公務(wù)員期刊網(wǎng) 精選范文 信息安全風(fēng)險(xiǎn)管理范文

信息安全風(fēng)險(xiǎn)管理精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全風(fēng)險(xiǎn)管理主題范文,僅供參考,歡迎閱讀并收藏。

信息安全風(fēng)險(xiǎn)管理

第1篇:信息安全風(fēng)險(xiǎn)管理范文

Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.

關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)管理;框架探究

Key words: information security;risk management;framework research

中圖分類號(hào):F270 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2017)18-0053-03

0 引言

在社會(huì)不斷發(fā)展的同時(shí),信息化技術(shù)也獲得了長(zhǎng)足的進(jìn)步,并且已經(jīng)廣泛地應(yīng)用到人們的生活與工作中。對(duì)于企業(yè)單位而言,信息資源是保證正常運(yùn)營(yíng)的關(guān)鍵因素,企業(yè)運(yùn)營(yíng)的重要數(shù)據(jù)、客戶資料以及知識(shí)產(chǎn)權(quán)等信息都是重要的信息資源,這些資源一旦泄露或丟失,會(huì)對(duì)企業(yè)造成極大的影響。因此,企業(yè)必須重視自身信息系統(tǒng)安全風(fēng)險(xiǎn)管理的框架的建設(shè),有效防止來自網(wǎng)絡(luò)的惡意攻擊,防止內(nèi)部重要信息泄露或丟失,保證企業(yè)信息安全。

1 企業(yè)信息安全實(shí)踐的需求分析

在信息時(shí)代的大背景下,企業(yè)的信息化程度是衡量其發(fā)展水平的重要因素。但是,我國(guó)的信息安全形勢(shì)不容樂觀,大部分企業(yè)沒有樹立信息安全風(fēng)險(xiǎn)管理概念,企業(yè)的信息安全無法得到良好的保障。信息安全是一項(xiàng)綜合性的工程,不能僅憑企業(yè)短期內(nèi)需要就采取某些措施,無法從根本上提高信息安全水平。想要做好企業(yè)信息安全實(shí)踐工作,必須事先做好企業(yè)對(duì)信息安全的需求分析,形成全面的分析報(bào)告,并根據(jù)報(bào)告中的內(nèi)容采取相應(yīng)的措施,改善企業(yè)信息安全現(xiàn)狀。但是,需求分析的具體過程也不是始終不變的,而是會(huì)根據(jù)企業(yè)的發(fā)展與信息技術(shù)的進(jìn)步發(fā)生改變的。信息安全風(fēng)險(xiǎn)的獨(dú)特性必須在框架中體現(xiàn)出來。信息安全風(fēng)險(xiǎn)源于信息,信息本身具有不斷發(fā)生變化的特性,從其以數(shù)據(jù)的形勢(shì)出現(xiàn)開始,直至在各項(xiàng)功能中發(fā)揮相關(guān)的作用,這個(gè)周期內(nèi)的每個(gè)階段都有相的價(jià)值。信息安全管理就是要對(duì)企業(yè)的信息資源進(jìn)行全面的保護(hù),避免因這些資源受到損失而對(duì)企業(yè)的運(yùn)營(yíng)造成影響。企業(yè)信息安全風(fēng)險(xiǎn)管理框架中,必須能夠發(fā)現(xiàn)信息資源即將受到的威脅,評(píng)估這些威脅會(huì)對(duì)信息資源造成的后果,以確定應(yīng)對(duì)這些威脅的順序。在制定風(fēng)險(xiǎn)計(jì)劃時(shí),需要明確對(duì)于風(fēng)險(xiǎn)的應(yīng)對(duì)方式以及合理的控制措施。在風(fēng)險(xiǎn)的監(jiān)督與改進(jìn)過程中,需要根據(jù)這些風(fēng)險(xiǎn)采取適當(dāng)?shù)谋O(jiān)控手段??傊诖诉^程框架每個(gè)過程要素的分析中,都必須體現(xiàn)信息安全風(fēng)險(xiǎn)的獨(dú)特性。

2 企業(yè)信息安全風(fēng)險(xiǎn)的類型及內(nèi)容

一般來說,在企業(yè)運(yùn)營(yíng)過程中,信息安全系統(tǒng)通常面臨以下風(fēng)險(xiǎn)因素:

①因線路故障、停電、網(wǎng)絡(luò)通信設(shè)備損壞等導(dǎo)致網(wǎng)絡(luò)突然中斷。

②網(wǎng)站遭到非法攻擊,主頁被惡意篡改或者被非法植入煽動(dòng)國(guó)家分裂或抗拒法律法規(guī)、歪曲事實(shí)、散布謠言的言論,以及破壞社會(huì)穩(wěn)定、損害公司名譽(yù)的不當(dāng)言論等。

③公司內(nèi)部網(wǎng)絡(luò)服務(wù)器或他服務(wù)器被非法入侵,相關(guān)網(wǎng)絡(luò)設(shè)置被非法拷貝、修改、刪除,發(fā)生泄密事件。

④公司內(nèi)外網(wǎng)終端混用,被國(guó)網(wǎng)公司信息管理部門查處,造成公司信息泄露、丟失事件。

信息系統(tǒng)是企業(yè)正常開展生產(chǎn)運(yùn)營(yíng)工作的基本前提,信息管理系統(tǒng)一旦出現(xiàn)問題,輕則影響企業(yè)內(nèi)部業(yè)務(wù)項(xiàng)目的正常進(jìn)行,重則導(dǎo)致企業(yè)蒙受巨大的經(jīng)濟(jì)虧損。因此,針對(duì)信息安全風(fēng)險(xiǎn)加強(qiáng)管控對(duì)企業(yè)來說意義重大。

3 企業(yè)信息安全風(fēng)險(xiǎn)管理方案

3.1 建立信息安全風(fēng)險(xiǎn)管理流程

企業(yè)信息安全風(fēng)險(xiǎn)管理工作可按照?qǐng)D1所示流程逐步展開。

3.2 完善信息安全風(fēng)險(xiǎn)管理措施

對(duì)信息安全風(fēng)險(xiǎn)的管理可以以階段化的管理模式逐步展開,具體措施如下:

3.2.1 實(shí)施準(zhǔn)備階段

信息安全風(fēng)險(xiǎn)管理實(shí)施的準(zhǔn)備階段主要包括管理開端的建立、風(fēng)險(xiǎn)評(píng)估以及制定行動(dòng)方案三個(gè)步驟。第一,在管理開端的建立中,首先要獲得企業(yè)管理部門與業(yè)務(wù)部門的支持,并且建立完善的管理質(zhì)素,明確參與到管理過程中的工作人員的職責(zé);第二,在風(fēng)險(xiǎn)評(píng)估步驟中,首先,確定風(fēng)險(xiǎn)評(píng)估對(duì)象的范圍,其次,確定評(píng)估小組的成員,并且制定評(píng)估方案;最后,對(duì)評(píng)估小組成員進(jìn)行與評(píng)估方案有關(guān)的培訓(xùn)。在這些準(zhǔn)備工作結(jié)束后,評(píng)估人員就可以開始通過訪談或調(diào)查的形式來確定公司信息資源的具體情況,明確用戶對(duì)信息安全的需求。再通過對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別與分析,發(fā)現(xiàn)企業(yè)信息系統(tǒng)中存在的風(fēng)險(xiǎn)。第三,在制定行動(dòng)方案的步驟中,需要完成保護(hù)方案的制定以及確定風(fēng)險(xiǎn)處理方式兩部分工作。通常情況下,保護(hù)方案就是需要企業(yè)長(zhǎng)期持續(xù)執(zhí)行,能夠幫助企業(yè)保證自身信息安全的方案,但不足以滿足企業(yè)在短期內(nèi)提高信息安全性的需求。因此,企業(yè)必須對(duì)所有控制措施制定相應(yīng)的處理方式,在短期內(nèi)解決企業(yè)最需要解決的問題。

3.2.2 部署與執(zhí)行階段

行動(dòng)的部署與執(zhí)行階段主要有計(jì)劃的部署與安全培訓(xùn)兩方面工作組成。第一,行動(dòng)計(jì)劃部署。在這個(gè)過程中,安全風(fēng)險(xiǎn)管理計(jì)劃中的所有措施都必須被執(zhí)行,需要對(duì)具體行動(dòng)方案進(jìn)行必要的理解并執(zhí)行。首先,要與企業(yè)中的員工進(jìn)行事先溝通,防止在實(shí)施中遇到反對(duì)或抵觸的情緒。其次,確保被安排到行動(dòng)計(jì)劃的員工能夠把握這些工作的優(yōu)先級(jí)。此外,必須制定行動(dòng)執(zhí)行保障制度,為計(jì)劃執(zhí)行準(zhǔn)備足夠的資源,以保證計(jì)劃順利執(zhí)行。第二,安全培訓(xùn)工作的實(shí)施。在企業(yè)內(nèi)部,從事安全風(fēng)險(xiǎn)管理工作的員工有時(shí)會(huì)將普通工作人員視為技術(shù)人員,顯然這種想法是有問題的,并不是企業(yè)內(nèi)的所有員工都了解信息安全風(fēng)險(xiǎn)管理。所以,我們必須了解企業(yè)中大部分員工知識(shí)利用信息系統(tǒng)完成自己的工作任務(wù),信息安全的保護(hù)是需要專業(yè)的信息安全人員進(jìn)行的。所以,企業(yè)必須組織安全培訓(xùn),通過培訓(xùn)提高員工安全意識(shí),保證他們?cè)谛畔⑾到y(tǒng)遇到危險(xiǎn)時(shí)能夠采取一些有效的行動(dòng),對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)谋Wo(hù)。

3.2.3 風(fēng)險(xiǎn)監(jiān)督檢查階段

在信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)中,必須組建風(fēng)險(xiǎn)監(jiān)督小組,在風(fēng)險(xiǎn)管理的整個(gè)過程中對(duì)其進(jìn)行監(jiān)督與檢查,小組應(yīng)由小組負(fù)責(zé)人與檢查人員組成。實(shí)施風(fēng)險(xiǎn)監(jiān)督檢查的目的就是為了掌握企業(yè)信息安全的實(shí)際狀態(tài),并且收集信息安全環(huán)境變更信息,方便對(duì)未來的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)。風(fēng)險(xiǎn)監(jiān)督小組在獲得這些信息后,必須及時(shí)向風(fēng)險(xiǎn)管理團(tuán)隊(duì)反饋,確保他們能夠掌握企業(yè)最近的信息安全狀態(tài)。

3.2.4 風(fēng)險(xiǎn)改進(jìn)階段

在這一階段,我們必須做好以下工作:制定詳細(xì)的風(fēng)險(xiǎn)改進(jìn)措施。風(fēng)險(xiǎn)管理團(tuán)隊(duì)需要根據(jù)企業(yè)的信息安全狀態(tài)制定詳細(xì)的風(fēng)險(xiǎn)改進(jìn)措施。通過對(duì)監(jiān)督檢查過程中發(fā)現(xiàn)的問題進(jìn)行分析,可以找出導(dǎo)致問題產(chǎn)生的原因,制定相應(yīng)的改進(jìn)措施并限期完成,檢查人員則要負(fù)責(zé)對(duì)具體的實(shí)施情況進(jìn)行檢查。在改進(jìn)過程中,需要注意的是,改進(jìn)措施必須獲得最高管理者的批準(zhǔn),特別是關(guān)系到整個(gè)企業(yè)或大多數(shù)部門的改進(jìn)措施。風(fēng)險(xiǎn)監(jiān)督小組必須隨時(shí)跟蹤糾正措施實(shí)施情況,驗(yàn)證改進(jìn)措施的執(zhí)行是否符合標(biāo)準(zhǔn)。

3.3 建立企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估體系,促進(jìn)信息管理工作不斷優(yōu)化改進(jìn)

3.3.1 明_信息安全風(fēng)險(xiǎn)評(píng)估流程

企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作可以參照?qǐng)D2逐步實(shí)行。

3.3.2 信息安全風(fēng)險(xiǎn)的計(jì)算及處理措施

企業(yè)的風(fēng)險(xiǎn)可以通過多種計(jì)算方法得到,但通常資產(chǎn)的風(fēng)險(xiǎn)值可以定義為:風(fēng)險(xiǎn)值=f(安全事件發(fā)生的可能性,安全事件發(fā)生的危害性)=g(資產(chǎn),威脅,脆弱性,已實(shí)施的控制措施)。評(píng)估人員根據(jù)這樣的函數(shù)形式,可以采用一種類似5×5形式的矩陣來計(jì)算風(fēng)險(xiǎn),其中行和列分別代表了安全事件發(fā)生的可能性或發(fā)生的危害性等級(jí)。當(dāng)然,評(píng)估人員為了細(xì)化這些風(fēng)險(xiǎn)可以采用維數(shù)更多(更細(xì))的矩陣。

4 結(jié)論及建議

企業(yè)通過信息安全風(fēng)險(xiǎn)管理的實(shí)施,能夠確定長(zhǎng)時(shí)間的安全風(fēng)險(xiǎn)管理計(jì)劃,并且可以有效地緩解企業(yè)信息系統(tǒng)中的安全風(fēng)險(xiǎn),提高工作人員對(duì)與信息安全風(fēng)險(xiǎn)的認(rèn)識(shí),建立健康的安全風(fēng)險(xiǎn)管理氛圍,推動(dòng)企業(yè)信息化發(fā)展。

另外,建議企業(yè)在實(shí)施信息風(fēng)險(xiǎn)管理的同時(shí),及時(shí)建立信息安全風(fēng)險(xiǎn)預(yù)警系統(tǒng),特別要加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理,充分發(fā)揮技術(shù)支撐、機(jī)制保障作用,不斷完善預(yù)防與搶險(xiǎn)相結(jié)合,有效地預(yù)防和減少信息系統(tǒng)安全事故的發(fā)生,保障信息安全穩(wěn)定運(yùn)行。

參考文獻(xiàn):

[1]王淳萱.大數(shù)據(jù)環(huán)境下國(guó)有企業(yè)的信息安全探析[J].冶金經(jīng)濟(jì)與管理,2016(02).

第2篇:信息安全風(fēng)險(xiǎn)管理范文

關(guān)鍵詞:鐵路網(wǎng)絡(luò);信息;安全風(fēng)險(xiǎn);管理措施

 

目前,我國(guó)已經(jīng)進(jìn)入信息網(wǎng)絡(luò)技術(shù)普及的時(shí)代中,在信息技術(shù)應(yīng)用越來越廣泛、作用越來越強(qiáng)大的同時(shí),鐵路運(yùn)輸組織、服務(wù)、管理、建設(shè)等多方面的發(fā)展逐漸依賴于信息技術(shù)與網(wǎng)絡(luò)技術(shù),目前鐵路生產(chǎn)與管理已經(jīng)進(jìn)入智能化、管控一體化的管理模式中,因此,信息與網(wǎng)絡(luò)的安全性對(duì)鐵路發(fā)展有著至關(guān)重要的影響。但是隨著信息化越來越強(qiáng)烈,存在的風(fēng)險(xiǎn)越來越多,這對(duì)鐵路發(fā)展無疑是一種嚴(yán)重的威脅,下面對(duì)控制網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)提出了幾點(diǎn)參考建議。

一、信息安全管理體系結(jié)構(gòu)

信息安全風(fēng)險(xiǎn)管理體系結(jié)構(gòu)模型主要由技術(shù)、管理以及系統(tǒng)生命周期三大要素組成的三維模型。而信息安全是由信息安全技術(shù)與信息安全管理共同參與保護(hù)工作而實(shí)現(xiàn)的,信息安全技術(shù)的保護(hù)作用在于對(duì)信息安全保護(hù)采取的有效技術(shù)措施,而信息安全管理的作用主要在于對(duì)信息安全技術(shù)實(shí)施與運(yùn)行過程中進(jìn)行科學(xué)管理,促使信息安全技術(shù)發(fā)揮最大作用。隨著信息安全風(fēng)險(xiǎn)越來越多,需要不斷提高信息安全技術(shù)實(shí)施與運(yùn)行能力,更重要的是加強(qiáng)信息安全管理,從政策、法律、技術(shù)、人員等方面進(jìn)行全面管理,為保證信息安全采取有效的應(yīng)對(duì)措施。

1、技術(shù)要素

在技術(shù)要素中主要含有環(huán)境、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用四個(gè)技術(shù)方面。鐵路信息系統(tǒng)建設(shè)過程中,環(huán)境安全是保護(hù)信息系統(tǒng)安全的基礎(chǔ)與屏障,對(duì)于機(jī)房環(huán)境安全要求非常嚴(yán)格,從機(jī)房建設(shè)過程開始就需要對(duì)機(jī)房地址、周邊環(huán)境等方面進(jìn)行考慮,特別是對(duì)防火、防雷擊、防滲水、防鼠害等多種對(duì)機(jī)房安全有影響的因素全部考慮在內(nèi),同時(shí)還要加強(qiáng)對(duì)機(jī)房維護(hù)與管理等方面工作的考慮。值班人員管理、設(shè)備管理、電源管理、機(jī)房詢問控制以及機(jī)房保密等方面中都會(huì)存在安全風(fēng)險(xiǎn),因此需要對(duì)其采取相應(yīng)的管理措施,來降低風(fēng)險(xiǎn)發(fā)生幾率,保障信息安全。

系統(tǒng)主要是由硬件、軟件以及數(shù)據(jù)組成,加強(qiáng)系統(tǒng)安全,首先要確保硬件安全、軟件安全以及數(shù)據(jù)安全,一旦發(fā)生安全風(fēng)險(xiǎn),就會(huì)使數(shù)據(jù)遭到破壞、更改、泄露等風(fēng)險(xiǎn)出現(xiàn),因此,需要加強(qiáng)對(duì)其安全保護(hù),保證數(shù)據(jù)安全、促使系統(tǒng)正常運(yùn)行。網(wǎng)絡(luò)是數(shù)據(jù)傳輸、分析、處理等方面的重要渠道,要對(duì)網(wǎng)絡(luò)安全加以重視,網(wǎng)絡(luò)安全是可以保證信息安全的基礎(chǔ),因此,需要對(duì)其加強(qiáng)管理,要從結(jié)構(gòu)、訪問、審計(jì)、設(shè)備、代碼、病毒等方面進(jìn)行全面加強(qiáng)防范措施。應(yīng)用系統(tǒng)是實(shí)現(xiàn)信息權(quán)限管理的重要技術(shù),具有賦予、變更、撤銷等重要信息應(yīng)用功能,因此,加強(qiáng)應(yīng)用系統(tǒng)安全管理有一定的必要性。首先要完善專用用戶登錄識(shí)別功能;其次要提高訪問控制功能;再次需要對(duì)重要信息進(jìn)行加密保管;還要保證數(shù)據(jù)完整性,加強(qiáng)密碼技術(shù)功能應(yīng)用;最后要對(duì)資源進(jìn)行合理控制,限制使用額度。

2、管理要素

信息安全風(fēng)險(xiǎn)管理效果與鐵路內(nèi)部組織結(jié)構(gòu)、管理制度以及人員管理有著直接的關(guān)系,沒有完善的組織結(jié)構(gòu),相應(yīng)的管理制度,會(huì)使內(nèi)部管理混亂,進(jìn)而發(fā)生信息安全管理不得當(dāng),同時(shí)技術(shù)人員的技術(shù)水平以及個(gè)人素質(zhì)等因素都會(huì)造成信息泄露、丟失等風(fēng)險(xiǎn)存在。因此,必須建立完善的組織結(jié)構(gòu),鐵路信息系統(tǒng)的安全要在組織結(jié)構(gòu)方面得到安全保證。鐵路信息安全管理應(yīng)建立由上級(jí)領(lǐng)導(dǎo)層、中級(jí)管理層、下級(jí)執(zhí)行層三個(gè)層面的管理組織機(jī)構(gòu),并制定完善的管理制度,落實(shí)到實(shí)際工作中,加強(qiáng)技術(shù)人員的培訓(xùn),以提高技術(shù)人員專業(yè)水平以及綜合素質(zhì)為目的,優(yōu)化整個(gè)信息安全管理部門,促使鐵路信息安全風(fēng)險(xiǎn)管理得到保證。

3、系統(tǒng)生命周期要素分析

設(shè)計(jì)階段的安全風(fēng)險(xiǎn)管理過程應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷,作為采購過程風(fēng)險(xiǎn)控制的依據(jù)。應(yīng)詳細(xì)評(píng)估設(shè)計(jì)方案中對(duì)系統(tǒng)可能面臨威脅的描述,將使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能需求列表?;谠O(shè)計(jì)階段的資產(chǎn)列表、安全措施,實(shí)施階段應(yīng)對(duì)規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分,同時(shí)評(píng)估安全措施的實(shí)現(xiàn)程度,從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估應(yīng)采取定期和非定期兩種方式;當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時(shí),也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

二、采取措施建議

在信息系統(tǒng)規(guī)劃、設(shè)計(jì)階段,應(yīng)對(duì)信息系統(tǒng)的安全需求進(jìn)行分析,同步規(guī)劃、設(shè)計(jì)信息系統(tǒng)的安全等級(jí)和保護(hù)措施,建立安全環(huán)境,從源頭上保障信息安全。對(duì)已定級(jí)的信息系統(tǒng),應(yīng)嚴(yán)格按照等保要求進(jìn)行區(qū)域劃分、邊界防護(hù)、訪問控制、安全審計(jì)及安全管理。構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺(tái),對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局監(jiān)控,提高對(duì)系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。建立全路統(tǒng)一的身份認(rèn)證與授權(quán)機(jī)制,對(duì)各信息系統(tǒng)的用戶進(jìn)行統(tǒng)一管理,確保信息在產(chǎn)生、存儲(chǔ)、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

鐵路網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理,不僅僅是從加強(qiáng)技術(shù)或者管理任意一方面就可以實(shí)現(xiàn)的,而是需要對(duì)信息技術(shù)與安全管理相結(jié)合,共同完善信息安全風(fēng)險(xiǎn)管理。加強(qiáng)對(duì)信息技術(shù)內(nèi)部結(jié)構(gòu)的保護(hù),從硬件、軟件、數(shù)據(jù)、加密手段、權(quán)限管理手段等多方面進(jìn)行安全防護(hù),控制系統(tǒng)安全風(fēng)險(xiǎn)發(fā)生,同時(shí)還需要加強(qiáng)信息外部管理,從建設(shè)、人員、操作、管理等方面進(jìn)行管理,保證鐵路網(wǎng)絡(luò)與信息安全,降低風(fēng)險(xiǎn)發(fā)生,為鐵路發(fā)展提供信息安全保障。

 

參考文獻(xiàn):

第3篇:信息安全風(fēng)險(xiǎn)管理范文

 

前言

 

隨著網(wǎng)絡(luò)時(shí)代的到來,各項(xiàng)科技技術(shù)獲得了極大的突破,也在實(shí)際生活中得以應(yīng)用。而在現(xiàn)代醫(yī)院運(yùn)行管理中,計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的綜合運(yùn)用便是極為明顯的可靠實(shí)例。通過加強(qiáng)改進(jìn)醫(yī)院計(jì)算機(jī)系統(tǒng)管理與風(fēng)險(xiǎn)控制,改善醫(yī)療整體服務(wù)質(zhì)量與業(yè)務(wù)能力。通過對(duì)現(xiàn)代醫(yī)院計(jì)算機(jī)信息系統(tǒng)重要性分析闡述,并對(duì)其風(fēng)險(xiǎn)控制方法提出建議。

 

1 醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建立的重要性

 

由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,已經(jīng)對(duì)現(xiàn)代社會(huì),生活,政治,經(jīng)濟(jì)等各方面產(chǎn)生深遠(yuǎn)影響,深入滲透。尤其在醫(yī)院現(xiàn)代化管理中,醫(yī)院信息網(wǎng)絡(luò)化管理,資源數(shù)據(jù)化帶來了非常大的便利,也是現(xiàn)代化醫(yī)院建立的必要條件。借助計(jì)算機(jī)網(wǎng)絡(luò)工具,提高服務(wù)質(zhì)量,醫(yī)療水平,促進(jìn)醫(yī)療事業(yè)的發(fā)展。通過信息網(wǎng)絡(luò)管理后,使醫(yī)院運(yùn)營(yíng)得更加規(guī)范科學(xué)。不僅推動(dòng)了醫(yī)院現(xiàn)代化改革,也對(duì)整個(gè)醫(yī)療事業(yè)的發(fā)展提供了助力,其意義與作用不言而喻。

 

傳統(tǒng)的醫(yī)院管理中,由于缺乏網(wǎng)絡(luò)信息,往往花費(fèi)大量的財(cái)力物力人力對(duì)進(jìn)行日常維護(hù)。隨著醫(yī)院計(jì)算機(jī)信息系統(tǒng)的引入,不斷地智能化科學(xué)化,在很大程度上對(duì)醫(yī)院的資源配置進(jìn)行合理優(yōu)化,提高了整體的醫(yī)療競(jìng)爭(zhēng)力。而在信息分析處理中,因?yàn)橛?jì)算機(jī)的決策整合,使得最終處理結(jié)果更加合理精確。例如在對(duì)患者病情記錄分析中,職員考察考核等等,都可以高速便捷的展開研究。

 

2 計(jì)算機(jī)軟件信息安全維護(hù)

 

在醫(yī)院計(jì)算機(jī)使用過程中,要做到醫(yī)院計(jì)算機(jī)自身終端完全不受干擾破壞是不可能的,只有通過提高免疫防御能力,才能減少被感染可能性。但是由于有的高危病毒,傳播速度驚人,破壞力極大,并且頑固復(fù)雜,難以徹底清除,在短時(shí)間內(nèi)就能造成大量客戶計(jì)算機(jī)無法工作,對(duì)醫(yī)院日常的工作帶來了極大的影響。應(yīng)用系統(tǒng)在數(shù)據(jù)交換過程中可以對(duì)其進(jìn)行審計(jì),其中記錄的事件內(nèi)容,可能包括客戶機(jī)地址,具體操作時(shí)間,與其他用戶結(jié)果信息數(shù)據(jù)。在日常維護(hù)處理中,就可以對(duì)報(bào)告結(jié)果導(dǎo)出分析。對(duì)于用戶私人數(shù)據(jù),也應(yīng)該建立嚴(yán)格的保護(hù)機(jī)制,安全性,只有通過權(quán)限授予才能訪問讀取相關(guān)的信息數(shù)據(jù)。同時(shí)為了保證關(guān)聯(lián)性,可以對(duì)用戶設(shè)置多個(gè)角色。系統(tǒng)根據(jù)角色類別進(jìn)行權(quán)限操作限制,不僅可以越權(quán)操作,還可以設(shè)置角色屬性限制期的功能,權(quán)限的多樣化和靈活性大大保證了醫(yī)院計(jì)算機(jī)信息系統(tǒng)的安全性。

 

3 計(jì)算機(jī)信息安全管理制度建立

 

在安全管理中,可以實(shí)施責(zé)任制度。例如成立醫(yī)院信息安全管理組,醫(yī)院相關(guān)負(fù)責(zé)人,以職能為參考標(biāo)準(zhǔn),負(fù)責(zé)安全線的各項(xiàng)工作,定期安排任務(wù)與會(huì)議總結(jié),發(fā)現(xiàn)問題,總結(jié)問題,進(jìn)而深化部署醫(yī)院計(jì)算機(jī)信息安全管理工作。在制度的建立中,可以參考服務(wù)器,網(wǎng)絡(luò)設(shè)備,技術(shù)人員,數(shù)據(jù)文檔相關(guān)系列的安全管理制度體系。指定人員定期維護(hù),保存記錄,做好應(yīng)急預(yù)案與應(yīng)急措施,做到日志化管理。

 

對(duì)于信息安全操作規(guī)范,也需要加強(qiáng)管理。指定系統(tǒng)軟件,數(shù)據(jù)操作規(guī)范流程,沒有授權(quán)不能進(jìn)行文件復(fù)制,數(shù)據(jù)共享,系統(tǒng)的修改增刪。定期維護(hù)服務(wù)器狀態(tài)檢查,分析日志,并且觀測(cè)數(shù)據(jù)是否存在問題,及時(shí)發(fā)現(xiàn)異常點(diǎn),做好日志記錄,保證完整性與可靠性??梢灾贫ㄅ嘤?xùn)計(jì)劃,在整個(gè)培訓(xùn)中,目標(biāo),流程,結(jié)果應(yīng)該清晰有效,如果信息安全管理小組發(fā)生變化可以及時(shí)跟進(jìn)培訓(xùn)配合,建立獨(dú)立操作局域網(wǎng),模擬真實(shí)的信息系統(tǒng)環(huán)境,幫助相關(guān)人員快速準(zhǔn)確掌握方法。

 

4 信息系統(tǒng)安全管理控制升級(jí)

 

4.1 信息安全細(xì)節(jié)化設(shè)計(jì)

 

醫(yī)院網(wǎng)絡(luò)安全數(shù)字化是一個(gè)長(zhǎng)期整體的系統(tǒng)工程,主要圍繞防護(hù)警示,檢測(cè)檢查,修改恢復(fù)這一過程循環(huán)運(yùn)行。如果這一程序鏈中出現(xiàn)錯(cuò)誤,某個(gè)環(huán)節(jié)沒有按照預(yù)定設(shè)置完成,將會(huì)產(chǎn)生諸多負(fù)面影響??刂坪妹恳粋€(gè)環(huán)節(jié)的處理,并且嚴(yán)格落實(shí),通過一系列的管理制度與措施,監(jiān)督責(zé)任到位,確保整個(gè)信息安全系統(tǒng)安全高效,持續(xù)穩(wěn)定的工作。由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,漏洞與不足暴露得越來越多,對(duì)于新應(yīng)用新技術(shù)推廣的同時(shí),還需要加強(qiáng)培訓(xùn),以滿足業(yè)務(wù)工作需要。

 

就信息網(wǎng)絡(luò)系統(tǒng)自身而言,采用符合實(shí)際操作情況與工作狀態(tài)的結(jié)構(gòu)系統(tǒng),安全等級(jí)與維護(hù)難度都將能夠降低難度,易于操作。構(gòu)建多層次,體系化的設(shè)計(jì)使用戶角色等級(jí),權(quán)限操作,優(yōu)先等級(jí)分布到更多層次,更多日志記錄。那么后續(xù)維護(hù),控制分配也將更加靈敏。結(jié)合具體的業(yè)務(wù)情況,在可用性與安全性之間尋找平衡點(diǎn),在符合安全的大前提下,開拓業(yè)務(wù),提升服務(wù)質(zhì)量。

 

4.2 醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)控制升級(jí)

 

在某些醫(yī)院中,計(jì)算機(jī)網(wǎng)絡(luò)防御等級(jí)較低,需要通過加強(qiáng)安全性對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí)。首先需要確保醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)服務(wù)器保持正常。要確定系統(tǒng)的長(zhǎng)期安全。注意機(jī)房服務(wù)供電情況,布線合理,溫度濕度,雷電預(yù)防等問題。保證醫(yī)院服務(wù)器不間斷供電,保持電源線路通暢。同時(shí)主要設(shè)備與核心設(shè)備固定器維護(hù)與檢查,及時(shí)發(fā)現(xiàn)問題與前兆,快速有效處理。保證計(jì)算機(jī)中心溫控與散熱條件良好,使得整個(gè)服務(wù)器中心環(huán)境到達(dá)理想狀態(tài)。保持清潔,除塵保潔,重視物理環(huán)境的維護(hù),并且確保數(shù)據(jù)的及時(shí)正確備份。

 

另外,對(duì)于醫(yī)院計(jì)算機(jī)信息主要管理人員的素質(zhì),仍然需要加強(qiáng),明確權(quán)力責(zé)任,落實(shí)到點(diǎn)。這也關(guān)系到醫(yī)院信息安全工作能否安全運(yùn)行。對(duì)于網(wǎng)絡(luò)用戶也應(yīng)該嚴(yán)格限制管理,分清患者、醫(yī)務(wù)職員、管理人員的角色職能。對(duì)用戶和密碼加強(qiáng)管理,這樣可以有效的避免危險(xiǎn)數(shù)據(jù)與不明軟件對(duì)服務(wù)器的攻擊與傷害。

 

同時(shí)重視日常計(jì)算機(jī)系統(tǒng)相關(guān)記錄數(shù)據(jù)。在常規(guī)服務(wù)日志的檢測(cè)基礎(chǔ)上,加以分析預(yù)判,進(jìn)而實(shí)施下一步相關(guān)措施。例如服務(wù)器啟動(dòng)停止,異常運(yùn)行數(shù)等等,都可以有助于信息系統(tǒng)管理者對(duì)醫(yī)院計(jì)算機(jī)信息系統(tǒng)的全面了解,從而進(jìn)行評(píng)估,得出相關(guān)結(jié)論。依托數(shù)據(jù)對(duì)系統(tǒng)的安全等級(jí)展開定級(jí),制定有效制度措施防范解決問題,確保整個(gè)信息系統(tǒng)的安全和高效,達(dá)到風(fēng)險(xiǎn)管理控制的目的。

 

5 結(jié)束語

 

提高安全防范意識(shí),完善制度,對(duì)于醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制方法不僅僅需要從技術(shù)角度入手,自身也需要意識(shí)到它的重要性。這不僅關(guān)系到醫(yī)院的整體協(xié)作與工作效率,還影響所有部門員工統(tǒng)一性。需要全面了解當(dāng)前信息系統(tǒng)中的安全問題,并積極應(yīng)對(duì)。因此在提高技術(shù)的同時(shí),依靠建立制度對(duì)員工進(jìn)行規(guī)范管理,提高防范意識(shí),確保醫(yī)院計(jì)算機(jī)信息系統(tǒng)安全。

第4篇:信息安全風(fēng)險(xiǎn)管理范文

關(guān)鍵詞:網(wǎng)絡(luò)審計(jì) 歷史財(cái)務(wù)報(bào)表審計(jì) 信息安全管理 風(fēng)險(xiǎn)評(píng)估

一、引言

從審計(jì)的角度,風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中,現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心,通過對(duì)被審計(jì)單位及其環(huán)境的了解,評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域,從而確定審計(jì)的范圍和重點(diǎn),進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度,企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)為企業(yè)帶來損失的概率或縮小損失程度來達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同,本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上,從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析,以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。

二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較

(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說明中的審計(jì)風(fēng)險(xiǎn)模型,審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中,固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性;控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性;檢查風(fēng)險(xiǎn)是審計(jì)人員通過預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中,審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素,但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率,為企業(yè)的經(jīng)營(yíng)管理帶來很大的優(yōu)越性,但同時(shí)也為企業(yè)帶來了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過程中去了,這些集中的數(shù)據(jù)庫技術(shù)無疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺計(jì)算機(jī)舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn),例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口,使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn),如計(jì)算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來影響等。相對(duì)應(yīng)地,網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn),即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn),它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)??刂骑L(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn),其中,系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn),審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn),人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。

(二)風(fēng)險(xiǎn)評(píng)估目的無論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中,風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序,貫穿于審計(jì)的整個(gè)過程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此,兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類,因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過程中與該兩類審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng),無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開發(fā)或采購、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同,因此,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面:物理層,即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性,它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn),主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險(xiǎn)并非完全分離的,評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來考慮。

(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容 廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同,因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的??偟膩碚f,網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)

險(xiǎn)》,在歷史財(cái)務(wù)報(bào)表審計(jì)中,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn),審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類風(fēng)險(xiǎn),審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中,威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來說,脆弱點(diǎn)本身不會(huì)帶來損失或信息錯(cuò)報(bào),威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面:(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn),并分析脆弱點(diǎn)的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度,判斷風(fēng)險(xiǎn)發(fā)生的可能性;(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來的影響;(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施,審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求,審計(jì)人員應(yīng)當(dāng)實(shí)施詢問、分析程序、觀察和檢查等程序,以獲取被審計(jì)單位的信息,進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問程序時(shí),審計(jì)人員的詢問對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí),除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外,審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí),除執(zhí)行常規(guī)程序外,審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估,審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等;管理方面如風(fēng)險(xiǎn)問卷調(diào)查、風(fēng)險(xiǎn)顧問訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對(duì)通信流量進(jìn)行分析;滲透測(cè)試是指在獲取用戶授權(quán)后,通過真實(shí)模擬黑客使用的工具、方法來進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法;工具掃描是指通過評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險(xiǎn)問卷調(diào)查與風(fēng)險(xiǎn)顧問訪談要求審計(jì)人員分別采用問卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況,使用時(shí)關(guān)鍵是要明確問卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析,進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評(píng)價(jià)方法,屬于前置軟件測(cè)試的一部分,主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià),審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較

(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程。作為信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制,信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度,在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來的損失的基礎(chǔ)上,提出有針對(duì)性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù),其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計(jì)程序。因此,兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響,它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn),包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中,審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見,因此,風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同,信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng);他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言,受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開來。

(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見稿)國(guó)家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過程是:(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;(2)對(duì)威脅進(jìn)行分析,并對(duì)威

脅發(fā)生的可能性賦值;(3)識(shí)別信息資產(chǎn)的脆弱性,并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處,即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是,信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理,其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開:一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的,其重點(diǎn)在第二層次?!缎畔踩L(fēng)險(xiǎn)評(píng)估指南》(征求意見稿)提出,企業(yè)在確定出風(fēng)險(xiǎn)水平后,應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?,并形成風(fēng)險(xiǎn)處理計(jì)劃。其中,風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn),而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次,即審計(jì)人員通過風(fēng)險(xiǎn)評(píng)估,為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此,兩者的評(píng)估內(nèi)容是存在區(qū)別的。

第5篇:信息安全風(fēng)險(xiǎn)管理范文

【關(guān)鍵詞】數(shù)字化 醫(yī)院 信息管理系統(tǒng) 安全風(fēng)險(xiǎn)

伴隨著信息化技術(shù)的飛速發(fā)展,數(shù)字化開始受到了人們的普遍關(guān)注,在越來越多的領(lǐng)域得到了應(yīng)用。現(xiàn)階段,醫(yī)院普遍都建立起了相應(yīng)的信息管理系統(tǒng),并且其正逐漸由單純的信息管理向其它業(yè)務(wù)延伸,在醫(yī)院正常運(yùn)轉(zhuǎn)中發(fā)揮著越來越重要的作用。針對(duì)當(dāng)前醫(yī)院信息管理系統(tǒng)中存在的安全風(fēng)險(xiǎn),管理人員應(yīng)該制定切實(shí)可行的風(fēng)險(xiǎn)應(yīng)對(duì)策略,保障系統(tǒng)的運(yùn)行的安全性和可靠性。

一、醫(yī)院信息管理系統(tǒng)的安全風(fēng)險(xiǎn)

醫(yī)院信息管理系統(tǒng)是指在醫(yī)院管理以及醫(yī)療活動(dòng)中,進(jìn)行信息管理和聯(lián)機(jī)操作的計(jì)算機(jī)應(yīng)用系統(tǒng),同時(shí)也是覆蓋醫(yī)院所有業(yè)務(wù)以及業(yè)務(wù)所有流程的信息管理系統(tǒng),能夠利用計(jì)算機(jī)以及通訊設(shè)備,為醫(yī)院各部門提供病人診療信息、行政管理信息等,實(shí)現(xiàn)信息的收集、存儲(chǔ)、整理、提取以及交換,可以滿足授權(quán)用戶功能需求的平臺(tái)。醫(yī)院信息管理系統(tǒng)的安全直接影響著醫(yī)院網(wǎng)絡(luò)服務(wù)的質(zhì)量,關(guān)系著醫(yī)院的正常運(yùn)轉(zhuǎn),其重要性不言而喻。

從目前來看,在醫(yī)院信息管理系統(tǒng)中,存在著大量的安全風(fēng)險(xiǎn),包括了硬件風(fēng)險(xiǎn)、軟件風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)以及環(huán)境風(fēng)險(xiǎn)四個(gè)方面的內(nèi)容,之所以會(huì)如此,一方面,醫(yī)院管理人員并沒有認(rèn)識(shí)到信息管理系統(tǒng)安全的重要性,將目光更多的放在了系統(tǒng)的實(shí)用性而非安全性上,因此并沒有投入相應(yīng)的經(jīng)費(fèi)去進(jìn)行系統(tǒng)安全防護(hù)模塊的建設(shè)及維護(hù),導(dǎo)致系統(tǒng)中存在著較大的缺陷和漏洞,給系統(tǒng)安全帶來很大的隱患;另一方面,醫(yī)院病沒有制定與信息管理系統(tǒng)密切相關(guān)的制度和措施,導(dǎo)致在系統(tǒng)管理方面缺乏嚴(yán)謹(jǐn)性與可靠性,加上缺乏先進(jìn)的技術(shù)支撐,在系統(tǒng)的安全維護(hù)方面相對(duì)薄弱,影響了系統(tǒng)的運(yùn)行安全。

二、醫(yī)院信息管理系統(tǒng)安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略

(一)提高系統(tǒng)安全意識(shí)

只有意識(shí)到了信息管理系統(tǒng)安全的重要性,樹立起了相應(yīng)的系統(tǒng)安全意識(shí),才能夠真正確保風(fēng)險(xiǎn)防范措施的有效落實(shí)。因此,對(duì)于醫(yī)院而言,應(yīng)該加強(qiáng)信息系統(tǒng)的安全教育,成立相應(yīng)的安全領(lǐng)導(dǎo)小組,對(duì)任務(wù)進(jìn)行分配和落實(shí),確保其都能夠認(rèn)識(shí)到系統(tǒng)安全的重要性。同時(shí),應(yīng)該制定出切實(shí)可行的管理制度,對(duì)領(lǐng)導(dǎo)小組和管理團(tuán)隊(duì)的行為進(jìn)行約束,確保其能夠全身心地投入到各自的工作中去,強(qiáng)化責(zé)任意識(shí)。另外,醫(yī)院財(cái)政管理部門應(yīng)該設(shè)置專門的系統(tǒng)安全管理資金,對(duì)一些影響系統(tǒng)安全的薄弱環(huán)節(jié)進(jìn)行統(tǒng)計(jì),增大設(shè)備、技術(shù)以及管理方面的資金投入力度,避免由于設(shè)備缺陷、技術(shù)不足以及管理漏洞影響系統(tǒng)安全管理工作的成效。

(二)構(gòu)筑風(fēng)險(xiǎn)評(píng)估機(jī)制

相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示,在醫(yī)院信息管理系統(tǒng)中,多數(shù)安全風(fēng)險(xiǎn)都可能會(huì)帶來難以估量和彌補(bǔ)的損失,嚴(yán)重時(shí)甚至可能會(huì)間接導(dǎo)致病患的傷亡。而對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析,其多數(shù)都是由于沒有能夠及時(shí)發(fā)現(xiàn)和排除風(fēng)險(xiǎn)因素。對(duì)此,醫(yī)院應(yīng)該結(jié)合自身實(shí)際,構(gòu)筑相應(yīng)的風(fēng)險(xiǎn)評(píng)估與檢測(cè)機(jī)制,及時(shí)做好系統(tǒng)檢測(cè)工作,發(fā)現(xiàn)其中存在的不足和漏洞,尋找問題的解決策略。對(duì)于一些尚未表現(xiàn)出的問題,應(yīng)該通過系統(tǒng)的日常維護(hù)管理,發(fā)現(xiàn)其潛在風(fēng)險(xiǎn),做好必要的預(yù)防和規(guī)避措施,盡可能消除其對(duì)于醫(yī)院的影響[2]。從機(jī)制的落實(shí)層面考慮,應(yīng)該設(shè)置完整的安全檢測(cè)計(jì)劃,安排專門的計(jì)劃執(zhí)行人員,成立系統(tǒng)安全管理小組,確保其能夠在醫(yī)院各部門的配合下,對(duì)安全檢測(cè)計(jì)劃進(jìn)行有效落實(shí),確保各項(xiàng)工作的有序、規(guī)范進(jìn)行。

(三)選擇可靠硬件設(shè)備

硬件設(shè)備的質(zhì)量在很大程度上關(guān)系著系統(tǒng)的運(yùn)行安全,要想確保醫(yī)院信息管理系統(tǒng)的安全運(yùn)行,離開了高穩(wěn)定、高可靠和高性能的硬件設(shè)備的支持是不可能的。對(duì)于醫(yī)院而言,應(yīng)該認(rèn)識(shí)到這一點(diǎn),不能為了縮減資金而使用一些缺乏保障的產(chǎn)品。對(duì)于一些關(guān)鍵性設(shè)備,如交換機(jī)等,不僅需要確保其可靠性,還必須設(shè)置備用,確保設(shè)備出現(xiàn)突發(fā)性故障時(shí)可以迅速替換,保障信息管理系統(tǒng)的正常運(yùn)行。應(yīng)該做好硬件設(shè)備的維護(hù)管理和檢測(cè)工作,及時(shí)對(duì)一些老化的設(shè)備和部件進(jìn)行更換,對(duì)設(shè)備內(nèi)部的積塵進(jìn)行清理,對(duì)設(shè)備運(yùn)行的環(huán)境進(jìn)行優(yōu)化,確保硬件設(shè)備的穩(wěn)定可靠運(yùn)行。

(四)重視數(shù)據(jù)備份管理

數(shù)據(jù)備份在應(yīng)對(duì)系統(tǒng)風(fēng)險(xiǎn)方面發(fā)揮著非常關(guān)鍵的作用,可以有效減少數(shù)據(jù)丟失對(duì)于醫(yī)院運(yùn)轉(zhuǎn)造成的影響。當(dāng)前,許多醫(yī)院在數(shù)據(jù)備份上往往只能做到定期備份或者針對(duì)某個(gè)時(shí)點(diǎn)的備份,而無法做到實(shí)時(shí)備份,這樣并不能有效規(guī)避風(fēng)險(xiǎn)。從目前的技術(shù)條件分析,數(shù)據(jù)庫的實(shí)時(shí)備份包括了硬件同步和軟件同步兩種,可以在同一時(shí)刻將數(shù)據(jù)寫在兩個(gè)甚至多個(gè)不同的位置,從而避免了數(shù)據(jù)的損壞或者丟失。對(duì)于系統(tǒng)管理人員而言,應(yīng)該對(duì)數(shù)據(jù)庫備份策略做到心中有數(shù),并在模擬機(jī)上進(jìn)行數(shù)據(jù)恢復(fù)試驗(yàn),以確保備份數(shù)據(jù)的有效性。

(五)完善網(wǎng)絡(luò)防護(hù)措施

在當(dāng)前數(shù)字化、網(wǎng)絡(luò)化的環(huán)境下,醫(yī)院信息管理系統(tǒng)面臨著病毒、木馬以及非法入侵的威脅,必須設(shè)置完善的網(wǎng)絡(luò)防護(hù)系統(tǒng)。從目前來看,比較有效的防護(hù)措施,一是物理隔離,將醫(yī)院信息管理系統(tǒng)運(yùn)行的網(wǎng)絡(luò)獨(dú)立出來,切斷病毒傳播的途徑;二是防毒軟件,減少和預(yù)防病毒的傳播與擴(kuò)散;三是端口控制,防止設(shè)備非法接入網(wǎng)絡(luò),減少網(wǎng)絡(luò)遭受攻擊的機(jī)率。

三、結(jié)語

醫(yī)院信息管理系統(tǒng)的安全關(guān)系著醫(yī)院的信息安全,也關(guān)系著醫(yī)院自身的運(yùn)行安全,應(yīng)該得到足夠的重視,做好相應(yīng)的風(fēng)險(xiǎn)評(píng)估和檢測(cè),及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)隱患,采取切實(shí)有效的預(yù)防和應(yīng)對(duì)措施,對(duì)風(fēng)險(xiǎn)進(jìn)行規(guī)避和處理,保障醫(yī)院信息管理系統(tǒng)的安全可靠運(yùn)行。

參考文獻(xiàn):

[1]陳寧,李成華,李暉,曾永杰.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理策略研究[J].電腦知識(shí)與技術(shù),2015,(28).

第6篇:信息安全風(fēng)險(xiǎn)管理范文

[關(guān)鍵詞]檔案管理;信息化;優(yōu)勢(shì);安全風(fēng)險(xiǎn);評(píng)估

doi:10.3969/j.issn.1673 - 0194.2015.18.132

[中圖分類號(hào)]G270.7 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2015)18-0-01

隨著時(shí)代的不斷發(fā)展,信息化建設(shè)成為檔案管理發(fā)展的必然趨勢(shì),對(duì)現(xiàn)代檔案管理工作的開展及檔案資源的應(yīng)用有著非常重大的意義。檔案管理信息化是實(shí)現(xiàn)檔案管理規(guī)范化、現(xiàn)代化的一大重要途徑,同時(shí)也是檔案資源實(shí)現(xiàn)共享,得到廣泛應(yīng)用的必然要求。

1 檔案管理信息化的必要性

在當(dāng)今檔案管理信息量急速增加、種類繁多、信息載體多樣的情況下,傳統(tǒng)的檔案管理模式已與社會(huì)信息化發(fā)展相脫節(jié)。這必然要求檔案管理信息化,在滿足時(shí)展需要的同時(shí)更好地促進(jìn)檔案管理事業(yè)的發(fā)展,充分實(shí)現(xiàn)檔案的功能和價(jià)值。檔案管理信息化發(fā)展是檔案發(fā)展的必然要求,當(dāng)今社會(huì)已具備了檔案管理信息化發(fā)展完善的條件,使其發(fā)展成為可能。第一,具備軟硬件基礎(chǔ)。硬件基礎(chǔ)主要體現(xiàn)在各單位的檔案管理部門已具備打印機(jī)、復(fù)印件以及掃描儀等高新技術(shù)設(shè)備,另外,對(duì)計(jì)算機(jī)的配置也滿足了檔案管理部門的工作需求。第二,規(guī)范的管理機(jī)制。其標(biāo)準(zhǔn)體現(xiàn)在整理、統(tǒng)計(jì)、服務(wù)及技術(shù)等多個(gè)方面。第三,人們的信息化意識(shí)逐漸增強(qiáng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在生產(chǎn)生活中的廣泛應(yīng)用,人們的信息化意識(shí)逐漸增強(qiáng),同時(shí)人們對(duì)信息化相關(guān)設(shè)備技術(shù)的操作能力也已滿足日常生產(chǎn)生活的需要。這為檔案管理信息化的發(fā)展提供了良好的社會(huì)環(huán)境和思想環(huán)境,并在一定程度證實(shí)了檔案管理信息化建設(shè)的迫切需求。

2 檔案管理信息化的優(yōu)勢(shì)

2.1 利于存儲(chǔ)

在檔案管理信息化中,檔案管理不再占用巨大空間,且提高了管理效率,檔案只需儲(chǔ)存在計(jì)算機(jī)中。同時(shí),也解決了紙質(zhì)檔案在存儲(chǔ)期間的自然損害問題,提高了檔案資料存儲(chǔ)的長(zhǎng)期性。經(jīng)過高新技術(shù)進(jìn)行“原文掃描“后,利于實(shí)現(xiàn)“原文”再現(xiàn)。

2.2 便于查詢

在傳統(tǒng)的檔案管理模式中,查詢資料需檔案管理人員自大量的紙質(zhì)信息中,通過肉眼查找。檔案管理信息化徹底改變了這一費(fèi)時(shí)、費(fèi)力的查詢方式,通過檔案信息管理系統(tǒng)即可實(shí)現(xiàn)檔案資料的即時(shí)、準(zhǔn)確查詢。這大大提高了檔案資料的使用質(zhì)量、精度和效率。

2.3 實(shí)現(xiàn)信息共享

檔案管理信息化通過信息網(wǎng)絡(luò)可促進(jìn)組織、單位內(nèi)部的信息共享,使檔案資源的使用更加快捷,及時(shí)滿足組織、單位內(nèi)部對(duì)檔案信息的需求。專用的信息技術(shù),可實(shí)現(xiàn)檔案資料的異地遠(yuǎn)程管理和使用,最大程度地發(fā)揮了檔案的作用。

2.4 實(shí)現(xiàn)檔案的分級(jí)管理

在檔案管理信息化中,可通過相應(yīng)的網(wǎng)絡(luò)權(quán)限設(shè)置,規(guī)定使用者的調(diào)閱權(quán)限,實(shí)現(xiàn)檔案資料的分級(jí)管理,這有利于資料保密。同時(shí),系統(tǒng)查詢記錄可自動(dòng)記錄調(diào)閱情況,以更好地落實(shí)責(zé)任追究制。

2.5 提高工作效率

傳統(tǒng)的檔案管理工作中,檔案的收集、整理、保管以及利用等都需要通過手工勞動(dòng)實(shí)現(xiàn),這需要花費(fèi)大量的人力和物力資源。而檔案管理信息化改變了傳統(tǒng)的工作方式,檔案資料經(jīng)微機(jī)處理后,實(shí)現(xiàn)了按“件”整理歸檔,其整理、保管及利用等環(huán)節(jié)均可在電腦上操作。同時(shí),工作人員的工作由以前的集中工作轉(zhuǎn)變?yōu)榉稚⒐ぷ鳌A硗?,系統(tǒng)中按“件”整理的資料,使得文件的插入變得簡(jiǎn)單,便于文件完善??梢?,檔案管理信息化在降低工作人員勞動(dòng)強(qiáng)度的同時(shí)也提高了工作人員的工作效率。

3 檔案管理信息化安全風(fēng)險(xiǎn)評(píng)估

3.1 檔案管理信息化安全風(fēng)險(xiǎn)評(píng)估的必要性

檔案管理信息化的優(yōu)勢(shì)逐漸體現(xiàn)出來,且其特點(diǎn)鮮明,與社會(huì)發(fā)展相協(xié)調(diào),是現(xiàn)代化發(fā)展的一個(gè)重要趨勢(shì)。信息化的管理方法,能給人們的生活帶來方便,與此同時(shí),信息的安全問題也引起了人們的注意。在對(duì)檔案進(jìn)行信息化管理的過程中,應(yīng)確保信息的安全性,保證信息傳輸路徑的安全,并確保數(shù)據(jù)的完整性。

3.2 檔案管理信息化安全風(fēng)險(xiǎn)評(píng)估中的存在的問題

目前檔案管理信息化安全風(fēng)險(xiǎn)評(píng)估存在的問題主要有以下幾個(gè)方面。第一,對(duì)信息安全評(píng)估不夠重視。各組織、單位的管理層對(duì)檔案管理信息化安全評(píng)估的重視程度不能與檔案管理信息化安全評(píng)估的重要性呈正比,遠(yuǎn)遠(yuǎn)達(dá)不到現(xiàn)階段信息安全的需要。第二,評(píng)估技術(shù)人員匱乏。各組織、單位內(nèi)部,對(duì)檔案管理信息化安全評(píng)估的重視程度不夠,導(dǎo)致安全評(píng)估人員的專業(yè)知識(shí)及經(jīng)驗(yàn)嚴(yán)重不足,不能滿足其工作需求,甚至相關(guān)部門的檔案管理信息化安全評(píng)估形同虛設(shè)。第三,工作流程及技術(shù)標(biāo)準(zhǔn)有待完善。就目前檔案管理信息化安全評(píng)估的發(fā)展?fàn)顩r而言,需要完善其工作流程及相關(guān)的技術(shù)標(biāo)準(zhǔn)。其工作流程和技術(shù)標(biāo)準(zhǔn)要根據(jù)具體環(huán)境及情況而制定,以實(shí)現(xiàn)流程和標(biāo)準(zhǔn)的科學(xué)性、合理性。特別是評(píng)估中的分析方法如定性分析、定量分析等,需要進(jìn)一步完善。第四,評(píng)估工具有待更新。隨著信息化的不斷推進(jìn),其安全問題也日漸暴漏。原有的評(píng)估工具已不能滿足現(xiàn)階段解決相關(guān)安全問題的需要。因此,必須加大評(píng)估工具的開發(fā)和推廣力度,切實(shí)滿足檔案管理信息化安全評(píng)估的需求。

4 結(jié) 語

檔案管理信息化是檔案管理隨時(shí)展的必然趨勢(shì),其與傳統(tǒng)的檔案管理方式相比有著明顯的優(yōu)勢(shì)。同時(shí),檔案管理信息化所具有的信息安全也需引起重視,要積極解決信息化安全評(píng)估中的相關(guān)問題,促進(jìn)安全評(píng)估,從而在根本上促進(jìn)檔案管理信息化的發(fā)展。

主要參考文獻(xiàn)

第7篇:信息安全風(fēng)險(xiǎn)管理范文

隨著信息化的不斷推進(jìn),信息設(shè)備的使用也變得越來越廣泛,越來越多單位的主營(yíng)業(yè)務(wù)系統(tǒng)開始基于信息設(shè)備來構(gòu)建,鑒于此,信息設(shè)備及信息系統(tǒng)是否能持續(xù)穩(wěn)定的運(yùn)行以及承載在這些信息設(shè)備之上的數(shù)據(jù)是否安全成為關(guān)注的熱點(diǎn)問題。目前信息數(shù)據(jù)的主要載體便是各種類型的信息設(shè)備,所以對(duì)信息設(shè)備的信息安全防護(hù)即是對(duì)其包含的信息數(shù)據(jù)的安全防護(hù)。隨著信息設(shè)備所面臨的越來越嚴(yán)峻的信息安全威脅,如何做好信息設(shè)備的風(fēng)險(xiǎn)管理工作是一個(gè)值得深入探討的課題。

2信息設(shè)備風(fēng)險(xiǎn)管理

2.1信息設(shè)備的風(fēng)險(xiǎn)概述

參照信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范等標(biāo)準(zhǔn)來說,信息設(shè)備信息安全風(fēng)險(xiǎn)包含三個(gè)要素,即脆弱性、威脅和資產(chǎn),每個(gè)要素有各自的屬性,資產(chǎn)的屬性是資產(chǎn)價(jià)值;威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。信息設(shè)備所面臨的信息安全風(fēng)險(xiǎn)并非某種單一來源的安全威脅,而是三種要素互相影響、互相關(guān)聯(lián)的某種動(dòng)態(tài)的平衡關(guān)系,而信息設(shè)備的風(fēng)險(xiǎn)管理本質(zhì)上講是對(duì)這三種要素造成的安全風(fēng)險(xiǎn)程度的可控管理。

2.2信息設(shè)備全生命周期風(fēng)險(xiǎn)管理

信息設(shè)備全生命周期風(fēng)險(xiǎn)管理包括信息設(shè)備規(guī)劃設(shè)計(jì)階段、部署階段、測(cè)試階段、運(yùn)行階段和廢棄階段。規(guī)劃設(shè)計(jì)階段應(yīng)能夠描述信息系統(tǒng)建成后對(duì)現(xiàn)有模式的作用,包括技術(shù)、管理等方面,并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的目標(biāo)。這個(gè)階段,風(fēng)險(xiǎn)威脅應(yīng)根據(jù)未來系統(tǒng)的應(yīng)用對(duì)象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。部署階段是根據(jù)規(guī)劃設(shè)計(jì)階段分析的威脅和制定的安全措施,在設(shè)備部署階段應(yīng)進(jìn)行質(zhì)量控制。測(cè)試階段是對(duì)已經(jīng)部署完成的信息設(shè)備結(jié)合前期規(guī)劃設(shè)計(jì)方案的要求對(duì)采購來的信息設(shè)備進(jìn)行全面的測(cè)試,包括基礎(chǔ)測(cè)試、功能性測(cè)試及安全性測(cè)試等。運(yùn)行階段讓信息設(shè)備穩(wěn)定運(yùn)行并起到其應(yīng)有的功能。該階段應(yīng)做好設(shè)備監(jiān)控、脆弱性發(fā)現(xiàn)、設(shè)備異常報(bào)警、信息設(shè)備日志搜集和分析等工作。廢棄階段存在的風(fēng)險(xiǎn)包括未對(duì)殘留信息進(jìn)行適當(dāng)處理、未對(duì)系統(tǒng)組件進(jìn)行合理的丟棄或更換或未關(guān)閉相關(guān)連接,對(duì)于變更的系統(tǒng),還可能存在新的信息安全風(fēng)險(xiǎn),因?yàn)槠淇赡芴鎿Q了新的系統(tǒng)組件等。

2.3信息設(shè)備風(fēng)險(xiǎn)管理體系

傳統(tǒng)的信息安全管理體系主要依據(jù)ISO27001相關(guān)標(biāo)準(zhǔn)搭建,ISO27001標(biāo)準(zhǔn)采用基于風(fēng)險(xiǎn)評(píng)估的信息安全風(fēng)險(xiǎn)管理,具體采用了PDCA模型過程方法來全面、系統(tǒng)、持續(xù)的改進(jìn)組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統(tǒng)信息安全管理,同時(shí)也適用于信息設(shè)備的安全風(fēng)險(xiǎn)管理。

2.3.1總體思路

信息設(shè)備風(fēng)險(xiǎn)管理總體借鑒PDCA管理模型的相關(guān)理念,將信息安全設(shè)計(jì)方案制定、各階段的信息安全風(fēng)險(xiǎn)管理實(shí)施、各階段信息安全管理檢查、信息安全管理改進(jìn),形成一套有效的安全風(fēng)險(xiǎn)管理防護(hù)方法,對(duì)信息設(shè)備進(jìn)行不同時(shí)間階段、不同維度、不同重點(diǎn)的管理,有效防范和控制信息安全風(fēng)險(xiǎn),增強(qiáng)信息安全體系的檢測(cè)能力、保護(hù)能力,為用戶開展風(fēng)險(xiǎn)管理提供全方位的管理思路。

2.3.2風(fēng)險(xiǎn)管理模型

融合傳統(tǒng)風(fēng)險(xiǎn)管理的PDCA模型,將傳統(tǒng)風(fēng)險(xiǎn)管理中動(dòng)態(tài)模型的思路加以延續(xù),增強(qiáng)信息設(shè)備狀態(tài)的動(dòng)態(tài)特性,主要分為四部分:管理規(guī)劃、管理實(shí)施、管理檢查、管理改進(jìn)。管理規(guī)劃:決策層要明確政策、目標(biāo)、策略、計(jì)劃,形成具體的管理規(guī)劃,明確組織風(fēng)險(xiǎn)管理的整體目標(biāo)和方向,確定對(duì)信息設(shè)備進(jìn)行風(fēng)險(xiǎn)管理所要達(dá)到的目的和狀態(tài),從而防止后續(xù)制定的風(fēng)險(xiǎn)管理規(guī)范和組織與已有的戰(zhàn)略決策、制度、規(guī)范等相違背而導(dǎo)致不可執(zhí)行的問題。管理實(shí)施:管理層在深入領(lǐng)會(huì)和遵照管理規(guī)劃的指示后深入研究信息設(shè)備各階段所面臨的信息安全風(fēng)險(xiǎn),對(duì)信息設(shè)備各環(huán)節(jié)制定詳細(xì)的風(fēng)險(xiǎn)管理實(shí)施規(guī)范和標(biāo)準(zhǔn),以便具體的業(yè)務(wù)部門、人員等能嚴(yán)格按照管理規(guī)劃的計(jì)劃和要求來實(shí)施風(fēng)險(xiǎn)管理規(guī)范。管理檢查:管理檢查作為監(jiān)督信息風(fēng)險(xiǎn)管理實(shí)施效果的主要手段之一,需要確保管理檢查手段的全面性、科學(xué)性、客觀性,需要覆蓋各個(gè)管理階段,客觀而高效的評(píng)價(jià)風(fēng)險(xiǎn)管理實(shí)施效果。管理改進(jìn):通過歸納總結(jié)前階段管理檢查的工作成果,結(jié)合信息設(shè)備各階段在實(shí)施信息風(fēng)險(xiǎn)管理中碰到的各類問題,從管理規(guī)劃、管理實(shí)施、管理檢查等各階段提出信息風(fēng)險(xiǎn)管理改進(jìn)意見,從而持續(xù)的改進(jìn)信息設(shè)備各階段的安全風(fēng)險(xiǎn)管理體系。

2.3.3風(fēng)險(xiǎn)管理體系的構(gòu)建

根據(jù)安全風(fēng)險(xiǎn)的特點(diǎn)、信息安全三個(gè)關(guān)鍵要素以及信息設(shè)備各階段的特點(diǎn),我們應(yīng)明確安全風(fēng)險(xiǎn)的幾個(gè)控制手段,然后有計(jì)劃的加強(qiáng)整個(gè)信息設(shè)備安全風(fēng)險(xiǎn)管理體系的建設(shè),才有可能最終有效控制信息安全設(shè)備風(fēng)險(xiǎn)。首先,根據(jù)企業(yè)所處的環(huán)境,全面準(zhǔn)確的評(píng)估安全風(fēng)險(xiǎn),并根據(jù)安全風(fēng)險(xiǎn)的狀況結(jié)合系統(tǒng)、網(wǎng)絡(luò)層面的安全防御手段有效抵御各種威脅,最終主動(dòng)降低安全風(fēng)險(xiǎn)。要實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的管理和控制,需要實(shí)現(xiàn)完整的風(fēng)險(xiǎn)管理流程,具體為發(fā)現(xiàn)安全風(fēng)險(xiǎn),即通過有效的手段確定安全風(fēng)險(xiǎn)的資產(chǎn)和區(qū)域、定位安全風(fēng)險(xiǎn)存在的區(qū)域、評(píng)估安全風(fēng)險(xiǎn),準(zhǔn)確高效的評(píng)估安全風(fēng)險(xiǎn),了解安全風(fēng)險(xiǎn)的大小和實(shí)質(zhì)、強(qiáng)制措施降低風(fēng)險(xiǎn),通過管理或強(qiáng)制等安全手段,主動(dòng)降低安全風(fēng)險(xiǎn)、安全防御通過各類系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、防御各類安全威脅、安全問題修補(bǔ),主動(dòng)修補(bǔ)存在的各類安全漏洞,全面降低安全風(fēng)險(xiǎn)。以上是完整的信息設(shè)備安全風(fēng)險(xiǎn)管理流程,對(duì)整個(gè)信息設(shè)備安全風(fēng)險(xiǎn)的管理和控制,這些步驟缺一不可,同時(shí),風(fēng)險(xiǎn)管理流程還應(yīng)根據(jù)企業(yè)的具體情況,有不同的實(shí)現(xiàn)方式。其次,實(shí)現(xiàn)信息設(shè)備風(fēng)險(xiǎn)管理的詳細(xì)步驟包括:確定信息安全標(biāo)準(zhǔn)和方針、統(tǒng)計(jì)信息設(shè)備資產(chǎn),進(jìn)行資產(chǎn)識(shí)別、檢測(cè)信息設(shè)備資產(chǎn)存在的安全漏洞、了解潛在的威脅、分析存在的安全風(fēng)險(xiǎn)、通過各種手段如安全防護(hù)產(chǎn)品來降低已有的安全風(fēng)險(xiǎn)、對(duì)信息設(shè)備評(píng)估安全效果和影響、對(duì)已有信息設(shè)備安全策略進(jìn)行對(duì)比及改進(jìn)。最后,實(shí)現(xiàn)完善的信息設(shè)備安全風(fēng)險(xiǎn)管理,還需要有計(jì)劃的完善自身的安全風(fēng)險(xiǎn)管理體系,制定相應(yīng)的整體安全策略。建立全面的資產(chǎn)管理和風(fēng)險(xiǎn)管理體系,整合現(xiàn)有的安全設(shè)備和手段,形成信息設(shè)備成熟完備的動(dòng)態(tài)安全風(fēng)險(xiǎn)管理體系。

3結(jié)束語

第8篇:信息安全風(fēng)險(xiǎn)管理范文

關(guān)鍵詞:商業(yè)銀行;電子商務(wù);風(fēng)險(xiǎn)管理

商業(yè)銀行從事金融業(yè)務(wù)面臨著市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、以及操作風(fēng)險(xiǎn)等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度。2004年以來,我國(guó)面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題。

一、信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑。

(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期

19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級(jí)階段,由事件驅(qū)動(dòng),沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對(duì)信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。

(二)標(biāo)準(zhǔn)化時(shí)期

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風(fēng)險(xiǎn)分析還存在不足之處。

(三)安全風(fēng)險(xiǎn)管理策略時(shí)期

隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次,安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下:

1.安全風(fēng)險(xiǎn)管理成為主流趨勢(shì);在安全管理策略的演進(jìn)過程中,技術(shù)和管理手段綜合統(tǒng)

一、又融入了風(fēng)險(xiǎn)管理的分析、防范策略,從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期。西方商業(yè)銀行已對(duì)安全風(fēng)險(xiǎn)管理形成共識(shí)。如安氏公司(is—One),認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險(xiǎn)管理問題,風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。

2.安全風(fēng)險(xiǎn)管理的國(guó)際標(biāo)準(zhǔn)和各國(guó)的規(guī)范逐漸形成并趨于完善。國(guó)際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等。各國(guó)也日益重視安全風(fēng)險(xiǎn)管理,制定了許多規(guī)范。例如美國(guó)貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等。中國(guó)銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對(duì)國(guó)內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的安全性評(píng)估已成為大部分國(guó)家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn),在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度,系統(tǒng)的設(shè)計(jì)開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別、監(jiān)測(cè)、控制和管理相關(guān)風(fēng)險(xiǎn)。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對(duì)電子銀行的安全性進(jìn)行準(zhǔn)確評(píng)價(jià)和監(jiān)控。因此,大部分國(guó)家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行安全性進(jìn)行評(píng)估的辦法,加強(qiáng)對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。

4.在許多國(guó)家信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn),充分衡量保持安全的代價(jià)和收益之間的關(guān)系,尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用,在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式。

二、我國(guó)商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn)

(一)系統(tǒng)管理思想缺乏

目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo),在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡(luò)。

實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略,以及作為指導(dǎo)意見的規(guī)則規(guī)范,如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》,盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案,層次上也比較清晰,但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。實(shí)踐中,電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過程也是個(gè)復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的。

(二)風(fēng)險(xiǎn)分析的模型與方法不成熟,定量分析不足

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí),往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級(jí)別,將威脅所造成的影響也定性劃分為1~5級(jí),實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級(jí)別,在操作上易行,但造成了度量的不精確。在進(jìn)行監(jiān)控和審計(jì)之后,也存在無法量化、對(duì)比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合

本質(zhì)上,電子商務(wù)的安全風(fēng)險(xiǎn)無非是新興的商業(yè)模式對(duì)傳統(tǒng)的風(fēng)險(xiǎn)的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無法明晰的新風(fēng)險(xiǎn);現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無法立足于一個(gè)比較高的層次;忽略了風(fēng)險(xiǎn)的整體性,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距。對(duì)于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制,兩個(gè)方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險(xiǎn),存在著不同的管理策略,導(dǎo)致多頭管理、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮,乃至缺位管理。

(四)風(fēng)險(xiǎn)管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達(dá)國(guó)家,信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行的安全性進(jìn)行評(píng)估的辦法,提高對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。而國(guó)內(nèi)初步建立了國(guó)家信息安全組織保障體系,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī),風(fēng)險(xiǎn)評(píng)估工作得到了一定重視,但與發(fā)達(dá)國(guó)家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱

我國(guó)商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門;但風(fēng)險(xiǎn)控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門;風(fēng)險(xiǎn)的評(píng)估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風(fēng)險(xiǎn)管理部門、內(nèi)審稽核部門實(shí)質(zhì)上無法控制電子商務(wù)安全風(fēng)險(xiǎn)。例如,風(fēng)險(xiǎn)管理部門接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中,經(jīng)過信息安全的風(fēng)險(xiǎn)評(píng)估、資產(chǎn)識(shí)別和選擇、實(shí)施控制降低風(fēng)險(xiǎn)的措施、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),然后進(jìn)行監(jiān)控和審計(jì);尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入,從而開始新一輪的風(fēng)險(xiǎn)管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)。每完成一個(gè)循環(huán),安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階,商業(yè)銀行的安全管理水平變得到了提高。新晨

(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序的方法。實(shí)踐中,商業(yè)銀行對(duì)操作風(fēng)險(xiǎn)的管理與對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處。巴塞爾委員會(huì)對(duì)商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定,商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險(xiǎn)損失,巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時(shí),主要利用統(tǒng)計(jì)和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)納入商業(yè)銀行總體風(fēng)險(xiǎn)管理范疇

第9篇:信息安全風(fēng)險(xiǎn)管理范文

 

關(guān)鍵詞:商業(yè)銀行;電子商務(wù);風(fēng)險(xiǎn)管理

    商業(yè)銀行從事金融業(yè)務(wù)面臨著市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、以及操作風(fēng)險(xiǎn)等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度。2004年以來,我國(guó)面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題。 

 

一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn) 

信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑。 

 

(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期 

19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級(jí)階段,由事件驅(qū)動(dòng),沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對(duì)信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。 

 

(二)標(biāo)準(zhǔn)化時(shí)期 

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風(fēng)險(xiǎn)分析還存在不足之處。 

 

    (三)安全風(fēng)險(xiǎn)管理策略時(shí)期 

隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次,安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下: 

1.安全風(fēng)險(xiǎn)管理成為主流趨勢(shì);在安全管理策略的演進(jìn)過程中,技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險(xiǎn)管理的分析、防范策略,從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期。西方商業(yè)銀行已對(duì)安全風(fēng)險(xiǎn)管理形成共識(shí)。如安氏公司(is—One),認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險(xiǎn)管理問題,風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。 

2.安全風(fēng)險(xiǎn)管理的國(guó)際標(biāo)準(zhǔn)和各國(guó)的規(guī)范逐漸形成并趨于完善。國(guó)際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等。各國(guó)也日益重視安全風(fēng)險(xiǎn)管理,制定了許多規(guī)范。例如美國(guó)貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等。中國(guó)銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對(duì)國(guó)內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的安全性評(píng)估已成為大部分國(guó)家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn),在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度,系統(tǒng)的設(shè)計(jì)開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別、監(jiān)測(cè)、控制和管理相關(guān)風(fēng)險(xiǎn)。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對(duì)電子銀行的安全性進(jìn)行準(zhǔn)確評(píng)價(jià)和監(jiān)控。因此,大部分國(guó)家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行安全性進(jìn)行評(píng)估的辦法,加強(qiáng)對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。 

4.在許多國(guó)家信息系統(tǒng)審計(jì)(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn),充分衡量保持安全的代價(jià)和收益之間的關(guān)系,尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用,在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式。 

 

二、我國(guó)商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn) 

(一)系統(tǒng)管理思想缺乏 

目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo),在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡(luò)。 

實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略,以及作為指導(dǎo)意見的規(guī)則規(guī)范,如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》,盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案,層次上也比較清晰,但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。實(shí)踐中,電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過程也是個(gè)復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的。 

 

(二)風(fēng)險(xiǎn)分析的模型與方法不成熟,定量分析不足 

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí),往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級(jí)別,將威脅所造成的影響也定性劃分為1~5級(jí),實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級(jí)別,在操作上易行,但造成了度量的不精確。在進(jìn)行監(jiān)控和審計(jì)之后,也存在無法量化、對(duì)比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合 

本質(zhì)上,電子商務(wù)的安全風(fēng)險(xiǎn)無非是新興的商業(yè)模式對(duì)傳統(tǒng)的風(fēng)險(xiǎn)的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無法明晰的新風(fēng)險(xiǎn);現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無法立足于一個(gè)比較高的層次;忽略了風(fēng)險(xiǎn)的整體性,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距。對(duì)于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制,兩個(gè)方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險(xiǎn),存在著不同的管理策略,導(dǎo)致多頭管理、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮,乃至缺位管理。