信息安全风险管理

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇信息安全风险管理范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

信息安全风险管理范文第1篇

关键词：信息安全；风险管理；信息安全风险管理框架

中图分类号：G203 文献标识码：A 文章编号：1001-828X（2012）02-00-01

一、引言

20世纪90年代以来，计算机技术以及网络技术的发展把人类带入了信息时代，信息技术被广泛应用到各个领域，给人类社会的发展带来巨大的生产力，信息技术正逐步改变着人类的生产方式和生活方式，社会的发展对信息资源的依赖程序越来越高。然而由于环境的开放性以及信息系统自身的缺陷等因素，导致信息面临着巨大的安全隐患。如何保护信息安全逐步成为人们关注的焦点。

信息安全的解决不仅要要依靠技术，更应当加强安全方面的管理。只有建立有效的信息安全管理体系，对信息安全进行正确的分析评估，制定出相应的策略并实施控制，才能保证信息系统和信息资源的安全。

二、信息安全风险管理的一般过程概况

至目前为止，信息安全风险管理没有通用的管理方法、管理模式。不同的标准有着各自的风险评估方法和管理流程，下面文章分析了一些主要的标准的风险管理方法。

1.英国的BS7799，英国标准协会(BSI)颁布《信息安全管理实施细则》，形成了BS7799的基础。之后经过改版成为国际标准。BS7799提供了一个对组织有效进行信息安全风险管理的公共基础，体现了信息安全的“三分技术，七分管理”的原则。

2.AS/NZS4360：1999《风险管理指南》是澳大利亚和新西兰两个国家联合开发的风险管理标准，第一版于1995年，是在全世界内制定最早、影响最大、并且被国际标准组织(ISO)的国家性风险管理标准。

3.NIST SP800-30风险管理标准，是美国国家技术标准局(NIST)于2002年的信息技术风险管理指南，风险管理包括三个过程：风险评估、风险缓解、再评价及评估。

此外，有关风险管理和风险评估的理论和方法有许多，比如微软的The Security Risk Management Guide(《信息安全管理指南》)，美国卡耐基・梅隆大学开发的风险评估方法OCTIVE，系统安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Model)等。还有许多企业或个人参考标准开发的一些风险评估工具等。

三、一种综合的风险管理框架

近年来，许多学者指出需要建立一种综合的信息安全风险管理的方法以减少传统的风险管理方法的一些不足。文章提出一个综合的信息安全风险管理的框架，如图1所示。

框架将风险管理分为四个方面，四个角度，涵盖了风险管理风险评估的所有的内容。

框架的第一部分是标准规范，这是进行风险评估的指导性文件。

第二部分是工具技术，包括数学的模型、统计学的方法、相关的工具以及开发的计算机软件，还有操作中的某些经验等。

第三部分是过程步骤，这是一个动态的角度来分析风险管理。将把信息安全风险管理分为风险规划、风险识别、风险评估、风险决策、风险实施、风险评价等六个阶段。

第四部分是风险管理的对象，企业组织中的人员、资产(主要指物理设备)和资产赖以存在的环境构成了实体层，企业的信息安全既要依靠技术，更要注重管理，管理则主要体现于策略中。而最终的目标都是保证企业的核心业务能正常运转，不会受到信息安全风险的影响。各层内部之间也存在着相互关系。在实体层如人力管理、人员培训，对资产的管理需要分类分级别进行、要落实到人，资产设备的安全则有赖于周围的环境，比如安全边界的划分，电力、温度湿度的保障等。而这些都含有策略因素。此外，环境包括硬环境和软环境，软环境的因素也部分影响着策略的选择，如相关的法律法规、相关的知识产权、个人隐私权等也会影响组织的策略，组织在制定策略时不能与之冲突。在管理层，策略与技术是相互补充的，一些策略的实现离不开技术，比如不同层次的人员具有不同的访问控制权限，信息安全的保障也需要信息技术本身。技术本身也需要一定的管理。在目标层，保持核心业务的连续性，不受干扰是组织的目标。因此需要不断地进行风险管理和风险评估。

四、总结

信息安全对组织的重要性是不言而喻的，对信息安全管理不仅是技术层面的问题，更是管理层面的事件。本文给出的信息安全风险管理综合框架涵盖了风险管理的各个方面，为企业的风险评估和风险管理提供一些有益的帮助。

参考文献：

[1]BS 7799-1,Information Security Management. Code of Practice for Information Security Management System, British Standards Institute,1999.

[2]Australian/New Zealand Standard AN/NZS 4360:Risk Management[S].1999.

[3]NIST SP800-30, Risk Management Guide for Information Technology Systems[S].2002.

[4] Microsoft. The Security Risk Management Guide[S].2004.

[5]ISO/IEC TR 13335-1 Management of Information and Communications technology Security- -part1:Concepts and models of IT Security[S].1997.1.

[6] uccato,A.,Holistic security management framework applied in electronic commerce. Computer&Security 26(1), p256-265.

信息安全风险管理范文第2篇

（一）识别风险的能力有待提高。改革开放之后，我国的经济和社会呈现飞速发展状态，尤其是近十年来银行业的信息化水平和自动化水平得到大幅度提升。但是伴随着新形势的到来，银行面临着越来越多的外部风险，电子商务的盛行和网络资讯的发达使得网络渠道的业务比例提升，银行的信息安全面临着严峻的外部风险挑战。这使得银行业本身乃至整个社会对财产和信息的安全指数要求越来越高，在内外部因素的影响下，银行业加强信息安全风险管理是必然和必要的。但是现阶段，银行业信息安全风险管理受人才、技术、体系乃至设备的制约，整体的风险识别水平还比较低，亟待提高。

（二）信息安全风险形式严峻。我国银行业面临的信息安全风险相较于其他行业来说比较严峻，银行系统的开放性和电子商务数量和规模的大幅度增长使得其受到攻击的可能性大幅度上升。银行在发展的过程中为了更大程度地满足客户的需求，往往对信息技术存在着严重的依赖，使得信息系统受到木马攻击、病毒侵害和钓鱼网站危害的可能性大大增加。

二、银行信息安全风险管理的建议

（一）银行要重视信息安全风险识别体系的构建。信息安全风险识别是一项系统的工程，银行要想及时、完整地识别出其在生产经营过程中的风险，就必须重视信息安全风险管理识别体系的建设，从起点上提升系统的整体安全系数标准。银行要定期对信息安全风险管理体系的可靠性进行评估，严格按照全面风险管理的原则对风险进行识别和应对。

（二）银行要建立重大信息安全风险预警和应急方案。重大信息安全风险预警和应急方案能使得银行的信息风险保持在可控的范围之内，在新的金融时期，完善的银行信息安全应急方案给金融系统的稳定上了一层重要的保险。完善的银行信息安全风险预警和应急方案是一种事前控制措施，是银行信息安全风险管理的重要举措。

（三）国家要加大银行信息安全犯罪的惩治力度。国家相关职能部门应该加大力度对信息安全犯罪进行打击。相关部门应该从根本上对这种犯罪进行严肃管理，将常规化管理落实下去，坚决杜绝形式化管理，一旦发现问题要给予严厉的惩罚。对于银行信息安全的重大犯罪要严惩不贷，对网络金融犯罪要高压打击。这样整个银行系统才会意识到信息安全风险管理的重要性，注重维护自身的信息安全。

（四）建立银行信息安全风险控制机制。首先，建立完善的风险责任机制。重点在于在银行信息安全风险控制体系要将各个环节各个部门的责任进行细化，做到每一个环节都有专门人员对重要事项进行负责，做到对风险负责、对安全负责。其次，建立完善的风险通报机制。通报包括对上级通报和对下级通报，对上级通报要客观真实准确，对下级通报要严肃认真，既不夸大也不隐瞒。最后，建立银行信息安全风险管理团队。人才是银行信息安全风险管理的关键，要充分发挥人才的作用，银行信息安全风险管理团队是银行信息安全风险管理的主力军，他们在银行信息安全风险的识别、评估、应对等过程中扮演着十分重要的角色。

信息安全风险管理范文第3篇

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1 信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799)，信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

2 建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1） 确定ISMS的范畴和安全边界

（2） 在范畴内定义信息安全策略、方针和指南

（3） 对范畴内的相关信息和信息系统进行风险评估

a) Planning（规划）

b) Information Gathering（信息搜集）

c) Risk Analysis（风险分析）

u Assets Identification & valuation(资产鉴别与资产评估)

u Threat Analysis（威胁分析）

u Vulnerability Analysis（弱点分析）

u 资产/威胁/弱点的映射表

u Impact & Likelihood Assessment（影响和可能性评估）

u Risk Result Analysis（风险结果分析）

d) Identifying & Selecting Safeguards（鉴别和选择防护措施）

e) Monitoring & Implementation（监控和实施）

f) Effect estimation（效果检查与评估）

（4） 实施和运营初步的ISMS体系

（5） 对ISMS运营的过程和效果进行监控

（6） 在运营中对ISMS进行不断优化

3 IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1 项目准备阶段。

a) 主要搜集和分析与项目相关的背景信息；

b) 和客户沟通并明确项目范围、目标与蓝图；

c) 建议并明确项目成员组成和分工；

d) 对项目约束条件和风险进行声明；

e) 对客户领导和项目成员进行意识、知识或工具培训；

f) 汇报项目进度计划并获得客户领导批准等。

3.2 项目执行阶段。

a) 在项目范围内进行安全域划分；

b) 分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c) 在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d) 对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3 项目总结阶段

a) 项目中产生的策略、指南等文档进行审核和批准；

b) 对项目资产鉴别报告、风险分析报告进行审核和批准；

c) 对需要进行的相关风险处置建议进行项目安排；

4 IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1 安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2 项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3 项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4 背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a) IP宽带网络总体架构

b) 城域网结构和配置

c) 接入网结构和配置

d) AAA平台系统结构和配置

e) DNS系统结构和配置

f) 相关主机和设备的软硬件信息

g) 相关业务操作规范、流程和接口

h) 相关业务数据的生成、存储和安全需求信息

i) 已有的安全事故记录

j) 已有的安全产品和已经部署的安全控制措施

k) 相关机房的物理环境信息

l) 已有的安全管理策略、规定和指南

m) 其它相关

4.5 资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6 威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7 威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8 威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

信息安全风险管理范文第4篇

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。

信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。

企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段 1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

信息安全风险管理范文第5篇

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还关系到整个银行业的安全和国家金融体系的稳定，因此国家金融监管部门对银行信息科技风险管理日益重视，对银行信息科技风险管理提出了明确要求，各商业银行也普遍提髙了对信息科技风险管理的关注程度。

1.加强信息科技风险管理是金融监管部门高度重视的重要问题

中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出，根据近几年国际上出现的信息系统故障事件分析，如果银行信息系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2〜3天以上不能恢复，将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。同时，中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作，并相继对各主要商业银行进行了现场专项检查；国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容，着重从信息安全的角度出发，站在维护国家金融稳定和国家安全的髙度，分析当前我国银行业信息科技工作面临的主要风险，并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施，对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义，充分体现出了我国政府对银行业信息科技风险管理的尚度重视。

2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求

在2004年正式公布的新《巴塞尔资本协议》中，重新修订了银行风险的分类和定义，强调银行在进行风险管理的时候，不仅要重视传统的信用风险、市场风险、流动性风险，而且要将防范操作风险放在一个重要的地位，并将信息科技风险明确划归操作风险的范畴，从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

3.加强信息科技风险管理是银行提高IT治理水平的需要

根据IT治理模型，IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构，而且是其中的一个重要方面。随着各家银行信息化建设的深入，对信息科技风险的认识也在逐步加深，从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后，商业银行已普遍认识到信息科技方面一旦发生风险事件，不仅会影响业务的正常办理，还可能会对银行的声誉和市值产生负面影响，因此更加重视信息科技风险管理，对加强信息科技风险管理提出了更髙的要求。

二、加强信息科技风险管理的相应举措

根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南，信息科技风险管理应关注IT治理、软件生命周期管理（即项目开发与变更）、IT服务交付与支持(即系统运行维护）、信息安全、业务连续性管理等五大领域。在上述领域，各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司（以下简称“工商银行”）为例进行介绍。

多年来，工商银行坚持“科技兴行'“科技引领”发展战略，建立了集约化的科技组织体系，并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起，工商银行正式将信息科技风险纳入了全行风险管理体系，作为操作风险管理的重要内容，并在信息科技风险管理方面开展了大量工作。

1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组，由行长担任组长，主管副行长任副组长，信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员，负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时，工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门，建立了一支专业的风险防护队伍，为加强信息科技风险管理提供了组织保障。

2008年，国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价，认为工商银行构建了较完整的信息科技治理结构，构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。

2.项目开发管理

针对由于版本质量造成的应用研发风险，工商银行采取了一系列措施，严格保障应用系统研发质量。一是不断改进研发和测试管理流程，加强需求管理、项目方案审查、研发过程管理和项目质量控制；二是及时优化调整应用版本、测试和投产策略，针对版本投产比较频繁等情况，明确了“版本集中投产”的原则，切实降低因版本投产和生产变更带来的风险隐患；三是与业务部门密切配合，力卩强沟通和协调，实现风险共担。

3.运行维护和操作管理

生产运行风险是信息科技风险的突出表现，并且根据实际情况统计，大约有50%的生产运行风险是由管理操作原因引起的。为此，工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想，并持续强化运行管理操作的各项措施，降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC)，对主机和开放平台等各类应用系统进行实时监控，实现生产操作、监控的自动化；二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统，逐步提髙生产运行管理的自动化程度；三是建立了完备的应急管理体系，明确了应急预案和流程，确保出现紧急事件情况下能够进行妥善处理，将事件影响降至最低。

4.信息安全管理

信息安全管理的核心是要建立健全信息安全的内部控制体系，通过技术和管理手段，确保银行信息系统和数据的机密性、完整性和可用性。为此，工商银行建立了一支专门的信息安全防护队伍，及时分析和解决存在的各类信息安全隐患。同时，积极落实信息安全体系规范和信息安全等级保护措施，部署了入侵检测、漏洞扫描等一系列信息安全防护工具，实施了客户端安全管理。由于采取了及时有效的防御措施，假冒网站、网络攻击等事件虽然时有发生，伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间，工商银行成功抵御了针对网上银行系统的恶意攻击，保障了电子银行业务正常开展，维护了企业声誉。

5.业务连续性管理

多年来，工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设，自行建立了国内同业领先的完善的技术灾备体系。2003年以后，工商银行建立了核心业务异地灾难备份系统，实施了同城磁盘镜像，成为国内同业第一家同时具备同城和异地灾备系统的银行，为保障信息系统的连续性运行奠定了技术基础。与此同时，工商银行依靠自身力量制定了《信息系统连续性运作计划（ITCP)》，并从2005年开始，每年都进行一次全行业务级灾难恢复应急演练，模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下，将全行核心业务切换到北京的灾备中心的技术和业务处理，有效保障了灾备系统的有效性。

三、加强信息科技风险管理需要思考的若干问题

目前，商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。

1.要关注信息科技风险计量和相关标准规范体系建设

对于银行来说，操作风险本身就是一种比较难以控制的风险，目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本，进而控制操作风险。伹据调查，60%以上的银行未从2007年开始对操作风险实行量化管理，大多数银行的预期实施时间是2010年〜2012年。可见，银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外，还与日趋复杂的信息系统软硬件环境直接相关，因此要对其进行科学、准确的度量和评估，存在更大难度。从全球范围来看，尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验，伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此，国内银行业需要首先考虑建立一套量化的指标体系，科学衡量银行的信息科技风险。同时，建议相关主管部门牵头在信息科技管理领域建立相应的标准规范，以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。

2.正确认识灾难备份体系建设的内涵

建立完备的灾备体系对银行的重要意义毋庸置疑，伹灾备体系建设应遵循什么样的标准和原则，是否所有银行系统都遵循同样的标准建设灾备系统，是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下，银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素，参考相关国际标准n，综合评定划分灾备等级，确定业务恢复时间（RTO)、业务丢失时间（RPO)等关键指标，在此基础上，遵循成本效益的原则，按照相应的标准开展灾备建设。目前，国外现代化商业银行普遍采用此种做法，首先确定系统的灾备等级，并相应实施不同的灾备策略，重点对关键设施和系统实施髙等级的灾备保护措施。

因此，建议国内相关行业主管部门积极引导各商业银行根据实际情况，采取分级实施、逐步推进的原则，借鉴国外银行的先进经验，优先确保关键设施和重要业务系统的连续性运作，在实现灾备体系建设目标的同时，也相应降低建设和维护的成本。

3.信息科技风险管理需要业务部门的关注和共同参与

与应用产品创新工作需要科技部门和业务部门共同完成类似，虽然信息科技风险管理更多关注的是IT领域，伹其中相当一部分内容与业务部门息息相关。

在业务连续性管理方面，在科技部门建成了灾备系统的基础上，需要业务部门制定业务层面的应急计划，指导业务人员在信息系统中断和恢复时进行业务的应急处理，从而与科技部门协同开展应急恢复工作。