導(dǎo)語：在信息安全風(fēng)險管理的撰寫旅程中，學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑，好期刊匯集了九篇優(yōu)秀范文，愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感，引領(lǐng)您探索更多的創(chuàng)作可能。

第1篇

多年來，許多組織大部分專注于病毒、垃圾郵件、混合威脅以及間諜軟件所代表的外部威脅。根據(jù)IDC的報告，全球信息安全遵從性和控制市場的價值在2005年大約是57.9億美元，而在2010年這一價值將達到149.2億美元。 在邁克菲近期的2007年十大威脅中，研究人員發(fā)現(xiàn)了創(chuàng)建惡意軟件的專業(yè)和有組織的犯罪不斷增長的證據(jù)，這些網(wǎng)絡(luò)犯罪都有一個負(fù)責(zé)創(chuàng)建惡意軟件的團隊，并且測試和自動生成及傳播。

構(gòu)建風(fēng)險管理戰(zhàn)略

IT管理人員每天都會接到有關(guān)系統(tǒng)漏洞、新軟件漏洞或新惡意代碼的警報，所有這些警報的安全級別很難一下子判斷出來。因此，結(jié)果往往是 IT 人員不由自主地被這類事務(wù)牽著鼻子走，采取既耗時又費力的行動，比如查漏洞、打補丁等。然而，這些行動不見能夠真正起到防護的作用。

安全風(fēng)險管理可以為企業(yè)提供必要的流程來提高安全性和法規(guī)遵從性。安全風(fēng)險管理的實施離不開CIO、IT 操作人員、網(wǎng)絡(luò)安全人員及業(yè)務(wù)主管人員的通力協(xié)作。由于有些系統(tǒng)和應(yīng)用程序更容易暴露在風(fēng)險之中，而IT部門無法獨自確定企業(yè)可承受的風(fēng)險等級。因此，IT 和業(yè)務(wù)管理人員需要通力合作來幫助企業(yè)確定資產(chǎn)優(yōu)先級和最大限度地降低風(fēng)險。

安全團隊可以建立明智的風(fēng)險管理戰(zhàn)略，使有限的資源可以集中于應(yīng)對企業(yè)面臨的最大威脅。任何公司都不會有足夠多的財力和人力用于完全消除其與 IT 相關(guān)的潛在風(fēng)險。因此，將所面臨的各種風(fēng)險量化，然后據(jù)此確定安全投資的優(yōu)先順序勢所必然。

新模型的三要素

為了量化風(fēng)險并確定補救措施的優(yōu)先順序，目前業(yè)內(nèi)比較前沿的一個模型從三個方面測量風(fēng)險：資產(chǎn)價值、資產(chǎn)易受攻擊程度以及各種現(xiàn)實威脅。

資產(chǎn)價值：每分鐘需處理價值數(shù)千美元交易的服務(wù)器顯然要比客戶服務(wù)代表的桌面機更為重要。因此，制定降低風(fēng)險的明智戰(zhàn)略需要清楚了解整個企業(yè)中各類 IT 資產(chǎn)所代表的企業(yè)價值。

資產(chǎn)易受攻擊程度：除具有不同的企業(yè)價值外，IT 資產(chǎn)存在其固有的不同程度的軟肋。提供公共網(wǎng)頁的系統(tǒng)比起根本就不連接到 Internet 的系統(tǒng)來，肯定更容易受到攻擊。鎖在配線櫥柜中的交換機要比距離公司安全數(shù)千英里遠(yuǎn)的膝上電腦更安全。

現(xiàn)實威脅：安全團隊還必須清楚了解任何現(xiàn)有資產(chǎn)所面臨的各種現(xiàn)實威脅。雖然運行在舊式系統(tǒng)上的舊應(yīng)用程序可能對公司具有很高的價值，但它們受威脅的可能性會更小一些，因此對公司來說，它們所面臨的風(fēng)險可能要比運行在 Windows 或 Linux 上的應(yīng)用程序所面臨的風(fēng)險要小很多。

把這三個因素結(jié)合起來考慮，安全團隊就能準(zhǔn)確了解企業(yè)最大的威脅存在于何處，并據(jù)此確定風(fēng)險緩解行動的優(yōu)先順序。風(fēng)險可以通過綜合考慮資產(chǎn)的企業(yè)價值、其固有的易受攻擊程度以及它實際面臨的各種威脅的強度計算出來。除了解具體的風(fēng)險等級外，安全團隊還可以拓寬解決 IT 相關(guān)風(fēng)險的視角，以便顯著增強其措施的有效性。Kurtz 提出了四種可能的風(fēng)險管理戰(zhàn)略：風(fēng)險減輕、風(fēng)險接受、風(fēng)險轉(zhuǎn)移和風(fēng)險回避。風(fēng)險減輕：這通常是人們碰到風(fēng)險時頭腦中的第一反應(yīng),它包括安全團隊針對威脅所采取的各種應(yīng)對措施；接受風(fēng)險：如果解決風(fēng)險的成本大于風(fēng)險本身，或者解決該風(fēng)險將使資源無法用來解決更為嚴(yán)重的風(fēng)險，合理的行動可能就是接受該風(fēng)險；風(fēng)險轉(zhuǎn)移：在某些情況下，當(dāng)將風(fēng)險轉(zhuǎn)移給第三方(如，保險公司)比將有限的資源用于可能并不能產(chǎn)生明顯效果的風(fēng)險減輕行動時，采取前一種方式是更為審慎的選擇；規(guī)避風(fēng)險：有時還會碰到這樣一些情況，不僅風(fēng)險的等級很高，而且解決該風(fēng)險的成本也達到了無法接受的地步。在這種情況下，最好的辦法是完全規(guī)避風(fēng)險，撤掉可能會帶來這樣風(fēng)險的系統(tǒng)，或者不將其部署在最重要的位置。

第2篇

目前，我國商業(yè)銀行種類繁多，所以商業(yè)銀行在風(fēng)險管理方面涉及的范圍也很廣泛。本文將從宏觀角度研究探索，主要從我國商業(yè)銀行的經(jīng)營過程中信息安全風(fēng)險分析，該安全風(fēng)險包括技術(shù)和管理風(fēng)險兩類。文章將側(cè)重講述我國商業(yè)銀行信息安全風(fēng)險管理體系構(gòu)架。

【關(guān)鍵詞】商業(yè)銀行 信息安全 風(fēng)險管理 體系構(gòu)架

在我國加入世貿(mào)組織后，在市場經(jīng)濟的影響下逐步形成一個與全球經(jīng)濟同步的開放整體，我國很多商業(yè)銀行都開始設(shè)立國外分行，同時，國外銀行也在不斷開拓國內(nèi)市場，這就表明，我國商業(yè)銀行信息系統(tǒng)安全隱患也將由國內(nèi)范圍加深到世界范圍。這時候，應(yīng)該從分析了解我國商業(yè)銀行信息系統(tǒng)特性著手，準(zhǔn)備把握我國商業(yè)銀行信息系統(tǒng)的安全風(fēng)險信息，也可借鑒國外已經(jīng)成熟了的銀行信息系統(tǒng)安全管理體制，再根據(jù)本行的信息安全系統(tǒng)的特點，構(gòu)建并完善我國商業(yè)銀行信息系統(tǒng)安全風(fēng)險管理體制，及時防范并有效降低我國商業(yè)銀行信息的安全損害，確保我國商業(yè)銀行的信息安全，已經(jīng)成為我國金融機構(gòu)熱議的話題，必須引起銀行以及監(jiān)督管理機構(gòu)的重視。

1 我國商業(yè)銀行信息安全風(fēng)險管理現(xiàn)狀

1.1 信息安全與風(fēng)險管理

廣義上來說，信息安全是在特定社會背景下，國家為維護自身信息安全、低于國外信息威脅利用信息安全的通訊技術(shù)、網(wǎng)絡(luò)IT技術(shù)的一種能力。從狹義上來講，信息安全就是信息內(nèi)容不被隨意泄漏和改變，信息體統(tǒng)不受威脅與攻擊。當(dāng)前，風(fēng)險管理已經(jīng)在國際上越來越廣泛地被運用，有效的風(fēng)險管理不但可以削減企業(yè)經(jīng)營風(fēng)險，還能夠在企業(yè)決策上提供一定的支持，保障企業(yè)的可持續(xù)發(fā)展。所以，風(fēng)險管理有非常巨大的存在意義。風(fēng)險管理是信息安全的基本觀念。目前，普遍認(rèn)為信息安全是識別信息系統(tǒng)風(fēng)險，并能夠采取相應(yīng)措施不斷完善信息系統(tǒng)的一個過程。

1.2 網(wǎng)絡(luò)風(fēng)險

在管理商業(yè)銀行信息系統(tǒng)時，一定要非常謹(jǐn)慎的對待風(fēng)險管理過程。在評估風(fēng)險時，可能會發(fā)現(xiàn)網(wǎng)絡(luò)被沒有被充分的保護，需要增加一些軟件、硬件或者是加強安全管理意識等進行充分保護。網(wǎng)絡(luò)安全能夠平衡銀行業(yè)務(wù)、客戶功能和速度。要證明減少某些操作是無誤的，比如關(guān)閉Active，該行為的發(fā)生必須在能夠保證銀行業(yè)務(wù)和用戶在一個安全的環(huán)境下。企業(yè)最高決策機構(gòu)必須時刻強調(diào)時刻注意企業(yè)的安全，以風(fēng)險管理為原則不斷識別企業(yè)網(wǎng)絡(luò)存在的安全隱患，能準(zhǔn)確判斷網(wǎng)絡(luò)容易受到攻擊地方，并能夠從根本上加強保護。風(fēng)險評估是風(fēng)險管理的基礎(chǔ)，主要根據(jù)三個步驟來實現(xiàn)風(fēng)險評估：

1.2.1 網(wǎng)絡(luò)價值的判斷

一定要從銀行的有形資產(chǎn)和無形資產(chǎn)兩方面考慮來評估商業(yè)銀行的網(wǎng)絡(luò)價值。比如，在系統(tǒng)出現(xiàn)故障的時候，要考慮到該故障會對企業(yè)的財政收入造成的影響；在網(wǎng)絡(luò)出現(xiàn)故障時，要考慮修復(fù)網(wǎng)絡(luò)需要花費的人力、物力成本，重建網(wǎng)絡(luò)信息要消耗的資金；在商業(yè)銀行網(wǎng)絡(luò)中有重要信息被泄漏，要考慮到整個公司的財政將會受到多大的影響。

1.2.2 定義威脅

商業(yè)銀行的網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)經(jīng)常會很容易被內(nèi)外部環(huán)境的威脅攻擊。所以，了解每種類型的威脅是非常必要的，還要盡可能多的鑒別可能存在的威脅。目前，很多管理網(wǎng)絡(luò)的人員都并不能清楚理解環(huán)境自身的威脅。內(nèi)部威一般很常見也很容易定義、識別。外部威脅就相對較難定義，首先要做的是判斷破壞機密文件的以未授權(quán)方式的患者記錄或者信用卡號?？赡苁瞧髽I(yè)的競爭對手為了找到銀行客戶資料，也可能是為了改變銀行的數(shù)據(jù)并破壞數(shù)據(jù)的可用性的黑客所為；準(zhǔn)確判斷網(wǎng)絡(luò)容易受攻擊的地方。安全弱點就是已經(jīng)被識別的威脅，按等級分類所識別的威脅：威脅的關(guān)注度、威脅的可行性。

1.2.3 設(shè)定方案

如何執(zhí)行一個安全的解決方案是網(wǎng)絡(luò)風(fēng)險管理過程中的最后一步。該方案需要從以下幾方面著手：加強客戶以及網(wǎng)絡(luò)管理人員的安全防范意識；改變并創(chuàng)新網(wǎng)絡(luò)結(jié)構(gòu)；穩(wěn)固安全硬件；關(guān)閉銀行中有安全威脅的并不常用或者根本就不需要的測試、服務(wù)以及補丁程序。

網(wǎng)絡(luò)風(fēng)險主要表現(xiàn)在這幾個方面：安全性風(fēng)險、網(wǎng)絡(luò)故障風(fēng)險、法律媒體風(fēng)險。防范網(wǎng)絡(luò)風(fēng)險需要對網(wǎng)絡(luò)安全進行風(fēng)險評估，建立網(wǎng)絡(luò)安全管理構(gòu)架，最后制定一系列安全防范措施。評估風(fēng)險首先需要企業(yè)內(nèi)部專門的網(wǎng)絡(luò)安全管理人員分析并診斷企業(yè)網(wǎng)絡(luò)安全的狀況，然后從管理與技術(shù)兩個方面探討研究網(wǎng)絡(luò)安全問題的存在。網(wǎng)絡(luò)安全管理體系架構(gòu)需要考慮到的網(wǎng)絡(luò)風(fēng)險的幾個方面：通過完善網(wǎng)絡(luò)設(shè)備性能、提高網(wǎng)絡(luò)承受力、先進傳輸技術(shù)的引進以及定期核查網(wǎng)絡(luò)設(shè)備的方式來避免網(wǎng)絡(luò)故障風(fēng)險；通過加強宣傳并提高社會成員法律安全意思制定一定的法律條款來防范法律媒體風(fēng)險；通過增加設(shè)立持續(xù)不斷的電源、增加投保企業(yè)保險、加強網(wǎng)絡(luò)機器安全管理等方法來避免網(wǎng)絡(luò)安全風(fēng)險中如斷電、火災(zāi)等的自然風(fēng)險。針對網(wǎng)絡(luò)自身的風(fēng)險以及網(wǎng)絡(luò)攻擊風(fēng)險，需要遵循一定的有限級有條理有選擇的來解決來自數(shù)據(jù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)的信息安全問題。利用防火墻技術(shù)、安全監(jiān)督體制、IT設(shè)計工具、VNP設(shè)備、數(shù)據(jù)加密技術(shù)以及數(shù)字簽名等技術(shù)保障網(wǎng)絡(luò)風(fēng)險的最小化，并制定符合法律規(guī)則的有一定安全標(biāo)準(zhǔn)的全面完善的網(wǎng)絡(luò)安全風(fēng)險管理體制。

1.3 外包業(yè)務(wù)風(fēng)險

當(dāng)前，我國商業(yè)銀行中有一大部分的銀行屬于中小型銀行，在資金水平以及信息技術(shù)能力的限制下，缺乏獨立的信息系統(tǒng)開發(fā)能力，只有通過業(yè)務(wù)的外包來滿足銀行信息系統(tǒng)，導(dǎo)致大量的銀行核心代碼分散到外包公司信息系統(tǒng)中。如果商業(yè)銀行在這種情況下沒有謹(jǐn)慎對待外包商、依據(jù)法律條款簽訂相應(yīng)的協(xié)議、明確協(xié)議雙方的職責(zé)，那么，銀行信息系統(tǒng)的信息安全以及系統(tǒng)業(yè)務(wù)的可持續(xù)性將會受到加大的威脅。與此同時，在銀行維護信息系統(tǒng)的時候，外包公司審核的不夠嚴(yán)謹(jǐn)，沒能積極修復(fù)系統(tǒng)漏洞、優(yōu)化信息系統(tǒng)，也會威脅到銀行信息系統(tǒng)的安全。銀行在與外包公司簽訂合同協(xié)議的時候，如果沒有做好協(xié)議數(shù)據(jù)保密工作、外包公司蓄意泄密或者轉(zhuǎn)包服務(wù)等情況，都會產(chǎn)生信息安全風(fēng)險，甚至?xí)o銀行帶來銷毀性的打擊。

2 我國商行銀行信息安全風(fēng)險管理體系架構(gòu)

我國商業(yè)銀行存在一定信息安全風(fēng)險是必然的，即使不能避免和杜絕這種風(fēng)險，也要采取相應(yīng)的措施最大程度的控制、削減、化解風(fēng)險的發(fā)生頻率。我國商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)主要從技術(shù)、運作以及管理組織平臺三方面設(shè)計。

2.1 管理組織平臺

風(fēng)險管理組織平臺處于我國商行銀行信息安全風(fēng)險管理體系的最高層，為整個管理體系提供策略性的引導(dǎo)。主要從商業(yè)銀行信息安全風(fēng)險管理的制度與策略、管理人才以及組織機構(gòu)三方面著手。

2.2 運行平臺

我國商業(yè)銀行信息安全風(fēng)險管理體系的中間部分就是風(fēng)險管理的運行平臺，也是商業(yè)銀行信息安全風(fēng)險管理體系的核心與主體部分。風(fēng)險運行的整個過程包含了風(fēng)險的識別、評估以及應(yīng)對等諸多活動，著重體現(xiàn)一種風(fēng)險管理持續(xù)完善的理念。該過程依據(jù)PDCA模式，嚴(yán)格按照計劃、實施、改進的管理模式管理商業(yè)銀行信息安全風(fēng)險，持續(xù)完善商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)，有利于銀行創(chuàng)建良好的安全的信息環(huán)境。

2.3 技術(shù)平臺

商業(yè)銀行信息安全風(fēng)險管理體系的最底層便是風(fēng)險管理的技術(shù)平臺。技術(shù)平臺為運行與組織平臺的創(chuàng)建和實施提供有力的技術(shù)支持，也為我國商業(yè)銀行信息安全風(fēng)險管理體系提供了安全性技術(shù)保障。從時效上將技術(shù)平臺分為預(yù)防、實時跟蹤以及事后恢復(fù)三大技術(shù)。

我國商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)主要從技術(shù)平臺、運行平臺、組織平臺三方面的構(gòu)建組成。風(fēng)險管理組織平臺的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險管理體系的重要組成部分，為整個管理體系提供策略性的引導(dǎo)；風(fēng)險管理運行平臺的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險管理體系的核心組成部分，風(fēng)險管理的運行過程嚴(yán)格遵循PDCA的循環(huán)定律。通過資產(chǎn)、威脅、脆弱性三方面的評估形成對應(yīng)的資產(chǎn)、威脅、脆弱性信息，為滿足銀行業(yè)務(wù)的需求，可以采取轉(zhuǎn)移風(fēng)險法、規(guī)避風(fēng)險法、接受風(fēng)險法以及消減風(fēng)險法加以應(yīng)對我國商業(yè)銀行信息安全風(fēng)險。具體利用數(shù)字加密技術(shù)、身份認(rèn)證技術(shù)、控制訪問技術(shù)、檢測入侵技術(shù)、數(shù)據(jù)備份以及恢復(fù)技術(shù)為我國商業(yè)銀行信息安全風(fēng)險管理體系的構(gòu)架提供安全有力的技術(shù)支持。

在我國商行銀行信息安全風(fēng)險管理體系基本構(gòu)建完成后，還需要對該體系做出評審、改建意見以及相關(guān)說明等后期工作。該后期工作的主要內(nèi)容包括內(nèi)部審計、外部審計以及文件管理。需要注意的是，在審計過程中，常常會遇到銀行信息系統(tǒng)中的大量的銘感信息，假若不能夠正確處理審計過程中遇到的銀行敏感信息將會給銀行的信息安全帶來不可忽視的威脅，所以，加強嚴(yán)格管理與控制我國商業(yè)銀行的外部審計是我國商業(yè)銀行當(dāng)前面臨的一項刻不容緩的任務(wù)。銀行最高決策機構(gòu)應(yīng)該依據(jù)法律制度，設(shè)計出相應(yīng)的整改方案，并定期實施有效方案，提高我國商業(yè)銀行信息的安全度，保障我國商業(yè)銀行信息安全風(fēng)險管理體系的成功構(gòu)建。

3 結(jié)束語

信息在網(wǎng)絡(luò)信息迅速發(fā)展的背景下已經(jīng)成為一項可貴的必不可少的資源。一般來講，掌握的信息越多、越準(zhǔn)確就越有取勝以及權(quán)威的先機。信息對于我國商業(yè)銀行這樣一個特別的行業(yè)更是非常重要。在商業(yè)銀行網(wǎng)絡(luò)與業(yè)務(wù)規(guī)模不斷擴大的背景下，我國商業(yè)銀行在信息安全保護方面面臨嚴(yán)峻的考驗，所以，保障商業(yè)銀行信息安全風(fēng)險管理體系的安全已經(jīng)成為目前金融行業(yè)重要的使命。

參考文獻

[1]陳小娟.我國銀行信息安全風(fēng)險管理體系研究[D].蘇州大學(xué)，2013.

第3篇

電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)，實現(xiàn)電力制造、管理等信息的收集、存儲、分析及傳輸?shù)木C合性的有機系統(tǒng)。［1］信息作為一種重要的企業(yè)資源必須要對其進行全面的安全管理，企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險的互相協(xié)調(diào)的活動，即企業(yè)管理層對企業(yè)相關(guān)信息和活動安排進行合理的規(guī)劃和協(xié)調(diào)。一直以來，很多人特別是對于信息行業(yè)出身的工作人員，都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中，即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上，他們認(rèn)為只要通過加密技術(shù)，任何信息安全問題都能夠解決。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生，我們又常聽到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)。經(jīng)此之后，入侵檢測、VPN等更多新的概念及技術(shù)紛至沓來，但無論技術(shù)怎樣變化，終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖。實際上，對企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分，它只是實現(xiàn)企業(yè)安全運營的一個方法而己。大家之所以產(chǎn)生這樣的誤區(qū)，其原因是多方面的，站在企業(yè)安全技術(shù)提供商的角度來說，其側(cè)重點在于銷售，因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息。站在客戶角度來說，只有企業(yè)的產(chǎn)品才是真實的、有形的，對投資方來說，這是十分重要的。因此，正是對于企業(yè)信息系統(tǒng)的錯誤認(rèn)識，導(dǎo)致一些極端現(xiàn)象的產(chǎn)生，比如：許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù)，但卻沒有設(shè)定出一套以安全策略為核心的合理的安全管理方案，從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂，不能做到技術(shù)及相關(guān)產(chǎn)品的及時、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施，卻沒有使用有效的實施、監(jiān)督機制來執(zhí)行，這讓安全管理措施徒有其表，名存實亡。經(jīng)過研究及調(diào)查，現(xiàn)階段我國電力企業(yè)信息系統(tǒng)面臨的風(fēng)險主要有：（1）信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)也一直在不斷完善中，目前，我國的電力企業(yè)在設(shè)計、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險，比如來自軟硬件組件的安全隱患等，這些信息系統(tǒng)固有的缺陷對電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅。（2）信息系統(tǒng)安全管理不規(guī)范。現(xiàn)階段，我國電力企業(yè)對電力信息系統(tǒng)的安全愈來愈重視，很多電力企業(yè)都采取了各種風(fēng)險管理及預(yù)防措施，但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)，建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。（3）網(wǎng)絡(luò)安全意識薄弱。由于電力企業(yè)的安全宣傳力度不夠，相關(guān)技術(shù)人員的安全意識薄弱而導(dǎo)致的信息系統(tǒng)安全問題時有發(fā)生，比如不能及時修補信息系統(tǒng)漏洞及補丁，相關(guān)人員不正確的操作、或通過U盤導(dǎo)致重要信息泄露等，處理不好都很有可能造成整個電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。（4）惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高，我國的電力企業(yè)信息系統(tǒng)逐漸向開放型及共享型發(fā)展，這使得一些不法分子有機可乘，他們?yōu)榱俗约旱睦?，通過各種手段非法入侵電力企業(yè)的信息系統(tǒng)，如植入病毒、竊聽、干擾阻斷等，這對我國電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅。

2電力企業(yè)信息系統(tǒng)安全管理研究

信息安全是一個復(fù)雜的、不斷變化的動態(tài)過程，如果電力企業(yè)只根據(jù)一時需要而忽略了信息安全的動態(tài)性，只是主觀的來制定一些風(fēng)險管理措施，就會造成在企業(yè)信息管理中顧此失彼，進而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗。［2］其正確的做法是，電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實踐總結(jié)，結(jié)合企業(yè)自身對信息系統(tǒng)安全的實際需求，在進行完善的風(fēng)險分析及風(fēng)險管理的基礎(chǔ)上，通過一些合理的、可行的安全風(fēng)險管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)。除此之外，不斷更新的過程是電力企業(yè)進行信息安全管理的最基本出發(fā)點，該過程還應(yīng)該是動態(tài)的、變化的，即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進和完善，堅決拒絕一成不變，這可以將信息系統(tǒng)的風(fēng)險降到最低。［3］所以說，基于風(fēng)險的評估及控制角度來說，電力企業(yè)信息系統(tǒng)的安全風(fēng)險與其他領(lǐng)域的風(fēng)險具有相似性，與此同時，電力系統(tǒng)信息系統(tǒng)安全風(fēng)險又具有其獨特性。將其他領(lǐng)域內(nèi)的風(fēng)險控制過程引入電力企業(yè)的信息風(fēng)險管理領(lǐng)域，需要同時考慮到其共性和個性。安全管理主要分為網(wǎng)絡(luò)級、系統(tǒng)級和應(yīng)用級3個部分：（1）網(wǎng)絡(luò)級安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險問題，其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個方面采取安全管理措施。網(wǎng)絡(luò)防火墻對企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用，它可以有效預(yù)防潛在的破壞性入侵，同時可以對即將進入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進行嚴(yán)格的檢測，并對非法、錯誤的網(wǎng)絡(luò)信息進行隔離，從而保護電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。對于網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)電力企業(yè)信息系統(tǒng)的實際情況，相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)，該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯能力，從而對已有的網(wǎng)絡(luò)結(jié)構(gòu)進行了優(yōu)化。（2）系統(tǒng)級安全管理。在企業(yè)信息系統(tǒng)風(fēng)險管理中，系統(tǒng)級安全設(shè)計與用戶的具體應(yīng)用具有密切的聯(lián)系，具體而言，其分為操作系統(tǒng)與數(shù)據(jù)處理兩個方面。在操作系統(tǒng)方面，利用有效的網(wǎng)絡(luò)安全掃描對信息系統(tǒng)的安全風(fēng)險進行合理評估，及時分析操作系統(tǒng)已有的漏洞，同時結(jié)合信息系統(tǒng)的漏洞自動修補技術(shù)，實現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患。在數(shù)據(jù)處理方面，企業(yè)要善于利用信息系統(tǒng)平臺再次對數(shù)據(jù)庫進行數(shù)據(jù)安全加密，從而將信息系統(tǒng)的數(shù)據(jù)庫風(fēng)險降到最低。（3）應(yīng)用級安全管理。應(yīng)用級安全設(shè)計具有直觀、具體的特點，它是在設(shè)計電力企業(yè)的信息系統(tǒng)時，通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中，從而有效保證系統(tǒng)的安全穩(wěn)定運行。具體來說，電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同，分別進行公開信息和私密信息的傳送、存儲及管理，從而實現(xiàn)在應(yīng)用層次上的訪問控制；而數(shù)字簽名技術(shù)可以通過對文件簽發(fā)者、日期等提供準(zhǔn)確的不可更改的歷史記錄，來保證系統(tǒng)所有文件的完整性。因此，我們得知，為了確保電力企業(yè)信息系統(tǒng)的安全，要采取合理、有效的管理手段來最大程度地降低風(fēng)險，即相關(guān)人員不僅要從技術(shù)層面來進行安全管理的設(shè)計，還要從管理層面進行安全管理設(shè)置。［4］具體來說可以從以下方面著手：（1）定期對企業(yè)系統(tǒng)的技術(shù)人員進行安全教育，增強其信息系統(tǒng)的安全意識；（2）保持相關(guān)人員特別是管理層的人員穩(wěn)定，若有人員調(diào)離，需及時更換系統(tǒng)密碼，避免企業(yè)機密泄露；（3）設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。

3結(jié)語

第4篇

關(guān)鍵詞 銀行業(yè)；信息科技；風(fēng)險安全

中圖分類號：F832.2 文獻標(biāo)識碼：A 文章編號：1671―7597（2013）031-140-01

1 安全評估概念及作用

安全評估是信息科技風(fēng)險安全評估的簡稱，是指組織依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。安全評估是科學(xué)分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的預(yù)防、風(fēng)險的控制、風(fēng)險的轉(zhuǎn)移、風(fēng)險的補償、風(fēng)險的分散等之間做出決策的過程。信息安全管理應(yīng)基于安全評估，只有在正確地、全面地識別風(fēng)險后，才能在控制風(fēng)險、減少風(fēng)險、轉(zhuǎn)移風(fēng)險之間做出正確的判斷，并決定需要調(diào)動多少資源、以什么的代價、采取什么樣的措施去化解、控制風(fēng)險。

2 安全評估主要標(biāo)準(zhǔn)及實踐

信息安全評估涉及范圍廣，相關(guān)安全標(biāo)準(zhǔn)也十分龐雜。其中ISO27005-2008明確了安全評估方法及流程，在全球范圍內(nèi)得到了廣泛的應(yīng)用。國內(nèi)安全評估標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》（GB20984-2007）采用的評估方法基本與ISO27005一致，明確了風(fēng)險評估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。

3 銀行業(yè)安全評估現(xiàn)狀及存在問題分析

隨著業(yè)務(wù)發(fā)展需要及監(jiān)管要求，國內(nèi)商業(yè)銀行越來越重視信息科技風(fēng)險管理工作，信息安全評估逐漸成為信息科技風(fēng)險管理的基礎(chǔ)性工作，但國內(nèi)商業(yè)銀行信息安全評估管理與國外銀行相比存在較大差距。一是安全評估體系不健全。大部分商行銀行未明確安全評估管理的組織機構(gòu)，缺少安全評估管理制度，未建立符合本行風(fēng)險管理需要的安全評估體系。二是安全評估流程不規(guī)范。很多商業(yè)銀行安全評估尤其是自評估缺少標(biāo)準(zhǔn)的流程控制，安全評估工作隨意性強，大部分評估流于形式或依賴于個人經(jīng)驗，安全評估的結(jié)果不能真實的反映客觀存在的風(fēng)險。三是安全評估人才匱乏。安全評估工作具有較強的專業(yè)性，對評估人員的能力要求較高，而很多商業(yè)銀行評估人員未經(jīng)過相應(yīng)的培訓(xùn)，缺少經(jīng)驗，并不真正具備安全評估的能力。四是安全評估方法不科學(xué)。商業(yè)銀行評估尤其是自評估主要依據(jù)制度列表或個人經(jīng)驗，很難發(fā)現(xiàn)深層次問題并對風(fēng)險準(zhǔn)確定性，評估結(jié)果對風(fēng)險處置的指導(dǎo)意見有限。五是安全評估數(shù)據(jù)積累不足。國內(nèi)外主要的安全評估方法，需要根據(jù)歷史事件統(tǒng)計事件發(fā)生概率，目前，很多商業(yè)銀行尚未建立事件統(tǒng)計分析機制。

4 安全評估管理的主要思路

通過研究國內(nèi)外信息科技風(fēng)險安全評估標(biāo)準(zhǔn)、規(guī)范及實踐，提出了商業(yè)銀行信息科技風(fēng)險安全評估管理思路。

4.1 建立安全評估組織體系

信息安全風(fēng)險評估組織體系建設(shè)應(yīng)充分考慮安全評估自身特點，并應(yīng)結(jié)合商業(yè)銀行的風(fēng)險管理體系，安全評估的組織體系應(yīng)包括兩個方面：一是建立安全評估日常管理體系。該部分體系應(yīng)在信息科技風(fēng)險管理體系的基礎(chǔ)上，明確高管層、信息科技風(fēng)險管理部門、信息科技管理部門及其它相關(guān)部門的安全評估職責(zé)；二是建立安全評估項目管理機制。商業(yè)銀行組織安全評估時應(yīng)成立項目管理組織，并嚴(yán)格按照項目管理的流程對安全評估進行有效控制。

4.2 建立信息安全風(fēng)險評估標(biāo)準(zhǔn)流程

安全評估流程是安全評估標(biāo)準(zhǔn)化的控制手段，能夠有效的控制安全評估的目標(biāo)、范圍、過程及質(zhì)量，安全評估需要建立以下標(biāo)準(zhǔn)流程：一是安全評估的組織流程，即安全評估審批、總結(jié)、匯報等流程；二是安全評估的項目管理流程，安全評估應(yīng)采用項目的管理方式進行組織，并按項目管理流程組織評估并形成項目階段成果；三是安全評估的評估方法流程。安全評估根據(jù)標(biāo)準(zhǔn)的評估方法，并結(jié)合評估對象的特點，從資產(chǎn)識別、威脅識別、脆弱性識別、風(fēng)險評估、已有措施確認(rèn)等方面，建立明確的評估方法流程并明確流程各階段主要工作成果及輸出文檔。

4.3 培養(yǎng)專業(yè)信息安全風(fēng)險評估人員

專業(yè)的安全評估人員是安全評估的基本保證，應(yīng)加大對信息安全風(fēng)險評估人員的培訓(xùn)力度，培訓(xùn)主要從以下幾個方面進行：一是加大評估管理要求、評估流程的培訓(xùn)力度，讓評估人員能夠了解信息科技安全管理的要求，掌握安全評估組織、項目及方法流程；二是加大信息安全知識培訓(xùn)力度，評估人員應(yīng)全面學(xué)習(xí)信息安全的相關(guān)知識，了解目前信息安全面臨的主要威脅及存在風(fēng)險；三是加大安全評估技術(shù)培訓(xùn)力度，評估人員應(yīng)了解安全評估相關(guān)技術(shù)，熟練掌握常用的安全評估工具；四是加大信息系統(tǒng)相關(guān)技術(shù)培訓(xùn)力度，安全評估要求評估人員應(yīng)了解主機、網(wǎng)絡(luò)及應(yīng)系統(tǒng)等相關(guān)技術(shù)細(xì)節(jié)，應(yīng)組織相應(yīng)的技術(shù)培訓(xùn)，擴大評估人員的知識范圍，并使評估人員深入了解各系統(tǒng)的技術(shù)細(xì)節(jié)。

4.4 引入安全評估工具

為實現(xiàn)安全評估的專業(yè)化，商業(yè)銀行應(yīng)逐步引入和使用風(fēng)險評估工具，風(fēng)險評估工具包括以下三類：一是專業(yè)安全評估設(shè)備及軟件，如漏洞掃描設(shè)備、安全審計平臺等。二是專門的風(fēng)險計算工具，如風(fēng)險統(tǒng)計及計算表格，該類表格根據(jù)標(biāo)準(zhǔn)的計算方式，能夠給出相對準(zhǔn)確的風(fēng)險量化值。二是風(fēng)險管理系統(tǒng)，對風(fēng)險進行匯總、統(tǒng)計及處置跟蹤。

4.5 建立風(fēng)險評估數(shù)據(jù)積累機制

安全風(fēng)險評估的準(zhǔn)確與否依賴于大量信息安全相關(guān)數(shù)據(jù)，因此，需要建立風(fēng)險評估數(shù)據(jù)積累機制：一是確定信息安全事件的收集、整理及匯總機制，信息安全事件統(tǒng)計來源分為外部和內(nèi)部兩個渠道，外部事件應(yīng)根據(jù)安全部門、監(jiān)管部門的通報進行收集，內(nèi)部事件通過安全事件報告匯總。二是建立信息系統(tǒng)數(shù)據(jù)積累機制，統(tǒng)計和匯總不同設(shè)備及系統(tǒng)的安全要求，按標(biāo)準(zhǔn)格式形成評估要點文檔，作為相關(guān)評估的主要依據(jù)。

參考文獻

[1]ISO/IEC 27001：2005 信息技術(shù) 安全技術(shù) 信息安全管理體系要求[M].

[2]ISO/IEC 27002：2005 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則[M].

[3]ISOIEC 27005-2008 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理[M].

[4]GBT 20984-2007 信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[M].

[5]GBT 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[M].

第5篇

1電子信息安全管理現(xiàn)狀

隨著經(jīng)濟建設(shè)與科學(xué)技術(shù)的不斷進步，電子信息時代悄然來臨，其不僅改變了傳統(tǒng)的信息管理方式，同時也為人們的生活以及工作模式帶來了很大程度的改變，而且也為我國的經(jīng)濟發(fā)提供了很大的商機。但是，電子信息是依靠網(wǎng)絡(luò)平臺儲存、運輸、轉(zhuǎn)換以及使用的。因此，其在使用過程中，同樣也面臨著網(wǎng)絡(luò)上巨大且復(fù)雜的安全風(fēng)險。例如，黑客攻擊攻擊、網(wǎng)絡(luò)病毒的蔓延等，這些問題的存在對電子信息管理的安全性產(chǎn)生了極大的威脅。除此之外，電子信息的安全管理工作還面臨著管理人員安全管理意識不到位、管理理論與管理體系的不完善等，均使得電子信息管理工作存在著極大的安全風(fēng)險。所以，為了進一步提高電子管理的安全性，必須采取有效措施，對管理理論與管理體系進行完善，同時不斷增強管理工作人員的安全管理意識與專業(yè)水平，只有這樣才能在根本上為電子信息管理的安全性提供保障。

2電子信息管理的安全風(fēng)險因素

2.1缺乏完善的管理理論以及系統(tǒng)的管理體系。理論是一切行動的基礎(chǔ)，對于電子信息管理這一新興行業(yè)而言，成熟而又完善的指導(dǎo)理論以及系統(tǒng)性的管理體系是十分重要的。但是，由于電子信息在我國興起的時間比較晚，導(dǎo)致我國目前的電子信息管理理論以及管理體系均不是十分完善，跟世界上的發(fā)達國家相比，存在比較大的差距。由于缺乏相應(yīng)理論以及體系的指導(dǎo)，我國電子信息管理水平比較落后，無法取得明顯成效。此外，我國現(xiàn)階段對電子信息安全管理的標(biāo)準(zhǔn)以及規(guī)范比較低，電子信息安全問題層出不窮，極大的阻礙了我國電子信息安全管理工作的順利開展。2.2管理人員安全意識不到位。從某種程度上來說，工作人員的安全意識水平對電子信息管理的安全性有著非常重要的影響。但是，受到種種客觀因素的限制，我國從事電子信息安全管理工作的人員，對電子信息安全的重要性沒有深刻的認(rèn)知，對風(fēng)險識別工作的理解也比較淺顯，甚至依然沿用傳統(tǒng)的檔案信息管理對策，這種情況極大的限制了電子信息管理工作的有效開展。此外，電子信息管理是一項比較細(xì)致、繁瑣的，其不僅要求管理人員具備高超的專業(yè)技術(shù)，同時也對其工作態(tài)度有著嚴(yán)謹(jǐn)?shù)囊?，管理人員必須保持高度負(fù)責(zé)的精神狀態(tài)，不讓電腦病毒以及不法分子有機可乘。但是，目前大部分管理人員并沒有做到這一點，在工作電腦上隨意安裝游戲、娛樂等軟件，導(dǎo)致電腦被病毒入侵，電子信息發(fā)生泄漏，為公民的個人財產(chǎn)造成無法挽回的損失。除此之外，大部分管理工作人員在移交信息資料時，經(jīng)常使用U盤等不安全載體，這類移動儲存設(shè)備，可被輕易的讀寫，而且極其容易傳播病毒，為電子信息管理帶來安全性威脅。2.3計算機技術(shù)方面的問題。計算機是電子信息的載體，其對電子信息管理的安全性以及風(fēng)險識別有著重要影響。針對我國電子信息管理的現(xiàn)狀來看，計算機技術(shù)問題主要體現(xiàn)在以下幾個方面：2.3.1技術(shù)的先天風(fēng)險。電子信息以計算機、存儲設(shè)備、服務(wù)器以及管理系統(tǒng)作為主要的硬件支撐，而現(xiàn)階段電子信息的存儲介質(zhì)均是計算機網(wǎng)絡(luò)。因此，計算機的硬件一旦發(fā)生故障，便會導(dǎo)致網(wǎng)絡(luò)中斷或者信息存儲設(shè)備的損壞，進而造成電子信息數(shù)據(jù)泄露、資料丟失等風(fēng)險問題。2.3.2網(wǎng)絡(luò)環(huán)境的安全性威脅。資源共享、信息無邊界等，是現(xiàn)代化網(wǎng)絡(luò)的主要特征，其在方便人們進行信息交流的同時，也為網(wǎng)絡(luò)環(huán)境增添了許多不安全因素，盜竊、惡意篡改或者不正當(dāng)訪問的現(xiàn)象成為常態(tài)。因此，為了確保電子信息管理的安全性，必須設(shè)置相應(yīng)的訪問等級以及訪問權(quán)限，并對電子信息實現(xiàn)加密控制。2.3.3計算機軟件問題。再先進的軟件都不是完美的，隨著使用程度的不斷深入，計算機軟件的缺陷以及漏洞便會逐漸凸顯出來。此時，必須要通過軟件升級或者補丁安裝來迅速修復(fù)軟件的漏洞，以免系統(tǒng)被惡意攻擊，發(fā)生死機癱瘓等現(xiàn)象。2.3.4網(wǎng)絡(luò)黑客與病毒的威脅。網(wǎng)絡(luò)黑客與網(wǎng)絡(luò)病毒是無法避免的存在，其利用計算機軟件漏洞或者管理工作人員的疏忽，而滲透或入侵到管理系統(tǒng)當(dāng)中，對計算機進行攻擊，導(dǎo)致網(wǎng)絡(luò)不穩(wěn)。系統(tǒng)停止工作等現(xiàn)象，進而造成數(shù)據(jù)資料的缺失、重要檔案信息的泄漏等問題。網(wǎng)絡(luò)黑客與網(wǎng)絡(luò)病毒的存在，不僅極大的威脅著電子信息管理的安全性，同時也影響著每個個體的信息安全以及切身利益。2.4管理工作不到位。一方面，相關(guān)部門的管理工作人員沒有正確認(rèn)識到電子信息安全的重要性，自身的信息素養(yǎng)比較差，未具備信息安全意識。造成這一現(xiàn)狀的主要原因是，電子信息技術(shù)在我國起步較晚，發(fā)展時期比較短暫，再加上我國建設(shè)電子政務(wù)的起點很低，種種客觀因素導(dǎo)致相關(guān)管理工作人員在自身素質(zhì)與意識上尚未形成系統(tǒng)化、高水平的基礎(chǔ)環(huán)境，同時也未能深入理解電子信息安全管理。除此之外，其在電子信息安全管理的認(rèn)識上，存在明顯的誤區(qū)，這也成為了限制電子信息安全管理工作進一步發(fā)展的主要因素之一。另一方面，針對電子信息安全管理的體制不夠完善，管理制度比較落后，出現(xiàn)了許多安全漏洞。我國各個相關(guān)部門為了確保電子信息管理的安全性，一直致力于技術(shù)方面的研究，而嚴(yán)重忽視了軟措施建設(shè)，即管理體制建設(shè)。由于電子信息安全管理的管理體制沒有得到有效的細(xì)化、安全管理責(zé)任制度沒有得到貫徹落實，電子信息管理與認(rèn)證系統(tǒng)的不完善等，導(dǎo)致目前我國的電子信息管理體系存在著許多安全隱患，安全管理工作的協(xié)調(diào)性、統(tǒng)一性比較低。這種現(xiàn)狀下，一旦管理發(fā)生安全事故，便會導(dǎo)致事故定位不準(zhǔn)確，難以找出事故原因，責(zé)任承擔(dān)不清楚等問題，進而造成無法彌補的后果。

3提高電子信息管理安全性與風(fēng)險識別水平的方法對策

3.1建立健全管理理論以及管理體系。完善的理論以及管理體系，是電子信息管理工作得以順利開展的重要保障。為了確保電子信息管理的安全，必須依靠科學(xué)的指導(dǎo)理論以及系統(tǒng)的管理體系。首先，相關(guān)工作人員必須仔細(xì)分析自身管理的實際情況以及實際市場情況，制定出符合自身特點，順應(yīng)自身發(fā)展趨勢的電子信息管理制度。其中，最基本的也是最重要的一項便是，建立起身份認(rèn)證系統(tǒng)，以免其他閑雜人員隨意參與到電子信息管理工作當(dāng)中，而驗證身份的信息可以是管理人員的編號、身份證號等，保證每名工作人員均有專屬的通行密碼。而在進行管理工作時，工作人員只需要輸入通行密碼，計算機便會進行自主驗證，若與原本的儲存的信息相同，便可以通行。3.2增強管理工作人員的安全管理意識。管理工作人員是電子信息安全管理工作的主體，提高其對電子信息安全管理的認(rèn)知，增強其安全管理意識，對電子信息管理的安全性來說，有著極其重要的意義。因此，作為管理工作人員，必須改變傳統(tǒng)的管理理念，不斷豐富自身管理知識構(gòu)架，適應(yīng)現(xiàn)代化的電子信息儲存方式，提高自身操作的規(guī)范性，確保電子信息的完整性以及安全性。同時，工作人員還要不斷的提高自身專業(yè)水平，在電子信息的存儲、轉(zhuǎn)換以及管理的過程中，側(cè)重于信息內(nèi)容完整性、正確性以及可讀性的保證。具體來說，首先，相關(guān)部門要大力宣傳電子信息安全的重要性，通過宣講會、座談會等，向社會大眾普及電子信息管理風(fēng)險的危害，全面提高社會對電子信息管理安全性的重視程度；其次，要對管理人員進行崗位培訓(xùn)。對從事不同管理崗位的工作人員開展針對性的培訓(xùn)，增強其專業(yè)理論知識以及技術(shù)水平，提高工作人員的管理效率，促使電子信息安全管理工作向著更加標(biāo)準(zhǔn)、規(guī)范、可靠的趨勢發(fā)展。除此之外，還要培養(yǎng)并提高管理工作人員的風(fēng)險識別能力，最大限度的消除電子信息的安全管理風(fēng)險，提高電子信息管理的安全性，進而為廣大公民的信息安全提供根本保障。3.3提高電子信息技術(shù)水平。提高電子信息技術(shù)水平，是確保電子信息安全的重要途徑。為此，在計算機的基礎(chǔ)性硬件配置、信息儲存、信息運輸、數(shù)據(jù)庫操作系統(tǒng)、網(wǎng)站訪問與軟件運行等方面，必須要采取相應(yīng)的防護措施。比如，強化計算機的防火墻設(shè)置，增強對網(wǎng)絡(luò)訪問權(quán)限的控制；借助防火墻等技術(shù)，防止電子數(shù)據(jù)被隨意拷貝；借助計算機系統(tǒng)的入侵監(jiān)測技術(shù)，對網(wǎng)絡(luò)動態(tài)進行全面、系統(tǒng)的監(jiān)控，防止非法入侵；大力推行電子信息簽名技術(shù)，以免發(fā)生電子信息文件被隨意、非法濫用現(xiàn)象的發(fā)生；實行身份證實名認(rèn)證登錄技術(shù)，阻止網(wǎng)絡(luò)黑客入侵系統(tǒng)后，隨意訪問登錄；增強關(guān)于防病毒軟件以及排查病毒軟件的研發(fā)；設(shè)置電子信息訪問權(quán)限時，對核心信息進行隔離，對網(wǎng)絡(luò)區(qū)域以及信息類型實行部署，而非核心信息則可以借助授權(quán)管理進行使用；對電子信息的資源管理，必須將責(zé)任制度落到實處，進行多人協(xié)調(diào)管理，并且定期額進行崗位轉(zhuǎn)換，實現(xiàn)管理工作人員之間的互相監(jiān)督、互相制約，以此來避免個人集中管理制度的風(fēng)險。除此之外，還要定期對計算機系統(tǒng)、軟件等進行維護、升級，將網(wǎng)絡(luò)病毒阻攔在計算機系統(tǒng)之外。只有全面提高計算機的硬件與軟件配置，增強防查病毒的技術(shù)水平，才能在根本上為電子信息管理提供一個安全、可靠的網(wǎng)絡(luò)環(huán)境。3.4提高管理水平。為了提高電子信息安全管理水平以及風(fēng)險識別能力，必須綜合考慮電子信息管理的特點以及要求，制定出安全、科學(xué)的安全防范制度，找出最有效的安全防治措施。與此同時，還要構(gòu)建起完善的信息安全管理制度，并對其可行性進行分析，力求將電子信息安全管理工作變得更加規(guī)范化、標(biāo)準(zhǔn)化。除此之外，還要建立起完善的電子信息安全保障系統(tǒng)。從某種角度上來說，工作人員的管理能力要比管理技術(shù)更重要，預(yù)防對策與補救對策更重要。因此，完善的電子信息保障系統(tǒng)，可以顯著的增強電子信息管理的安全等級。一方面，必須建立起系統(tǒng)的、完整的技術(shù)保障體系，以此來確保計算機硬件以及部分應(yīng)用軟件的使用安全性；另一方面，必須制定出完善的電子信息管理制度，使電子信息的存儲、運輸、使用等程序更加規(guī)范化、標(biāo)準(zhǔn)化。除此之外，還有建立并健全電子信息管理的監(jiān)督系統(tǒng)，對電子信息管理工作進行定期的有效監(jiān)管，并且要將重要的核心信息資料進行備份，增強控制職能。此外，各個管理工作人員之間也要進行互相的監(jiān)督，以期更好的保證電子信息管理的安全性。

4結(jié)論

從某個角度來看，電子信息的普及，為檔案數(shù)據(jù)的管理賦予了新的內(nèi)涵。但是，就現(xiàn)階段我國電子信息安全管理的實際情況來看，仍然存在著很多很多問題亟待解決，極大的影響了電子信息的安全，同時也限制了電子信息的進一步發(fā)展。本文簡單闡述了電子信息安全管理的現(xiàn)狀，并重點介紹了電子信息管理的安全風(fēng)險因素：缺乏完善的管理理論以及系統(tǒng)的管理體系、管理人員安全意識不到位、計算機技術(shù)方面的問題以及管理工作不到位。并且，針對這些問題提出了具體的解決對策：建立健全管理理論以及管理體系、增強管理工作人員的安全管理意識、提高電子信息技術(shù)水平以及提高管理水平。希望通過上述四方面的努力，能夠全面改善我國電子信息安全管理以及風(fēng)險識別的現(xiàn)狀，提高電子信息管理的安全性，進而確保社會的穩(wěn)定發(fā)展以及電子信息行業(yè)的進一步發(fā)展，使其更好的為我國經(jīng)濟建設(shè)提供服務(wù)。

作者:寧富強 單位:深圳鈺湖電力有限公司

參考文獻

第6篇

關(guān)鍵詞：煤礦安全風(fēng)險；預(yù)控管理體系；實踐創(chuàng)新

煤炭行業(yè)，中國于2011年成立第一個安全管理體系標(biāo)準(zhǔn)，也可以說是風(fēng)險預(yù)控管理體系，這樣可以看出煤礦安全對我國來說是非常重要。我國現(xiàn)階段的煤炭企業(yè)的生產(chǎn)和運行運用風(fēng)險預(yù)控管理體系是非常合適的，這對減少安全事故的發(fā)生起著非常關(guān)鍵的作用。

1 構(gòu)建風(fēng)險預(yù)控管理體系的重要意義

在我國煤礦企業(yè)不斷發(fā)展的過程中，煤礦的安全問題一直是個重要的問題，這也是國家和社會都非常關(guān)注的問題。通過相關(guān)數(shù)據(jù)可以看出，從2013年開始，我國煤礦企業(yè)的安全事故發(fā)生率同前幾年相比下降了22.5%，人員傷亡的情況也在逐漸減少。即使如此，煤礦企業(yè)依舊是發(fā)生安全事故的重要企業(yè)，這就需要建立一個合理的風(fēng)險預(yù)防管理體系，更好的促進煤礦企業(yè)的發(fā)展。風(fēng)險預(yù)防管理體系是借鑒各國先進的安全管理思想和模式，取其精華，再與我國煤炭企業(yè)的自身特點相結(jié)合，從而創(chuàng)建一個適合自己煤礦管理安全體系。要把A防和控制作為重點，通過對風(fēng)險的識別，預(yù)測，和檢測對煤炭企業(yè)中存在的風(fēng)險進行有效的控制。

2 應(yīng)用煤礦安全風(fēng)險預(yù)控管理體系的必要性

2.1 煤礦安全風(fēng)險預(yù)控制管理系統(tǒng)的綜合應(yīng)用，可以有效地提高企業(yè)的安全生產(chǎn)效率

采掘總體鉆井條件良好，但也有較薄的基巖、采煤壓力、頂板和破碎容易崩落、破碎的砂和塌陷經(jīng)常發(fā)生在礦井水和煤層埋深嚴(yán)重的缺點，如滲漏和部分瓦斯煤礦。為提高生產(chǎn)效率，必須具備安全、規(guī)范的操作標(biāo)準(zhǔn)、清晰、清晰的管理流程，使公司的管理和崗位員工可以做到一切與標(biāo)準(zhǔn)、處處有流程。風(fēng)險控制管理系統(tǒng)是企業(yè)遵循和信任管理工具的基礎(chǔ)，是成熟和標(biāo)準(zhǔn)化的操作系統(tǒng)，促進企業(yè)安全管理有序?qū)嵤瑴p少安全隱患和不安全行為，規(guī)避安全風(fēng)險，提高企業(yè)安全生產(chǎn)效率。

2.2 深入推進煤礦安全風(fēng)險預(yù)控管理體系建設(shè)是實現(xiàn)企業(yè)科學(xué)發(fā)展的內(nèi)在動力

長時間以來，影響安全生產(chǎn)的主要因素限制煤炭企業(yè)整體的發(fā)展，安全生產(chǎn)，可以更好地適應(yīng)的客觀趨勢煤炭產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化升級，可以大大提高企業(yè)的抗風(fēng)險能力，增強其核心競爭力在同一行業(yè)，甚至整個行業(yè)。企業(yè)只有科學(xué)發(fā)展理論的指導(dǎo)下，企業(yè)每一個員工的自我控制能力和企業(yè)組織工作危害重大危險源控制系統(tǒng)測試的能力，安全風(fēng)險預(yù)控管理系統(tǒng)實現(xiàn)的“試金石”，使安全生產(chǎn)的思想固化的潛意識，我們所有的員工每個管理活動和作業(yè)任務(wù)，實現(xiàn)安全穩(wěn)定發(fā)展的企業(yè)，也會有無盡的力量，讓它勇敢的潮流。

2.3 有效發(fā)揮安全風(fēng)險預(yù)控管理體系效能是實現(xiàn)企業(yè)安全生產(chǎn)的必由之路

全面落實安全風(fēng)險預(yù)控管理體系的管理要素，高起點，高要求，促進企業(yè)安全生產(chǎn)，科學(xué)管理，后期處理提前預(yù)防，將有利于促進安全生產(chǎn)，從根源上避免各類安全生產(chǎn)事故，避免各類安全生產(chǎn)事故，事件，實現(xiàn)企業(yè)安全發(fā)展。

3 風(fēng)險預(yù)控管理體系的構(gòu)建

3.1 危險源識別和風(fēng)險評估

危險源是導(dǎo)致煤礦事故發(fā)生的主要因素，確定危險源是風(fēng)險預(yù)控管理體系的當(dāng)務(wù)之急。危險源有可能在煤礦企業(yè)生產(chǎn)、建設(shè)和改革中每個環(huán)節(jié)都是有可能的，他們以不同的形式出現(xiàn)。對這些存在煤礦生產(chǎn)當(dāng)中的安全隱患，其中也包括人為因素，環(huán)境因素，不正確的管理方式，這就需要我們利用相關(guān)的設(shè)備和專業(yè)技術(shù)進行識別和檢測，提前針對問題進行分析，確定風(fēng)險的危害性，然后進行整理記錄，進行上報，形成一個全面的安全管控系統(tǒng)。

3.2 管理標(biāo)準(zhǔn)和管理措施

危害識別和風(fēng)險評估后，要根據(jù)企業(yè)的生產(chǎn)特點和管理水平，制定相應(yīng)的風(fēng)險管理標(biāo)準(zhǔn)。在制定標(biāo)準(zhǔn)過程中，應(yīng)充分考慮國家政策、行業(yè)規(guī)范和企業(yè)自己的標(biāo)準(zhǔn)，及時消除危害。在擬定管理措施時，應(yīng)根據(jù)實際情況，采取有針對性的方法來輔導(dǎo)安全出產(chǎn)作業(yè)，有效減少煤礦安全事故的發(fā)生。

3.3 風(fēng)險監(jiān)測與預(yù)警

煤礦在安全管理過程中應(yīng)該使用監(jiān)控實時動態(tài)信息系統(tǒng)，對危險源的狀態(tài)實時進行監(jiān)控。對檢測出來的危險進行監(jiān)控并采取相應(yīng)的控制措施，還要對可能出現(xiàn)的新的危險進行防御和監(jiān)控。當(dāng)危險到達一定程度沒有辦法控制的時候，要能立刻預(yù)警，立即想辦法進行解決，避免安全事故的發(fā)生。還要建立一個完善的事故預(yù)警系統(tǒng)，在要有危險要發(fā)生時，及時發(fā)出警告，能夠第一時間對危險程度進行判斷，然后依據(jù)危險程度采取相應(yīng)的措施，給人們的安全提供更好的保障。

3.4 提高信息系統(tǒng)的應(yīng)用水平

應(yīng)用數(shù)據(jù)應(yīng)按系統(tǒng)形式或格式完成，信息應(yīng)真實、及時、標(biāo)準(zhǔn)化、準(zhǔn)確。上級單位和集團有限公司，五人小組，煤礦團隊，煤礦動態(tài)測試結(jié)果，煤炭部門的專項檢查辦公室，團隊三級信息隱藏參數(shù)內(nèi)容應(yīng)當(dāng)完整輸入信息系統(tǒng)，實現(xiàn)閉環(huán)管理，安全問題和人員不安全行為的進行了具體描述，相應(yīng)的標(biāo)準(zhǔn)和風(fēng)險來源應(yīng)該是準(zhǔn)確的，錄入工作應(yīng)在檢查后2d完成考試。當(dāng)現(xiàn)場的安全問題與評估標(biāo)準(zhǔn)和危險源不相對應(yīng)時，系統(tǒng)應(yīng)及時地進行解決。

4 煤礦安全風(fēng)險預(yù)控管理體系的創(chuàng)新策略

4.1 更新安全風(fēng)險預(yù)控的管理理念

想要建立煤礦本質(zhì)安全化管理新系統(tǒng)，第一步就是要更新安全風(fēng)險預(yù)防的管理理念，樹立正確的管理理念，建立起以人為本的思想理念，做到事故可以避免；還有就是要在原始管理方式上進行不斷地創(chuàng)新，做到取其精華去其糟粕，總結(jié)安全生產(chǎn)過程中的經(jīng)驗，有效的歸納到本質(zhì)安全化管理體制中。

4.2 加大監(jiān)督檢查，以風(fēng)險預(yù)控管理體系強化機電管理和考核

業(yè)務(wù)部門和專項技術(shù)人員需要對現(xiàn)場的工作人員的檢查和考核力度加大。生產(chǎn)過程當(dāng)中對已經(jīng)識別出的危險源需要定時進行檢驗。充分發(fā)揮風(fēng)險與控管理體系中的考核功能，一旦發(fā)現(xiàn)問題的存在，要第一時間錄入安全管理信息軟件中進行預(yù)警，在錄入的過程中需要對問題進行分類，根據(jù)不同問題進行不同的整改。各部門在工作之前都需要對信息系統(tǒng)中存在的問題進行及時的改造，減少或避免在施工過程中存在的隱患，并及時對改造的問題進行上報。依據(jù)根據(jù)風(fēng)險水平和發(fā)生頻率可以制定相應(yīng)的措施，月末對風(fēng)險預(yù)控管理體系中記錄的問題進行歸納總結(jié)，上報，從而更好的提高經(jīng)濟效益。

5 結(jié)束語

與傳統(tǒng)的安全管理理念和模式相比，現(xiàn)代安全管理的概念更加注重人們的安全。風(fēng)險預(yù)控管理系統(tǒng)可以使安全事故的發(fā)生率減少，使人們的生命財產(chǎn)安全都得到保證。所以我們要大力宣傳風(fēng)險與控管理的教育的好處，建立更加完善的管理制度完善相關(guān)制度，保證風(fēng)險預(yù)控管理系統(tǒng)的有效實施。

參考文獻

[1]折紅霞.淺析如何推進煤礦安全風(fēng)險預(yù)控管理體系建設(shè)[J].內(nèi)蒙古煤炭經(jīng)濟，2016，Z1：40-42.

[2]陳星海.淺談煤礦安全風(fēng)險預(yù)控管理體系實施過程中遇到的問題[J].科技與創(chuàng)新，2016，08：57.

第7篇

記者：為什么說信息科技風(fēng)險管理對于商業(yè)銀行是特別重要的一環(huán)?

徐徽：近年來，風(fēng)險管理已成為商業(yè)銀行經(jīng)營管理活動的主旋律，信息科技風(fēng)險作為銀行風(fēng)險的重要組成部分，受到越來越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅(qū)動因素。

一是內(nèi)在驅(qū)動因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營管理的各個領(lǐng)域，幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān)，不管是業(yè)務(wù)的發(fā)展，還是管理的提升，都需要信息技術(shù)的配套支持。但是，信息技術(shù)固有的風(fēng)險，包括信息系統(tǒng)軟硬件本身的脆弱性、數(shù)據(jù)集中導(dǎo)致的風(fēng)險集中等，是客觀存在且難以完全規(guī)避的。由于技術(shù)原因造成區(qū)域性和系統(tǒng)性的金融風(fēng)險進而帶來嚴(yán)重的社會影響，在國內(nèi)外都有很多案例。因此，信息技術(shù)在促進銀行業(yè)務(wù)發(fā)展、推動金融創(chuàng)新的同時，也使銀行業(yè)務(wù)面臨巨大的安全隱患，信息科技風(fēng)險牽一發(fā)而動全身，信息系統(tǒng)的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營管理活動的穩(wěn)定，應(yīng)該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。

二是外在驅(qū)動因素。近幾年，中國人民銀行、銀監(jiān)會等監(jiān)管機構(gòu)對于商業(yè)銀行信息科技風(fēng)險的監(jiān)管要求越來越嚴(yán)、越來越細(xì)。銀監(jiān)會2009年3月下發(fā)的《商業(yè)銀行信息科技風(fēng)險管理指引》，從IT治理、風(fēng)險管理策略、信息安全、開發(fā)測試和生產(chǎn)運行管理等方面對商業(yè)銀行提出了具體而細(xì)致的風(fēng)險管理要求，對于商業(yè)銀行加強信息安全管理、防范信息技術(shù)風(fēng)險起到了重要的指導(dǎo)作用。同時，銀監(jiān)會將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管，大力開展信息科技風(fēng)險現(xiàn)場檢查，對商業(yè)銀行的信息科技風(fēng)險防范工作提出了更髙的標(biāo)準(zhǔn)和要求。監(jiān)管力度的加大，促使商業(yè)銀行針對信息技術(shù)風(fēng)險防控制定出更強有力的措施，不斷提髙信息安全風(fēng)險管理水平。

在上述內(nèi)部要求和外部環(huán)境的雙重要求和驅(qū)動下，商業(yè)銀行信息科技風(fēng)險管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

記者：現(xiàn)階段，我國金融機構(gòu)面臨的信息科技風(fēng)險主要來源于哪些方面?

徐徽：要嚴(yán)控信息科技風(fēng)險，就要先弄清楚風(fēng)險的來源，并根據(jù)不同來源對癥下藥。概括來說，信息科技風(fēng)險主要來自四個方面：一是自然原因?qū)е碌娘L(fēng)險，包括地震、臺風(fēng)等自然災(zāi)害造成的風(fēng)險，這類風(fēng)險往往很難主動防范，只能被動防御，通過事前建立完善的業(yè)務(wù)連續(xù)性方案和應(yīng)急預(yù)案，事后及時啟動應(yīng)急方案和補救措施來彌補;二是系統(tǒng)風(fēng)險，是由信息系統(tǒng)相關(guān)軟硬件的缺陷引起的，包括基礎(chǔ)設(shè)施和硬件設(shè)備老化、系統(tǒng)軟件缺陷、應(yīng)用軟件開發(fā)測試質(zhì)量缺陷等，需要通過改善軟硬件環(huán)境、完善應(yīng)用軟件來防范;三是管理缺陷導(dǎo)致的風(fēng)險，是由管理制度的缺失或組織架構(gòu)的制衡機制不完善引起的，需要從IT治理架構(gòu)和管理機制上彌補管理和制度的空白及漏洞;四是人員違規(guī)操作風(fēng)險，是由人員有意或無意的違規(guī)操作引起的，需要加強員工的安全培訓(xùn)和操作培訓(xùn)，提髙人員的信息安全意識和操作水平。其中，后三類風(fēng)險需要以主動防范為主要安全管理措施，要建立風(fēng)險事前防范、事中控制、事后監(jiān)督和糾正的機制。

記者：為保障銀行業(yè)務(wù)的安全，廣發(fā)行信息科技風(fēng)險管控采取了哪些具體措施?

徐徽：嚴(yán)控風(fēng)險是我行2009年工作的主旋律之一，這也是行長辛邁豪在1月全行工作會議上確立的指導(dǎo)思想，在信息技術(shù)方面的定位就是“加強信息技術(shù)風(fēng)險管控，將信息技術(shù)風(fēng)險納入銀行全面風(fēng)險管理體系”。信息安全管理工作是2009年全行科技工作的重點任務(wù)，是優(yōu)先投入資源、重點保障的工作目標(biāo)。由此可見我行對于信息科技風(fēng)險管理的重視。

現(xiàn)階段，根據(jù)我行技術(shù)和管理的實際情況，信息科技風(fēng)險管理采用“廣度優(yōu)先、逐步提升”的策略，重點在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力，建立管理與技術(shù)結(jié)合的全方位的風(fēng)險管理體系，變被動應(yīng)對為主動防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。

第一，將信息科技風(fēng)險管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實施目標(biāo)。為了提髙信息技術(shù)整體核心競爭力，提升信息技術(shù)對業(yè)務(wù)戰(zhàn)略發(fā)展的長期可持續(xù)支持能力，我行于2008年完成了五年科技戰(zhàn)略規(guī)劃目標(biāo)和實施路徑的制定，信息科技風(fēng)險管理和信息安全是科技規(guī)劃的重要組成部分之一。科技規(guī)劃中明確了信息安全工作的中長期目標(biāo)，定義了信息安全機制建設(shè)、信息安全相關(guān)系統(tǒng)和管理平臺建設(shè)等多方面的信息安全管理實施路徑，我行在未來幾年內(nèi)將根據(jù)科技規(guī)劃的實施路徑逐步開展信息安全建設(shè)，提升信息風(fēng)險防控能力。

第二，完善信息科技治理，大力開展信息科技風(fēng)險管理機制建設(shè)，建立信息科技風(fēng)險管理制度基礎(chǔ)。以前，國內(nèi)商業(yè)銀行的信息安全管理普遍存在一個誤區(qū)，認(rèn)為部署了髙性能的硬件設(shè)備、實現(xiàn)了雙機熱備份、做好了生產(chǎn)運行風(fēng)險控制，就算完成了信息科技風(fēng)險控制的工作。其實不然，因為信息安全不單是技術(shù)問題，更是管理問題，只有持續(xù)完善信息科技治理架構(gòu)，從組織架構(gòu)和制度等管理層面采取防范措施，才能真正實現(xiàn)信息安全管理的目標(biāo)。我行在信息科技治理方面的措施主要包括三個方面。首先，認(rèn)真學(xué)習(xí)和領(lǐng)會監(jiān)管機構(gòu)對信息技術(shù)風(fēng)險控制的要求，吸收借鑒同業(yè)經(jīng)驗，將監(jiān)管要求和同業(yè)經(jīng)驗轉(zhuǎn)化為行內(nèi)工作規(guī)范，建立系統(tǒng)完善的信息技術(shù)風(fēng)險管理組織架構(gòu)和機制，建立了三道防線、三個小組和三項機制。三道防線是明確了信息技術(shù)部、合規(guī)部、稽核部為主體的信息技術(shù)風(fēng)險三道防線的職能分工;三個小組是成立了信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急處置小組和支持保障小組，做好突發(fā)事件應(yīng)急處理;三項機制是信息技術(shù)風(fēng)險管理保障機制、信息技術(shù)風(fēng)險評估和預(yù)警機制及信息技術(shù)風(fēng)險應(yīng)急處置機制。

其次，建立健全信息科技規(guī)章制度。為了做好制度建設(shè)，我行信息技術(shù)部專門制定了《科技規(guī)章制度管理辦法》，明確了信息科技相關(guān)制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實抓好制度建設(shè)，近兩年每年制定、修訂的制度都在20項以上，形成了總數(shù)達到60余個的全行科技規(guī)章制度體系。同時加強制度的宣講、檢查、整改機制。對于新建立的制度，制定一項，宣講一項，檢查一項，違章整改一項。再次，加強信息安全隊伍建設(shè)，提髙員工信息安全風(fēng)險防范意識和水平，通過理論和實踐的結(jié)合，培養(yǎng)髙素質(zhì)的信息安全管理團隊。去年我行在總行各部門和各分行科技部設(shè)立了信息安全崗，專門負(fù)責(zé)組織、落實本單位的信息安全管理工作。為了提髙信息安全崗人員的知識水平和操作技能，我行與廣州市信息安全協(xié)會共同設(shè)計了培訓(xùn)課程，組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續(xù)教育培訓(xùn)，實現(xiàn)總行信息安全崗滿足《廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法》中關(guān)于持證上崗的監(jiān)管要求，今年將實現(xiàn)分行信息安全崗全部持證上崗。我們同時認(rèn)識到，信息科技風(fēng)險防范不僅是信息安全崗的事情，而且是全體員工的基本任務(wù)。因此正在組織編寫全員信息安全手冊，對于桌面電腦安全、信息保密等基礎(chǔ)信息安全知識開展普及教育，屆時將人手一冊，確保全體員工了解并遵守信息安全管理要求。

第三，采取有效的信息科技風(fēng)險管理的手段防范和化解信息安全風(fēng)險。首先，持續(xù)開展信息科技風(fēng)險檢查、評估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認(rèn)真開展內(nèi)部審計和外部審計工作，通過審計發(fā)現(xiàn)制度、流程、操作等方面中的風(fēng)險;另一方面積極組織信息技術(shù)部的風(fēng)險自查，每月定期開展總分行數(shù)據(jù)中心機房現(xiàn)場檢查，每季度開展數(shù)據(jù)庫操作、用戶管理等髙風(fēng)險操作的專項檢查。根據(jù)審計要求和自查結(jié)果，嚴(yán)格落實風(fēng)險整改工作，將整改任務(wù)落實到每季度、每月、每周的科技工作計劃中。同時逐步擴大風(fēng)險檢查的廣度和深度，主動發(fā)現(xiàn)并積極防范風(fēng)險，通過風(fēng)險整改實現(xiàn)持續(xù)改進。其次，嚴(yán)抓四方面的生產(chǎn)運行安全管理工作：一是完善基礎(chǔ)設(shè)施建設(shè)，化解機房環(huán)境、硬件設(shè)備等基礎(chǔ)設(shè)施的風(fēng)險;二是建立和完善災(zāi)難備份中心，做好業(yè)務(wù)連續(xù)性建設(shè);三是提升運行管理的水平，推進運行流程化和集中化管理，防范操作風(fēng)險，確保信息系統(tǒng)的安全穩(wěn)定運行。四是完善應(yīng)急預(yù)案，積極組織開展應(yīng)急演練，切實提髙風(fēng)險防控水平。

記者：信息科技風(fēng)險管理有時會影響效率，您如何看待這兩個因素的平衡?

第8篇

新標(biāo)準(zhǔn)更關(guān)注業(yè)務(wù)

IT治理的驅(qū)動力意在從董事會等治理層面確立IT的價值和投資的決策機制，確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性，革新性地驅(qū)動業(yè)務(wù)的發(fā)展。信息安全管理新標(biāo)準(zhǔn)從風(fēng)險與成本的平衡過渡，到要定期報告信息安全管理績效，反映了信息安全管理標(biāo)準(zhǔn)的發(fā)展進入成熟期，也反映了治理層面更加重視對信息安全投入的預(yù)期監(jiān)控，同時對風(fēng)險管理的度量也是相關(guān)方、管理層共同關(guān)心的話題。

信息安全的目標(biāo)是與業(yè)務(wù)的發(fā)展目標(biāo)高度一致的，因此新標(biāo)準(zhǔn)要求信息安全風(fēng)險管理要聚焦信息，而信息是融合在整個業(yè)務(wù)流程中的。新的標(biāo)準(zhǔn)摒棄了原來識別資產(chǎn)、資產(chǎn)威脅與脆弱性的方法論，肯定了管理層面以業(yè)務(wù)價值為基礎(chǔ)，識別信息、確定信息的價值，也更方便與其他以業(yè)務(wù)流程為基礎(chǔ)的ISO管理標(biāo)準(zhǔn)相融合。

由于更加關(guān)注業(yè)務(wù)，新標(biāo)準(zhǔn)要求對業(yè)務(wù)、對組織目標(biāo)的理解，從內(nèi)外部環(huán)境包括宏觀政策、技術(shù)發(fā)展、行業(yè)動向、微觀的組織環(huán)境來分析，此外還要考慮環(huán)境因素對業(yè)務(wù)的影響和對信息安全的要求。

信息安全風(fēng)險在新標(biāo)準(zhǔn)里變得更加生動、中性。新標(biāo)準(zhǔn)要求定義風(fēng)險責(zé)任人，這個責(zé)任人更可能是業(yè)務(wù)的負(fù)責(zé)人或某項具體活動的負(fù)責(zé)人，而不僅僅是IT人員。對信息安全風(fēng)險的偏好與態(tài)度完全與組織的全面風(fēng)險管理框架相融合。

IT技術(shù)對新標(biāo)準(zhǔn)的影響

云技術(shù)的廣泛應(yīng)用、外包業(yè)務(wù)的興起，讓供應(yīng)鏈的安全風(fēng)險管理從組織的戰(zhàn)略層面到日常運作層面都要進行識別、利用、控制。新標(biāo)準(zhǔn)新增供應(yīng)鏈關(guān)系管理，關(guān)注供應(yīng)鏈關(guān)系中的信息安全和服務(wù)商交付過程的信息安全。

同時，大數(shù)據(jù)的興起使得數(shù)據(jù)泄露的風(fēng)險加大，標(biāo)準(zhǔn)將加密控制從一個控制目標(biāo)項上升為一個控制域；此外，移動互聯(lián)影響著人們的生活和辦公，新標(biāo)準(zhǔn)也新增了移動設(shè)備使用的安全策略。

在組織層面，除了日常運作，管理者還需特別考慮項目的信息安全管理，這也是新增控制項。同時，完善了系統(tǒng)開發(fā)的全生命周期信息安全管理，包括需求分析、開發(fā)環(huán)境、測試數(shù)據(jù)保護、測試驗收、變更管理、開發(fā)外包管理等控制項。

新技術(shù)和風(fēng)險點的出現(xiàn)，使得風(fēng)險處理采取的控制措施不再拘泥于附錄A。附錄A僅作為基本必須的選項（見標(biāo)準(zhǔn)條款 6.1.3c）。

從結(jié)構(gòu)來說，新版標(biāo)準(zhǔn)與其他ISO系列標(biāo)準(zhǔn)的框架完全一致，遵從“ISO導(dǎo)則83”，這是ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基本框架，方便與ISO其他管理體系的整合。

第9篇

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型，如下圖一所示：

圖一信息安全風(fēng)險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監(jiān)控與評估－維護和改進）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進行風(fēng)險評估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點分析）

u資產(chǎn)/威脅/弱點的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風(fēng)險結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護措施）

e)Monitoring&Implementation（監(jiān)控和實施）

f)Effectestimation（效果檢查與評估）

（4）實施和運營初步的ISMS體系

（5）對ISMS運營的過程和效果進行監(jiān)控

（6）在運營中對ISMS進行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運營者意識到有必要對IP寬帶網(wǎng)絡(luò)進行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。

由于網(wǎng)絡(luò)運營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1項目準(zhǔn)備階段。

a)主要搜集和分析與項目相關(guān)的背景信息；

b)和客戶溝通并明確項目范圍、目標(biāo)與藍圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風(fēng)險進行聲明；

e)對客戶領(lǐng)導(dǎo)和項目成員進行意識、知識或工具培訓(xùn)；

f)匯報項目進度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項目執(zhí)行階段。

a)在項目范圍內(nèi)進行安全域劃分；

b)分安全域進行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個安全域進行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表；

d)對存在的主要風(fēng)險進行風(fēng)險等級綜合評價，并按照重要次序，給出相應(yīng)的防護措施選擇和風(fēng)險處置建議。

3.3項目總結(jié)階段

a)項目中產(chǎn)生的策略、指南等文檔進行審核和批準(zhǔn)；

b)對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進行審核和批準(zhǔn)；

c)對需要進行的相關(guān)風(fēng)險處置建議進行項目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實踐要點分析

運營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機為核心的IT系統(tǒng)的安全風(fēng)險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段，需要特別注意以下要點：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項目成員

應(yīng)該得到運營商高層領(lǐng)導(dǎo)的明確支持，項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔(dān)，且項目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組；然后可以在一級資產(chǎn)組內(nèi)，按照功能或地域進行劃分二級資產(chǎn)組，如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組；進一步可以針對各個二級資產(chǎn)組的每個設(shè)備進行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進行針對性威脅分析。如針對IP城域網(wǎng)，其主要風(fēng)險可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺，其主要風(fēng)險可能包括：主機病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評價規(guī)則，主要由運營商管理人員按照規(guī)則進行評價。