吴云鹏 对外经济贸易大学

商业银行是金融系统中的重要组成部分，在经济领域中属于无可替代的角色，其发展直接关系国家经济发展方向与水平。商业银行在经营与发展中会遇到许多外界因素、内部问题威胁，导致其信息泄露不再安全，这样的局面势必会影响银行发展进程与稳定经营。对此商业银行需要采取行之有效的方式，针对性应对和处理信息安全问题。运用行之有效的方法规避处理风险，保障银行环境优质与安全。

一、信息安全风险内涵

所谓的信息安全风险说的是信息遭到内部泄漏或是外部窃取，信息被恶意破坏与修改，致使企业蒙受声誉损失、经济损失。风险包括两个维度，第一个维度为风险严重程度，第二个维度为风险发生概率[1]。因硬件设备并不完善，所以企业难以避免信息安全风险。此外企业信息的安全风险具有不确定特征，当然这种不确定往往可以直接评估。信息安全风险是企业无形资产[2]。信息安全风险包括很多种，根据特征划分包括：人员泄露、设备保密性不足、环境风险、网络安全风险、管理不到位。以上五种类型的风险又包括许多子风险。

二、信息安全风险三维模型

信息安全风险的应对，需要从多个角度出发，同时兼顾宏观战略与微观执行要求。从应急准备、监测、分级响应、恢复、根除、总结改进切入[3]。宏观战略方面，需多留意各部门之间的领导关系，必须做到分类、分级管理信息，让信息安全可以落实到个体与实际。隐患和风险的管控，应集中于突发事件的应急管理与处理。应创建高效企业信息安全突发事件响应机制与实施规范。遇到隐患与突发事件，必须详细、及时记录过程与经验教训，完善和修正信息安全应急预案。微观执行角度，则应高效衔接实际时间与应急预案关系。按照实际事件寻找合适应急预案做出及时修正，正确应对与处理企业的信息安全事件。此外应缩短应急的响应时间，减少突发事件引发的企业损失。应急响应和风险管控应做到员工之间、部门之间有序配合[4]。信息安全风险需要对信息安全风险的内涵展开分析，设定问题应对流程。也就是从事件出现开始防控与预警风险，应急响应事件。结束事件问题以后总结经验，记录全过程。包括准备、监测、响应、恢复、根除、总结改进。必须落实实际，将隐患和风险管理放在应急管理首要位置。此外应打造高效突发事件实施规范与响应机制。遇到突发事件与安全隐患，需要详细、及时记录过程与经验，不断完善和修正应急预案。微观执行信息安全风险的时候，需要高效衔接实际时间和应急预案，按照实际事件选用匹配的应急预案，及时修正问题，应对突发事件。必须尽可能减少应急的响应用时，减少突发事件引发的损失。应急响应与风险管理需要员工和部门相互配合，其具有重要意义。

三、现阶段商业银行信息安全风险情况

在市场经济及数字化快速发展的今天，如今的金融市场整体环境开始朝向复杂方向变化。在金融系统中，商业银行有着特殊的地位，属于重要机构。新时期背景下，商业银行所面临的挑战越来越多，复杂程度不断加剧，特别是信息安全，迎来了众多安全挑战，不利于商业银行稳定发展，以及深入金融市场调控。信息安全包含要素非常多，风险类型种类数不胜数，常见包括信息管理片面、信息采集困难、信息丢失与泄露。新时期背景下，信息化、智能化成为管理常态。黑客以及病毒等新时代风险成为影响银行稳定运行的重要因素。引发安全风险的因素非常多，包括人员素质、内控不稳定、体系不完整。对于上述问题，需要商业银行端正思想态度，更新操作方法与工作机制。以打造优质银行环境为前提，全面监控银行发展过程中的各种风险。

四、防控信息安全风险的手段

（一）完善内部管理运行机制

为了消除风险，最重要的工作就是从源头出发，消除安全隐患。处理运营安全风险，需要从内部干预出发，不断完善内控机制，规范信息管理路径，加强内部审核与监督，创造安全信息管理环境，降低风险隐患。对此必须做好信息管理机制的调整和完善研究，明确不同管理人员工作要求、职能范围。应加强思想宣传，使所有人员都能形成责任意识，理解信息安全价值与作用。依靠正确思想引导，约束自身作业理念和方式，确定正确的操作思路。此外商业银行需要成立专门的内控管理部门，确定审计工作要求与职能，围绕当前的信息管理现状，严格审核信息风险、工作人员岗位表现，加强内部监督，打造良好工作氛围与环境，减少内部错误发生概率。

（二）改进信息管理方案优化管理系统

从经验来看，绝大多数信息安全风险的诱因都是人为因素。为减少人为失误引起的管理风险，需要商业银行投入更多的技术与资金，提高信息安全水平。为迎合新时期背景，适应互联网新基准、新形势，商业银行必须主动引入现代化的管理技术与手段。依靠信息技术创建安全系统和结构，赋予支撑系统更广泛的功能与作业体系，实现现代化管理与智能化管理，体现管理工作能效价值，减少人工操作失误引发的安全风险、风险隐患。此外在使用信息技术统计与分析期间，可以运用安全技术和软件发现各种潜藏的隐患与风险，使用特定手段规避风险，降低风险。现代体系的构建，需要商业银行加强风险防护管理，创建与自身发展需求相匹配的防护机制。应用信息化技术与软件，全面发掘和搜集系统内部安全隐患。用软件自带的防护系统，屏蔽处理风险隐患。此外工作人员需要使用现代技术管理信息，提前备份信息，利用不同渠道存储信息。以免因信息泄露，导致数据库被攻击，丢失全部资料。

（三）加强监测与防范力度避免风险危机加剧

商业银行必须加强内部风险监测力度，根据自身发展理念和追求，提前制定合理且完善的防护办法与措施。应按照内部信息管理系统情况，按照过往经验，明确风险类型。此外应以信息安全干预原则，主动引入高效、多元的风险预防办法。例如银行设置秘钥对信息操作系统进行优化，使用信息风险自动识别以及病毒查杀技术，监测管理各种风险内容。此外商业银行有必要提前制定各种风险预处理办法，有效控制风险范围，减少风险影响。

（四）加强人员素质管理

在众多的风险隐患中，大多数隐患的发生都和内部工作人员的素质不足有关。为了减少人员素质安全隐患，商业银行必须重视人员素质建设工作。招聘人员的时候，必须予以信息安全素养考核高度关注，确保引进的工作人员素质能够适应岗位要求，提升人员素质能力和工作专业性。除此之外还要重视工作人员安全防护技能培训，予以安全教育宣传高度重视。应重点培训工作人员的风险管理素质，提高工作人员信息安全操作水平与能力。

五、不同时间段的风险应对方案

（一）应急准备

该阶段往往是银行应对信息安全风险实施时间最久的环节，该环节的工作效果，关系到商业银行能否有效解决突发的信息安全事件。商业银行该环节需要认真分析与评估信息资产，了解潜在威胁。对于高发生概率且影响严重的风险需要提前制定应急预案和预警防控手段。加强员工培训，合理演练风险应对方案，培养安全意识。

（二）泄露监测

商业银行平时必须认真监测与预警，使用物联网智能监测配合人力监测。关键风险需要使用多样化方式。如出现风险爆发前兆需要及时预警，将信息逐级上报至上级领导。

（三）分级响应

必须第一时间做出反应，包括高风险、一般风险、低风险。发生风险时，按照预先设置的预案进行处理响应。

（四）恢复运营

商业银行信息受损之后，立刻使用备份数据恢复系统。之后检查银行运行情况，直到系统恢复正常。已泄露信息需要及时补救，和信息购买方、接受方交涉，截断信息外泄，降低泄露信息价值。

（五）根除泄密源

解决安全问题以后，必须排除技术漏洞，不断完善系统。人为因素引起的问题，需处理有关人员。

（六）总结改进

恢复系统后，总结经验与教训，完善和改进技术，以免发生类似事件。

六、结语

现如今商业银行已经成为了我国经济发展的顶梁柱。商业银行经营过程中，必须给经营实力管理予以高度关注，确保信息安全性与稳定性，提高商业银行经济效益创造能力和收益水平。面对新时期市场经济环境与背景，商业银行需要提高信息风险关注度与重视度，结合自身当前经营管理情况，采取更科学有效的问题解决办法。通过多角度干预，打造安全管理水平与信息环境，以免信息的存储、管理出现问题。有了前面的铺垫，才能提高银行自身管理水平、经营能力。