商業(yè)銀行信息安全風(fēng)險(xiǎn)管理

蘭州大學(xué)碩士學(xué)位論文A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究姓名：匡景煒申請學(xué)位級別：碩士專業(yè)：工商管理·金融企業(yè)管理指導(dǎo)教師：田中禾20090401MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安令風(fēng)險(xiǎn)管理體系研究中文摘要金融是現(xiàn)代經(jīng)濟(jì)運(yùn)行的核心，商業(yè)銀行是我國金融行業(yè)最為重要的組成部分。從上世紀(jì)90年代起，信息技術(shù)逐步在我國商業(yè)銀行發(fā)揮作用，尤其在21世紀(jì)以來，商業(yè)銀行對信息系統(tǒng)的依賴性越來越強(qiáng)，但信息系統(tǒng)的復(fù)雜性和開放性卻成為了信息安全風(fēng)險(xiǎn)管理的困難所在。隨著我國加入WTO，銀行業(yè)國際化程度越來越高，技術(shù)領(lǐng)先、管理觀念和手段先進(jìn)的外資銀行對我國國內(nèi)商業(yè)銀行形成了進(jìn)一步的挑戰(zhàn)，而國內(nèi)商業(yè)銀行公司治理和IT治理機(jī)制尚不完善，信息安全風(fēng)險(xiǎn)管理體系很不健全，由此帶來的信息安全風(fēng)險(xiǎn)十分突出。因此，開展商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究是一件既有必要又很重要的事情。我國國內(nèi)商業(yè)銀行經(jīng)營同質(zhì)性較高，信息安全風(fēng)險(xiǎn)管理體系通用性較強(qiáng)。因此，本文著重分析了A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的現(xiàn)狀、存在的問題和問題帶來的危害以及問題成因，在借鑒國內(nèi)外信息安全風(fēng)險(xiǎn)管理相關(guān)理論和要求的基礎(chǔ)上，指出了完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的關(guān)鍵點(diǎn)，并就商業(yè)銀行管理的行業(yè)特性提出了IT治理的決策、執(zhí)行和監(jiān)督三權(quán)分立的組織架構(gòu)和管理模式，明確定義了信息安全風(fēng)險(xiǎn)管理的執(zhí)行架構(gòu)；在綜合現(xiàn)有商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的基礎(chǔ)上進(jìn)一步明確了信息安全風(fēng)險(xiǎn)管理的方針、策略和操作規(guī)程，以關(guān)乎商業(yè)銀行信息安全風(fēng)險(xiǎn)管理最為重要的內(nèi)控管理為核心，指出了信息系統(tǒng)哪些地方需要進(jìn)行關(guān)鍵的流程控制和風(fēng)險(xiǎn)點(diǎn)控制和相應(yīng)需采取的控制方法和具體措施；對管理和操作過程中如何識別信息安全所面臨的威脅、系統(tǒng)存在的漏洞、風(fēng)險(xiǎn)管理控制的方法和JxL險(xiǎn)防范的措施進(jìn)行了歸納；為確保業(yè)務(wù)連續(xù)性明確了相關(guān)前提和要求并提出建設(shè)相應(yīng)的應(yīng)急機(jī)制；最后對體系實(shí)施的反饋和修正提出了建議。結(jié)尾部分對本次研究的過程以及研究中存在的不足和難點(diǎn)進(jìn)行了總結(jié)，給未來在進(jìn)一步完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系中解決這些不足和難點(diǎn)提出了一些嘗試性的思路。關(guān)鍵詞：商業(yè)銀行，IT治理，信息安全風(fēng)險(xiǎn)管理體系些蘭垡笙蘭．作者：匡景煒 A市商業(yè)銀行信息安令風(fēng)險(xiǎn)管理體系研究———————————————————————————————————————————一一一一：一．=：：：：=：．：：．：：===：：：：：：=：ABSTRACTFinance pIays the corc role in the modem economic system． Funhe珊ore，Commercialbankisthemostimportantcomponentinournation’sfinancialindustry．Since90s，especjaJly柏erthe215‘century，IThasplayedanimponantr01einournation’scommercialbanks，卸dbothOfthemgetinVolVeddeeplybe坩eeneachotheLHoweVer，thecomplexityand0pennessofinformationsystemisbecomingthekeyissuewhichhastObeconsideredinthefieldofinf0加ationsecurityriskmanagement．AfterChinabecomesthememberOfW1’o，banksarebecomingmoreandmoreintemational．Foreignbanl【sfacilitatedwithadVancedtechnologyandmanagementhaschallenged10calbankswhicharcimpe疵ctinco叩orategoVemance，ITgoVemance，andeVentheframeworkofinfb冊ationsecufityriskmanagement．F0rlocalbanks，theyhaVefacedseriousriskininfo咖ationrisk．Therefore，itisnecessaryandimpoIrtantforresearchingtheinfrastructureofinfomationsecurityriskmanagementofcommercialbank．1nfo冊ationsecurityriskmanagementsystemisrelativelyuniversalbecome0urnation’sbankhashighhomogeneous．Thepaperhasanalyzedthecullrentstatus，deficiencyandtheconsequenceofonecommercialbank’sinfomlationsecurityriskma舳gementsystemBase伽sometheories，standardsandguidance，thepaperhaSpointedoutthekeyissuesofcompletingtheinf0咖atiOnsecurityriskmanagementofcommercialbank，andfurthemorepointedoutthestnlctureandmanagementmodelofITgoVemancedecision，executionandsupeⅣision．ThepaperhasgiVenthedefinitionOfthef}鋤eofinfo啪ationsecurityriskmanagement．Onthebase0fcullrentcommercialbank’sinfo咖ationsecurityriskmanagementinfrastmcture，thepaperhasf虱弘redoutthestrategyandthemethodofexecutionofinfb徹ationsecurityriskmanagement．F0rthepurposeofcommercialbank’sintemalcontrol，thepaperhaspointedoutthecontrolandimproVedmethodforthosekeypoints．Aftertheconclusionofthefinalpu巾oseofinfb冊ationsecurityriskmanagementiscontinuityandthemethodsofdiscemingleakofinfo丌nationsecu“tyriskmanagement，thepaperhasgiVenthesuggestionsoffeedbackandamendment．Intheend，thepaperhassunlmarizedthedeficienciesofthecun．entresearch，andpmposedsometrialideasfbrsolVingthosedeficienciesanddifficuItiesinthecomingresearches．KIeywords：Commercialbank，ITgoVemance，Infbnnationsecurity“sk111anagementsystem原創(chuàng)性聲明本人鄭重聲明：本人所呈交的學(xué)位論文，是在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的成果。學(xué)位論文中凡引用他人已經(jīng)發(fā)表或未發(fā)表的成果、數(shù)據(jù)、觀點(diǎn)等，均已明確注明出處。除文中已經(jīng)注明引用的內(nèi)容外，不包含任何其他個(gè)人或集體己經(jīng)發(fā)表或撰寫過的科研成果。對本文的研究成果做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本聲明的法律責(zé)任由本人承擔(dān)。論文作者簽名： 匣蘭!生： 日 期： 壟QQ魚生壘旦圣Q目關(guān)于學(xué)位論文使用授權(quán)的聲明本人在導(dǎo)師指導(dǎo)下所完成的論文及相關(guān)的職務(wù)作品，知識產(chǎn)權(quán)歸屬蘭州大學(xué)。本人完全了解蘭州大學(xué)有關(guān)保存、使用學(xué)位論文的規(guī)定，同意學(xué)校保存或向國家有關(guān)部門或機(jī)構(gòu)送交論文的紙質(zhì)版和電子版，允許論文被查閱和借閱；本人授權(quán)蘭州大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用任何復(fù)制手段保存和匯編本學(xué)位論文。本人離校后發(fā)表、使用學(xué)位論文或與該論文直接相關(guān)的學(xué)術(shù)論文或成果時(shí)，第一署名單位仍然為蘭州大學(xué)。保密論文在解密后應(yīng)遵守此規(guī)論文作者簽名：匣盟導(dǎo)師簽名 u期：呈噶LL7MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究一、引 言信息安全風(fēng)險(xiǎn)管理是一件比較新的事物，是隨著信息技術(shù)的逐步發(fā)展和應(yīng)用而出現(xiàn)的一門新興應(yīng)用管理學(xué)科，商業(yè)銀行信息安全風(fēng)險(xiǎn)管理是其中的一個(gè)分支。由于商業(yè)銀行是一類經(jīng)營貨幣和風(fēng)險(xiǎn)、行業(yè)特點(diǎn)比較突出的金融企業(yè)，因此，商業(yè)銀行信息安全風(fēng)險(xiǎn)管理有其自身的特點(diǎn)，重點(diǎn)更應(yīng)關(guān)注銀行資金類系統(tǒng)的信息安全和對外服務(wù)類信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，并需要根據(jù)這些重點(diǎn)丌展針對性的研究。從國際國內(nèi)實(shí)際情況看，該學(xué)科研究和應(yīng)用的時(shí)問都不是很長，國外情況相對要好，英美、新加坡、香港等發(fā)達(dá)國家和地區(qū)的商業(yè)銀行監(jiān)督管理部門和商業(yè)銀行本身對信息安全風(fēng)險(xiǎn)管理體系投入研究比較早，應(yīng)用效果也比較理想，而國內(nèi)起步較晚，包括政府管理部門和各行業(yè)、各企業(yè)對信息安全風(fēng)險(xiǎn)管理體系的研究才剛剛丌始，應(yīng)用效果一般，商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的研究起步就更晚，實(shí)際效果離理想有很大距離。從商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系本身來看，由于銀行信息系統(tǒng)涉及業(yè)務(wù)的方方面面，要理清信息安全風(fēng)險(xiǎn)管理的整體脈絡(luò)不是一件很容易的事情，要建立一個(gè)相對完善和應(yīng)用效果突出的信息安全風(fēng)險(xiǎn)管理體系就更為困難，只有付出時(shí)間和投入力量進(jìn)行大量的研究和在應(yīng)用中不斷發(fā)展和完善后，效果才能逐步得到體現(xiàn)。從我國銀行業(yè)實(shí)際情況看，業(yè)務(wù)的發(fā)展日新月異，已完全離不丌信息系統(tǒng)安全、穩(wěn)定和高效的運(yùn)轉(zhuǎn)。一方面，商業(yè)銀行的重要信息資料儲存在各類信息系統(tǒng)中，這些信息資料包括商、業(yè)銀行客戶資料、存貸款數(shù)據(jù)、各類商業(yè)交易信息以及商業(yè)銀行自身用于經(jīng)營管理的各類信息資料。這些信息資料絕大部分是商業(yè)機(jī)密，有些因?yàn)橹袊虡I(yè)銀行普遍帶有的國有性質(zhì)而屬于國家秘密。因此，防止這些信息泄露，確保這些信息安全是十分重要的事情。另一方面，隨著我國商業(yè)銀行信息系統(tǒng)數(shù)據(jù)的大集中，信息安全風(fēng)險(xiǎn)管理不足帶來的運(yùn)行風(fēng)險(xiǎn)已從局部地區(qū)擴(kuò)大到全國范圍。由于商業(yè)銀行計(jì)算機(jī)系統(tǒng)的復(fù)雜性，銀行信息系統(tǒng)重大故障和事故時(shí)有發(fā)生，給企業(yè)(尤其是大型企業(yè))和居民應(yīng)用會融服務(wù)和融通資金帶來了不利影響，也給銀行聲譽(yù)造成了嚴(yán)重?fù)p害。因此，結(jié)合以上方方面面的情況看，開展商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究是一件很有必要和相當(dāng)重要的事情。我國國內(nèi)商業(yè)銀行經(jīng)營同質(zhì)性較高，信息安全風(fēng)險(xiǎn)管理體系通用性較強(qiáng)。因此，以A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理為范圍進(jìn)行研究并不影響體系的普遍性。本文將從A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系現(xiàn)狀入手，針對存在的問題進(jìn)行研究和分析成因并尋找解決的方法。目前國內(nèi)外明確提出信息安全風(fēng)險(xiǎn)管理這一概念的研究文章并不多，更多的是提出了信息安全管理這一概念。信息安全管理和MBA學(xué)位論文作肯：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究信息安全風(fēng)險(xiǎn)管理的最大區(qū)別是后者在強(qiáng)調(diào)“信息安全"的同時(shí)更突出了“風(fēng)險(xiǎn)管理”，這與商業(yè)銀行經(jīng)營風(fēng)險(xiǎn)和著重風(fēng)險(xiǎn)管理的本質(zhì)一脈相承。為此，本文認(rèn)為商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究和應(yīng)用的目標(biāo)是通過完善現(xiàn)代商業(yè)銀行公司治理體制下的IT治理機(jī)制，構(gòu)造一套相對完善的信息安全風(fēng)險(xiǎn)管理方針、策略和操作規(guī)程，從信息安全角度確保銀行以信息系統(tǒng)為核心的信息資產(chǎn)的機(jī)密性、完整性、可用性，從風(fēng)險(xiǎn)管理角度確保信息系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行，及時(shí)發(fā)現(xiàn)針對這些信息及信息系統(tǒng)安全存在的諸多威脅，并采取各種風(fēng)險(xiǎn)管理措施來防范信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)，為商業(yè)銀行各項(xiàng)業(yè)務(wù)的持續(xù)、穩(wěn)定和高速發(fā)展保駕護(hù)航。最根本目標(biāo)是借助這套強(qiáng)大、安全和有效的信息系統(tǒng)支撐平臺和信息安全風(fēng)險(xiǎn)管理體系來支持我國商業(yè)銀行各項(xiàng)業(yè)務(wù)的持續(xù)會融創(chuàng)新，有效應(yīng)對加入wTO五年金融保護(hù)期過后外資銀行給中資銀行所帶來的挑戰(zhàn)，全面促進(jìn)我國商業(yè)銀行的現(xiàn)代化、國際化，實(shí)現(xiàn)國家金融安全和金融改革戰(zhàn)略的跨越式發(fā)展。2MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究二、信息安全風(fēng)險(xiǎn)管理體系相關(guān)理論和要求(一)基本概念商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的基本概念有廣義上和狹義上的劃分，從廣義上說，是指商業(yè)銀行公司治理機(jī)制下的IT治理、信息安全風(fēng)險(xiǎn)管理方針策略和操作規(guī)程、信息安全風(fēng)險(xiǎn)管理的內(nèi)部控制、信息安全風(fēng)險(xiǎn)的控制和防范、業(yè)務(wù)連續(xù)性管理和應(yīng)急機(jī)制建設(shè)、信息安全風(fēng)險(xiǎn)管理體系實(shí)施情況的反饋和體系修正；從狹義上看，商業(yè)銀行信息安全JxL險(xiǎn)管理體系主要指信息安全風(fēng)險(xiǎn)管理方針、策略和操作規(guī)程這一部分。本文定位是廣義上的商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系。(二)相關(guān)理論1、公司治理理論和模式現(xiàn)代企業(yè)公司治理理論的主要表現(xiàn)形式是委托代理理論，其前提是公司的所有權(quán)和經(jīng)營權(quán)的分離。它是20世紀(jì)60年代末70年代初一些經(jīng)濟(jì)學(xué)家深入研究企業(yè)內(nèi)部信息不對稱和激勵(lì)問題發(fā)展起來的。委托代理理論的中心任務(wù)是研究在利益相沖突和信息不對稱的環(huán)境下，委托人如何設(shè)計(jì)最優(yōu)契約激勵(lì)代理人，使得代理人按委托人真實(shí)要求完成委托。從治理形式看，公司治理分英美模式和德同模式，其主要區(qū)別是前者通過市場對公司管理進(jìn)行監(jiān)控，后者是由股東對公司管理進(jìn)行監(jiān)控。從利益追求方式看，公司治理又分股東利益至上治理模式和公司利益相關(guān)者治理模式，前者以追求股東利益最大化為公司經(jīng)營目標(biāo)，后者以追求公司利益相關(guān)者利益共同發(fā)展為公司經(jīng)營目標(biāo)。2、多維權(quán)變環(huán)境理論(theoryof muItiple contingencies)該理論由V．Sambamurthy等人提出。主要研究了環(huán)境因素如何影響IT治理模式的選擇，重點(diǎn)放在信息技術(shù)能力和組織設(shè)計(jì)這一本質(zhì)問題上。V．S硼b硼urthy通過實(shí)證研究得出以下假設(shè)和結(jié)論：(1)處在增強(qiáng)型權(quán)變環(huán)境條件下，組織傾向于采用或集權(quán)或分權(quán)的IT治理模式；(2)處在沖突型權(quán)變環(huán)境條件下，組織傾向于采用聯(lián)邦式的IT治理模式；(3)處在主導(dǎo)型權(quán)變環(huán)境條件下，組織傾向于采用或集權(quán)或分權(quán)的IT治理模式。3MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究3、IT治理安排矩陣＼決策表1治理安排矩陣一用于不同類型決策的治理原掇IT原則11r架構(gòu)IT基礎(chǔ)設(shè)施戰(zhàn)略業(yè)務(wù)應(yīng)用11r投資和優(yōu)原型＼＼需求先權(quán)企業(yè)君主制IT君主制封建制聯(lián)邦制IT艤寡頭制無政府制2003MITSloanSch001CenterforInformationSystemsResearch(CISR)．這個(gè)矩陣的第一行列出了五項(xiàng)相互關(guān)聯(lián)的IT決策。(1)IT原則：闡述IT的商業(yè)應(yīng)用；(2)IT架構(gòu)：定義集成和標(biāo)準(zhǔn)化的要求；(3)IT基礎(chǔ)設(shè)施：決定共享和可提供的服務(wù)；(4)商業(yè)應(yīng)用需求：確定購買或內(nèi)部IT開發(fā)應(yīng)用的商業(yè)需求；(5)IT投資和優(yōu)先權(quán)：選擇資助哪一個(gè)立項(xiàng)以及投入多少資金。這五個(gè)關(guān)鍵決策是彼此相關(guān)的，有效的IT治理必須關(guān)注它們的相關(guān)性。矩陣的第一列列出了IT治理的決策方法。包括：(1)企業(yè)君主制決策：高級管理層擁有決策權(quán)；(2)IT君主制決策：信息技術(shù)部門、專家擁有決策權(quán)；(3)封建制(事業(yè)部領(lǐng)地制)決策：每個(gè)事業(yè)部擁有獨(dú)立的決策權(quán)；(4)聯(lián)邦制決策：公司、部門(包括或不包括信息技術(shù)部門)共同擁有決策權(quán)；(5)無政府狀態(tài)：個(gè)體或小的群體擁有決策權(quán)。彼得·維爾(Peterweill)等人使用資源基礎(chǔ)理論、行為理論以及戰(zhàn)略理論結(jié)合以上矩陣對企業(yè)信息技術(shù)活動中的權(quán)力和責(zé)任的配置以及如何產(chǎn)生所希望的行為(desirablebehavior)進(jìn)行了更為深入的分析。他們認(rèn)為IT治理的關(guān)鍵在于授權(quán)與控制并舉。首先要確定做出以上五個(gè)相互關(guān)聯(lián)的信息技術(shù)決策：然后決定由誰來做出決策；最后要解決如何做出決策和實(shí)施監(jiān)督的問題一一即設(shè)計(jì)和實(shí)施IT治理機(jī)制。該研究認(rèn)為，機(jī)制應(yīng)能夠促成所希望行為的產(chǎn)生。希望的行為是組織信仰和文化的具體化，在每一個(gè)組織中都是不同的。明確所希望行為的產(chǎn)生是有效治理的關(guān)鍵，是行為而不是戰(zhàn)略創(chuàng)造價(jià)值。(三)相關(guān)要求1、0ECD《信息系統(tǒng)安全指南》(1992)該指南旨在提高信息風(fēng)險(xiǎn)意識和安全措施：提供一個(gè)～般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實(shí)踐的制定和實(shí)施，鼓勵(lì)關(guān)心信息系統(tǒng)安全的4MBA學(xué)位論文作存：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究公共和私有部門的合作；促進(jìn)人們對信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)；方便國家間和國際間信息系統(tǒng)的合作、開發(fā)、使用和安全防護(hù)。這個(gè)管理框架包括法律、行動準(zhǔn)則、技術(shù)評估、管理和用戶實(shí)踐以及公眾教育或宣傳活動。2、國際會計(jì)師聯(lián)合會《信息安全管理》(1998)《信息安全管理》強(qiáng)調(diào)信息安全的目標(biāo)是“保護(hù)依靠信息、信息系統(tǒng)和傳送信息的人、通訊設(shè)施的利益不因?yàn)樾畔C(jī)密性、完整性和可用性的故障而遭受損失”。任何組織在滿足下面3條準(zhǔn)則時(shí)可以認(rèn)為達(dá)到信息安全目標(biāo)：數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人(機(jī)密性)、數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改(完整性)、信息系統(tǒng)在需要時(shí)可用和有用(可用性)。3、美國注冊會計(jì)師協(xié)會的IT審計(jì)指南美國注冊會計(jì)師協(xié)會提出的《SysTrustTM系統(tǒng)可靠性原理和準(zhǔn)則》(簡稱SysTrustTM服務(wù)準(zhǔn)則)為注冊會計(jì)師進(jìn)行信息系統(tǒng)審計(jì)提供指南，注冊會計(jì)師從可用性、安全性、完整性和可維護(hù)性4個(gè)基本方面評估和測試系統(tǒng)是否可靠。可用性一系統(tǒng)在服務(wù)水平聲明或協(xié)議規(guī)定的時(shí)間內(nèi)可以運(yùn)行和使用；安全性一確保系統(tǒng)拒絕未經(jīng)授權(quán)的物理或邏輯的訪問：完整性一系統(tǒng)的數(shù)據(jù)處理是完整的、準(zhǔn)確的、及時(shí)的和被授權(quán)的；可維護(hù)性一必要時(shí)能夠升級系統(tǒng)而不影響系統(tǒng)或者不與系統(tǒng)的可用性、安全性和完整性相沖突。4、國際COBIT信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)COBIT(Control 0bjectives for Information and related Techn0109y)是目前國際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)。它以業(yè)務(wù)流程為中心，將IT分成四個(gè)領(lǐng)域(計(jì)劃和組織、獲取和實(shí)施、交付與支持、監(jiān)控)，共計(jì)34個(gè)IT業(yè)務(wù)流程。其中3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：計(jì)劃和組織流程一評估風(fēng)險(xiǎn)；交付和支付流程一確保持續(xù)的IT服務(wù)；監(jiān)控流程一保證系統(tǒng)安全。5、英國BS7799系列標(biāo)準(zhǔn)BS7799雖是英國國家標(biāo)準(zhǔn)，但卻是目前世界上最典型、應(yīng)用最廣泛的信息安全管理標(biāo)準(zhǔn)，它是在英國標(biāo)準(zhǔn)協(xié)會BsI／DISC信息安全管理委員會指導(dǎo)下制定完成的。主要包括Bs7799—1《信息安全管理實(shí)施細(xì)則》和Bs7799—2《信息安全管理體系規(guī)范》。BS7799—1主要包括：信息安全政策、信息安全組織、資產(chǎn)分類和管理、人員安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、系統(tǒng)丌發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、法律符合性等10個(gè)領(lǐng)域的36個(gè)管理目標(biāo)和127個(gè)控制措施。Bs7799—2是基于Bs7799～l《信息安全管理實(shí)施細(xì)則》而產(chǎn)生的，它不是MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究技術(shù)標(biāo)準(zhǔn)而是管理標(biāo)準(zhǔn)，它針對的是信息系統(tǒng)中非技術(shù)性內(nèi)容的管理和控制，它強(qiáng)調(diào)的是均衡管理，符合信息安全的“七分靠管理、三分靠技術(shù)’’的原則，它規(guī)范了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，并規(guī)范了不同組織根據(jù)各自具體需要實(shí)施安全控制措施時(shí)的要求，體系包括：風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理、控制措施和適用條款共4個(gè)階段的內(nèi)容。另外，英國標(biāo)準(zhǔn)協(xié)會BSI／DISC信息安全管理委員會還于2005年推出了BS7799—3《信息安全風(fēng)險(xiǎn)管理指南》。6、IS0／IEC系列標(biāo)準(zhǔn)ISO／IEC系列主要包括ISO／IEC2700l(從英國BS7799—2發(fā)展而來)和ISO／IEC27002(從英國BS7799—1發(fā)展而來)。請參閱前述英國BS7799系列標(biāo)準(zhǔn)規(guī)范的介紹。另外還有：IS0／IEC 27000一基礎(chǔ)和術(shù)語；ISO／IEC27003一信息安全管理體系實(shí)施指南，正在開發(fā)中；IS0／IEC27004一信息安全管理度量和改進(jìn)，正在開發(fā)中；IS0／IEC 27005一信息安全風(fēng)險(xiǎn)管理指南，以2005底英國推出的BS7799—3標(biāo)準(zhǔn)為藍(lán)本。7、國家有關(guān)信息安全管理要求在這里主要是指：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859～1999)》。該準(zhǔn)則規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級，即：第一級：用戶自主保護(hù)級；第二級：系統(tǒng)審計(jì)保護(hù)級；第三級：安全標(biāo)記保護(hù)級；第四級：結(jié)構(gòu)化保護(hù)級；第五級：訪問驗(yàn)證保護(hù)級。8、中國銀監(jiān)會《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》的要求該指引對銀行業(yè)金融機(jī)構(gòu)(包括商業(yè)銀行)在信息系統(tǒng)風(fēng)險(xiǎn)管理中的職責(zé)、總體風(fēng)險(xiǎn)控制、研發(fā)風(fēng)險(xiǎn)控制、運(yùn)行維護(hù)風(fēng)險(xiǎn)控制、外包風(fēng)險(xiǎn)控制、IT審計(jì)方面做出了指引性規(guī)定。6MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究三、A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系現(xiàn)狀(一)A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系基本情況目前A市共有4家國內(nèi)法人商業(yè)銀行，其中三家是全國性銀行，一家是地方性銀行。整體上看，這4家國內(nèi)法人商業(yè)銀行都沒有建立起一套與銀行實(shí)際信息科技發(fā)展水平和銀行業(yè)務(wù)發(fā)展現(xiàn)狀相適應(yīng)的信息安全風(fēng)險(xiǎn)管理體系。根據(jù)廣義的信息安全風(fēng)險(xiǎn)管理體系概念，其中的“信息安全風(fēng)險(xiǎn)管理方針策略和操作規(guī)程’’即指信息安全風(fēng)險(xiǎn)管理制度，而“信息安全風(fēng)險(xiǎn)管理的內(nèi)部控制”、“信息安全風(fēng)險(xiǎn)的控制和防范”、“業(yè)務(wù)連續(xù)性管理和應(yīng)急機(jī)制建設(shè)"、“信息安全風(fēng)險(xiǎn)管理體系實(shí)施情況的反饋和體系修正”這四部分可以概括為信息安全風(fēng)險(xiǎn)管理的實(shí)施。因此，A市現(xiàn)有4家國內(nèi)法人商業(yè)銀行的信息安全風(fēng)險(xiǎn)管理體系可以具體從以下三個(gè)方面反映：1、IT治理情況A市現(xiàn)有4家國內(nèi)法人商業(yè)銀行的IT治理基本上可分為兩類模式，一類是CIO(或技術(shù)總監(jiān))領(lǐng)導(dǎo)的IT治理委員會下科技運(yùn)營和科技開發(fā)分設(shè)的、相對分權(quán)的模式(以下簡稱為分立模式)；另一類就是分管行長直管的信息科技部(包括科技運(yùn)營和科技丌發(fā))單一部門的模式(以下簡稱為集中模式)。無論是分立模式還是集中模式，作為信息安全風(fēng)險(xiǎn)管理的組織機(jī)構(gòu)均未獨(dú)立，一般設(shè)在科技運(yùn)營部(分立模式)或者信息科技部(集中模式)。“分立模式”的IT治理決策通常由CIO(或技術(shù)總監(jiān))領(lǐng)導(dǎo)的IT治理委員會決定或者初步?jīng)Q定后報(bào)銀行高級管理層或董事會審定，IT治理決策的執(zhí)行和監(jiān)督通常由科技運(yùn)營部和科技開發(fā)部承擔(dān)，IT治理委員會也承擔(dān)部分監(jiān)督職能；“集中模式”的IT治理決策通常由信息科技部初步?jīng)Q定然后報(bào)主管行長審定，當(dāng)主管行長不能作出決策判斷時(shí)再報(bào)銀行高級管理層或董事會審定，IT治理決策的執(zhí)行和監(jiān)督通常由信息科技部承擔(dān)，主管行長通常只能發(fā)揮很少的監(jiān)督作用。這兩類模式的信息安全風(fēng)險(xiǎn)管理職能通常只有一個(gè)很小部門的幾個(gè)人來負(fù)責(zé)，作用十分有限。2、信息安全風(fēng)險(xiǎn)管理體系的制度情況A市現(xiàn)有4家國內(nèi)法人商業(yè)銀行中，有3家銀行嘗試引進(jìn)了一些國際信息安全管理標(biāo)準(zhǔn)來構(gòu)建信息安全JxL險(xiǎn)管理制度體系。其中A銀行在被某集團(tuán)收購后，將集團(tuán)原有的信息安全風(fēng)險(xiǎn)管理制度體系拷貝過來，并根據(jù)銀行的實(shí)際進(jìn)行了一些改動。制度框架包括：需求規(guī)范、開發(fā)規(guī)范、項(xiàng)目規(guī)范、通用規(guī)范、基礎(chǔ)架構(gòu)7MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究規(guī)范、運(yùn)營規(guī)范、信息安全規(guī)范和總體流程規(guī)范。從與該銀行接觸中了解到，無論是制度體系管理者還是制度體系實(shí)施者，均對這套制度體系缺乏深刻的了解，對這套制度體系哪些適合銀行，哪些不適合銀行，哪些應(yīng)該修改，哪些應(yīng)該保留，哪些應(yīng)該刪去，哪些是重點(diǎn)以及制度體系該如何實(shí)施，實(shí)施的措施是什么等等均沒有明確的概念，其發(fā)布的制度體系文本中甚至還帶有某集團(tuán)名稱的字樣。由此可見，A銀行引進(jìn)建立的制度體系是十分粗糙的，基本上也就停留在紙面上而己。B銀行和C銀行則是引入了IS027001這一國際信息安全管理標(biāo)準(zhǔn)，并根據(jù)銀行的實(shí)際進(jìn)行了修改而形成自己的信息安全風(fēng)險(xiǎn)管理制度體系。制度框架總體與A銀行差別不大，但在具體細(xì)節(jié)上有所差別。比如，B銀行在引進(jìn)建立的信息安全風(fēng)險(xiǎn)管理制度體系相關(guān)方針、策略和操作規(guī)程與原有信息制度不一致時(shí)，并沒有明確規(guī)定是新的有效還是原先的有效。象新制度體系規(guī)定了信息安全風(fēng)險(xiǎn)管理小組的職責(zé)，但這些職責(zé)明顯與運(yùn)行管理部門的信息安全室職責(zé)重疊，但信息安全管理小組并不是指信息安全室。另外由于B銀行股權(quán)投資者的短期行為，引進(jìn)建立的信息安全風(fēng)險(xiǎn)管理制度體系并沒有按照銀行應(yīng)該具備的信息系統(tǒng)業(yè)務(wù)連續(xù)性要求來規(guī)定備份建設(shè)標(biāo)準(zhǔn)。C銀行則由于原有信息安全風(fēng)險(xiǎn)管理制度總體還不錯(cuò)。因此員工對引入的信息安全風(fēng)險(xiǎn)管理制度體系還需要一段理解和消化的過程。至于D銀行的信息安全風(fēng)險(xiǎn)管理基本上是沿用傳統(tǒng)的行政管理模式，只制定了幾個(gè)項(xiàng)目開發(fā)和科技運(yùn)營方面的管理辦法，還不能說已形成了一套制度體系?？傮w看，A市這4家國內(nèi)法人商業(yè)銀行的信息安全風(fēng)險(xiǎn)管理制度雖然內(nèi)容和形式有所差別，但都涉及了項(xiàng)目需求丌發(fā)制度和項(xiàng)目運(yùn)營管理制度這兩大信息安全風(fēng)險(xiǎn)管理制度核心部分。3、信息安全風(fēng)險(xiǎn)管理體系的實(shí)施情況從A市現(xiàn)有4家國內(nèi)法人商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的實(shí)施情況看，B銀行的信息安全風(fēng)險(xiǎn)管理主要在科技運(yùn)營部門等局部實(shí)施；A銀行和C銀行只是制訂一些信息安全JxL險(xiǎn)管理制度，尚無明確和有效的實(shí)施行動；D銀行則只有非常簡陋的幾項(xiàng)信息安全風(fēng)險(xiǎn)管理?xiàng)l款，就更談不上去有效實(shí)施信息安全風(fēng)險(xiǎn)管理體系了。(二)A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系存在的主要問題1、lT治理模式不統(tǒng)一和lT治理機(jī)制不健全A市四家國內(nèi)法人商業(yè)銀行IT治理模式不統(tǒng)一主要表現(xiàn)為：存在“分立模式”和“集中模式”兩種不同模式。其中“分立模式"也有IT治理管理者是“CIO”和“技術(shù)總監(jiān)”的細(xì)微差別，通常設(shè)置“技術(shù)總監(jiān)”與設(shè)置“CIO”相比不符合8MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究IT治理組織原則。無論是“分立模式”還是“集中模式’’，其IT治理機(jī)制均不健全?！胺至⒛Ｊ健翴T治理機(jī)制不健全主要表現(xiàn)在：擔(dān)任IT治理委員會執(zhí)行主席的C10的決策權(quán)利不足和IT治理委員會的決策功能不強(qiáng)。雖然IT各部門總經(jīng)理和主要業(yè)務(wù)部們總經(jīng)理均是IT治理委員會成員，可以幫助CIO在協(xié)調(diào)業(yè)務(wù)和IT發(fā)展上起到一定作用，但由于CIO只是執(zhí)行主席，IT治理委員會的主席是CE0或者行長，而CE0或者行長又通常只是掛名主席而已，極少參加IT治理委員會的各類會議。因此，實(shí)際上由CIO這個(gè)執(zhí)行主席領(lǐng)導(dǎo)的IT治理委員會所作的各項(xiàng)IT和業(yè)務(wù)協(xié)調(diào)發(fā)展決策還需要提交高級管理層甚至董事會討論決定。在討論決定過程中，C10作為高級管理層成員可以參加高級管理層會議或者列席董事會會議，但問題是重大的IT決策C10只有解釋權(quán)，而沒有最終決策權(quán)。在這些高級管理層或董事會會議上，C10要說服其他管理層成員和董事是十分困難的事情，除非事先已經(jīng)得到董事會主席、CEO或者行長的首肯，否則IT重大決策的出臺總是非常艱難。至于技術(shù)總監(jiān)領(lǐng)導(dǎo)的IT治理模式下的決策效果也相差無己?！凹心Ｊ?下的IT治理機(jī)制不健全主要表現(xiàn)在：業(yè)務(wù)行長主導(dǎo)的IT治理決策效率很低和效果更不理想。由于分管IT部門的行長絕大多數(shù)是只熟悉銀行業(yè)務(wù)的行長，有些甚至是分管后勤、保衛(wèi)的非業(yè)務(wù)行長。因此，IT重大決策的討論和形成就更加困難。IT決策多數(shù)時(shí)候涉及業(yè)務(wù)部門，但只靠IT部門獨(dú)自去同業(yè)務(wù)部門協(xié)調(diào)，那差不多就是一件難以完成的任務(wù)，結(jié)局往往就是IT部門獨(dú)自拍板各種重大IT決策，最多是方案出臺前征求一下各業(yè)務(wù)部門的意見。在征求意見過程中，通常也沒有什么意見反饋，偶爾有反饋的意見，往往又是IT部門不了解、不能接受或技術(shù)上做不到的，整個(gè)決策形成效率極低、效果不佳。如此程序下形成的IT決策方案就算能提交到高級管理層或董事會討論，但被打回或者不批準(zhǔn)的可能性是很大的。就算在分管行長或其他重要領(lǐng)導(dǎo)的極力周旋下，這些IT決策方案能獲得通過，但執(zhí)行起來往往是不切實(shí)際或者根本不能滿足業(yè)務(wù)部門的真正需要。IT治理模式不統(tǒng)一和IT治理機(jī)制不健全帶來的危害將首先反映在決策失靈或決策失誤上。由此，員工工作方向不能得到明確指示而會影響到員工工作積極性，各項(xiàng)IT工作無法取得更大突破；其次會導(dǎo)致信息系統(tǒng)開發(fā)不能如期完成，完成效果也大打折扣，甚至?xí)?dǎo)致信息系統(tǒng)丌發(fā)徹底失敗，使銀行IT投資蒙受巨大損失；再次就是IT決策周期長，可能導(dǎo)致象災(zāi)備系統(tǒng)建設(shè)這類需盡快完成的工作無法及時(shí)落實(shí)。2、體系制度不符合商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的實(shí)際需要A市現(xiàn)有4家國內(nèi)法人商業(yè)銀行的信息安全風(fēng)險(xiǎn)管理制度不符合商業(yè)銀行信9MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究息安全風(fēng)險(xiǎn)管理的實(shí)際需要，主要表現(xiàn)在：一是沒有以商業(yè)銀行資金、賬戶和客戶資料的安全保護(hù)以及系統(tǒng)對外提供服務(wù)的業(yè)務(wù)連續(xù)性保證等這些商業(yè)銀行行業(yè)特性為核心；二是沒有根據(jù)商業(yè)銀行的行業(yè)特性采取針對性很強(qiáng)的內(nèi)部管理流程控制和風(fēng)險(xiǎn)點(diǎn)控制等重點(diǎn)防護(hù)手段；三是沒有系統(tǒng)和全面的信息系統(tǒng)備份制度和和應(yīng)急管理制度；四是沒有完整的信息系統(tǒng)防攻擊和防破壞策略。由此帶來的危害首先反映在銀行信息安全風(fēng)險(xiǎn)管理工作得不到充分重視，無法扭轉(zhuǎn)普遍存在的重建設(shè)輕風(fēng)險(xiǎn)現(xiàn)象；其次就是銀行各類信息系統(tǒng)故障和事故依然不能得到有效控制；再次就是很容易發(fā)生銀行網(wǎng)站被黑、資金被盜和客戶資料被竊等破壞性事件。3、信息安全風(fēng)險(xiǎn)管理體系的實(shí)施效果不佳A市現(xiàn)有4家國內(nèi)法人商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的實(shí)施效果不佳，主要表現(xiàn)在：一是違章違規(guī)操作普遍；二是實(shí)施過程不能得到有效監(jiān)督和檢查；三是實(shí)施結(jié)果不能得到及時(shí)反饋和后評價(jià)。實(shí)施效果不佳所帶來的危害就是制度不能得到有效落實(shí)，各類信息安全風(fēng)險(xiǎn)不能得到有效控制，銀行信息安全風(fēng)險(xiǎn)管理水平長期得不到提高。10MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究四、A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系問題成因A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系問題成因很多，有商業(yè)銀行總體管理水平不足的影響，有IT在商業(yè)銀行地位不高的影響，還有商業(yè)銀行信息安全風(fēng)險(xiǎn)外部監(jiān)管機(jī)制不完善的影響，但最主要和最直接的問題成因還是由IT治理環(huán)境、制度本身復(fù)雜和體系實(shí)施困難所致。受篇幅所限，本文主要針對最主要和最直接的問題成因進(jìn)行分析。從廣義商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系概念所對應(yīng)的范圍看，以商業(yè)銀行公司治理機(jī)制下的IT治理環(huán)境最難把握，以信息安全風(fēng)險(xiǎn)管理制度最為復(fù)雜，以信息安全風(fēng)險(xiǎn)管理的實(shí)施最為困難。就商業(yè)銀行來說，又因其規(guī)模龐大、組織結(jié)構(gòu)復(fù)雜和人員眾多，所以信息安全風(fēng)險(xiǎn)管理體系在商業(yè)銀行的建立和實(shí)施就更加困難。現(xiàn)分三方面成因具體說明如下：(一)IT治理深受商業(yè)銀行中國式行政管理等不良因素影響通常一個(gè)好的IT治理模式需要表現(xiàn)出決策、執(zhí)行和監(jiān)督的三權(quán)分立和彼此牽制，但I(xiàn)T治理模式是否完善、是否成熟還取得于IT治理環(huán)境的好壞。從A市4家國內(nèi)法人商業(yè)銀行的IT治理環(huán)境看，現(xiàn)行治理機(jī)制帶有濃厚的中國式行政管理色彩，象銀行黨委會對同常經(jīng)營的干預(yù)、董事長和行長等一把手大權(quán)獨(dú)攬使董事會和高級管理層集體和民主決策形同虛設(shè)、領(lǐng)導(dǎo)層更換導(dǎo)致經(jīng)營戰(zhàn)略和經(jīng)營方向的隨意改變、監(jiān)事會和獨(dú)立董事發(fā)揮作用有限等因素，均使得現(xiàn)行商業(yè)銀行IT治理模式和機(jī)制深受影響，現(xiàn)代治理所要求的決策、執(zhí)行和監(jiān)督的三權(quán)分立機(jī)制無從建立和發(fā)揮作用，這也是A市4家國內(nèi)法人商業(yè)銀行IT治理模式不統(tǒng)一和IT治理機(jī)制不健全的主要原因。(二)體系制度復(fù)雜且缺乏統(tǒng)一和規(guī)范的行業(yè)標(biāo)準(zhǔn)指導(dǎo)信息安全風(fēng)險(xiǎn)管理體系制度本身內(nèi)容很多，主要包括：安全風(fēng)險(xiǎn)管理方針、安全風(fēng)險(xiǎn)管理組織、信息資產(chǎn)分類、人員安全、實(shí)物與環(huán)境安全、通訊與運(yùn)行安全、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、合規(guī)性等10個(gè)方面的內(nèi)容。這些內(nèi)容的每一項(xiàng)均涉及到商業(yè)銀行的不同業(yè)務(wù)領(lǐng)域、不同管理層級，每一項(xiàng)的每一個(gè)環(huán)節(jié)均充滿了可能存在的威脅和需要防范的JxL險(xiǎn)。以通訊安全為例，商業(yè)銀行分支機(jī)構(gòu)遍布全國各地，總部與各分支機(jī)構(gòu)之I’日J(rèn)離不丌通訊網(wǎng)絡(luò)，而通訊網(wǎng)絡(luò)商業(yè)銀行自身是不能提供的，只能依賴外部服務(wù)商提供。如此，商業(yè)銀行面對的信息安全風(fēng)險(xiǎn)無形中擴(kuò)大了不知多少倍。商業(yè)銀行要大力發(fā)展網(wǎng)上銀行等電子MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究業(yè)務(wù)，就必須連接上充滿犯罪、黑客橫行的因特網(wǎng)，而以商業(yè)銀行單家或幾家來應(yīng)對來自全世界不同國家、不同領(lǐng)域的網(wǎng)絡(luò)犯罪那該是一件多么不容易的事情。由此看，要有效防范如此復(fù)雜的商業(yè)銀行信息安全風(fēng)險(xiǎn)，就需要配套建設(shè)一個(gè)同樣復(fù)雜的商業(yè)銀行信息安全風(fēng)險(xiǎn)管理制度體系。除信息安全風(fēng)險(xiǎn)管理制度本身復(fù)雜外，從國際國內(nèi)看，針對商業(yè)銀行這一經(jīng)營性質(zhì)特別的行業(yè)標(biāo)準(zhǔn)也很缺乏。盡管國際國內(nèi)出臺了許多信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，但這些標(biāo)準(zhǔn)是否完全適合商業(yè)銀行這一專營貨幣、自有資本不到5％的高風(fēng)險(xiǎn)行業(yè)，卻缺乏理論依據(jù)和實(shí)踐檢驗(yàn)。這些標(biāo)準(zhǔn)如何有機(jī)地與商業(yè)銀行各項(xiàng)業(yè)務(wù)管理、信息科技管理相結(jié)合以形成有效的信息安全風(fēng)險(xiǎn)防范屏障，也缺乏全面、深入和持續(xù)的研究和實(shí)踐。正是商業(yè)銀行的行業(yè)特殊性，才顯得相關(guān)信息安全風(fēng)險(xiǎn)管理的行業(yè)標(biāo)準(zhǔn)的缺乏，尤其是在商業(yè)銀行IT治理機(jī)制的合理性、信息安全風(fēng)險(xiǎn)管理措施貫徹的有效性、業(yè)務(wù)連續(xù)性和應(yīng)急機(jī)制如何在成本可控的前提下最大限度地確保商業(yè)銀行不發(fā)生重大事故等方面均沒有統(tǒng)一和有效的行業(yè)標(biāo)準(zhǔn)給予指導(dǎo)。制度復(fù)雜而且又沒有統(tǒng)一和規(guī)范的行業(yè)標(biāo)準(zhǔn)給予指導(dǎo)。因此，要建立一個(gè)適應(yīng)現(xiàn)階段商業(yè)銀行需要的信息安全風(fēng)險(xiǎn)管理制度體系是一件很不容易的事情。缺少合理的制度建設(shè)為基礎(chǔ)，就會從很大程度上影響到整體商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的建立。(三)體系實(shí)施受制于各種困難因素而難以推進(jìn)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的實(shí)施包括：“信息安全風(fēng)險(xiǎn)管理的內(nèi)部控制"、“信息安全風(fēng)險(xiǎn)的控制和防范”、“業(yè)務(wù)連續(xù)性管理和應(yīng)急機(jī)制建設(shè)”、“信息安全風(fēng)險(xiǎn)管理體系實(shí)施情況的反饋和體系修正”這四部分。從每一部分看，要做好均是一件很困難的事情。首先，信息安全風(fēng)險(xiǎn)屬于操作風(fēng)險(xiǎn)范疇，是一件看不見摸不著的東西，要管理和控制好談何容易；其次“控制"和“內(nèi)部控制”均需要人參與，而人是一個(gè)最不容易控制的對象，會因家庭生活壓力和工作壓力而導(dǎo)致情緒、心理等因素變化而變得非理性和不受控制；再次業(yè)務(wù)連續(xù)性管理要體現(xiàn)“連續(xù)’’這一概念，但要知道任何事情要做到“連續(xù)’’而不問斷那該多么困難；第四就是應(yīng)急機(jī)制建設(shè)中的“應(yīng)急’’對象往往是非常難應(yīng)付的重大事故或重大故障，而高科技的IT技術(shù)含量很高，屬于前沿科學(xué)，要避免不發(fā)生重大事故或重大故障又該是多么不容易的事情；第五就是體系實(shí)施情況反饋的通常是信息，但信息是隱蔽而不容易發(fā)現(xiàn)的，信息的傳遞也容易出現(xiàn)偏差而很難百分之百地反饋上來；第六就是體系的修正。修J下對象何為“正”，往往需要到實(shí)踐中去并經(jīng)過12MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究無數(shù)次的反復(fù)檢驗(yàn)才能得到一個(gè)相對『F確的結(jié)果；最后就是商業(yè)銀行規(guī)模龐大、組織結(jié)構(gòu)復(fù)雜和人員眾多，大家知道要在一個(gè)龐大組織中做任何一件事情均是不容易的，何況是要實(shí)施信息安全風(fēng)險(xiǎn)管理這么一件復(fù)雜而又困難的事情呢?？傊?，無論從以上哪個(gè)方面和哪個(gè)角度看，要建設(shè)和實(shí)施商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系都是非常困難的事情，A市4家國內(nèi)法人商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系存在問題也是事出有因。13MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究五、完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的關(guān)鍵完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的關(guān)鍵是要從問題成因入手逐一解決現(xiàn)有體系存在的主要問題。因此，首先是要深入開展IT治理并建設(shè)一套行之有效的IT治理機(jī)制；其次是需根據(jù)商業(yè)銀行的行業(yè)特性理清復(fù)雜的制度體系脈絡(luò)而進(jìn)行制度建設(shè)；再次就是針對導(dǎo)致實(shí)施困難的種種因素開展內(nèi)控機(jī)制建設(shè)、風(fēng)險(xiǎn)管理機(jī)制建設(shè)、業(yè)務(wù)連續(xù)性和應(yīng)急機(jī)制建設(shè)以及體系反饋渠道建設(shè)等?，F(xiàn)具體表述如下：(一)IT治理機(jī)制建設(shè)完善的IT治理機(jī)制是建設(shè)好商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的根本前提，只有深入開展商業(yè)銀行公司治理機(jī)制下的IT治理機(jī)制建設(shè)并建立一套行之有效的IT治理模式，商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系建設(shè)的進(jìn)一步完善才有了保證，沒有合適的組織架構(gòu)，沒有良好的決策機(jī)制、執(zhí)行機(jī)制和監(jiān)督評價(jià)機(jī)制，就不可能建設(shè)完全適合商業(yè)銀行需要的信息安全風(fēng)險(xiǎn)管理體系。因此，要開展IT治理機(jī)制建設(shè)，我們只有在不斷完善公司治理機(jī)制和IT治理環(huán)境的基礎(chǔ)上，盡最大可能提高和保證商業(yè)銀行IT治理機(jī)制運(yùn)行的獨(dú)立性，采取一些具體措施使得IT治理模式與現(xiàn)行IT治理環(huán)境更加融洽，比如：通過建立IT治理委員會、信息安全風(fēng)險(xiǎn)管理委員會(含信息系統(tǒng)應(yīng)急管理職能)等相關(guān)IT管理機(jī)構(gòu)，設(shè)立首席信息技術(shù)官(CIO)和首席信息安全風(fēng)險(xiǎn)官(CISRO)制度，并且首席信息安全風(fēng)險(xiǎn)官(CISRO)和信息安全風(fēng)險(xiǎn)管理委員會直接對董事會下的風(fēng)險(xiǎn)管理委員會負(fù)責(zé)，不受或者少受高級管理層和C10的直接干預(yù)，確保決策機(jī)制、執(zhí)行機(jī)制以及監(jiān)督評價(jià)機(jī)制的有效運(yùn)轉(zhuǎn)，從而在尚需不斷完善的商業(yè)銀行公司治理機(jī)制下，實(shí)現(xiàn)IT治理統(tǒng)一模式下的信息安全風(fēng)險(xiǎn)管理機(jī)制運(yùn)行的相對獨(dú)立性，構(gòu)建相對獨(dú)立和較為完善的IT治理機(jī)制。(二)制度建設(shè)制度建設(shè)是信息安全風(fēng)險(xiǎn)管理體系的基礎(chǔ)，沒有一套成熟和完善的信息安全風(fēng)險(xiǎn)管理制度，就如房屋沒有了地基，體系也就失去了建造和實(shí)施的意義。要建設(shè)一套相對完善的制度體系，必須從商業(yè)銀行的行業(yè)特性出發(fā)，逐步理清復(fù)雜制度體系的脈絡(luò)，通過多方借鑒國際國內(nèi)現(xiàn)有制度體系中的先進(jìn)思想和現(xiàn)有的國際國內(nèi)通用標(biāo)準(zhǔn)和相關(guān)要求，逐步構(gòu)建商業(yè)銀行信息安全風(fēng)險(xiǎn)管理制度體系。目前，14MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究國際上比較成熟的信息安全管理標(biāo)準(zhǔn)是IS0／IEC27000系列。這一標(biāo)準(zhǔn)主要圍繞信息及信息系統(tǒng)的機(jī)密性、完整性和可用性三大原則而制定，國際國內(nèi)其他相關(guān)信息安全風(fēng)險(xiǎn)管理要求也基本上遵循機(jī)密性、完整性和可用性三原則而展開。因此，只有以具體的IS0／IEC27000系列標(biāo)準(zhǔn)為主要借鑒點(diǎn)，并以其他信息安全風(fēng)險(xiǎn)管理要求為補(bǔ)充，在充分考慮商業(yè)銀行這一經(jīng)營貨幣資金的行業(yè)特殊性情況下，不斷提高商業(yè)銀行管理能力和內(nèi)控執(zhí)行能力，注重吸收國際國內(nèi)最前沿信息安全防護(hù)技術(shù)，才能逐步完善現(xiàn)有商業(yè)銀行信息安全風(fēng)險(xiǎn)管理制度體系。(三)內(nèi)部控制機(jī)制建設(shè)任何一家企業(yè)在內(nèi)部管理過程中均要體現(xiàn)“控制”這一理念，商業(yè)銀行作為一類以資金交易為主要業(yè)務(wù)的金融企業(yè)，在內(nèi)部管理中進(jìn)行各種“控制"是十分必要的。在商業(yè)銀行信息安全風(fēng)險(xiǎn)管理實(shí)施過程中，面對種種安全和風(fēng)險(xiǎn)，不注重管理過程中的控制就不可能做到有效的信息安全風(fēng)險(xiǎn)管理和信息安全風(fēng)險(xiǎn)防范。因此，商業(yè)銀行各種管理包括信息安全風(fēng)險(xiǎn)管理最為關(guān)鍵的一環(huán)就是內(nèi)部控制機(jī)制建設(shè)。完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理內(nèi)部控制機(jī)制的核心是進(jìn)行流程控制管理和風(fēng)險(xiǎn)點(diǎn)控制管理，也就是在制度建設(shè)的基礎(chǔ)上，設(shè)置相配套的流程控制程序并嚴(yán)格執(zhí)行，著重發(fā)現(xiàn)所有與信息安全風(fēng)險(xiǎn)密切相關(guān)的風(fēng)險(xiǎn)點(diǎn)并進(jìn)行針對性控制，對違反流程進(jìn)行管理和操作、忽視風(fēng)險(xiǎn)的行為要嚴(yán)格約束，對造成影響的要進(jìn)行必要的處罰，從而確保這套流程控制和風(fēng)險(xiǎn)點(diǎn)控制程序有效運(yùn)轉(zhuǎn)，促使內(nèi)部控制機(jī)制建設(shè)更為完善。(四)風(fēng)險(xiǎn)管理機(jī)制建設(shè)商業(yè)銀行信息安全風(fēng)險(xiǎn)主要因IT基礎(chǔ)平臺管理操作和各項(xiàng)業(yè)務(wù)系統(tǒng)管理操作所面臨的內(nèi)外部威脅而管理不慎所導(dǎo)致。因此，商業(yè)銀行如何識別這些內(nèi)外部威脅、發(fā)現(xiàn)自身存在的脆弱點(diǎn)和防范所引致的信息安全風(fēng)險(xiǎn)，除需要開展內(nèi)部控制機(jī)制建設(shè)外還需要丌展更為全面的風(fēng)險(xiǎn)管理機(jī)制建設(shè)。商業(yè)銀行信息安全風(fēng)險(xiǎn)屬于操作風(fēng)險(xiǎn)范疇，開展全面風(fēng)險(xiǎn)管理和有效防范很不容易。從巴塞爾協(xié)議發(fā)布的有關(guān)操作風(fēng)險(xiǎn)規(guī)定看，是準(zhǔn)備從量化的角度來防范操作風(fēng)險(xiǎn)的。但如何量化操作風(fēng)險(xiǎn)是一項(xiàng)剛剛起步、十分艱難的研究工作，離完成之R還很遙遠(yuǎn)。因此，我們?nèi)娼ㄔO(shè)風(fēng)險(xiǎn)管理機(jī)制和防范信息安全風(fēng)險(xiǎn)的重點(diǎn)應(yīng)放在威脅識別、脆弱點(diǎn)發(fā)現(xiàn)和相應(yīng)的措施彌補(bǔ)以及事后效果檢查等方面。只有如此，才能在現(xiàn)階段將各種信息安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安令風(fēng)險(xiǎn)管理體系研究(五)業(yè)務(wù)連續(xù)性和應(yīng)急機(jī)制建設(shè)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的根本目標(biāo)是提供對外的業(yè)務(wù)連續(xù)性服務(wù)。因此，開展業(yè)務(wù)連續(xù)性和相應(yīng)的應(yīng)急機(jī)制建設(shè)是商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的重頭工作之一?，F(xiàn)代商業(yè)銀行的服務(wù)范圍幾乎是全社會，包括政府、企業(yè)和個(gè)人都可能是商業(yè)銀行的重要客戶，為這些客戶提供不問斷的存款、貸款以及資金匯兌支付等各項(xiàng)基本金融服務(wù)是商業(yè)銀行的主要職能。商業(yè)銀行要切實(shí)履行好這些職能，除開展內(nèi)控機(jī)制建設(shè)和風(fēng)險(xiǎn)管理機(jī)制建設(shè)外，還需要以業(yè)務(wù)連續(xù)性為目標(biāo)，開展各項(xiàng)應(yīng)急機(jī)制建設(shè)，確保計(jì)算機(jī)系統(tǒng)在各種災(zāi)難事故、重大故障發(fā)生時(shí)的安全、穩(wěn)定和不間斷運(yùn)行，從而保證以信息系統(tǒng)為支撐的各項(xiàng)業(yè)務(wù)持續(xù)對外提供服務(wù)?？傊?，只有全面、深入和持續(xù)開展以上幾項(xiàng)建設(shè)工作，再通過建立暢通的體系實(shí)施反饋渠道并不斷修正體系，才能解決A市現(xiàn)有國內(nèi)法人商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系存在的各種問題，最終建成相對完善的商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系。16MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究六、完善A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的對策和措施本文前面指出了完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的關(guān)鍵主要是要進(jìn)一步開展IT治理機(jī)制建設(shè)、制度建設(shè)、內(nèi)部控制機(jī)制建設(shè)、風(fēng)險(xiǎn)管理機(jī)制建設(shè)以及業(yè)務(wù)連續(xù)性和應(yīng)急機(jī)制建設(shè)。因此，筆者在此針對性提出了具體的對策和措施，首先提出通過建立有效的IT治理組織架構(gòu)、高效的IT治理決策模式、有效的執(zhí)行機(jī)制和到位的監(jiān)督評價(jià)機(jī)制來進(jìn)一步完善IT治理機(jī)制；其次提出制定信息安全風(fēng)險(xiǎn)管理方針、策略和建立全面、準(zhǔn)確和操作性強(qiáng)的信息安全風(fēng)險(xiǎn)管理相關(guān)操作規(guī)程以開展制度建設(shè)；再次就是通過指出流程控制和風(fēng)險(xiǎn)點(diǎn)控制的相關(guān)要求并采取確保流程控制和風(fēng)險(xiǎn)點(diǎn)控制有效的具體措施來完善信息安全風(fēng)險(xiǎn)管理的內(nèi)部控制機(jī)制；第四就是通過有效識別各類內(nèi)外部威脅和全面防范信息安全風(fēng)險(xiǎn)來開展風(fēng)險(xiǎn)管理機(jī)制建設(shè)；第五就是通過指出確保業(yè)務(wù)連續(xù)性的前提要求并采取保證應(yīng)急機(jī)制能動性和對外提供高效高質(zhì)服務(wù)的相關(guān)措施來開展業(yè)務(wù)連續(xù)性和應(yīng)急機(jī)制建設(shè)?，F(xiàn)將相關(guān)具體對策和措施分以下五部分給予說明：(一)完善IT組織架構(gòu)以及決策、執(zhí)行和監(jiān)督評價(jià)機(jī)制1、建立有效的IT治理組織架構(gòu)完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系需要建立有效的組織架構(gòu)，主要是建立信息技術(shù)治理委員會領(lǐng)導(dǎo)下的三部門分設(shè)機(jī)制。三部門是指：(1)信息規(guī)劃和信息安全部；(2)科技開發(fā)部；(3)科技運(yùn)營部。信息技術(shù)治理委員會由首席信息技術(shù)官(CIO)擔(dān)任主席，在董事長、CEO或行長的授權(quán)下負(fù)責(zé)協(xié)調(diào)銀行信息及信息技術(shù)工作，其人員構(gòu)成應(yīng)包括：CIO、各業(yè)務(wù)部門分管行領(lǐng)導(dǎo)，以及信息技術(shù)各部門負(fù)責(zé)人；部分分行行長或其代表(輪值)。信息技術(shù)治理委員會的職能應(yīng)該包括：(1)建立信息資源配置、信息系統(tǒng)項(xiàng)目開發(fā)和管理的體系架構(gòu)；(2)審定銀行信息標(biāo)準(zhǔn)、信息系統(tǒng)安全、信息工作流程的規(guī)范及相關(guān)制度；(3)審定支持銀行戰(zhàn)略目標(biāo)的信息科技發(fā)展戰(zhàn)略規(guī)劃；(4)檢查銀行信息資源配置的合理性；(5)參與制定銀行的信息和信息科技預(yù)算和經(jīng)費(fèi)計(jì)劃；(6)審核對信息系統(tǒng)和業(yè)務(wù)產(chǎn)品的丌發(fā)、建設(shè)、運(yùn)行、管理的重要提議；(7)審定與銀行信息系統(tǒng)相關(guān)的信息安全風(fēng)險(xiǎn)管理制度。信息規(guī)劃和信息安全部的主要職能應(yīng)該包括：(1)根據(jù)銀行業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃，協(xié)助信息技術(shù)治理委員會制定銀行信息科技發(fā)展戰(zhàn)略規(guī)劃(含業(yè)務(wù)連續(xù)性管MBA學(xué)位論文作肯：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究理規(guī)劃)和工作計(jì)劃；(2)按照董事會年度預(yù)算，制定和管理銀行信息科技年度預(yù)算；(3)牽頭負(fù)責(zé)信息科技戰(zhàn)略規(guī)劃(含業(yè)務(wù)連續(xù)性管理規(guī)劃)的實(shí)施和監(jiān)督檢查；(4)負(fù)責(zé)科技開發(fā)制度、科技運(yùn)行制度和信息安全風(fēng)險(xiǎn)管理體系等各類信息科技制度制訂；(5)負(fù)責(zé)銀行基礎(chǔ)技術(shù)標(biāo)準(zhǔn)及規(guī)范的制定和實(shí)施；(5)負(fù)責(zé)科技開發(fā)項(xiàng)目和業(yè)務(wù)系統(tǒng)運(yùn)營的組織協(xié)調(diào)和監(jiān)督檢查；(6)對信息安全風(fēng)險(xiǎn)管理實(shí)施情況進(jìn)行監(jiān)督和檢查?？萍奸_發(fā)部的主要職能應(yīng)該包括：(1)根據(jù)銀行信息科技發(fā)展戰(zhàn)略規(guī)劃，制定銀行信息科技丌發(fā)計(jì)劃；(2)負(fù)責(zé)銀行信息科技開發(fā)項(xiàng)目標(biāo)準(zhǔn)、流程及制度實(shí)施細(xì)則的制訂及管理；(3)負(fù)責(zé)銀行信息科技項(xiàng)目開發(fā)的實(shí)施和外包開發(fā)的組織管理和實(shí)施；(4)負(fù)責(zé)銀行信息科技丌發(fā)、應(yīng)用及相關(guān)技術(shù)的咨詢、支持與培訓(xùn)工作；(5)負(fù)責(zé)制定銀行信息科技開發(fā)人員培訓(xùn)計(jì)劃并組織實(shí)施?？萍歼\(yùn)營部的主要職能應(yīng)該包括：(1)規(guī)劃、設(shè)計(jì)、建設(shè)滿足銀行管理與業(yè)務(wù)發(fā)展需求的銀行IT系統(tǒng)基礎(chǔ)設(shè)施；(2)管理、運(yùn)行銀行各類業(yè)務(wù)系統(tǒng)，提供銀行業(yè)務(wù)與管理的信息服務(wù)；(3)監(jiān)控、調(diào)度各類軟、硬件系統(tǒng)和通訊網(wǎng)絡(luò)資源，優(yōu)化生產(chǎn)管理；(4)建立銀行業(yè)務(wù)系統(tǒng)安全生產(chǎn)管理規(guī)范，確保生產(chǎn)系統(tǒng)的安全穩(wěn)定運(yùn)行；(5)提供科技開發(fā)部門所需要的特殊系統(tǒng)服務(wù)；(6)實(shí)施業(yè)務(wù)連續(xù)性管理，建設(shè)并管理災(zāi)難備份中心，保障系統(tǒng)高可用性；(7)對新開發(fā)或購入的硬件、系統(tǒng)軟件、應(yīng)用、工具系統(tǒng)進(jìn)行驗(yàn)收測試，制定、實(shí)施切換方案；(8)管理IT資產(chǎn)，控制生產(chǎn)成本；(9)提供IT系統(tǒng)運(yùn)行維戶及相關(guān)技術(shù)培訓(xùn)。針對信息安全管理風(fēng)險(xiǎn)，在各部門內(nèi)還應(yīng)設(shè)立信息安全風(fēng)險(xiǎn)防控部門、信息安全風(fēng)險(xiǎn)檢查部門。信息安全風(fēng)險(xiǎn)防控部門是指在科技開發(fā)部門設(shè)置的、對科技開發(fā)部門內(nèi)部在項(xiàng)目開發(fā)過程中的信息安全風(fēng)險(xiǎn)進(jìn)行防范和控制的內(nèi)設(shè)機(jī)構(gòu)，以及在科技運(yùn)營部門設(shè)置的，對科技運(yùn)營部門內(nèi)部在同常信息系統(tǒng)運(yùn)營管理中的信息安全風(fēng)險(xiǎn)進(jìn)行防范和控制的內(nèi)設(shè)機(jī)構(gòu)。信息安全風(fēng)險(xiǎn)檢查部門則是指對科技開發(fā)部門、科技運(yùn)營部門在科技開發(fā)和科技運(yùn)營過程中存在的信息安全風(fēng)險(xiǎn)進(jìn)行監(jiān)督檢查的部門外機(jī)構(gòu)一即指信息規(guī)劃和信息安全部的項(xiàng)目管理組織和安全風(fēng)險(xiǎn)檢查組織。2、建立高效的IT治理決策模式從IT治理安排矩陣所提出的決策模式看，比較適合現(xiàn)有商業(yè)銀行實(shí)際的決策模式應(yīng)該是聯(lián)邦制決策。聯(lián)邦制決策是指IT部門與業(yè)務(wù)部門共同協(xié)商決策。在商業(yè)銀行，IT的發(fā)展與業(yè)務(wù)密切相關(guān)，在各重大項(xiàng)目的決策出臺過程中，應(yīng)充分考慮業(yè)務(wù)部門的實(shí)際需要，而不能由IT部門獨(dú)自決定。決策的高效應(yīng)體現(xiàn)在兩方面：一是決策高效率。任何一項(xiàng)IT決策在明確牽頭部門、協(xié)助部門、預(yù)18MBA學(xué)位論文作肯：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究期投入費(fèi)用和預(yù)計(jì)完成時(shí)間的同時(shí)，應(yīng)該配置決策跟蹤督促部門，隨時(shí)關(guān)注決策的進(jìn)展情況；二是決策效果突出。一項(xiàng)IT決策的效果依賴于決策部門和決策人員的業(yè)務(wù)能力、IT能力、判斷能力和決斷能力。因此，IT決策人員應(yīng)是復(fù)合型人才，需要較大程度上掌握各類銀行業(yè)務(wù)知識、適合銀行業(yè)務(wù)的IT知識和較高的綜合思維能力?？傊虡I(yè)銀行IT決策模式應(yīng)該建立在業(yè)務(wù)部門和IT部門以及管理層充分溝通和協(xié)調(diào)融洽的基礎(chǔ)上，決策人員的配備也應(yīng)選拔或著重培養(yǎng)各類復(fù)合型人才。如此，決策的效率和效果才能符合商業(yè)銀行業(yè)務(wù)不斷發(fā)展的實(shí)際需要。3、建立有效的執(zhí)行機(jī)制和到位的監(jiān)督、評價(jià)機(jī)制各項(xiàng)IT決策的實(shí)施是否有效除需要一套正確的決策機(jī)制外，還需要一套確保實(shí)施到位的執(zhí)行機(jī)制、監(jiān)督機(jī)制和實(shí)施后的評價(jià)機(jī)制。執(zhí)行機(jī)制要求信息技術(shù)各部門在制度、紀(jì)律、管理和控制的約束下，嚴(yán)格按照有關(guān)規(guī)定執(zhí)行各種信息安全風(fēng)險(xiǎn)管理方針、策略以及一絲不茍地按照有關(guān)操作規(guī)程進(jìn)行管理和操作，管理和操作過程要體現(xiàn)一種“沒有例外”的理念，不以“特權(quán)”、“人情”、“緊急”。為借口而違反相關(guān)管理制度和操作規(guī)程，重在“執(zhí)行、落實(shí)到位”，不差一分一毫。監(jiān)督機(jī)制包括外部(執(zhí)行主體以外)的監(jiān)督檢查和內(nèi)部(執(zhí)行主體)的自我監(jiān)督與改進(jìn)。外部的監(jiān)督檢查主要包括：信息規(guī)劃和信息安全部對各項(xiàng)同常信息科技實(shí)施工作的監(jiān)督檢查。內(nèi)部(執(zhí)行主體)的自我監(jiān)督與改進(jìn)主要包括：執(zhí)行前的預(yù)評估、執(zhí)行過程中的自我約束、檢查和改善、執(zhí)行后的自我評價(jià)與進(jìn)一步的改進(jìn)。實(shí)施結(jié)束后的評價(jià)機(jī)制包括：銀行內(nèi)部審計(jì)部門的年度審計(jì)、外聘外部審計(jì)機(jī)構(gòu)的年度審計(jì)、銀行監(jiān)管部門的不定期信息科技風(fēng)險(xiǎn)檢查等。(二)明確有關(guān)方針、策略和操作規(guī)程完善A市4家國內(nèi)法人商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系制度，主要應(yīng)參照國內(nèi)外信息安全風(fēng)險(xiǎn)管理等相關(guān)標(biāo)準(zhǔn)和要求，再結(jié)合A市4家國內(nèi)法人商業(yè)銀行業(yè)務(wù)發(fā)展和信息安全風(fēng)險(xiǎn)管理的實(shí)際，制定信息安全風(fēng)險(xiǎn)管理的方針和策略等綱領(lǐng)性文件，并根據(jù)這些綱領(lǐng)性文件進(jìn)一步建立全面、準(zhǔn)確和可操作性強(qiáng)的各項(xiàng)信息安全風(fēng)險(xiǎn)管理操作規(guī)程。在此，明確有關(guān)方針、策略和操作規(guī)程等具體內(nèi)容如下：1、制定信息安全風(fēng)險(xiǎn)管理方針就A市4家國內(nèi)法人商業(yè)銀行來說，信息安全JxL險(xiǎn)管理方針主要應(yīng)包括：(1)成立信息安全風(fēng)險(xiǎn)管理委員會和設(shè)立首席信息安全風(fēng)險(xiǎn)管理官(CISR0)。信息安全風(fēng)險(xiǎn)管理委員會是IT治理委員會下的二級委員會，是負(fù)責(zé)19MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的最高機(jī)構(gòu)，委員會成員由銀行相關(guān)部門的負(fù)責(zé)人和負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的具體人員組成。主要對銀行信息安全風(fēng)險(xiǎn)相關(guān)的重大問題做出決策，并在業(yè)務(wù)上直接對銀行董事會的風(fēng)險(xiǎn)管理委員會負(fù)責(zé)。首席信息安全風(fēng)險(xiǎn)管理官(CISRO)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理委員會的日常管理，業(yè)務(wù)上接受銀行董事會的風(fēng)險(xiǎn)管理委員會領(lǐng)導(dǎo)。(2)制定的信息安全風(fēng)險(xiǎn)管理措施和規(guī)范應(yīng)符合現(xiàn)行法令以及銀行監(jiān)管部門的要求。(3)應(yīng)向員工與第三方用戶講明相關(guān)的信息安全風(fēng)險(xiǎn)管理責(zé)任。(4)機(jī)密性原則下的相關(guān)信息安全風(fēng)險(xiǎn)管理方針：一是根據(jù)信息資產(chǎn)重要程度合理定級，實(shí)施信息安全等級保護(hù)；二是所有員工或第三方用戶必須遵守國家的法律、法規(guī)和銀行的相關(guān)規(guī)定，決不能濫用銀行的信息系統(tǒng)，或是侵犯銀行的版權(quán)和商業(yè)秘密；三是嚴(yán)格控制銀行外的第三方對銀行信息與信息系統(tǒng)的訪問；四是對關(guān)鍵或敏感的信息系統(tǒng)的強(qiáng)制安全保護(hù)，確保物理安全性；五是系統(tǒng)或設(shè)備被處置時(shí)，對系統(tǒng)中的數(shù)據(jù)和設(shè)備中的數(shù)據(jù)要進(jìn)行安全、徹底的刪除；六是必須實(shí)施訪問控制來決定什么人以什么級別可以訪問特定數(shù)據(jù)和信息系統(tǒng)，必須要有可以監(jiān)控并及時(shí)中止非法用戶訪問權(quán)限的程序或手段。(5)完整性原則下的相關(guān)信息安全風(fēng)險(xiǎn)管理方針：一是必須采取有效的措施發(fā)現(xiàn)和預(yù)防計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬等惡意軟件的感染和傳播；二是重要數(shù)據(jù)要根據(jù)需要進(jìn)行備份，并要定期對備份數(shù)據(jù)進(jìn)行測試；三是必須采取安全措施保證網(wǎng)絡(luò)中傳輸以及與外界交流信息的安全性，并與信息分類的要求保持一致；四是必須啟用所有操作系統(tǒng)和應(yīng)用軟件的同志審計(jì)功能，以保證所選擇的安全控制已起作用并可以得到驗(yàn)證，同時(shí)確保針對這些安全控制的審計(jì)功能和應(yīng)急響應(yīng)功能已啟動；五是通過銀行信息系統(tǒng)傳輸?shù)乃秀y行交易都必須記錄，并按照有關(guān)法律法規(guī)以及監(jiān)管要求給予保留及保護(hù)；六是針對信息系統(tǒng)的操作要嚴(yán)格和規(guī)范，避免有意或無意的系統(tǒng)數(shù)據(jù)濫用和誤用風(fēng)險(xiǎn)；七是必須對信息系統(tǒng)等服務(wù)外包進(jìn)行風(fēng)險(xiǎn)管理和防范，對需要丌發(fā)的系統(tǒng)進(jìn)行重要性評估，服務(wù)外包時(shí)應(yīng)考慮監(jiān)管部門的規(guī)范和要求；八是外包或自行開發(fā)的系統(tǒng)應(yīng)充分考慮安全性需求，使用的商業(yè)軟件也必須通過相應(yīng)的安全性評估；九是所有應(yīng)用系統(tǒng)的源代碼和執(zhí)行代碼都必須做好保存和訪問控制；十是所有的系統(tǒng)變更必須經(jīng)過嚴(yán)格的審查和測試，檢查它們是否破壞系統(tǒng)或生產(chǎn)環(huán)境的安全，以確保現(xiàn)有系統(tǒng)的安全和穩(wěn)定。(6)可用性原則下的相關(guān)信息安全風(fēng)險(xiǎn)管理方針：一是要對重要信息系統(tǒng)實(shí)施業(yè)務(wù)連續(xù)性管理，預(yù)防因業(yè)務(wù)活動中斷而導(dǎo)致的系統(tǒng)服務(wù)中斷的風(fēng)險(xiǎn)，保證重要業(yè)務(wù)不受故障和災(zāi)難的影響；二是應(yīng)按照可以接受的風(fēng)險(xiǎn)水平對操作系統(tǒng)、MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究網(wǎng)絡(luò)和應(yīng)用軟件進(jìn)行維護(hù)，以提高系統(tǒng)的可靠性和可用性，并降低系統(tǒng)的脆弱性；三是要對信息系統(tǒng)進(jìn)行階段性的風(fēng)險(xiǎn)評估，以判斷現(xiàn)有安全措施是否能充分有效地確保系統(tǒng)的可用性，是否需要增加其他的安全措施。(7)信息安全風(fēng)險(xiǎn)管理方針每年由銀行信息安全風(fēng)險(xiǎn)管理委員會進(jìn)行評審和更新。2、制定信息安全風(fēng)險(xiǎn)管理策略在信息安全風(fēng)險(xiǎn)管理的總體方針指導(dǎo)下，商業(yè)銀行應(yīng)進(jìn)一步制定信息安全風(fēng)險(xiǎn)管理的具體策略。其重點(diǎn)：一是各項(xiàng)管理和操作中的信息安全風(fēng)險(xiǎn)管理；二是信息安全保密，實(shí)行嚴(yán)格的訪問控制機(jī)制；三是系統(tǒng)業(yè)務(wù)連續(xù)性管理，確保系統(tǒng)不問斷運(yùn)行；四是銀行信息系統(tǒng)的反攻擊和防破壞。(1)信息安全風(fēng)險(xiǎn)管理制度方面：任何信息安全風(fēng)險(xiǎn)管理制度都必須經(jīng)過制度制訂、制度發(fā)布、制度執(zhí)行、制度復(fù)審和制度體系驗(yàn)證等階段。(2)組織內(nèi)部安全風(fēng)險(xiǎn)管理方面：一是在信息安全風(fēng)險(xiǎn)管理組織體系方面，信息安全風(fēng)險(xiǎn)管理委員會的工作策略應(yīng)包括：①確定信息安全風(fēng)險(xiǎn)管理的目標(biāo)符合商業(yè)銀行的要求，并且與國家法律法規(guī)和行業(yè)規(guī)范相一致；②闡明、復(fù)查和批準(zhǔn)信息安全風(fēng)險(xiǎn)管理策略；③為信息安全風(fēng)險(xiǎn)管理策略的執(zhí)行提供明確的指導(dǎo)和有效的支持；④提供信息安全風(fēng)險(xiǎn)管理運(yùn)作體系所需的支持，為信息安全風(fēng)險(xiǎn)管理的執(zhí)行在商業(yè)銀行劃分明確的崗位和職責(zé)：⑥批準(zhǔn)信息安全風(fēng)險(xiǎn)管理推廣和培訓(xùn)的計(jì)劃和程序；⑦確保信息安全風(fēng)險(xiǎn)管理控制措施在商業(yè)銀行內(nèi)部被有效地執(zhí)行；二是在信息安全風(fēng)險(xiǎn)管理的協(xié)調(diào)運(yùn)作方面，信息安全風(fēng)險(xiǎn)管理委員會由來自銀行內(nèi)部不同部門的代表組成，委員會協(xié)同工作，執(zhí)行跨部門的信息安全風(fēng)險(xiǎn)管理措施；三是信息安全風(fēng)險(xiǎn)管理崗位和職責(zé)方面，必須明確定義每個(gè)工作崗位和每個(gè)崗位的信息安全風(fēng)險(xiǎn)管理職責(zé)，必須明確商業(yè)銀行每個(gè)員工個(gè)人保護(hù)銀行信息資產(chǎn)和執(zhí)行具體信息安全風(fēng)險(xiǎn)管理程序的職責(zé)；四是信息處理設(shè)備的授權(quán)管理方面：①新設(shè)備的采購和設(shè)備部署的審批流程應(yīng)該充分考慮信息安全風(fēng)險(xiǎn)管理的要求；②新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并對新設(shè)備的硬件系統(tǒng)和軟件系統(tǒng)進(jìn)行安全檢查；③除非獲得信息安全風(fēng)險(xiǎn)管理委員會的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理商業(yè)銀行業(yè)務(wù)信息或使用信息資源；五是在保密協(xié)議方面，對能夠接觸到敏感信息的崗位，需要該崗位的員工簽署保密協(xié)議，防止信息泄露：六是銀行組織內(nèi)部與外界的聯(lián)系方面：①在必要時(shí)可以聘請外部的信息安全風(fēng)險(xiǎn)管理專家提供有關(guān)信息安全風(fēng)險(xiǎn)管理建議：②必須與商業(yè)銀行以外的監(jiān)管機(jī)構(gòu)、公安消防部門、媒體、廠商和服務(wù)提供商保持聯(lián)系，在發(fā)生信息安全風(fēng)險(xiǎn)管理事故時(shí)聯(lián)系相關(guān)組織，獲耿幫助；③在信息系統(tǒng)可能影2lMBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究響客戶服務(wù)時(shí)，必須以適當(dāng)?shù)姆绞郊皶r(shí)告訴客戶，并根據(jù)不同的對象，指定相應(yīng)的人員負(fù)責(zé)聯(lián)系和信息發(fā)布工作；④需與安全協(xié)會、行業(yè)協(xié)會、專業(yè)公司組織保持聯(lián)系，及時(shí)獲取安全咨詢、預(yù)警信息和行業(yè)最佳實(shí)踐經(jīng)驗(yàn)：七是在獨(dú)立的信息安全風(fēng)險(xiǎn)管理審核方面，必須對商業(yè)銀行信息安全風(fēng)險(xiǎn)管理控制措施的實(shí)施情況進(jìn)行獨(dú)立地審核，確保商業(yè)銀行的信息安全風(fēng)險(xiǎn)管理措施符合策略的要求，而且原則應(yīng)每年進(jìn)行一次審核。(3)第二方安全風(fēng)險(xiǎn)管理方面：當(dāng)銀行與客戶接觸時(shí)應(yīng)強(qiáng)調(diào)信息安全，必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的信息安全要求，必須采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息或信息系統(tǒng)。(4)第三方安全風(fēng)險(xiǎn)管理方面：一是進(jìn)行信息安全評估的第三方應(yīng)包括：①硬件廠商、軟件廠商和外包商；②監(jiān)管機(jī)構(gòu)、外部顧問、外部審計(jì)機(jī)構(gòu)和合作伙伴；③清潔工和保安；二是在決定聘請第三方前必須對其進(jìn)行充分的評估，評估的內(nèi)容包括但不限于：①第三方的經(jīng)營狀況和財(cái)務(wù)實(shí)力；②第三方的誠信歷史；③第三方的能力和資質(zhì)的評估；④第三方實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平；⑤對商業(yè)銀行現(xiàn)有安全控制措施的影響；⑥對相關(guān)銀行業(yè)務(wù)系統(tǒng)的影響；三是根據(jù)評估中發(fā)現(xiàn)的風(fēng)險(xiǎn)制定相應(yīng)的風(fēng)險(xiǎn)處理或防范措施，將對第三方的信息安全要求明確在合同中，必要時(shí)可報(bào)告監(jiān)管當(dāng)局；四是建立完整的信息系統(tǒng)外包JxL險(xiǎn)評估與監(jiān)測程序，嚴(yán)格管理外包第三方可能產(chǎn)生的信息安全風(fēng)險(xiǎn)；五是就針對第三方的信息安全風(fēng)險(xiǎn)管理措施進(jìn)行評估，以確保各項(xiàng)措施被有效執(zhí)行，及時(shí)發(fā)現(xiàn)可能存在的風(fēng)險(xiǎn)隱患；六是與第三方簽訂協(xié)議的安全要求，如信息保密、知識產(chǎn)權(quán)和版權(quán)保護(hù)、物理上和邏輯上的訪問限制、商業(yè)銀行有權(quán)審查第三方合同執(zhí)行情況等；七是第三方訪問銀行信息系統(tǒng)的風(fēng)險(xiǎn)策略：①必須對第三方對銀行信息或信息系統(tǒng)的訪問進(jìn)行風(fēng)險(xiǎn)評估，只有在風(fēng)險(xiǎn)降低到可接受的水平時(shí)才允許其訪問；②第三方所有的訪問申請都必須經(jīng)過銀行信息安全風(fēng)險(xiǎn)管理委員會審批或者其授權(quán)的人員審批；⑨第三方對重要信息系統(tǒng)的訪問和操作必須有銀行相關(guān)人員陪同；④對第三方的安全要求必須包含在與其簽訂的合約中。(5)信息資產(chǎn)(包括信息類資產(chǎn)以及信息系統(tǒng)密切相關(guān)的實(shí)物資產(chǎn))安全風(fēng)險(xiǎn)管理方面：一是明確信息資產(chǎn)安全風(fēng)險(xiǎn)管理責(zé)任，清楚識別所有的信息資產(chǎn)，所有與信息或銀行業(yè)務(wù)相關(guān)的重要資產(chǎn)都必須進(jìn)行分類和清楚列明，并及時(shí)進(jìn)行維護(hù)和更新；二是明確信息資產(chǎn)的管理權(quán)，指明具體的擁有者，擁有者根據(jù)職責(zé)進(jìn)行管理并承擔(dān)管理責(zé)任；三是信息資產(chǎn)必須被合理使用，使用人需遵：子信息資產(chǎn)的保密和訪問策略，在授權(quán)范圍內(nèi)使用信息資產(chǎn)，并承擔(dān)使用責(zé)任。(6)人員安全風(fēng)險(xiǎn)管理方面：～是人員的篩選應(yīng)有一套符合銀行需要的用人原則，必要時(shí)需要對被篩選人員進(jìn)行背景調(diào)查，確保其符合銀行信息安全風(fēng)險(xiǎn)MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系研究管理的需要；二是人員被正式雇傭之前，應(yīng)清楚說明其將要承擔(dān)的角色、職責(zé)和安全風(fēng)險(xiǎn)管理責(zé)任；三是人員被雇傭后應(yīng)進(jìn)一步了解和遵守銀行信息安全風(fēng)險(xiǎn)管理策略及其要求，進(jìn)行信息安全風(fēng)險(xiǎn)管理意識的教育和培訓(xùn)，對違反銀行信息安全風(fēng)險(xiǎn)管理要求的員工應(yīng)進(jìn)行相應(yīng)的懲戒，甚至在確保銀行信息安全的前提下終止雇傭。(7)物理和環(huán)境安全風(fēng)險(xiǎn)管理方面：一是應(yīng)設(shè)置安全區(qū)域，通過建立安全區(qū)域的信息安全風(fēng)險(xiǎn)管理制度確保安全區(qū)域的信息安全：①劃分物理安全邊界，設(shè)置銀行大廈和生產(chǎn)數(shù)據(jù)中心的統(tǒng)一入口，并專人值守和辦理人員出入登記；②非辦公時(shí)間非經(jīng)授權(quán)不得進(jìn)入安全區(qū)域，辦公時(shí)問員工進(jìn)出須佩帶標(biāo)志性證件，來賓進(jìn)出必須經(jīng)過信息安全管理委員會或者授權(quán)人員批準(zhǔn)方可出入，安全區(qū)域中某些關(guān)系銀行核心安全的區(qū)域應(yīng)設(shè)立單獨(dú)隔離區(qū)，嚴(yán)格控制接觸單獨(dú)隔離區(qū)的人員數(shù)量和接觸時(shí)問；③安全區(qū)域必須有防范外部和周圍環(huán)境威脅的措施，如火災(zāi)、洪水、地震、恐怖襲擊、爆炸、騷亂等，某些重要安全區(qū)域如生產(chǎn)數(shù)據(jù)中心必須符合國家有關(guān)標(biāo)準(zhǔn)并做好各種防火、防潮、防塵、防盜、防磁、防鼠等措施；④在安全區(qū)域工作的員工和其他相關(guān)人員必須獲得授權(quán)，并在授權(quán)范圍或授權(quán)區(qū)域內(nèi)工作，在銀行生產(chǎn)數(shù)據(jù)中心工作必須獲得更高級別的授權(quán)，所有安全區(qū)域以及生產(chǎn)數(shù)據(jù)中心的工作必須嚴(yán)格執(zhí)行有關(guān)信息安全風(fēng)險(xiǎn)管理的各項(xiàng)規(guī)定；⑤安全區(qū)域以及生產(chǎn)數(shù)據(jù)中心必須執(zhí)行巡檢制度，尤其生產(chǎn)數(shù)據(jù)中心應(yīng)定期(通常l小時(shí))巡檢，并配備人員24小時(shí)值班進(jìn)行監(jiān)控；二是各類具體設(shè)備的安全風(fēng)險(xiǎn)管理：①設(shè)備的安置及保護(hù)應(yīng)充分考慮各項(xiàng)針對設(shè)備的威脅，進(jìn)而采取有效的針對性保護(hù)措施；②設(shè)備的操作應(yīng)嚴(yán)格執(zhí)行有關(guān)規(guī)定，嚴(yán)禁違規(guī)操作；⑧保證設(shè)備正常運(yùn)行的各類支持措施如電力供應(yīng)、廠家維護(hù)等均應(yīng)有具體的應(yīng)急保障措施：④對銀行控制以外的各類通訊設(shè)備和通訊線路，需要同相關(guān)供應(yīng)商(電信部門)簽訂有嚴(yán)格約束條款的協(xié)議，明確對方應(yīng)承擔(dān)的有關(guān)安全風(fēng)險(xiǎn)管理責(zé)任。(8)各類操作的信息安全風(fēng)險(xiǎn)管理方面：一是要有規(guī)范的操作程序。所有的銀行業(yè)務(wù)系統(tǒng)必須建立規(guī)范的操作程序，操作程序一經(jīng)制訂必須嚴(yán)格執(zhí)行，如需修訂必須經(jīng)過嚴(yán)格的審核；二是操作人員的職責(zé)應(yīng)明確劃分，尤其各類系統(tǒng)管理人員、一般操作人員和系統(tǒng)開發(fā)人員的職責(zé)應(yīng)明確分開由不同人員擔(dān)任；三是針對各類業(yè)務(wù)系統(tǒng)的管理和操作必須實(shí)行雙人或多人共同實(shí)施制度，確保既有操作又有監(jiān)督。(9)網(wǎng)絡(luò)通訊的信息安全風(fēng)險(xiǎn)管理方面：一是網(wǎng)絡(luò)管理應(yīng)設(shè)置專人管理并與操作系統(tǒng)管理人員分丌，并實(shí)行雙人管理與操作；二是應(yīng)定義嚴(yán)格的網(wǎng)絡(luò)訪問策略，確保路由器和防火墻安全策略等網(wǎng)絡(luò)參數(shù)的完整性和嚴(yán)密性；三是應(yīng)通過各種加密手段確保網(wǎng)絡(luò)通訊數(shù)據(jù)的保密性和防篡改性；四是實(shí)行對通訊網(wǎng)絡(luò)的MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究24小時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)內(nèi)部員工與外部不法分子對銀行網(wǎng)絡(luò)的攻擊與破壞；五是建立網(wǎng)絡(luò)和通訊線路的冗余策略，通過熱備份或者冷備份機(jī)制保證網(wǎng)絡(luò)連接的高可用性；六是網(wǎng)絡(luò)的通訊容量應(yīng)適時(shí)調(diào)整和升級，確保網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備容量能滿足銀行正常業(yè)務(wù)運(yùn)營的需要。(10)業(yè)務(wù)系統(tǒng)的訪問控制方面：一是建立訪問控制策略：①禁止匿名訪問；②所有業(yè)務(wù)系統(tǒng)都必須有訪問控制列表，并定義訪問控制規(guī)則、用戶和用戶組的權(quán)限和訪問控制機(jī)制；③訪問控制列表應(yīng)該進(jìn)行周期性的檢查以保證授權(quán)正確；④所有訪問授權(quán)必須通過相應(yīng)的審批；⑤系統(tǒng)自帶的默認(rèn)賬號應(yīng)該禁止使用或者配置密碼進(jìn)行管理；二是建立用戶管理策略：①用戶必須通過注冊程序注冊后方能訪問業(yè)務(wù)系統(tǒng)；②用戶每次訪問記錄必須保留和維護(hù)；③用戶賬號必須專用，不允許共享用戶賬號；④用戶賬號超過一定時(shí)間不使用，必須自動禁用，欲再次使用必須重新獲得授權(quán)；⑤賬號名稱必須同使用者本人信息有一定關(guān)聯(lián)性，不允許設(shè)置看不出任何個(gè)人信息的公共賬號；三是建立密碼管理策略：①系統(tǒng)中存放的任何密碼均必須與用戶賬號合并后加密存儲；②密碼必須具有足夠的長度和復(fù)雜性，不允許設(shè)置過于簡單的密碼；③密碼應(yīng)定期修改，超過一定期限沒有修改密碼的用戶必須強(qiáng)制其修改密碼；④用戶忘記密碼必須經(jīng)過用戶確認(rèn)后重新獲得授權(quán)和設(shè)置新的密碼；⑤必須設(shè)置用戶登錄時(shí)密碼錯(cuò)誤的重試次數(shù)；⑥禁止用戶賬號和密碼被同時(shí)傳送或顯示；⑦所有業(yè)務(wù)系統(tǒng)必須建立應(yīng)急賬號，應(yīng)急賬號平時(shí)封存，只有出現(xiàn)緊急情況時(shí)才可啟用應(yīng)急賬號，啟用后應(yīng)急賬號的密碼必須重新修改并封存。(11)業(yè)務(wù)系統(tǒng)開發(fā)(含購買的商業(yè)軟件)和維護(hù)方面：一是業(yè)務(wù)系統(tǒng)本身安全風(fēng)險(xiǎn)管理需求分析和范圍的確定：①系統(tǒng)架構(gòu)、用戶認(rèn)證、訪問控制和授權(quán)范圍、業(yè)務(wù)(或事務(wù))處理的機(jī)密性和完整性要求、日志記錄、系統(tǒng)配置、系統(tǒng)兼容性以及系統(tǒng)備份恢復(fù)等安全需求分析；②安全需求的評審、階段性檢查以及對商業(yè)軟件的安全評估；③系統(tǒng)的正式驗(yàn)收以及正式使用前的安全測試；④系統(tǒng)各項(xiàng)業(yè)務(wù)同常操作和技術(shù)維護(hù)操作的檢查、審計(jì)；⑤操作F1志記錄、日志的查看權(quán)限以及預(yù)留的同志審計(jì)接口：二是商業(yè)軟件采購和使用的安全風(fēng)險(xiǎn)管理：①欲采購商業(yè)軟件(或產(chǎn)品)的選型評估和測試，包括廠家的資質(zhì)評估和軟件(或產(chǎn)品)本身的資質(zhì)評估、軟件(或產(chǎn)品)架構(gòu)的評估、軟件(或產(chǎn)品)功能和性能的測試和評估、軟件(或產(chǎn)品)安全性的測試和評估、軟件(或產(chǎn)品)服務(wù)商維護(hù)能力的評估；②軟件(或產(chǎn)品)采購流程的合規(guī)性和有效性；③軟件(或產(chǎn)品)保養(yǎng)和維護(hù)的維護(hù)期限、維護(hù)人員以及服務(wù)響應(yīng)時(shí)間；三是業(yè)務(wù)系統(tǒng)操作和應(yīng)用中的安全風(fēng)險(xiǎn)管理：①業(yè)務(wù)操作數(shù)據(jù)輸入的驗(yàn)證，包括數(shù)據(jù)的長度、類型、范圍和字符數(shù)限制等：②業(yè)務(wù)操作數(shù)據(jù)處理過程中的控制，包括數(shù)據(jù)校驗(yàn)、數(shù)據(jù)例外MBA學(xué)位論文作者：匡景煒 A市商業(yè)銀行信息安傘風(fēng)險(xiǎn)管理體系研究處理、數(shù)據(jù)完整性檢查；③電子交易中的消息驗(yàn)證：④業(yè)務(wù)數(shù)據(jù)輸出的驗(yàn)證，包括數(shù)據(jù)合理性、輸入數(shù)據(jù)是否得到全部處理、輸出數(shù)據(jù)的狀態(tài)是否正常、輸出數(shù)據(jù)驗(yàn)證功能的測試、數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)；四是系統(tǒng)的業(yè)務(wù)數(shù)據(jù)加密控制方面：①敏感業(yè)務(wù)數(shù)據(jù)存儲和傳輸均要求采用加密措施進(jìn)行保護(hù)，而且必須采用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備或加密算法，算法強(qiáng)度和密鑰長度需符合數(shù)據(jù)保護(hù)的要求；②數(shù)據(jù)簽名的使用必須符合國家電子簽名法的相關(guān)規(guī)定；③用于加密的密鑰必須得到保護(hù)，在密鑰產(chǎn)生、變更、存儲、使用、交換和分發(fā)、注銷、恢復(fù)和備份以及密鑰銷毀方面均要制定嚴(yán)格的安全風(fēng)險(xiǎn)管理程序；④加密機(jī)(設(shè)備)應(yīng)禁止非加密機(jī)管理員接觸，其使用必須符合國家法律、法規(guī)要求或行業(yè)規(guī)定；五是系統(tǒng)開發(fā)過程中的信息安全風(fēng)險(xiǎn)管理方面：①開發(fā)過程必須嚴(yán)格遵守商業(yè)銀行的開發(fā)流程和規(guī)范，每個(gè)階段均必須保留好相關(guān)文檔和記錄；②系統(tǒng)開發(fā)必須經(jīng)過可行性論證，在充分考慮可行性以及相關(guān)風(fēng)險(xiǎn)和收益的前提下進(jìn)行立項(xiàng)開發(fā)；③系統(tǒng)需求階段必須經(jīng)過業(yè)務(wù)部門和技術(shù)開發(fā)部門的充分溝通，確保開發(fā)的系統(tǒng)能符合銀行業(yè)務(wù)流程的需要，需求分析要充分、深入并制定相應(yīng)的風(fēng)險(xiǎn)控制措施；④系統(tǒng)設(shè)計(jì)必須充分考慮商業(yè)銀行現(xiàn)有系統(tǒng)的架構(gòu)，確保不發(fā)生業(yè)務(wù)上的沖突，并需要事先考慮技術(shù)應(yīng)急方案和業(yè)務(wù)連續(xù)性方案；⑤系統(tǒng)編碼必須符合商業(yè)銀行的開發(fā)規(guī)范，尤其要做好代碼注釋，涉及業(yè)務(wù)大量計(jì)算的代碼要做好技術(shù)優(yōu)化，開發(fā)部門對丌發(fā)的代碼要進(jìn)行交叉檢查，檢查內(nèi)容包括代碼質(zhì)量，是否存在安全漏洞、后門、邏輯炸彈等；⑥系統(tǒng)測試至少需要進(jìn)行功能測試、安全性測試、壓力測試、驗(yàn)收測試和適應(yīng)性測試，不得使用生產(chǎn)數(shù)據(jù)來測試，測試范圍包括所有的需求、設(shè)計(jì)功能點(diǎn)和安全控制功能點(diǎn)，并確保系統(tǒng)經(jīng)過