邢陳思

摘 要：隨著信息化建設(shè)的不斷深入，金融服務(wù)趨向多樣化，業(yè)務(wù)規(guī)模也在不斷擴(kuò)大，使得信息安全問(wèn)題日益凸顯。針對(duì)病毒感染、黑客入侵等一系列的問(wèn)題，需要建立信息安全風(fēng)險(xiǎn)管理策略來(lái)能有效規(guī)模。所以，本文就銀行信息安全分級(jí)風(fēng)險(xiǎn)管理進(jìn)行探討，希望可以避免對(duì)銀行造成不可估量的影響。

關(guān)鍵詞：銀行 信息安全 風(fēng)險(xiǎn)管理

中圖分類號(hào)：F063 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2017）11-00-01

互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，使得我們的生活區(qū)域信息化，也就是說(shuō)生活實(shí)現(xiàn)了便捷化，多元化。但是信息安全事故的出現(xiàn)，使得我們無(wú)時(shí)無(wú)刻不處于擔(dān)心自身信息安全的境地下。尤其是在利用互聯(lián)網(wǎng)進(jìn)行交易的時(shí)候出現(xiàn)賬號(hào)資金安全、信息泄露等問(wèn)題，這就要求我們不斷的提升安全性，這樣才能降低風(fēng)險(xiǎn)。

一、銀行信息安全風(fēng)險(xiǎn)分析

對(duì)銀行信息安全風(fēng)險(xiǎn)進(jìn)行分析，了解到其信息安全風(fēng)險(xiǎn)主要包含：第一，組織風(fēng)險(xiǎn)。在銀行中未能建立完善的預(yù)警信息戰(zhàn)略風(fēng)險(xiǎn)機(jī)制，信息安全風(fēng)險(xiǎn)管理還需要進(jìn)一步加強(qiáng)；第二，人員風(fēng)險(xiǎn)，銀行信息安全管理人員缺少安全意識(shí)，缺少專業(yè)化的風(fēng)險(xiǎn)管理人才；第三，政策和過(guò)程風(fēng)險(xiǎn)。缺少信息安全管理相對(duì)應(yīng)的政策，缺少有效的風(fēng)險(xiǎn)評(píng)估方法，IT監(jiān)控審計(jì)有待進(jìn)一步加強(qiáng)；第四，技術(shù)風(fēng)險(xiǎn)。主要包含物理環(huán)境與設(shè)備風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、應(yīng)用系統(tǒng)以及系統(tǒng)安全風(fēng)險(xiǎn)；第五，外部風(fēng)險(xiǎn)。主要包含法律漏洞風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)以及客戶行為分級(jí)風(fēng)險(xiǎn)[1]。

二、銀行信息安全風(fēng)險(xiǎn)管理策略

1.信息安全戰(zhàn)略

在信息安全風(fēng)險(xiǎn)管理中，戰(zhàn)略處于管理的首要位置，是指引工作開(kāi)展的方向。銀行董事會(huì)以及高層管理人員應(yīng)當(dāng)重視信息安全戰(zhàn)略的制訂并達(dá)成共識(shí)，這樣就能夠確保銀行的決策與業(yè)務(wù)戰(zhàn)略能夠相互的達(dá)成一致。在得到董事會(huì)與高層管理人員的審批之后，在制定全行IT戰(zhàn)略規(guī)劃的基礎(chǔ)上，再定期的召開(kāi)IT風(fēng)險(xiǎn)管理工作評(píng)估會(huì)議。對(duì)于銀行而言，信息安全風(fēng)險(xiǎn)管理是一大難題，其直接將銀行的風(fēng)險(xiǎn)與信息安全相互聯(lián)系起來(lái)，這樣就需要利用風(fēng)險(xiǎn)管理的理念，通過(guò)風(fēng)險(xiǎn)識(shí)別、控制與評(píng)估的方式來(lái)開(kāi)展信息安全的保障工作，這才能為銀行業(yè)相關(guān)業(yè)務(wù)的發(fā)展奠定強(qiáng)大的基礎(chǔ)支撐。

2.信息安全政策和標(biāo)準(zhǔn)體系

信息安全的政策和標(biāo)準(zhǔn)體系是成套的信息安全管理規(guī)定，主要是對(duì)信息安全組織、技術(shù)體系以及運(yùn)作的標(biāo)準(zhǔn)化制度加以指導(dǎo)，其中包含了信息安全政策、管理標(biāo)準(zhǔn)以及安全指南幾個(gè)方面。銀行在制定發(fā)展規(guī)劃的信息安全政策的時(shí)候，應(yīng)當(dāng)站在銀行業(yè)的高度上，將信息安全工作的方向明確，并且將其作為信息安全大背景下的奮斗目標(biāo)。制定信息安全管理標(biāo)準(zhǔn)，才能確保信息安全政策得以落實(shí)，也可以對(duì)信息安全工作之中的各個(gè)流程加以規(guī)范。制定管理指南，才能確保信息安全保準(zhǔn)得以有效的實(shí)施，這才是最好的銀行信息安全標(biāo)準(zhǔn)的詮釋[2]。

3.信息安全組織管理模式

對(duì)于銀行高層管理而言，利用深度防御，通過(guò)信息安全組織與人員管理模式的有效構(gòu)建，就能實(shí)現(xiàn)銀行的信息安全戰(zhàn)略目標(biāo)，并且還需要進(jìn)一步分析：針對(duì)每一個(gè)員工的主觀信息安全，都需要做好認(rèn)知能力的培養(yǎng)，并且強(qiáng)化安全意識(shí)方面的教育；進(jìn)一步完善組織架構(gòu)，明確信息安全之中的組織與角色的具體職責(zé)，所以，針對(duì)信息安全管理的風(fēng)險(xiǎn)控制，就可以利用多層組織來(lái)實(shí)現(xiàn)。

4.信息安全管理運(yùn)作模式

將PDCA模型以及風(fēng)險(xiǎn)管理理念作為基礎(chǔ)，構(gòu)建銀行信息安全核心運(yùn)作模式，這一種管理模式相比傳統(tǒng)模式下的信息安全運(yùn)行，存在動(dòng)態(tài)性、參與性以及全局性等諸多優(yōu)勢(shì)，這樣就能夠科學(xué)的實(shí)現(xiàn)風(fēng)險(xiǎn)事件管理的規(guī)劃，同時(shí)也能落實(shí)預(yù)防理念，管理實(shí)施中期的監(jiān)督控制過(guò)程，同時(shí)也可以監(jiān)督管理周期末期的審核完善目標(biāo)，這樣就能確保風(fēng)險(xiǎn)影響得到最大程度的控制。

5.信息安全技術(shù)體系

良好的信息安全技術(shù)才是信息安全得以高效運(yùn)行的基礎(chǔ)，銀行IT的各個(gè)領(lǐng)域都需要滿足信息安全技術(shù)標(biāo)準(zhǔn)的要求，具體包含了網(wǎng)絡(luò)身份認(rèn)證、加密保證、訪問(wèn)管理、備份措施、審核跟蹤等多個(gè)方面。滿足安全標(biāo)準(zhǔn)的技術(shù)，能夠提升信息安全運(yùn)行，實(shí)現(xiàn)安全戰(zhàn)略目標(biāo)。信息安全技術(shù)手段主要是根據(jù)其功能效應(yīng)周期，將其劃分成為預(yù)防保護(hù)、響應(yīng)恢復(fù)以及跟蹤監(jiān)測(cè)三個(gè)類別，如確保網(wǎng)絡(luò)系統(tǒng)訪問(wèn)身份認(rèn)證以及對(duì)訪問(wèn)權(quán)限的管理，被訪問(wèn)客體的自身安全加密、對(duì)于惡意代碼加固防范等屬于第一類；審核管理的技術(shù)手段、確保訪問(wèn)的安全性監(jiān)控屬于第二類；確保風(fēng)險(xiǎn)事件的快速響應(yīng)、確保信息系統(tǒng)備份措施以及及時(shí)恢復(fù)等技術(shù)屬于第三類[3]。

通過(guò)上述的分析，我們不難看出，銀行業(yè)采取了大量有效的技術(shù)措施來(lái)確保信息安全，但是還缺少一個(gè)全局性的信息安全技術(shù)體系的支持。所以，按照銀行業(yè)務(wù)的發(fā)展與更新，通過(guò)各種信息技術(shù)手段的綜合優(yōu)化與運(yùn)用，確保銀行信息系統(tǒng)的安全，最終達(dá)到降低技術(shù)風(fēng)險(xiǎn)的目的。針對(duì)銀行的信息安全，本文將其保護(hù)手段劃分為七類，具體見(jiàn)圖1所示。為了能夠滿足對(duì)銀行信息系統(tǒng)安全訪問(wèn)的保護(hù)，針對(duì)審計(jì)與監(jiān)控訪問(wèn)全過(guò)程，還需要做好意外事件的數(shù)據(jù)備份處理，這樣才能夠針對(duì)應(yīng)急事件做好及時(shí)的響應(yīng)與恢復(fù)。

三、結(jié)語(yǔ)

總而言之，隨著信息技術(shù)的不斷發(fā)展，銀行信息安全對(duì)于信息系統(tǒng)的要求也在逐漸提升，因此，在現(xiàn)代銀行的風(fēng)險(xiǎn)管理中，我們不能忽視信息安全風(fēng)險(xiǎn)管理這一環(huán)節(jié)。只有注重信息安全風(fēng)險(xiǎn)管理，才能滿足銀行信息安全管理的整體要求。

參考文獻(xiàn)

[1]張亞杰.中小商業(yè)銀行信息安全風(fēng)險(xiǎn)控制探討[J].金融科技時(shí)代，2013（12）：67-68.

[2]張良乾.信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法研究[J].信息通信，2014（12）：158.

[3]尚亞龍.探析銀行信息安全管理體系建設(shè)[J].電子世界，2014（14）：262-263.endprint