银行信息安全风险管理策略探析
2017-12-13邢陈思
邢陈思
摘 要:随着信息化建设的不断深入,金融服务趋向多样化,业务规模也在不断扩大,使得信息安全问题日益凸显。针对病毒感染、黑客入侵等一系列的问题,需要建立信息安全风险管理策略来能有效规模。所以,本文就银行信息安全分级风险管理进行探讨,希望可以避免对银行造成不可估量的影响。
关键词:银行 信息安全 风险管理
中图分类号:F063 文献标识码:A 文章编号:1003-9082(2017)11-00-01
互联网技术的不断发展,使得我们的生活区域信息化,也就是说生活实现了便捷化,多元化。但是信息安全事故的出现,使得我们无时无刻不处于担心自身信息安全的境地下。尤其是在利用互联网进行交易的时候出现账号资金安全、信息泄露等问题,这就要求我们不断的提升安全性,这样才能降低风险。
一、银行信息安全风险分析
对银行信息安全风险进行分析,了解到其信息安全风险主要包含:第一,组织风险。在银行中未能建立完善的预警信息战略风险机制,信息安全风险管理还需要进一步加强;第二,人员风险,银行信息安全管理人员缺少安全意识,缺少专业化的风险管理人才;第三,政策和过程风险。缺少信息安全管理相对应的政策,缺少有效的风险评估方法,IT监控审计有待进一步加强;第四,技术风险。主要包含物理环境与设备风险、网络安全风险、应用系统以及系统安全风险;第五,外部风险。主要包含法律漏洞风险、信誉风险以及客户行为分级风险[1]。
二、银行信息安全风险管理策略
1.信息安全战略
在信息安全风险管理中,战略处于管理的首要位置,是指引工作开展的方向。银行董事会以及高层管理人员应当重视信息安全战略的制订并达成共识,这样就能够确保银行的决策与业务战略能夠相互的达成一致。在得到董事会与高层管理人员的审批之后,在制定全行IT战略规划的基础上,再定期的召开IT风险管理工作评估会议。对于银行而言,信息安全风险管理是一大难题,其直接将银行的风险与信息安全相互联系起来,这样就需要利用风险管理的理念,通过风险识别、控制与评估的方式来开展信息安全的保障工作,这才能为银行业相关业务的发展奠定强大的基础支撑。
2.信息安全政策和标准体系
信息安全的政策和标准体系是成套的信息安全管理规定,主要是对信息安全组织、技术体系以及运作的标准化制度加以指导,其中包含了信息安全政策、管理标准以及安全指南几个方面。银行在制定发展规划的信息安全政策的时候,应当站在银行业的高度上,将信息安全工作的方向明确,并且将其作为信息安全大背景下的奋斗目标。制定信息安全管理标准,才能确保信息安全政策得以落实,也可以对信息安全工作之中的各个流程加以规范。制定管理指南,才能确保信息安全保准得以有效的实施,这才是最好的银行信息安全标准的诠释[2]。
3.信息安全组织管理模式
对于银行高层管理而言,利用深度防御,通过信息安全组织与人员管理模式的有效构建,就能实现银行的信息安全战略目标,并且还需要进一步分析:针对每一个员工的主观信息安全,都需要做好认知能力的培养,并且强化安全意识方面的教育;进一步完善组织架构,明确信息安全之中的组织与角色的具体职责,所以,针对信息安全管理的风险控制,就可以利用多层组织来实现。
4.信息安全管理运作模式
将PDCA模型以及风险管理理念作为基础,构建银行信息安全核心运作模式,这一种管理模式相比传统模式下的信息安全运行,存在动态性、参与性以及全局性等诸多优势,这样就能够科学的实现风险事件管理的规划,同时也能落实预防理念,管理实施中期的监督控制过程,同时也可以监督管理周期末期的审核完善目标,这样就能确保风险影响得到最大程度的控制。
5.信息安全技术体系
良好的信息安全技术才是信息安全得以高效运行的基础,银行IT的各个领域都需要满足信息安全技术标准的要求,具体包含了网络身份认证、加密保证、访问管理、备份措施、审核跟踪等多个方面。满足安全标准的技术,能够提升信息安全运行,实现安全战略目标。信息安全技术手段主要是根据其功能效应周期,将其划分成为预防保护、响应恢复以及跟踪监测三个类别,如确保网络系统访问身份认证以及对访问权限的管理,被访问客体的自身安全加密、对于恶意代码加固防范等属于第一类;审核管理的技术手段、确保访问的安全性监控属于第二类;确保风险事件的快速响应、确保信息系统备份措施以及及时恢复等技术属于第三类[3]。
通过上述的分析,我们不难看出,银行业采取了大量有效的技术措施来确保信息安全,但是还缺少一个全局性的信息安全技术体系的支持。所以,按照银行业务的发展与更新,通过各种信息技术手段的综合优化与运用,确保银行信息系统的安全,最终达到降低技术风险的目的。针对银行的信息安全,本文将其保护手段划分为七类,具体见图1所示。为了能够满足对银行信息系统安全访问的保护,针对审计与监控访问全过程,还需要做好意外事件的数据备份处理,这样才能够针对应急事件做好及时的响应与恢复。
三、结语
总而言之,随着信息技术的不断发展,银行信息安全对于信息系统的要求也在逐渐提升,因此,在现代银行的风险管理中,我们不能忽视信息安全风险管理这一环节。只有注重信息安全风险管理,才能满足银行信息安全管理的整体要求。
参考文献
[1]张亚杰.中小商业银行信息安全风险控制探讨[J].金融科技时代,2013(12):67-68.
[2]张良乾.信息系统信息安全风险管理方法研究[J].信息通信,2014(12):158.
[3]尚亚龙.探析银行信息安全管理体系建设[J].电子世界,2014(14):262-263.endprint