公務員期刊網(wǎng) 精選范文 信息安全風險管理范文

信息安全風險管理精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全風險管理主題范文,僅供參考,歡迎閱讀并收藏。

信息安全風險管理

第1篇:信息安全風險管理范文

Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.

關鍵詞:信息安全風險管理;框架探究

Key words: information security;risk management;framework research

中圖分類號:F270 文獻標識碼:A 文章編號:1006-4311(2017)18-0053-03

0 引言

在社會不斷發(fā)展的同時,信息化技術也獲得了長足的進步,并且已經(jīng)廣泛地應用到人們的生活與工作中。對于企業(yè)單位而言,信息資源是保證正常運營的關鍵因素,企業(yè)運營的重要數(shù)據(jù)、客戶資料以及知識產權等信息都是重要的信息資源,這些資源一旦泄露或丟失,會對企業(yè)造成極大的影響。因此,企業(yè)必須重視自身信息系統(tǒng)安全風險管理的框架的建設,有效防止來自網(wǎng)絡的惡意攻擊,防止內部重要信息泄露或丟失,保證企業(yè)信息安全。

1 企業(yè)信息安全實踐的需求分析

在信息時代的大背景下,企業(yè)的信息化程度是衡量其發(fā)展水平的重要因素。但是,我國的信息安全形勢不容樂觀,大部分企業(yè)沒有樹立信息安全風險管理概念,企業(yè)的信息安全無法得到良好的保障。信息安全是一項綜合性的工程,不能僅憑企業(yè)短期內需要就采取某些措施,無法從根本上提高信息安全水平。想要做好企業(yè)信息安全實踐工作,必須事先做好企業(yè)對信息安全的需求分析,形成全面的分析報告,并根據(jù)報告中的內容采取相應的措施,改善企業(yè)信息安全現(xiàn)狀。但是,需求分析的具體過程也不是始終不變的,而是會根據(jù)企業(yè)的發(fā)展與信息技術的進步發(fā)生改變的。信息安全風險的獨特性必須在框架中體現(xiàn)出來。信息安全風險源于信息,信息本身具有不斷發(fā)生變化的特性,從其以數(shù)據(jù)的形勢出現(xiàn)開始,直至在各項功能中發(fā)揮相關的作用,這個周期內的每個階段都有相的價值。信息安全管理就是要對企業(yè)的信息資源進行全面的保護,避免因這些資源受到損失而對企業(yè)的運營造成影響。企業(yè)信息安全風險管理框架中,必須能夠發(fā)現(xiàn)信息資源即將受到的威脅,評估這些威脅會對信息資源造成的后果,以確定應對這些威脅的順序。在制定風險計劃時,需要明確對于風險的應對方式以及合理的控制措施。在風險的監(jiān)督與改進過程中,需要根據(jù)這些風險采取適當?shù)谋O(jiān)控手段??傊?,在此過程框架每個過程要素的分析中,都必須體現(xiàn)信息安全風險的獨特性。

2 企業(yè)信息安全風險的類型及內容

一般來說,在企業(yè)運營過程中,信息安全系統(tǒng)通常面臨以下風險因素:

①因線路故障、停電、網(wǎng)絡通信設備損壞等導致網(wǎng)絡突然中斷。

②網(wǎng)站遭到非法攻擊,主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規(guī)、歪曲事實、散布謠言的言論,以及破壞社會穩(wěn)定、損害公司名譽的不當言論等。

③公司內部網(wǎng)絡服務器或他服務器被非法入侵,相關網(wǎng)絡設置被非法拷貝、修改、刪除,發(fā)生泄密事件。

④公司內外網(wǎng)終端混用,被國網(wǎng)公司信息管理部門查處,造成公司信息泄露、丟失事件。

信息系統(tǒng)是企業(yè)正常開展生產運營工作的基本前提,信息管理系統(tǒng)一旦出現(xiàn)問題,輕則影響企業(yè)內部業(yè)務項目的正常進行,重則導致企業(yè)蒙受巨大的經(jīng)濟虧損。因此,針對信息安全風險加強管控對企業(yè)來說意義重大。

3 企業(yè)信息安全風險管理方案

3.1 建立信息安全風險管理流程

企業(yè)信息安全風險管理工作可按照圖1所示流程逐步展開。

3.2 完善信息安全風險管理措施

對信息安全風險的管理可以以階段化的管理模式逐步展開,具體措施如下:

3.2.1 實施準備階段

信息安全風險管理實施的準備階段主要包括管理開端的建立、風險評估以及制定行動方案三個步驟。第一,在管理開端的建立中,首先要獲得企業(yè)管理部門與業(yè)務部門的支持,并且建立完善的管理質素,明確參與到管理過程中的工作人員的職責;第二,在風險評估步驟中,首先,確定風險評估對象的范圍,其次,確定評估小組的成員,并且制定評估方案;最后,對評估小組成員進行與評估方案有關的培訓。在這些準備工作結束后,評估人員就可以開始通過訪談或調查的形式來確定公司信息資源的具體情況,明確用戶對信息安全的需求。再通過對風險進行識別與分析,發(fā)現(xiàn)企業(yè)信息系統(tǒng)中存在的風險。第三,在制定行動方案的步驟中,需要完成保護方案的制定以及確定風險處理方式兩部分工作。通常情況下,保護方案就是需要企業(yè)長期持續(xù)執(zhí)行,能夠幫助企業(yè)保證自身信息安全的方案,但不足以滿足企業(yè)在短期內提高信息安全性的需求。因此,企業(yè)必須對所有控制措施制定相應的處理方式,在短期內解決企業(yè)最需要解決的問題。

3.2.2 部署與執(zhí)行階段

行動的部署與執(zhí)行階段主要有計劃的部署與安全培訓兩方面工作組成。第一,行動計劃部署。在這個過程中,安全風險管理計劃中的所有措施都必須被執(zhí)行,需要對具體行動方案進行必要的理解并執(zhí)行。首先,要與企業(yè)中的員工進行事先溝通,防止在實施中遇到反對或抵觸的情緒。其次,確保被安排到行動計劃的員工能夠把握這些工作的優(yōu)先級。此外,必須制定行動執(zhí)行保障制度,為計劃執(zhí)行準備足夠的資源,以保證計劃順利執(zhí)行。第二,安全培訓工作的實施。在企業(yè)內部,從事安全風險管理工作的員工有時會將普通工作人員視為技術人員,顯然這種想法是有問題的,并不是企業(yè)內的所有員工都了解信息安全風險管理。所以,我們必須了解企業(yè)中大部分員工知識利用信息系統(tǒng)完成自己的工作任務,信息安全的保護是需要專業(yè)的信息安全人員進行的。所以,企業(yè)必須組織安全培訓,通過培訓提高員工安全意識,保證他們在信息系統(tǒng)遇到危險時能夠采取一些有效的行動,對系統(tǒng)進行適當?shù)谋Wo。

3.2.3 風險監(jiān)督檢查階段

在信息安全風險管理團隊中,必須組建風險監(jiān)督小組,在風險管理的整個過程中對其進行監(jiān)督與檢查,小組應由小組負責人與檢查人員組成。實施風險監(jiān)督檢查的目的就是為了掌握企業(yè)信息安全的實際狀態(tài),并且收集信息安全環(huán)境變更信息,方便對未來的風險進行預測。風險監(jiān)督小組在獲得這些信息后,必須及時向風險管理團隊反饋,確保他們能夠掌握企業(yè)最近的信息安全狀態(tài)。

3.2.4 風險改進階段

在這一階段,我們必須做好以下工作:制定詳細的風險改進措施。風險管理團隊需要根據(jù)企業(yè)的信息安全狀態(tài)制定詳細的風險改進措施。通過對監(jiān)督檢查過程中發(fā)現(xiàn)的問題進行分析,可以找出導致問題產生的原因,制定相應的改進措施并限期完成,檢查人員則要負責對具體的實施情況進行檢查。在改進過程中,需要注意的是,改進措施必須獲得最高管理者的批準,特別是關系到整個企業(yè)或大多數(shù)部門的改進措施。風險監(jiān)督小組必須隨時跟蹤糾正措施實施情況,驗證改進措施的執(zhí)行是否符合標準。

3.3 建立企業(yè)信息安全風險評估體系,促進信息管理工作不斷優(yōu)化改進

3.3.1 明_信息安全風險評估流程

企業(yè)信息安全風險評估工作可以參照圖2逐步實行。

3.3.2 信息安全風險的計算及處理措施

企業(yè)的風險可以通過多種計算方法得到,但通常資產的風險值可以定義為:風險值=f(安全事件發(fā)生的可能性,安全事件發(fā)生的危害性)=g(資產,威脅,脆弱性,已實施的控制措施)。評估人員根據(jù)這樣的函數(shù)形式,可以采用一種類似5×5形式的矩陣來計算風險,其中行和列分別代表了安全事件發(fā)生的可能性或發(fā)生的危害性等級。當然,評估人員為了細化這些風險可以采用維數(shù)更多(更細)的矩陣。

4 結論及建議

企業(yè)通過信息安全風險管理的實施,能夠確定長時間的安全風險管理計劃,并且可以有效地緩解企業(yè)信息系統(tǒng)中的安全風險,提高工作人員對與信息安全風險的認識,建立健康的安全風險管理氛圍,推動企業(yè)信息化發(fā)展。

另外,建議企業(yè)在實施信息風險管理的同時,及時建立信息安全風險預警系統(tǒng),特別要加強網(wǎng)絡與信息系統(tǒng)安全管理,充分發(fā)揮技術支撐、機制保障作用,不斷完善預防與搶險相結合,有效地預防和減少信息系統(tǒng)安全事故的發(fā)生,保障信息安全穩(wěn)定運行。

參考文獻:

[1]王淳萱.大數(shù)據(jù)環(huán)境下國有企業(yè)的信息安全探析[J].冶金經(jīng)濟與管理,2016(02).

第2篇:信息安全風險管理范文

關鍵詞:鐵路網(wǎng)絡;信息;安全風險;管理措施

 

目前,我國已經(jīng)進入信息網(wǎng)絡技術普及的時代中,在信息技術應用越來越廣泛、作用越來越強大的同時,鐵路運輸組織、服務、管理、建設等多方面的發(fā)展逐漸依賴于信息技術與網(wǎng)絡技術,目前鐵路生產與管理已經(jīng)進入智能化、管控一體化的管理模式中,因此,信息與網(wǎng)絡的安全性對鐵路發(fā)展有著至關重要的影響。但是隨著信息化越來越強烈,存在的風險越來越多,這對鐵路發(fā)展無疑是一種嚴重的威脅,下面對控制網(wǎng)絡與信息安全風險提出了幾點參考建議。

一、信息安全管理體系結構

信息安全風險管理體系結構模型主要由技術、管理以及系統(tǒng)生命周期三大要素組成的三維模型。而信息安全是由信息安全技術與信息安全管理共同參與保護工作而實現(xiàn)的,信息安全技術的保護作用在于對信息安全保護采取的有效技術措施,而信息安全管理的作用主要在于對信息安全技術實施與運行過程中進行科學管理,促使信息安全技術發(fā)揮最大作用。隨著信息安全風險越來越多,需要不斷提高信息安全技術實施與運行能力,更重要的是加強信息安全管理,從政策、法律、技術、人員等方面進行全面管理,為保證信息安全采取有效的應對措施。

1、技術要素

在技術要素中主要含有環(huán)境、系統(tǒng)、網(wǎng)絡、應用四個技術方面。鐵路信息系統(tǒng)建設過程中,環(huán)境安全是保護信息系統(tǒng)安全的基礎與屏障,對于機房環(huán)境安全要求非常嚴格,從機房建設過程開始就需要對機房地址、周邊環(huán)境等方面進行考慮,特別是對防火、防雷擊、防滲水、防鼠害等多種對機房安全有影響的因素全部考慮在內,同時還要加強對機房維護與管理等方面工作的考慮。值班人員管理、設備管理、電源管理、機房詢問控制以及機房保密等方面中都會存在安全風險,因此需要對其采取相應的管理措施,來降低風險發(fā)生幾率,保障信息安全。

系統(tǒng)主要是由硬件、軟件以及數(shù)據(jù)組成,加強系統(tǒng)安全,首先要確保硬件安全、軟件安全以及數(shù)據(jù)安全,一旦發(fā)生安全風險,就會使數(shù)據(jù)遭到破壞、更改、泄露等風險出現(xiàn),因此,需要加強對其安全保護,保證數(shù)據(jù)安全、促使系統(tǒng)正常運行。網(wǎng)絡是數(shù)據(jù)傳輸、分析、處理等方面的重要渠道,要對網(wǎng)絡安全加以重視,網(wǎng)絡安全是可以保證信息安全的基礎,因此,需要對其加強管理,要從結構、訪問、審計、設備、代碼、病毒等方面進行全面加強防范措施。應用系統(tǒng)是實現(xiàn)信息權限管理的重要技術,具有賦予、變更、撤銷等重要信息應用功能,因此,加強應用系統(tǒng)安全管理有一定的必要性。首先要完善專用用戶登錄識別功能;其次要提高訪問控制功能;再次需要對重要信息進行加密保管;還要保證數(shù)據(jù)完整性,加強密碼技術功能應用;最后要對資源進行合理控制,限制使用額度。

2、管理要素

信息安全風險管理效果與鐵路內部組織結構、管理制度以及人員管理有著直接的關系,沒有完善的組織結構,相應的管理制度,會使內部管理混亂,進而發(fā)生信息安全管理不得當,同時技術人員的技術水平以及個人素質等因素都會造成信息泄露、丟失等風險存在。因此,必須建立完善的組織結構,鐵路信息系統(tǒng)的安全要在組織結構方面得到安全保證。鐵路信息安全管理應建立由上級領導層、中級管理層、下級執(zhí)行層三個層面的管理組織機構,并制定完善的管理制度,落實到實際工作中,加強技術人員的培訓,以提高技術人員專業(yè)水平以及綜合素質為目的,優(yōu)化整個信息安全管理部門,促使鐵路信息安全風險管理得到保證。

3、系統(tǒng)生命周期要素分析

設計階段的安全風險管理過程應對設計方案中所提供的安全功能符合性進行判斷,作為采購過程風險控制的依據(jù)。應詳細評估設計方案中對系統(tǒng)可能面臨威脅的描述,將使用的具體設備、軟件等資產及其安全功能需求列表。基于設計階段的資產列表、安全措施,實施階段應對規(guī)劃階段的安全威脅進行進一步細分,同時評估安全措施的實現(xiàn)程度,從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。運行維護階段的風險評估應采取定期和非定期兩種方式;當組織的業(yè)務流程、系統(tǒng)狀況發(fā)生重大變更時,也應進行風險評估。

二、采取措施建議

在信息系統(tǒng)規(guī)劃、設計階段,應對信息系統(tǒng)的安全需求進行分析,同步規(guī)劃、設計信息系統(tǒng)的安全等級和保護措施,建立安全環(huán)境,從源頭上保障信息安全。對已定級的信息系統(tǒng),應嚴格按照等保要求進行區(qū)域劃分、邊界防護、訪問控制、安全審計及安全管理。構建一個全路信息系統(tǒng)可視化管理平臺,對網(wǎng)絡、計算機設備、應用系統(tǒng)部署、操作用戶及角色、運維狀態(tài)等關鍵信息進行全局監(jiān)控,提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。建立全路統(tǒng)一的身份認證與授權機制,對各信息系統(tǒng)的用戶進行統(tǒng)一管理,確保信息在產生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

鐵路網(wǎng)絡與信息安全風險管理,不僅僅是從加強技術或者管理任意一方面就可以實現(xiàn)的,而是需要對信息技術與安全管理相結合,共同完善信息安全風險管理。加強對信息技術內部結構的保護,從硬件、軟件、數(shù)據(jù)、加密手段、權限管理手段等多方面進行安全防護,控制系統(tǒng)安全風險發(fā)生,同時還需要加強信息外部管理,從建設、人員、操作、管理等方面進行管理,保證鐵路網(wǎng)絡與信息安全,降低風險發(fā)生,為鐵路發(fā)展提供信息安全保障。

 

參考文獻:

第3篇:信息安全風險管理范文

 

前言

 

隨著網(wǎng)絡時代的到來,各項科技技術獲得了極大的突破,也在實際生活中得以應用。而在現(xiàn)代醫(yī)院運行管理中,計算機網(wǎng)絡信息技術的綜合運用便是極為明顯的可靠實例。通過加強改進醫(yī)院計算機系統(tǒng)管理與風險控制,改善醫(yī)療整體服務質量與業(yè)務能力。通過對現(xiàn)代醫(yī)院計算機信息系統(tǒng)重要性分析闡述,并對其風險控制方法提出建議。

 

1 醫(yī)院計算機信息網(wǎng)絡系統(tǒng)建立的重要性

 

由于網(wǎng)絡技術的飛速發(fā)展,已經(jīng)對現(xiàn)代社會,生活,政治,經(jīng)濟等各方面產生深遠影響,深入滲透。尤其在醫(yī)院現(xiàn)代化管理中,醫(yī)院信息網(wǎng)絡化管理,資源數(shù)據(jù)化帶來了非常大的便利,也是現(xiàn)代化醫(yī)院建立的必要條件。借助計算機網(wǎng)絡工具,提高服務質量,醫(yī)療水平,促進醫(yī)療事業(yè)的發(fā)展。通過信息網(wǎng)絡管理后,使醫(yī)院運營得更加規(guī)范科學。不僅推動了醫(yī)院現(xiàn)代化改革,也對整個醫(yī)療事業(yè)的發(fā)展提供了助力,其意義與作用不言而喻。

 

傳統(tǒng)的醫(yī)院管理中,由于缺乏網(wǎng)絡信息,往往花費大量的財力物力人力對進行日常維護。隨著醫(yī)院計算機信息系統(tǒng)的引入,不斷地智能化科學化,在很大程度上對醫(yī)院的資源配置進行合理優(yōu)化,提高了整體的醫(yī)療競爭力。而在信息分析處理中,因為計算機的決策整合,使得最終處理結果更加合理精確。例如在對患者病情記錄分析中,職員考察考核等等,都可以高速便捷的展開研究。

 

2 計算機軟件信息安全維護

 

在醫(yī)院計算機使用過程中,要做到醫(yī)院計算機自身終端完全不受干擾破壞是不可能的,只有通過提高免疫防御能力,才能減少被感染可能性。但是由于有的高危病毒,傳播速度驚人,破壞力極大,并且頑固復雜,難以徹底清除,在短時間內就能造成大量客戶計算機無法工作,對醫(yī)院日常的工作帶來了極大的影響。應用系統(tǒng)在數(shù)據(jù)交換過程中可以對其進行審計,其中記錄的事件內容,可能包括客戶機地址,具體操作時間,與其他用戶結果信息數(shù)據(jù)。在日常維護處理中,就可以對報告結果導出分析。對于用戶私人數(shù)據(jù),也應該建立嚴格的保護機制,安全性,只有通過權限授予才能訪問讀取相關的信息數(shù)據(jù)。同時為了保證關聯(lián)性,可以對用戶設置多個角色。系統(tǒng)根據(jù)角色類別進行權限操作限制,不僅可以越權操作,還可以設置角色屬性限制期的功能,權限的多樣化和靈活性大大保證了醫(yī)院計算機信息系統(tǒng)的安全性。

 

3 計算機信息安全管理制度建立

 

在安全管理中,可以實施責任制度。例如成立醫(yī)院信息安全管理組,醫(yī)院相關負責人,以職能為參考標準,負責安全線的各項工作,定期安排任務與會議總結,發(fā)現(xiàn)問題,總結問題,進而深化部署醫(yī)院計算機信息安全管理工作。在制度的建立中,可以參考服務器,網(wǎng)絡設備,技術人員,數(shù)據(jù)文檔相關系列的安全管理制度體系。指定人員定期維護,保存記錄,做好應急預案與應急措施,做到日志化管理。

 

對于信息安全操作規(guī)范,也需要加強管理。指定系統(tǒng)軟件,數(shù)據(jù)操作規(guī)范流程,沒有授權不能進行文件復制,數(shù)據(jù)共享,系統(tǒng)的修改增刪。定期維護服務器狀態(tài)檢查,分析日志,并且觀測數(shù)據(jù)是否存在問題,及時發(fā)現(xiàn)異常點,做好日志記錄,保證完整性與可靠性??梢灾贫ㄅ嘤栍媱?,在整個培訓中,目標,流程,結果應該清晰有效,如果信息安全管理小組發(fā)生變化可以及時跟進培訓配合,建立獨立操作局域網(wǎng),模擬真實的信息系統(tǒng)環(huán)境,幫助相關人員快速準確掌握方法。

 

4 信息系統(tǒng)安全管理控制升級

 

4.1 信息安全細節(jié)化設計

 

醫(yī)院網(wǎng)絡安全數(shù)字化是一個長期整體的系統(tǒng)工程,主要圍繞防護警示,檢測檢查,修改恢復這一過程循環(huán)運行。如果這一程序鏈中出現(xiàn)錯誤,某個環(huán)節(jié)沒有按照預定設置完成,將會產生諸多負面影響??刂坪妹恳粋€環(huán)節(jié)的處理,并且嚴格落實,通過一系列的管理制度與措施,監(jiān)督責任到位,確保整個信息安全系統(tǒng)安全高效,持續(xù)穩(wěn)定的工作。由于網(wǎng)絡技術的不斷發(fā)展,漏洞與不足暴露得越來越多,對于新應用新技術推廣的同時,還需要加強培訓,以滿足業(yè)務工作需要。

 

就信息網(wǎng)絡系統(tǒng)自身而言,采用符合實際操作情況與工作狀態(tài)的結構系統(tǒng),安全等級與維護難度都將能夠降低難度,易于操作。構建多層次,體系化的設計使用戶角色等級,權限操作,優(yōu)先等級分布到更多層次,更多日志記錄。那么后續(xù)維護,控制分配也將更加靈敏。結合具體的業(yè)務情況,在可用性與安全性之間尋找平衡點,在符合安全的大前提下,開拓業(yè)務,提升服務質量。

 

4.2 醫(yī)院計算機信息安全風險控制升級

 

在某些醫(yī)院中,計算機網(wǎng)絡防御等級較低,需要通過加強安全性對整個系統(tǒng)進行升級。首先需要確保醫(yī)院計算機信息網(wǎng)絡服務器保持正常。要確定系統(tǒng)的長期安全。注意機房服務供電情況,布線合理,溫度濕度,雷電預防等問題。保證醫(yī)院服務器不間斷供電,保持電源線路通暢。同時主要設備與核心設備固定器維護與檢查,及時發(fā)現(xiàn)問題與前兆,快速有效處理。保證計算機中心溫控與散熱條件良好,使得整個服務器中心環(huán)境到達理想狀態(tài)。保持清潔,除塵保潔,重視物理環(huán)境的維護,并且確保數(shù)據(jù)的及時正確備份。

 

另外,對于醫(yī)院計算機信息主要管理人員的素質,仍然需要加強,明確權力責任,落實到點。這也關系到醫(yī)院信息安全工作能否安全運行。對于網(wǎng)絡用戶也應該嚴格限制管理,分清患者、醫(yī)務職員、管理人員的角色職能。對用戶和密碼加強管理,這樣可以有效的避免危險數(shù)據(jù)與不明軟件對服務器的攻擊與傷害。

 

同時重視日常計算機系統(tǒng)相關記錄數(shù)據(jù)。在常規(guī)服務日志的檢測基礎上,加以分析預判,進而實施下一步相關措施。例如服務器啟動停止,異常運行數(shù)等等,都可以有助于信息系統(tǒng)管理者對醫(yī)院計算機信息系統(tǒng)的全面了解,從而進行評估,得出相關結論。依托數(shù)據(jù)對系統(tǒng)的安全等級展開定級,制定有效制度措施防范解決問題,確保整個信息系統(tǒng)的安全和高效,達到風險管理控制的目的。

 

5 結束語

 

提高安全防范意識,完善制度,對于醫(yī)院計算機信息安全風險管理控制方法不僅僅需要從技術角度入手,自身也需要意識到它的重要性。這不僅關系到醫(yī)院的整體協(xié)作與工作效率,還影響所有部門員工統(tǒng)一性。需要全面了解當前信息系統(tǒng)中的安全問題,并積極應對。因此在提高技術的同時,依靠建立制度對員工進行規(guī)范管理,提高防范意識,確保醫(yī)院計算機信息系統(tǒng)安全。

第4篇:信息安全風險管理范文

關鍵詞:網(wǎng)絡審計 歷史財務報表審計 信息安全管理 風險評估

一、引言

從審計的角度,風險評估是現(xiàn)代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網(wǎng)絡審計中,現(xiàn)代風險導向審計均要求審計師在執(zhí)行審計工作過程中應以風險評估為中心,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步?jīng)Q定如何收集、收集多少和收集何種性質的證據(jù),以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度,企業(yè)風險管理將風險評估作為其基本的要素之一進行規(guī)范,要求企業(yè)在識別和評估風險可能對企業(yè)產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業(yè)風險管理的一部分,是企業(yè)信息安全管理的基礎和關鍵環(huán)節(jié)。盡管如此,風險評估在網(wǎng)絡審計、歷史財務報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風險和網(wǎng)絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網(wǎng)絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網(wǎng)絡審計風險評估的理解。

二、網(wǎng)絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發(fā)現(xiàn)財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發(fā)現(xiàn)被審計單位財務報表上存在重大錯報或漏報的可能性。在網(wǎng)絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網(wǎng)絡環(huán)境下信息系統(tǒng)特定風險的影響。計算機及網(wǎng)絡技術的應用能提高企業(yè)經(jīng)營活動的效率,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風險。這些新的風險主要表現(xiàn)為:(1)數(shù)據(jù)與職責過于集中化。由于手工系統(tǒng)中的職責分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了,這些集中的數(shù)據(jù)庫技術無疑會增加數(shù)據(jù)縱和破壞的風險。(2)系統(tǒng)程序易于被非法調用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術要求,非專業(yè)人員難以察覺計算機舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計工作。(5)網(wǎng)絡系統(tǒng)在技術和商業(yè)上的風險,如計算機信息系統(tǒng)所依賴的硬件設備可能出現(xiàn)一些不可預料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應地,網(wǎng)絡審計的固有風險主要是指系統(tǒng)環(huán)境風險,即財務電算化系統(tǒng)本身所處的環(huán)境引起的風險,它可分為硬件環(huán)境風險和軟件環(huán)境風險??刂骑L險包括系統(tǒng)控制風險和財務數(shù)據(jù)風險,其中,系統(tǒng)控制風險是指會計電算化系統(tǒng)的內部控制不嚴密造成的風險,財務數(shù)據(jù)風險是指電磁性財務數(shù)據(jù)被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統(tǒng)的操作人員、技術人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網(wǎng)絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網(wǎng)絡審計的審計對象包括被審計單位基于網(wǎng)絡的財務信息和網(wǎng)絡財務信息系統(tǒng)兩類,因此審計人員關注的風險應是被審計單位經(jīng)營過程中與該兩類審計對象相關的風險。(1)對于與企業(yè)網(wǎng)絡財務信息系統(tǒng)相關的風險,審計人員應該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發(fā)模型中還是在更為復雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內容不同,企業(yè)在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統(tǒng)運行所必備的機房、設備、辦公場所、系統(tǒng)線路及相關環(huán)境;網(wǎng)絡層,即信息系統(tǒng)所需的網(wǎng)絡架構的安全情況、網(wǎng)絡設備的漏洞情況、網(wǎng)絡設備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應用層,即信息系統(tǒng)所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網(wǎng)絡的相關財務信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡信息系統(tǒng)或網(wǎng)絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡審計中關注的重大錯報風險與傳統(tǒng)審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業(yè)狀況、經(jīng)營性質、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務業(yè)績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。

(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區(qū)別的。總的來說,網(wǎng)絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風

險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環(huán)境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關經(jīng)營風險、被審計單位財務業(yè)績的衡量和評價及被審it@位的內部控制等。在網(wǎng)絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環(huán)境外,還應該關注其他相關的潛在事件及其影響,尤其是企業(yè)的財務信息系統(tǒng)及基于網(wǎng)絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統(tǒng)及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡的財務信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡財務信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網(wǎng)絡、系統(tǒng)的弱點來成功地引起破壞。因此,我們認為網(wǎng)絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度,判斷風險發(fā)生的可能性;(4)根據(jù)風險發(fā)生的可能性,評價風險對財務信息系統(tǒng)和基于網(wǎng)絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網(wǎng)絡審計中的風險評估。但在具體運用時網(wǎng)絡審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡的財務信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內部使用人員)、系統(tǒng)或網(wǎng)絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數(shù)據(jù)及與財務信息相關的非財務數(shù)據(jù)可能的異常趨勢外,審計人員應格外關注對信息系統(tǒng)及網(wǎng)絡的特性情況,被審計單位對信息系統(tǒng)的使用情況等內容的分析比較。實施觀察和檢查時,除執(zhí)行常規(guī)程序外,審計人員應注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應用、網(wǎng)絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業(yè)所設定的風險管理和應對策略的有效性進行分析,進而評價企業(yè)相關風險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡的財務信息在網(wǎng)絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業(yè)務性質選擇合適的程序。

三、網(wǎng)絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據(jù)國家有關信息安全技術標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調和控制等管理的基本特征,其主要目的在于從企業(yè)內部風險管理的角度,在系統(tǒng)分析和評估風險發(fā)生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業(yè)面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡審計是由獨立審計人員向企業(yè)提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡的財務信息的合法性、公允性以及網(wǎng)絡財務信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業(yè)資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響,它要求評估人員關注與企業(yè)整個信息系統(tǒng)和所有的信息相關的風險,包括實體安全風險、數(shù)據(jù)安全風險、軟件安全風險、運行安全風險等。網(wǎng)絡審計中,審計人員是對被審計單位的網(wǎng)絡財務信息系統(tǒng)和基于網(wǎng)絡的財務信息發(fā)表意見,因此,風險評估時審計人員主要關注的是與企業(yè)財務信息系統(tǒng)和基于網(wǎng)絡的財務信息相關的風險,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關的風險。根據(jù)評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風險評估活動;他評估通常是由組織的上級主管機關或業(yè)務主管機關發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執(zhí)行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業(yè)務,與網(wǎng)絡審計嚴格區(qū)分開來。

(二)風險評估的內容在我國國家質量監(jiān)督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業(yè)務戰(zhàn)略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威

脅發(fā)生的可能性賦值;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值;(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。結合上文網(wǎng)絡審計風險評估五個方面的內容可以看出,網(wǎng)絡審計和信息安全風險評估在內容上有相近之處,即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業(yè)的一項內部管理,其風險評估工作需要從兩個層次展開:一是評估風險發(fā)生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的,其重點在第二層次?!缎畔踩L險評估指南》(征求意見稿)提出,企業(yè)在確定出風險水平后,應對不可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧?,并形成風險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質,并特別關注成本與風險的平衡。網(wǎng)絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡審計程序和實現(xiàn)網(wǎng)絡審計目標提供重要基礎。因此,兩者的評估內容是存在區(qū)別的。

第5篇:信息安全風險管理范文

【關鍵詞】數(shù)字化 醫(yī)院 信息管理系統(tǒng) 安全風險

伴隨著信息化技術的飛速發(fā)展,數(shù)字化開始受到了人們的普遍關注,在越來越多的領域得到了應用?,F(xiàn)階段,醫(yī)院普遍都建立起了相應的信息管理系統(tǒng),并且其正逐漸由單純的信息管理向其它業(yè)務延伸,在醫(yī)院正常運轉中發(fā)揮著越來越重要的作用。針對當前醫(yī)院信息管理系統(tǒng)中存在的安全風險,管理人員應該制定切實可行的風險應對策略,保障系統(tǒng)的運行的安全性和可靠性。

一、醫(yī)院信息管理系統(tǒng)的安全風險

醫(yī)院信息管理系統(tǒng)是指在醫(yī)院管理以及醫(yī)療活動中,進行信息管理和聯(lián)機操作的計算機應用系統(tǒng),同時也是覆蓋醫(yī)院所有業(yè)務以及業(yè)務所有流程的信息管理系統(tǒng),能夠利用計算機以及通訊設備,為醫(yī)院各部門提供病人診療信息、行政管理信息等,實現(xiàn)信息的收集、存儲、整理、提取以及交換,可以滿足授權用戶功能需求的平臺。醫(yī)院信息管理系統(tǒng)的安全直接影響著醫(yī)院網(wǎng)絡服務的質量,關系著醫(yī)院的正常運轉,其重要性不言而喻。

從目前來看,在醫(yī)院信息管理系統(tǒng)中,存在著大量的安全風險,包括了硬件風險、軟件風險、管理風險以及環(huán)境風險四個方面的內容,之所以會如此,一方面,醫(yī)院管理人員并沒有認識到信息管理系統(tǒng)安全的重要性,將目光更多的放在了系統(tǒng)的實用性而非安全性上,因此并沒有投入相應的經(jīng)費去進行系統(tǒng)安全防護模塊的建設及維護,導致系統(tǒng)中存在著較大的缺陷和漏洞,給系統(tǒng)安全帶來很大的隱患;另一方面,醫(yī)院病沒有制定與信息管理系統(tǒng)密切相關的制度和措施,導致在系統(tǒng)管理方面缺乏嚴謹性與可靠性,加上缺乏先進的技術支撐,在系統(tǒng)的安全維護方面相對薄弱,影響了系統(tǒng)的運行安全。

二、醫(yī)院信息管理系統(tǒng)安全風險的應對策略

(一)提高系統(tǒng)安全意識

只有意識到了信息管理系統(tǒng)安全的重要性,樹立起了相應的系統(tǒng)安全意識,才能夠真正確保風險防范措施的有效落實。因此,對于醫(yī)院而言,應該加強信息系統(tǒng)的安全教育,成立相應的安全領導小組,對任務進行分配和落實,確保其都能夠認識到系統(tǒng)安全的重要性。同時,應該制定出切實可行的管理制度,對領導小組和管理團隊的行為進行約束,確保其能夠全身心地投入到各自的工作中去,強化責任意識。另外,醫(yī)院財政管理部門應該設置專門的系統(tǒng)安全管理資金,對一些影響系統(tǒng)安全的薄弱環(huán)節(jié)進行統(tǒng)計,增大設備、技術以及管理方面的資金投入力度,避免由于設備缺陷、技術不足以及管理漏洞影響系統(tǒng)安全管理工作的成效。

(二)構筑風險評估機制

相關統(tǒng)計數(shù)據(jù)顯示,在醫(yī)院信息管理系統(tǒng)中,多數(shù)安全風險都可能會帶來難以估量和彌補的損失,嚴重時甚至可能會間接導致病患的傷亡。而對安全風險進行分析,其多數(shù)都是由于沒有能夠及時發(fā)現(xiàn)和排除風險因素。對此,醫(yī)院應該結合自身實際,構筑相應的風險評估與檢測機制,及時做好系統(tǒng)檢測工作,發(fā)現(xiàn)其中存在的不足和漏洞,尋找問題的解決策略。對于一些尚未表現(xiàn)出的問題,應該通過系統(tǒng)的日常維護管理,發(fā)現(xiàn)其潛在風險,做好必要的預防和規(guī)避措施,盡可能消除其對于醫(yī)院的影響[2]。從機制的落實層面考慮,應該設置完整的安全檢測計劃,安排專門的計劃執(zhí)行人員,成立系統(tǒng)安全管理小組,確保其能夠在醫(yī)院各部門的配合下,對安全檢測計劃進行有效落實,確保各項工作的有序、規(guī)范進行。

(三)選擇可靠硬件設備

硬件設備的質量在很大程度上關系著系統(tǒng)的運行安全,要想確保醫(yī)院信息管理系統(tǒng)的安全運行,離開了高穩(wěn)定、高可靠和高性能的硬件設備的支持是不可能的。對于醫(yī)院而言,應該認識到這一點,不能為了縮減資金而使用一些缺乏保障的產品。對于一些關鍵性設備,如交換機等,不僅需要確保其可靠性,還必須設置備用,確保設備出現(xiàn)突發(fā)性故障時可以迅速替換,保障信息管理系統(tǒng)的正常運行。應該做好硬件設備的維護管理和檢測工作,及時對一些老化的設備和部件進行更換,對設備內部的積塵進行清理,對設備運行的環(huán)境進行優(yōu)化,確保硬件設備的穩(wěn)定可靠運行。

(四)重視數(shù)據(jù)備份管理

數(shù)據(jù)備份在應對系統(tǒng)風險方面發(fā)揮著非常關鍵的作用,可以有效減少數(shù)據(jù)丟失對于醫(yī)院運轉造成的影響。當前,許多醫(yī)院在數(shù)據(jù)備份上往往只能做到定期備份或者針對某個時點的備份,而無法做到實時備份,這樣并不能有效規(guī)避風險。從目前的技術條件分析,數(shù)據(jù)庫的實時備份包括了硬件同步和軟件同步兩種,可以在同一時刻將數(shù)據(jù)寫在兩個甚至多個不同的位置,從而避免了數(shù)據(jù)的損壞或者丟失。對于系統(tǒng)管理人員而言,應該對數(shù)據(jù)庫備份策略做到心中有數(shù),并在模擬機上進行數(shù)據(jù)恢復試驗,以確保備份數(shù)據(jù)的有效性。

(五)完善網(wǎng)絡防護措施

在當前數(shù)字化、網(wǎng)絡化的環(huán)境下,醫(yī)院信息管理系統(tǒng)面臨著病毒、木馬以及非法入侵的威脅,必須設置完善的網(wǎng)絡防護系統(tǒng)。從目前來看,比較有效的防護措施,一是物理隔離,將醫(yī)院信息管理系統(tǒng)運行的網(wǎng)絡獨立出來,切斷病毒傳播的途徑;二是防毒軟件,減少和預防病毒的傳播與擴散;三是端口控制,防止設備非法接入網(wǎng)絡,減少網(wǎng)絡遭受攻擊的機率。

三、結語

醫(yī)院信息管理系統(tǒng)的安全關系著醫(yī)院的信息安全,也關系著醫(yī)院自身的運行安全,應該得到足夠的重視,做好相應的風險評估和檢測,及時發(fā)現(xiàn)系統(tǒng)中存在的安全風險和風險隱患,采取切實有效的預防和應對措施,對風險進行規(guī)避和處理,保障醫(yī)院信息管理系統(tǒng)的安全可靠運行。

參考文獻:

[1]陳寧,李成華,李暉,曾永杰.醫(yī)院信息系統(tǒng)安全風險規(guī)避管理策略研究[J].電腦知識與技術,2015,(28).

第6篇:信息安全風險管理范文

[關鍵詞]檔案管理;信息化;優(yōu)勢;安全風險;評估

doi:10.3969/j.issn.1673 - 0194.2015.18.132

[中圖分類號]G270.7 [文獻標識碼]A [文章編號]1673-0194(2015)18-0-01

隨著時代的不斷發(fā)展,信息化建設成為檔案管理發(fā)展的必然趨勢,對現(xiàn)代檔案管理工作的開展及檔案資源的應用有著非常重大的意義。檔案管理信息化是實現(xiàn)檔案管理規(guī)范化、現(xiàn)代化的一大重要途徑,同時也是檔案資源實現(xiàn)共享,得到廣泛應用的必然要求。

1 檔案管理信息化的必要性

在當今檔案管理信息量急速增加、種類繁多、信息載體多樣的情況下,傳統(tǒng)的檔案管理模式已與社會信息化發(fā)展相脫節(jié)。這必然要求檔案管理信息化,在滿足時展需要的同時更好地促進檔案管理事業(yè)的發(fā)展,充分實現(xiàn)檔案的功能和價值。檔案管理信息化發(fā)展是檔案發(fā)展的必然要求,當今社會已具備了檔案管理信息化發(fā)展完善的條件,使其發(fā)展成為可能。第一,具備軟硬件基礎。硬件基礎主要體現(xiàn)在各單位的檔案管理部門已具備打印機、復印件以及掃描儀等高新技術設備,另外,對計算機的配置也滿足了檔案管理部門的工作需求。第二,規(guī)范的管理機制。其標準體現(xiàn)在整理、統(tǒng)計、服務及技術等多個方面。第三,人們的信息化意識逐漸增強。隨著計算機網(wǎng)絡技術在生產生活中的廣泛應用,人們的信息化意識逐漸增強,同時人們對信息化相關設備技術的操作能力也已滿足日常生產生活的需要。這為檔案管理信息化的發(fā)展提供了良好的社會環(huán)境和思想環(huán)境,并在一定程度證實了檔案管理信息化建設的迫切需求。

2 檔案管理信息化的優(yōu)勢

2.1 利于存儲

在檔案管理信息化中,檔案管理不再占用巨大空間,且提高了管理效率,檔案只需儲存在計算機中。同時,也解決了紙質檔案在存儲期間的自然損害問題,提高了檔案資料存儲的長期性。經(jīng)過高新技術進行“原文掃描“后,利于實現(xiàn)“原文”再現(xiàn)。

2.2 便于查詢

在傳統(tǒng)的檔案管理模式中,查詢資料需檔案管理人員自大量的紙質信息中,通過肉眼查找。檔案管理信息化徹底改變了這一費時、費力的查詢方式,通過檔案信息管理系統(tǒng)即可實現(xiàn)檔案資料的即時、準確查詢。這大大提高了檔案資料的使用質量、精度和效率。

2.3 實現(xiàn)信息共享

檔案管理信息化通過信息網(wǎng)絡可促進組織、單位內部的信息共享,使檔案資源的使用更加快捷,及時滿足組織、單位內部對檔案信息的需求。專用的信息技術,可實現(xiàn)檔案資料的異地遠程管理和使用,最大程度地發(fā)揮了檔案的作用。

2.4 實現(xiàn)檔案的分級管理

在檔案管理信息化中,可通過相應的網(wǎng)絡權限設置,規(guī)定使用者的調閱權限,實現(xiàn)檔案資料的分級管理,這有利于資料保密。同時,系統(tǒng)查詢記錄可自動記錄調閱情況,以更好地落實責任追究制。

2.5 提高工作效率

傳統(tǒng)的檔案管理工作中,檔案的收集、整理、保管以及利用等都需要通過手工勞動實現(xiàn),這需要花費大量的人力和物力資源。而檔案管理信息化改變了傳統(tǒng)的工作方式,檔案資料經(jīng)微機處理后,實現(xiàn)了按“件”整理歸檔,其整理、保管及利用等環(huán)節(jié)均可在電腦上操作。同時,工作人員的工作由以前的集中工作轉變?yōu)榉稚⒐ぷ?。另外,系統(tǒng)中按“件”整理的資料,使得文件的插入變得簡單,便于文件完善??梢?,檔案管理信息化在降低工作人員勞動強度的同時也提高了工作人員的工作效率。

3 檔案管理信息化安全風險評估

3.1 檔案管理信息化安全風險評估的必要性

檔案管理信息化的優(yōu)勢逐漸體現(xiàn)出來,且其特點鮮明,與社會發(fā)展相協(xié)調,是現(xiàn)代化發(fā)展的一個重要趨勢。信息化的管理方法,能給人們的生活帶來方便,與此同時,信息的安全問題也引起了人們的注意。在對檔案進行信息化管理的過程中,應確保信息的安全性,保證信息傳輸路徑的安全,并確保數(shù)據(jù)的完整性。

3.2 檔案管理信息化安全風險評估中的存在的問題

目前檔案管理信息化安全風險評估存在的問題主要有以下幾個方面。第一,對信息安全評估不夠重視。各組織、單位的管理層對檔案管理信息化安全評估的重視程度不能與檔案管理信息化安全評估的重要性呈正比,遠遠達不到現(xiàn)階段信息安全的需要。第二,評估技術人員匱乏。各組織、單位內部,對檔案管理信息化安全評估的重視程度不夠,導致安全評估人員的專業(yè)知識及經(jīng)驗嚴重不足,不能滿足其工作需求,甚至相關部門的檔案管理信息化安全評估形同虛設。第三,工作流程及技術標準有待完善。就目前檔案管理信息化安全評估的發(fā)展狀況而言,需要完善其工作流程及相關的技術標準。其工作流程和技術標準要根據(jù)具體環(huán)境及情況而制定,以實現(xiàn)流程和標準的科學性、合理性。特別是評估中的分析方法如定性分析、定量分析等,需要進一步完善。第四,評估工具有待更新。隨著信息化的不斷推進,其安全問題也日漸暴漏。原有的評估工具已不能滿足現(xiàn)階段解決相關安全問題的需要。因此,必須加大評估工具的開發(fā)和推廣力度,切實滿足檔案管理信息化安全評估的需求。

4 結 語

檔案管理信息化是檔案管理隨時展的必然趨勢,其與傳統(tǒng)的檔案管理方式相比有著明顯的優(yōu)勢。同時,檔案管理信息化所具有的信息安全也需引起重視,要積極解決信息化安全評估中的相關問題,促進安全評估,從而在根本上促進檔案管理信息化的發(fā)展。

主要參考文獻

第7篇:信息安全風險管理范文

隨著信息化的不斷推進,信息設備的使用也變得越來越廣泛,越來越多單位的主營業(yè)務系統(tǒng)開始基于信息設備來構建,鑒于此,信息設備及信息系統(tǒng)是否能持續(xù)穩(wěn)定的運行以及承載在這些信息設備之上的數(shù)據(jù)是否安全成為關注的熱點問題。目前信息數(shù)據(jù)的主要載體便是各種類型的信息設備,所以對信息設備的信息安全防護即是對其包含的信息數(shù)據(jù)的安全防護。隨著信息設備所面臨的越來越嚴峻的信息安全威脅,如何做好信息設備的風險管理工作是一個值得深入探討的課題。

2信息設備風險管理

2.1信息設備的風險概述

參照信息安全風險評估規(guī)范等標準來說,信息設備信息安全風險包含三個要素,即脆弱性、威脅和資產,每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。信息設備所面臨的信息安全風險并非某種單一來源的安全威脅,而是三種要素互相影響、互相關聯(lián)的某種動態(tài)的平衡關系,而信息設備的風險管理本質上講是對這三種要素造成的安全風險程度的可控管理。

2.2信息設備全生命周期風險管理

信息設備全生命周期風險管理包括信息設備規(guī)劃設計階段、部署階段、測試階段、運行階段和廢棄階段。規(guī)劃設計階段應能夠描述信息系統(tǒng)建成后對現(xiàn)有模式的作用,包括技術、管理等方面,并根據(jù)其作用確定系統(tǒng)建設應達到的目標。這個階段,風險威脅應根據(jù)未來系統(tǒng)的應用對象、應用環(huán)境、業(yè)務狀況、操作要求等方面進行分析。部署階段是根據(jù)規(guī)劃設計階段分析的威脅和制定的安全措施,在設備部署階段應進行質量控制。測試階段是對已經(jīng)部署完成的信息設備結合前期規(guī)劃設計方案的要求對采購來的信息設備進行全面的測試,包括基礎測試、功能性測試及安全性測試等。運行階段讓信息設備穩(wěn)定運行并起到其應有的功能。該階段應做好設備監(jiān)控、脆弱性發(fā)現(xiàn)、設備異常報警、信息設備日志搜集和分析等工作。廢棄階段存在的風險包括未對殘留信息進行適當處理、未對系統(tǒng)組件進行合理的丟棄或更換或未關閉相關連接,對于變更的系統(tǒng),還可能存在新的信息安全風險,因為其可能替換了新的系統(tǒng)組件等。

2.3信息設備風險管理體系

傳統(tǒng)的信息安全管理體系主要依據(jù)ISO27001相關標準搭建,ISO27001標準采用基于風險評估的信息安全風險管理,具體采用了PDCA模型過程方法來全面、系統(tǒng)、持續(xù)的改進組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統(tǒng)信息安全管理,同時也適用于信息設備的安全風險管理。

2.3.1總體思路

信息設備風險管理總體借鑒PDCA管理模型的相關理念,將信息安全設計方案制定、各階段的信息安全風險管理實施、各階段信息安全管理檢查、信息安全管理改進,形成一套有效的安全風險管理防護方法,對信息設備進行不同時間階段、不同維度、不同重點的管理,有效防范和控制信息安全風險,增強信息安全體系的檢測能力、保護能力,為用戶開展風險管理提供全方位的管理思路。

2.3.2風險管理模型

融合傳統(tǒng)風險管理的PDCA模型,將傳統(tǒng)風險管理中動態(tài)模型的思路加以延續(xù),增強信息設備狀態(tài)的動態(tài)特性,主要分為四部分:管理規(guī)劃、管理實施、管理檢查、管理改進。管理規(guī)劃:決策層要明確政策、目標、策略、計劃,形成具體的管理規(guī)劃,明確組織風險管理的整體目標和方向,確定對信息設備進行風險管理所要達到的目的和狀態(tài),從而防止后續(xù)制定的風險管理規(guī)范和組織與已有的戰(zhàn)略決策、制度、規(guī)范等相違背而導致不可執(zhí)行的問題。管理實施:管理層在深入領會和遵照管理規(guī)劃的指示后深入研究信息設備各階段所面臨的信息安全風險,對信息設備各環(huán)節(jié)制定詳細的風險管理實施規(guī)范和標準,以便具體的業(yè)務部門、人員等能嚴格按照管理規(guī)劃的計劃和要求來實施風險管理規(guī)范。管理檢查:管理檢查作為監(jiān)督信息風險管理實施效果的主要手段之一,需要確保管理檢查手段的全面性、科學性、客觀性,需要覆蓋各個管理階段,客觀而高效的評價風險管理實施效果。管理改進:通過歸納總結前階段管理檢查的工作成果,結合信息設備各階段在實施信息風險管理中碰到的各類問題,從管理規(guī)劃、管理實施、管理檢查等各階段提出信息風險管理改進意見,從而持續(xù)的改進信息設備各階段的安全風險管理體系。

2.3.3風險管理體系的構建

根據(jù)安全風險的特點、信息安全三個關鍵要素以及信息設備各階段的特點,我們應明確安全風險的幾個控制手段,然后有計劃的加強整個信息設備安全風險管理體系的建設,才有可能最終有效控制信息安全設備風險。首先,根據(jù)企業(yè)所處的環(huán)境,全面準確的評估安全風險,并根據(jù)安全風險的狀況結合系統(tǒng)、網(wǎng)絡層面的安全防御手段有效抵御各種威脅,最終主動降低安全風險。要實現(xiàn)對安全風險的管理和控制,需要實現(xiàn)完整的風險管理流程,具體為發(fā)現(xiàn)安全風險,即通過有效的手段確定安全風險的資產和區(qū)域、定位安全風險存在的區(qū)域、評估安全風險,準確高效的評估安全風險,了解安全風險的大小和實質、強制措施降低風險,通過管理或強制等安全手段,主動降低安全風險、安全防御通過各類系統(tǒng)、網(wǎng)絡安全設備、防御各類安全威脅、安全問題修補,主動修補存在的各類安全漏洞,全面降低安全風險。以上是完整的信息設備安全風險管理流程,對整個信息設備安全風險的管理和控制,這些步驟缺一不可,同時,風險管理流程還應根據(jù)企業(yè)的具體情況,有不同的實現(xiàn)方式。其次,實現(xiàn)信息設備風險管理的詳細步驟包括:確定信息安全標準和方針、統(tǒng)計信息設備資產,進行資產識別、檢測信息設備資產存在的安全漏洞、了解潛在的威脅、分析存在的安全風險、通過各種手段如安全防護產品來降低已有的安全風險、對信息設備評估安全效果和影響、對已有信息設備安全策略進行對比及改進。最后,實現(xiàn)完善的信息設備安全風險管理,還需要有計劃的完善自身的安全風險管理體系,制定相應的整體安全策略。建立全面的資產管理和風險管理體系,整合現(xiàn)有的安全設備和手段,形成信息設備成熟完備的動態(tài)安全風險管理體系。

3結束語

第8篇:信息安全風險管理范文

關鍵詞:商業(yè)銀行;電子商務;風險管理

商業(yè)銀行從事金融業(yè)務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。2005年上半年共收到網(wǎng)絡安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節(jié))-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發(fā)展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節(jié)。許多組織對信息安全制定了相應的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業(yè)都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:

1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統(tǒng)

一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據(jù)和基礎。

2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務管理辦法》,對國內企業(yè)的電子商務安全風險管理給出了指導意見。

3.利用外部專業(yè)化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統(tǒng)的設計開發(fā)水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關風險。同樣,監(jiān)管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務安全風險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡。

實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務組織是一個復雜的系統(tǒng)組織,電子商務的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟,定量分析不足

電子商務模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風險管理策略的結合

本質上,電子商務的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產生的在傳統(tǒng)風險控制領域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現(xiàn)有的電子商務安全風險管理策略與金融機構原有的傳統(tǒng)業(yè)務風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務的風險控制與電子商務的技術風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。

(四)風險管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監(jiān)管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規(guī),風險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風險管理策略中商業(yè)銀行的內部風險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業(yè)銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務安全風險管理策略的改進建議

(一)基于系統(tǒng)的思想構建商業(yè)銀行電子商務安全風險管理策略框架

利用系統(tǒng)理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統(tǒng)。將商業(yè)銀行電子商務安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務安全風險控制的流程中,經(jīng)過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業(yè)銀行電子商務安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。新晨

(二)電子商務安全風險管理中定量分析中的改進思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內部計量法中規(guī)定,商業(yè)銀行內部估計風險敞口指標、損失事件發(fā)生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術。商業(yè)銀行應通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。

(三)將商業(yè)銀行電子商務安全風險納入商業(yè)銀行總體風險管理范疇

第9篇:信息安全風險管理范文

 

關鍵詞:商業(yè)銀行;電子商務;風險管理

    商業(yè)銀行從事金融業(yè)務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。2005年上半年共收到網(wǎng)絡安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。 

 

一、信息安全管理的歷史演進與現(xiàn)階段的特點 

信息安全管理的策略大體遵循事件驅動(技術和管理脫節(jié))-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發(fā)展路徑。 

 

(一)以事件驅動的初級階段時期 

19世紀70年代安全主要是指物理設備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節(jié)。許多組織對信息安全制定了相應的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。 

 

(二)標準化時期 

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業(yè)都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。 

 

    (三)安全風險管理策略時期 

隨著電子商務安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下: 

1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統(tǒng)一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據(jù)和基礎。 

2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務管理辦法》,對國內企業(yè)的電子商務安全風險管理給出了指導意見。

3.利用外部專業(yè)化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統(tǒng)的設計開發(fā)水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關風險。同樣,監(jiān)管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監(jiān)管。 

4.在許多國家信息系統(tǒng)審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。 

 

二、我國商業(yè)銀行電子商務安全風險管理策略的薄弱點 

(一)系統(tǒng)管理思想缺乏 

目前的電子商務安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡。 

實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務組織是一個復雜的系統(tǒng)組織,電子商務的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務安全風險管理中是不可或缺的。 

 

(二)風險分析的模型與方法不成熟,定量分析不足 

電子商務模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風險管理策略的結合 

本質上,電子商務的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產生的在傳統(tǒng)風險控制領域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現(xiàn)有的電子商務安全風險管理策略與金融機構原有的傳統(tǒng)業(yè)務風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務的風險控制與電子商務的技術風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。