商业银行信息安全风险管理体系架构.docVIP

商业银行信息安全风险管理体系架构 　　摘 要 　　目前，我国商业银行种类繁多，所以商业银行在风险管理方面涉及的范围也很广泛。本文将从宏观角度研究探索，主要从我国商业银行的经营过程中信息安全风险分析，该安全风险包括技术和管理风险两类。文章将侧重讲述我国商业银行信息安全风险管理体系构架。 　　【关键词】商业银行 信息安全 风险管理 体系构架 　　在我国加入世贸组织后，在市场经济的影响下逐步形成一个与全球经济同步的开放整体，我国很多商业银行都开始设立国外分行，同时，国外银行也在不断开拓国内市场，这就表明，我国商业银行信息系统安全隐患也将由国内范围加深到世界范围。这时候，应该从分析了解我国商业银行信息系统特性着手，准备把握我国商业银行信息系统的安全风险信息，也可借鉴国外已经成熟了的银行信息系统安全管理体制，再根据本行的信息安全系统的特点，构建并完善我国商业银行信息系统安全风险管理体制，及时防范并有效降低我国商业银行信息的安全损害，确保我国商业银行的信息安全，已经成为我国金融机构热议的话题，必须引起银行以及监督管理机构的重视。 　　1 我国商业银行信息安全风险管理现状 　　1.1 信息安全与风险管理 　　广义上来说，信息安全是在特定社会背景下，国家为维护自身信息安全、低于国外信息威胁利用信息安全的通讯技术、网络IT技术的一种能力。从狭义上来讲，信息安全就是信息内容不被随意泄漏和改变，信息体统不受威胁与攻击。当前，风险管理已经在国际上越来越广泛地被运用，有效的风险管理不但可以削减企业经营风险，还能够在企业决策上提供一定的支持，保障企业的可持续发展。所以，风险管理有非常巨大的存在意义。风险管理是信息安全的基本观念。目前，普遍认为信息安全是识别信息系统风险，并能够采取相应措施不断完善信息系统的一个过程。 　　1.2 网络风险 　　在管理商业银行信息系统时，一定要非常谨慎的对待风险管理过程。在评估风险时，可能会发现网络被没有被充分的保护，需要增加一些软件、硬件或者是加强安全管理意识等进行充分保护。网络安全能够平衡银行业务、客户功能和速度。要证明减少某些操作是无误的，比如关闭Active，该行为的发生必须在能够保证银行业务和用户在一个安全的环境下。企业最高决策机构必须时刻强调时刻注意企业的安全，以风险管理为原则不断识别企业网络存在的安全隐患，能准确判断网络容易受到攻击地方，并能够从根本上加强保护。风险评估是风险管理的基础，主要根据三个步骤来实现风险评估： 　　1.2.1 网络价值的判断 　　一定要从银行的有形资产和无形资产两方面考虑来评估商业银行的网络价值。比如，在系统出现故障的时候，要考虑到该故障会对企业的财政收入造成的影响；在网络出现故障时，要考虑修复网络需要花费的人力、物力成本，重建网络信息要消耗的资金；在商业银行网络中有重要信息被泄漏，要考虑到整个公司的财政将会受到多大的影响。 　　1.2.2 定义威胁 　　商业银行的网络和网络数据经常会很容易被内外部环境的威胁攻击。所以，了解每种类型的威胁是非常必要的，还要尽可能多的鉴别可能存在的威胁。目前，很多管理网络的人员都并不能清楚理解环境自身的威胁。内部威一般很常见也很容易定义、识别。外部威胁就相对较难定义，首先要做的是判断破坏机密文件的以未授权方式的患者记录或者信用卡号。可能是企业的竞争对手为了找到银行客户资料，也可能是为了改变银行的数据并破坏数据的可用性的黑客所为；准确判断网络容易受攻击的地方。安全弱点就是已经被识别的威胁，按等级分类所识别的威胁：威胁的关注度、威胁的可行性。 　　1.2.3 设定方案 　　如何执行一个安全的解决方案是网络风险管理过程中的最后一步。该方案需要从以下几方面着手：加强客户以及网络管理人员的安全防范意识；改变并创新网络结构；稳固安全硬件；关闭银行中有安全威胁的并不常用或者根本就不需要的测试、服务以及补丁程序。 　　网络风险主要表现在这几个方面：安全性风险、网络故障风险、法律媒体风险。防范网络风险需要对网络安全进行风险评估，建立网络安全管理构架，最后制定一系列安全防范措施。评估风险首先需要企业内部专门的网络安全管理人员分析并诊断企业网络安全的状况，然后从管理与技术两个方面探讨研究网络安全问题的存在。网络安全管理体系架构需要考虑到的网络风险的几个方面：通过完善网络设备性能、提高网络承受力、先进传输技术的引进以及定期核查网络设备的方式来避免网络故障风险；通过加强宣传并提高社会成员法律安全意思制定一定的法律条款来防范法律媒体风险；通过增加设立持续不断的电源、增加投保企业保险、加强网络机器安全管理等方法来避免网络安全风险中如断电、火灾等的自然风险。针对网络自身的风险以及网络攻击风险，需要遵循一定的有限级有条理有选择的来解决来自数据、应用