[计算机]银行信息安全风险自评估的流程和方法.pdfVIP

热点探究 信息安全 银行信息安全风险自评估的 流程和方法 中国建设银行山东省分行 徐崇岭 随着金融信息化的不断深入，信息化给国内商业银 （2）银行保密性要求较高，信息系统的各种设计文 行带来利益的同时，也带来了新的安全问题，信息系统 档和用户资料等均需保密。 本身的不安全因素和人为的攻击破坏及安全管理制度 （3）银行业务集中程度高，绝大部分银行已实现数 的不完善或执行不到位等，都潜伏着很多安全隐患。特 据大集中，部分银行已基本实现业务大集中。 别是业务数据的集中处理，使业务服务的连续性风险随 银行信息系统的特点 2. 之集中，大到自然灾害、设计规划不当，小到意外的人为 （1）银行开展信息化的时间较长，应用系统较为成 操作错误，都可能导致系统故障，威胁银行的业务开展 熟，在整个信息系统中，应用系统所占比重较大。 和对外声誉。因此，各家银行急需建立完善的信息安全 （2）长期以来，银行信息系统较为封闭，但随着网上 保障体系，防范信息安全风险。 银行、中间业务等银行新型业务和金融产品的出现，银 信息安全保障体系的建设是一项系统工程，风险评 行对开放信息系统的要求越来越高。事实上，所有银行 估在其中占有非常重要的地位，是信息安全保障体系建 的信息系统均已不同程度地对外开放。 设的基础和前提。目前，国内外现有的信息安全风险评 3）由于数据大集中，单笔交易所跨越的网络环节 （ 估模式大体可分为自评估、检查评估与委托评估三大 越来越多，银行信息系统对网络依赖程度越来越高。数 类，后两种类型也可称为他评估。在现阶段，不同模式各 据大集中后，大部分银行将建立一个生产中心和一个异 有优点和缺陷，但从信息安全的角度考虑，自评估应是 地备份中心，这进一步提高网络系统在银行信息系统中 风险评估的基本模式。本文参照风险评估的框架，结合 的地位。 银行业务和信息系统的特点，提出银行开展信息安全风 银行信息安全的特点 3. 险自评估工作的流程和方法。 （1）银行的信息安全保障体系建设普遍处于起步阶 段，尚需进一步完善。 一、银行业务、信息系统和信息安全的特点 （2）随着竞争的加剧，金融新产品的不断开发，应用 软件开发周期越来越短，新系统的推出越来越快，往往 银行业务的特点 1. 安全隐患尚未彻底排除即已投产。 （1）银行业务的正常开展关系到国计民生，因此银 （3）银行网点众多，管理难度高，成为信息安全的另 行对数据完整性要求极高，对业务可用性和数据可用性 一主要薄弱点。 的要求也非常高，对业务中断和数据丢失等事故非常敏 （ 4）随着科技的迅速发展和网络的不断开放，目前 感。 银行的网络安全管理水平和安全技术设施已显落后。 中国金融电脑 2007年第2期 ·