信息安全風(fēng)險管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全風(fēng)險管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全風(fēng)險管理范文

Abstract： With the advent of the information age， information technology plays an increasingly important role in the enterprise， and in the current network environment， a large number of virus frequently attacks the enterprise's information system， and even cause system cannot deal with the attacks. Therefore， the enterprise information security should change passive treatment into active defense， establish risk management framework in the information system， rationally use internal resources， and improve enterprise information system security. In this paper， the framework of enterprise information security risk management is studied， and the requirements， process and implementation of enterprise information security risk management are discussed.

關(guān)鍵詞：信息安全；風(fēng)險管理；框架探究

Key words： information security；risk management；framework research

中圖分類號：F270 文獻標識碼：A 文章編號：1006-4311（2017）18-0053-03

0 引言

在社會不斷發(fā)展的同時，信息化技術(shù)也獲得了長足的進步，并且已經(jīng)廣泛地應(yīng)用到人們的生活與工作中。對于企業(yè)單位而言，信息資源是保證正常運營的關(guān)鍵因素，企業(yè)運營的重要數(shù)據(jù)、客戶資料以及知識產(chǎn)權(quán)等信息都是重要的信息資源，這些資源一旦泄露或丟失，會對企業(yè)造成極大的影響。因此，企業(yè)必須重視自身信息系統(tǒng)安全風(fēng)險管理的框架的建設(shè)，有效防止來自網(wǎng)絡(luò)的惡意攻擊，防止內(nèi)部重要信息泄露或丟失，保證企業(yè)信息安全。

1 企業(yè)信息安全實踐的需求分析

在信息時代的大背景下，企業(yè)的信息化程度是衡量其發(fā)展水平的重要因素。但是，我國的信息安全形勢不容樂觀，大部分企業(yè)沒有樹立信息安全風(fēng)險管理概念，企業(yè)的信息安全無法得到良好的保障。信息安全是一項綜合性的工程，不能僅憑企業(yè)短期內(nèi)需要就采取某些措施，無法從根本上提高信息安全水平。想要做好企業(yè)信息安全實踐工作，必須事先做好企業(yè)對信息安全的需求分析，形成全面的分析報告，并根據(jù)報告中的內(nèi)容采取相應(yīng)的措施，改善企業(yè)信息安全現(xiàn)狀。但是，需求分析的具體過程也不是始終不變的，而是會根據(jù)企業(yè)的發(fā)展與信息技術(shù)的進步發(fā)生改變的。信息安全風(fēng)險的獨特性必須在框架中體現(xiàn)出來。信息安全風(fēng)險源于信息，信息本身具有不斷發(fā)生變化的特性，從其以數(shù)據(jù)的形勢出現(xiàn)開始，直至在各項功能中發(fā)揮相關(guān)的作用，這個周期內(nèi)的每個階段都有相的價值。信息安全管理就是要對企業(yè)的信息資源進行全面的保護，避免因這些資源受到損失而對企業(yè)的運營造成影響。企業(yè)信息安全風(fēng)險管理框架中，必須能夠發(fā)現(xiàn)信息資源即將受到的威脅，評估這些威脅會對信息資源造成的后果，以確定應(yīng)對這些威脅的順序。在制定風(fēng)險計劃時，需要明確對于風(fēng)險的應(yīng)對方式以及合理的控制措施。在風(fēng)險的監(jiān)督與改進過程中，需要根據(jù)這些風(fēng)險采取適當?shù)谋O(jiān)控手段?？傊?，在此過程框架每個過程要素的分析中，都必須體現(xiàn)信息安全風(fēng)險的獨特性。

2 企業(yè)信息安全風(fēng)險的類型及內(nèi)容

一般來說，在企業(yè)運營過程中，信息安全系統(tǒng)通常面臨以下風(fēng)險因素：

①因線路故障、停電、網(wǎng)絡(luò)通信設(shè)備損壞等導(dǎo)致網(wǎng)絡(luò)突然中斷。

②網(wǎng)站遭到非法攻擊，主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規(guī)、歪曲事實、散布謠言的言論，以及破壞社會穩(wěn)定、損害公司名譽的不當言論等。

③公司內(nèi)部網(wǎng)絡(luò)服務(wù)器或他服務(wù)器被非法入侵，相關(guān)網(wǎng)絡(luò)設(shè)置被非法拷貝、修改、刪除，發(fā)生泄密事件。

④公司內(nèi)外網(wǎng)終端混用，被國網(wǎng)公司信息管理部門查處，造成公司信息泄露、丟失事件。

信息系統(tǒng)是企業(yè)正常開展生產(chǎn)運營工作的基本前提，信息管理系統(tǒng)一旦出現(xiàn)問題，輕則影響企業(yè)內(nèi)部業(yè)務(wù)項目的正常進行，重則導(dǎo)致企業(yè)蒙受巨大的經(jīng)濟虧損。因此，針對信息安全風(fēng)險加強管控對企業(yè)來說意義重大。

3 企業(yè)信息安全風(fēng)險管理方案

3.1 建立信息安全風(fēng)險管理流程

企業(yè)信息安全風(fēng)險管理工作可按照圖1所示流程逐步展開。

3.2 完善信息安全風(fēng)險管理措施

對信息安全風(fēng)險的管理可以以階段化的管理模式逐步展開，具體措施如下：

3.2.1 實施準備階段

信息安全風(fēng)險管理實施的準備階段主要包括管理開端的建立、風(fēng)險評估以及制定行動方案三個步驟。第一，在管理開端的建立中，首先要獲得企業(yè)管理部門與業(yè)務(wù)部門的支持，并且建立完善的管理質(zhì)素，明確參與到管理過程中的工作人員的職責(zé)；第二，在風(fēng)險評估步驟中，首先，確定風(fēng)險評估對象的范圍，其次，確定評估小組的成員，并且制定評估方案；最后，對評估小組成員進行與評估方案有關(guān)的培訓(xùn)。在這些準備工作結(jié)束后，評估人員就可以開始通過訪談或調(diào)查的形式來確定公司信息資源的具體情況，明確用戶對信息安全的需求。再通過對風(fēng)險進行識別與分析，發(fā)現(xiàn)企業(yè)信息系統(tǒng)中存在的風(fēng)險。第三，在制定行動方案的步驟中，需要完成保護方案的制定以及確定風(fēng)險處理方式兩部分工作。通常情況下，保護方案就是需要企業(yè)長期持續(xù)執(zhí)行，能夠幫助企業(yè)保證自身信息安全的方案，但不足以滿足企業(yè)在短期內(nèi)提高信息安全性的需求。因此，企業(yè)必須對所有控制措施制定相應(yīng)的處理方式，在短期內(nèi)解決企業(yè)最需要解決的問題。

3.2.2 部署與執(zhí)行階段

行動的部署與執(zhí)行階段主要有計劃的部署與安全培訓(xùn)兩方面工作組成。第一，行動計劃部署。在這個過程中，安全風(fēng)險管理計劃中的所有措施都必須被執(zhí)行，需要對具體行動方案進行必要的理解并執(zhí)行。首先，要與企業(yè)中的員工進行事先溝通，防止在實施中遇到反對或抵觸的情緒。其次，確保被安排到行動計劃的員工能夠把握這些工作的優(yōu)先級。此外，必須制定行動執(zhí)行保障制度，為計劃執(zhí)行準備足夠的資源，以保證計劃順利執(zhí)行。第二，安全培訓(xùn)工作的實施。在企業(yè)內(nèi)部，從事安全風(fēng)險管理工作的員工有時會將普通工作人員視為技術(shù)人員，顯然這種想法是有問題的，并不是企業(yè)內(nèi)的所有員工都了解信息安全風(fēng)險管理。所以，我們必須了解企業(yè)中大部分員工知識利用信息系統(tǒng)完成自己的工作任務(wù)，信息安全的保護是需要專業(yè)的信息安全人員進行的。所以，企業(yè)必須組織安全培訓(xùn)，通過培訓(xùn)提高員工安全意識，保證他們在信息系統(tǒng)遇到危險時能夠采取一些有效的行動，對系統(tǒng)進行適當?shù)谋Ｗo。

3.2.3 風(fēng)險監(jiān)督檢查階段

在信息安全風(fēng)險管理團隊中，必須組建風(fēng)險監(jiān)督小組，在風(fēng)險管理的整個過程中對其進行監(jiān)督與檢查，小組應(yīng)由小組負責(zé)人與檢查人員組成。實施風(fēng)險監(jiān)督檢查的目的就是為了掌握企業(yè)信息安全的實際狀態(tài)，并且收集信息安全環(huán)境變更信息，方便對未來的風(fēng)險進行預(yù)測。風(fēng)險監(jiān)督小組在獲得這些信息后，必須及時向風(fēng)險管理團隊反饋，確保他們能夠掌握企業(yè)最近的信息安全狀態(tài)。

3.2.4 風(fēng)險改進階段

在這一階段，我們必須做好以下工作：制定詳細的風(fēng)險改進措施。風(fēng)險管理團隊需要根據(jù)企業(yè)的信息安全狀態(tài)制定詳細的風(fēng)險改進措施。通過對監(jiān)督檢查過程中發(fā)現(xiàn)的問題進行分析，可以找出導(dǎo)致問題產(chǎn)生的原因，制定相應(yīng)的改進措施并限期完成，檢查人員則要負責(zé)對具體的實施情況進行檢查。在改進過程中，需要注意的是，改進措施必須獲得最高管理者的批準，特別是關(guān)系到整個企業(yè)或大多數(shù)部門的改進措施。風(fēng)險監(jiān)督小組必須隨時跟蹤糾正措施實施情況，驗證改進措施的執(zhí)行是否符合標準。

3.3 建立企業(yè)信息安全風(fēng)險評估體系，促進信息管理工作不斷優(yōu)化改進

3.3.1 明_信息安全風(fēng)險評估流程

企業(yè)信息安全風(fēng)險評估工作可以參照圖2逐步實行。

3.3.2 信息安全風(fēng)險的計算及處理措施

企業(yè)的風(fēng)險可以通過多種計算方法得到，但通常資產(chǎn)的風(fēng)險值可以定義為：風(fēng)險值=f（安全事件發(fā)生的可能性，安全事件發(fā)生的危害性）=g（資產(chǎn)，威脅，脆弱性，已實施的控制措施）。評估人員根據(jù)這樣的函數(shù)形式，可以采用一種類似5×5形式的矩陣來計算風(fēng)險，其中行和列分別代表了安全事件發(fā)生的可能性或發(fā)生的危害性等級。當然，評估人員為了細化這些風(fēng)險可以采用維數(shù)更多（更細）的矩陣。

4 結(jié)論及建議

企業(yè)通過信息安全風(fēng)險管理的實施，能夠確定長時間的安全風(fēng)險管理計劃，并且可以有效地緩解企業(yè)信息系統(tǒng)中的安全風(fēng)險，提高工作人員對與信息安全風(fēng)險的認識，建立健康的安全風(fēng)險管理氛圍，推動企業(yè)信息化發(fā)展。

另外，建議企業(yè)在實施信息風(fēng)險管理的同時，及時建立信息安全風(fēng)險預(yù)警系統(tǒng)，特別要加強網(wǎng)絡(luò)與信息系統(tǒng)安全管理，充分發(fā)揮技術(shù)支撐、機制保障作用，不斷完善預(yù)防與搶險相結(jié)合，有效地預(yù)防和減少信息系統(tǒng)安全事故的發(fā)生，保障信息安全穩(wěn)定運行。

參考文獻：

[1]王淳萱.大數(shù)據(jù)環(huán)境下國有企業(yè)的信息安全探析[J].冶金經(jīng)濟與管理，2016（02）.

第2篇：信息安全風(fēng)險管理范文

關(guān)鍵詞：鐵路網(wǎng)絡(luò)；信息；安全風(fēng)險；管理措施

 

目前，我國已經(jīng)進入信息網(wǎng)絡(luò)技術(shù)普及的時代中，在信息技術(shù)應(yīng)用越來越廣泛、作用越來越強大的同時，鐵路運輸組織、服務(wù)、管理、建設(shè)等多方面的發(fā)展逐漸依賴于信息技術(shù)與網(wǎng)絡(luò)技術(shù)，目前鐵路生產(chǎn)與管理已經(jīng)進入智能化、管控一體化的管理模式中，因此，信息與網(wǎng)絡(luò)的安全性對鐵路發(fā)展有著至關(guān)重要的影響。但是隨著信息化越來越強烈，存在的風(fēng)險越來越多，這對鐵路發(fā)展無疑是一種嚴重的威脅，下面對控制網(wǎng)絡(luò)與信息安全風(fēng)險提出了幾點參考建議。

一、信息安全管理體系結(jié)構(gòu)

信息安全風(fēng)險管理體系結(jié)構(gòu)模型主要由技術(shù)、管理以及系統(tǒng)生命周期三大要素組成的三維模型。而信息安全是由信息安全技術(shù)與信息安全管理共同參與保護工作而實現(xiàn)的，信息安全技術(shù)的保護作用在于對信息安全保護采取的有效技術(shù)措施，而信息安全管理的作用主要在于對信息安全技術(shù)實施與運行過程中進行科學(xué)管理，促使信息安全技術(shù)發(fā)揮最大作用。隨著信息安全風(fēng)險越來越多，需要不斷提高信息安全技術(shù)實施與運行能力，更重要的是加強信息安全管理，從政策、法律、技術(shù)、人員等方面進行全面管理，為保證信息安全采取有效的應(yīng)對措施。

1、技術(shù)要素

在技術(shù)要素中主要含有環(huán)境、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用四個技術(shù)方面。鐵路信息系統(tǒng)建設(shè)過程中，環(huán)境安全是保護信息系統(tǒng)安全的基礎(chǔ)與屏障，對于機房環(huán)境安全要求非常嚴格，從機房建設(shè)過程開始就需要對機房地址、周邊環(huán)境等方面進行考慮，特別是對防火、防雷擊、防滲水、防鼠害等多種對機房安全有影響的因素全部考慮在內(nèi)，同時還要加強對機房維護與管理等方面工作的考慮。值班人員管理、設(shè)備管理、電源管理、機房詢問控制以及機房保密等方面中都會存在安全風(fēng)險，因此需要對其采取相應(yīng)的管理措施，來降低風(fēng)險發(fā)生幾率，保障信息安全。

系統(tǒng)主要是由硬件、軟件以及數(shù)據(jù)組成，加強系統(tǒng)安全，首先要確保硬件安全、軟件安全以及數(shù)據(jù)安全，一旦發(fā)生安全風(fēng)險，就會使數(shù)據(jù)遭到破壞、更改、泄露等風(fēng)險出現(xiàn)，因此，需要加強對其安全保護，保證數(shù)據(jù)安全、促使系統(tǒng)正常運行。網(wǎng)絡(luò)是數(shù)據(jù)傳輸、分析、處理等方面的重要渠道，要對網(wǎng)絡(luò)安全加以重視，網(wǎng)絡(luò)安全是可以保證信息安全的基礎(chǔ)，因此，需要對其加強管理，要從結(jié)構(gòu)、訪問、審計、設(shè)備、代碼、病毒等方面進行全面加強防范措施。應(yīng)用系統(tǒng)是實現(xiàn)信息權(quán)限管理的重要技術(shù)，具有賦予、變更、撤銷等重要信息應(yīng)用功能，因此，加強應(yīng)用系統(tǒng)安全管理有一定的必要性。首先要完善專用用戶登錄識別功能；其次要提高訪問控制功能；再次需要對重要信息進行加密保管；還要保證數(shù)據(jù)完整性，加強密碼技術(shù)功能應(yīng)用；最后要對資源進行合理控制，限制使用額度。

2、管理要素

信息安全風(fēng)險管理效果與鐵路內(nèi)部組織結(jié)構(gòu)、管理制度以及人員管理有著直接的關(guān)系，沒有完善的組織結(jié)構(gòu)，相應(yīng)的管理制度，會使內(nèi)部管理混亂，進而發(fā)生信息安全管理不得當，同時技術(shù)人員的技術(shù)水平以及個人素質(zhì)等因素都會造成信息泄露、丟失等風(fēng)險存在。因此，必須建立完善的組織結(jié)構(gòu)，鐵路信息系統(tǒng)的安全要在組織結(jié)構(gòu)方面得到安全保證。鐵路信息安全管理應(yīng)建立由上級領(lǐng)導(dǎo)層、中級管理層、下級執(zhí)行層三個層面的管理組織機構(gòu)，并制定完善的管理制度，落實到實際工作中，加強技術(shù)人員的培訓(xùn)，以提高技術(shù)人員專業(yè)水平以及綜合素質(zhì)為目的，優(yōu)化整個信息安全管理部門，促使鐵路信息安全風(fēng)險管理得到保證。

3、系統(tǒng)生命周期要素分析

設(shè)計階段的安全風(fēng)險管理過程應(yīng)對設(shè)計方案中所提供的安全功能符合性進行判斷，作為采購過程風(fēng)險控制的依據(jù)。應(yīng)詳細評估設(shè)計方案中對系統(tǒng)可能面臨威脅的描述，將使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能需求列表。基于設(shè)計階段的資產(chǎn)列表、安全措施，實施階段應(yīng)對規(guī)劃階段的安全威脅進行進一步細分，同時評估安全措施的實現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。運行維護階段的風(fēng)險評估應(yīng)采取定期和非定期兩種方式；當組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時，也應(yīng)進行風(fēng)險評估。

二、采取措施建議

在信息系統(tǒng)規(guī)劃、設(shè)計階段，應(yīng)對信息系統(tǒng)的安全需求進行分析，同步規(guī)劃、設(shè)計信息系統(tǒng)的安全等級和保護措施，建立安全環(huán)境，從源頭上保障信息安全。對已定級的信息系統(tǒng)，應(yīng)嚴格按照等保要求進行區(qū)域劃分、邊界防護、訪問控制、安全審計及安全管理。構(gòu)建一個全路信息系統(tǒng)可視化管理平臺，對網(wǎng)絡(luò)、計算機設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運維狀態(tài)等關(guān)鍵信息進行全局監(jiān)控，提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。建立全路統(tǒng)一的身份認證與授權(quán)機制，對各信息系統(tǒng)的用戶進行統(tǒng)一管理，確保信息在產(chǎn)生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

鐵路網(wǎng)絡(luò)與信息安全風(fēng)險管理，不僅僅是從加強技術(shù)或者管理任意一方面就可以實現(xiàn)的，而是需要對信息技術(shù)與安全管理相結(jié)合，共同完善信息安全風(fēng)險管理。加強對信息技術(shù)內(nèi)部結(jié)構(gòu)的保護，從硬件、軟件、數(shù)據(jù)、加密手段、權(quán)限管理手段等多方面進行安全防護，控制系統(tǒng)安全風(fēng)險發(fā)生，同時還需要加強信息外部管理，從建設(shè)、人員、操作、管理等方面進行管理，保證鐵路網(wǎng)絡(luò)與信息安全，降低風(fēng)險發(fā)生，為鐵路發(fā)展提供信息安全保障。

 

參考文獻：

第3篇：信息安全風(fēng)險管理范文

 

前言

 

隨著網(wǎng)絡(luò)時代的到來，各項科技技術(shù)獲得了極大的突破，也在實際生活中得以應(yīng)用。而在現(xiàn)代醫(yī)院運行管理中，計算機網(wǎng)絡(luò)信息技術(shù)的綜合運用便是極為明顯的可靠實例。通過加強改進醫(yī)院計算機系統(tǒng)管理與風(fēng)險控制，改善醫(yī)療整體服務(wù)質(zhì)量與業(yè)務(wù)能力。通過對現(xiàn)代醫(yī)院計算機信息系統(tǒng)重要性分析闡述，并對其風(fēng)險控制方法提出建議。

 

1 醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)建立的重要性

 

由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，已經(jīng)對現(xiàn)代社會，生活，政治，經(jīng)濟等各方面產(chǎn)生深遠影響，深入滲透。尤其在醫(yī)院現(xiàn)代化管理中，醫(yī)院信息網(wǎng)絡(luò)化管理，資源數(shù)據(jù)化帶來了非常大的便利，也是現(xiàn)代化醫(yī)院建立的必要條件。借助計算機網(wǎng)絡(luò)工具，提高服務(wù)質(zhì)量，醫(yī)療水平，促進醫(yī)療事業(yè)的發(fā)展。通過信息網(wǎng)絡(luò)管理后，使醫(yī)院運營得更加規(guī)范科學(xué)。不僅推動了醫(yī)院現(xiàn)代化改革，也對整個醫(yī)療事業(yè)的發(fā)展提供了助力，其意義與作用不言而喻。

 

傳統(tǒng)的醫(yī)院管理中，由于缺乏網(wǎng)絡(luò)信息，往往花費大量的財力物力人力對進行日常維護。隨著醫(yī)院計算機信息系統(tǒng)的引入，不斷地智能化科學(xué)化，在很大程度上對醫(yī)院的資源配置進行合理優(yōu)化，提高了整體的醫(yī)療競爭力。而在信息分析處理中，因為計算機的決策整合，使得最終處理結(jié)果更加合理精確。例如在對患者病情記錄分析中，職員考察考核等等，都可以高速便捷的展開研究。

 

2 計算機軟件信息安全維護

 

在醫(yī)院計算機使用過程中，要做到醫(yī)院計算機自身終端完全不受干擾破壞是不可能的，只有通過提高免疫防御能力，才能減少被感染可能性。但是由于有的高危病毒，傳播速度驚人，破壞力極大，并且頑固復(fù)雜，難以徹底清除，在短時間內(nèi)就能造成大量客戶計算機無法工作，對醫(yī)院日常的工作帶來了極大的影響。應(yīng)用系統(tǒng)在數(shù)據(jù)交換過程中可以對其進行審計，其中記錄的事件內(nèi)容，可能包括客戶機地址，具體操作時間，與其他用戶結(jié)果信息數(shù)據(jù)。在日常維護處理中，就可以對報告結(jié)果導(dǎo)出分析。對于用戶私人數(shù)據(jù)，也應(yīng)該建立嚴格的保護機制，安全性，只有通過權(quán)限授予才能訪問讀取相關(guān)的信息數(shù)據(jù)。同時為了保證關(guān)聯(lián)性，可以對用戶設(shè)置多個角色。系統(tǒng)根據(jù)角色類別進行權(quán)限操作限制，不僅可以越權(quán)操作，還可以設(shè)置角色屬性限制期的功能，權(quán)限的多樣化和靈活性大大保證了醫(yī)院計算機信息系統(tǒng)的安全性。

 

3 計算機信息安全管理制度建立

 

在安全管理中，可以實施責(zé)任制度。例如成立醫(yī)院信息安全管理組，醫(yī)院相關(guān)負責(zé)人，以職能為參考標準，負責(zé)安全線的各項工作，定期安排任務(wù)與會議總結(jié)，發(fā)現(xiàn)問題，總結(jié)問題，進而深化部署醫(yī)院計算機信息安全管理工作。在制度的建立中，可以參考服務(wù)器，網(wǎng)絡(luò)設(shè)備，技術(shù)人員，數(shù)據(jù)文檔相關(guān)系列的安全管理制度體系。指定人員定期維護，保存記錄，做好應(yīng)急預(yù)案與應(yīng)急措施，做到日志化管理。

 

對于信息安全操作規(guī)范，也需要加強管理。指定系統(tǒng)軟件，數(shù)據(jù)操作規(guī)范流程，沒有授權(quán)不能進行文件復(fù)制，數(shù)據(jù)共享，系統(tǒng)的修改增刪。定期維護服務(wù)器狀態(tài)檢查，分析日志，并且觀測數(shù)據(jù)是否存在問題，及時發(fā)現(xiàn)異常點，做好日志記錄，保證完整性與可靠性?？梢灾贫ㄅ嘤?xùn)計劃，在整個培訓(xùn)中，目標，流程，結(jié)果應(yīng)該清晰有效，如果信息安全管理小組發(fā)生變化可以及時跟進培訓(xùn)配合，建立獨立操作局域網(wǎng)，模擬真實的信息系統(tǒng)環(huán)境，幫助相關(guān)人員快速準確掌握方法。

 

4 信息系統(tǒng)安全管理控制升級

 

4.1 信息安全細節(jié)化設(shè)計

 

醫(yī)院網(wǎng)絡(luò)安全數(shù)字化是一個長期整體的系統(tǒng)工程，主要圍繞防護警示，檢測檢查，修改恢復(fù)這一過程循環(huán)運行。如果這一程序鏈中出現(xiàn)錯誤，某個環(huán)節(jié)沒有按照預(yù)定設(shè)置完成，將會產(chǎn)生諸多負面影響?？刂坪妹恳粋€環(huán)節(jié)的處理，并且嚴格落實，通過一系列的管理制度與措施，監(jiān)督責(zé)任到位，確保整個信息安全系統(tǒng)安全高效，持續(xù)穩(wěn)定的工作。由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，漏洞與不足暴露得越來越多，對于新應(yīng)用新技術(shù)推廣的同時，還需要加強培訓(xùn)，以滿足業(yè)務(wù)工作需要。

 

就信息網(wǎng)絡(luò)系統(tǒng)自身而言，采用符合實際操作情況與工作狀態(tài)的結(jié)構(gòu)系統(tǒng)，安全等級與維護難度都將能夠降低難度，易于操作。構(gòu)建多層次，體系化的設(shè)計使用戶角色等級，權(quán)限操作，優(yōu)先等級分布到更多層次，更多日志記錄。那么后續(xù)維護，控制分配也將更加靈敏。結(jié)合具體的業(yè)務(wù)情況，在可用性與安全性之間尋找平衡點，在符合安全的大前提下，開拓業(yè)務(wù)，提升服務(wù)質(zhì)量。

 

4.2 醫(yī)院計算機信息安全風(fēng)險控制升級

 

在某些醫(yī)院中，計算機網(wǎng)絡(luò)防御等級較低，需要通過加強安全性對整個系統(tǒng)進行升級。首先需要確保醫(yī)院計算機信息網(wǎng)絡(luò)服務(wù)器保持正常。要確定系統(tǒng)的長期安全。注意機房服務(wù)供電情況，布線合理，溫度濕度，雷電預(yù)防等問題。保證醫(yī)院服務(wù)器不間斷供電，保持電源線路通暢。同時主要設(shè)備與核心設(shè)備固定器維護與檢查，及時發(fā)現(xiàn)問題與前兆，快速有效處理。保證計算機中心溫控與散熱條件良好，使得整個服務(wù)器中心環(huán)境到達理想狀態(tài)。保持清潔，除塵保潔，重視物理環(huán)境的維護，并且確保數(shù)據(jù)的及時正確備份。

 

另外，對于醫(yī)院計算機信息主要管理人員的素質(zhì)，仍然需要加強，明確權(quán)力責(zé)任，落實到點。這也關(guān)系到醫(yī)院信息安全工作能否安全運行。對于網(wǎng)絡(luò)用戶也應(yīng)該嚴格限制管理，分清患者、醫(yī)務(wù)職員、管理人員的角色職能。對用戶和密碼加強管理，這樣可以有效的避免危險數(shù)據(jù)與不明軟件對服務(wù)器的攻擊與傷害。

 

同時重視日常計算機系統(tǒng)相關(guān)記錄數(shù)據(jù)。在常規(guī)服務(wù)日志的檢測基礎(chǔ)上，加以分析預(yù)判，進而實施下一步相關(guān)措施。例如服務(wù)器啟動停止，異常運行數(shù)等等，都可以有助于信息系統(tǒng)管理者對醫(yī)院計算機信息系統(tǒng)的全面了解，從而進行評估，得出相關(guān)結(jié)論。依托數(shù)據(jù)對系統(tǒng)的安全等級展開定級，制定有效制度措施防范解決問題，確保整個信息系統(tǒng)的安全和高效，達到風(fēng)險管理控制的目的。

 

5 結(jié)束語

 

提高安全防范意識，完善制度，對于醫(yī)院計算機信息安全風(fēng)險管理控制方法不僅僅需要從技術(shù)角度入手，自身也需要意識到它的重要性。這不僅關(guān)系到醫(yī)院的整體協(xié)作與工作效率，還影響所有部門員工統(tǒng)一性。需要全面了解當前信息系統(tǒng)中的安全問題，并積極應(yīng)對。因此在提高技術(shù)的同時，依靠建立制度對員工進行規(guī)范管理，提高防范意識，確保醫(yī)院計算機信息系統(tǒng)安全。

第4篇：信息安全風(fēng)險管理范文

關(guān)鍵詞：網(wǎng)絡(luò)審計　歷史財務(wù)報表審計　信息安全管理　風(fēng)險評估

一、引言

從審計的角度，風(fēng)險評估是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷暮诵睦砟?。無論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中，現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風(fēng)險評估為中心，通過對被審計單位及其環(huán)境的了解，評估確定被審計單位的高風(fēng)險領(lǐng)域，從而確定審計的范圍和重點，進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度，企業(yè)風(fēng)險管理將風(fēng)險評估作為其基本的要素之一進行規(guī)范，要求企業(yè)在識別和評估風(fēng)險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來控制風(fēng)險，降低風(fēng)險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風(fēng)險評估作為企業(yè)風(fēng)險管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風(fēng)險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風(fēng)險和網(wǎng)絡(luò)審計風(fēng)險基本要素的基礎(chǔ)上，從風(fēng)險評估中應(yīng)關(guān)注的風(fēng)險范圍、風(fēng)險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開，將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風(fēng)險評估進行對比分析，以期深化對網(wǎng)絡(luò)審計風(fēng)險評估的理解。

二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風(fēng)險評估比較

(一)審計風(fēng)險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風(fēng)險模型，審計風(fēng)險又由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險構(gòu)成。其中，固有風(fēng)險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財務(wù)報表某項認定產(chǎn)生重大錯報的可能性；控制風(fēng)險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性；檢查風(fēng)險是審計人員通過預(yù)定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中，審計風(fēng)險仍然包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險要素，但其具體內(nèi)容直接受計算機網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險的影響。計算機及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率，為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性，但同時也為企業(yè)帶來了一些新的風(fēng)險。這些新的風(fēng)險主要表現(xiàn)為：(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了，這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)縱和破壞的風(fēng)險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術(shù)要求，非專業(yè)人員難以察覺計算機舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng)，或者說，企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風(fēng)險，例如程序中的差錯反復(fù)和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險，如計算機信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障，或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地，網(wǎng)絡(luò)審計的固有風(fēng)險主要是指系統(tǒng)環(huán)境風(fēng)險，即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險，它可分為硬件環(huán)境風(fēng)險和軟件環(huán)境風(fēng)險?？刂骑L(fēng)險包括系統(tǒng)控制風(fēng)險和財務(wù)數(shù)據(jù)風(fēng)險，其中，系統(tǒng)控制風(fēng)險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風(fēng)險，財務(wù)數(shù)據(jù)風(fēng)險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險包括審計軟件風(fēng)險和人員操作風(fēng)險，審計軟件風(fēng)險是指計算機審計軟件本身缺陷原因造成的風(fēng)險，人員操作風(fēng)險是指計算機審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險。

(二)風(fēng)險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中，風(fēng)險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此，兩者所關(guān)注的風(fēng)險范圍則有所不同。歷史財務(wù)報表審計的風(fēng)險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風(fēng)險――財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類，因此審計人員關(guān)注的風(fēng)險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風(fēng)險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風(fēng)險，審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中，一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同，企業(yè)在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風(fēng)險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統(tǒng)運行所必備的機房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險，審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風(fēng)險和信息的安全風(fēng)險。重大錯報風(fēng)險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性，它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風(fēng)險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計人員在審計時應(yīng)當考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風(fēng)險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險，主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中，審eta員應(yīng)當主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風(fēng)險并非完全分離的，評估時審計人員應(yīng)將兩者結(jié)合起來考慮。

(三)風(fēng)險評估內(nèi)容　廣泛意義的風(fēng)險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風(fēng)險評估的目的并不完全相同，因此兩者在風(fēng)險評估的內(nèi)容上也是存在區(qū)別的。總的來說，網(wǎng)絡(luò)審計的風(fēng)險評估內(nèi)容比歷史財務(wù)報表審計的風(fēng)險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風(fēng)

險》，在歷史財務(wù)報表審計中，審計人員的風(fēng)險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風(fēng)險，審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風(fēng)險，審計人員除了從以上方面了解被審計單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的，包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此，我們認為網(wǎng)絡(luò)審計申風(fēng)險評估的內(nèi)容應(yīng)包括以下幾方面：(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度，判斷風(fēng)險發(fā)生的可能性；(4)根據(jù)風(fēng)險發(fā)生的可能性，評價風(fēng)險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響；(5)若被審計單位存在風(fēng)險防范或化解措施，審計人員在進行風(fēng)險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》中要求，審計人員應(yīng)當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風(fēng)險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風(fēng)險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外，審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時，除執(zhí)行常規(guī)程序外，審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險的評估，審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風(fēng)險問卷調(diào)查、風(fēng)險顧問訪談、風(fēng)險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法；工具掃描是指通過評估工具軟件或?qū)Ｓ冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息，包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險問卷調(diào)查與風(fēng)險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風(fēng)險狀況，使用時關(guān)鍵是要明確問卷或訪談的對象情況風(fēng)險策略分析要求審計人員對企業(yè)所設(shè)定的風(fēng)險管理和應(yīng)對策略的有效性進行分析，進而評價企業(yè)相關(guān)風(fēng)險發(fā)生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險方面進行評價，審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計與信息安全管理的風(fēng)險評估比較

(一)風(fēng)險評估的目的信息安全管理中的風(fēng)險評估(即信息安全風(fēng)險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風(fēng)險評估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風(fēng)險管理的角度，在系統(tǒng)分析和評估風(fēng)險發(fā)生的可能性及帶來的損失的基礎(chǔ)上，提出有針對性的防護和整改措施，將企業(yè)面臨或遭遇的風(fēng)險控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù)，其風(fēng)險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導(dǎo)進一步審計程序。因此，兩者風(fēng)險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風(fēng)險范圍來看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險。但是，具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險，包括實體安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、軟件安全風(fēng)險、運行安全風(fēng)險等。網(wǎng)絡(luò)審計中，審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見，因此，風(fēng)險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險，而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險。根據(jù)評估實施者的不同，信息安全風(fēng)險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風(fēng)險評估活動；他評估通常是由組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風(fēng)險評估服務(wù)機構(gòu)進行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。因此。對審計人員而言，受托執(zhí)行的信息安全風(fēng)險評估應(yīng)當歸屬于管理咨詢類，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計嚴格區(qū)分開來。

(二)風(fēng)險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風(fēng)險評估指南》(征求意見稿)國家標準中，它將信息安全風(fēng)險評估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風(fēng)險評估應(yīng)圍繞其基本要素展開，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風(fēng)險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等。在此基礎(chǔ)上的風(fēng)險計算過程是：(1)對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；(2)對威脅進行分析，并對威

脅發(fā)生的可能性賦值；(3)識別信息資產(chǎn)的脆弱性，并對弱點的嚴重程度賦值；(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。結(jié)合上文網(wǎng)絡(luò)審計風(fēng)險評估五個方面的內(nèi)容可以看出，網(wǎng)絡(luò)審計和信息安全風(fēng)險評估在內(nèi)容上有相近之處，即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業(yè)的一項內(nèi)部管理，其風(fēng)險評估工作需要從兩個層次展開：一是評估風(fēng)險發(fā)生的可能性及其影響；二是提出防護或整改措施以控制風(fēng)險。第一個層次的工作實質(zhì)上是為第二層次工作服務(wù)的，其重點在第二層次?！缎畔踩L(fēng)險評估指南》(征求意見稿)提出，企業(yè)在確定出風(fēng)險水平后，應(yīng)對不可接受的風(fēng)險選擇適當?shù)奶幚矸绞郊翱刂拼胧?，并形成風(fēng)險處理計劃。其中，風(fēng)險處理的方式包括回避風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險，而控制措施的選擇應(yīng)兼顧管理和技術(shù)，考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險的平衡。網(wǎng)絡(luò)審計的風(fēng)險評估工作主要集中在第一個層次，即審計人員通過風(fēng)險評估，為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡(luò)審計程序和實現(xiàn)網(wǎng)絡(luò)審計目標提供重要基礎(chǔ)。因此，兩者的評估內(nèi)容是存在區(qū)別的。

第5篇：信息安全風(fēng)險管理范文

【關(guān)鍵詞】數(shù)字化 醫(yī)院 信息管理系統(tǒng) 安全風(fēng)險

伴隨著信息化技術(shù)的飛速發(fā)展，數(shù)字化開始受到了人們的普遍關(guān)注，在越來越多的領(lǐng)域得到了應(yīng)用?，F(xiàn)階段，醫(yī)院普遍都建立起了相應(yīng)的信息管理系統(tǒng)，并且其正逐漸由單純的信息管理向其它業(yè)務(wù)延伸，在醫(yī)院正常運轉(zhuǎn)中發(fā)揮著越來越重要的作用。針對當前醫(yī)院信息管理系統(tǒng)中存在的安全風(fēng)險，管理人員應(yīng)該制定切實可行的風(fēng)險應(yīng)對策略，保障系統(tǒng)的運行的安全性和可靠性。

一、醫(yī)院信息管理系統(tǒng)的安全風(fēng)險

醫(yī)院信息管理系統(tǒng)是指在醫(yī)院管理以及醫(yī)療活動中，進行信息管理和聯(lián)機操作的計算機應(yīng)用系統(tǒng)，同時也是覆蓋醫(yī)院所有業(yè)務(wù)以及業(yè)務(wù)所有流程的信息管理系統(tǒng)，能夠利用計算機以及通訊設(shè)備，為醫(yī)院各部門提供病人診療信息、行政管理信息等，實現(xiàn)信息的收集、存儲、整理、提取以及交換，可以滿足授權(quán)用戶功能需求的平臺。醫(yī)院信息管理系統(tǒng)的安全直接影響著醫(yī)院網(wǎng)絡(luò)服務(wù)的質(zhì)量，關(guān)系著醫(yī)院的正常運轉(zhuǎn)，其重要性不言而喻。

從目前來看，在醫(yī)院信息管理系統(tǒng)中，存在著大量的安全風(fēng)險，包括了硬件風(fēng)險、軟件風(fēng)險、管理風(fēng)險以及環(huán)境風(fēng)險四個方面的內(nèi)容，之所以會如此，一方面，醫(yī)院管理人員并沒有認識到信息管理系統(tǒng)安全的重要性，將目光更多的放在了系統(tǒng)的實用性而非安全性上，因此并沒有投入相應(yīng)的經(jīng)費去進行系統(tǒng)安全防護模塊的建設(shè)及維護，導(dǎo)致系統(tǒng)中存在著較大的缺陷和漏洞，給系統(tǒng)安全帶來很大的隱患；另一方面，醫(yī)院病沒有制定與信息管理系統(tǒng)密切相關(guān)的制度和措施，導(dǎo)致在系統(tǒng)管理方面缺乏嚴謹性與可靠性，加上缺乏先進的技術(shù)支撐，在系統(tǒng)的安全維護方面相對薄弱，影響了系統(tǒng)的運行安全。

二、醫(yī)院信息管理系統(tǒng)安全風(fēng)險的應(yīng)對策略

（一）提高系統(tǒng)安全意識

只有意識到了信息管理系統(tǒng)安全的重要性，樹立起了相應(yīng)的系統(tǒng)安全意識，才能夠真正確保風(fēng)險防范措施的有效落實。因此，對于醫(yī)院而言，應(yīng)該加強信息系統(tǒng)的安全教育，成立相應(yīng)的安全領(lǐng)導(dǎo)小組，對任務(wù)進行分配和落實，確保其都能夠認識到系統(tǒng)安全的重要性。同時，應(yīng)該制定出切實可行的管理制度，對領(lǐng)導(dǎo)小組和管理團隊的行為進行約束，確保其能夠全身心地投入到各自的工作中去，強化責(zé)任意識。另外，醫(yī)院財政管理部門應(yīng)該設(shè)置專門的系統(tǒng)安全管理資金，對一些影響系統(tǒng)安全的薄弱環(huán)節(jié)進行統(tǒng)計，增大設(shè)備、技術(shù)以及管理方面的資金投入力度，避免由于設(shè)備缺陷、技術(shù)不足以及管理漏洞影響系統(tǒng)安全管理工作的成效。

（二）構(gòu)筑風(fēng)險評估機制

相關(guān)統(tǒng)計數(shù)據(jù)顯示，在醫(yī)院信息管理系統(tǒng)中，多數(shù)安全風(fēng)險都可能會帶來難以估量和彌補的損失，嚴重時甚至可能會間接導(dǎo)致病患的傷亡。而對安全風(fēng)險進行分析，其多數(shù)都是由于沒有能夠及時發(fā)現(xiàn)和排除風(fēng)險因素。對此，醫(yī)院應(yīng)該結(jié)合自身實際，構(gòu)筑相應(yīng)的風(fēng)險評估與檢測機制，及時做好系統(tǒng)檢測工作，發(fā)現(xiàn)其中存在的不足和漏洞，尋找問題的解決策略。對于一些尚未表現(xiàn)出的問題，應(yīng)該通過系統(tǒng)的日常維護管理，發(fā)現(xiàn)其潛在風(fēng)險，做好必要的預(yù)防和規(guī)避措施，盡可能消除其對于醫(yī)院的影響[2]。從機制的落實層面考慮，應(yīng)該設(shè)置完整的安全檢測計劃，安排專門的計劃執(zhí)行人員，成立系統(tǒng)安全管理小組，確保其能夠在醫(yī)院各部門的配合下，對安全檢測計劃進行有效落實，確保各項工作的有序、規(guī)范進行。

（三）選擇可靠硬件設(shè)備

硬件設(shè)備的質(zhì)量在很大程度上關(guān)系著系統(tǒng)的運行安全，要想確保醫(yī)院信息管理系統(tǒng)的安全運行，離開了高穩(wěn)定、高可靠和高性能的硬件設(shè)備的支持是不可能的。對于醫(yī)院而言，應(yīng)該認識到這一點，不能為了縮減資金而使用一些缺乏保障的產(chǎn)品。對于一些關(guān)鍵性設(shè)備，如交換機等，不僅需要確保其可靠性，還必須設(shè)置備用，確保設(shè)備出現(xiàn)突發(fā)性故障時可以迅速替換，保障信息管理系統(tǒng)的正常運行。應(yīng)該做好硬件設(shè)備的維護管理和檢測工作，及時對一些老化的設(shè)備和部件進行更換，對設(shè)備內(nèi)部的積塵進行清理，對設(shè)備運行的環(huán)境進行優(yōu)化，確保硬件設(shè)備的穩(wěn)定可靠運行。

（四）重視數(shù)據(jù)備份管理

數(shù)據(jù)備份在應(yīng)對系統(tǒng)風(fēng)險方面發(fā)揮著非常關(guān)鍵的作用，可以有效減少數(shù)據(jù)丟失對于醫(yī)院運轉(zhuǎn)造成的影響。當前，許多醫(yī)院在數(shù)據(jù)備份上往往只能做到定期備份或者針對某個時點的備份，而無法做到實時備份，這樣并不能有效規(guī)避風(fēng)險。從目前的技術(shù)條件分析，數(shù)據(jù)庫的實時備份包括了硬件同步和軟件同步兩種，可以在同一時刻將數(shù)據(jù)寫在兩個甚至多個不同的位置，從而避免了數(shù)據(jù)的損壞或者丟失。對于系統(tǒng)管理人員而言，應(yīng)該對數(shù)據(jù)庫備份策略做到心中有數(shù)，并在模擬機上進行數(shù)據(jù)恢復(fù)試驗，以確保備份數(shù)據(jù)的有效性。

（五）完善網(wǎng)絡(luò)防護措施

在當前數(shù)字化、網(wǎng)絡(luò)化的環(huán)境下，醫(yī)院信息管理系統(tǒng)面臨著病毒、木馬以及非法入侵的威脅，必須設(shè)置完善的網(wǎng)絡(luò)防護系統(tǒng)。從目前來看，比較有效的防護措施，一是物理隔離，將醫(yī)院信息管理系統(tǒng)運行的網(wǎng)絡(luò)獨立出來，切斷病毒傳播的途徑；二是防毒軟件，減少和預(yù)防病毒的傳播與擴散；三是端口控制，防止設(shè)備非法接入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)遭受攻擊的機率。

三、結(jié)語

醫(yī)院信息管理系統(tǒng)的安全關(guān)系著醫(yī)院的信息安全，也關(guān)系著醫(yī)院自身的運行安全，應(yīng)該得到足夠的重視，做好相應(yīng)的風(fēng)險評估和檢測，及時發(fā)現(xiàn)系統(tǒng)中存在的安全風(fēng)險和風(fēng)險隱患，采取切實有效的預(yù)防和應(yīng)對措施，對風(fēng)險進行規(guī)避和處理，保障醫(yī)院信息管理系統(tǒng)的安全可靠運行。

參考文獻：

[1]陳寧，李成華，李暉，曾永杰.醫(yī)院信息系統(tǒng)安全風(fēng)險規(guī)避管理策略研究[J].電腦知識與技術(shù)，2015，（28）.

第6篇：信息安全風(fēng)險管理范文

[關(guān)鍵詞]檔案管理；信息化；優(yōu)勢；安全風(fēng)險；評估

doi：10.3969/j.issn.1673 - 0194.2015.18.132

[中圖分類號]G270.7 [文獻標識碼]A [文章編號]1673-0194（2015）18-0-01

隨著時代的不斷發(fā)展，信息化建設(shè)成為檔案管理發(fā)展的必然趨勢，對現(xiàn)代檔案管理工作的開展及檔案資源的應(yīng)用有著非常重大的意義。檔案管理信息化是實現(xiàn)檔案管理規(guī)范化、現(xiàn)代化的一大重要途徑，同時也是檔案資源實現(xiàn)共享，得到廣泛應(yīng)用的必然要求。

1 檔案管理信息化的必要性

在當今檔案管理信息量急速增加、種類繁多、信息載體多樣的情況下，傳統(tǒng)的檔案管理模式已與社會信息化發(fā)展相脫節(jié)。這必然要求檔案管理信息化，在滿足時展需要的同時更好地促進檔案管理事業(yè)的發(fā)展，充分實現(xiàn)檔案的功能和價值。檔案管理信息化發(fā)展是檔案發(fā)展的必然要求，當今社會已具備了檔案管理信息化發(fā)展完善的條件，使其發(fā)展成為可能。第一，具備軟硬件基礎(chǔ)。硬件基礎(chǔ)主要體現(xiàn)在各單位的檔案管理部門已具備打印機、復(fù)印件以及掃描儀等高新技術(shù)設(shè)備，另外，對計算機的配置也滿足了檔案管理部門的工作需求。第二，規(guī)范的管理機制。其標準體現(xiàn)在整理、統(tǒng)計、服務(wù)及技術(shù)等多個方面。第三，人們的信息化意識逐漸增強。隨著計算機網(wǎng)絡(luò)技術(shù)在生產(chǎn)生活中的廣泛應(yīng)用，人們的信息化意識逐漸增強，同時人們對信息化相關(guān)設(shè)備技術(shù)的操作能力也已滿足日常生產(chǎn)生活的需要。這為檔案管理信息化的發(fā)展提供了良好的社會環(huán)境和思想環(huán)境，并在一定程度證實了檔案管理信息化建設(shè)的迫切需求。

2 檔案管理信息化的優(yōu)勢

2.1 利于存儲

在檔案管理信息化中，檔案管理不再占用巨大空間，且提高了管理效率，檔案只需儲存在計算機中。同時，也解決了紙質(zhì)檔案在存儲期間的自然損害問題，提高了檔案資料存儲的長期性。經(jīng)過高新技術(shù)進行“原文掃描“后，利于實現(xiàn)“原文”再現(xiàn)。

2.2 便于查詢

在傳統(tǒng)的檔案管理模式中，查詢資料需檔案管理人員自大量的紙質(zhì)信息中，通過肉眼查找。檔案管理信息化徹底改變了這一費時、費力的查詢方式，通過檔案信息管理系統(tǒng)即可實現(xiàn)檔案資料的即時、準確查詢。這大大提高了檔案資料的使用質(zhì)量、精度和效率。

2.3 實現(xiàn)信息共享

檔案管理信息化通過信息網(wǎng)絡(luò)可促進組織、單位內(nèi)部的信息共享，使檔案資源的使用更加快捷，及時滿足組織、單位內(nèi)部對檔案信息的需求。專用的信息技術(shù)，可實現(xiàn)檔案資料的異地遠程管理和使用，最大程度地發(fā)揮了檔案的作用。

2.4 實現(xiàn)檔案的分級管理

在檔案管理信息化中，可通過相應(yīng)的網(wǎng)絡(luò)權(quán)限設(shè)置，規(guī)定使用者的調(diào)閱權(quán)限，實現(xiàn)檔案資料的分級管理，這有利于資料保密。同時，系統(tǒng)查詢記錄可自動記錄調(diào)閱情況，以更好地落實責(zé)任追究制。

2.5 提高工作效率

傳統(tǒng)的檔案管理工作中，檔案的收集、整理、保管以及利用等都需要通過手工勞動實現(xiàn)，這需要花費大量的人力和物力資源。而檔案管理信息化改變了傳統(tǒng)的工作方式，檔案資料經(jīng)微機處理后，實現(xiàn)了按“件”整理歸檔，其整理、保管及利用等環(huán)節(jié)均可在電腦上操作。同時，工作人員的工作由以前的集中工作轉(zhuǎn)變?yōu)榉稚⒐ぷ鳌Ａ硗?，系統(tǒng)中按“件”整理的資料，使得文件的插入變得簡單，便于文件完善?？梢姡瑱n案管理信息化在降低工作人員勞動強度的同時也提高了工作人員的工作效率。

3 檔案管理信息化安全風(fēng)險評估

3.1 檔案管理信息化安全風(fēng)險評估的必要性

檔案管理信息化的優(yōu)勢逐漸體現(xiàn)出來，且其特點鮮明，與社會發(fā)展相協(xié)調(diào)，是現(xiàn)代化發(fā)展的一個重要趨勢。信息化的管理方法，能給人們的生活帶來方便，與此同時，信息的安全問題也引起了人們的注意。在對檔案進行信息化管理的過程中，應(yīng)確保信息的安全性，保證信息傳輸路徑的安全，并確保數(shù)據(jù)的完整性。

3.2 檔案管理信息化安全風(fēng)險評估中的存在的問題

目前檔案管理信息化安全風(fēng)險評估存在的問題主要有以下幾個方面。第一，對信息安全評估不夠重視。各組織、單位的管理層對檔案管理信息化安全評估的重視程度不能與檔案管理信息化安全評估的重要性呈正比，遠遠達不到現(xiàn)階段信息安全的需要。第二，評估技術(shù)人員匱乏。各組織、單位內(nèi)部，對檔案管理信息化安全評估的重視程度不夠，導(dǎo)致安全評估人員的專業(yè)知識及經(jīng)驗嚴重不足，不能滿足其工作需求，甚至相關(guān)部門的檔案管理信息化安全評估形同虛設(shè)。第三，工作流程及技術(shù)標準有待完善。就目前檔案管理信息化安全評估的發(fā)展狀況而言，需要完善其工作流程及相關(guān)的技術(shù)標準。其工作流程和技術(shù)標準要根據(jù)具體環(huán)境及情況而制定，以實現(xiàn)流程和標準的科學(xué)性、合理性。特別是評估中的分析方法如定性分析、定量分析等，需要進一步完善。第四，評估工具有待更新。隨著信息化的不斷推進，其安全問題也日漸暴漏。原有的評估工具已不能滿足現(xiàn)階段解決相關(guān)安全問題的需要。因此，必須加大評估工具的開發(fā)和推廣力度，切實滿足檔案管理信息化安全評估的需求。

4 結(jié) 語

檔案管理信息化是檔案管理隨時展的必然趨勢，其與傳統(tǒng)的檔案管理方式相比有著明顯的優(yōu)勢。同時，檔案管理信息化所具有的信息安全也需引起重視，要積極解決信息化安全評估中的相關(guān)問題，促進安全評估，從而在根本上促進檔案管理信息化的發(fā)展。

主要參考文獻

第7篇：信息安全風(fēng)險管理范文

隨著信息化的不斷推進，信息設(shè)備的使用也變得越來越廣泛，越來越多單位的主營業(yè)務(wù)系統(tǒng)開始基于信息設(shè)備來構(gòu)建，鑒于此，信息設(shè)備及信息系統(tǒng)是否能持續(xù)穩(wěn)定的運行以及承載在這些信息設(shè)備之上的數(shù)據(jù)是否安全成為關(guān)注的熱點問題。目前信息數(shù)據(jù)的主要載體便是各種類型的信息設(shè)備，所以對信息設(shè)備的信息安全防護即是對其包含的信息數(shù)據(jù)的安全防護。隨著信息設(shè)備所面臨的越來越嚴峻的信息安全威脅，如何做好信息設(shè)備的風(fēng)險管理工作是一個值得深入探討的課題。

2信息設(shè)備風(fēng)險管理

2.1信息設(shè)備的風(fēng)險概述

參照信息安全風(fēng)險評估規(guī)范等標準來說，信息設(shè)備信息安全風(fēng)險包含三個要素，即脆弱性、威脅和資產(chǎn)，每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。信息設(shè)備所面臨的信息安全風(fēng)險并非某種單一來源的安全威脅，而是三種要素互相影響、互相關(guān)聯(lián)的某種動態(tài)的平衡關(guān)系，而信息設(shè)備的風(fēng)險管理本質(zhì)上講是對這三種要素造成的安全風(fēng)險程度的可控管理。

2.2信息設(shè)備全生命周期風(fēng)險管理

信息設(shè)備全生命周期風(fēng)險管理包括信息設(shè)備規(guī)劃設(shè)計階段、部署階段、測試階段、運行階段和廢棄階段。規(guī)劃設(shè)計階段應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有模式的作用,包括技術(shù)、管理等方面,并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達到的目標。這個階段,風(fēng)險威脅應(yīng)根據(jù)未來系統(tǒng)的應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進行分析。部署階段是根據(jù)規(guī)劃設(shè)計階段分析的威脅和制定的安全措施,在設(shè)備部署階段應(yīng)進行質(zhì)量控制。測試階段是對已經(jīng)部署完成的信息設(shè)備結(jié)合前期規(guī)劃設(shè)計方案的要求對采購來的信息設(shè)備進行全面的測試，包括基礎(chǔ)測試、功能性測試及安全性測試等。運行階段讓信息設(shè)備穩(wěn)定運行并起到其應(yīng)有的功能。該階段應(yīng)做好設(shè)備監(jiān)控、脆弱性發(fā)現(xiàn)、設(shè)備異常報警、信息設(shè)備日志搜集和分析等工作。廢棄階段存在的風(fēng)險包括未對殘留信息進行適當處理、未對系統(tǒng)組件進行合理的丟棄或更換或未關(guān)閉相關(guān)連接，對于變更的系統(tǒng)，還可能存在新的信息安全風(fēng)險，因為其可能替換了新的系統(tǒng)組件等。

2.3信息設(shè)備風(fēng)險管理體系

傳統(tǒng)的信息安全管理體系主要依據(jù)ISO27001相關(guān)標準搭建,ISO27001標準采用基于風(fēng)險評估的信息安全風(fēng)險管理，具體采用了PDCA模型過程方法來全面、系統(tǒng)、持續(xù)的改進組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統(tǒng)信息安全管理，同時也適用于信息設(shè)備的安全風(fēng)險管理。

2.3.1總體思路

信息設(shè)備風(fēng)險管理總體借鑒PDCA管理模型的相關(guān)理念，將信息安全設(shè)計方案制定、各階段的信息安全風(fēng)險管理實施、各階段信息安全管理檢查、信息安全管理改進，形成一套有效的安全風(fēng)險管理防護方法，對信息設(shè)備進行不同時間階段、不同維度、不同重點的管理，有效防范和控制信息安全風(fēng)險，增強信息安全體系的檢測能力、保護能力，為用戶開展風(fēng)險管理提供全方位的管理思路。

2.3.2風(fēng)險管理模型

融合傳統(tǒng)風(fēng)險管理的PDCA模型，將傳統(tǒng)風(fēng)險管理中動態(tài)模型的思路加以延續(xù)，增強信息設(shè)備狀態(tài)的動態(tài)特性，主要分為四部分：管理規(guī)劃、管理實施、管理檢查、管理改進。管理規(guī)劃：決策層要明確政策、目標、策略、計劃，形成具體的管理規(guī)劃，明確組織風(fēng)險管理的整體目標和方向，確定對信息設(shè)備進行風(fēng)險管理所要達到的目的和狀態(tài)，從而防止后續(xù)制定的風(fēng)險管理規(guī)范和組織與已有的戰(zhàn)略決策、制度、規(guī)范等相違背而導(dǎo)致不可執(zhí)行的問題。管理實施：管理層在深入領(lǐng)會和遵照管理規(guī)劃的指示后深入研究信息設(shè)備各階段所面臨的信息安全風(fēng)險，對信息設(shè)備各環(huán)節(jié)制定詳細的風(fēng)險管理實施規(guī)范和標準，以便具體的業(yè)務(wù)部門、人員等能嚴格按照管理規(guī)劃的計劃和要求來實施風(fēng)險管理規(guī)范。管理檢查：管理檢查作為監(jiān)督信息風(fēng)險管理實施效果的主要手段之一，需要確保管理檢查手段的全面性、科學(xué)性、客觀性，需要覆蓋各個管理階段，客觀而高效的評價風(fēng)險管理實施效果。管理改進：通過歸納總結(jié)前階段管理檢查的工作成果，結(jié)合信息設(shè)備各階段在實施信息風(fēng)險管理中碰到的各類問題，從管理規(guī)劃、管理實施、管理檢查等各階段提出信息風(fēng)險管理改進意見，從而持續(xù)的改進信息設(shè)備各階段的安全風(fēng)險管理體系。

2.3.3風(fēng)險管理體系的構(gòu)建

根據(jù)安全風(fēng)險的特點、信息安全三個關(guān)鍵要素以及信息設(shè)備各階段的特點，我們應(yīng)明確安全風(fēng)險的幾個控制手段，然后有計劃的加強整個信息設(shè)備安全風(fēng)險管理體系的建設(shè)，才有可能最終有效控制信息安全設(shè)備風(fēng)險。首先，根據(jù)企業(yè)所處的環(huán)境，全面準確的評估安全風(fēng)險，并根據(jù)安全風(fēng)險的狀況結(jié)合系統(tǒng)、網(wǎng)絡(luò)層面的安全防御手段有效抵御各種威脅，最終主動降低安全風(fēng)險。要實現(xiàn)對安全風(fēng)險的管理和控制，需要實現(xiàn)完整的風(fēng)險管理流程，具體為發(fā)現(xiàn)安全風(fēng)險，即通過有效的手段確定安全風(fēng)險的資產(chǎn)和區(qū)域、定位安全風(fēng)險存在的區(qū)域、評估安全風(fēng)險，準確高效的評估安全風(fēng)險，了解安全風(fēng)險的大小和實質(zhì)、強制措施降低風(fēng)險，通過管理或強制等安全手段，主動降低安全風(fēng)險、安全防御通過各類系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、防御各類安全威脅、安全問題修補，主動修補存在的各類安全漏洞，全面降低安全風(fēng)險。以上是完整的信息設(shè)備安全風(fēng)險管理流程，對整個信息設(shè)備安全風(fēng)險的管理和控制，這些步驟缺一不可，同時，風(fēng)險管理流程還應(yīng)根據(jù)企業(yè)的具體情況，有不同的實現(xiàn)方式。其次，實現(xiàn)信息設(shè)備風(fēng)險管理的詳細步驟包括：確定信息安全標準和方針、統(tǒng)計信息設(shè)備資產(chǎn)，進行資產(chǎn)識別、檢測信息設(shè)備資產(chǎn)存在的安全漏洞、了解潛在的威脅、分析存在的安全風(fēng)險、通過各種手段如安全防護產(chǎn)品來降低已有的安全風(fēng)險、對信息設(shè)備評估安全效果和影響、對已有信息設(shè)備安全策略進行對比及改進。最后，實現(xiàn)完善的信息設(shè)備安全風(fēng)險管理，還需要有計劃的完善自身的安全風(fēng)險管理體系，制定相應(yīng)的整體安全策略。建立全面的資產(chǎn)管理和風(fēng)險管理體系，整合現(xiàn)有的安全設(shè)備和手段，形成信息設(shè)備成熟完備的動態(tài)安全風(fēng)險管理體系。

3結(jié)束語

第8篇：信息安全風(fēng)險管理范文

關(guān)鍵詞：商業(yè)銀行；電子商務(wù)；風(fēng)險管理

商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等，而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件，超過2004年全年案件數(shù)，商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))－逐漸標準化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。

(一)以事件驅(qū)動的初級階段時期

19世紀70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段，由事件驅(qū)動，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責(zé)、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等，基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一，但是安全風(fēng)險分析還存在不足之處。

(三)安全風(fēng)險管理策略時期

隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次，安全管理策略也演進到安全風(fēng)險管理階段。主要特點如下：

1.安全風(fēng)險管理成為主流趨勢；在安全管理策略的演進過程中，技術(shù)和管理手段綜合統(tǒng)

一、又融入了風(fēng)險管理的分析、防范策略，從而安全管理進入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結(jié)為風(fēng)險管理問題，風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。

2.安全風(fēng)險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》，對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險，在相當程度上取決于采用的信息技術(shù)的先進程度，系統(tǒng)的設(shè)計開發(fā)水平，以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等；銀行依靠傳統(tǒng)的風(fēng)險管理機制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣，監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作，從經(jīng)濟學(xué)的角度出發(fā)分析風(fēng)險，充分衡量保持安全的代價和收益之間的關(guān)系，尋求用最小的代價實現(xiàn)最大的效用，在風(fēng)險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務(wù)安全風(fēng)險管理策略，在全局上缺乏系統(tǒng)論理論的指導(dǎo)，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網(wǎng)絡(luò)。

實踐中被采用的安全風(fēng)險管理策略，以及作為指導(dǎo)意見的規(guī)則規(guī)范，如《信息安全管理實務(wù)準則》(IS017799)、《信息技術(shù)安全性評估準則》(GB／T18336．1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》，盡管提出了比較全面的安全風(fēng)險管理方案，層次上也比較清晰，但是還不足以作為一個風(fēng)險防范系統(tǒng)。實踐中，電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織，電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的。

(二)風(fēng)險分析的模型與方法不成熟，定量分析不足

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年，在風(fēng)險分析的定量技術(shù)上并不成熟；如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時，往往將威脅發(fā)生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別，在操作上易行，但造成了度量的不精確。在進行監(jiān)控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合

本質(zhì)上，電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變，以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險；現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題，站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次；忽略了風(fēng)險的整體性，只進行偏信息和技術(shù)的研究，導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制，兩個方面存在脫節(jié)，同樣屬于商業(yè)銀行的風(fēng)險，存在著不同的管理策略，導(dǎo)致多頭管理、資源浪費、機構(gòu)之間的扯皮，乃至缺位管理。

(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達國家，信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規(guī)，風(fēng)險評估工作得到了一定重視，但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門；但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風(fēng)險控制實質(zhì)上仍然分散在各個子部門；風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門；風(fēng)險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險。例如，風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告，表面上履行的內(nèi)控審核的流程，但審核作用有限，無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想，將電子商務(wù)安全風(fēng)險管理策略本身當作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中，經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi)，然后進行監(jiān)控和審計；尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入，從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)，安全風(fēng)險管理的有效性就上一個臺階，商業(yè)銀行的安全管理水平變得到了提高。新晨

(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中，商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定，商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標、損失事件發(fā)生的概率、風(fēng)險損失，巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù)；在度量損失的分布時，主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來，利用現(xiàn)有的度量方法進行精確的風(fēng)險定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇

第9篇：信息安全風(fēng)險管理范文

 

關(guān)鍵詞：商業(yè)銀行；電子商務(wù)；風(fēng)險管理

    商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等，而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件，超過2004年全年案件數(shù)，商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。 

 

一、信息安全管理的歷史演進與現(xiàn)階段的特點 

信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))－逐漸標準化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。 

 

(一)以事件驅(qū)動的初級階段時期 

19世紀70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段，由事件驅(qū)動，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責(zé)、突擊式、事后糾正式的管理方式。 

 

(二)標準化時期 

企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等，基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一，但是安全風(fēng)險分析還存在不足之處。 

 

    (三)安全風(fēng)險管理策略時期 

隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次，安全管理策略也演進到安全風(fēng)險管理階段。主要特點如下： 

1.安全風(fēng)險管理成為主流趨勢；在安全管理策略的演進過程中，技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險管理的分析、防范策略，從而安全管理進入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結(jié)為風(fēng)險管理問題，風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。 

2.安全風(fēng)險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》，對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險，在相當程度上取決于采用的信息技術(shù)的先進程度，系統(tǒng)的設(shè)計開發(fā)水平，以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等；銀行依靠傳統(tǒng)的風(fēng)險管理機制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣，監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。 

4.在許多國家信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作，從經(jīng)濟學(xué)的角度出發(fā)分析風(fēng)險，充分衡量保持安全的代價和收益之間的關(guān)系，尋求用最小的代價實現(xiàn)最大的效用，在風(fēng)險分析中也形成一套較為成熟的模式。 

 

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點 

(一)系統(tǒng)管理思想缺乏 

目前的電子商務(wù)安全風(fēng)險管理策略，在全局上缺乏系統(tǒng)論理論的指導(dǎo)，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網(wǎng)絡(luò)。 

實踐中被采用的安全風(fēng)險管理策略，以及作為指導(dǎo)意見的規(guī)則規(guī)范，如《信息安全管理實務(wù)準則》(IS017799)、《信息技術(shù)安全性評估準則》(GB／T18336．1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》，盡管提出了比較全面的安全風(fēng)險管理方案，層次上也比較清晰，但是還不足以作為一個風(fēng)險防范系統(tǒng)。實踐中，電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織，電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的。 

 

(二)風(fēng)險分析的模型與方法不成熟，定量分析不足 

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年，在風(fēng)險分析的定量技術(shù)上并不成熟；如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時，往往將威脅發(fā)生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別，在操作上易行，但造成了度量的不精確。在進行監(jiān)控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合 

本質(zhì)上，電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變，以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險；現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題，站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次；忽略了風(fēng)險的整體性，只進行偏信息和技術(shù)的研究，導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制，兩個方面存在脫節(jié)，同樣屬于商業(yè)銀行的風(fēng)險，存在著不同的管理策略，導(dǎo)致多頭管理、資源浪費、機構(gòu)之間的扯皮，乃至缺位管理。