工作。1.2加强信息科技风险管理是银行自身发展和提高TI治理水平的需要银行在进行信息化建设的过程中正在逐渐深化这样使得银行对信息科技风险有了更好的认识。慢慢从单一的信息安全问题转变到现在的生产运行、应用研发以及信息安全等方面共同发展的信息科技风险管理。信息科技风险管理在一定程度上体现了银行信息化的程度以及整体风险的管理水平。银行业在发展过程中也在不断进行改革,在这个过程中银行完成了从国家控制到股份制改革的实现,同时慢慢实现了上市这对银行业来说是非常大的一个转变,同时也是容易出现风险的过程出现风险不仅仅会导致银行的正常业务办理出现问题,也会导致银行的信誉和市值出现很大的变化因此崖影于业在发展过程中一定要重视信息科技风险。这样才能在这方面提出更高的要求。
2银行业加强信息科技风险管理的有关举措
信息科技风险是信息科技业务在银行业中应用的过程中由于自然因素、人为因素、科技漏洞或者是管理方面存在的缺陷导致的在操作、法律以及声誉方面的风险。银行信息科技风险管理包括对信息科技进行治理同时对信息科技风险进行管理对信息安全进行管理这样能够更好的促进银行业发展。银行业在发展过程中信息科技组织管理体系也在不断的建设这样也使得银行在利用先进的科技建立平台方面取得了非常好的成绩。建立健全信息科技管理组织体系和信息科技风险管理体系是为了更好的加强信息科技风险的管理基础,同时也是为了更好的满足银监会的要求。银行业在发展过程中相关的负责人和相关的部「]要制定信息科技战略,同时在相关的技术规范也要进行规划这样能够更好的在信息科技重大决策依据信息科技风险管理方面得到更好的发展。同时也能更好的推动信息科技治理建设。信息科技管理委员会对相关的科技项目方案进行审查的时候厂定要确保信息科技架构体系的合理性和延续性。在银行业中首席信息官在信息科技管理体系方面得到了更近一步的完善。在信息科技管理方面要不断的积累经验,这样能够更好的建立完善的信息科技管理制度同时也能建立更加完善的技术标准规范体系。很多的银行在信息科技管理方面已经有了很大的发展在相关的制度方面也有了很大的变化其中对信息安全、系统运行和系统应用方面的技术规范有了很多规范,这样能够更好的提升银行的信息科技管理水平,同时在规范化和标准化方面也有了很大的提高。银行在按照相关的要求建立系统平台的时候实现了科技管理的自动化,同时也将相关的管理要求进行了落实而且落实的效果也是非常好的。同时崖影于还建立了信息科技现场检查和非现场检查机制面向各级科技部门每年开展2次现场检查海月利用各类技术管理平台定期开展1次非现场检查并对检查发现问题的整改进展进行持续的跟踪、管理和考核确保整改措施落实到位。有效防范生产运行风险是加强信息科技风险管理的关键。生产运行风险是信息科技风险的突出外在表现,I商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想,并持续强化运行管理操作的各项措施降低运行风险。首先建立了信息系统安全等级体系根据系统安全等级在性能容量管理、灾备、监控等方面采取不同的风险管理措施在保证系统对外服务水平的同时池有效控制了科技成本投入。信息安全贯穿于信息科技全流程是信息科技风险管理的重要内容。信息安全管理的核心是要建立健全信息安全的内部控制体系通过技术和管理手段确保银行信息系统和数据的机密性、完整性和可用性。
3信息科技风险管理需要
科技部门和各业务部门共同推进、共担风险从信息科技风险管理实践来看,虽然信息科技风险管理更多关注的是信息科技领域但其中相当一部分内容与业务部门息息相关。因此信息科技风险管理实际上是银行的一项全局性工作需要业务部门共同参与和推进。在生产运行领域的业务连续性管理方面在信息科技部门系统的基础上需要业务部门制定业务层面的应急计划脂导业务人员在信息系统中断和恢复时进行业务的应急处理从而与信息科技部门协同开展应急恢复工作。在应用研发方面产品质量会引发系统运行风险而引发产品质量问题的因素是多方面的,既包括程序设计和开发缺陷等技术因素池包括业务测试验证和需求不完善或质量不高等业务因素。
4结束语
银行业在发展过程中信息科技风险管理是工作中非常重要的组成部分同时也是银行业在信息化进程过程中要面临的十分重要的问题。银行业在发展过程中要共同努力,同时也要实现银行内部科技部门和业务部门的结合这样能够更好的打造一个安全和抗风险的金融平台能够更好的促进银行业务的健康发展。
作者:张宝海 单位:中国农业银行绥化分行
关键词:信息安全;风险评估;教学
信息安全风险评估是进行信息安全管理的重要依据,通过对信息系统进行系统的风险分析和评估,发现存在的安全问题并提出相应的措施,这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》,对信息安全风险评估提出了具体的要求;欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段;2003年7月23日,国家信息中心组建成立“信息安全风险评估课题组”,提出了我国开展信息安全风险评估的对策和办法。2004年,国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准;2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求,同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学,是信息安全专业一门重要的专业课程,能全面培养学生综合运用专业知识,评估并解决信息系统安全问题的能力,是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强,课程发展十分迅速,涉及的学科范围也较广,传统的教学的模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的新要求,教学改革势在必行。
一、现状与存在的问题
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南,用来确定合适的管理方针和选择相应的控制措施来保护信息资产,全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来,高校在制订本科专业教学培养目标和教学计划时,侧重于具体安全理论和技术的教学和讲授,特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看,多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上,而且教学课时数也较少,只有十个学时。当前从《信息安全风险评估》课程的教学情况来看,该课程在信息安全教育教学过程中地位有待提高,实践教学的建设与研究迫切需要深化。
当前该课程的教学实践中普遍存在以下几个方面的问题,严重制约了《信息安全风险评估》课程教学质量的提高:
1.本科教学大都以理论内容为主体,实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主,实验和课程设计的学时较少,实验内容也大多属于验证性质,缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计;
2.教学方法单一,缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少,师资力量相对薄弱,教学经验也比较缺乏,仍以主要由教师讲述的传统教学方式为主,学生进行具体实践和操作的课时较少,缺乏创新性的教学和研究,基本没有具有探索性和创新性特点的教学内容,不利于发挥学生主观能动性,提高其创新能力;
3.实验环境无法满足教学需求,缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚,缺乏相关的实验设备;而且受到资金和专业发展等多方面因素的制约,难以设立专门的信息安全风险评估实验室。此外,信息安全风险评估是以计算机技术为核心,涉及管理科学、安全技术、通信和信息工程等多个学科,对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识,又要加强实践训练。
二、教学改革与探索
高校计算机相关专业开设《信息安全风险评估》课程,不是培养网络信息安全方面的全才或战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足,我们从以下几个方面对该课程的教学改革进行了探索:
1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力:《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程,目前开设该课程的高校较少,各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险,同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力:信息安全风险评估的关键是对信息系统的资产进行分类,对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法,包括使用各种自动化和半自动化的工具,可在模拟实验里,通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力:随着信息化的不断发展,信息系统所面临的安全威胁急剧增加,为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准,培养和提高学生继续学习的能力。另外,《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力,培养学生对信息安全风险评估领域进行探索和研究的兴趣,最终使学生掌握信息安全风险评估的知识和技能,能够解决具体信息系统的安全问题。
2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要包括:《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T 20984~2007)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现,我们在教学过程中,增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T
22080-2008信息安全管理体系要求》、《GB/T22081-
2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习,并编制相关的调查、检查、测试表,重点强调对脆弱性检测的理论依据的描述,检测方法及其步骤的详细记录。
3.利用各种测评工具,提高学生实践能力。在信息安全风险评估过程中,资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具,并对具体的信息系统进行自动化或半自动化的分析,加深了学生信息安全风险评估的理论知识理解,同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估,该系统的服务器存在感染病毒的症状,其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描,发现了“远程代码被执行”漏洞,而且该漏洞能被蠕虫病毒利用,形成针对系统的攻击。通过案例特征提供了的信息,培养学生使用测评工具对具体信息系统进行安全风险评估的能力,并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。
笔者结合自己的教学实践体会,论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程,需要不断地根据信息系统在新环境下面临的各种威胁,制定新的评估标准和评估方案,并使得学生在有限的时间和环境下掌握相应的知识和技能,以满足社会对信息安全人才的需求。
参考文献:
[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用,2010,26(8):6-8.
[2]杨春晖,张昊,王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密,2007,(12):75-77.
[3]潘平,杨平,罗东梅,何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
【关键词】智慧城市;安全风险;风险识别;风险评估
1.引言
自IBM于2009提出“智慧地球”理念以来,国内外已经有众多城市以网络为基础,打造数字化、泛在互联的新型智慧型城市。在智慧城市的建设和研究过程中,将新兴的物联网、云计算、超级计算,以及基础通信网络、软件服务化、数据共享、整合、挖掘与分析等技术全面应用。同时也对信息安全带来了全角度的冲击。
建设智慧城市必将面临各种风险,本文主要研究和讨论智慧城市工程信息系统的风险和评估方法。并且为建设智慧城市信息安全提供设计思路。
目前信息安全风险评估的方法主要有层次分析法[1]、神经网络方法[2]和模糊理论[3]等;信息安全要求是通过对安全风险的系统评估予以识别的[4]。风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。
2.建设智慧城市面临的信息安全风险
2.1 智慧城市信息系统的基本结构
智慧城市主要由三部分组成,底层为基础设施平台,主要包括互联网络和感知网络;数据共享平台主要包括基础信息资源库,例如人口信息、地理信息等;应用服务平台是面向公众、企业及政府的综合服务门户平台。
2.2 智慧城市面临的信息安全风险
信息安全风险是认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响[5]。如表1所示,智慧城市面临的信息安全风险主要有物理破坏、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等风险。智慧城市服务面广、影响广泛,面对大众,其持续服务能力和流畅服务能力直接关系到智慧城市建设的成败。而这两个服务能力又取决于管理者和建设者对以上风险的认知和处理程度。
3.信息安全风险识别
信息安全风险识别的基本依据就是客观世界的因果关联性和可认识性[5]。在建设智慧城市的过程中,信息系统必将面临各种安全风险。明确识别风险,评估风险,并合理的管理风险,是参与智慧城市项目建设中每个人的责任和义务。
风险识别主要有两种方法,一种是从主观信息源出发的识别方法。主要利用头脑风暴法,德尔菲方法(Delphi method)和情景分析法(Scenarios analysis)。前两种方法在我国使用的较多,情景分析法是一种定性预测方法,对预测对象可能出现的情况或引起的后果做出预测的方法,操作过程复杂,目前在我国的具体应用较少。另外一种风险识别的方法是从客观信息源出发的识别方法。主要利用核对表法、流程图法、数据或结果实验法、工作结构分解分析法和财务报表法等。
信息安全风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。没有绝对安全的环境,每种环境都会存在某种程度的脆弱性,都会面临一定的威胁。问题的关键在于识别威胁,估计它们实际发生的可能性以及可能造成的破坏,并采取恰当的措施将系统环境的总体风险降低至组织机构认为可以接受的级别。
4.终端面临安全风险
用户访问智慧城市信息数据的终端虽然不属于智能城市建设的范畴,但面对大量的用户终端,智慧城市工程相关管理和技术人员必须要考虑智慧城市系统对用户终端的影响。
根据CATR 2013年3月4日的研究数据显示,预计2013年中国3G用户将增长1.5-1.8亿户,用户规模突破3亿户。也就是说会有很大量用户通过3G智能终端获取信息。智慧城市的信息数据,也将通过3G移动互联网送至用户的智能手机上。会存在黑客利用智慧城市信息服务平台攻击用户智能终端的情况。
另外一部分用户将使用个人计算机机通过互联网访问智慧城市信息数据。同样黑客也有机会利用智慧城市信息服务平台攻击用户的个人计算机。
最后,由于智能电视、网络机顶盒的出现,还将会有部分用户通过电视机访问智慧城市的信息数据,黑客也有攻击智能电视机网络机顶盒等电视机接入设备。
智慧城市工程的建设,要应对网络犯罪和黑客攻击,维护移动互联网安全,需要将移动网络、后台服务以及个体终端结合起来,从全局角度提出一个完整的综合性解决方案,这就对普通用户、移动运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时,还需要政府监管部门完善响应的监管体系,加强相关法律法规的建设。
5.信息安全风险评估
信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及其由处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,并提出有针对性的抵御威胁的防护对策和整改措施。进行信息安全风险评估,就是要防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度的保障网络和信息安全提供科学依据。[6]
通过风险评估后,就可以针对信息系统中的高危风险进行风险管理。风险评估目前主要有定量风险分析方法和定性风险分析方法。国内外研究人员又在此基础上提出了层次分析法(AHP),故障树分析法和基于模糊数学的分析方法。另外就是基于科研机构颁布的标准或指南的信息安全风险评估方法,比较传统的方法有BS7799标准、CC标准、ISO13335信息和通信技术安全管理指南和NIST相关标准等。这些标准或指南对信息安全风险评估具有很好的指导作用,且大多数是基于定性的风险评估,对评估者的能力要求高,评估具有很大的主观性。
对于智慧城市工程的信息系统,可以采用多种不同的方法对信息系统进行综合风险评估,将不同风险评估方法得出的结果系统分析,实施全方位、多角度的风险管理。只有通过对信息系统的安全风险评估才能对智慧城市工程存在的风险进行合理、科学和有效的管理。
6.结束语
在建设智慧城市工程的过程中,信息安全风险评估以及风险管理势在必行。在规划设计阶段根据实际投资和项目情况,以国家相关标准为基础进行规划设计,并参照《信息系统安全等级保护基本要求》(GB/T22239-2008)对信息系统进行安全保护。正确识别和评估安全风险要始终贯穿到工程项目建设的每一个环节中。在项目建设初期从多角度、全方位识别风险,不留风险盲区;在项目建设过程中,通过风险评估的结论,将风险降低到可以接受的程度;在后期的使用维护过程中,始终使用PDCA方法,不断的去识别、评估和降低安全风险。动态将风险识别和风险评估方法贯彻到智慧城市工程的每一个阶段,确保实现安全可靠的智慧型政府、智慧型民生和智慧型产业。
参考文献
[1]王奕,费洪晓,蒋蘋.FAHP方法在信息安全风险评估中的研究[J].计算机工程与科学,2006,28(9):4-6.
[2]赵冬梅,刘海峰,刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用,2007,43(1):139-141.
[3]陈光,匡光华.信息安全风险评估的模糊多准则决策方法[J].信息安全域通信保密,2006,7:23-25.
[4]信息安全管理实施指南(ISO17799:2005C).
[5]信息安全风险评估规范(GB/T20984-2007).
【关键词】信息科技风险;金融信息化;风险管控
1.引言
金融信息化指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架重心从物理性空间向信息性空间转变的过程。简而言之,金融信息化就是指将现代信息技术应用于金融领域的过程。随着金融信息化向纵深方向发展,信息安全已成为全球金融机构所面临的重要风险之一。当前金融机构面临的主要信息科技风险包括缺乏有效的信息科技风险管理战略、信息科技治理结构还不够完善、高级管理层重视不够、信息安全管理工作更多强调技术层面以及合规风险。
中国的金融机构都制定了业务发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,也缺乏信息科技风险战略,以指导信息科技风险管控工作。金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情,同样信息科技风险管理也只是信息科技部门的责任,导致了信息科技治理结构不够完善,信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视,但高级管理层很少履行切实的承诺,在资金上给与足够的支持。更多金融机构注重从技术层面加强边界保护,而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作。由于当前在信息科技风险管控方面不能够满足外部监管机构的要求,从而给金融机构带来合规风险。即使金融机构应结合自身业务发展战略,在对信息科技风险评估的基础上,借鉴先进金融机构的良好做法和国际标准基础上,制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设,设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构,以满足信息科技风险管理对治理结构的要求。从业务需求出发,从人员、技术和流程三个角度加强信息科技风险管控程序建设,逐步提高信息科技风险管控能力,满足外部监管要求。还要持续地加强高级管理层、管理层以及一般人员,并包括合作伙伴等人员的信息安全意识教育和培训。
鉴于实业界对金融信息化风险的高度重视,本文从金融信息化风险概念、分类和管控方法等方面对现有文献中的相关理论进行回顾,并对国内外的研究现状进行进一步的对比分析。
2.金融信息化风险的内涵和分类
2.1 金融信息化风险的概念
金融信息化风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险不是一种新的风险类型,而是一种系数型风险,其风险就在于随着信息科技对银行经营与管理的不断渗透,会使已存在的交易、战略、法律、信誉等风险扩大化。金融信息化风险是金融企业风险之一。
2.2 金融信息化风险的来源
金融机构信息系统风险的主要挑战来自于基础技术的复杂性和多变性。具体而言,金融机构信息技术的复杂多变通过以下几种渠道可能导致风险的产生。
(1)电子商业银行的技术创新和客户服务变革的速度比传统的创新更快,例如在新技术和新业务的推出时间周期大大缩短,因此很难预测客户的需求。客户需求波动与服务能力的不一致给商业银行带来了资源浪费或损失顾客的风险。(2)在线上交易中,Web站点要与金融机构后台核心业务系统互联互通。因此,信息系统的架构设计必须较为合理,在操作性和可用性上有良好的体验。对技术的依赖程度增加使得风险更为集中,风险的管控要求更高的技术素养、知识和能力。(3)网络银行与传统银行采用了不同的服务模式,其价值链中引入更多合作伙伴、合作联盟和外包服务商,从而增强了网络银行的操作和安全复杂性。新的服务模式融入了金融机构和非金融机构,但这些非金融机构并不在金融业的监管之列,使得技术风险监管产生了许多复杂的问题,在出现故障或发生问题时,很难界定各自的责任。(4)互联网本身无所不在的特性,使信息访问的各个环节都很难控制,一系列相应技术的应用,如授权管理、客户身份确认技术、信息等级管理制度、稽核跟踪技术等,使得金融机构必须投入更多资源才能确保对信息访问的严格控制,从而在无形中提高了事故发生的可能性。(5)随着移动互联网在商业银行信息系统中的应用(如无线POS、移动银行等),在实现将移动互联网与现有的网络平台互联时,信息更容易受到攻击。(6)伴随着我国各金融机构数据大集中的开展,商业银行各种技术风险也相应集中,对数据大集中的稳定性、高效性和可靠性提出了更高的要求。
2.3 金融信息化风险的分类
按照产生来源,金融机构的信息化风险可划分为内部风险和外部风险。
(1)内部风险
实体安全为主信息安全为辅的后端保护思想主要是指在电子文件产生初期,照搬传统档案保护理论和实践的模式应对电子文件安全的思想,其出发点是围绕实体安全需要指导和实施电子文件安全管理。
1.1后端保护思想产生的根源
20世纪80-90年代是我国电子文件应用的初期,主要应用于办公自动化和计算机辅助档案管理业务中,电子文件发挥的作用主要是纸质文件的副本,所以电子文件安全还不是文档工作的重点,即使开始关注电子文件安全,也是在文档分离体制的框架内进行,因而对电子文件安全管理照搬传统档案保护的安全管理思想也是顺理成章的。
1.2后端保护思想在实践中的表现
后端保护思想的核心是以文件实体材料的安全为主要保护对象,在此思想的指导下,我国实行了一种权宜之计的“双套制”管理模式,即采取一式两样的方式,纸质版文件一套,电子版文件脱机备份一套。试图通过这种“双保险”的方式既保障文件内容的安全,又保留电子文件的特性。与此配套国家相继出台了《CAD电子文件光盘存储归档与档案管理要求第一部分:电子文件归档与档案管理》(GB/T13967-1992)、中华人民共和国档案行业标准《磁性载体档案管理与保护规范》(DA/T15-1995)、《电子文件归档与管理规范》(GB/T18894-2002)(下文简称《规范》)等标准,从这些标准内容可以清晰的反映出电子文件的安全管理是被放在传统保护框架内进行的。如《规范》中的“7.1归档要求文件形成部门或信息管理部门应定期把经过鉴定符合归档条件的电子文件向档案部门移交,并按档案管理要求的格式将其存储到符合保管期限要求的脱机载体上。”“8.1归档电子文件的整理按DA/T22规定的要求进行,8.2归档电子文件以件为单位整理”等,这些规定集中体现了对电子文件的管理是按照《规范》中所指的DA/T22,即《归档文件整理规则》(DA/T22—2000)来实施。虽然在《规范》中的第3条对电子文件的术语和定义做了规定和说明,关注到电子文件与纸质文件的不同特性,但管理方法上并没有实质性的调整。
1.3后端保护思想产生的影响
传统档案管理思想的束缚和固有管理模式的惯性使电子文件管理初期形态存在诸多问题,给电子文件全面的安全管理埋下很多隐患,主要表现在:在管理理念上,夸大了电子文件的不安全性对电子档案代替纸质档案持怀疑甚至是否定态度,阻碍了对电子文件安全性问题的积极探索;在管理实践上,“‘双套制’的存在为电子文件(档案)取得信任设了一道难过的坎。”也给档案管理带来不少新的问题和挑战。诸如电子文件的流失、制作及保管成本的大幅度增加、电子文件方便利用优势的丧失等等。2008年的一个调查显示“在机构大量生成和使用电子文件的前提下,有73.5%机构认为电子文件不可以代替文件独立行使文件的职能”,这种情况至今没有太大改观。由于实体安全为主信息安全为辅的后端保护思想,不是从电子文件本身特性出发量身定制,因而它也不可能从根本上解决电子文件安全管理问题。所以,突破传统观念藩篱,建立符合电子文件安全管理的指导思想成为继续探索的方向。
2前端控制与全程保护的风险管理思想阶段
任何新事物本质的发现,都需要一个从感性到理性,从现象到本质的认识过程。电子文件这一新形态文件的出现,同样需要逐步了解和认识的过程。20世纪90年代末到21世纪最初的几年,档案学界和业界对电子文件安全所进行的理论研究和实践摸索,基本上廓清了电子文件与纸质等传统文件(档案)的不同,为找到真正适合电子文件安全管理的指导思想和恰当的实践方式提供了指引。由此我国的电子文件安全管理进入了实体安全与信息安全并重的风险管理思想阶段。
2.1信息安全是表征电子文件安全性的核心指标
透过对电子文件产生和管理环境特点的研究,可知电子文件与传统纸质文件相区别的基本特征有两个:一是计算机系统是电子文件生成和管理的必要环境;二是电子文件信息以二进制数字代码记录和存储。这两个基本特征应该成为探寻电子文件安全管理指导思想的出发点和电子文件安全管理的重点。计算机系统是信息技术的核心产品,它具有升级换代快,个性化强(不同的用户可按需定制软硬件系统,造成格式多样,信息不兼容等问题),安全漏洞高科技化(操作系统、信息流转通道中存在后门、黑客、病毒等恶意破坏和窃取信息的操纵者等多种风险)等特点,这些特点决定了生存在其中的电子文件形态多样且更新淘汰快,可操作性强,信息安全问题更加隐秘复杂,难以控制。照搬传统档案单一策略的后端的实体保护难以应对电子文件在生成和管理环境中面临的安全问题,只有将安全管理扩展到文件生命周期的全过程中,通过全程保护才能满足电子文件安全的需要。笔者认为上文提到的《规范》中已经界定了有关电子文件特性的内容,可为探求电子文件安全本质问题提供指导。《规范》中术语部分有三个重要概念的界定,即“真实性(authenticity)指对电子文件的内容、结构和背景信息进行鉴定后,确认其与形成时的原始状况一致;完整性(integrity)指电子文件的内容、结构、背景信息和元数据等无缺损;有效性(util-ity)指电子文件应具备的可理解性和可被利用性,包括信息的可识别性、存储系统的可靠性、载体的完好性和兼容性等。”这三个术语揭示了电子文件生成环境和管理环境基本特性的内涵,为确定电子文件安全管理目标提供了方向。真实性、完整性和有效性三个指标的管理目标的实现,必须将电子文件生成系统的安全、文件信息内容及流转过程中的安全、存储载体的安全等纳入到一个完整管理系统中进行全程动态监控和管理。所以,用真实性、完整性和有效性指标表征的信息安全是电子文件安全的核心指标。
2.2前端控制全程保护对电子文件安全管理的必要性
“电子文件的产生使得人们更有必要以比过去大得多的热情关注文件运动的整体性,更积极的把文件‘从生到死’从头到尾的整个运动过程全面而系统地管理起来。”国际档案理事会也指出:“电子文件管理工作范围的第一项原则是‘档案馆应参与产生和保管具有档案价值文件的电子系统的整个生命周期,以便文件真实可靠,且适合保存。’”由此出发,国际档案理事会1997年颁发的《电子文件管理指南》把电子文件生命周期描述为概念阶段、形成阶段和维护阶段。这种有别于传统文件生命周期的描述是充分考虑了电子文件的特性,因而是符合电子文件运动规律的。电子文件生命周期的概念(或曰设计)阶段是至关重要的,它的质量直接关系着电子文件生命周期全过程的有效监控和各种管理功能的实现。文档部门互相协作,科学指导是对概念阶段质量把控,满足生命周期全程保护需求的重要保障。具体做法是:在电子文件管理系统方案设计时文档部门要本着充分贯彻既瞻前又顾后的全局原则和可持续发展理念,指导管理系统具备为电子文件的生成、系统运行的过程控制和升级换代的日常维护等一切生命过程提供安全保障的功能。实际上,无论对纸质文件(档案)的保护还是电子文件(档案)安全管理,前端控制和全程保护都是必需的。根据文件生命周期理论可知,所有形态的文件与档案都是同一内容的不同价值形态,所以只有保障文件(档案)从制作形成到寿命终结的每一个阶段的持续保护,才能最大限度的保护文件(档案)的真实性、完整性和有效性。
2.3风险管理在电子文件安全管理中的引入
前端控制全程保护与风险管理的理念高度契合,二者都是从防患于未然的角度来实施安全管理。风险管理作为安全管理的核心组成部分,不仅是一种安全管理指导理念,同时也是一种安全实践方式。用风险管理的思路来研究和管理电子文件主要是通过防止不良后果的发生或减轻风险事故的危害而达到防患于未然的目的。在档案界有关电子文件风险管理研究的代表性成果主要是冯惠玲带领的课题组出版的《电子文件风险管理》(中国人民大学出版社,2008年)。该成果系统的阐释了电子文件风险管理的基本理论和管理对策。该成果指出:电子文件风险是指“电子文件质量缺损及其引发其他损失的不确定性,是可能产生的预期结果与实际结果的负面差异”,通过对电子文件风险的识别、成因的分析、风险的评估等系统的规划,有效监控风险,应对风险,使电子文件更加安全。在电子文件安全管理中最能体现风险管理的重要性有两个关键问题,一是关于电子文件管理系统功能的设计,二是对“元数据”功能的研究和管理。有关电子文件管理系统功能设计在本文2.2已做了阐述,主要是通过前端控制来贯彻风险管理的思想。至于对“元数据”功能的研究和管理问题,档案界经历了一个从忽视到重视的过程。元数据的重要性主要体现在:“元数据”是电子文件身份和内容的证明和封装,也可以表达为“元数据加上文件内容就构成了有证据作用的文件”。我国自电子文件产生以来,元数据的管理是比较最薄弱的环节。无论是“双套制”,还是专门的文档管理系统,一直存在“元数据”功能的残缺和管理缺位的问题,这也是长期以来电子文件的安全性和档案性不被信赖的重要原因。因而在电子文件安全管理过程中坚持贯彻风险管理思想的指导和实践的应用是非常必要的。我国应用风险管理指导思想比较明确和有成效的实践是电子文件备份制度的建立和推广。2009年国家档案局局长杨冬权在全国档案馆工作会议上提出:“为确保国家档案安全,各级国家档案馆要通过建立异地备份库等形式,对本级重要档案及电子文件实行异地备份,对重要的电子文件还要实行异质备份,确保电子文件的长期可读,确保档案信息资源的绝对安全。”同时要求这项工作要在2012年底前完成。备份的方式有两种模式可供选择:一种是主要针对政府和企事业单位的电子文件,通过建立专有网站或是开发应用软件对重要文件进行集中保存和统一备份;另一种是馆际互备,这是目前选择备份的主要方式。据统计,截止到2012年全国已有47对副省级市以上国家档案馆达成协议,互为档案异地备份馆。此外浙江省根据国家要求,结合本省情况,在2013年颁发了《浙江省档案登记备份工作规范》(浙档发〔2013〕23号),包含了传统和电子文件所有档案的备份工作要求,把风险管理贯穿到所有形态档案管理过程中。国家档案局在2012年颁发了《电子档案移交与接收办法》,开始推进电子档案的集中保管。电子档案移交的前提是电子文件必须完整安全的归档,所以随着该办法的实施,对电子文件安全性全面认识和科学管理将起到实质性的推动作用,前端控制全程保护的风险管理指导思想的贯彻也将更加有效。
3纳入国家信息安全战略的安全管理思想阶段
网络时代,乃至扑面而来的大数据时代,信息安全已不断上升为国家安全的重要组成部分。世界范围的信息安全风险日益复杂,日益严峻,从国家整体和高度进行顶层设计的信息安全战略成为当今信息安全管理指导思想的主流。国家战略的目的是从国家意志的高度出发,统筹协调各个领域的安全问题,制定国家宏观规划和重大政策,不断增强国家安全保障能力。电子文件是国家信息安全的核心资源,为了维护国家整体信息安全,寻求宏观层面的政策、标准等管理力量的支持,将电子文件安全管理纳入到国家信息安全战略进行顶层设计和指导变得日益重要。
3.1国家信息安全战略思想的提出及其内涵
随着电子文件实践的深入,各种安全管理问题陆续展现。世界范围内对电子文件管理共性的认识和管理策略不断趋于一致,特别是一些信息化整体水平较高的国家,经历了由分布式管理到集中式管理的探索过程,在21世纪最初几年“纷纷以战略动议、政策引导、标准规范等形式提出体现国家意志和利益的重大举措,”进入“以顶层设计带动总体规划,以国家战略带动全面发展”的时期。我国在2006年以冯惠玲为代表的理论界率先提出“加强顶层设计,制定和实施我国电子文件管理的国家战略已经迫在眉睫。”随后她带领团队进行了比较系统的研究,其成果集中体现在《电子文件管理国家战略》一书中。“电子文件管理国家战略,就是从国家层面和战略视角对电子文件管理全局性、基本性、长期性问题所进行的目标定位、统筹规划和基本制度安排。是一个国家对电子文件管理工作的基本态度和总体思路,其表现是法规、政策、标准、规划、项目等体现国家意志、带有全局性的关于电子文件管理的国家行为。”由于我国实行的文档分离管理模式,以及各自为政的电子文件分散管理现状等,使得电子文件失真失控,信息孤岛等问题严重。解决这些问题的关键在于引入系统论思想,将顶层设计思想应用于电子文件安全管理中,“摒弃单一部门,单一技术方法的做法,从国家安全的高度认识电子文件安全的重要性,协同多部门多途径维护档案的安全,”构建起基于立体的档案保护环境的档案安全保障体系。
3.2国家信息安全战略的推进电子文件国家信息安全战略实现的途径主要从技术、国家政策、标准规范等几个方面进行推进。
3.2.1技术层面的国家战略。信息安全关系到国家重大安全的关键因素,特别是随着信息技术的进步,掌握先进技术开发与应用主动权的发达国家,成为垄断和控制发展中国家信息安全的最大威胁者。美国微软公司对全球电脑操作系统的掌控,以及不断爆出的信息窃密事件,诸如斯诺登事件等,不断敲响信息安全的警钟。信息安全领域中高科技的窃密手段无孔不入,上到国家,下至个人,无处不在的第三只眼睛的窥探,隐私难保,安全岌岌可危。主动进行风险监控、防范是必要的,但更有效的办法是推动国家信息技术自主知识产权产品的开发和应用。“从国家安全的高度考虑,国家已开始建设‘自主、安全、可控的IT系统’,把信息安全掌握在自己手中,才能确保国家网络安全和信息安全。”电子文件的管理对信息技术具有高度的依赖性,由于技术原因造成的安全问题也是最为突出的。我国在2009年4月9日成立了版式联盟,该联盟由中国电子工业标准化技术协会发起,联合我国版式技术应用领域产品与服务的制造者、使用者、政府和中介组织版式技术等部门,对广泛涉及档案管理、数字出版、数字办公、数字印刷、信息等领域的信息进行统一规范,为信息的真实性、完整性、长期可读性提供良好的技术环境。
3.2.2政策层面的国家战略。政策以其权威性、导向性、探索性、灵活性的特点可以为标准的制定与实施提供引导和支持。我国政策层面的国家战略指导思想主要包括国家层面的五年规划、信息行业的发展规划、文档部门的发展规划等自上而下编制和推行的宏观层面上的方针政策。2000年后我国提出建设国家信息安全保障体系,2003年国家“两办”颁发《国家信息化领导小组关于加强信息安全保障工作的意见》,该意见明确了我国信息安全保障工作的指导方针、基本原则和主要任务,并确立了用五年左右的时间基本建成国家信息安全保障体系的工作目标。同时将等级保护、风险评估、应急响应和灾难恢复作为我国信息安全保障过程中的四个重要环节。与电子文件信息安全密切相关的国家标准对电子文件安全管理有着更直接的指导价值。文档部门对这些标准的解读与应用要重点的关注和研究。据统计,信息行业“在1995-2008年期间的信息安全国家标准共83项。”并且在这期间更新标准高达60%。由此可见我国在国家层面上对信息安全是非常重视的,对信息技术发展的动态跟进也比较及时,这为电子文件安全管理标准的研制和推广提供了有力的指导。近年来国家档案局也开始重视顶层政策的设计,不断向国家安全战略靠拢,最为显著的成果是在2010年5月12日,国家档案局局长杨冬权在全国档案安全体系建设工作会议上,提出“要树立‘档案安全事关党和国家根本利益的思想’,要树立‘安全第一’的思想,要树立‘安全问题人人有责’的思想,与建立覆盖人民群众的档案资源体系和方便人民群众的档案利用体系相呼应,建立起确保档案安全保密的档案安全体系。”国家信息安全战略是一个系统大工程,关系到体制、技术、法规等多层面的设计和协调,在推进过程中所面临的难题将是复杂多样的,因而在这个过程中,国家层面要关照到所有的信息领域,真正做到统筹兼顾,确保推行的实效,信息资源(包括产生、流转、保存等)行业也要肩负起国家安全职责,为建立起强大的国家信息安全保障体系做出应有的贡献。
关 键 词: 商业银行;信息科技;风险管理
中图分类号: F830.33 文献标识码:A 文章编号:1006-3544(2013)05-0031-02
一、商业银行信息科技风险
在信息技术与银行业务深度融合的今天,信息科技风险事件往往涉及范围广、客户多、金额大,在给银行造成经济损失的同时,也会带来很大的声誉损失。银监会前主席刘明康曾表示:“如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。”因此,可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提, 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。
根据中国银监会的《商业银行信息科技风险管理指引》,信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中,信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性:(1)风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高。(2)潜伏性、偶发性和不确定性突出。比如,通过充分风险论证的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大, 系统的脆弱性就会逐步暴露;一个具有很高安全性的电子银行,随着病毒的不断变种,黑客技术的提高,新的安全问题就会出现。(3)信息科技风险一般不直接造成经济损失,其造成的间接损失难以计量且极可能引发声誉风险。(4)影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下,信息科技风险也趋于集中,成为惟一能使银行瞬间瘫痪的风险。
从国内的监管导向看,笔者认为信息科技风险管理有两个重要的目标:一是保证银行业务的稳定和连续;二是保护客户信息安全。如果不能实现这两个目标,则可能引发直接或间接的经济损失以及声誉风险和法律风险。
二、信息科技风险的影响因素
从前述信息科技风险管理的两个目标出发,可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分,等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据;外部人员运用技术手段侵入系统盗用客户信息;内外勾结盗用客户信息、外包服务商泄密等等。
以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,吴博(2010)将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素,见表2。
当然,上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量,其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。
从实践来看,近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时,管理、运行维护跟不上的矛盾也日渐突出,“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明,近年来发生的信息科技风险事件中,多数事件发生都源于制度不健全、流程不完善、落实不到位,很少有纯粹技术原因引发的事件。因此,可以说管理到位是防范信息科技风险的关键。
三、信息科技风险管理措施
信息科技风险管理应贯穿于信息科技工作的全流程,涉及到信息科技风险管理的“三道防线”,需要由信息科技部门和各业务部门共同完成。具体管理措施如下:
1. 完善风险治理架构,各司其职。构建和完善信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计,从三个不同角度、不同纬度,对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段,风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中,实现风险管理的前移。
2. 健全管理制度体系,重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始,要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程,并制定回退机制或应急预案以应对意外情况。同时,要积极研究各类信息安全风险案例,总结归纳新的风险点,有针对性地完善制度。要建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
3. 合理规划系统资源, 未雨绸缪。(1) 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求,合理安排系统升级、版本切换等工作。(2)横向匹配系统资源。在系统资源短期内不变的情况下,合理分配资源,通过系统分级,将资源优先分配给等级高的系统以保障重要系统的稳健运行。
4. 密切监测系统运行,防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等,都必须纳入实时监控范围,以确保在第一时间发现问题和风险点,及时采取应对措施,防患于未然。