銀行信息安全風(fēng)險管理策略探析

邢陳思

摘 要：隨著信息化建設(shè)的不斷深入，金融服務(wù)趨向多樣化，業(yè)務(wù)規(guī)模也在不斷擴(kuò)大，使得信息安全問題日益凸顯。針對病毒感染、黑客入侵等一系列的問題，需要建立信息安全風(fēng)險管理策略來能有效規(guī)模。所以，本文就銀行信息安全分級風(fēng)險管理進(jìn)行探討，希望可以避免對銀行造成不可估量的影響。

關(guān)鍵詞：銀行 信息安全 風(fēng)險管理

中圖分類號：F063 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-9082（2017）11-00-01

互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，使得我們的生活區(qū)域信息化，也就是說生活實現(xiàn)了便捷化，多元化。但是信息安全事故的出現(xiàn)，使得我們無時無刻不處于擔(dān)心自身信息安全的境地下。尤其是在利用互聯(lián)網(wǎng)進(jìn)行交易的時候出現(xiàn)賬號資金安全、信息泄露等問題，這就要求我們不斷的提升安全性，這樣才能降低風(fēng)險。

一、銀行信息安全風(fēng)險分析

對銀行信息安全風(fēng)險進(jìn)行分析，了解到其信息安全風(fēng)險主要包含：第一，組織風(fēng)險。在銀行中未能建立完善的預(yù)警信息戰(zhàn)略風(fēng)險機(jī)制，信息安全風(fēng)險管理還需要進(jìn)一步加強；第二，人員風(fēng)險，銀行信息安全管理人員缺少安全意識，缺少專業(yè)化的風(fēng)險管理人才；第三，政策和過程風(fēng)險。缺少信息安全管理相對應(yīng)的政策，缺少有效的風(fēng)險評估方法，IT監(jiān)控審計有待進(jìn)一步加強；第四，技術(shù)風(fēng)險。主要包含物理環(huán)境與設(shè)備風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、應(yīng)用系統(tǒng)以及系統(tǒng)安全風(fēng)險；第五，外部風(fēng)險。主要包含法律漏洞風(fēng)險、信譽風(fēng)險以及客戶行為分級風(fēng)險[1]。

二、銀行信息安全風(fēng)險管理策略

1.信息安全戰(zhàn)略

在信息安全風(fēng)險管理中，戰(zhàn)略處于管理的首要位置，是指引工作開展的方向。銀行董事會以及高層管理人員應(yīng)當(dāng)重視信息安全戰(zhàn)略的制訂并達(dá)成共識，這樣就能夠確保銀行的決策與業(yè)務(wù)戰(zhàn)略能夠相互的達(dá)成一致。在得到董事會與高層管理人員的審批之后，在制定全行IT戰(zhàn)略規(guī)劃的基礎(chǔ)上，再定期的召開IT風(fēng)險管理工作評估會議。對于銀行而言，信息安全風(fēng)險管理是一大難題，其直接將銀行的風(fēng)險與信息安全相互聯(lián)系起來，這樣就需要利用風(fēng)險管理的理念，通過風(fēng)險識別、控制與評估的方式來開展信息安全的保障工作，這才能為銀行業(yè)相關(guān)業(yè)務(wù)的發(fā)展奠定強大的基礎(chǔ)支撐。

2.信息安全政策和標(biāo)準(zhǔn)體系

信息安全的政策和標(biāo)準(zhǔn)體系是成套的信息安全管理規(guī)定，主要是對信息安全組織、技術(shù)體系以及運作的標(biāo)準(zhǔn)化制度加以指導(dǎo)，其中包含了信息安全政策、管理標(biāo)準(zhǔn)以及安全指南幾個方面。銀行在制定發(fā)展規(guī)劃的信息安全政策的時候，應(yīng)當(dāng)站在銀行業(yè)的高度上，將信息安全工作的方向明確，并且將其作為信息安全大背景下的奮斗目標(biāo)。制定信息安全管理標(biāo)準(zhǔn)，才能確保信息安全政策得以落實，也可以對信息安全工作之中的各個流程加以規(guī)范。制定管理指南，才能確保信息安全保準(zhǔn)得以有效的實施，這才是最好的銀行信息安全標(biāo)準(zhǔn)的詮釋[2]。

3.信息安全組織管理模式

對于銀行高層管理而言，利用深度防御，通過信息安全組織與人員管理模式的有效構(gòu)建，就能實現(xiàn)銀行的信息安全戰(zhàn)略目標(biāo)，并且還需要進(jìn)一步分析：針對每一個員工的主觀信息安全，都需要做好認(rèn)知能力的培養(yǎng)，并且強化安全意識方面的教育；進(jìn)一步完善組織架構(gòu)，明確信息安全之中的組織與角色的具體職責(zé)，所以，針對信息安全管理的風(fēng)險控制，就可以利用多層組織來實現(xiàn)。

4.信息安全管理運作模式

將PDCA模型以及風(fēng)險管理理念作為基礎(chǔ)，構(gòu)建銀行信息安全核心運作模式，這一種管理模式相比傳統(tǒng)模式下的信息安全運行，存在動態(tài)性、參與性以及全局性等諸多優(yōu)勢，這樣就能夠科學(xué)的實現(xiàn)風(fēng)險事件管理的規(guī)劃，同時也能落實預(yù)防理念，管理實施中期的監(jiān)督控制過程，同時也可以監(jiān)督管理周期末期的審核完善目標(biāo)，這樣就能確保風(fēng)險影響得到最大程度的控制。

5.信息安全技術(shù)體系

良好的信息安全技術(shù)才是信息安全得以高效運行的基礎(chǔ)，銀行IT的各個領(lǐng)域都需要滿足信息安全技術(shù)標(biāo)準(zhǔn)的要求，具體包含了網(wǎng)絡(luò)身份認(rèn)證、加密保證、訪問管理、備份措施、審核跟蹤等多個方面。滿足安全標(biāo)準(zhǔn)的技術(shù)，能夠提升信息安全運行，實現(xiàn)安全戰(zhàn)略目標(biāo)。信息安全技術(shù)手段主要是根據(jù)其功能效應(yīng)周期，將其劃分成為預(yù)防保護(hù)、響應(yīng)恢復(fù)以及跟蹤監(jiān)測三個類別，如確保網(wǎng)絡(luò)系統(tǒng)訪問身份認(rèn)證以及對訪問權(quán)限的管理，被訪問客體的自身安全加密、對于惡意代碼加固防范等屬于第一類；審核管理的技術(shù)手段、確保訪問的安全性監(jiān)控屬于第二類；確保風(fēng)險事件的快速響應(yīng)、確保信息系統(tǒng)備份措施以及及時恢復(fù)等技術(shù)屬于第三類[3]。

通過上述的分析，我們不難看出，銀行業(yè)采取了大量有效的技術(shù)措施來確保信息安全，但是還缺少一個全局性的信息安全技術(shù)體系的支持。所以，按照銀行業(yè)務(wù)的發(fā)展與更新，通過各種信息技術(shù)手段的綜合優(yōu)化與運用，確保銀行信息系統(tǒng)的安全，最終達(dá)到降低技術(shù)風(fēng)險的目的。針對銀行的信息安全，本文將其保護(hù)手段劃分為七類，具體見圖1所示。為了能夠滿足對銀行信息系統(tǒng)安全訪問的保護(hù)，針對審計與監(jiān)控訪問全過程，還需要做好意外事件的數(shù)據(jù)備份處理，這樣才能夠針對應(yīng)急事件做好及時的響應(yīng)與恢復(fù)。

三、結(jié)語

總而言之，隨著信息技術(shù)的不斷發(fā)展，銀行信息安全對于信息系統(tǒng)的要求也在逐漸提升，因此，在現(xiàn)代銀行的風(fēng)險管理中，我們不能忽視信息安全風(fēng)險管理這一環(huán)節(jié)。只有注重信息安全風(fēng)險管理，才能滿足銀行信息安全管理的整體要求。

參考文獻(xiàn)

[1]張亞杰.中小商業(yè)銀行信息安全風(fēng)險控制探討[J].金融科技時代，2013（12）：67-68.

[2]張良乾.信息系統(tǒng)信息安全風(fēng)險管理方法研究[J].信息通信，2014（12）：158.

[3]尚亞龍.探析銀行信息安全管理體系建設(shè)[J].電子世界，2014（14）：262-263.endprint