ZS银行信息安全风险管理研究.docVIP

ZS银行信息安全风险管理研究 　　摘要：随着信息化建设的不断深入，以及金融服务的日益多样化和业务规模的不断扩大，信息安全的问题也就愈来愈突出，如黑客入侵、病毒感染、网络钓鱼、客户资料的流失及公司核心资料的泄露等等。这些已给组织的经营管理、业务发展甚至生存都带来不可估量的影响。通过对信息安全风险评估及其背景的认识，对ZS银行进行风险识别、风险评估、风险控制三方面的讨论，制定ZS银行信息安全风险管理策略，采取有效的风险管理措施达到预防风险，降低风险、消除风险的目的。 　　关键词：信息安全；风险评估；风险控制 　　中图分类号：F063 文献识别码：A 文章编号：1001-828X（2015）018-000-02 　　一、引言 　　伴随着我国互联网技术的飞速发展，我们的生活越来越趋向于信息化，也就是说我们的生活越来越便捷，越来越多元化。但是最近几年，由于一些信息安全事故的曝光，我们无时无刻不在担心自身信息的安全问题，我们平常使用的信息系统大都存在一定的安全隐患，比方说，我们平常利用互联网进行交易时，经常会遇到账号资金安全问题、个人信息泄露造成的损失问题等。这些都要求我们提升自身信息的安全性，这样才能降低风险。 　　二、概述 　　对于信息安全工作来说，信息的安全风险评估工作发挥着非常重要的作用，它可以及时准确的计算出哪一种资源发生了丢失或者受到了损坏，并能够在此基础上计算出遭受的损失量，还能准确评估出潜在的危机将会带来的损失大小，这种评估工作可以贯穿与信息交流的整个过程。 　　1. ZS银行信息安全风险识别 　　结合当前银行的发展特征，通过科学分析社会的发展局势，我们本篇文章主要分析一下下面一个风险。 　　软硬件故障即主要是银行的信息安全系统的内部问题，如主机故障，系统运行问题，数据库故障等。操作失误主要是人为因素造成的，如工作人员或顾客存心导致的信息错误。恶意代码，其实是一种非法软件，它主要是在当事人不知情或不允许的情况下，把非法软件安装在计算机终端上，当然恶意代码也可以是一些人非法设置的侵权代码，通常情况下恶意代码主要有以下几种，一种是计算机病毒，一种是逻辑炸弹，一种是计算机蠕虫等。数据泄露是各种因素导致的结果，如人为的泄密，或外部人员的窃取等。 　　2. ZS银行信息安全风险评估 　　所谓的信息安全风险评估就是能够准确评估出由于信息泄露或被窃取导致的损失，确切来说就是一切影响信息安全的风险评估。本文采用PDCA循环模型与层次分析法相结合的方法对ZS银行进行风险评估。 　　三、ZS银行信息安全风险管理 　　（一）PDCA模型 　　我们都知道，风险评估过程中一般遵循的是PDCA的流程，我们可以运用这一流程全面评估ZS银行的信息安全现状，然后在此基础上进行科学的管理工作。 　　1.制定科学的计划：结合实际情况制定科学的风险评估规划，然后明确每一个工作人员的职责。 　　2.规划的落实：按照已经制定的计划进行合理的落实，严格按照要求进行信息风险的管理。 　　3.事后的检查：根据风险控制的效果来计算自身财产的风险级别，严格按照相关规定进行风险的评估及检查，做好信息安全风险的管理。 　　4.不断创新升级：经过科学的调查我们可以明确信息安全管理工作中的不足，针对一些落后的风险控制技术需要进一步创新，这样才能适应环境的变化。 　　（二）层次分析法 　　层次分析法是S.L.Satty提出的一种定量和定性分析相结合的常用的多目标决策方法。该方法通过整理和综合人们的主观判断，使定性分析与定量计算有机结合，实现定量化决策。 　　1.建立层次结构模型 　　图1 层次结构模型图 　　2.构造两两比较判断矩阵 　　在层次分析法中，判断矩阵是最主要的步骤之一，它主要是通过两者之间的比较得来的。所谓的对比较判断矩阵则是指对比上一层的某条具体规则来说，下一层与此条规则相关的不同因素之间的对比。比方说下面这则案例，方案层本身与上一层的规则A相关，创建方案层B其中的不同元素对准则A的判断矩阵具体情况如下所示： 　　如上图所示，bij代表的是针对规则A来讲，方案层B中的两个元素，即bi、bj两者之间经过对比得到的相对重要值。bij的数值是怎样得来的呢？一般情况下可以根据不同的历史文献资料或者相关学者的指导意见得来的。在层次分析法中，Satty主要引用了9分位标度法，这样可以准确的比较出各个定量之间的不同。 　　3.根据对比较判断矩阵计算各层次单排序 　　计算层次单排序是一项复杂的工作，主要需要把该层的一些因素与上一层进行对比得出权重的排序，计算方法主要有两种，一种是方根法，另一种则是和积法。 　　要想准确计算出B层的不同因素相对与规则A的权重顺序，我们就要先计算出判断矩阵A-B的特征向量，然后对进行归一化处理