银行信息安全风险管理论文

摘要：企业信息系统安全是企业的正常运行的保障。因此，企业应加强信息系统安全的建设。重点是确保企业信息始终处于安全状态。本文主要介绍了钢铁企业信息系统的设计以及信息安全风险管理措施。下面小编整理了一些《银行信息安全风险管理论文 (精选3篇)》，仅供参考，希望能够帮助到大家。

银行信息安全风险管理论文 篇1：

商业银行信息资产风险管理：一种风险管理的新视角

摘要：本文首先分析了商业银行信息资产风险管理的概念及其现状，接着结合我国银行市场化和信息化改革的要求，提出了加强我国商业银行信息资产风险管理水平的对策。本文的结论对我国银行如何提高风险管理水平，增强其竞争力有较强的指导意义。

关键词：商业银行;信息资产;风险管理

文献标识码：A

一、银行信息资产风险管理概念及其现状

银行信息资产，是指银行业金融机构运用信息技术处理业务活动的信息系统及其所产生的生产经营信息、研发和服务能力、管理水平以及其他与信息化相关的各种有形和无形资产。银行信息资产风险。是指信息资产在形成、运用、管理过程中产生的各类风险。在银行业务与信息化高度融合的业务处理系统、信息‘;680987257L;’管理系统和决策支持系统中，存在大量信息资产风险。它不仅涵盖了传统的操作风险、信誉风险，而且还包含了在银行的经营管理过程中，所表现出的许多与信息化相关联的其他类型风险。

商业银行的内控应该以风险管理为中心，尤其是银行信息资产的风险管理。目前虽然各银行都有自己的信息安全主管部门，并作为信息安全的建设者和维护者，对信息安全有着丰富的现场经验与专业经验，但由于他们身兼运动员和裁判员双重身份，所以很难向最高管理层保证信息安全的有效性。因此，建立科学的信息风险监督机制，对加强银行风险管理，确保银行信息系统的安全稳定、持续有效地运行，显得尤为重要。

新巴塞尔协议对商业银行的风险管理提出了更高的要求，即银行业不仅要在宏观管理层面上，有统一的风险管理战略、风险管理政策、风险管理制度、风险管理文化，也要在微观操作层面上，全面考虑包括信用风险、市场风险、操作风险等在内的各种风险管理。风险管理必须逐步应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面，贯穿于业务经营管理的全过程。对于操作风险的管理，直接涉及到对银行信息系统的安全管理，因此，加强操作风险的管理，就必须高度重视银行的信息资产风险管理。

根据新巴塞尔资本协议的精神，世界上已有不少国家的监管当局已经开始探索银行信息资产风险监管的新方法，我国也不例外。

在2004年2月出台的银行业监督管理法中明文规定：“要对银行业金融机构运用电子计算机管理业务数据系统进行检查。”这成为银行信息资产风险监督的最初起源。信息风险监督是指对特定环境中的信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等进行监督，进而对其安全性进行风险分析、评估，找出潜在的致命缺陷和易被忽略的问题，为信息系统的安全设计，选择合理的安全产品和安全管理提供可靠的依据。信息风险监督的内容包括信息系统的物理安全、系统安全、网络安全、技术安全保障和安全管理控制五个部分。

2005年初，银监会提出了《银行业信息资产风险监管暂行办法(送审稿)》。从最初的《银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)》，到后来的《银行业金融机构计算机信息风险监管暂行办法》，再到如今的《银行业信息资产风险监管暂行办法(送审稿)》，可以看出，银监会对商业银行信息资产风险管理的监管思路在不断走向成熟和趋向系统化。这既是我国金融业适应金融全球化趋势和新巴塞尔资本协议强调金融风险管理的要求，也是我国金融业迎接跨国银行的竞争，提高核心竞争力的需要。

当前，我国商业银行信息资产存在以下风险：

1.信息系统软硬件本身存在着很大的脆弱性。

一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素，如火灾、水灾、地震、战争等不可抗拒的自然灾难。另一方面表现在由于技术发展的局限和人类的能力限制，面对庞大的操作系统、复杂的应用程序，在设计之初人们不能认识所有的问题，失误和考虑不周在所难免。

2.银行数据传输网络的脆弱性。

随着金融网上业务的拓展，网上银行、移动银行、电子商务等，已成为银行追逐的利润增长点。银行业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全，在公网环境下防止黑客、病毒的破坏，在Internet上保证金融数据的安全采集、安全存储、安全传输和安全处理，将是金融信息系统建设面临的重要挑战。

3.安全技术保障的欠缺。

当前，我国金融业信息安全建设，在整体安全系统、内部网络安全监控与防范的、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面，都有很多不足之处。

4.信息资产的结构和质量存在不足。

目前，我国诸多商业银行大多是国有银行，并且按地区按部门分割现象严重，其信息资产的功能和结构也比较僵化，业务流程不畅，组织结构和风险管理缺乏弹性，快速反应能力不足，不能及时适应竞争环境的变迁和客户需求的变化。

二、实施商业银行信息资产风险管理的措施

1.要有前瞻性的信息资产设计战略。

即首先要建立集中统一的面向业务目标的端到端的信息资产战略及解决方案。其包含的主要内容有：支持业务战略的明确的信息资产战略;以优化的技术方案实现业务功能;弹性的、灵活的信息资产基础设施;信息资产投资计划、信息资产规划和管理。尤其是信息系统的设计要具有超前眼光，能支撑起银行未来的业务发展。因此，总行领导和相关信息资产主管必须具备非凡的洞察力和专业胜任能力，必须明确当前和未来客户的类型及需求特征。

此外，总行应对财务管理信息系统实行统一核算模式，打破原来财务系统按部门或地区分割的模式，总行的信息管理要随时能够反映和监控全行所有部门、所有网点的运营状况。

2.建立适应客户需求变化的信息资产风险管理统一框架。

内容包括风险管理框架的统一设计;风险管理业务及信息技术流程的建立;信用风险管理、资产负债管理、反洗钱及智能预警等信息资产系统的建立和实施。还包括全面支持核心业务能力和全行风险管理、全行单一的客户视图及多渠道整合解决方案;面向服务架构(SOA，Service-or-ientedArchitecture)的信息资产系统设计;提供强大的新产品创新支持等。

在完成信息资产系统基础设施的集中后，商业银行的业务流程整合、业务信息整合、应用整合和业务控管应进一步向总行、省行集中。实施优质资源的整合，提高风险管理的整体经济效果和效率。

3、建立与现代银行治理结构相对接的信息资产日常风险管理规范。

随着银行业务跨地区跨国家的发展和银行客户业务的日趋复杂化。银行承担的责任和风险也日益加大，尤其是信息资产的风险日趋集中，那么有效的内部控制系统和公司治理规范就成为化解银行风险的有效工具。

因此，根据国内外关于银行公司治理的规范要求，建立运行有效的内部控制制度，提高信息透明度和受托责任问责机制。加强常规性的风险管理，是保证银行稳健经营的根本保证。根据IMF发布的公告，内部控制是一套按持续性基础控制组织活动的机制，这些活动来自组织的中心、部门或分部，有效内部控制的关键元素是牢固会计和信息系统的有效运行。并拥有良好的适应性的控制文化。

商业银行信息资产风险管理应根据相关法规的要求，建立有效的激励约束机制，按照股东大会、董事会和监事会等机构的职能和性质，构建多重防御体系，并将风险监控和增强信息透明度相结合，综合运用现场检查、非现场分析与评价、发布规章指引、强化市场约束等手段，提高风险管理水平。

4.设立信息资产风险监控指标。

首先对银行业务过程按照控制规范的要求，进行风险控制点的分解，并设立相应监控指标作为风险预警信号，由系统自动检查和评价，并在状态异常下自动报警。主要指标可分为三类。分别是关键业绩指标KPIs(key perlormance indicators)，过程主管指标POIs(process owner indicators)and风险分析指标RAIs(risk analytical indicators)，这三类指标可持续适用于银行业务微观过程和交易方法，并通过比较银行风险点监控目标与实际指标的差异，来加强信息资产过程控制。

如可将银行信息资产监控过程划分为一体化监督控制、审计跟踪、风险分析和履约事项监控等过程，每个监控过程通过包含信息自动更新的现场知识管理系统实施在线评价和过程审计，以促进银行业务内部规则的沟通和过程变革的管理。

各风险控制点指标由过程监控人采集，并负责进行风险等级划分和报告，风险控制点主管按照事件发生的概率评价各风险程度和预计损失大小，这种信息被及时传递到相关业务决策部门，以帮助银行各级部门提前作好风险防范。

5.加强对信息资产的过程审计和风险验证。

银行可在信息系统当中。对信息资产的各环节设立微处理器进行记录和控制。银行内部审计师使用微处理器的步骤作为审计清单。并评价过程负责人所作的风险自我分析，评估执行的过程，和风险自我分析的准确性。这种方法有利于审计师及时跟踪重大风险和异常状况。提高审计的成本效益比。

如银行的经营风险矩阵可按0到5五级风险矩阵排列，这种风险评级要求有风险因子概率和潜在的损失数量。并按照银行的风险分类调整这些数字，对业务线的风险水平作出估计。一旦按业务线的估计完成，一张风险及其暴露表就生成。按照巴塞尔协议计算的资本分配条款及其风险大小也自动显示出来，这些风险分析及分解方法是重要的审计计划和审计资源分配工具。

银行可将业务处理的广泛文件记录都分解给不同的微处理器。使用这些微处理器作为控制工具的一个前提是这些微处理器的发布都在公司的内部网上。这些微处理器的图示可描绘风险结构中的不同风险，并进行风险预警。

银行信息资产分类指标分别是指关键业绩显示指标、过程主管显示指标和风险分析显著指标。其中关键业绩显示是指有助于战略监督和审计分析评价的宏观指标。如净资产报酬率、毛利率和销售成本率;过程主管显示指标是指在功能绩效中支持过程主管的分析指标，如一段时间单位客户的接待次数，客户、产品交易的总量;风险分析显示指标是对每个具体的局部单元风险的量化，如错误数、微处理器的有效记录数，后台徼处理器在一段时间的差错数。从目前来看，越来越多的银行在信息资产中使用SAP系统和它的关系数据库来进行计量和方便系统监督和例外事项的报告。根据SAP和其他公司系统所得的关键计量指标逐渐出现在为微观过程、交易和战略转移监督服务的指数形式中，例外事项预警也根据精心拟定的协议提供，决定它们是否被传递到下列实体，如过程主管、高管人员、内部审计师或外部审计师。

参考文献：

[1]秦尚民：掌控全成本，构建商业银行盈利能力，中国商业银行经营管理高层论坛，http：//www.sina.com.cn 2005年4月9日，新浪科技

[2]Bell，T.B.，Mars，F.O.，Solomon，I.，and Thomas，H.，Auditing Organizations Through aStrategic-Systems Lens：the KPMG Business Measurement Process，KPMG，Peat Marwick LLP，Montvale，NJ 1997

[3]CICA/AICPA.1999.Continuous Auditing，Reseamh Report.The Canadian Institute of Chartered Accountants，Toronto,0ntario

[4]Secretariat of the Basel Committee on Banking Supervision,Bank for International Settlements，The New Basil Capital Accord，January 2001

[5]Greenstein，M.and Vasarhelyi，M.,“The Electronization of Business Processes，”working paper，July 2001

[6]Vasarhelyi，M.A，and Halper，F.B.“The continuous audit of online systems”，Auditing：A Journal of Practice and Theory，Vol.10，No.1，Spring 1991,110-125

(责任编辑： 姜天鹰)

作者：李寿喜

银行信息安全风险管理论文 篇2：

钢铁企业信息安全风险系统管理研究

摘要：企业信息系统安全是企业的正常运行的保障。因此，企业应加强信息系统安全的建设。重点是确保企业信息始终处于 安全状态。本文主要介绍了钢铁企业信息系统的设计以及信息安全风险管理措施。

关键词：钢铁企业;信息安全;风险管理

前言

企业信息系统的实现不仅要考虑业务处理，还要保证系统的安

全性要求，因此选择三层架构模式实现。既保证基本的事务处理要 求又保证了联机分析处理的要求，同时信息安全的维护成本大大降 低。

1 钢铁企业信息系统

1.1系统功能结构设计

采购管理：包括采购单、采购单查询、退货单、退货单查询四

个子模块。采购单是企业将采购的钢材进行登记入库，采购单查询 对所有的采购单据按不同的方式进行查询。退货单是将客户退货的 钢材进行登记，退货单查询是对所有的退货单据按不同方式进行查 询。

库存管理：包括其他入库单、其他入库单查询、其他出库单、 其他出库单查询、钢材库存控制调拨单、调拨单详细查询子模块。 主要负责除采购之外的入库登记、入库单据的查询、除销售之外的 出库登记、出库单据的查询，同时提供钢材库存上下限的报警及查 询。调拨单依据库存情况，对钢材存储进行流转。

销售管理：包括销售订单、销售订单详细查询、销售单、销售 单详细查询、销售退货单、销售退货单查询子模块。主要负责客户 预订钢材的登记，订单的综合查询、明细查询。如果预订单审核成 功，销售单模块可根据预订单期限自动生成销售单据，同时可进行 钢材销售的登记和查询。销售退货单实现了钢材退货的登记和查询。

配送管理：包括审核发货、发货单查询模块。主要负责钢材出 库审核、发放管理，同时可根据运输车辆，生成发货清单。

财务管理：包括往来账务、现金银行、费用控制、报表管理、 会计基础数据模块。主要负责应收账款、应付账款的查询和管理， 银行进账、出账的查询和管理，其他費用、其他收入的查询和管理， 损益表、资产负债表、预收款单据、记账凭证的登记和管理，会计 科目的维护。

合同管理：包括采购合同、销售合同模块，主要负责合同的维 护和查询。

统计分析：包括账款统计、现金银行统计模块。主要负责应收 账款、应付账款的统计分析和查询功能，以及银行进出账的统计分 析和查询功能。

基础数据：主要负责钢材基础数据管理，客户、客商、部门、 职工、仓库、现金银行、车辆档案管理，以及结算方式、销售方式、 运输方式、发票类型、钢种信息、业务类型、材质、产地等信息的 管理。

系统维护：包括连接设置、权限管理、密码设置等模块。主要 负责应用服务器配置管理，权限的分组设置、用户的权限设置功能 可根据员工的职责进行分组，获取不同功能模块的权限。

1.2数据库设计

数据库是信息管理系统的重要基础。数据库设计的好坏直接影

响信息管理系统的开发以及整个系统的健壮性和运行性能。为了让 数据库系统能满足客户人性化的要求，数据库的设计必须遵循需求 分析、概念结构设计、逻辑结构设计和物理结构设计四个阶段。

钢材管理系统数据库，严格地遵循数据库设计过程，同时使用 ERwin 数据建模工具辅助设计。由于 ERwin 本身严格定义了 IDEF1X 方法论，支持关系数据库Logic/Physical 模型的建立，并可实施正 向工程和逆向工程，大大提高了数据库开发的效率。用户的需求可 能会在某一时刻发生变化，对于需求变化的问题有时候是不可避免 的，那么借助于 ERwin可以帮助开发人员更好地维护数据库。

1.3界面设计

友好的人机接口，可帮助用户更好地体验应用软件所带来的各

项功能。企业钢材管理系统的主界面采用菜单和业务流程按钮相结 合的方法进行设计。流程图按钮对初步接触信息管理系统的用户来 说意义重大，他们通过核心流程图，可以较容易地理解数据的来源 和去向，更好的掌握系统的使用方法，提高工作效率。用户经过身份验证进入系统主界面，依据用户所在分组权限，动态控制可操作 的菜单和按钮。

2 钢铁企业信息安全风险管理方案

2.1准备阶段

信息安全风险管理实施的准备阶段主要包括管理开端的建立、

风险评估以及制定行动方案三个步骤。第一，在管理开端的建立中， 首先要获得企业管理部门与业务部门的支持，并且建立完善的管理 质素，明确参与到管理过程中的工作人员的职责;第二，在风险评 估步骤中，首先，确定风险评估对象的范围，其次，确定评估小组 的成员，并且制定评估方案;最后，对评估小组成员进行与评估方 案有关的培训。在这些准备工作结束后，评估人员就可以开始通过 访谈或调查的形式来确定公司信息资源的具体情况，明确用户对信 息安全的需求。再通过对风险进行识别与分析，发现企业信息系统 中存在的风险。第三，在制定行动方案的步骤中，需要完成保护方 案的制定以及确定风险处理方式两部分工作。通常情况下，保护方 案就是需要企业长期持续执行，能够帮助企业保证自身信息安全的 方案，但不足以满足企业在短期内提高信息安全性的需求。因此， 企业必须对所有控制措施制定相应的处理方式，在短期内解决企业 最需要解决的问题。

2.2部署与执行阶段

行动的部署与执行阶段主要有计划的部署与安全培训两方面工

作组成。第一，行动计划部署。在这个过程中，安全风险管理计划 中的所有措施都必须被执行，需要对具体行动方案进行必要的理解 并执行。首先，要与企业中的员工进行事先沟通，防止在实施中遇 到反对或抵触的情绪。其次，确保被安排到行动计划的员工能够把 握这些工作的优先级。此外，必须制定行动执行保障制度，为计划 执行准备足够的资源，以保证计划顺利执行。第二，安全培训工作 的实施。在企业内部，从事安全风险管理工作的员工有时会将普通 工作人员视为技术人员，显然这种想法是有问题的，并不是企业内 的所有员工都了解信息安全风险管理。所以，我们必须了解企业中 大部分员工知识利用信息系统完成自己的工作任务，信息安全的保 护是需要专业的信息安全人员进行的。所以，企业必须组织安全培 训，通过培训提高员工安全意识，保证他们在信息系统遇到危险时 能够采取一些有效的行动，对系统进行适当的保护。

2.3风险监督检查阶段

在信息安全风险管理团队中，必须组建风险监督小组，在风险

管理的整个过程中对其进行监督与检查，小组应由小组负责人与检 查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全 的实际状态，并且收集信息安全环境变更信息，方便对未来的风险 进行预测。风险监督小组在获得这些信息后，必须及时向风险管理 团队反馈，确保他们能够掌握企业最近的信息安全状态。

2.4风险改进阶段

在这一阶段，我们必须做好以下工作：制定详细的风险改进措

施。风险管理团队需要根据企业的信息安全状态制定详细的风险改 进措施。通过对监督检查过程中发现的问题进行分析，可以找出导 致问题产生的原因，制定相应的改进措施并限期完成，检查人员则 要负责对具体的实施情况进行检查。在改进过程中，需要注意的是， 改进措施必须获得最高管理者的批准，特别是关系到整个企业或大 多数部门的改进措施。风险监督小组必须随时跟踪纠正措施实施情 况，验证改进措施的执行是否符合标准。

结束语

既要保证钢铁企业发展相对规范化和完善性的信息安全管理体

系，又要规避安全管理风险，有效解决钢铁企业信息管理问题，全 面提升钢铁企业信息安全管理，使钢铁企业信息安全性和稳定性系 统得以保证，钢铁信息系统可靠性和高效性运行得以实现。

参考文献

[1]黎俊文，乔晓青.基于云计算实现企业信息系统的安全防护[J].保密科学技术，2017(10).

作者：吕斌

银行信息安全风险管理论文 篇3：

细化商业银行操作风险管理的新思路

[摘要]突发事件的攀升及美国次级债的恶化，使操作风险的内部管理和外部监管越来越受到重视。为了加强我国商业银行的操作风险管理，银监会于2007年6月在其网站公布《商业银行操作风险管理指引》，就如何管理、计量操作风险进行阐述，再次说明这是当前银行业风险管理面临的一项重要挑战。本文在分析巴塞尔新资本协议操作风险和实际工作的基础上，提出将信息资产作为商业银行一类特殊产品线，采用信息安全管理体系IS027001完善和细化操作风险管理，以此提升风险管理和内控能力。

[关键词]巴塞尔新资本协议;操作风险管 ;IS027001;信息资产

[作者简介]董红，北京航空航天大学经济管理学院博士生，研究方向为风险管理与决策;(北京100083)

邱菀华，中国光大银行总行风险管理部教授，博士生导师，研究方向为决策、风险与项目管理;

林直友，中国光大银行总行风险管理部业务经理、硕士，研究方向为金融风险管理。(北京100045)

金融业的全面开放和金融服务的管制放松，以及高端化的信息技術，使银行的业务、产品日益多元化，这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大，迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范，加强合规管理。2004年发布的巴塞尔新资本协议，将操作风险正式纳入资本监管范围，并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而，由于操作风险情况复杂，与银行自身的规模、经验、业务特征等密切相关，具有和动态变化等特点。因此，探索适合银行不同类别操作风险特点的管理和计量方法，是一项十分重要而紧迫的课题。

一、操作风险管理的困惑与问题

到目前为止，有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构，国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义，即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型，包括内部欺诈，外部欺诈，雇员活动和工作场所的安全问题，客户、产品和业务活动的安全问题，银行维系经营的实物资产损坏，业务中断和系统故障，执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外，按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理业务、资产管理和零售经纪八大类，并对每一类产品分别规定不同的操作风险资本要求系数，籍以用标准法计算操作风险总体资本要求。

巴塞尔委员会给出了管理操作风险的十大原则，但这些原则都是从宏观角度要求商业银行应该建立什么

样的组织、制度和流程，并未给出管理操作风险的详细方法和手段。实际工作中，我们发现信息资产是商业银行极其重要的一类资产，在信息时代，一个机构要利用其拥有的资产，特别是信息资产来完成其使命，因此，对信息资产的管理关系到该机构能否完成其使命的大事。然而，由于信息资产对IT系统的依赖性很强，绝大部分具有无形化、易变化、易传播的特点，且风险存在于其产生、传递、使用和销毁等各个环节，与一般银行产品相比，具有很大的独特性。所以，我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中，我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求，其管理思想完全符合操作风险的管理原则，并且是在其原则基础上的细化，如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进，等等。可见，ISO27001不仅适用于多数IT软硬件开发等企业，同时也适用于银行、保险等信息化程度较高的金融行业。

因此，我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理，进而按照操作风险管理的总体原则与其他类产品进行融合，最终实现在总体框架要求下对信息资产类操作风险的细化管理。

二、ISO27001简介

ISO/IEC27001源自英国标准协会制定的BS7799，包括两部分内容：BS7799—1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中，BS7799-1被ISO组织吸纳为ISO/IEC17799，BS7799-2升版并转换为国际标准ISO/IEC2700I，它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出组织应遵循的风险评估标准。

信息是一种资产，就像其他重要的业务资产一样，对组织是不可或缺的，需要妥善保护。根据ISO/IEC27001的定义，资产是对组织有价值的任何东西。它能以多种形式存在，如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外，也可包括诸如真实性、可核查性、不可否认性和可靠性等。

1　机密性——信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。

2　完整性——保护资产的准确和完整的特性。

3　可用性——根据授权实体的要求可访问和利用的特性。

企业的业务战略以企业的资产来得以体现，但资产自身不可避免地带有漏洞，我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性，给企业带来风险。信息安全就是要保护信息资产免受威胁的影响，从而确保业务的连续性，缩减业务风险，最大化投资收益并充分把握业务机会。构建信息安全管理体系，就是通过对组织信息资产的风险评估，确定重要信息资产清单以及风险等级，从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理，其对象是组织的信息资产。我们将其作为操作风险管理八大产品线之外的第九类特殊产品线，评估其价值和风险，确定相应的安全需求，并制定安全措施来降低和控制资产的风险。

可见，信息安全风险，是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响，包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中，而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控

制措施来实现目标的，包括策略、过程、程序、组织结构和软硬件功能，他们可以是行政、技术、管理、法律等方面的。IS017799包含了11個管理要项，既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面，也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容，每一部分都针对不同的主体或范围，在这11个管理要项中，它又细分为39个控制目标和133个控制措施。可以说，ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系，可有效防范信息资产风险，从而进一步巩固操作风险的驾驭能力，保证组织核心业务的持续运行。

三、基于风险的信息安全管理体系的构建

信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全，提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型，强调全过程和动态的控制，如图所示。它的设计思路充分体现了“过程方法”的特点，以过程为控制对象，在业务和风险管理过程中控制风险，实现持续改进，并达到监管方要求实现的事前、事中、事后全程控制。

(一)策划并建立信息安全管理体系

1　确定安全方针和范围

信息安全管理体系可覆盖组织的全部或部分，组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围，并使之文件化。另外，要制定ISMS方针和策略，它是指导如何对组织信息资产进行管理的规则，是构建信息安全管理体系的宗旨。它表明了管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。

2　资产的识别和评价

资产管理是实施有效ISMS的基础，也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性，而且有助于预见这些数据在之后风险分析中的重要作用。

资产识别A：为保证资产识别的合理性，建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后，组织应根据资产的重要性形成文件，建立资产清单，包含资产类型、格式、位置、责任人、备份信息和业务价值。

资产评价的目的是确保资产受到相应等级的保护，以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中，资产的重要程度，应根据其所处业务流程的位置，且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时，一方面要考虑资产购买成本，另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时，对业务运营的负面影响程度。

3　风险评估

资产管理和风险评估是相辅相成，紧密相连的。在实际操作过程中，资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此，定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外，组织应建立风险评估文件，解释和说明所选择的风险评估方法，介绍所采用的技术和工具。

(1)威胁识别T：威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。

(2)脆弱性识别V：弱点是资产本身存在的，若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对其严重程度进行评估，为其赋值。

(3)对已有安全控制措施进行确认。

(4)建立风险测量的方法及风险等级评价原则，结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A，v，T)=f[Ia，L(Va，T)]，其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性，L表示威胁利用脆弱性对资产造成安全事件的可能性。

(5)识别并评价风险处理的方法，包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析，区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则，将接受风险。否则，考虑规避风险或转移风险。若无法规避或转移的风险，应采取适当的控制措施，将它降低到可接受水平。

(6)选择控制目标和措施

选择并建立文件化的控制目标和措施，制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上，组织应考虑发展战略、组织文化、人员素质，并特别关注成本与风险的平衡，以满足法律法规及相关方的要求。另外，实施控制措施后仍会有残余风险存在，我们需要密切监视这些风险，防止它诱发新的风险事件。

(7)获得最高管理者的授权批准

风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展)，他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时，组织还应该评估自身对这些风险的承受能力。通过有效的风险评估，组织可以更好地掌握其风险状况和最有效地使用风险管理资源。

(二)实施并运行信息安全管理体系

阐明并实施风险处置计划。在此过程中，组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划，记录并考核培训的效果。通过提高全员的信息安全意识，塑造企业的风险文化，保证意识和控制活动的同步，确保体系的持续有效性和实时性。同时，组织应搜集证据、记录信息安全管理活动，为将来的评审、检查做准备。

(三)监视并评审信息安全管理体系

监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况，如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外，组织应做好记录，并报告影响信息安全管理体系有效性或业绩的所有活动、事件。

(四)改进信息安全管理体系

基于评审结果或其他相关信息，采取纠正和预防措施，以持续改进信息安全管理体系，开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可，并确保达到预期目的。

四、信息资产类操作风险管理的实施建议

ISO27001是文件化的体系，它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起，产生了一个新的管理维度和应用维度。在国际标准化的大潮流下，将基于风险评估的ISO27001体系要求引入业务流程和风险体系，规范现有业务运作，全面提升员工的风险意识和责任，从而有效地降低内部欺诈等各类风险发生的几率，做到从源头防范风险，保护客户信息。

银行风险管理部门在具体实施上述信息资产管理体系过程中，首先，应取得管理层的高度重视和支持，明确各部门及员工的职责，采用自上而下的推进方法，组织和动员全行员工共同参与此项工作，尤其是在资产识别和风险评估阶段，更离不开组织内员工的大力帮助。通过有效的教育和培训，逐步建立和发展信息安全风险管理的文化，提高和强化员工的信息安全风险管理意识与能力。其次，80%的操作风险都是由于有制度却未严格执行而造成的，即使再完善的管理和控制体系都将如同摆设。因此，要加强制度执行的权威性。推行管理问责制，加大风险责任追究;强化激励机制，除业务指标外，将风险指标纳入每一位员工的业绩衡量和薪酬激励;建立风险事件奖励举报制，加强民主监督，引导员工从被动的风险应对转变为积极的风险防范。同时，银行应根据自身业务及管理程序的特点，做好数据收集，建立风险事件管理平台，及时报告、响应、跟踪、分析各类风险事件，最大限度地降低损失。当然，要使这套体系得以有效运转，运用PD-CA的方法加以跟踪管理是至关重要的。

虽然各家银行还在不断探索和完善管理操作风险的有效方法。然而，毋庸置疑的是，由于信息资产在银行业机构中的重要地位，银行对操作风险管理的有效与否将在很大程度上取决于银行对其自身信息资产的风险管理能力。因此，银行必须高度重视和加强对信息资产的风险管理，以全面提高其操作风险的管理水平。本文从细化银行操作风险出发，提出了一种新的管理思路，尝试将信息资产作为商业银行一类特殊产品线，并使用ISO27001标准和方法来强化对信息资产的管理，为全面分析和准确把握操作风险管理体系打下基础。然而，如何在操作风险管理的总体要求框架下将信息资产与另八类产品进行融合，是进一步探讨的内容。

责任编辑　熊一坚

作者：董　红　邱菀华　林直友