信息安全風險管理范文

導語：如何才能寫好一篇信息安全風險管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

關鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質，可以看作是動態地對信息安全風險的管理，即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規則），給出了一個非常經典的信息安全風險管理模型，如下圖一所示：

圖一信息安全風險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監控與評估－維護和改進）的循環過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關標準、結合企業信息系統實際情況，建設適合于自身的ISMS信息安全管理體系，ISMS的構建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內定義信息安全策略、方針和指南

（3）對范疇內的相關信息和信息系統進行風險評估

a)Planning（規劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風險分析）

uAssetsIdentification&valuation(資產鑒別與資產評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點分析）

u資產/威脅/弱點的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風險結果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護措施）

e)Monitoring&Implementation（監控和實施）

f)Effectestimation（效果檢查與評估）

（4）實施和運營初步的ISMS體系

（5）對ISMS運營的過程和效果進行監控

（6）在運營中對ISMS進行不斷優化

3IP寬帶網絡安全風險管理主要實踐步驟

目前，寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高，且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理，以使得能夠動態的了解、管理和控制各種可能存在的安全風險。

由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1項目準備階段。

a)主要搜集和分析與項目相關的背景信息；

b)和客戶溝通并明確項目范圍、目標與藍圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風險進行聲明；

e)對客戶領導和項目成員進行意識、知識或工具培訓；

f)匯報項目進度計劃并獲得客戶領導批準等。

3.2項目執行階段。

a)在項目范圍內進行安全域劃分；

b)分安全域進行資料搜集和訪談，包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等；

c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產表、威脅評估表、風險評估表和風險關系映射表；

d)對存在的主要風險進行風險等級綜合評價，并按照重要次序，給出相應的防護措施選擇和風險處置建議。

3.3項目總結階段

a)項目中產生的策略、指南等文檔進行審核和批準；

b)對項目資產鑒別報告、風險分析報告進行審核和批準；

c)對需要進行的相關風險處置建議進行項目安排；

4IP寬帶網絡安全風險管理實踐要點分析

運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段，需要特別注意以下要點：

4.1安全目標

充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。

4.2項目范疇

應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統：如網管系統、AAA平臺、DNS等。

4.3項目成員

應該得到運營商高層領導的明確支持，項目組長應該具備管理大型安全咨詢項目經驗的人承擔，且項目成員除了包含一些專業安全評估人員之外，還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。

4.4背景信息搜集：

背景信息搜集之前，應該對信息搜集對象進行分組，即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含：

a)IP寬帶網絡總體架構

b)城域網結構和配置

c)接入網結構和配置

d)AAA平臺系統結構和配置

e)DNS系統結構和配置

f)相關主機和設備的軟硬件信息

g)相關業務操作規范、流程和接口

h)相關業務數據的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產品和已經部署的安全控制措施

k)相關機房的物理環境信息

l)已有的安全管理策略、規定和指南

m)其它相關

4.5資產鑒別

資產鑒別應該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組；然后可以在一級資產組內，按照功能或地域進行劃分二級資產組，如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組；進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別，鑒別其設備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應該具有針對性，即按照不同的資產組進行針對性威脅分析。如針對IP城域網，其主要風險可能是：蠕蟲、P2P、路由攻擊、路由設備入侵等；而對于DNS或AAA平臺，其主要風險可能包括：主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見，尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發生的概率，其發生概率評定非常困難，所以一般情況下都應該采用定性的分析方法，制定出一套評價規則，主要由運營商管理人員按照規則進行評價。

篇2

關鍵詞：電子信息；安全風險管理；信息科技；網絡信息

1電子信息存在的安全問題

信息科技的發展和信息時代的到來給人們生活帶來了極大的便利，讓人們的生活變得多姿多彩。此外，信息時代的到來也在逐步改變企業的商業架構，崛起了許多符合潮流發展的新興企業。但在信息科技不斷發展的過程中，電子信息安全問題也日益突出，人們對電子信息防范的安全問題也越發重視。電子信息的安全問題包括了信息的完整性、保密性、真實性、占有性、可用性和實用性，這也是確保信息安全的基本要求。具體信息安全分類如圖1所示。相關企業如果沒有強大的安全防范措施，一旦出現下面幾種情況就很容易導致信息泄露，引發電子信息安全風險。

1.1網民法律意識比較淡薄

網絡本身具備很強的虛擬性、隱蔽性和開放性等特點，每個人都可以是網絡信息的傳播者和制造者。當然，其中不乏有人利用一些手段，在這個虛擬世界為自己謀取利益，時常會發生的黑客入侵事件就是典型的例子。無論是商業間的相互競爭，還是不經意間犯的錯，都反映出網民對網絡犯罪的相關法律意識比較淡薄。近來年，網絡資源共享成為了社會焦點，動一動手指就能與世界分享各種信息。但因部分網民欠缺科技保護等法律知識，在分享資源的過程中，就很容易給電子信息企業造成危害，導致企業信息安全性下降，這些都不利于電子信息企業的進一步發展。除此之外，網絡上的不良和虛假信息泛濫，容易誤導網民，甚至出現一些對企業不利的群體攻擊性事件，反而間接地讓犯罪分子鉆了漏洞，盜取了企業的相關電子信息。

1.2電子信息安全管理技術比較落后

計算機網絡的開放性和隱蔽性讓網絡存在許多未知的不確定因素。比如計算機病毒，如果用戶在對計算機進行操作中不經意間打開了被植入的木馬病毒或者惡意網站等，就很容易導致電子信息出現安全問題，且當前很多病毒查殺軟件只能查殺相對明顯、普通的病毒，而對于隱蔽性強的病毒沒有效果，體現出了電子信息安全管理技術比較落后。

2電子信息安全管理策略研究

2.1計算機技術方面的管理

針對計算機應用軟件建立起安全防護措施，其中包括了數據庫操作系統、信息運輸、數據儲存、網站訪問和基礎設備等方面。比如，設置防火墻，加強對網絡訪問的控制，利用防火墻功效避免電子數據被非法拷貝；利用入侵檢測技術實現對電子信息安全風險管理的識別和探究；利用電子信息簽名技術防范電子文件遭受惡意濫用；利用身份實名認證進行登錄，避免黑客的入侵。與此同時，還要不斷加大防毒軟件和查毒技術的研究力度，讓計算機系統能得到全面升級，更加全面地攔截網絡病毒。

2.2電子信息的具體管理

在電子信息安全防范制度和防治措施的制訂過程中，要以信息檔案管理的特點和要求為基礎，并不斷培養信息管理人員的實際安全意識。建立起電子信息管理安全制度，并進行規范化管理。在設置電子信息訪問權限的過程中，必須對信息的網絡區域和類別進行規劃和部署，針對機密信息，必須進行單獨隔離；非機密的信息則運用授權管理方式來實現對信息的利用。電子信息在網絡儲存的過程中，必須以信息儲存頻率和用戶的具體要求為出發點，并進行分級儲存。因存儲介質的壽命不是很長，因此，可以制作紙質拷貝，從而達到雙向儲存的目的。針對電子信息資源的管理，可運用多人協同負責制度，開展崗位的定期輪換，以避免因個人的集中管理而導致電子信息風險的出現。

2.3建立電子信息安全保障體系

電子信息安全管理工作的開展，對管理能力的要求要比技術能力的要求更高，而做好預防措施的重點在于做好補救措施，所以，必須建立電子信息安全保障體系，提高電子信息的安全等級，從而達到預防信息安全風險的目的。電子信息安全保障體系的建立具體可從技術保障體系、管理制度保障體系、監督體系三個方面著手，讓計算機網絡的軟硬件能保持安全狀態。在對電子信息進行實際存儲和管理中，嚴格制訂并規范管理制度，做到重要檔案多次備份，并不斷強化追蹤和控制職能，管理人員之間要加強監督，從而有效保障電子信息安全體系的運行，確保信息的安全。

3結束語

在人們的生產、生活中，電子信息已具有非常重要的地位，但電子信息在不斷發展的過程中，各種信息安全風險也隨之產生，而信息安全事故一旦發生，就會給檔案信息造成很大的損害。因此，人們越來越認識到電子信息安全管理的重要性，并采取相應的措施來加強對信息安全的管理，從而規避電子信息風險，確保電子信息的安全。

參考文獻：

［1］王海景，李艷麗.電子信息檔案管理的風險控制策略［J］.學園，2015（05）.

［2］楊晗，袁野.淺談電子科技企業信息安全技術［J］.電子制作，2015（12）.

［3］何文濤.電子科技企業信息安全技術研究［J］.電子制作，2017（04）.

［4］于倩，李靈君.網絡環境下企業信息管理安全的對策分析［J］.網絡安全技術與應用，2017（11）.

篇3

 

1 風險管理概念解析

 

風險管理是組織管理活動的一部分，其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73：2009《風險管理 術語》中曾經指出，風險管理由一系列的活動組成，這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程，其準確的定義為：風險管理(risk management)是指在風險方面，指導和控制組織的協調活動。

 

與風險管理定義密切相關的，還有“風險管理框架”和“風險管理過程”兩個詞匯。

 

風險管理框架(risk management framework)是指為設計、執行、監督、評審和持續改進整個組織的風險管理提供基礎和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個有用的注解，分別為：風險管理框架是要素集合，這個框架并不是單獨存在的，這就體現了風險的特點之一，就是一系列的“點”，這些點是要被嵌入(be embedded)。特別值得指出的是，校準(align))、整合(integrate)和嵌入(embed)是信息管理安全領域，也是整個管理學領域的常見詞匯。其中，在戰略層面一般強調校準，即無論是信息安全的戰略還是信息系統的戰略，都應該與組織的整體戰略保持一致。在更細的策略或流程層次，則強調整合或嵌入。例如，已經有人力資源的管理規程，需要嵌入安全管理的部分，或者已經有事件管理規程，將其與信息安全事件管理進行整合。總之，校準、整合和嵌入是值得深入研究的三種方法。

 

風險管理過程強調的是系統化的策略、程序和方法。這三者關系如圖1所示。

 

風險管理過程才體現了信息安全應該如何做(how)的問題。

 

嚴格講，風險管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出： 風險管理的階段劃分僅作示意。

 

2 風險評估及其過程

 

在GB/T 23694—2013 / ISO Guide 73：2009中，風險評估并不是作為一個單獨的過程定義的。其中定義為：風險評估(risk assessment)包括風險識別、風險分析和風險評價的全過程。

 

風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當時并沒有單獨把“風險識別”作為一個單獨的階段?；蛘哒f，在當時的定義中，“風險識別”是作為“風險分析”的一個階段而出現的，詳細定義為：風險評估包括風險分析和風險評價在內的全過程。

 

為了更好地理解其中的變化，我們在表1中給出了風險評估包括的階段的術語定義。

 

無論如何劃分，風險評估都要完成下面這些活動：

 

在上述三個步驟中，步驟一與步驟二較為通用，或者說，截至到風險分析階段，我們需要確定風險的等級，這都可以按照通用的標準或方法提前定義好。步驟三則不同，這個步驟需要結合組織自己定義的風險準則。

 

3 區分風險評估與風險管理

 

我們可以簡單地認為，風險評估是風險管理的一個階段，只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程，那么風險評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務解決。而風險管理是在整個組織內把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應對(risk treatment) )。

 

風險管理是一個持續循環，不斷上升的過程，它被定義為一個持續的周期，每隔一個階段就開始新的循環，這些循環要貫穿組織的始終，是組織管理的一部分。風險評估則更像“搞運動”，其一般按照一定的時間間隔進行，但是如果發生組織業務變化、出理新的漏洞或基礎機構變化等，都可能啟動新的風險評估過程。

 

風險管理的循環過程不是在原地踏步的，它的每一次新循環都應該上一個新的臺階，呈螺旋上升的形狀。如圖3所示。

 

這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估，在每一次風險評估中都會發現潛在的問題，并在接下來的風險應對過程中加以解決，從而使組織管理風險的能力得到提升。

 

4 風險應對概念解析

 

無論風險評估步驟進行得多么完美，都只是找到了問題，而解決問題應該是組織的最終目的。風險應對的步驟就是評估、選擇并且執行這些改進措施的過程。

 

風險應對(risk treatment)是指處理8)風險的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個定義也有詳細的注解，包括：

 

“風險應對”定義的注1較為詳細，其中給出了可能的應對措施，其中1)規避風險，6)分擔或轉移風險以及)接受風險，與ISO/IEC 27001：2005的描述基本類似，)為尋求機會而承擔或增加風險更偏重組織業務角度視角，3)、4)與5)則是降低風險的基本途徑，這三項的任何之一都可以改變目前的風險狀況。

篇4

關鍵詞 信息工程安全系統 風險評估 控制

中圖分類號：X92 文獻標識碼：A

對項目風險管理來說，風險評估是對信息工程安全資產所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎，風險評估是確定信息工程安全需求的一個重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風險評估概述

風險評估是在綜合考慮成本效益的前提下，通過安全措施控制風險，使殘余風險降低到可以控制的程度。因為任何信息系統都會有安全風險，所謂安全信息系統，實際上指信息系統在實施了風險評估以后做出了風險控制，仍然存在殘余風險是可被接受的信息系統我們就稱為安全信息系統。追求信息系統安全就不能脫離全面完整的信息系統安全評估，就必須運用信息系統安全風險評估的思想和規范對信息系統進行安全評估。

風險評估的主要任務包括：（1）識別面臨的各種風險。（2）評估風險概率和可能帶來的負面影響。（3）確定承受風險的能力。（4）確定風險消減和控制的優先等級。（5）推薦風險消減對策。

1.1 信息工程安全系統項目風險評估概述

信息工程安全系統項目風險管理是圍繞信息工程安全系統項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估，因為基于風險評估可以對政府部門信息工程安全系統項目有系統全面的了解，找出潛在問題，分析原因，判斷嚴重性和相關影響，以此確定信息工程安全系統建設的需求。項目是一個過程，從項目的開始到結束，風險評估要求風險評估貫穿到信息系統的整個生命周期提出了三個環節要進行風險評估：一是信息系統規劃設計階段，二是系統驗收階段，三是信息系統運維階段。管理的不確定性，有限的資源和千變萬化的危險和漏洞，使得所有的風險不可能完全緩解。一個信息系統的項目專業人員必須要協同用戶、項目經理對信息系統各種潛在的影響進行評估，使其達到一個合理水平。

由于種種原因，信息安全系統存在著很多漏洞及缺陷，如黑客攻擊或系統本身的原因，會造成系統安全事件，給系統帶來不好的影響。因此，要對項目的信息安全風險進行相應的評估，評估的主要內容包括系統的安全漏洞和系統可能帶來的負面影響，根據相應的等級來進行劃分，評估出可能發生的安全風險。

1.2 信息工程安全系統項目風險評估過程

一般來說，系統信息工程安全項目風險評估分為四個不同的階段。

第一個階段：風險評估準備階段。

（1）根據相應的風險評估準則，調研項目的實際情況，然后制定風險評估的計劃表。按照實際操作來看，計劃通常要由三個重要的表格組成，這三個表分別是：《信息工程安全系統的描述報告》、《信息工程安全系統的分析報告》和《信息工程安全系統的安全要求報告》。通過這些表格及具體的計劃表，要對項目的風險評價進行計劃。計劃的內容一般要設計如下范圍：目的、范圍、目標、組織架構、經費預算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議，應該及時根據意見加以修改。只有獲得決策層的審核和同意后，計劃書才能獲得批準，才能夠獲得相應的資源加以執行。

（2）結合項目的具體實際，對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的，必須要結合具體的項目實際對評估的流程加以確定，如何工作，如何評估，評估結果如何衡量等。這個步驟，通常應該形成一個書面的《風險評估程序》，便于后面工作人員的具體操作。

（3）根據項目具體實際，選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別，具體的某個項目，有針對性地 選擇成本低，效果好，結合項目實際的具體方法和工具。

第二個階段：風險因素識別。

（1）對所有需要保護的信息資產加以清點。根據上文確定的三個相關報告，對單位或項目所有的資產加以清點，找出重要的、對安全有重大影響的信息資產并造冊，形成書面的《需要保護的資產清單》。（2）結合相關工具，識別出可能面臨的威脅。一般來說，目前信息安全行業都有相應的較為全面的威脅或漏洞庫，結合這些數據庫，對單位的具體資產進行詳細的清點和評估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據上面的工作，參照漏洞庫，可以對整個單位信息資產面臨的脆弱性加以評估，形成書面的《脆弱性列表》。

第三個階段：風險程度分析。

（1）確認單位目前已經采用的安全防范措施。通過書面形式，對單位目前已經有的具體防范措施加以總結，填寫到《已有安全措施分析報告》。（2）對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為：涉及利益者的攻擊、對系統好奇、對自己的技術自負等，要形成書面的《威脅動機分析報告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估，包括強度、廣度、深度等。（4）分析信息資產的價值。信息自查的價值主要從以下幾個方面來評估：關鍵性，價格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產損失，任務妨害，人員傷亡等。

第四個階段：風險等級評價階段。

（1）對威脅的動機加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統脆弱性加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產價值加以評估，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認的具體算法。但各單位具體實際情況不一而足。所以，對于公認的算法可以進行修改，或者提出自己認為更符合實際情況的算法。

2 信息工程安全系統項目風險控制

2. 1 風險控制概述

風險評估的目的是進行風險控制，進而最大可能排除系統面臨的風險。所以，在信息風險評估之后，就要進行風險控制，其目的是為了盡可能降低系統面臨的風險和漏洞。而系統的風險和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內，盡可能控制在可以接受的范圍。一般來說，為了控制可能發生的風險，主要采用以下幾種方式：（1）規避風險。規避就是避免使用。例如有一些信息資產面臨很大的風險，如果完全消除風險，需要很大的成本，需要更多的經濟投入等。那么，一個比較可行的辦法就是避免使用這樣的資產，或者一些敏感的、需要保密的數據，不在這些資產上使用，從而規避掉可能發生的風險。（2）轉移風險。這種方式的思路，就是將已經面臨風險的資產轉移到風險較低，或者沒有風險的資產上。如某單位需要處理技術上足夠復雜，沒有能力處理的業務時，可以通過尋求外包給第三方專業機構的形式，要求對方做好風險處理，從而達到轉移風險的目的。（3）降低風險。降低風險就是在資產面臨風險時，通過各種手段和方法來降低其面臨的風險。

2.2 信息工程安全系統項目風險控制過程

在信息工程安全項目管理中，風險控制可以劃分為四個階段，分別是：現有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。

在不同的階段，進行不同的工作流程和具體內容，分別如下：

第一階段：預備階段。在本階段，主要是對單位現有的信息資產激進型識別、編號、評估并造冊，形成書面報告。

第二階段：現存風險判斷。在本階段，通過各種工具和方法，對系統信息資產面臨的風險加以評級。一般來說，風險的評級主要分為兩種：可接受的系統風險和不可接受的系統風險。然后，對系統目前存在的一些風險加以判斷，到底是否能夠接受。

第三階段：確定風險控制目標。本階段主要的工作流程和內容包括：（1）分析風險控制需求。針對上面提出的不可接受的風險，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風險控制目標。完全搞清楚其具體需求后，就可以確定風險控制的目標。

第四階段：控制措施選擇與實施。

控制措施選擇階段的工作流程和內容如下：（1）選擇風險控制方式。確定目標后，就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況，能否實現以及經濟投入成本、投入產出比等。（2）選擇風險控制措施?？刂拼胧嵤╇A段的工作流程和內容如下：①制定風險控制實施計劃：選擇好相應的風險控制方式后，即可制定具體的實施計劃。實施計劃必須為書面，便于后面的審查以及對照。②實施風險控制措施：采用規避、降低、轉移等具體方式來控制。實施過程應該遵循相應的工作流程和標準，并書面記錄在案。

3 結語

當前網絡信息安全技術發展迅速，任何信息系統都會有安全風險。沒有任何一種解決方案可以防御所有危及網絡信息安全的攻擊。因此我們需要不斷跟蹤新技術，對所采用的網絡信息安全防范技術進行升級完善，以確保相關利益不受侵犯。

參考文獻

[1] Stuart McClure 等.黑客大曝光――網絡安全機密與解決方案[M].北京：清華大學出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術的研發與運用[J].信息通信，2013.

篇5

[關鍵詞]金融機構；信息資產；操作風險；風險管理

金融機構操作風險具有不同于信用風險和市場風險的顯著特征，是其基礎性風險。巴塞爾委員會對操作風險的定義是：“操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險?！彼侵赣捎诓划敾虿蛔愕姆绞讲僮鳂I務或外部事件而對銀行業務帶來負面影響的可能性。操作風險是與銀行業務操作緊密相聯系的風險，它和信用風險、市場風險共同構成商業銀行的三大風險。對于操作風險的監管。直接涉及銀行信息資產風險的監管，銀行信息資產風險監管與操作風險監管有著密切關系，加強操作風險的監管，就必須高度重視信息資產風險的監管。

一、IT環境下操作風險的挑戰

(一)IT環境下操作風險的隱患

當前由于銀行系統漏洞或缺陷導致的操作風險事件呈現出上升趨勢。據銀監會通報，2007年以來銀行業發生的5起典型信息系統風險事件，分別是：2007年3月21日，交通銀行因主機監控軟件存在缺陷，導致業務交易阻塞，系統癱瘓近4個小時，所有營業網點無法正常開展業務；2007年8月15日，中國工商銀行對計算機系統進行升級，由于沒有避開業務高峰期，導致個人業務系統運行不暢，業務辦理速度緩慢，部分證券業務受阻，在持續5個半小時后，系統才逐步恢復正常；2007年10月18日，中國建設銀行股民保證金第三方存管系統出現故障，與券商的交易無法正常進行，事故持續了兩個小時，在證券交易收盤后才恢復正常；2007年12月21日，招商銀行因運行中心核心網絡設備出現故障，造成業務無法正常進行，雖啟動了應急預案，但仍然中斷營業近1個小時：2008年1月7日，北京銀行因主干專線的入戶接入設備發生故障，造成在京117家支行所屬網點柜臺交易緩慢，業務無法正常進行，故障在1個多小時后才得以解決。上述案例中，既有信息系統自身原因引發的故障，也有人員操作失誤引發的故障，信息系統風險已成為商業銀行關注和防范的焦點。

金融業信息技術事故統計表明，如果銀行系統中斷1小時，將直接影響該行的基本支付業務；中斷1天，將對其聲譽造成極大傷害；中斷2―3天以上不能恢復。將直接危及其他銀行乃至整個金融系統的穩定。目前。我國銀行業的IT建設正處于高速發展期，在設備規模和技術水平不斷提高的同時，信息科技風險管理顯得相對薄弱。

技術型操作風險的隱患源于：1.操作系統漏洞。銀行應用的Unix，Win-dows等操作系統存在一定安全隱患；2.安全設施的漏洞。網絡層、應用層的防火墻自身是否安全、設置是否錯誤，需要經過檢驗。美國一項調查表明，32％的泄密是由內部作案造成，所有的防火墻都不同程度地被黑客攻擊過；3.安全管理的漏洞。現有的一些信息系統缺少定期的安全測試與檢查，更缺少安全監控。在已破獲的采用計算機技術犯罪的案件中，內部授權人員作案的占58％；4.安全協議的漏洞。由于銀行網絡系統內部運行的各種協議(如TCP／IP，IPX／SPX等)是在資源及網絡技術均不成熟的情況下設計的，還存在著脆弱的認證機制、容易被竊聽和監視、易受欺騙等安全隱患；5.內控制度的漏洞。管理制度、運行規程不完善，不能有效地杜絕內部作案，更缺乏良好的故障處理反應機制。

(二)lT環境下操作風險的表現形式

技術導向型操作風險是指由于技術問題，特別是信息技術的應用對銀行的系統、流程、產品、服務和交易等產生不良影響而導致的操作風險，包括IT技術、網絡系統、產品的服務缺陷。以及外部法律、稅收和監管方面的變化對銀行沖擊而造成的風險。關于金融機構技術導向型操作風險涵蓋的范疇及其風險的含義，在2006年出臺的銀行業監督管理法中給出了明確定義：“主要包括總體風險，研發風險、運行維護風險、外包風險等信息系統生命周期幾個高風險點……其中，總體風險是指金融機構信息系統在策略、制度、機房、軟件、硬件、網絡、數據、文檔等方面影響全局或共有的風險；研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險；運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險；外包風險是指金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委托給業務或外部技術供應商時形成的風險。”

二、金融機構信息資產安全的需求

金融機構信息系統是指銀行業金融機構運用現代信息、通信技術集成的處理業務、經營管理和內部控制的系統。金融機構信息系統具有如下特點：1.金融信息化的建設以及網上銀行業務的迅猛發展，使得銀行等金融機構的業務集中度非常高。2.數據大集中后，由于單筆交易所跨越的網絡環節越來越多，信息系統對網絡的依賴性越來越高。3.信息安全性要求高，信息系統的各種文檔資料和用戶資料均需保密。

(一)信息資產安全的邊界

有關信息資產的含義，目前眾說紛紜，本文借鑒屈延文(2006)給出的定義，即信息資產是由信息范疇資產、系統范疇資產和附加范疇資產組成。其中信息范疇資產是指信息存在形式、信息內容、內容價值；系統范疇資產是指系統存在形式、系統行為、行為價值；附加范疇資產則是不同的關注者(計劃者、擁有者、設計者、實施者和用戶等)對信息與系統兩個范疇關注的需求價值(附加價值)。例如包括開發、運營、管理、維護和服務等產生的關注性的資產。

隨著信息技術的發展與應用，信息安全的內涵也在不斷的延伸。從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。

(二)信息資產安全性原則

信息，在ISO17799中被看作是一種資產，這種資產可以增加組織的價值，因而它也需要得到恰當的保護。信息資產安全需要保護信息資源，防止未經授權或偶然因素對信息資源的破壞、修改、非法利用或惡意泄露，以實現信息保密性、完整性與可用性的要求。在國際標準化組織的信息安全管理標準規范(1SO，IEC 17799)和其他一些機構的文

獻中，都定義了信息安全的基本特性：如保密性，完整性。有效性；另外也可包括諸如真實性，可審計性，不可否認性和可控性等。

三、金融機構信息資產操作風險監管的對策

風險監管是信息資產安全管理的核心。信息系統風險管理的目標是通過建立有效的機制。實現對信息系統風險的識別、計量、評價、預警和控制，推動銀行業金融機構業務創新，提高信息化水平，增強核心競爭力和可持續發展能力。

(一)信息資產操作風險管理的原則和目標

實施信息資產風險管理的原則為：1.針對性。對金融機構信息資產所面臨的安全需求進行認真全面地分析，找出具有針對性的安全威脅。有的放矢地做好安全工作：2.均衡性。對信息安全的各個環節進行安全強度分析，找出信息安全的脆弱點，提出強度均衡的設計方案；3.時效性。在實施信息安全管理時，要量力而行，安全投入與所需要的功效相適應。即對信息安全面臨的威脅及可能承擔的風險進行定性和定量的分析，從而制定出合理的安全策略；4.獨立性。信息安全所采用的技術均應立足國內，不得直接引用未經消化改造的境外安全保密技術和設備；5.綜合性。信息安全必須通過技術、管理和安全基礎設施的綜合實施才能奏效，即信息安全=風險分析+執行策略+基礎實施+漏洞監測+實時響應。

金融機構信息資產安全管理的目標為：一是對信息資產安全現狀做出正確判斷；二是較為準確地估計特定系統風險；三是建立相應的控制風險的機制，并把這些機制融為一體形成防護體系；四是最大限度地提高系統的可用性，并把系統帶來的風險控制在可接受范圍內。

(二)構建信息資產操作風險管理框架

金融信息化環境下，很多機構的信息資產面臨諸多威脅(包括來自內部的威脅和來自外部的威脅)。威脅利用信息系統存在的各種漏洞(如：物理環境、網絡服務、主機系統、應用系統、相關人員、安全策略等)，對信息系統進行滲透和攻擊。如果滲透和攻擊成功，將導致企業資產的暴露。資產的暴露(如系統高級管理人員由于不小心而導致重要機密信息的泄露)，會對資產的價值產生影響(包括直接和間接的影響)。風險就是威脅利用漏洞使資產暴露而產生的影響的大小，這可以為資產的重要性和價值所決定。對企業信息系統安全風險的分析。就得出了系統的防護需求。根據防護需求的不同，制定系統的安全解決方案，選擇適當的防護措施，進而降低安全風險，并抗擊威脅。

信息安全風險是人為或自然的威脅利用系統存在的脆弱性引發的安全事件，并由于受損信息資產的重要性而對金融機構造成的影響。資產、威脅和脆弱性構成了風險的三個關鍵要素，而風險評估則是圍繞這些要素及其相關屬性依據國家有關管理要求和技術標準，對信息系統及其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。本文借鑒MSF風險管理框架，建立以操作風險管理為核心的信息資產安全模型。即風險識別、風險分析和分級、風險計劃和調度、風險跟蹤和報告、風險控制以及風險學習六個步驟。

1　風險識別。風險識別的目的是發現潛在的威脅，預防某個特定威脅利用某個特定系統的脆弱性對系統造成損失，威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環境因素。風險識別應該在信息系統的生命周期中不斷地重復。

2　風險分析與分級。風險分析是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。它是確認安全風險及其大小的過程，即利用定性或定量的方法，借助于風險評估工具，確定信息資產的風險等級和優先風險控制。

3　風險計劃和調度。風險計劃提取風險分析中獲得的信息并用其明確表達策略、計劃和工作。風險調度可以確保計劃被認可并融入標準的日常信息資產安全管理進程和基礎設施中，從而確保風險管理作為日常工作的一部分執行。

4　風險跟蹤。風險跟蹤監控特定風險的狀況以及它們各自工作計劃中的進展情況。風險跟蹤也包含監控變化風險的概率、影響、暴露程度以及其他因素，這些變化可能改變優先級或風險計劃、信息資產特性、資源或是進度表。風險跟蹤從風險等級的角度定義風險管理過程在信息資產中的可見度。

5　風險控制。風險控制是執行風險工作計劃和相關現狀報告的過程。風險控制也包含項目變化控制請求的初始化，而風險狀況或風險計劃的更改可能導致信息資產特性、資源或進度表的更改。

6　風險學習。使知識和相應項目案例及工具正式化，并在團隊和企業內部以可再度使用的形式提取知識。

信息系統的安全性、可靠性、有效性直接關系到整個金融業的安全和穩健運行。在當前構建和諧社會的重要階段，金融業的安全變得更為關鍵。操作風險防范的重要內容就是從技術防范為主的被動信息安全轉移到以預防為主的主動風險管理框架中來，把風險控制在可承受的范圍之內，為社會提供安全、持續的金融服務。

趙秀云教授簡介

篇6

關鍵詞：通信安全；通信監理；安全風險管控；

中圖分類號：C93 文獻標識碼：A 文章編號：1009-914x（2014）26-01-01

隨著時代的發展，通信已經漸漸的融入了人們的生活，并成為人們生活中最主要的聯絡方式。而通信安全是人們現在最關心的事情，通信監理顯得尤為重要，由于目前的通信信息和內容常常出現被他人盜取等不安全事件，所以監理企業對于安全風險管控的力度也在不斷地加強，監理企業的責任和工作壓力也在不斷地增大。保障通信的安全所需要的各不相同，許多不可預見的因素也存在很多，這些因素均影響著通信的安全效果，這也對監理企業安全風險管控有著更高的要求。

一、 通信監理安全風險工作

（一） 通信事業的發展現狀

改革開放以來，我國的各行各業、各方各面的發展都很迅猛。在通信方面也有了迅猛的發展，從過去人們手中的呼機到風靡一時的“大哥大”，都可以看出我國通訊事業的發展。再到現在每家都有的電話和以互聯網為支撐的中國通信，可以看出中國的通信事業已進行了一次又一次的革命性的進步。通訊事業的發展一直是人們熱點關注的事情。到現在人們所進入的3G時代和正在向我們招手的4G時代，都讓人們為之瘋狂與欣喜。這些都是人類智慧的結晶所在。但是，就算通訊技術發展如此之快的中國，也不是世界的佼佼者。通信市場在世界上來說競爭力很大，看往外面的國家我國的通信事業存在著很大的不足，我們還應繼續努力，迎接通訊事業上更大的挑戰。

（二）通信監理安全風險工作的概念

所謂風險是指在預期的結果之外可能會發生的損失的不確定性。通信監理安全風險工作就是指在人們正常的使用通信設備時可能在預期的好的結果之外不良的后果或不利的影響，我們對這些不好的結果或不利的影響進行監督和管制，并做好預防的措施。簡單點來說就是監理在通信中所能出現的任何的安全性的不利因素。而這些風險確實隨機的、客觀存在的，有可能因為人們通訊設備的不良所造成安全性問題的出現，也有可能因為我們或者企業不正當的使用通信工具或通信設備所帶來的影響，這些風險的發生有可能是偶然的也有可能是必然的。這些風險的發生是一個隨機的事件，是眾多的風險因素所造成的。所以通信理安全風險工作不僅要防治那些惡意的破壞和盜取，還要盡量減少這些偶然因素對通信安全造成的影響。

（三）通信監理工作的內容

通信監理工作包括對于通信安全的網絡監控、對于通信的日常維護、對其進行合理的優化調整、對于通信障礙的合理處理和做出一些對于通訊安全障礙的應急措施等各個環節的工作。通信監理要求我們對這些可能出現或可能遇到的風險進行評估分析和處理，還要求我們對那些潛在的風險進行預測和識別，并對其加以處理。對那些客觀存在的風險，我們應該做好應對的措施，或者從客觀上徹底的解決這些存在的風險，這個工作似乎很困難，所以我們要從經濟的角度出發，以最低的消耗，實現對風險最有力的、最有效的解決。對于一些惡意的破壞，我們要做好多方面的防御和追蹤，讓我們盡量的將這些風險可能造成的損失降到最低。我們的工作就是做到對于這些風險運用最合理、最有效、最科學的辦法來實現安全風險最小化，合理的處置這些風險和這些風險帶來的不良的后果?；蛘哒f通信監理安全風險工作的最主要目的就是實現對通信安全的最大的保障。

（三）通信監理工作的意義

通信現在為大多數人和大多數企業所使用，而且還被用在很多重大事件的通信方面，所以保障通信的安全是最重要的，這也就體現了通訊監理工作的重要性。通信監理工作可以有效地保障通信內容和信息的可靠性和安全性。防止一些破壞分子的惡意破壞，導致通信的癱瘓或紊亂，有效地保障人們和企業的通信的順暢，減少了很多不必要的麻煩。還可以通過通信監理工作對一切有客觀原因引起的通訊安全與障礙的進行處理應對，有效地降低風險，提高通訊的質量與安全。

二、安全風險管控

（一）風險因素分析識別方法

中國現如今有很多大型的通信企業，這些企業就要對風險做好提前的預防和解決的措施。首先我們要對這些依然存在的或潛在的風險進行識別。常采用調查法、對未來信息的預測法和根據時態發展的復雜性對其進行有效地辨別。并對這些風險進行分析，常采用結構分析的方法進行。由總體到細節，層層瓦解分析，并得出可能造成的威脅和潛在的后果，并對這些威脅和后果做出有效地防范措施和合理的應對方法。

（二）防范安全風險的措施

有效的防范這些安全風險可以減少監管企業的很多不必要的麻煩，并且可以有效的保障一些大型企業的商業機密和個人的通信質量和安全。所以我們要做一些有效地措施對其進行防范。首先，我們要避免一些內部通訊人員的不良的操作。為了避免內部人員帶來的安全風險，我們應該定期的對內部人員的操作進行審核和監督，并對內部人員惡意破壞通信安全進行處罰，如屢教不改也可加大對其內部人員破壞的處罰力度并借助政府的力量對其進行處罰。其次，我們要盡量的減少由外部因素帶來的安全風險的影響，在通訊設備上我們盡盡我們的努力做到最好，消除由外部通訊設備的不良而造成的通訊安全風險的影響。最后，對于通訊企業和通訊監理企業，應該做好自己的本分，做好風險的識別、分析，并對這些風險做好防范，提前做出應對措施。保障每個人的通訊安全。

在通訊中，風險往往被人們認為是不確定性的，主要包括資源的訪問和控制、鑒別、完整性、機密性和有效性等。

（1）訪問的控制：只能允許已授權的設備和個人使用網絡資源

（2）鑒權認證：可以確認要參與到的身份（如設備，個人等）。AAA認證技術可用來進行鑒權認證

（3）完整性：信息在傳遞過程中不可被未經授予權的刪除、修改、復制或添加

（4）有效性：在受到意外影響時，不會拒絕授權用戶的行為

（三）通信監理工作的意義

通信現在為大多數人和大多數企業所使用，而且還被用在很多重大事件的通信方面，所以保障通信的安全是最重要的，這也就體現了通訊監理工作的重要性。通信監理工作可以有效地保障通信內容和信息的可靠性和安全性。防止一些破壞分子的惡意破壞，導致通信的癱瘓或紊亂，有效地保障人們和企業的通信的順暢，減少了很多不必要的麻煩。還可以通過通信監理工作對一切有客觀原因引起的通訊安全與障礙的進行處理應對，有效地降低風險，提高通訊的質量與安全。

三、 小結

在這個發展迅猛的社會里，通訊已經成為我們不可缺少的成分。而對于通訊的質量和安全是我們最為看重的，通訊安全的保障同時也保障了我們的私有生活的安全和企業機密的安全性。本文主要就通訊監理風險管控進行分析和探究，意在保障通訊的安全，將通訊安全風險帶來的損失降到最低。

參考文獻

[1] 劉鐵忠；張振華；陳妍；李志祥；；國防科研人員保密素質影響因素SEM建模研究[J]；北京理工大學學報（社會科學版）；2010年04期

[2] 李晗；魏海燕；潘煒；；校園網絡中信息安全及保密問題淺析[J]；信息安全與通信保密；2011年03期

[3] 李洪敏；劉鴻強；陳志；盧敏；凌榮輝；；新時期科研機構保密工作的難點及對策[J]；信息安全與通信保密；2008年09期

[4] 國家保密局副局長叢兵指出：要加強信息安全保密管理工作[J]；信息安全與通信保密；2004年11期

篇7

一、檔案數字化管理是時展的最佳選擇

面對檔案數字化存在的問題有人可能會產生疑問，既然有可能不安全，為何還要實現檔案管理的數字化呢？這就不得不提出檔案管理數字化帶給人們的便捷了。對比以前的檔案管理方式，不僅需要占用的管理人員多，而且管理效率低，出錯率高，管理人員勞動負擔重。但是當計算機和互聯網的發展應用到生產、生活的各個方面時，我們不禁想到了將檔案管理工作也交給計算機和網絡。這樣不但便于檔案的保存和查詢，而且提高了管理的效率，降低了檔案管理的出錯率，還讓信息的搜集變得更加容易，更加快速，可以說是構建了信息搜索的“高速公路”。這么多的優點，使我們不得不選擇將檔案管理數字化，替代傳統的人工管理的舊方法。

二、檔案管理數字化中的信息安全風險

正如上面所說的，我們將檔案進行數字化管理就必須要利用計算機和網絡，而網絡是存在風險的，進而就是說，我們計算機中的各項檔案信息也是存在風險的。這些風險可能是由于網絡中的一些不法分子利用我們的檔案信息去從事詐騙或者其他犯罪事宜。尤其是一些計算機和網絡技術水平超高的黑客，憑借自己的技術將檔案中的信息弄到手，或者導致網絡癱瘓影響正常工作的進行。比如說可能會因為黑客的入侵導致檔案泄密，也可能因網絡癱瘓而影響正常工作的進行等。

三、檔案管理數字化中的信息安全風險的控制

對于在檔案管理過程中出現的信息安全風險，我們必須要進行控制并提出對應的解決對策，這樣才能保證檔案的安全和我們的工作可以正常地進行。我們可以從以下幾個方面來應對。

（一）從檔案信息的錄入、接收者開始防范

面對著檔案信息可能出問題的環節，我們就必須從源頭開始控制并預防。對于檔案信息的錄入者和接收者要進行規范，首先避免檔案信息會從他們這里漏出。

1.規范檔案信息錄入者的行為。我們要制定好明確地規范檔案管理者和檔案信息錄入者的行為指南，讓他們了解自己經手的信息是否可以在互聯網上公開。如果能的話，應該遵循什么原則，也就是要規范好檔案的范圍和界限以及保密級別。在規定范圍內的檔案信息可以在互聯網上公開，進行調閱。但要注意，檔案的保密程度會隨著時間的延長而出現變化，所以，我們要根據檔案密級的變化而調整檔案的保密還是開放，從而使檔案能夠更好的讓人們利用。而有一部分檔案的級別是不能公開的，比如涉及個人隱私的、知識版權的都是需要永久保密的。這部分檔案絕對不能在網絡上，所以檔案管理人員在進行具體操作的時候，必須既遵守國家的法律規定，又要遵循制定的檔案規律。這樣才能避免檔案對象的合法權益受到損害。

2.規范檔案接收者的行為。檔案接收者是那些對在網上已經的檔案信息下載或利用的個人或者組織。這些人的行為也必須加以規范，約束他們尊重別人的知識和版權，不非法占有和偽造，不對檔案信息進行非法修改，自覺遵守約束行為的這些規范。

（二）采取技術約束

除了依靠接收人的自覺遵守規范以外，還要加強技術方面的強制控制。比如，可以給檔案加密碼，有以下幾種方法：1.數字簽名法。讓使用人首先在互聯網上進行簽名，即身份確定，正好證明使用人的信息和身份的真實性，排除入侵者的可能性。2.加防火墻。使外部網絡無法輕易攻擊檔案信息所在的局域網，從而使內部信息不會被竊取或受到破壞。3.給檔案信息加上密鑰。將檔案信息設置成能看到一部分，即一部分明文，剩余部分需要密碼才能繼續瀏覽。

（三）必要的政策控制和授權控制不可缺少

篇8

當前,互聯網和電子信息技術的快速發展,為人們的生活、工作和學習提供了極大的便利,為推動國民經濟發展做出了突出的貢獻。但與此同時,信息安全逐漸成為制約電信運營企業發展的一個瓶頸,各種信息安全風險和隱患隨著互聯網的普及和信息技術的發展越來越值得關注,怎樣保障信息安全成為電信運營企業面臨的重要任務。本文結合電信運營企業的實際情況,對電信企業信息安全項目的風險問題進行了分析,提出了加強信息安全項目風險管理的要求和風險控制方法,闡述了電信運營企業信息安全項目風險管理策略,以供參考。

關鍵詞:

電信運營企業;信息安全;項目風險管理

近年來,我國電信網絡系統越來越成熟,電信用戶數量大幅上漲,而電信運營企業的信息安全系統建設相對比較緩慢,實際運行經驗和信息安全系統平臺管理都存在很多不足,這也使得各種信息安全事故頻發,給國家、社會和人們造成巨大損失。為了解決這個困境,電信運營企業必須積極構建完善的信息安全系統,投入更多精力和成本,加強信息安全項目風險管理,配備先進的網絡安全監控技術,實時掌握電信網絡安全狀態,全面提高電信網絡系統的安全性和穩定性。

一、電信運營企業信息安全項目存在的風險問題

(一)需求不確定電信運營企業的信息安全項目涉及相關硬件平臺、軟件系統以及信息安全保障內容,多種內容和因素的影響使得信息安全項目需求具有不確定性。一方面,用戶需求的不確定性,不同用戶對于同一個信息安全項目可以有著不同的要求和理解,而同一個用戶在不同地點、不同時間也會有不同要求;另一方面,工作量的不確定性,信息安全系統建設的工作量無法通過有效方法進行估算,很多信息安全項目都具有創造性,沒有先例可以參考借鑒,實際建設和估算計劃往往較大差異,項目計劃的不準確很容易造成預算超標、時間拖延,甚至整個項目的失敗。

(二)技術風險信息安全項目在某些方面都具有抽象性,這樣使得各個階段的項目設計沒有可以遵循和參照的規范,信息安全項目設計和傳統項目相比存在較大差異,設計和施工無法分離,前期的需求說明和要求不能確定對于后期設計是否充分和完整,存在很多技術方面的風險。由于組織設計存在問題或者缺陷,信息安全項目功能無法達到用戶要求,例如,信息安全項目運轉效率較低,無法保障信息安全質量;相關信息安全資料不方面,使用和理解不方便;信息安全項目響應速度過慢,無法滿足用戶要求。同時,數據庫設計不合理也是信息安全項目面臨的常見技術問題,代碼設計不全面、數據完整性控制不足、數據冗余等,都導致信息安全項目存在潛在風險。

(三)進度風險對于信息安全項目,嚴格控制項目進度、優化項目進度管理,確保整個信息安全項目在規定時間內完成是電信運營企業信息安全項目風險管理的重要內容,但是在實際應用中,一方面前期的規劃設計方案不合理,后期開發建設過程中出現各種問題;另一方面,信息安全項目實施過程中出現問題或者遇到意外,又沒有有效的補救辦法,造成工期延誤。一旦信息安全項目被延誤,僅通過增加工作人員無法有效地進行彌補,開發設計人員之間需要溝通交流和默契配合,而隨著工作人員的增多,會加劇信息安全項目設計開發的復雜性,甚至導致更多的返工和混亂。

(四)成本風險信息安全項目的實施成本主要包括維護費用、軟件培訓費用、使用許可費用、硬件費用等,在具體的應用過程中,結合時間安排和項目進度,怎樣合理分配應用費用,有效控制應用成本是電信運營企業需要面臨的重要問題。若信息安全項目無法按照相關進度計劃有效開展,會導致實施成本增加和時間延誤,即使信息安全項目被使用,也達不到預算和時間要求。

(五)其他風險信息安全項目風險管理和安全管理人員、工作目標、組織結構、信息網絡、信息系統、網絡架構等有著密切的關系,并且信息安全項目開發設計是一個勞動密集型任務,每個階段都需要有人的參與,但是人的行為是很難預測和控制的,因此人的因素使信息安全項目存在很大不確定性。

二、電信運營企業信息安全項目風險管理策略

電信運營企業的信息安全項目具有復雜性、創造性、一次性等特點,建設過程中需要耗費大量的財力、物力和人力,而信息安全項目往往是風險和收益共存,項目規模越大,利潤越高,但是風險也越高,信息安全項目必須進行有效地控制和管理,但是這些項目往往受到多種因素的影響,管理控制不到位,就會造成項目無法達到預期目標、工期超出計劃、投資超出預算等。在實際應用中,電信運營企業的信息安全項目風險管理必須做好以下幾點:

(一)制定風險應對計劃為了避免發生各種風險事件,應制定科學合理的風險應對計劃,結合電信運營企業的實際情況和自身特點,基于風險定量分析和定性識別,采取預防式策略,減輕或者避免風險事件,做好充分的準備工作,最大程度地降低或者消除信息安全項目風險事件發生概率。電信運營企業在制定信息安全項目的風險應對計劃時,應包括應急方案、資源需求、風險應對行動計劃、風險量化評估、風險定性識別等內容。結合項目應用條件、環境和項目自身的變化,根據專家經驗、歷史經驗、風險影響等判斷信息安全項目的風險征兆,有針對性地制定相應風險應對計劃。同時,信息安全項目的應急方案應堅持按需定制,對項目中的緊急或者特殊事件采取有效的應急控制措施,確保信息安全項目順利實施。

(二)風險主動控制基于信息安全項目的風險分析,電信運營企業應做好風險主動控制,全面控制和監督信息安全項目全過程。首先,結合已經識別的信息安全項目風險,整理和獲取當前風險狀態,結合已經發生的條件,判斷信息安全項目風險是否已經發展為問題。其次,結合風險分析和跟蹤結果,有效、及時地控制信息安全項目實施,結合風險應對計劃,確定采用怎樣的行動。電信運營企業對信息安全項目進行風險主動控制時,主要包括以下三個步驟:第一步,執行風險預防性措施,結合信息安全項目制定的風險應對計劃,做好風險的事前防范和控制,避免發生安全事故影響信息安全項目的進度、質量和成本,實施第一步時,結合信息安全項目應對計劃中的各種防范活動,做好事前管理和控制,對相應執行情況進行存檔,便于風險發展評估和執行效果跟蹤。第二步,確定風險,結合信息安全項目的風險定量分析結果進行風險評估排序,對不同階段內已經識別的項目風險,重點關注高影響風險,廣泛收集風險事件相關信息,跟蹤信息風險。第三步,判斷新情況,結合信息安全項目具體情況,根據風險控制和跟蹤結果,判斷是否存在一些沒有被識別的風險或者風險是否發生一些新情況,結合具體情況,重新調整信息安全項目管理計劃。

(三)健全信息安全項目風險管理制度電信運營企業應高度重視信息安全項目的風險管理,嚴格落實保密制度,加強保密監督,平衡保密和電信網絡系統信息資源開放共享的關系,強化電信保密管理,確保電信運營企業的信息安全項目順利實施。首先,對于電信運營企業的信息安全項目進行風險劃分,嚴格控制秘密信息;其次,落實保密審批和信息公開制度,構建信息安全項目風險管理責任制;再次,強化保密監督,信息安全項目風險控制和信息保護應由專門的工作人員或者機構負責,檢查和監督信息安全項目風險管理情況。

(四)加強風險管理控制首先,電信運營企業應認真分析信息安全項目的用戶要求和應用特點,安排專業技術功底好、實踐經驗豐富的工作人員進行開發設計,規劃設計階段應全面考慮到信息安全項目的各種影響因素,制定科學合理、切實可行的風險管理計劃。其次,加強信息安全項目進度風險控制,一個項目的順利實施需要很多工作人員的共同努力,通過加強風險跟蹤、風險分析、風險識別、風險管理等措施,加快信息安全項目開發速度,保障電信運營企業的經濟效益。最后,信息安全項目實施過程中一旦遇到問題或者發生安全事件,會給電信運營企業造成很大的經濟損失,在前期規劃設計階段,應做好成本投資計劃,充分考慮到信息安全項目的經濟利益和風險,在整個項目實施過程中加強成本風險控制,強化工作人員的責任意識,最大程度地確保信息安全項目的順利進行。

三、結束語

篇9

[關鍵詞]巴塞爾新資本協議；操作風險管 ；IS027001；信息資產

[中圖分類號]F831　[文獻標識碼]A　[文章編號]1006-5024(2009)04-0167-04

[作者簡介]董紅，北京航空航天大學經濟管理學院博士生，研究方向為風險管理與決策；(北京100083)

邱菀華，中國光大銀行總行風險管理部教授，博士生導師，研究方向為決策、風險與項目管理；

林直友，中國光大銀行總行風險管理部業務經理、碩士，研究方向為金融風險管理。(北京100045)

金融業的全面開放和金融服務的管制放松，以及高端化的信息技術，使銀行的業務、產品日益多元化，這直接導致其面臨的風險更為復雜和多樣。國內外銀行業重大違規事件及美國金融海嘯影響的迅速擴大，迫切需要國內外金融監管部門和從業機構反思對操作風險的管理和防范，加強合規管理。2004年的巴塞爾新資本協議，將操作風險正式納入資本監管范圍，并進一步提出了明確的監管資本要求。2007年我國銀監會再次對其進行解讀和說明。然而，由于操作風險情況復雜，與銀行自身的規模、經驗、業務特征等密切相關，具有和動態變化等特點。因此，探索適合銀行不同類別操作風險特點的管理和計量方法，是一項十分重要而緊迫的課題。

一、操作風險管理的困惑與問題

到目前為止，有關操作風險的定義、管理及計量問題一直困擾著各家商業銀行和監管機構，國內外銀行也未對它形成統一的認識。本文采用至今已被大多數銀行所接受的巴塞爾銀行監管委員會有關操作風險的定義，即由于不完善或有問題的內部程序、人員和系統或因外部事件導致損失的風險。新資本協議從風險監管的角度將操作風險事件劃分為七種類型，包括內部欺詐，外部欺詐，雇員活動和工作場所的安全問題，客戶、產品和業務活動的安全問題，銀行維系經營的實物資產損壞，業務中斷和系統故障，執行、交付和過程管理等。就其風險成因可分為人員、流程、系統和外部事件四大類。此外，按產品線將商業銀行的業務劃分為公司金融、交易和銷售、零售銀行業務、商業銀行業務、支付和結算、業務、資產管理和零售經紀類，并對每一類產品分別規定不同的操作風險資本要求系數，籍以用標準法計算操作風險總體資本要求。

巴塞爾委員會給出了管理操作風險的十大原則，但這些原則都是從宏觀角度要求商業銀行應該建立什么

樣的組織、制度和流程，并未給出管理操作風險的詳細方法和手段。實際工作中，我們發現信息資產是商業銀行極其重要的一類資產，在信息時代，一個機構要利用其擁有的資產，特別是信息資產來完成其使命，因此，對信息資產的管理關系到該機構能否完成其使命的大事。然而，由于信息資產對IT系統的依賴性很強，絕大部分具有無形化、易變化、易傳播的特點，且風險存在于其產生、傳遞、使用和銷毀等各個環節，與一般銀行產品相比，具有很大的獨特性。所以，我們建議將此類資產作為商業銀行一類獨特的產品線來進行管理。在實踐中，我們發現ISO27001為有效管理組織的信息資產、確保信息安全提出了一整套要求和最佳實踐指南。它從11個方面對信息資產的安全管理提出要求，其管理思想完全符合操作風險的管理原則，并且是在其原則基礎上的細化，如高層管理的支持和承諾、資源管理、風險評估、內部審核、信息的溝通、有效性測量和改進，等等?？梢?，ISO27001不僅適用于多數IT軟硬件開發等企業，同時也適用于銀行、保險等信息化程度較高的金融行業。

因此，我們希望能夠使用ISO27001的管理標準來細化商業銀行信息資產類產品的風險管理，進而按照操作風險管理的總體原則與其他類產品進行融合，最終實現在總體框架要求下對信息資產類操作風險的細化管理。

二、ISO27001簡介

ISO／IEC27001源自英國標準協會制定的BS7799，包括兩部分內容：BS7799―1信息安全管理實施細則和BS7799-2信息安全管理體系規范。其中，BS7799-1被ISO組織吸納為ISO／IEC17799，BS7799-2升版并轉換為國際標準ISO／IEC2700I，它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出組織應遵循的風險評估標準。

信息是一種資產，就像其他重要的業務資產一樣，對組織是不可或缺的，需要妥善保護。根據ISO／IEC27001的定義，資產是對組織有價值的任何東西。它能以多種形式存在，如有形資產(硬件、軟件、數據文件、人員等)、無形資產(聲譽、品牌、客戶關系等)、輔助資產(信息資產的制造、存儲、傳輸、處理、銷毀等)。信息安全就是指保持這些資產的機密性、完整性和可用性。另外，也可包括諸如真實性、可核查性、不可否認性和可靠性等。

1　機密性――信息具有不能被未授權的個人、實體或者過程利用或知悉的特性。

2　完整性――保護資產的準確和完整的特性。

3　可用性――根據授權實體的要求可訪問和利用的特性。

企業的業務戰略以企業的資產來得以體現，但資產自身不可避免地帶有漏洞，我們稱之為資產的脆弱性。外界的威脅則利用資產的脆弱性，給企業帶來風險。信息安全就是要保護信息資產免受威脅的影響，從而確保業務的連續性，縮減業務風險，最大化投資收益并充分把握業務機會。構建信息安全管理體系，就是通過對組織信息資產的風險評估，確定重要信息資產清單以及風險等級，從而采取相應的控制措施來實現信息資產的安全性。信息安全管理的核心是風險管理，其對象是組織的信息資產。我們將其作為操作風險管理產品線之外的第九類特殊產品線，評估其價值和風險，確定相應的安全需求，并制定安全措施來降低和控制資產的風險。

可見，信息安全風險，是指由于系統存在的脆弱性、人為或自然的威脅導致安全事件發生的可能性及其造成的影響，包括由于IT流程缺陷、系統的業務需求／流程控制缺陷、信息系統脆弱性、操作人員無意／蓄意失誤、外部事件等因素直接導致業務操作風險并間接導致信用、市場、聲譽等風險。它不僅存在于應用系統及IT基礎設施等信息資產中，而且存在于業務流程及管理流程中。ISMS是通過實施一整套適當的控

制措施來實現目標的，包括策略、過程、程序、組織結構和軟硬件功能，他們可以是行政、技術、管理、法律等方面的。IS017799包含了11個管理要項，既有偏重管理的信息安全方針、安全組織、資產管理、人員安全、物理和環境安全、事故管理、業務連續性管理、法律符合性等方面，也有偏重于技術的通信和操作管理、訪問控制、系統開發和維護等內容，每一部分都針對不同的主體或范圍，在這11個管理要項中，它又細分為39個控制目標和133個控制措施?？梢哉f，ISO／IEC27001是目前國際上關于信息安全管理要求最全面、最完整的體系，可有效防范信息資產風險，從而進一步鞏固操作風險的駕馭能力，保證組織核心業務的持續運行。

三、基于風險的信息安全管理體系的構建

信息安全管理體系是基于業務風險方法建立、實施、運行、監視、評審、保持和改進信息安全，提出了基于戴明環的Plan-Do-Check-Act(PDCA)風險模型，強調全過程和動態的控制，如圖所示。它的設計思路充分體現了“過程方法”的特點，以過程為控制對象，在業務和風險管理過程中控制風險，實現持續改進，并達到監管方要求實現的事前、事中、事后全程控制。

(一)策劃并建立信息安全管理體系

1　確定安全方針和范圍

信息安全管理體系可覆蓋組織的全部或部分，組織需根據業務特征、地理位置、資產和技術等明確界定體系的范圍，并使之文件化。另外，要制定ISMS方針和策略，它是指導如何對組織信息資產進行管理的規則，是構建信息安全管理體系的宗旨。它表明了管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。

2　資產的識別和評價

資產管理是實施有效ISMS的基礎，也是風險評估的核心內容。資產管理的優劣直接影響評估的效率和質量以及保持循環評估的連續性，而且有助于預見這些數據在之后風險分析中的重要作用。

資產識別A：為保證資產識別的合理性，建議組織從業務流程角度(縱向比較)和信息活動(橫向比較)兩個角度進行。在清晰識別資產后，組織應根據資產的重要性形成文件，建立資產清單，包含資產類型、格式、位置、責任人、備份信息和業務價值。

資產評價的目的是確保資產受到相應等級的保護，以保障在處理信息時指明保護的需求、優先級和期望程度。企業的所有資產都處在業務流程和相應的支持過程中，資產的重要程度，應根據其所處業務流程的位置，且與其它資產的比較中界定。通過分析資產的機密性、完整性、可用性及其它需求進行評估。對資產賦值時，一方面要考慮資產購買成本，另一方面也要考慮當這種資產的機密性、完整性和可用性受到損害時，對業務運營的負面影響程度。

3　風險評估

資產管理和風險評估是相輔相成，緊密相連的。在實際操作過程中，資產管理數據可為風險評估提供支持；而每次風險評估正是對資產管理數據進行修正和維護的過程。因此，定義全面合理的信息安全風險評估方法及風險可接受準則是十分關鍵的。評估方法要和組織既定的體系范圍、安全需求、法律法規相適應。另外，組織應建立風險評估文件，解釋和說明所選擇的風險評估方法，介紹所采用的技術和工具。

(1)威脅識別T：威脅是對組織及其資產構成潛在破壞的可能性因素或事件。評估者應根據經驗和有關統計數據判斷威脅發生的頻率或概率。

(2)脆弱性識別V：弱點是資產本身存在的，若被威脅利用將引起資產或目標的損害。我們將針對每一項要保護的信息資產，找出每一種威脅所能利用的脆弱性，并對其嚴重程度進行評估，為其賦值。

(3)對已有安全控制措施進行確認。

(4)建立風險測量的方法及風險等級評價原則，結合資產本身的價值、威脅發生的概率、威脅利用弱點的影響程度和已有控制等來確定風險的大小與等級R。即R=f(A，v，T)＝f[Ia，L(Va，T)]，其中Ia表示資產的重要程度；Va表示某資產本身的脆弱性，L表示威脅利用脆弱性對資產造成安全事件的可能性。

(5)識別并評價風險處理的方法，包括接受風險、降低風險、規避風險、轉移風險等。組織應加以分析，區別對待所識別的信息安全風險。若風險滿足組織可接受的風險準則，將接受風險。否則，考慮規避風險或轉移風險。若無法規避或轉移的風險，應采取適當的控制措施，將它降低到可接受水平。

(6)選擇控制目標和措施

選擇并建立文件化的控制目標和措施，制定風險處置計劃。ISO27001系列強調在風險處理方式及控制措施的選擇上，組織應考慮發展戰略、組織文化、人員素質，并特別關注成本與風險的平衡，以滿足法律法規及相關方的要求。另外，實施控制措施后仍會有殘余風險存在，我們需要密切監視這些風險，防止它誘發新的風險事件。

(7)獲得最高管理者的授權批準

風險識別和評估對后續可行的風險監測和控制至關重要。有效的風險識別要同時考慮內部因素(如企業結構、性質、文化以及人員的素質和流動性等)和外部因素(如環境的變化和技術的發展)，他們可能對組織目標的實現造成重大不利影響。在識別絕大多數潛在的不利風險的同時，組織還應該評估自身對這些風險的承受能力。通過有效的風險評估，組織可以更好地掌握其風險狀況和最有效地使用風險管理資源。

(二)實施并運行信息安全管理體系

闡明并實施風險處置計劃。在此過程中，組織應指明和分配適當的管理措施、資源(人員、時間和資金)、職責和優先級。針對不同的管理層次、崗位和職責制訂不同的培訓計劃，記錄并考核培訓的效果。通過提高全員的信息安全意識，塑造企業的風險文化，保證意識和控制活動的同步，確保體系的持續有效性和實時性。同時，組織應搜集證據、記錄信息安全管理活動，為將來的評審、檢查做準備。

(三)監視并評審信息安全管理體系

監控、評審階段主要用來加強、修訂及改進已識別的控制措施和解決方案。對不合理、不充分的控制措施應及時采取糾正和預防。組織可通過多種方式檢查和監視信息安全管理體系的運行狀況，如收集安全審核的結果、事故、以及所有相關方的建議和反饋；定期評審殘余風險和可接受風險的等級；通過內部審核和管理評審檢查信息安全管理體系的有效性、符合性等。此外，組織應做好記錄，并報告影響信息安全管理體系有效性或業績的所有活動、事件。

(四)改進信息安全管理體系

基于評審結果或其他相關信息，采取糾正和預防措施，以持續改進信息安全管理體系，開始新一輪的PDCA循環。改進活動和措施必須獲得所有相關方的認可，并確保達到預期目的。

四、信息資產類操作風險管理的實施建議

ISO27001是文件化的體系，它把傳統的銀行信息安全與IT治理、風險審計和風險評估結合在一起，產生了一個新的管理維度和應用維度。在國際標準化的大潮流下，將基于風險評估的ISO27001體系要求引入業務流程和風險體系，規范現有業務運作，全面提升員工的風險意識和責任，從而有效地降低內部欺詐等各類風險發生的幾率，做到從源頭防范風險，保護客戶信息。

篇10

近幾年來，在領導高度重視下，我們加大了信息科技建設的推進力度，大大縮小了與同業科技差距：建成了現代化、高標準的信息系統數據中心，初步形成同城生產和災備兩中心模式；全面開展網絡改造，將廣域網三級架構改為二級架構，各營業網點配置2條專線，分別直接上聯生產中心和同城災備中心，實現了業務網與互聯網專網進行物理隔離，增強了網絡系統的穩定性和安全性；建設完善了網上銀行、銀行卡系統、資金債券系統、信貸系統等應用系統，形成了結構清晰、業務功能基本滿足業務發展和經營管理需要的應用系統體系。相對于信息化建設發展水平的快速提高，我行的信息科技風險管理水平略顯滯后，也與監管當局的要求存在一定的差距。開發測試體系建設需進一步完善，代碼質量管理、Bug管理、開發過程管理、測試管理需進一步加強；系統運行管理有待改進，生產系統監控和流程管理自動化管理手段不足，邏輯訪問控制有待加強；業務連續性管理及應急體制建設有待加強，應制訂全行性的業務連續性規劃及應急演練方案，并定期更新，切實發揮相關部門職能，按要求組織開展應急預案的演練，提高應急演練的有效性和覆蓋面。李秀生:北京農商銀行的信息科技風險管理制度體系涵蓋開發測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內印發執行，確保制度的科學性、合理性和可操作性。信息科技風險管理進展為了提升信息科技風險管理水平，北京農商銀行根據監管要求，結合信息科技建設實際情況，不斷完善科技風險管理治理架構，初步建立了科技風險防控體系，有效預防和消除了科技風險事件的發生，確保了生產安全穩定運行和信息安全。

1.完善信息科技風險治理結構，明確信息科技風險“三道防線”的職責。成立了信息科技管理委員會，除了審議信息科技戰略規劃、推動信息科技建設的職能外，著重加強審議信息科技風險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風險管理職能，強化了科技風險管理體系建設中高層的推動作用；設置了首席信息官，直接參與跟信息科技運用有關的業務發展決策，確保信息科技各項工作的有效開展和落實；形成了由信息科技部門、風險管理部門及審計部門組成的信息科技風險“三道防線”。

2.持續建立健全信息科技風險管理制度體系。對現有信息科技制度體系進行了整體評估，重新梳理確定信息科技制度體系架構，建立包括制度、實施細則及技術規范（標準）三層架構的制度體系。同時規范對現有制度的管理，形成了《信息科技制度匯編》，涵蓋開發測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內印發執行，確保制度的科學性、合理性和可操作性，有效指導信息化建設和風險管理工作的開展。

3.事前、事中、事后管理并重，提升信息科技風險管理水平。一是強化風險防控意識，防范于未然。持續對全體科技員工進行風險意識教育，樹立對風險防控的高度敏感性和責任心，積極向員工傳導遵守法律法規和實施內部控制的重要性，培養員工的誠信和道德，規范員工職業行為，從源頭上控制、減少潛在風險的發生。二是健全內控機制，規范事中管理。科學合理設置科技崗位，明確每個崗位的職責、權限，建立了逐級授權和審批機制，并制定相應控制措施；規范崗位操作流程，重要操作如版本遷移、數據修改等實行雙人制，一人操作，一人復核，防止出現控制真空，產生風險；同時重視利用技術手段來強化風險管理，如批量作業自動化系統、系統和網絡監控系統監控系統的建成有效地提升了系統運維風險管理水平。三是加強信息科技風險的識別和檢查，持續督促、跟蹤整改，深入挖掘信息科技運行及管理存在的問題和潛在風險，制訂整改措施并積極整改。建立內部定期專項檢查機制，根據每年年初制訂檢查計劃，進行檢查，詳細記錄檢查結果，建立風險整改臺賬，定期對整改情況進行監督及跟蹤。除加強上述自查工作之外，還積極配合監管當局開展各項檢查，積極借助外部的力量幫助發現問題，查找隱患，從而提升科技風險防范能力。

4.加強信息安全體系建設，強化信息安全管理。完成了信息安全體系規劃，建立科學合理的信息安全體系框架，制定較為完善的信息安全策略；通過實施網絡邊界控制、內網與互聯網隔離、全面病毒防護、桌面系統監控、數據分級與使用保護等系列安全項目，建設形成覆蓋數據安全、網絡安全、系統安全和應用安全的綜合信息安全體系，確保生產系統安全和客戶信息安全，防范科技風險。未來的工作重點通過以上科技風險管理工作的開展，有效消除和防范了科技運行及科技管理中的風險隱患，近幾年我行未發生信息科技風險事件，科技風險管理水平和防控能力得到顯著提升。針對目前科技風險管理中存在的薄弱環節，未來信息科技風險管理的工作重點將體現在以下幾個方面。

1.進一步完善信息科技風險治理結構，持續推進科技風險“三道防線”建設。進一步明確信息科技風險治理結構中各級主體的工作職責，充分發揮各級主體的職能作用，形成職責明確、結構合理的信息科技風險管理架構；特別是加強風險管理部門對信息科技風險的管控，形成一個職責明確、功能互補、相互監督、相互制約、共同發展的信息科技風險防范的有機整體。

2.加強軟件開發質量管理體系建設，強化開發過程中風險的管理。建成基于我行現在的CMMI3級的軟件研發規范體系，通過CMMI3級驗收，全面推廣體系的應用，整個體系涵蓋了軟件的需求、設計、開發、測試等各環節，有效規范了整個開發過程的管理；落實需求歸口管理機制，推行重大項目需求評審機制，進行重要系統組織級方案評審，提高項目計劃管理和風險管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強化外包管理，規范外包人員工作量評估，加強外包人員工作環境管理。

3.進一步推進運維體系建設。加強對生產變更的風險評估，嚴格變更過程管理，嚴控變更風險；確保事件分級制度的落地執行，形成有效的事件升級和響應機制；進一步加強對問題的快速解決，并逐步深化問題的后續管理，從多維度進行生產問題分析，提高生產管理水平；充分發揮系統監控、網絡監控工具的作用，完成應用監控建設，全面了解系統運行狀態，及時定位故障；全面提高運維管理水平及風險防控能力。