時間:2022-03-03 17:50:33
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全風險管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1 引言
人類社會在不斷發展,信息化逐漸融入人們生活。信息資源對于現代企業來講,是每時每刻都存在的運轉載體,各種重要數據、企業的知識產權等這些都是企業的內部信息,除這些信息外,其他相關方面的數據也被企業所利用,例如合作伙伴、客戶、員工等資料,尤其是一些服務性企業,比如網商、快遞公司、金融公司、通信公司、航空公司等,這些企業更需要以信息系統作為支撐,信息資源成為企業不可或缺的重要組成部分。
2 新形勢下我國信息安全面臨的問題
2.1 風險意識在主觀上的淡薄
在我國信息安全上面,思想認識面臨高風險的形勢,大部分企業的管理高層對信息資產的認識嚴重不足。或者局限在IT的安全方面,沒有合理的安全觀念引導企業在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,規范安全風險和安全法律法規對員工的培訓缺乏,很多信息安全事故的發生都是因為安全意識的薄弱造成的。
2.2 缺乏信息安全管理系統的思想
大部分企業仍是將傳統的管理方法用在安全管理模式中,這種出現問題再去想彌補的方法是靜態的管理,不能在提前進行信息安全風險評估上做更有效的信息系統管理。
2.3 信息安全不僅僅是技術部門的事
多數企業認為信息安全的責任和義務都是IT部門的,造成信息技術部門無法和企業內部其他部門互動,進而形成孤立的局面。但是,信息安全的實現需要各個部門的全員行動,特別是規范標準以及規章制度的貫徹落實,更牽涉到企業的每一名員工,全員行動的要求更是不能缺少。
2.4 存在重視安全技術而輕視安全管理的情況
現今為止,仍有很多企業僅僅依賴產品安全,認為信息安全就是信息產品安全。一般企業現在都會采用計算機和網絡技術來構建企業的信息系統,但是沒有把相應的管理措施開展到位。信息安全問題應該加強做好管理工作,不能單從技術方面著手。
2.5 現代管理手段與理論欠缺
日益龐大的現代化信息規模與越來越復雜的網絡結構,讓現有的風險管理手段和理論都不足以讓企業信息安全得到完全的滿足,企業應該結合實際情況和需要,把國際上優異的信息安全風險管理理論以及先進的最佳實踐用作指導,以此達到信息安全的目的。
3 企業信息安全風險管理的框架探究
企業信息安全風險管理的框架包括兩個部分,一是企業信息安全風險管理的過程,二是企業信息安全風險管理的實施。其中,實施是過程的保障,整合各種資源要通過實施才能達到;過程是實施的前提,對過程的清楚有利于建立企業信息安全風險管理的統一理解,以此逐漸實現信息安全風險管理。企業信息安全風險管理包括風險分析、風險計劃、風險識別、風險監督、計劃實施、風險改進六個動態過程。
信息安全風險管理是動態、持續性過程,信息安全通過潛在的風險識別、分析,同時進行計劃、實施、監督、改善,然后再進入到下一個循環里,通過持續不斷的循環活動進行有計劃、持續的控制,不斷改進。
參照戴明的PDCA質量管理模式,把安全項目實施劃分為四個階段,分別是準備和策劃、執行和部署、監控和檢查、評價和改進,實施階段有幾個工作步驟:(1)準備和策劃工作階段,首先調研信息安全風險管理現狀,接著進行風險評估,然后編制信息安全風險管理方案;(2)執行和部署工作階段,進行部署安排,按計劃執行,接著進行安全培訓;(3)監控和檢查工作階段,做好企業安全現狀檢查,預測未來的變化;(4)評價和改進工作階段,制定改善措施,響應緊急事件。
4 企業信息安全風險管理的實施
在風險管理中人、過程、基礎結構和實施是四大影響風險管理能力的關鍵因素,企業的信息安全風險管理能力同時也受著這四個因素制約,所以企業信息安全管理中十分重要的就是人通過各類資源和企業基礎結構達到信息安全風險管理過程的實施活動。
企業在開始嘗試安全風險管理實施之前,很重要的一點是應該檢驗現有安全風險管理的完善度。假如企業在安全風險管理上沒有規范的流程和正式的策略,就會出現框架的實施非常艱難。換句話說讓企業有一些正式的策略和明確的指導,將避免大多數員工都在工作中不知所措。假如在安全風險管理上發現企業相對不夠成熟,則可以采取試點的形式,把安全風險管理實施到單個業務單元中,直到通過試運行在框架中顯示有效以后,再考慮將其他業務單元導入至整個企業框架中。
框架實踐需要以最優實踐的經驗為基準,必須有利于企業確定安全現狀,同時按照需要的安全方向進行改進,企業的安全風險管理能力通過不斷的提高,就能逐漸努力向著安全的目標前進。
5 結束語
進入信息化時代,企業已經把信息系統的高效、互聯、精確的特征當作賴以生存和發展的必要條件。因此所伴隨產生的信息安全風險就成了企業關注的重點問題。在此情況之下,企業建立信息安全風險管理機制,利用科學的方法和手段控制各種風險的發生顯得尤為重要。動態循環是企業信息安全風險管理的一個過程,在風險評估的前提下,要落實對風險控制措施。同時對過程的實施要進行有效的控制和監督,這就需要一個明確清晰并且具有可操作性的信息安全風險框架來指導。還有需要探究的工作在信息安全風險管理領域里,但愿本文能引來更多這一領域探究,從而做出保障企業信息安全的貢獻。
參考文獻
[1] 陳慧勤.企業信息安全風險管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企業IT風險管理的體系構建與實現路徑[J].科技管理研究,2014,34(2):36-55.
[3] 葉銘.企業動態信息安全風險控制系統的研究[J].2012,08(11):81-85.
關鍵詞:信息系統安全 信息系統管理 計算機尖端科技
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2016)11-0209-01
目前,世界各國經濟都在迅速發展,經濟全球化的進程逐漸加快,伴隨著經濟的推進,尖端科技迅猛發展。因此,電腦逐漸走進了各家各戶,移動互聯正在改變人們的生活方式。計算機網絡技術的優越性使得人們對計算機網絡愈來愈“信賴”。然而隨之產生的便是用戶的網絡信息泄露事件。計算機網絡安全問題已經受到了更多人的重視。所以,對信息系統安全風險管理方法的研究有著鮮明的現實意義。
1 信息系統安全風險管理方法研究
隨著計算機網絡技術的不突破何如普及,極大的方便著人們的生活和學習,而且正在慢慢的改變人們的生活方式。目前,計算機網絡技術已經被應用到軍事科技當中,中增強著我國國防力量。使得未來戰爭真正的實現“兵不血刃”。與此同時,信息系統的安全問題會“威脅”著國家的經濟建設,和國防建設。所以這一切都表明了信息系統安全問題是一個國家安全建設的基礎,是國家社會發展和建設的保障。而信息系統的安全成為了信息化革命的基本。甚至可以說,信息系統安全問題關系著國家安全,民族發展是全人民的的頭等大事。信息系統安全計劃建設是了一個國家和民族的戰略性目標,已經是不爭的事實。
2 信息系統的信息安全現狀
當今社會信息系統安全問題不容樂觀,信息系統面臨著嚴峻的安全風險。根據調查來看,每年的重大信息系統安全事件正在逐年增加。信息系統安全問題主要包含以下兩大方面:一是由于現今科技技術的不完善性和局限性,使得信息系統在構建之初便存在著漏洞,導致信息系統“脆弱”。二是現實社會中的各種經濟斗爭和利益斗爭,使得原本的信息系統漏洞被“開發利用”。計算機網絡技術是一個復雜的大系統,它是由眾多的代碼、硬件、軟件、協議所共同組成。在計算機網絡技術的不完善和設計人員思想局限性的前提下,使得信息安全系統在構建的時候會出現不可避免的漏洞。例如,計算機網絡中一個操作系統需要幾千幾萬的代碼組成,甚至更多。為滿足用戶的各種需要,設計的技術復雜性逐漸增多。據調查在繁瑣的計算機網絡設計時,很可能一千行代碼中便會存在一個錯誤。因此,信息系統的漏洞越來越多,越來越嚴重。另一方面,“黑客”作為一種“文化現象”一直伴隨著計算機網絡技術的發展而發展。并且隨著人們之間的利益沖突不斷加劇,使得黑客的惡意攻擊事件愈演愈劣。此外,根據調查顯示,在攻擊技術復雜的計算機網絡時,黑客相對應需要的知識卻越來越少[1]。
3 信息系統風險管理的目的和作用
信息系統安全是目前全世界所面臨的重大問題。雖然,信息安全問題具有著普遍性,但是同時因為它的特殊性,使得我們不得不重視。信息系統的安全管理已經不再是“0”和“1”之間的問題。我們不斷的探索,為了找到一個更好的信息系統安全管理方法。我們希望新的信息系統安全管理方法可以改變現今網絡安全的現狀,并且讓更多的人可以更好的享受計算機網絡技術帶來的方便。計算機網絡在人們的生活和學習中有著重要的的作用,在國家建設上有著重要的地位,信息系統的安全管理的研究,我們旨在便利更多的人民群眾,更好的建設國家,為祖國的建設作出貢獻。我們要做到防患于未然,讓國家和人民免于信息系統安全問題的威脅。由此我們可以得出這樣的結論:風險管理是信息系統安全管理方法的新模式,而最佳的信息系統安全保障方法就是對信息系統進行風險管理。
4 信息系統風險管理的趨勢
縱觀世界,信息系統安全風險管理的經歷了技術,技術與管理相結合的階段。當前,在信息安全保障意識的前提下,還在不斷的深入完善。如何將傳統的風險管理理論和實際相結合并更好的應用于信息安全管理領域,是全世界面臨的一個尚未解決的問題。
5 信息安全風險管理理論基礎
信息安全風險管理研究的理論基礎大的方面是國家規定的計算機網絡技術管理法則,和現今的計算機網絡技術。小的方面是現今信息系統所具有的保密性、完整性、可用性、脆弱性。以及網絡信息系統面臨的威脅[2]。
6 網絡信息系統風險管理的ISISRM管理方法
6.1 ISISRM方法的基本思想
ISISRM方法體現的是“定制”思想,它具有較強的開放性,在識別風險因素并進行解決的同時,它不會拘泥于單一的解決方法。它可以使風險管理過程和用戶使用目的緊密集合結合在一起,并且在風險評估時采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經濟管理學的知識,它將不再只解決信息安全問題,而是從用戶的角度上來說變成了一種“投資”行為[3]。
6.2 ISISRM方法的管理周期
按照ISISRM的設計邏輯,ISISRM的管理周期分為風險管理準備階段、信息安全風險因素識別階段、信息安全風險分析和評估階段、信息系統安全保障分析階段、信息系統安全決策階段、信息安全風險動態監控階段。
7 結語
計算機網絡技術迅速發展,加速了社會信息化的進程,使得人文建設與信息系統關系日益“親密”,但是隨之而來的信息安全問題值得引起我們的重視,并讓我們花費人力和物力進行解決,它時刻的威脅著我們社會主義人文建設。所以我們應該運用ISISRM這樣的風險安全方法進行信息系統安全的維護和改善。
參考文獻
[1]孫鵬鵬.信息安全風險評估系統的研究與開發[D].北京交通大學,2007.
關鍵詞:安全風險管理,風險,弱點,評估,管理,信息安全
[概述]: 隨著企業網絡的不斷擴大,越來越多的安全威脅在影響著企業的安全狀況,近兩年,熊貓燒香、conficter蠕蟲,都給企業帶來了大量的安全損失,然而,解決企業的信息安全問題,不能單獨從某一個方面入手,最好的解決方案應該是從整體上降低信息安全風險。
國際上傳統的風險管理流程較為概略,在中國特有的網絡環境中也比較缺乏可實施性,本文將會針對中國IT環境的建設過程,遵循一定信息安全系統建設規律,考慮到各個信息安全產品之間的整合和聯動,形成一個完善的動態信息安全風險管理體系,讓國際標準在中國的IT環境中得以實現。
1.IT系統信息安全建設的現狀
傳統的信息安全建設網網局限于防御系統的建設,企業不斷的在投入資金,購買各種各樣的硬件設備和軟件系統,主要的功能集中在抵御各類安全威脅,其中包括:終端防病毒系統、終端安全管理系統、防火墻、入侵防御設備、Web防護類設備,入侵檢測等等。采用這樣的信息安全產品能夠取得一些效果,但是往往造成信息安全系統比較被動,不能夠主動的發現安全風險,及時的降低安全風險。
(1)經常采用的信息安全產品我們在信息安全建設的初級階段,經常采購的信息安全產品包括:
l防病毒:在終端部署的企業防病毒產品,檢測和查殺各類病毒;
l防火墻(Firewall):訪問控制設備,幫助建立基本的企業網絡安全邊界;
lWeb Cache設備:部署在外部網絡,實現對網絡訪問的緩存,提升訪問速度;
l負載均衡:對網絡訪問性能進行調控,保證網絡負載均衡;
l郵件安全網關:實時檢測和過濾各類病毒郵件及垃圾郵件;
l入侵檢測和防御系統:檢測網絡數據,對網絡內部的各類攻擊行為進行報警;
部署的安全設備能夠起到一定的安全防護功能,但是隨著安全威脅的不斷變化和發展,現有的安全機制已經難以滿足目前的信息安全需求,我們需要主動地控制安全風險,才能夠在不斷復雜的安全環境中確保企業網絡的安全。。
(2)普遍意義上的安全風險管理信息安全風險管理的本質,可以看作是動態地對信息安全風險的管理,即要實現對信息和信息系統的風險進行有效評估、分析、控制和管理。在ISO標準當中,已經給出了一個非常經典的安全風險模型,如下圖:
也就是說,只有企業具有了信息化的核心資產(比如有很重要的數據保存在服務器上),這些資產存在弱點和漏洞(比如微軟操作系統的漏洞),又存在被損害的可能(比如病毒、黑客攻擊等等),才可能給企業造成損失。因此,企業的安全風險和這三個方面相關,企業也只有同時管理好這三個方面,才可能真正的確保網絡安全。
而傳統的安全產品(如前所述),只是去抵御安全威脅,卻忽視了資產的重要性和對漏洞的管理。。更加不可能實現多安全風險的準確評估和動態管理。
(3)風險管理流程既然要降低安全風險,我們就需要一個成熟的流程來對信息安全風險進行管理和控制,一般的安全風險管理流程如下:
l識別風險:準確識別網絡中存在的安全風險;
l分析風險:通過定性或者定量的方法確定現存的安全風險是否需要消除;
l消除風險:通過有效的手段降低安全風險;
l監控風險:監控安全風險的變化,做到對風險的動態管理。。
(4)安全風險管理的問題傳統的安全產品,如IDS,防病毒系統等只是在被動的抵御或檢測安全威脅,缺乏主動的防護措施和手段;而要實現主動的信息安全管理,則需要對企業整體的安全風險進行監控和管理,但在執行過程中,存在如下問題:
l沒有技術手段實現對安全風險的全面的監控;
l消除信息安全風險的手段不明確;
l缺乏詳細的可實施的信息安全風險管理流程,能夠結合所有的信息安全產品,從而實現全面的安全風險管理。
2.動態安全風險管理體系
基于國際信息安全標準,結合中國IT環境的特點,我們應該首先明確安全風險的三個重要方面及控制手段,有計劃有步驟的加強整個信息安全體系的建設,才有可能最終實現完善的風險管理系統。
(1)可實施的安全風險管理理論根據安全風險的特點和三個關鍵要素,我們可以針對信息安全風險形成更具可實施性的安全風險管理方法論,其核心思路是根據企業的基礎環境,全面準確的評估安全風險,并根據安全風險的狀況結合系統、網絡層面的安全防御手段有效抵御安全威脅,最終主動的降低整體安全風險。
要實現對安全風險的管理和控制,需要實現完整的風險管理流程:
l發現安全風險:通過有效的手段,確定存在安全風險的資產和區域,定位安全風險存在的區域;
l評估安全風險:準確高效的評估安全風險,了解安全風險的大小和實質;
l強制措施降低風險:通過管理或強制等安全手段,主動地降低安全風險;
l安全防御:通過各類系統、網絡安全設備,防御各類安全威脅;
l修補:主動修補存在的各類漏洞,全面降低安全風險。
綜上所述,通過完整的安全風險管理流程,對整個網絡的安全風險實現全面的管理和控制,5個步驟缺一不可,同時,風險管理流程根據企業的具體情況,可以有不同的實現方式,最終實現:
l始終遵守確定的安全政策;
l基于風險管理,整合網內現有的安全防護產品;
l通過全面的實時防護產品更好的檢測并阻止安全威脅;
(2)實現安全風險管理的詳細步驟:1——確立安全標準和方針;
2——統計信息資產;
3——整合并確認資產的商業價值;
4——檢測資產存在的安全漏洞;
5——了解存在的潛在威脅;
6——分析存在的安全風險;
7——通過安全防御產品實時阻斷安全威脅;
8——強制安全策略并應用補救措施;
9——評估安全效果和影響;
10——針對已有策略進行比對。
綜上所述,傳統的安全產品(防病毒、防火墻等),只是去抵御安全威脅,卻忽視了對整體安全風險的考慮,而整合的安全風險管理體系考慮到了可能影響企業安全風險的三個關鍵要素,并且可以結合現有的安全產品,通過完善安全風險管理流程幫助企業實時的控制整體安全風險,真正的解決安全問題。
(3)安全風險管理體系的建設步驟要實現完善的安全風險管理,我們需要有計劃有步驟的完善自身的安全風險管理體系,并且制定相應的安全策略,做到有的放矢。企業在構建安全風險管理體系的時候,有一個基本次序:
l 首先,構建完善的終端安全體系,因為終端安全是基礎,任何安全威脅最終影響到的都是終端系統,同時,終端面對的病毒等威脅數量最多;
l 其次,是構建完善的網絡防護體系,如防火墻、入侵防護系統、垃圾郵件過濾系統等,從網絡層面第一時間抵御安全威脅,同時,還要防御各類終端難以防御的網絡攻擊行為;
l 最后,當已經建立了高效的防護體系之后,需要建立全面的資產管理和風險管理體系,整合現有的安全設備和手段,形成成熟完備的動態安全風險管理體系。
[參考文獻]:
BS7799、ISO27001、
【關鍵詞】信息安全 體系建設
在現有的社會背景下,互聯網以及網絡通信技術的完善,使得信息傳播的速度變得更加的迅速。由于現在信息技術的廣泛使用,在企業的運行模式中,信息技術的融合面積也變得更加的廣闊,對于信息的依賴程度也日漸加重,信息技術在企業中的滲透變得更加的深入和徹底,在企業正常運作的方方面面中進行了有效的融合。
在企業中使用信息技術,相對應信息技術自身的安全體系要求就變得更加的細致,在信息技術使用過程中安全體系的建設是必不可少的一項重要內容。使用信息安全體系建設來有效的解決信息安全的問題,在今后企業的信息使用中有十分重要的實現價值。針對信息安全體系的構建應該進行以下的分析:
按照現有的信息安全狀況進行信息安全體系建設,就是將信息安全的構架進行模塊之間相互構建和連接,將它們形成不可分割的整體,使它們共同的結合成為信息安全體系。信息安全體系自身帶有系統性,完整性以及全面性的信息安全保障能力,這種整合之后的能力比之前獨立的信息安全模塊能力之和要具有更多的優勢,在現有的信息安全體系建設中,會將企業安全技術,企業安全風險管理,企業安全組織以及運行模式進行安全體系的融合,這種信息安全體系的構建才能符合現在企業的使用要求。
一、信息安全體系信息安全策略的制定
在信息安全體系的構建中,信息安全策略的實施就是信息安全體系的核心內容,這種核心內容的展現就是將企業的信息安全模式進行針對性保護的規劃。按照企業保護形式的不同進行細致的分類以及匯總。在信息安全體系的構建中,信息安全策略的實施就是將整體信息安全進行正面的引導,將信息安全體系能夠較好的為企業進行服務,將信息安全體系各個方面進行可行性技術的管理,在模塊的運行模式中進行有效的保障,并且,信息安全策略在使用的過程中,也包含著信息安全體系構建所有細小分支的內容,這些內容想要全面的進行展現,就應該采用一些方法和技術進行有效的管理,以此來保證信息安全系統整體運行模式的準確性和完備性。
二、信息安全體系安全風險管理體系的制定
在信息安全體系實施過程中,針對于信息安全風險管理的設置,就是按照企業風險為主線,以信息安全相關標準以及需求為策略,將主線與策略進行結合,就是信息安全體系安全風險管理的方案制定標準。在信息安全風險管理體系的制定過程中,首先,應該對企業自身的保護系統進行目標性的確定,將目標進行合理有效的規劃;然后,在信息安全體系安全風險管理實施的過程中,對企業自身的風險系數進行可控性的評估,對于現在的風險以及將來的風險進行系數的控制,為企業今后的發展奠定平穩的基礎;最后,在信息安全體系安全風險管理體系的制定中,應該將所有的體系規劃進行相關專業人員的審核以及評估,在評估的過程中,對企業進行全面的分析,保證安全風險管理體系制定可行性。由于企業安全風險管理體系是貫穿企業全過程的,對于該管理體系的制定,不僅僅應該進行企業的評估,還應該對現有的社會狀況進行有效的結合,以便企業在社會競爭狀況中有穩固的成長。
三、信息安全體系安全技術體系的構建
在信息安全體系中,安全技術體系的構建就是信息安全體系構建的基礎,這種基礎性的建設是按照企業安全策略以及安全風險管理進行針對性指導的,這種體系的構建,應該按照現有的狀況進行多方面的研究與分析,只有這樣才能將企業的各個部門進行結合,將部門的問題進行技術上的落實,共同建立企業各個部門相互協同發展的信息安全體系。這種安全技術體系的良好構建,可以將企業的信息系統進行全方位,多角度,整體性的安全掌控,以保證企業的正常信息安全體系的運轉。
四、信息安全體系安全組織與管理體系的構建
在信息安全體系安全組織與管理體系的構建中,應該將安全組織與管理進行有效的設計,這種安全組織與管理體系的構建,就是企業信息安全體系發揮作用的最關鍵的后盾保障,這種保障的基礎就是安全管理體系的科學設計。
[關鍵詞]巴塞爾新資本協議;操作風險管 ;IS027001;信息資產
[中圖分類號]F831 [文獻標識碼]A [文章編號]1006-5024(2009)04-0167-04
[作者簡介]董紅,北京航空航天大學經濟管理學院博士生,研究方向為風險管理與決策;(北京100083)
邱菀華,中國光大銀行總行風險管理部教授,博士生導師,研究方向為決策、風險與項目管理;
林直友,中國光大銀行總行風險管理部業務經理、碩士,研究方向為金融風險管理。(北京100045)
金融業的全面開放和金融服務的管制放松,以及高端化的信息技術,使銀行的業務、產品日益多元化,這直接導致其面臨的風險更為復雜和多樣。國內外銀行業重大違規事件及美國金融海嘯影響的迅速擴大,迫切需要國內外金融監管部門和從業機構反思對操作風險的管理和防范,加強合規管理。2004年的巴塞爾新資本協議,將操作風險正式納入資本監管范圍,并進一步提出了明確的監管資本要求。2007年我國銀監會再次對其進行解讀和說明。然而,由于操作風險情況復雜,與銀行自身的規模、經驗、業務特征等密切相關,具有和動態變化等特點。因此,探索適合銀行不同類別操作風險特點的管理和計量方法,是一項十分重要而緊迫的課題。
一、操作風險管理的困惑與問題
到目前為止,有關操作風險的定義、管理及計量問題一直困擾著各家商業銀行和監管機構,國內外銀行也未對它形成統一的認識。本文采用至今已被大多數銀行所接受的巴塞爾銀行監管委員會有關操作風險的定義,即由于不完善或有問題的內部程序、人員和系統或因外部事件導致損失的風險。新資本協議從風險監管的角度將操作風險事件劃分為七種類型,包括內部欺詐,外部欺詐,雇員活動和工作場所的安全問題,客戶、產品和業務活動的安全問題,銀行維系經營的實物資產損壞,業務中斷和系統故障,執行、交付和過程管理等。就其風險成因可分為人員、流程、系統和外部事件四大類。此外,按產品線將商業銀行的業務劃分為公司金融、交易和銷售、零售銀行業務、商業銀行業務、支付和結算、業務、資產管理和零售經紀類,并對每一類產品分別規定不同的操作風險資本要求系數,籍以用標準法計算操作風險總體資本要求。
巴塞爾委員會給出了管理操作風險的十大原則,但這些原則都是從宏觀角度要求商業銀行應該建立什么
樣的組織、制度和流程,并未給出管理操作風險的詳細方法和手段。實際工作中,我們發現信息資產是商業銀行極其重要的一類資產,在信息時代,一個機構要利用其擁有的資產,特別是信息資產來完成其使命,因此,對信息資產的管理關系到該機構能否完成其使命的大事。然而,由于信息資產對IT系統的依賴性很強,絕大部分具有無形化、易變化、易傳播的特點,且風險存在于其產生、傳遞、使用和銷毀等各個環節,與一般銀行產品相比,具有很大的獨特性。所以,我們建議將此類資產作為商業銀行一類獨特的產品線來進行管理。在實踐中,我們發現ISO27001為有效管理組織的信息資產、確保信息安全提出了一整套要求和最佳實踐指南。它從11個方面對信息資產的安全管理提出要求,其管理思想完全符合操作風險的管理原則,并且是在其原則基礎上的細化,如高層管理的支持和承諾、資源管理、風險評估、內部審核、信息的溝通、有效性測量和改進,等等。可見,ISO27001不僅適用于多數IT軟硬件開發等企業,同時也適用于銀行、保險等信息化程度較高的金融行業。
因此,我們希望能夠使用ISO27001的管理標準來細化商業銀行信息資產類產品的風險管理,進而按照操作風險管理的總體原則與其他類產品進行融合,最終實現在總體框架要求下對信息資產類操作風險的細化管理。
二、ISO27001簡介
ISO/IEC27001源自英國標準協會制定的BS7799,包括兩部分內容:BS7799―1信息安全管理實施細則和BS7799-2信息安全管理體系規范。其中,BS7799-1被ISO組織吸納為ISO/IEC17799,BS7799-2升版并轉換為國際標準ISO/IEC2700I,它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規范,其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出組織應遵循的風險評估標準。
信息是一種資產,就像其他重要的業務資產一樣,對組織是不可或缺的,需要妥善保護。根據ISO/IEC27001的定義,資產是對組織有價值的任何東西。它能以多種形式存在,如有形資產(硬件、軟件、數據文件、人員等)、無形資產(聲譽、品牌、客戶關系等)、輔助資產(信息資產的制造、存儲、傳輸、處理、銷毀等)。信息安全就是指保持這些資產的機密性、完整性和可用性。另外,也可包括諸如真實性、可核查性、不可否認性和可靠性等。
1 機密性――信息具有不能被未授權的個人、實體或者過程利用或知悉的特性。
2 完整性――保護資產的準確和完整的特性。
3 可用性――根據授權實體的要求可訪問和利用的特性。
企業的業務戰略以企業的資產來得以體現,但資產自身不可避免地帶有漏洞,我們稱之為資產的脆弱性。外界的威脅則利用資產的脆弱性,給企業帶來風險。信息安全就是要保護信息資產免受威脅的影響,從而確保業務的連續性,縮減業務風險,最大化投資收益并充分把握業務機會。構建信息安全管理體系,就是通過對組織信息資產的風險評估,確定重要信息資產清單以及風險等級,從而采取相應的控制措施來實現信息資產的安全性。信息安全管理的核心是風險管理,其對象是組織的信息資產。我們將其作為操作風險管理產品線之外的第九類特殊產品線,評估其價值和風險,確定相應的安全需求,并制定安全措施來降低和控制資產的風險。
可見,信息安全風險,是指由于系統存在的脆弱性、人為或自然的威脅導致安全事件發生的可能性及其造成的影響,包括由于IT流程缺陷、系統的業務需求/流程控制缺陷、信息系統脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接導致業務操作風險并間接導致信用、市場、聲譽等風險。它不僅存在于應用系統及IT基礎設施等信息資產中,而且存在于業務流程及管理流程中。ISMS是通過實施一整套適當的控
制措施來實現目標的,包括策略、過程、程序、組織結構和軟硬件功能,他們可以是行政、技術、管理、法律等方面的。IS017799包含了11個管理要項,既有偏重管理的信息安全方針、安全組織、資產管理、人員安全、物理和環境安全、事故管理、業務連續性管理、法律符合性等方面,也有偏重于技術的通信和操作管理、訪問控制、系統開發和維護等內容,每一部分都針對不同的主體或范圍,在這11個管理要項中,它又細分為39個控制目標和133個控制措施。可以說,ISO/IEC27001是目前國際上關于信息安全管理要求最全面、最完整的體系,可有效防范信息資產風險,從而進一步鞏固操作風險的駕馭能力,保證組織核心業務的持續運行。
三、基于風險的信息安全管理體系的構建
信息安全管理體系是基于業務風險方法建立、實施、運行、監視、評審、保持和改進信息安全,提出了基于戴明環的Plan-Do-Check-Act(PDCA)風險模型,強調全過程和動態的控制,如圖所示。它的設計思路充分體現了“過程方法”的特點,以過程為控制對象,在業務和風險管理過程中控制風險,實現持續改進,并達到監管方要求實現的事前、事中、事后全程控制。
(一)策劃并建立信息安全管理體系
1 確定安全方針和范圍
信息安全管理體系可覆蓋組織的全部或部分,組織需根據業務特征、地理位置、資產和技術等明確界定體系的范圍,并使之文件化。另外,要制定ISMS方針和策略,它是指導如何對組織信息資產進行管理的規則,是構建信息安全管理體系的宗旨。它表明了管理層的承諾,提出組織管理信息安全的方法,為組織的信息安全管理提供方向和支持。
2 資產的識別和評價
資產管理是實施有效ISMS的基礎,也是風險評估的核心內容。資產管理的優劣直接影響評估的效率和質量以及保持循環評估的連續性,而且有助于預見這些數據在之后風險分析中的重要作用。
資產識別A:為保證資產識別的合理性,建議組織從業務流程角度(縱向比較)和信息活動(橫向比較)兩個角度進行。在清晰識別資產后,組織應根據資產的重要性形成文件,建立資產清單,包含資產類型、格式、位置、責任人、備份信息和業務價值。
資產評價的目的是確保資產受到相應等級的保護,以保障在處理信息時指明保護的需求、優先級和期望程度。企業的所有資產都處在業務流程和相應的支持過程中,資產的重要程度,應根據其所處業務流程的位置,且與其它資產的比較中界定。通過分析資產的機密性、完整性、可用性及其它需求進行評估。對資產賦值時,一方面要考慮資產購買成本,另一方面也要考慮當這種資產的機密性、完整性和可用性受到損害時,對業務運營的負面影響程度。
3 風險評估
資產管理和風險評估是相輔相成,緊密相連的。在實際操作過程中,資產管理數據可為風險評估提供支持;而每次風險評估正是對資產管理數據進行修正和維護的過程。因此,定義全面合理的信息安全風險評估方法及風險可接受準則是十分關鍵的。評估方法要和組織既定的體系范圍、安全需求、法律法規相適應。另外,組織應建立風險評估文件,解釋和說明所選擇的風險評估方法,介紹所采用的技術和工具。
(1)威脅識別T:威脅是對組織及其資產構成潛在破壞的可能性因素或事件。評估者應根據經驗和有關統計數據判斷威脅發生的頻率或概率。
(2)脆弱性識別V:弱點是資產本身存在的,若被威脅利用將引起資產或目標的損害。我們將針對每一項要保護的信息資產,找出每一種威脅所能利用的脆弱性,并對其嚴重程度進行評估,為其賦值。
(3)對已有安全控制措施進行確認。
(4)建立風險測量的方法及風險等級評價原則,結合資產本身的價值、威脅發生的概率、威脅利用弱點的影響程度和已有控制等來確定風險的大小與等級R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示資產的重要程度;Va表示某資產本身的脆弱性,L表示威脅利用脆弱性對資產造成安全事件的可能性。
(5)識別并評價風險處理的方法,包括接受風險、降低風險、規避風險、轉移風險等。組織應加以分析,區別對待所識別的信息安全風險。若風險滿足組織可接受的風險準則,將接受風險。否則,考慮規避風險或轉移風險。若無法規避或轉移的風險,應采取適當的控制措施,將它降低到可接受水平。
(6)選擇控制目標和措施
選擇并建立文件化的控制目標和措施,制定風險處置計劃。ISO27001系列強調在風險處理方式及控制措施的選擇上,組織應考慮發展戰略、組織文化、人員素質,并特別關注成本與風險的平衡,以滿足法律法規及相關方的要求。另外,實施控制措施后仍會有殘余風險存在,我們需要密切監視這些風險,防止它誘發新的風險事件。
(7)獲得最高管理者的授權批準
風險識別和評估對后續可行的風險監測和控制至關重要。有效的風險識別要同時考慮內部因素(如企業結構、性質、文化以及人員的素質和流動性等)和外部因素(如環境的變化和技術的發展),他們可能對組織目標的實現造成重大不利影響。在識別絕大多數潛在的不利風險的同時,組織還應該評估自身對這些風險的承受能力。通過有效的風險評估,組織可以更好地掌握其風險狀況和最有效地使用風險管理資源。
(二)實施并運行信息安全管理體系
闡明并實施風險處置計劃。在此過程中,組織應指明和分配適當的管理措施、資源(人員、時間和資金)、職責和優先級。針對不同的管理層次、崗位和職責制訂不同的培訓計劃,記錄并考核培訓的效果。通過提高全員的信息安全意識,塑造企業的風險文化,保證意識和控制活動的同步,確保體系的持續有效性和實時性。同時,組織應搜集證據、記錄信息安全管理活動,為將來的評審、檢查做準備。
(三)監視并評審信息安全管理體系
監控、評審階段主要用來加強、修訂及改進已識別的控制措施和解決方案。對不合理、不充分的控制措施應及時采取糾正和預防。組織可通過多種方式檢查和監視信息安全管理體系的運行狀況,如收集安全審核的結果、事故、以及所有相關方的建議和反饋;定期評審殘余風險和可接受風險的等級;通過內部審核和管理評審檢查信息安全管理體系的有效性、符合性等。此外,組織應做好記錄,并報告影響信息安全管理體系有效性或業績的所有活動、事件。
(四)改進信息安全管理體系
基于評審結果或其他相關信息,采取糾正和預防措施,以持續改進信息安全管理體系,開始新一輪的PDCA循環。改進活動和措施必須獲得所有相關方的認可,并確保達到預期目的。
四、信息資產類操作風險管理的實施建議
ISO27001是文件化的體系,它把傳統的銀行信息安全與IT治理、風險審計和風險評估結合在一起,產生了一個新的管理維度和應用維度。在國際標準化的大潮流下,將基于風險評估的ISO27001體系要求引入業務流程和風險體系,規范現有業務運作,全面提升員工的風險意識和責任,從而有效地降低內部欺詐等各類風險發生的幾率,做到從源頭防范風險,保護客戶信息。
隨著銀行業對信息技術的依賴程度日益提升,信息科技風險亦隨之上升。信息科技風險具有影響范圍廣、突發性強、技術含量高、復雜度高、隱藏性深等特點,直接影響商業銀行的穩健經營,關乎商業銀行聲譽、金融安全和社會穩定,是商業銀行面臨的主要風險。如何在快速推進信息系統建設的同時,加強信息科技風險管理,減少或杜絕銀行因信息科技而給自身或客戶帶來損失,是銀行目前信息化建設需要研究的重要課題。信息科技風險管理現狀作為第一家從農信社成功改制的北京農商銀行,與四大行及股份制商業銀行相比,信息科技基礎十分薄弱。
近幾年來,在領導高度重視下,我們加大了信息科技建設的推進力度,大大縮小了與同業科技差距:建成了現代化、高標準的信息系統數據中心,初步形成同城生產和災備兩中心模式;全面開展網絡改造,將廣域網三級架構改為二級架構,各營業網點配置2條專線,分別直接上聯生產中心和同城災備中心,實現了業務網與互聯網專網進行物理隔離,增強了網絡系統的穩定性和安全性;建設完善了網上銀行、銀行卡系統、資金債券系統、信貸系統等應用系統,形成了結構清晰、業務功能基本滿足業務發展和經營管理需要的應用系統體系。相對于信息化建設發展水平的快速提高,我行的信息科技風險管理水平略顯滯后,也與監管當局的要求存在一定的差距。開發測試體系建設需進一步完善,代碼質量管理、Bug管理、開發過程管理、測試管理需進一步加強;系統運行管理有待改進,生產系統監控和流程管理自動化管理手段不足,邏輯訪問控制有待加強;業務連續性管理及應急體制建設有待加強,應制訂全行性的業務連續性規劃及應急演練方案,并定期更新,切實發揮相關部門職能,按要求組織開展應急預案的演練,提高應急演練的有效性和覆蓋面。李秀生:北京農商銀行的信息科技風險管理制度體系涵蓋開發測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度,每年進行一次評估和修訂,并在全行范圍內印發執行,確保制度的科學性、合理性和可操作性。信息科技風險管理進展為了提升信息科技風險管理水平,北京農商銀行根據監管要求,結合信息科技建設實際情況,不斷完善科技風險管理治理架構,初步建立了科技風險防控體系,有效預防和消除了科技風險事件的發生,確保了生產安全穩定運行和信息安全。
1.完善信息科技風險治理結構,明確信息科技風險“三道防線”的職責。成立了信息科技管理委員會,除了審議信息科技戰略規劃、推動信息科技建設的職能外,著重加強審議信息科技風險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風險管理職能,強化了科技風險管理體系建設中高層的推動作用;設置了首席信息官,直接參與跟信息科技運用有關的業務發展決策,確保信息科技各項工作的有效開展和落實;形成了由信息科技部門、風險管理部門及審計部門組成的信息科技風險“三道防線”。
2.持續建立健全信息科技風險管理制度體系。對現有信息科技制度體系進行了整體評估,重新梳理確定信息科技制度體系架構,建立包括制度、實施細則及技術規范(標準)三層架構的制度體系。同時規范對現有制度的管理,形成了《信息科技制度匯編》,涵蓋開發測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度,每年進行一次評估和修訂,并在全行范圍內印發執行,確保制度的科學性、合理性和可操作性,有效指導信息化建設和風險管理工作的開展。
3.事前、事中、事后管理并重,提升信息科技風險管理水平。一是強化風險防控意識,防范于未然。持續對全體科技員工進行風險意識教育,樹立對風險防控的高度敏感性和責任心,積極向員工傳導遵守法律法規和實施內部控制的重要性,培養員工的誠信和道德,規范員工職業行為,從源頭上控制、減少潛在風險的發生。二是健全內控機制,規范事中管理。科學合理設置科技崗位,明確每個崗位的職責、權限,建立了逐級授權和審批機制,并制定相應控制措施;規范崗位操作流程,重要操作如版本遷移、數據修改等實行雙人制,一人操作,一人復核,防止出現控制真空,產生風險;同時重視利用技術手段來強化風險管理,如批量作業自動化系統、系統和網絡監控系統監控系統的建成有效地提升了系統運維風險管理水平。三是加強信息科技風險的識別和檢查,持續督促、跟蹤整改,深入挖掘信息科技運行及管理存在的問題和潛在風險,制訂整改措施并積極整改。建立內部定期專項檢查機制,根據每年年初制訂檢查計劃,進行檢查,詳細記錄檢查結果,建立風險整改臺賬,定期對整改情況進行監督及跟蹤。除加強上述自查工作之外,還積極配合監管當局開展各項檢查,積極借助外部的力量幫助發現問題,查找隱患,從而提升科技風險防范能力。
4.加強信息安全體系建設,強化信息安全管理。完成了信息安全體系規劃,建立科學合理的信息安全體系框架,制定較為完善的信息安全策略;通過實施網絡邊界控制、內網與互聯網隔離、全面病毒防護、桌面系統監控、數據分級與使用保護等系列安全項目,建設形成覆蓋數據安全、網絡安全、系統安全和應用安全的綜合信息安全體系,確保生產系統安全和客戶信息安全,防范科技風險。未來的工作重點通過以上科技風險管理工作的開展,有效消除和防范了科技運行及科技管理中的風險隱患,近幾年我行未發生信息科技風險事件,科技風險管理水平和防控能力得到顯著提升。針對目前科技風險管理中存在的薄弱環節,未來信息科技風險管理的工作重點將體現在以下幾個方面。
1.進一步完善信息科技風險治理結構,持續推進科技風險“三道防線”建設。進一步明確信息科技風險治理結構中各級主體的工作職責,充分發揮各級主體的職能作用,形成職責明確、結構合理的信息科技風險管理架構;特別是加強風險管理部門對信息科技風險的管控,形成一個職責明確、功能互補、相互監督、相互制約、共同發展的信息科技風險防范的有機整體。
2.加強軟件開發質量管理體系建設,強化開發過程中風險的管理。建成基于我行現在的CMMI3級的軟件研發規范體系,通過CMMI3級驗收,全面推廣體系的應用,整個體系涵蓋了軟件的需求、設計、開發、測試等各環節,有效規范了整個開發過程的管理;落實需求歸口管理機制,推行重大項目需求評審機制,進行重要系統組織級方案評審,提高項目計劃管理和風險管理水平;全面推行軟件配置管理,提高軟件版本管理水平;強化外包管理,規范外包人員工作量評估,加強外包人員工作環境管理。
3.進一步推進運維體系建設。加強對生產變更的風險評估,嚴格變更過程管理,嚴控變更風險;確保事件分級制度的落地執行,形成有效的事件升級和響應機制;進一步加強對問題的快速解決,并逐步深化問題的后續管理,從多維度進行生產問題分析,提高生產管理水平;充分發揮系統監控、網絡監控工具的作用,完成應用監控建設,全面了解系統運行狀態,及時定位故障;全面提高運維管理水平及風險防控能力。
4.加強業務連續性規劃和應急管理工作。強化業務連續性規劃及應急體制建設的重要性,根據應用系統規模和復雜程度有針對性地制訂業務持續性保障規劃,根據風險發生的部位、概率和危害程度分級制訂應急預案,并經過評估和測試,及時進行維護、調整和更新,確保應急啟動時的有效性,切實提升業務連續性管理及應急管理水平。
信息科技風險管理工作是一項長期的、艱巨的工程,因此要不斷提高認識,強化危機意識、責任意識。從實際情況出發,充分借鑒相關國際標準和最佳實踐,不斷探索和改進,建立有效的信息科技風險的識別、計量、監測和控制機制,提升風險管理水平和防控能力,努力通過風險管理水平的提升推動信息化建設,為業務的發展、創新和管理提升提供堅實的保障。
1銀行加強信息科技風險管理的重要性
1.1加強信息科技風險管理是金融監管部門關注的重要內容在我國轉變經濟體制以后斤民多的銀行在發展過程中都實現了上市這樣就使得這些銀行在國際金融格局中也在扮演著非常重要的角色同時地位也是非常重要的。銀行業的發展不僅僅會導致本國經濟發展受到影響同時也會導致世界經濟受到影響因此國家相關監管部門對信息科技風險管理工作是非常重視的而且對銀行業的發展也是非常重視的。銀監會對銀行的信息科技風險管理工作提出了非常全面的要求這樣能夠更好的對信息科技風險工作進行改進同時也能更好的完善相關的工作。1.2加強信息科技風險管理是銀行自身發展和提高TI治理水平的需要銀行在進行信息化建設的過程中正在逐漸深化這樣使得銀行對信息科技風險有了更好的認識。慢慢從單一的信息安全問題轉變到現在的生產運行、應用研發以及信息安全等方面共同發展的信息科技風險管理。信息科技風險管理在一定程度上體現了銀行信息化的程度以及整體風險的管理水平。銀行業在發展過程中也在不斷進行改革,在這個過程中銀行完成了從國家控制到股份制改革的實現,同時慢慢實現了上市這對銀行業來說是非常大的一個轉變,同時也是容易出現風險的過程出現風險不僅僅會導致銀行的正常業務辦理出現問題,也會導致銀行的信譽和市值出現很大的變化因此崖影于業在發展過程中一定要重視信息科技風險。這樣才能在這方面提出更高的要求。
2銀行業加強信息科技風險管理的有關舉措
信息科技風險是信息科技業務在銀行業中應用的過程中由于自然因素、人為因素、科技漏洞或者是管理方面存在的缺陷導致的在操作、法律以及聲譽方面的風險。銀行信息科技風險管理包括對信息科技進行治理同時對信息科技風險進行管理對信息安全進行管理這樣能夠更好的促進銀行業發展。銀行業在發展過程中信息科技組織管理體系也在不斷的建設這樣也使得銀行在利用先進的科技建立平臺方面取得了非常好的成績。建立健全信息科技管理組織體系和信息科技風險管理體系是為了更好的加強信息科技風險的管理基礎,同時也是為了更好的滿足銀監會的要求。銀行業在發展過程中相關的負責人和相關的部「]要制定信息科技戰略,同時在相關的技術規范也要進行規劃這樣能夠更好的在信息科技重大決策依據信息科技風險管理方面得到更好的發展。同時也能更好的推動信息科技治理建設。信息科技管理委員會對相關的科技項目方案進行審查的時候廠定要確保信息科技架構體系的合理性和延續性。在銀行業中首席信息官在信息科技管理體系方面得到了更近一步的完善。在信息科技管理方面要不斷的積累經驗,這樣能夠更好的建立完善的信息科技管理制度同時也能建立更加完善的技術標準規范體系。很多的銀行在信息科技管理方面已經有了很大的發展在相關的制度方面也有了很大的變化其中對信息安全、系統運行和系統應用方面的技術規范有了很多規范,這樣能夠更好的提升銀行的信息科技管理水平,同時在規范化和標準化方面也有了很大的提高。銀行在按照相關的要求建立系統平臺的時候實現了科技管理的自動化,同時也將相關的管理要求進行了落實而且落實的效果也是非常好的。同時崖影于還建立了信息科技現場檢查和非現場檢查機制面向各級科技部門每年開展2次現場檢查海月利用各類技術管理平臺定期開展1次非現場檢查并對檢查發現問題的整改進展進行持續的跟蹤、管理和考核確保整改措施落實到位。有效防范生產運行風險是加強信息科技風險管理的關鍵。生產運行風險是信息科技風險的突出外在表現,I商銀行始終堅持“將確保信息系統安全穩定運行放在信息科技工作首位”的指導思想,并持續強化運行管理操作的各項措施降低運行風險。首先建立了信息系統安全等級體系根據系統安全等級在性能容量管理、災備、監控等方面采取不同的風險管理措施在保證系統對外服務水平的同時池有效控制了科技成本投入。信息安全貫穿于信息科技全流程是信息科技風險管理的重要內容。信息安全管理的核心是要建立健全信息安全的內部控制體系通過技術和管理手段確保銀行信息系統和數據的機密性、完整性和可用性。
3信息科技風險管理需要
科技部門和各業務部門共同推進、共擔風險從信息科技風險管理實踐來看,雖然信息科技風險管理更多關注的是信息科技領域但其中相當一部分內容與業務部門息息相關。因此信息科技風險管理實際上是銀行的一項全局性工作需要業務部門共同參與和推進。在生產運行領域的業務連續性管理方面在信息科技部門系統的基礎上需要業務部門制定業務層面的應急計劃脂導業務人員在信息系統中斷和恢復時進行業務的應急處理從而與信息科技部門協同開展應急恢復工作。在應用研發方面產品質量會引發系統運行風險而引發產品質量問題的因素是多方面的,既包括程序設計和開發缺陷等技術因素池包括業務測試驗證和需求不完善或質量不高等業務因素。
4結束語
銀行業在發展過程中信息科技風險管理是工作中非常重要的組成部分同時也是銀行業在信息化進程過程中要面臨的十分重要的問題。銀行業在發展過程中要共同努力,同時也要實現銀行內部科技部門和業務部門的結合這樣能夠更好的打造一個安全和抗風險的金融平臺能夠更好的促進銀行業務的健康發展。
作者:張寶海 單位:中國農業銀行綏化分行
關鍵詞:信息安全;風險評估;教學
信息安全風險評估是進行信息安全管理的重要依據,通過對信息系統進行系統的風險分析和評估,發現存在的安全問題并提出相應的措施,這對于保護和管理信息系統至關重要。目前國內外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯邦信息安全管理法》,對信息安全風險評估提出了具體的要求;歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風險評估課題組”,提出了我國開展信息安全風險評估的對策和辦法。2004年,國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準;2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養提出了更高的要求,同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件。《信息安全風險評估》課程教學,是信息安全專業一門重要的專業課程,能全面培養學生綜合運用專業知識,評估并解決信息系統安全問題的能力,是培養符合國家和社會需要的信息安全專業人才的重要課程之一。《信息安全風險評估》課程本身的理論性與實踐性都很強,課程發展十分迅速,涉及的學科范圍也較廣,傳統的教學的模式不能使該課程的特點很好地展示出來,無法適應社會經濟發展對信息安全從業人員的新要求,教學改革勢在必行。
一、現狀與存在的問題
信息安全風險評估是從風險管理角度,運用科學的方法和手段,系統地分析信息系統所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結果可以作為信息安全風險管理的指南,用來確定合適的管理方針和選擇相應的控制措施來保護信息資產,全面提高信息安全保障能力[2]。自2001年信息安全專業建立以來,高校在制訂本科專業教學培養目標和教學計劃時,側重于具體安全理論和技術的教學和講授,特別是重點強調了密碼學、防火墻、入侵檢測、網絡安全等安全理論與技術的傳授。從目前高校的教學內容看,多數側重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內容的介紹上,而且教學課時數也較少,只有十個學時。當前從《信息安全風險評估》課程的教學情況來看,該課程在信息安全教育教學過程中地位有待提高,實踐教學的建設與研究迫切需要深化。
當前該課程的教學實踐中普遍存在以下幾個方面的問題,嚴重制約了《信息安全風險評估》課程教學質量的提高:
1.本科教學大都以理論內容為主體,實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內容的講授為主,實驗和課程設計的學時較少,實驗內容也大多屬于驗證性質,缺少具有研究和探索性質的信息安全風險評估實踐內容和課程設計;
2.教學方法單一,缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少,師資力量相對薄弱,教學經驗也比較缺乏,仍以主要由教師講述的傳統教學方式為主,學生進行具體實踐和操作的課時較少,缺乏創新性的教學和研究,基本沒有具有探索性和創新性特點的教學內容,不利于發揮學生主觀能動性,提高其創新能力;
3.實驗環境無法滿足教學需求,缺乏專業的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚,缺乏相關的實驗設備;而且受到資金和專業發展等多方面因素的制約,難以設立專門的信息安全風險評估實驗室。此外,信息安全風險評估是以計算機技術為核心,涉及管理科學、安全技術、通信和信息工程等多個學科,對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識,又要加強實踐訓練。
二、教學改革與探索
高校計算機相關專業開設《信息安全風險評估》課程,不是培養網絡信息安全方面的全才或戰略人才,而是培養在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足,我們從以下幾個方面對該課程的教學改革進行了探索:
1.重新確立課程培養目標。①重點培養學生分析和評估信息安全問題的能力:《信息安全風險評估》課程是一門理論性和實踐性緊密結合的課程,目前開設該課程的高校較少,各學校的教學內容也多種多樣。該課程的教學目標即要培養學生發現信息系統存在的安全風險,同時也需要培養他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養學生實際操作的能力:信息安全風險評估的關鍵是對信息系統的資產進行分類,對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法,包括使用各種自動化和半自動化的工具,可在模擬實驗里,通過不斷地訓練實現。③培養學生繼續學習、勇于探索創新的能力:隨著信息化的不斷發展,信息系統所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內以及相關的行業標準,培養和提高學生繼續學習的能力。另外,《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環節培養學生獨力分析信息系統安全的能力,培養學生對信息安全風險評估領域進行探索和研究的興趣,最終使學生掌握信息安全風險評估的知識和技能,能夠解決具體信息系統的安全問題。
2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規是進行信息系統安全風險評估的依據和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》(國信辦2006年5號文);同時,隨著信息安全等級保護制度的推行,公安部會同有關部門出臺了一系列政策文件,主要包括:《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等;國家信息安全標準化委員會頒發了《信息安全風險評估規范》(GB/T 20984~2007)、《信息系統安全等級保護基本要求》(GB/T 22239-2008)等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現,我們在教學過程中,增加了《GB/T20984-2007信息安全技術信息安全風險評估規范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T
22080-2008信息安全管理體系要求》、《GB/T22081-
2008信息安全管理實用規則》、《GB/T20269-2006信息系統安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統安全等級保護通用測試指南》等相關評估標準和指南的學習,并編制相關的調查、檢查、測試表,重點強調對脆弱性檢測的理論依據的描述,檢測方法及其步驟的詳細記錄。
3.利用各種測評工具,提高學生實踐能力。在信息安全風險評估過程中,資產賦值、威脅量化分析、安全模型的建立等環節的教學和實踐對教師和學生都提出了較高的專業課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具,并對具體的信息系統進行自動化或半自動化的分析,加深了學生信息安全風險評估的理論知識理解,同時注重培養學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網站系統的實踐性教學內容。通過評估,該系統的服務器存在感染病毒的癥狀,其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描,發現了“遠程代碼被執行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統的攻擊。通過案例特征提供了的信息,培養學生使用測評工具對具體信息系統進行安全風險評估的能力,并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統安全狀況不可或缺的重要手段。
筆者結合自己的教學實踐體會,論述了當前《信息安全風險評估》課程中存在的問題以及解決對策。《信息安全風險評估》課程教學改革和建設是一個長期的、系統化的工程,需要不斷地根據信息系統在新環境下面臨的各種威脅,制定新的評估標準和評估方案,并使得學生在有限的時間和環境下掌握相應的知識和技能,以滿足社會對信息安全人才的需求。
參考文獻:
[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用,2010,26(8):6-8.
[2]楊春暉,張昊,王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密,2007,(12):75-77.
[3]潘平,楊平,羅東梅,何朝霞.信息系統安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
【關鍵詞】智慧城市;安全風險;風險識別;風險評估
1.引言
自IBM于2009提出“智慧地球”理念以來,國內外已經有眾多城市以網絡為基礎,打造數字化、泛在互聯的新型智慧型城市。在智慧城市的建設和研究過程中,將新興的物聯網、云計算、超級計算,以及基礎通信網絡、軟件服務化、數據共享、整合、挖掘與分析等技術全面應用。同時也對信息安全帶來了全角度的沖擊。
建設智慧城市必將面臨各種風險,本文主要研究和討論智慧城市工程信息系統的風險和評估方法。并且為建設智慧城市信息安全提供設計思路。
目前信息安全風險評估的方法主要有層次分析法[1]、神經網絡方法[2]和模糊理論[3]等;信息安全要求是通過對安全風險的系統評估予以識別的[4]。風險評估是依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。
2.建設智慧城市面臨的信息安全風險
2.1 智慧城市信息系統的基本結構
智慧城市主要由三部分組成,底層為基礎設施平臺,主要包括互聯網絡和感知網絡;數據共享平臺主要包括基礎信息資源庫,例如人口信息、地理信息等;應用服務平臺是面向公眾、企業及政府的綜合服務門戶平臺。
2.2 智慧城市面臨的信息安全風險
信息安全風險是認為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響[5]。如表1所示,智慧城市面臨的信息安全風險主要有物理破壞、人為破壞、設備故障、內部與外部攻擊、數據誤用、數據丟失以及應用程序錯誤等風險。智慧城市服務面廣、影響廣泛,面對大眾,其持續服務能力和流暢服務能力直接關系到智慧城市建設的成敗。而這兩個服務能力又取決于管理者和建設者對以上風險的認知和處理程度。
3.信息安全風險識別
信息安全風險識別的基本依據就是客觀世界的因果關聯性和可認識性[5]。在建設智慧城市的過程中,信息系統必將面臨各種安全風險。明確識別風險,評估風險,并合理的管理風險,是參與智慧城市項目建設中每個人的責任和義務。
風險識別主要有兩種方法,一種是從主觀信息源出發的識別方法。主要利用頭腦風暴法,德爾菲方法(Delphi method)和情景分析法(Scenarios analysis)。前兩種方法在我國使用的較多,情景分析法是一種定性預測方法,對預測對象可能出現的情況或引起的后果做出預測的方法,操作過程復雜,目前在我國的具體應用較少。另外一種風險識別的方法是從客觀信息源出發的識別方法。主要利用核對表法、流程圖法、數據或結果實驗法、工作結構分解分析法和財務報表法等。
信息安全風險管理是識別并評估風險、將風險降低至可接受級別、執行適當機制來維護這種級別的過程。沒有絕對安全的環境,每種環境都會存在某種程度的脆弱性,都會面臨一定的威脅。問題的關鍵在于識別威脅,估計它們實際發生的可能性以及可能造成的破壞,并采取恰當的措施將系統環境的總體風險降低至組織機構認為可以接受的級別。
4.終端面臨安全風險
用戶訪問智慧城市信息數據的終端雖然不屬于智能城市建設的范疇,但面對大量的用戶終端,智慧城市工程相關管理和技術人員必須要考慮智慧城市系統對用戶終端的影響。
根據CATR 2013年3月4日的研究數據顯示,預計2013年中國3G用戶將增長1.5-1.8億戶,用戶規模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數據,也將通過3G移動互聯網送至用戶的智能手機上。會存在黑客利用智慧城市信息服務平臺攻擊用戶智能終端的情況。
另外一部分用戶將使用個人計算機機通過互聯網訪問智慧城市信息數據。同樣黑客也有機會利用智慧城市信息服務平臺攻擊用戶的個人計算機。
最后,由于智能電視、網絡機頂盒的出現,還將會有部分用戶通過電視機訪問智慧城市的信息數據,黑客也有攻擊智能電視機網絡機頂盒等電視機接入設備。
智慧城市工程的建設,要應對網絡犯罪和黑客攻擊,維護移動互聯網安全,需要將移動網絡、后臺服務以及個體終端結合起來,從全局角度提出一個完整的綜合性解決方案,這就對普通用戶、移動運營商、網絡安全供應商、手機制造商、第三方軟件開發商以及網絡信息提供商都提出了更高的要求。同時,還需要政府監管部門完善響應的監管體系,加強相關法律法規的建設。
5.信息安全風險評估
信息安全風險評估是依據有關信息安全技術與管理標準,對信息系統及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,并提出有針對性的抵御威脅的防護對策和整改措施。進行信息安全風險評估,就是要防范和化解信息安全風險,或者將風險控制在可接受的水平,從而為最大限度的保障網絡和信息安全提供科學依據。[6]
通過風險評估后,就可以針對信息系統中的高危風險進行風險管理。風險評估目前主要有定量風險分析方法和定性風險分析方法。國內外研究人員又在此基礎上提出了層次分析法(AHP),故障樹分析法和基于模糊數學的分析方法。另外就是基于科研機構頒布的標準或指南的信息安全風險評估方法,比較傳統的方法有BS7799標準、CC標準、ISO13335信息和通信技術安全管理指南和NIST相關標準等。這些標準或指南對信息安全風險評估具有很好的指導作用,且大多數是基于定性的風險評估,對評估者的能力要求高,評估具有很大的主觀性。
對于智慧城市工程的信息系統,可以采用多種不同的方法對信息系統進行綜合風險評估,將不同風險評估方法得出的結果系統分析,實施全方位、多角度的風險管理。只有通過對信息系統的安全風險評估才能對智慧城市工程存在的風險進行合理、科學和有效的管理。
6.結束語
在建設智慧城市工程的過程中,信息安全風險評估以及風險管理勢在必行。在規劃設計階段根據實際投資和項目情況,以國家相關標準為基礎進行規劃設計,并參照《信息系統安全等級保護基本要求》(GB/T22239-2008)對信息系統進行安全保護。正確識別和評估安全風險要始終貫穿到工程項目建設的每一個環節中。在項目建設初期從多角度、全方位識別風險,不留風險盲區;在項目建設過程中,通過風險評估的結論,將風險降低到可以接受的程度;在后期的使用維護過程中,始終使用PDCA方法,不斷的去識別、評估和降低安全風險。動態將風險識別和風險評估方法貫徹到智慧城市工程的每一個階段,確保實現安全可靠的智慧型政府、智慧型民生和智慧型產業。
參考文獻
[1]王奕,費洪曉,蔣蘋.FAHP方法在信息安全風險評估中的研究[J].計算機工程與科學,2006,28(9):4-6.
[2]趙冬梅,劉海峰,劉晨光.基于BP神經網絡的信息安全風險評估[J].計算機工程與應用,2007,43(1):139-141.
[3]陳光,匡光華.信息安全風險評估的模糊多準則決策方法[J].信息安全域通信保密,2006,7:23-25.
[4]信息安全管理實施指南(ISO17799:2005C).
[5]信息安全風險評估規范(GB/T20984-2007).
【關鍵詞】信息科技風險;金融信息化;風險管控
1.引言
金融信息化指在金融領域全面發展和應用現代信息技術,以創新智能技術工具更新改造和裝備金融業,使金融活動的結構框架重心從物理性空間向信息性空間轉變的過程。簡而言之,金融信息化就是指將現代信息技術應用于金融領域的過程。隨著金融信息化向縱深方向發展,信息安全已成為全球金融機構所面臨的重要風險之一。當前金融機構面臨的主要信息科技風險包括缺乏有效的信息科技風險管理戰略、信息科技治理結構還不夠完善、高級管理層重視不夠、信息安全管理工作更多強調技術層面以及合規風險。
中國的金融機構都制定了業務發展戰略,但缺乏與業務發展戰略相一致的信息科技發展戰略,也缺乏信息科技風險戰略,以指導信息科技風險管控工作。金融機構內部大多數部門都認為信息科技工作是信息科技部門的事情,同樣信息科技風險管理也只是信息科技部門的責任,導致了信息科技治理結構不夠完善,信息科技風險管理缺乏業務、風險管理、內部審計部門的有效支持。高級管理層在“口頭上”都很重視,但高級管理層很少履行切實的承諾,在資金上給與足夠的支持。更多金融機構注重從技術層面加強邊界保護,而很少從流程、技術、人員三個不可分離的層面從事信息安全管理工作。由于當前在信息科技風險管控方面不能夠滿足外部監管機構的要求,從而給金融機構帶來合規風險。即使金融機構應結合自身業務發展戰略,在對信息科技風險評估的基礎上,借鑒先進金融機構的良好做法和國際標準基礎上,制定出與業務發展目標保持一致的信息科技風險管理戰略。加強信息科技風險治理結構建設,設計出包括高級管理層、業務部門、信息科技部門、風險管理部門、審計和合規部門在內的信息科技風險治理架構,以滿足信息科技風險管理對治理結構的要求。從業務需求出發,從人員、技術和流程三個角度加強信息科技風險管控程序建設,逐步提高信息科技風險管控能力,滿足外部監管要求。還要持續地加強高級管理層、管理層以及一般人員,并包括合作伙伴等人員的信息安全意識教育和培訓。
鑒于實業界對金融信息化風險的高度重視,本文從金融信息化風險概念、分類和管控方法等方面對現有文獻中的相關理論進行回顧,并對國內外的研究現狀進行進一步的對比分析。
2.金融信息化風險的內涵和分類
2.1 金融信息化風險的概念
金融信息化風險是信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。信息科技風險不是一種新的風險類型,而是一種系數型風險,其風險就在于隨著信息科技對銀行經營與管理的不斷滲透,會使已存在的交易、戰略、法律、信譽等風險擴大化。金融信息化風險是金融企業風險之一。
2.2 金融信息化風險的來源
金融機構信息系統風險的主要挑戰來自于基礎技術的復雜性和多變性。具體而言,金融機構信息技術的復雜多變通過以下幾種渠道可能導致風險的產生。
(1)電子商業銀行的技術創新和客戶服務變革的速度比傳統的創新更快,例如在新技術和新業務的推出時間周期大大縮短,因此很難預測客戶的需求。客戶需求波動與服務能力的不一致給商業銀行帶來了資源浪費或損失顧客的風險。(2)在線上交易中,Web站點要與金融機構后臺核心業務系統互聯互通。因此,信息系統的架構設計必須較為合理,在操作性和可用性上有良好的體驗。對技術的依賴程度增加使得風險更為集中,風險的管控要求更高的技術素養、知識和能力。(3)網絡銀行與傳統銀行采用了不同的服務模式,其價值鏈中引入更多合作伙伴、合作聯盟和外包服務商,從而增強了網絡銀行的操作和安全復雜性。新的服務模式融入了金融機構和非金融機構,但這些非金融機構并不在金融業的監管之列,使得技術風險監管產生了許多復雜的問題,在出現故障或發生問題時,很難界定各自的責任。(4)互聯網本身無所不在的特性,使信息訪問的各個環節都很難控制,一系列相應技術的應用,如授權管理、客戶身份確認技術、信息等級管理制度、稽核跟蹤技術等,使得金融機構必須投入更多資源才能確保對信息訪問的嚴格控制,從而在無形中提高了事故發生的可能性。(5)隨著移動互聯網在商業銀行信息系統中的應用(如無線POS、移動銀行等),在實現將移動互聯網與現有的網絡平臺互聯時,信息更容易受到攻擊。(6)伴隨著我國各金融機構數據大集中的開展,商業銀行各種技術風險也相應集中,對數據大集中的穩定性、高效性和可靠性提出了更高的要求。
2.3 金融信息化風險的分類
按照產生來源,金融機構的信息化風險可劃分為內部風險和外部風險。
(1)內部風險
實體安全為主信息安全為輔的后端保護思想主要是指在電子文件產生初期,照搬傳統檔案保護理論和實踐的模式應對電子文件安全的思想,其出發點是圍繞實體安全需要指導和實施電子文件安全管理。
1.1后端保護思想產生的根源
20世紀80-90年代是我國電子文件應用的初期,主要應用于辦公自動化和計算機輔助檔案管理業務中,電子文件發揮的作用主要是紙質文件的副本,所以電子文件安全還不是文檔工作的重點,即使開始關注電子文件安全,也是在文檔分離體制的框架內進行,因而對電子文件安全管理照搬傳統檔案保護的安全管理思想也是順理成章的。
1.2后端保護思想在實踐中的表現
后端保護思想的核心是以文件實體材料的安全為主要保護對象,在此思想的指導下,我國實行了一種權宜之計的“雙套制”管理模式,即采取一式兩樣的方式,紙質版文件一套,電子版文件脫機備份一套。試圖通過這種“雙保險”的方式既保障文件內容的安全,又保留電子文件的特性。與此配套國家相繼出臺了《CAD電子文件光盤存儲歸檔與檔案管理要求第一部分:電子文件歸檔與檔案管理》(GB/T13967-1992)、中華人民共和國檔案行業標準《磁性載體檔案管理與保護規范》(DA/T15-1995)、《電子文件歸檔與管理規范》(GB/T18894-2002)(下文簡稱《規范》)等標準,從這些標準內容可以清晰的反映出電子文件的安全管理是被放在傳統保護框架內進行的。如《規范》中的“7.1歸檔要求文件形成部門或信息管理部門應定期把經過鑒定符合歸檔條件的電子文件向檔案部門移交,并按檔案管理要求的格式將其存儲到符合保管期限要求的脫機載體上。”“8.1歸檔電子文件的整理按DA/T22規定的要求進行,8.2歸檔電子文件以件為單位整理”等,這些規定集中體現了對電子文件的管理是按照《規范》中所指的DA/T22,即《歸檔文件整理規則》(DA/T22—2000)來實施。雖然在《規范》中的第3條對電子文件的術語和定義做了規定和說明,關注到電子文件與紙質文件的不同特性,但管理方法上并沒有實質性的調整。
1.3后端保護思想產生的影響
傳統檔案管理思想的束縛和固有管理模式的慣性使電子文件管理初期形態存在諸多問題,給電子文件全面的安全管理埋下很多隱患,主要表現在:在管理理念上,夸大了電子文件的不安全性對電子檔案代替紙質檔案持懷疑甚至是否定態度,阻礙了對電子文件安全性問題的積極探索;在管理實踐上,“‘雙套制’的存在為電子文件(檔案)取得信任設了一道難過的坎。”也給檔案管理帶來不少新的問題和挑戰。諸如電子文件的流失、制作及保管成本的大幅度增加、電子文件方便利用優勢的喪失等等。2008年的一個調查顯示“在機構大量生成和使用電子文件的前提下,有73.5%機構認為電子文件不可以代替文件獨立行使文件的職能”,這種情況至今沒有太大改觀。由于實體安全為主信息安全為輔的后端保護思想,不是從電子文件本身特性出發量身定制,因而它也不可能從根本上解決電子文件安全管理問題。所以,突破傳統觀念藩籬,建立符合電子文件安全管理的指導思想成為繼續探索的方向。
2前端控制與全程保護的風險管理思想階段
任何新事物本質的發現,都需要一個從感性到理性,從現象到本質的認識過程。電子文件這一新形態文件的出現,同樣需要逐步了解和認識的過程。20世紀90年代末到21世紀最初的幾年,檔案學界和業界對電子文件安全所進行的理論研究和實踐摸索,基本上廓清了電子文件與紙質等傳統文件(檔案)的不同,為找到真正適合電子文件安全管理的指導思想和恰當的實踐方式提供了指引。由此我國的電子文件安全管理進入了實體安全與信息安全并重的風險管理思想階段。
2.1信息安全是表征電子文件安全性的核心指標
透過對電子文件產生和管理環境特點的研究,可知電子文件與傳統紙質文件相區別的基本特征有兩個:一是計算機系統是電子文件生成和管理的必要環境;二是電子文件信息以二進制數字代碼記錄和存儲。這兩個基本特征應該成為探尋電子文件安全管理指導思想的出發點和電子文件安全管理的重點。計算機系統是信息技術的核心產品,它具有升級換代快,個性化強(不同的用戶可按需定制軟硬件系統,造成格式多樣,信息不兼容等問題),安全漏洞高科技化(操作系統、信息流轉通道中存在后門、黑客、病毒等惡意破壞和竊取信息的操縱者等多種風險)等特點,這些特點決定了生存在其中的電子文件形態多樣且更新淘汰快,可操作性強,信息安全問題更加隱秘復雜,難以控制。照搬傳統檔案單一策略的后端的實體保護難以應對電子文件在生成和管理環境中面臨的安全問題,只有將安全管理擴展到文件生命周期的全過程中,通過全程保護才能滿足電子文件安全的需要。筆者認為上文提到的《規范》中已經界定了有關電子文件特性的內容,可為探求電子文件安全本質問題提供指導。《規范》中術語部分有三個重要概念的界定,即“真實性(authenticity)指對電子文件的內容、結構和背景信息進行鑒定后,確認其與形成時的原始狀況一致;完整性(integrity)指電子文件的內容、結構、背景信息和元數據等無缺損;有效性(util-ity)指電子文件應具備的可理解性和可被利用性,包括信息的可識別性、存儲系統的可靠性、載體的完好性和兼容性等。”這三個術語揭示了電子文件生成環境和管理環境基本特性的內涵,為確定電子文件安全管理目標提供了方向。真實性、完整性和有效性三個指標的管理目標的實現,必須將電子文件生成系統的安全、文件信息內容及流轉過程中的安全、存儲載體的安全等納入到一個完整管理系統中進行全程動態監控和管理。所以,用真實性、完整性和有效性指標表征的信息安全是電子文件安全的核心指標。
2.2前端控制全程保護對電子文件安全管理的必要性
“電子文件的產生使得人們更有必要以比過去大得多的熱情關注文件運動的整體性,更積極的把文件‘從生到死’從頭到尾的整個運動過程全面而系統地管理起來。”國際檔案理事會也指出:“電子文件管理工作范圍的第一項原則是‘檔案館應參與產生和保管具有檔案價值文件的電子系統的整個生命周期,以便文件真實可靠,且適合保存。’”由此出發,國際檔案理事會1997年頒發的《電子文件管理指南》把電子文件生命周期描述為概念階段、形成階段和維護階段。這種有別于傳統文件生命周期的描述是充分考慮了電子文件的特性,因而是符合電子文件運動規律的。電子文件生命周期的概念(或曰設計)階段是至關重要的,它的質量直接關系著電子文件生命周期全過程的有效監控和各種管理功能的實現。文檔部門互相協作,科學指導是對概念階段質量把控,滿足生命周期全程保護需求的重要保障。具體做法是:在電子文件管理系統方案設計時文檔部門要本著充分貫徹既瞻前又顧后的全局原則和可持續發展理念,指導管理系統具備為電子文件的生成、系統運行的過程控制和升級換代的日常維護等一切生命過程提供安全保障的功能。實際上,無論對紙質文件(檔案)的保護還是電子文件(檔案)安全管理,前端控制和全程保護都是必需的。根據文件生命周期理論可知,所有形態的文件與檔案都是同一內容的不同價值形態,所以只有保障文件(檔案)從制作形成到壽命終結的每一個階段的持續保護,才能最大限度的保護文件(檔案)的真實性、完整性和有效性。
2.3風險管理在電子文件安全管理中的引入
前端控制全程保護與風險管理的理念高度契合,二者都是從防患于未然的角度來實施安全管理。風險管理作為安全管理的核心組成部分,不僅是一種安全管理指導理念,同時也是一種安全實踐方式。用風險管理的思路來研究和管理電子文件主要是通過防止不良后果的發生或減輕風險事故的危害而達到防患于未然的目的。在檔案界有關電子文件風險管理研究的代表性成果主要是馮惠玲帶領的課題組出版的《電子文件風險管理》(中國人民大學出版社,2008年)。該成果系統的闡釋了電子文件風險管理的基本理論和管理對策。該成果指出:電子文件風險是指“電子文件質量缺損及其引發其他損失的不確定性,是可能產生的預期結果與實際結果的負面差異”,通過對電子文件風險的識別、成因的分析、風險的評估等系統的規劃,有效監控風險,應對風險,使電子文件更加安全。在電子文件安全管理中最能體現風險管理的重要性有兩個關鍵問題,一是關于電子文件管理系統功能的設計,二是對“元數據”功能的研究和管理。有關電子文件管理系統功能設計在本文2.2已做了闡述,主要是通過前端控制來貫徹風險管理的思想。至于對“元數據”功能的研究和管理問題,檔案界經歷了一個從忽視到重視的過程。元數據的重要性主要體現在:“元數據”是電子文件身份和內容的證明和封裝,也可以表達為“元數據加上文件內容就構成了有證據作用的文件”。我國自電子文件產生以來,元數據的管理是比較最薄弱的環節。無論是“雙套制”,還是專門的文檔管理系統,一直存在“元數據”功能的殘缺和管理缺位的問題,這也是長期以來電子文件的安全性和檔案性不被信賴的重要原因。因而在電子文件安全管理過程中堅持貫徹風險管理思想的指導和實踐的應用是非常必要的。我國應用風險管理指導思想比較明確和有成效的實踐是電子文件備份制度的建立和推廣。2009年國家檔案局局長楊冬權在全國檔案館工作會議上提出:“為確保國家檔案安全,各級國家檔案館要通過建立異地備份庫等形式,對本級重要檔案及電子文件實行異地備份,對重要的電子文件還要實行異質備份,確保電子文件的長期可讀,確保檔案信息資源的絕對安全。”同時要求這項工作要在2012年底前完成。備份的方式有兩種模式可供選擇:一種是主要針對政府和企事業單位的電子文件,通過建立專有網站或是開發應用軟件對重要文件進行集中保存和統一備份;另一種是館際互備,這是目前選擇備份的主要方式。據統計,截止到2012年全國已有47對副省級市以上國家檔案館達成協議,互為檔案異地備份館。此外浙江省根據國家要求,結合本省情況,在2013年頒發了《浙江省檔案登記備份工作規范》(浙檔發〔2013〕23號),包含了傳統和電子文件所有檔案的備份工作要求,把風險管理貫穿到所有形態檔案管理過程中。國家檔案局在2012年頒發了《電子檔案移交與接收辦法》,開始推進電子檔案的集中保管。電子檔案移交的前提是電子文件必須完整安全的歸檔,所以隨著該辦法的實施,對電子文件安全性全面認識和科學管理將起到實質性的推動作用,前端控制全程保護的風險管理指導思想的貫徹也將更加有效。
3納入國家信息安全戰略的安全管理思想階段
網絡時代,乃至撲面而來的大數據時代,信息安全已不斷上升為國家安全的重要組成部分。世界范圍的信息安全風險日益復雜,日益嚴峻,從國家整體和高度進行頂層設計的信息安全戰略成為當今信息安全管理指導思想的主流。國家戰略的目的是從國家意志的高度出發,統籌協調各個領域的安全問題,制定國家宏觀規劃和重大政策,不斷增強國家安全保障能力。電子文件是國家信息安全的核心資源,為了維護國家整體信息安全,尋求宏觀層面的政策、標準等管理力量的支持,將電子文件安全管理納入到國家信息安全戰略進行頂層設計和指導變得日益重要。
3.1國家信息安全戰略思想的提出及其內涵
隨著電子文件實踐的深入,各種安全管理問題陸續展現。世界范圍內對電子文件管理共性的認識和管理策略不斷趨于一致,特別是一些信息化整體水平較高的國家,經歷了由分布式管理到集中式管理的探索過程,在21世紀最初幾年“紛紛以戰略動議、政策引導、標準規范等形式提出體現國家意志和利益的重大舉措,”進入“以頂層設計帶動總體規劃,以國家戰略帶動全面發展”的時期。我國在2006年以馮惠玲為代表的理論界率先提出“加強頂層設計,制定和實施我國電子文件管理的國家戰略已經迫在眉睫。”隨后她帶領團隊進行了比較系統的研究,其成果集中體現在《電子文件管理國家戰略》一書中。“電子文件管理國家戰略,就是從國家層面和戰略視角對電子文件管理全局性、基本性、長期性問題所進行的目標定位、統籌規劃和基本制度安排。是一個國家對電子文件管理工作的基本態度和總體思路,其表現是法規、政策、標準、規劃、項目等體現國家意志、帶有全局性的關于電子文件管理的國家行為。”由于我國實行的文檔分離管理模式,以及各自為政的電子文件分散管理現狀等,使得電子文件失真失控,信息孤島等問題嚴重。解決這些問題的關鍵在于引入系統論思想,將頂層設計思想應用于電子文件安全管理中,“摒棄單一部門,單一技術方法的做法,從國家安全的高度認識電子文件安全的重要性,協同多部門多途徑維護檔案的安全,”構建起基于立體的檔案保護環境的檔案安全保障體系。
3.2國家信息安全戰略的推進電子文件國家信息安全戰略實現的途徑主要從技術、國家政策、標準規范等幾個方面進行推進。
3.2.1技術層面的國家戰略。信息安全關系到國家重大安全的關鍵因素,特別是隨著信息技術的進步,掌握先進技術開發與應用主動權的發達國家,成為壟斷和控制發展中國家信息安全的最大威脅者。美國微軟公司對全球電腦操作系統的掌控,以及不斷爆出的信息竊密事件,諸如斯諾登事件等,不斷敲響信息安全的警鐘。信息安全領域中高科技的竊密手段無孔不入,上到國家,下至個人,無處不在的第三只眼睛的窺探,隱私難保,安全岌岌可危。主動進行風險監控、防范是必要的,但更有效的辦法是推動國家信息技術自主知識產權產品的開發和應用。“從國家安全的高度考慮,國家已開始建設‘自主、安全、可控的IT系統’,把信息安全掌握在自己手中,才能確保國家網絡安全和信息安全。”電子文件的管理對信息技術具有高度的依賴性,由于技術原因造成的安全問題也是最為突出的。我國在2009年4月9日成立了版式聯盟,該聯盟由中國電子工業標準化技術協會發起,聯合我國版式技術應用領域產品與服務的制造者、使用者、政府和中介組織版式技術等部門,對廣泛涉及檔案管理、數字出版、數字辦公、數字印刷、信息等領域的信息進行統一規范,為信息的真實性、完整性、長期可讀性提供良好的技術環境。
3.2.2政策層面的國家戰略。政策以其權威性、導向性、探索性、靈活性的特點可以為標準的制定與實施提供引導和支持。我國政策層面的國家戰略指導思想主要包括國家層面的五年規劃、信息行業的發展規劃、文檔部門的發展規劃等自上而下編制和推行的宏觀層面上的方針政策。2000年后我國提出建設國家信息安全保障體系,2003年國家“兩辦”頒發《國家信息化領導小組關于加強信息安全保障工作的意見》,該意見明確了我國信息安全保障工作的指導方針、基本原則和主要任務,并確立了用五年左右的時間基本建成國家信息安全保障體系的工作目標。同時將等級保護、風險評估、應急響應和災難恢復作為我國信息安全保障過程中的四個重要環節。與電子文件信息安全密切相關的國家標準對電子文件安全管理有著更直接的指導價值。文檔部門對這些標準的解讀與應用要重點的關注和研究。據統計,信息行業“在1995-2008年期間的信息安全國家標準共83項。”并且在這期間更新標準高達60%。由此可見我國在國家層面上對信息安全是非常重視的,對信息技術發展的動態跟進也比較及時,這為電子文件安全管理標準的研制和推廣提供了有力的指導。近年來國家檔案局也開始重視頂層政策的設計,不斷向國家安全戰略靠攏,最為顯著的成果是在2010年5月12日,國家檔案局局長楊冬權在全國檔案安全體系建設工作會議上,提出“要樹立‘檔案安全事關黨和國家根本利益的思想’,要樹立‘安全第一’的思想,要樹立‘安全問題人人有責’的思想,與建立覆蓋人民群眾的檔案資源體系和方便人民群眾的檔案利用體系相呼應,建立起確保檔案安全保密的檔案安全體系。”國家信息安全戰略是一個系統大工程,關系到體制、技術、法規等多層面的設計和協調,在推進過程中所面臨的難題將是復雜多樣的,因而在這個過程中,國家層面要關照到所有的信息領域,真正做到統籌兼顧,確保推行的實效,信息資源(包括產生、流轉、保存等)行業也要肩負起國家安全職責,為建立起強大的國家信息安全保障體系做出應有的貢獻。
關 鍵 詞: 商業銀行;信息科技;風險管理
中圖分類號: F830.33 文獻標識碼:A 文章編號:1006-3544(2013)05-0031-02
一、商業銀行信息科技風險
在信息技術與銀行業務深度融合的今天,信息科技風險事件往往涉及范圍廣、客戶多、金額大,在給銀行造成經濟損失的同時,也會帶來很大的聲譽損失。銀監會前主席劉明康曾表示:“如果銀行系統中斷1小時,將直接影響該行的基本支付業務;中斷1天,將對其聲譽造成極大傷害;中斷2~3天以上不能恢復,將直接危及其他銀行乃至整個金融系統的穩定。”因此,可以毫不夸張地說信息科技安全運行和健康發展是銀行業務正常開展的重要保障和基本前提, 關乎銀行聲譽、金融安全和社會穩定。表1顯示了近年來商業銀行發生的幾起典型信息科技風險事件。
根據中國銀監會的《商業銀行信息科技風險管理指引》,信息科技風險是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。在巴塞爾新資本協議體系中,信息科技風險被視為操作風險的一種。它具有區別于一般操作風險的特殊性:(1)風險因素復雜,大量使用外包和新技術使得風險控制的復雜度大幅提高。(2)潛伏性、偶發性和不確定性突出。比如,通過充分風險論證的生產系統,短期內無風險隱患,而隨著生產環境的壓力逐步擴大, 系統的脆弱性就會逐步暴露;一個具有很高安全性的電子銀行,隨著病毒的不斷變種,黑客技術的提高,新的安全問題就會出現。(3)信息科技風險一般不直接造成經濟損失,其造成的間接損失難以計量且極可能引發聲譽風險。(4)影響范圍廣。單個信息系統的故障就可能影響銀行多項業務。 在銀行數據大集中的形勢和背景下,信息科技風險也趨于集中,成為惟一能使銀行瞬間癱瘓的風險。
從國內的監管導向看,筆者認為信息科技風險管理有兩個重要的目標:一是保證銀行業務的穩定和連續;二是保護客戶信息安全。如果不能實現這兩個目標,則可能引發直接或間接的經濟損失以及聲譽風險和法律風險。
二、信息科技風險的影響因素
從前述信息科技風險管理的兩個目標出發,可以通過分析影響目標實現的因素來了解引致信息科技風險的原因。影響銀行業務的穩定和連續的因素主要有軟硬件故障、人員誤操作、關鍵人員離崗、系統超負荷運行、網絡癱瘓、電力中斷、病毒傳播、應用系統及版本出現異常、數據缺失或丟失、外包服務不到位、自然災害或人為損壞設備、缺少業務連續性計劃、災備基礎設施不健全、日常應急演練不充分,等等。影響客戶信息安全的因素主要有內部人員利用流程、權限漏洞盜用客戶數據;外部人員運用技術手段侵入系統盜用客戶信息;內外勾結盜用客戶信息、外包服務商泄密等等。
以上這些因素在巴塞爾新資本協議中也有相關的描述。巴塞爾新資本協議對操作風險的損失事件形態分為7個類型,吳博(2010)將其中與信息科技風險的損失事件有關的三個類型整理后大致覆蓋了引發信息科技風險的因素,見表2。
當然,上述這些影響信息科技風險管理目標實現的因素仍只是引發信息科技風險的中間變量,其本身也可被視作信息科技風險的表現形式。透過這些表現可以很容易發現管理不到位才是導致信息科技風險的最根本原因。
從實踐來看,近年來信息科技快速發展有力支持了商業銀行各項業務的快速擴張。但同時,管理、運行維護跟不上的矛盾也日漸突出,“重建設、輕管理、重開發、輕運維”的現象較為普遍。有監管部門研究表明,近年來發生的信息科技風險事件中,多數事件發生都源于制度不健全、流程不完善、落實不到位,很少有純粹技術原因引發的事件。因此,可以說管理到位是防范信息科技風險的關鍵。
三、信息科技風險管理措施
信息科技風險管理應貫穿于信息科技工作的全流程,涉及到信息科技風險管理的“三道防線”,需要由信息科技部門和各業務部門共同完成。具體管理措施如下:
1. 完善風險治理架構,各司其職。構建和完善信息科技風險管理的三大防線,即信息科技管理、信息科技風險管理、信息科技風險審計,從三個不同角度、不同緯度,對風險進行立體防控。需要注意的是三大防線的安排不應是簡單的對應信息科技風險管理的事前、事中、事后三階段,風險管理部門、審計部門應積極參與到業務連續性計劃制定、應急演練、系統開發、外包管理等信息科技日常風險管理工作中,實現風險管理的前移。
2. 健全管理制度體系,重在執行。建立、健全信息科技管理制度和業務操作流程并認真執行。制度建設要從新產品上線或新系統投產前開始,要建立完善的上線或投產方案以及上線或投產后相關的管理制度和業務流程,并制定回退機制或應急預案以應對意外情況。同時,要積極研究各類信息安全風險案例,總結歸納新的風險點,有針對性地完善制度。要建立制度執行的監督評價機制,商業銀行的董事會、監事會、高級管理層以及審計部門要切實監督評價信息科技各項制度的執行情況,對制度執行不到位的責任人要進行問責或處罰。
3. 合理規劃系統資源, 未雨綢繆。(1) 縱向規劃發展進度。在系統規劃設計階段就要評估能否滿足未來較長時間的業務需求,合理安排系統升級、版本切換等工作。(2)橫向匹配系統資源。在系統資源短期內不變的情況下,合理分配資源,通過系統分級,將資源優先分配給等級高的系統以保障重要系統的穩健運行。
4. 密切監測系統運行,防患未然。通過技術平臺對信息系統的運行狀況進行全程監控。一、二級骨干網是否暢通、網點終端和自助設備是否運行正常、應用系統是否正常服務、是否有異常交易、網絡是否遭到非法入侵等,都必須納入實時監控范圍,以確保在第一時間發現問題和風險點,及時采取應對措施,防患于未然。
