系統安全風險評估精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的系統安全風險評估主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:系統安全風險評估范文
關鍵詞:火力發電廠;二次系統;安全風險評估
中圖分類號: F407 文獻標識碼: A
火力發電原有的規模遞增,這種情形下,發電廠配有的調度中心,在電廠及區段以內的用戶中,傳遞著數目偏多的信息。火力發電廠安設的變電站,采納了遠程架構內的管控方式,對二次系統慣常的網絡管控,提出新挑戰。網絡拓展的時段中,黑客及侵襲進來的病毒,慣常采納線路搭接特有的路徑,來篡改及竊得多重信息。為此,有必要審慎查驗這一范疇的多層級風險,依循安全評估擬定的總思路,維護傳遞路徑中的穩定性,保障體系安全。
一、明辨風險根源
火力發電廠特有的二次系統,包含某規格下的軟件、安設的成套設備、交互特性的互通信息。發電廠配有的這種體系,能與擬定好的管控人員,予以直接互通。二次系統預設的根本性能,是供應運行依憑的數值,并采納實效特性的處理路徑。整合架構之中的處理,包含本源范疇內的裝置管控、信息歸整及搜集。二次系統潛藏著的風險根源,包含體系以內的設備隱患、互通特性的信息威脅、人為特性的要素威脅。火力發電廠關涉的多重事故表征著:初始時段的故障產生、接續的演變經歷、故障拓展特有的時段,都潛藏著某些關聯。
(一)信息特有的潛藏威脅
依循設定好的管控指標,火力發電廠特有的信息體系,可分成本源的生產管控、分支范疇中的行政管理、市場延展及營銷。信息體系特有的潛藏威脅,包含框架以內的硬件毀損、竊得信息及慣常的篡改、軟件關涉的漏洞及弊病。遠程架構中的管控,密切關聯著非法特性的入侵。變電站擬定好的通信協議,若沒能符合預設的完整特性及可控特性,也會帶來隱患。潛藏著的風險,會破壞體系應有的機密特性,威脅著建構起來的體系安全。
(二)體系配件的風險
火力發電特有的二次設備,對于安設好的一次設備,予以管控及查驗,帶有調控及輔助特性的價值。二次管控之中的對象,包含細分出來的機械配件、附帶著的附屬配件、帶有繼電保護特性的關聯配件、自動架構下的測量管控、RTU特有的直流電源。單獨安設的二次設備,涵蓋著多重組件。平日以內的慣常工作,是組件協同得來的結果。
例如:繼電保護這一范疇的配件,二次回路安設的絕緣,常會漸漸老化;態勢下的接地,也會帶有故障;三相特性的繼電器箱,若配套特性的輔助失效,會阻礙到慣常的通信。
(三)誤差特性的操作
電網運行預設的平常規劃、宏觀特性的調度指令、擬定的定位排查,都要經由調度協同,才可予以完成。調度特有的水準沒能提升,或受到外部架構以內的環境干擾,就會沒能及時判別這一隱患,或沒能完成慣常的操作步驟。這種情形下,火力發電架構以內的設備毀損,拓展了原有的故障范疇。例如:誤差特性的指令送達、繼電保護關涉的多重失誤。有些情形下,很難辨識這一時段的體系狀態,拖延了配件切除,帶來額外范疇以內的發電損失。
二、評估的具體階段
(一)評估的啟動階段
初始時段的評估預備,包含前期范疇中的預備及交流。在這一時段內,應擬定明晰的評估查驗范疇、擬定概要架構下的評估方案,同時制備規劃。選出來的評估人員,應經由初期培訓;預備好成套特性的評估工具。二次系統關涉的隱患查驗、多層級的風險判別,應側重成熟特性的產品,或經由研發得來的新穎產品。篩選出來的工具,應經由調配及測定,確保運轉特有的可靠屬性。
擬定好的評估范疇,應包含細化特性的如下環節:平日以內的管控及運維、物理架構以內的環境修護、基礎特性的網絡管控、主機配有的體系維護、各時段的業務查驗。在這之中,評估預設的側重點,是體系框架以內的規制機制,是否予以落實。擬定出來的側重查驗,包含宏觀特性的邊界評估。縱橫向架構中的這種邊界、VPN特有的接入管控、無線特性的網絡管控、撥號之中的評估,都被涵蓋在風險評判這一環節。
(二)現場評估
現場評估特有的方式,包含查驗日志、人工查驗潛藏著的體系漏洞、自動化特性的工具搜集、擬定的顧問談話。二次系統范疇以內的安全屬性,密切關聯著送電的可靠。火力發電廠創設的二次系統,對于關涉平常產出的事宜,可以依憑自動化特有的途徑,予以檢定及查驗。通常選出來的成套途徑,包含手動審計、慣常用到的顧問調查。對于搜集得來的數值,予以精準判別。這樣做,能夠明晰二次系統這一范疇的隱患。火力發電各層級的威脅解析,包含本源的風險來源、細化特性的風險類別。依循調研得來的數值,供應可行特性的查驗報告。制備成的這種報告,被看成風險查驗特有的評估報告。
評估管理依憑的本源機制,側重去評判建構好的業務體系、通用特性的關聯服務、數據庫配有的完備系統、二次特性的辦公終端。擬定的側重點,包含明晰的區段劃分、專用特性的邊界管控、縱橫向方位的評估、撥號時段中的安全查驗。
設定好的評估小組,應能進到現場;對于配套架構之中的二次系統,搜集得來特有的風險數據。
三、對比評估結果
二次系統關涉的風險評估,歸結得來的調研結果,仍沒能建構統一架構以內的評判標準。平日的評估中,選取出來的評判模型、辨識的數值來源、多層級以內的風險指標,都凸顯偏大差異。對于設備關涉的多重風險,現有的調研之中,慣常采納事件樹這一解析方式。若能搜集得來完備的歷史數據,則可以依循蒙特卡洛特有的途徑,慎重予以評估。一次設備關涉的評估流程,可被當成參照。
蒙特卡洛特有的仿真中,包含細分出來的多重視角。經由設定好的多樣視角,對于體系以內的線路及電源,評判潛藏風險。信息運送之中的潛在威脅,可采納分層級架構下的分解方式,把復雜體系范疇內的搜集信息,著手細化分解。統計數值辨析得來的結果,涵蓋著系統特有的多樣功能、運轉時段中的脆弱特性。定量及本源的定性解析,都應被采納。
但對于人為范疇以內的風險評估,現有的調研偏少。文獻擬定出來的評估結果,沒能明晰多層級的嚴重度。模型調研特有的常見方式,包含故障樹判別及解析;它能對連鎖架構中的根本成因,予以實效特性的仿真辨識。Petri特有的網絡,應能簡化設定出來的復雜架構,明晰細化特性的體系結構。除此以外,調研累積得來的成果,還包含創設的cream這一模型;它量化了潛在特性的環境干擾,解析了人為范疇之中的操作威脅。空間布設特有的隱患、軟件查驗中的信息隱患,都能經由模型的查驗,慎重予以判別。
結束語
信息安全關涉的疑難凸顯,威脅著基礎特性的多重行業。火力發電廠應明晰自身特性,擬定可行特性的評估指標。這樣做,便于隨時發覺疑難,展開慣常的安全加固。若能發覺隱患,則采納成效特性的安全對策,縮減接續的運行威脅。風險評估架構以內的平常工作,應能拓展范圍,深入助推常規化特性的評估。
參考文獻:
[1]郭創新.電力二次系統安全風險評估研究綜述 [J].電網技術,2013(01).
[2]朱世順.電力二次系統安全風險評估和安全加固分析 [J].電力信息化,2008(12).
[3]代遠哲.信息系統風險評估在電廠二次系統安全防護項目中的應用分析 [J].電力技術,2009(08).
第2篇:系統安全風險評估范文
關鍵詞:信息系統;安全風險;研究進展
一、國外研究進展
國外對動態風險評估研究主要包括動態風險評估的體系架構、工具和關鍵技術等。在動態風險評估的體系架構方面,1999年Tim Bass首次提出了網絡安全態勢感知概念,隨即又提出了基于多傳感器數據融合的入侵檢測框架,并把該框架用于下一代入侵檢測系統和網絡安全態勢感知系統,采用該框架實現入侵行為檢測、入侵率計算、入侵者身份和入侵者行為識別、態勢評估以及威脅評估等功能。StephenG. Batsell,JasonShifflet等人也提出了類似的模型。美國國防部提出了JDL(Joint Director of Laboratories)模型的網絡態勢感知總體框架結構,此模型主要包括多源異構數據采集、數據預處理、事件關聯和目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等功能模塊。動態風險評估由于評估頻次高,因此應充分使用自動化工具代替人工勞動,力爭做到對實時風險的監控和計算,同時抓住最重要風險來分析。在動態風險評估的工具方面,可依托的工具包括評估威脅的入侵檢測系統、異常流量分析系統、日志分析系統等,評估脆弱性的網絡掃描器、應用掃描工具等。
在動態風險評估的技術方面,動態風險評估領域涉及到數據采集、數據融合、態勢可視化等多項技術,網絡動態風險評估的難點主要集中在對態勢的正確理解和合理預測上。關于動態風險評估相關技術研究很多,例如在數據采集技術方面,按照數據源分為基于系統配置信息(服務設置系統中存在的漏洞等)和基于系統運行信息(IDS日志中顯示的系統所受攻擊狀況等)兩大類數據采集;在數據融合技術方面,Tim Bass首次提出將JDL模型直接運用到網絡態勢感知領域,這為以后數據融合技術在網絡態勢感知領域的應用奠定了基礎,Christos Siaterlis等人運用數據融合技術設計出檢測DDoS攻擊的模型;在態勢可視化技術方面,H.Koike和K.Ohno專門為分析Snort日志以及Syslog數據開發了SnortView系統,可以實現每2min對視圖的一次更新,并可以顯示4h以內的報警數據。
二、國內研究進展
我國對網絡和信息安全保障工作高度重視,了中辦發[2003]27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發[2006]11號《2006—2020年國家信息化發展戰略》等文件部署安全風險評估等安全工作,但是由于我國關于安全風險評估研究起步的較晚,目前國內整體處于起步和借鑒階段,大多數研究主要面向信息系統,針對電信網絡的特點進行風險評估的研究和應用較少。
在安全風險評估模型、方法和工具方面,我國雖然已經有一些相關的文章和專著,但是也還局限在對已有國際模型、方法和工具的分析和模仿上,缺乏科學、有效、得到廣泛認可的方法和工具,尤其針對電信網的業務和網絡特點的可操作性強、得到普遍認可的風險評估方法和工具較少。
國內對安全動態風險評估的研究還屬于起步階段,相關研究主要包括動態風險評估的體系架構、相關關鍵技術等。在體系架構方面,西安交通大學研究并實現了基于IDS和防火墻的集成化網絡安全監控平臺,提出了基于統計分析的層次化(從上到下分為系統、主機、服務和攻擊/漏洞4個層次)安全態勢量化評估模型,采用了自下而上、先局部后整體的評估策略及相應計算方法,此方面也是在動態風險評估領域普遍采用的方法。北京理工大學信息安全與對抗技術研究中心研制了一套基于局域網絡的網絡安全態勢評估系統,由網絡安全風險狀態評估和網絡威脅發展趨勢預測兩部分組成,用于評估網絡設備及結構的脆弱性、安全威脅水平等。在關鍵技術方面,安全領域專家馮毅從我軍信息與網絡安全的角度出發,闡述了我軍積極開展網絡安全態勢感知研究的必要性和重要性,指出了多源傳感器數據融合和數據挖掘兩項關鍵技術。國防科技大學的胡華平等人提出了面向大規模網絡的入侵檢測與預警系統的基本框架及其關鍵技術與難點問題。另外,國內也有一些科研機構嘗試把數據融合技術應用到網絡安全領域,提出了應用數據融合技術的網絡安全分析評估系統、入侵檢測系統等。
但是總體來說,國內在動態風險評估研究方面取得的成果有限,仍沒有成熟的、實用的技術或工具,更缺乏針對電信網進行動態風險評估的相關研究,現有研究成果還存在動態評估的實時性不強、采集的數據不夠豐富有效、對風險態勢的預測研究不夠等諸多問題。
參考文獻:
[1] 彭凌西;陳月峰;劉才銘;曾金全;劉孫俊;趙輝;;基于危險理論的網絡風險評估模型[J];電子科技大學學報;2007年06期
[2] 李波;;入侵檢測技術面臨的挑戰與未來發展趨勢[J];電子科技;2007年07期
[3] 丁麗萍;論計算機取證的原則和步驟[J];中國人民公安大學學報(自然科學版);2005年01期
[4] 趙冬梅;張玉清;馬建峰;;網絡安全的綜合風險評估[J];計算機科學;2004年07期
第3篇:系統安全風險評估范文
根據以往學者研究及實踐表明,對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內容。因此對風險評估的作用主要體現在:首先,信息安全保障需以風險評估作為基礎。對計算機信息系統進行風險評估過程多集中在對系統所面臨的安全性、可靠性等方面的風險,并在此基礎上做出相應的防范、控制、轉移以及分散等策略。其次,信息安全風險管理中的風險評估是重要環節。從《信息安全管理系統要求》中不難發現,對ISMS的建立、實施以及維護等方面都應充分發揮風險評估的作用。最后,風險評估的核查作用。驗收信息系統設計安裝等是否滿足安全標準時,風險評估可提供具體的數據參考。同時在維護信息系統貴過程中,通過風險評估也可將系統對環境變化的適應能力以及相關的安全措施進行核查。若出現信息系統出現故障問題時,風險評估又可對其中的風險作出分析并采取相應的技術或管理措施。
二、計算機信息系統安全風險的評估方法分析
(一)以定性與定量為主的評估方法
計算機信息系統安全風險評估方法中應用較為廣泛的主要為定性評估方式,其分析內容大多為信息系統威脅事件可能發生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發生的可能性與其所造成的損失評估時,首先會對特定資產價值進行分析,再以客觀數據為依據對威脅頻率進行計算,當完成威脅影響系數的計算后,便將三者綜合分析,最終推出計算風險的等級。
(二)以知識和模型為基礎的風險評估
以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據,優勢在于風險評估的結構框架、實施計劃以及保護措施可被提供,對較為相似的機構可直接利用以往的保護措施等便可實現機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統自身的風險及其與外部環境交互過程中存在的不利因素等進行分析,以此實現對系統安全風險的定性評估。
(三)動態評估與分析方式
計算信息系統風險管理實際又可理解為信息安全管理的具體過程,一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內容包含在內。整個評估與分析方式具有一定的動態特征,以PDCA為典型代表,其計劃、實施、檢查以及改進實現了對風險的動態管理。
(四)典型風險評估與差距分析方法分析
典型風險評估主要包括FTA、FMECA、Hazop等方法,對計算機信息系統設計中潛在的故障與薄弱之處,都可提出相應的解決措施,以FTA故障樹分析為典型代表,在分析家算計信息系統的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統的安全要求與當前的系統現狀存在的差距進行系統風險的確定,存在的差距越大則證明存在的風險越大。
三、結論
第4篇:系統安全風險評估范文
【 關鍵詞 】 風險評估;風險分析;項目管理
Implementation of Government Information Systems Risk Assessment
Yu Ying-tao 1 Li Xin 1 Xue Jun 2
(1.North China Institute of Computing Technology Beijing 100083;
2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)
【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.
【 Keywords 】 risk assessment; risk analysis; project management
0 引言
政務信息系統關系到國計民生,因此保障電子政務系統的信息安全是我國經濟與社會信息化的先決條件之一,是國家信息化建設的重要內容。如何保證政務信息系統的安全性,風險評估是一項很基礎的工作。通過對政務信息系統進行風險評估,可以了解信息與網絡系統目前與未來的風險所在,充分評估這些風險可能帶來的威脅與影響的程度,依據系統的風險和威脅,進行針對性的防范,做到“對癥下藥”,可以有效解決政務信息系統的安全問題。
1 政務系統風險評估概述
1.1 風險評估的概念
政務系統的信息安全關心的是保護政務信息資產免受威脅。風險評估是有效保證信息安全的前提條件,也是建立在網絡入侵防護系統、實施風險管理程序所開展的一項基礎性工作。其工作原理是對系統所采用的安全策略和管理制度進行評審,發現不合理的地方,采用模擬化攻擊的方式對系統可能存在的安全漏洞進行逐項檢查,確定存在的安全問題與風險級別。并根據檢查結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。
風險評估的目的是全面、準確地了解政務信息系統的安全現狀,發現系統的安全問題及其可能的危害,為后期進一步安全防護技術的實施提供了嚴謹的安全理論依據,為決策者制定網絡安全策略、構架安全體系以及確定有效的安全措施、選擇可靠的安全產品、建立全面的安全防護層次提供了一套完整、規范的指導模型。
1.2 風險評估的范圍
政務信息系統風險評估的內容與范圍需要涵蓋整個系統,包括系統安全管理的狀況、網絡及安全防護技術架構、通信鏈路、系統數據及業務系統加密情況、系統訪問控制狀況等。在政務信息系統的安全防護工作中,“人”是關鍵要素,無論系統所采用的安全技術、安全策略和安全手段多么現代化與智能化,都需要“人”去操作、運行和管理。如果信息系統的安全管理水平落后,人員素質不高,那么政務信息系統的安全性就會減弱,安全漏洞就會增加。
1.3 風險評估的原則和依據
1.3.1指導原則
由于政務信息系統風險評估涉及的內容較多,因此在進行評估時就需要本著多角度、多層面的原則,從軟件到硬件,從理論到實際,從技術到管理,從設備到人員,來具體制定詳細的評估計劃和分析步驟,避免遺漏。在評估時一般需遵循的如下幾個原則:標準性、可靠性、可控性、保密性、技術先進和成熟性、全面性、高效性、持續性。
1.3.2相關法規和政策
《中華人民共和國計算機信息系統安全保護條例》(國務院令147號);
《商用密碼管理條例》(國務院令 273號);
《計算機信息系統安全保護等級劃分準則》;
《計算機機房場地安全要求》(GB9361-88);
《信息安全技術-信息安全風險評估規范》( GB/T 20984—2007)。
2 政務信息風險評估工作流程
2.1 系統調查
開展政務信息系統風險評估的第一步就是進行系統調查。通過調查政務信息系統上運行的所有應用,了解系統主要業務的流程,清楚的掌握支持業務運行的硬件基礎設施的結構及安全系統現狀,收集風險評估所需的系統全部信息。在進行系統調查的同時,還需對系統風險評估的評估范圍進行分析、界定。對系統邊界進行明確定義,有助于防止不必要的工作,并對改進風險評估的質量都是很重要的。
第5篇:系統安全風險評估范文
【 關鍵詞 】 信息安全;等級保護;風險評估
Information Security Hierarchy Protection and Risk Assessment
Dai Lian-fen
(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)
【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.
【 Keywords 】 information security;hierarchy protection;risk assessment
1 風險評估是等級保護建設工作的基礎
等級保護測評中的差距分析是按照等保的所有要求進行符合性檢查,檢查信息系統現狀與國家等保要求之間的符合程度。風險評估作為信息安全工作的一種重要技術手段,其目標是深入、詳細地檢查信息系統的安全風險狀況,比差距分析結果在技術上更加深入。為此,等級保護與風險評估之間存在互為依托、互為補充的關系,等級保護是國家一項信息安全政策,而風險評估則是貫徹這項制度的方法和手段,在實施信息安全等級保護周期和層次中發揮著重要作用。
風險評估貫穿等級保護工作的整個流程,只是在不同階段評估的內容和結果不一樣。《信息系統安全等級保護實施指南》將等級保護基本流程分為三個階段:定級,規劃與設計,實施、等級評估與改進。在第一階段中,風險評估的對象內容是資產評估,并在此基礎上進行定級。在第二階段中,主要是對信息系統可能面臨的威脅和潛在的脆弱性進行評估,根據評估結果,綜合平衡安全風險和成本,以及各系統特定安全需求,選擇和調整安全措施,確定出關鍵業務系統、子系統和各類保護對象的安全措施。在第三個階段中,則涉及評估系統是否滿足相應的安全等級保護要求、評估系統的安全狀況等,同時根據結果進行相應的改進。
等級保護所要完成的工作本質就是根據信息系統的特點和風險狀況,對信息系統安全需求進行分級, 實施不同級別的保護措施。實施等級保護的一個重要前提就是了解系統的風險狀況和安全等級, 所以風險評估是等級保護的重要基礎與依據。
2 等級保護建設過程中如何有效地結合風險評估
2.1 以風險評估中資產安全屬性的重要度來劃分信息系統等級
在公安部等四部局聯合下發了《信息安全等級保護的實施意見》公通字2004第66號文中,根據信息和信息系統的重要程度,將信息和信息系統劃分為了五個等級自主保護級、指導保護級、監督保護級、強制保護級和專控保護級。實際上對信息系統的定級過程,也就是對信息資產的識別及賦值的過程。在國家的《信息系統安全等級保護定級指南》中,提出了對信息系統的定級依據,而這些依據基本的思想是根據信息資產的機密性、完整性和可用性重要程度來確定信息系統的安全等級,這正是風險評估中對信息資產進行識別并賦值的過程:對信息資產的機密性進行識別并賦值;對信息資產的完整性進行識別并賦值;對信息資產的可用性進行識別并賦值。從某種意義上來說,信息系統(不是信息)的安全等級劃分,實際上也是對殘余風險的接受和認可。
2.2 以風險評估中威脅程度來確定安全等級的要求
在等級保護中,對系統定級完成后,應按照信息系統的相應等級提出安全要求,安全要求實際上體現在信息系統在對抗威脅的能力與系統在被破壞后,恢復的速度與恢復的程度方面。而這些在風險評估中,則是對威脅的識別與賦值活動;脆弱性識別與賦值活動;安全措施的識別與確認活動。對于一個安全事件來說,是威脅利用了脆弱性所導致的,在沒有威脅的情況下,信息系統的脆弱性不會自己導致安全事件的發生。所以對威脅的分析與識別是等級保護安全要求的基本前提,不同安全等級的信息系統應該能夠對抗不同強度和時間長度的安全威脅。
2.3 以風險評估的結果作為等級保護建設的安全設計的依據
在確定信息系統的安全等級和進行風險評估后,應該根據安全等級的要求和風險評估的結果進行安全方案設計,而在安全方案設計中,首要的依據是風險評估的結果,特別是對威脅的識別,在一些不存在的威脅的情況下,對相應的脆弱性應該不予考慮,只作為殘余風險來監控。對于兩個等級相同的信息系統,由于所承載業務的不同,其信息的安全屬性也可能不同,對于需要機密性保護的信息系統,和對于一個需要完整性保護的信息系統,保護的策略必須是不同,雖然它們可能有相同的安全等級,但是保護的方法則不應該是一樣的。所以,安全設計首先應該以風險評估的結果作為依據,而將設計的結果與安全等級保護的要求相比較,對于需要保護的必須符合安全等級要求,而對于不需要保護的則可以暫不考慮安全等級的要求,而對于一些必須高于安全等級要求的,則必須依據風險評估的結果,進行相應高標準的設計。
3 結束語
風險評估為等級保護工作的開展提供基礎數據,是等級保護定級、建設的實際出發點,通過安全風險評估,可以發現信息系統可能存在的安全風險,判斷信息系統的安全狀況與安全等級保護要求之間的差距,從而不斷完善等級保護措施。文章對等級保護工作中如何結合信息安全風險評估進行了有益的探索,為有效地支撐計算機信息系統等級保護建設的順利進行提供了參考。
參考文獻
[1] 吳賢.信息安全等級保護和風險評估的關系研究.信息網絡安全,2007.
[2] 馮登國,張陽,張玉清.信息安全風險評估綜述.通信學報,2004.
第6篇:系統安全風險評估范文
關鍵詞:商業銀行;信息系統風險;控制
為了有效防范銀行信息系統風險監管,銀監會正式頒布了《銀行業金融機構信息系統風險管理指引》,以促進我國銀行業信息系統安全、持續、穩健運行。作為基層銀行,就要認真學習商業銀行信息系統的特點,建立適合商業銀行風險特征的評估模型,運用先進的風險評估方法,逐步完善信息系統風險評估的流程,并通過信息系統風險評估的手段,保障企業信息資產的安全,確保系統數據的完整,使商業銀行適應復雜的運行環境,滿足日益強化的風險管理需要。
一、商業銀行信息系統風險模型
商業銀行信息系統風險評估模型基本上可以劃分為基于業務風險控制的風險評估模型和基于信息技術控制的風險評估模型。商業銀行信息系統按業務劃分,主要業務模塊包括柜面業務系統, atm、pos、網上銀行、電子商務支付和客服中心等,其中柜面業務子系統包括:存取款、貸款、信用卡、中間業務、國際業務、結算、代收代付等。其商業銀行的業務功能結構如圖1。
以上可以看出,基于業務風險控制的風險評估模型是針對業務流程的控制和業務的風險管理,是信息系統在規劃、研發、建設、運行、維護、監控及退出過程中由于管理缺陷產生的操作、法律和聲譽等風險[1]。
另一類是關于技術控制的風險評估模型。這類模型建立在相關的信息安全標準之上,主要考慮的是安全技術的實現架構和實現方式,并以此來評估系統的技術風險。銀行的安全架構是由物理設備安全、網絡安全、交易安全和數據完整性安全等,其中交易安全包括:密碼技術、身份認證和安全交易技術。其層次結構如圖2。
隨著信息技術應用的普及,網上銀行、手機銀行飛速發展,隨著銀行業務的拓展,各種中間業務等銀行新型業務和金融產品的出現,銀行信息系統開始不同程度向外界開放,對銀行開放信息系統的依賴越來越強。加上各商業銀行實行數據大集中,將過去保存在基層的存貸款等業務數據集中到高層數據庫存放,導致單筆交易所跨越的網絡環節越來越多,銀行信息系統對通信網絡依賴程度越來越高。
電子金融服務的發展,使商業銀行信息系統開放運行,與公共網絡連接,暴露在公共網絡具有各種威脅底下,網上銀行、手機銀行、電子商務支付等銀行新業務,在成為商業銀行利潤增長點的同時,導致銀行信息系統的風險劇增。商業銀行對信息系統的安全性要求進一步提高。
二、商業銀行信息系統風險評估方法
商業銀行在面對實際的信息風險時,需要建立定位于信息全面管理的風險評估模型。信息系統風險管理的目標是通過建立有效的機制,實現對信息系統風險的識別、計量、評價、預警和控制,推動銀行業金融機構業務創新,提高信息化水平,增強核心競爭力和可持續發展能力[1]。因此,必須兼顧業務風險模型和技術風險模型的相關方法,建立一種銀行信息系統風險識別模式,用于發現系統自身內部控制機制中存在的薄弱環節和危險因素,發現系統與外界環境交互中不正常和有害的行為,找出系統的弱點和安全威脅的定性分析;必須建立一種銀行信息系統風險評價模型,用于在銀行信息系統風險各要素之間建立風險評估,計量風險的定量評價方法。
根據商業銀行信息系統風險模型,其中基于業務風險控制的風險評估模型主要針對銀行業務具體處理,其風險識別是觀察每一筆具體的業務數據,也可以轉化為銀行資產的差錯;其中基于信息技術控制的風險評估模型主要針對安全保障技術,其風險識別是找出系統可能存在的不安全因素。據此,可以推理出系統風險評估模型為:
商業銀行信息系統風險評估模型由四個模塊組成:業務差錯識別模塊負責找出每一筆已經發生的差錯業務,其方法是通過業務差錯發現和資產調查尋找每一筆差錯業務,修正商業銀行信息系統運行錯誤;威脅分析模塊負責尋找技術安全威脅,用安全掃描來找出安全漏洞,用入侵檢測來發現受到的侵犯;安全分析模塊負責對系統設置的安全策略進行分析,對系統內部運行的軟件進行分析;系統安全評價模塊在前面三個模塊分析結論的基礎上由銀行風險因素診斷指標體系[2]得出系統安全評價量化指標。
該商業銀行信息系統風險評估模型的特點主要是:1.業務風險評估和技術風險評估同一量化構成信息系統的風險,便于系統的橫向比較;2.采用自動化的檢測評價為主的方法,對于硬件的風險和人為的風險,可以加入人工評價修正,有利于實時監控;3.系統簡潔,事前預防和事后發現相結合,可行適用。
三、商業銀行信息系統風險控制措施
通過風
險評估,可以進行風險計算,計算出大致成本,控制防范風險就是要采取行動,并得到資金的支持。銀行業金融機構應根據信息系統總體規劃,制定明確、持續的風險管理策略,按照信息系統的敏感程度對各個集成要素進行分析和評估,并實施有效控制[1]。
在硬件方面控制風險,首先要選擇合適的供應商,選擇滿足安全要求的解決方案。在網絡安全方面,要將銀行內部網絡與銀行外部網絡隔離,通過防火墻或者服務器連接。通過隔離連接容易實現數據檢查,減少系統暴露面,發現問題系統及時報告及時處理。在銀行信息系統建設上,可以借鑒成熟的運行系統,采用成熟的信息技術,銀行業金融機構應重視知識產權保護,使用正版軟件,加強軟件版本管理,優先使用具有中國自主知識產權的軟、硬件產品;積極研發具有自主知識產權的信息系統和相關金融產品,并采取有效措施保護本機構信息化成果。[1]
在銀行信息系統運行方面,銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等;明確與信息系統相關人員的職責權限,建立制約機制,實行最小授權。[1]
銀行信息系統風險管理要堅持持續管理風險的理念,銀行信息系統風險的存在是會隨著時間和環境的變化而不斷變化,持續管理就是要跟隨環境的變化。建立持續管理策略,就是在銀行信息系統中,不斷地進行評估。不斷地實施pdca循環,即計劃(plan)、實施(do)、檢測(check)、改進(action)四個進程。安全控制的境界不能放在不斷糾正錯誤上,應該放在預防上,就是要不斷檢測,不斷發現不安全因素,不斷地改進,使系統符合變化環境下安全需求。
參考文獻:
第7篇:系統安全風險評估范文
檔案信息安全保障體系的建設取得了一定的成績,但同時存在許多問題,我們必須及時加以糾正和改進。檔案信息安全保障體系的建設不是一蹴而就的,是一個復雜的社會工程。首先要納入國家信息安全保障體系和電子政務信息安全保障體系的總體格局中,其次學習國內外保障體系建設的經驗,結合檔案信息資源的自身特點,將檔案信息安全保障體系建設落到實處。檔案信息安全保障存在的問題
1.對檔案信息安全保護和保障概念混淆
信息安全是一個發展的概念,從通信保密、信息保護發展到信息保障,或者說是從保密、保護發展到保障。每個階段的安全屬性也是不斷擴展的,保密階段為保密性:保護階段為保密性、完整性和可用性;保障階段為保密性、完整性、可用性、真實性和不可否認性,甚至在國際標準《信息安全管理體系規范》ISO/IEC17799:2005中,又增加了可追溯性和可控性。信息安全屬性也是信息安全的目標。保障階段應采取相應的措施達到“七性”。
信息安全保障的提出最早源自美國。1996年美國國防部(DoD)在國防部令S-3600,1對信息安全保障作了如下定義:“保護和防御信息及信息系統,確保其可用性、完整性、保密性、可認證性、不可否認性等特性。這包括在信息系統中融入保護、檢測、反應功能,并提供信息系統的恢復功能。”除安全屬性不斷豐富外,安全保障與安全保護主要區別是主動防御和動態保護。而與之對應的信息保護是靜態保護(安全措施基本不變)和被動保護(發生安全事故后再采取防護措施)。
然而,目前大部分檔案信息安全保障仍只達到安全保護水平。將安全保護和安全保障概念混淆,造成保障階段的能力也停留在保護水平,不能從主動防御和動態保護來保障檔案信息安全。在具體操作上。仍以身份認證、數據備份、安裝防火墻、殺毒軟件和入侵檢測等被動保護措施為主。在日益復雜的檔案信息系統和網絡環境下,檔案信息得不到應有的保障。
2.偏重技術,忽視管理
在美國國防部對安全保障的定義中,“保護、檢測、反應和恢復”不僅體現動態保護,還體現安全管理,安全保障也是一個管理過程。
然而長期以來,人們對檔案信息安全偏重于依靠技術。但事實上僅僅依靠技術和產品保障信息安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠產品是無法消除的,尤其是對內網用戶的管理。“三分技術,七分管理”這個在其他領域總結出來的實踐經驗和原則。在檔案信息安全領域也同樣適用。據有關部門統計。在所有的信息安全事件中,屬于管理方面的原因比重高達70%以上,而這些安全問題是可以通過科學的信息安全管理來避免的。因此,安全管理已成為保障檔案信息安全的重要措施。
目前,國際上實現信息安全管理的有效手段是在信息安全等級保護制度下,進行信息安全風險評估。“早在20世紀70年代初期美國政府就提出了風險評估的要求。2002年頒布的《2002聯邦信息安全管理法》對政務信息安全風險評估提出了更加具體的要求。”歐洲等其他信息化發達國家也非常重視開展信息安全風險評估工作,將開展信息安全風險評估工作作為提高信息安全保障水平的重要手段。國外風險評估標準主要有:BS7799、ISO/1EC 17799、OCTAVE、NIST SP800―30、AS/NZ54360、SSE―CMM等。
3.缺失安全評估體系
目前,我國檔案信息安全保障體系的建設處于各自為政狀態,沒有將基于等級保護制度下的檔案信息安全風險評估提到議事日程上來。由此造成檔案信息系統建立并采取安全措施后,仍不能明確自己的網絡和應用系統是否達到安全要求?還有哪些安全漏洞?可能造成多大危害?應該怎樣解決?系統升級或調整后又存在哪些安全風險?如何規劃檔案信息安全保障體系建設?作為檔案信息系統的擁有者、檔案信息系統安全構建者和檔案信息系統安全的監管者,必須有統一的風險評估標準,才可以做到檔案信息安全與否誰也不能說了算,而應該按照統一的風險評估標準來評價是否安全。應采取什么措施。
檔案信息安全保障狀況需進行風險評估
2006年3月7日,醞釀已久的《國家網絡與信息安全協調小組關于開展信息安全風險評估工作的意見》(簡稱《意見》)正式對外公布。《意見》要求。各信息化和信息安全主管部門要從抓試點開始,逐步探索組織實施和管理的經驗,用三年左右的時間在我國基礎信息網絡和重要信息系統普遍推行信息安全風險評估工作,全面提升網絡和信息系統安全保障能力。
2005年9月,國務院信息化工作辦公室專門組織成立了“電子政務信息安全工作組”,并已編制了《電子政務信息安全等級保護實施指南(試行)》,其中提出將風險評估貫穿等級保護工作的整個流程。所以,作為電子政務系統中保存和管理信息的檔案信息系統,與電子政務一脈相承,進行風險評估是遲早的事。對檔案信息安全保障進行風險評估主要有如下優勢。
1.將檔案信息安全保障體系納入國家信息保障體系
國家已制定了風險評估標準GB/T 20948―2007《信息安全風險評估規范》,并將于2007年11月1日正式實施。作為我國信息資源重要組成部分的檔案信息,必須積極響應國家信息安全政策和納入國家信息安全保障體系的總體格局。檔案信息安全風險評估可在此標準的基礎上,結合檔案信息自身特點,先開始在綜合檔案館和電信、銀行、稅務、電力等大型檔案信息管理系統中試驗,在此基礎上再逐步推廣,達到國家要求“2006年后三年內在我國基礎信息網絡和重要信息系統普遍推行信息安全風險評估工作”基本目標。
2.規范檔案信息安全保障體系建設
在檔案信息化過程中。我們已經制定了GB/T17678.1―1999《CA D電子文件光盤存儲、歸檔與檔案管理要求。第一部分:電子文件歸檔與檔案管理》、GB/T18894―2002《電子文件歸檔與管理規范》、GB/T20163―2006《中國檔案機讀目錄格式》、DA/T 22―2000《歸檔文件整理規則》和DMT 3l一2005《紙質檔案數字化技術規范》等國家標準和行業標準,然而與檔案信息安全相關的標準尚未出臺,造成目前檔案信息安全保障體系的建設處于各自為政狀態。檔案信息風險評估的開展。雖然可以參照國際和國家標準,但最終還必須有針對性強的行業標準。為了改變目前的現狀,檔案行政管理部門應重視針對檔案信息安全保障政策和標準的建設,抓住國家推廣信息安全風險評估的機會。從風險評估作為切入點,制定檔案信息風險評估和其他安全相關標準,規范檔案信息安全保障的建設。由于對檔案信息風險評估是以信息安全保障要求為前提的,所以只要進行風險評估就可以糾正信息保護和保障的混淆,并確認是否達到相應的保障要求。
3.貫徹安全技術和管理并重,保障檔案信息安全
等級保護和風險評估是信息安全管理的核心內容,是信息安全管理的具體體現。國家提倡在等級保護制度下進行風險評估,就是在對信息系統劃分等級后,采用風險評估測評系統是否達到相應等級的安全要求,這樣可以改變以往只建設不測評的現狀。同時,風險評估還要求貫穿信息系統的整個生命周期,即在信息系統的分析、設計、實現和運行維護的整個生命周期內,都將進行定期或不定期的風險評估,也體現信息安全保障的動態安全和主動防御。以往在我們檔案信息安全保障的建設中也強調信息安全管理機制的構建,而風險評估就是很好的體現。風險評估的進行過程中。有相應的安全策略,按照“誰主管誰負責、誰運行誰負責”的要求,對在崗的每一位員工也有相應的安全職責,這樣也提高了員工的安全意識。
4.完善檔案信息安奎保障體系
對于已建、在建或將建的檔案信息系統,以往沒有進行風險評估的,應積極開展這項工作,在沒有正式出臺專門檔案信息風險評估標準前,可參照國內國際標準進行,或者參與到電子政務信息的等級保護和風險評估中去。當然風險評估并不是信息安全保障的唯一手段(還包括等級保護、應急響應和災難恢復等),但它是檔案信息安全保障不可或缺的一個重要環節。通過風險評估,可完善目前還沒有達到保障要求的檔案信息系統安全保障。另外,對于新建設的檔案信息系統在設計階段就要融入風險評估,這樣可以防患于未然。
5.監督和檢查檔案信息安全保障建設
第8篇:系統安全風險評估范文
隨著計算機網絡的技術的迅猛發展以及移動互聯的全球化,Internet已經和現今的各行各業相互契合,而組織業務相關的信息系統已經成為組織行業信息賴以生存的“朋友”。移動互聯的信息安全問題逐漸走入人們眼中。信息系統的安全問題是的對于一個組織有著重要的戰略意義。本文立足于當今信息安全現狀,例數當今信息系統的安全問題,對信息系統的安全風險管理方法進行研究,并針對信息系統安全問題給出針對性建議。
關鍵詞:
信息系統安全;信息系統管理;計算機尖端科技
目前,世界各國經濟都在迅速發展,經濟全球化的進程逐漸加快,伴隨著經濟的推進,尖端科技迅猛發展。因此,電腦逐漸走進了各家各戶,移動互聯正在改變人們的生活方式。計算機網絡技術的優越性使得人們對計算機網絡愈來愈“信賴”。然而隨之產生的便是用戶的網絡信息泄露事件。計算機網絡安全問題已經受到了更多人的重視。所以,對信息系統安全風險管理方法的研究有著鮮明的現實意義。
1信息系統安全風險管理方法研究
隨著計算機網絡技術的不突破何如普及,極大的方便著人們的生活和學習,而且正在慢慢的改變人們的生活方式。目前,計算機網絡技術已經被應用到軍事科技當中,中增強著我國國防力量。使得未來戰爭真正的實現“兵不血刃”。與此同時,信息系統的安全問題會“威脅”著國家的經濟建設,和國防建設。所以這一切都表明了信息系統安全問題是一個國家安全建設的基礎,是國家社會發展和建設的保障。而信息系統的安全成為了信息化革命的基本。甚至可以說,信息系統安全問題關系著國家安全,民族發展是全人民的的頭等大事。信息系統安全計劃建設是了一個國家和民族的戰略性目標,已經是不爭的事實。
2信息系統的信息安全現狀
當今社會信息系統安全問題不容樂觀,信息系統面臨著嚴峻的安全風險。根據調查來看,每年的重大信息系統安全事件正在逐年增加。信息系統安全問題主要包含以下兩大方面:一是由于現今科技技術的不完善性和局限性,使得信息系統在構建之初便存在著漏洞,導致信息系統“脆弱”。二是現實社會中的各種經濟斗爭和利益斗爭,使得原本的信息系統漏洞被“開發利用”。計算機網絡技術是一個復雜的大系統,它是由眾多的代碼、硬件、軟件、協議所共同組成。在計算機網絡技術的不完善和設計人員思想局限性的前提下,使得信息安全系統在構建的時候會出現不可避免的漏洞。例如,計算機網絡中一個操作系統需要幾千幾萬的代碼組成,甚至更多。為滿足用戶的各種需要,設計的技術復雜性逐漸增多。據調查在繁瑣的計算機網絡設計時,很可能一千行代碼中便會存在一個錯誤。因此,信息系統的漏洞越來越多,越來越嚴重。另一方面,“黑客”作為一種“文化現象”一直伴隨著計算機網絡技術的發展而發展。并且隨著人們之間的利益沖突不斷加劇,使得黑客的惡意攻擊事件愈演愈劣。此外,根據調查顯示,在攻擊技術復雜的計算機網絡時,黑客相對應需要的知識卻越來越少[1]。
3信息系統風險管理的目的和作用
信息系統安全是目前全世界所面臨的重大問題。雖然,信息安全問題具有著普遍性,但是同時因為它的特殊性,使得我們不得不重視。信息系統的安全管理已經不再是“0”和“1”之間的問題。我們不斷的探索,為了找到一個更好的信息系統安全管理方法。我們希望新的信息系統安全管理方法可以改變現今網絡安全的現狀,并且讓更多的人可以更好的享受計算機網絡技術帶來的方便。計算機網絡在人們的生活和學習中有著重要的的作用,在國家建設上有著重要的地位,信息系統的安全管理的研究,我們旨在便利更多的人民群眾,更好的建設國家,為祖國的建設作出貢獻。我們要做到防患于未然,讓國家和人民免于信息系統安全問題的威脅。由此我們可以得出這樣的結論:風險管理是信息系統安全管理方法的新模式,而最佳的信息系統安全保障方法就是對信息系統進行風險管理。
4信息系統風險管理的趨勢
縱觀世界,信息系統安全風險管理的經歷了技術,技術與管理相結合的階段。當前,在信息安全保障意識的前提下,還在不斷的深入完善。如何將傳統的風險管理理論和實際相結合并更好的應用于信息安全管理領域,是全世界面臨的一個尚未解決的問題。
5信息安全風險管理理論基礎
信息安全風險管理研究的理論基礎大的方面是國家規定的計算機網絡技術管理法則,和現今的計算機網絡技術。小的方面是現今信息系統所具有的保密性、完整性、可用性、脆弱性。以及網絡信息系統面臨的威脅[2]。
6網絡信息系統風險管理的ISISRM管理方法
6.1ISISRM方法的基本思想
ISISRM方法體現的是“定制”思想,它具有較強的開放性,在識別風險因素并進行解決的同時,它不會拘泥于單一的解決方法。它可以使風險管理過程和用戶使用目的緊密集合結合在一起,并且在風險評估時采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經濟管理學的知識,它將不再只解決信息安全問題,而是從用戶的角度上來說變成了一種“投資”行為[3]。
6.2ISISRM方法的管理周期
按照ISISRM的設計邏輯,ISISRM的管理周期分為風險管理準備階段、信息安全風險因素識別階段、信息安全風險分析和評估階段、信息系統安全保障分析階段、信息系統安全決策階段、信息安全風險動態監控階段。
7結語
計算機網絡技術迅速發展,加速了社會信息化的進程,使得人文建設與信息系統關系日益“親密”,但是隨之而來的信息安全問題值得引起我們的重視,并讓我們花費人力和物力進行解決,它時刻的威脅著我們社會主義人文建設。所以我們應該運用ISISRM這樣的風險安全方法進行信息系統安全的維護和改善。
作者:李響 王培凱 單位:安徽省蚌埠市固鎮縣公安局 安徽省蚌埠市五河縣公安局
參考文獻
[1]孫鵬鵬.信息安全風險評估系統的研究與開發[D].北京交通大學,2007.
第9篇:系統安全風險評估范文
我國銀行信息技術風險管理起步較晚,目前還處在初步探索階段,現行的信息技術風險管理還存在很多不足之處。
(一)缺乏完善的銀行信息技術風險管理相關的法律法規
完善的法律法規是實現銀行有效信息技術風險管理的基本前提,是銀行信息安全的第一支柱。國內銀行信息技術風險管理相關法律法規的建設遠遠不能滿足當前銀行信息化管理的要求,電子銀行的風險管理、銀行信息系統安全評估標準、銀行網站建設規范、客戶隱私保密等都缺乏有效的法律法規來進行約束。此外,法律法規的更新工作不到位,部分現行的法律法規與信息技術的發展已經出現了背離,相關的修訂和補充工作迫在眉睫。
(二)銀行信息技術風險監管基本處于空缺狀態
在美國等金融體系比較成熟的國家,銀行信息技術監管已經成為了銀行的常規現場檢查的基本內容,并建立了詳細的現場檢查程序和標準,對信息技術風險的防范措施比較到位。我國銀行信息技術監管還處在起步階段,在技術風險現場檢查和風險評估等方面都沒有一個明確的規范化、制度化的參考標準,在技術風險非現場監測系統建設方面基本處于空缺狀態。
(三)銀行監管人員的知識結構不合理
銀行信息技術風險管理有其獨特的一面,要求監管人員在熟練掌握銀行業務知識、網上銀行、電子交易等新銀行業務知識的基礎上,還要具備良好的計算機應用以及管理方面的能力。當前國內銀行監管當局工作的重點主要集中在對傳統銀行業風險監管上,對監管人員在計算機知識方面的要求較低,監管人員知識結構的不合理降低了對銀行信息技術風險管理的水平、
(四)缺乏完善的銀行信息技術安全審計體系
銀行技術安全的專業性較強,需要外部評估機構對其進行專門的監管。與美國相比,我國的銀行技術安全審計體系主要存在兩個方面的不足:一是合規的外部安全評估機構較少,其評估結果權威性較差;二是銀監會對外部評估機構的監管力度較弱,沒有一套完整、規范、標準的審查程序和監管體系。
(五)缺乏合理的信息技術風險評估的指標體系
在銀行信息技術風險的現場檢查工作中,需要利用相應的風險指標來對信息技術的風險水平進行相應的定性和定量分析,以此來判斷整個信息系統的安全性。在國內還沒有一套完整的信息技術風險評估指標體系,現場檢查工作得出的結論難以體現出科學性和客觀性,削弱了銀行信息技術風險管理的風險控制水平。
(六)對外包風險缺乏必要的控制
國內部分銀行也實行了IT服務外包,但對外包風險管理缺乏必要的控制,銀行對外部的依賴性較強,對外包商的控制力度較弱,同時,銀行監管機構也沒有一套完整的體系來對外包機構進行評估和監管。
二、國外銀行信息技術風險管理對國內銀行的啟示
盡管國內銀行體系的發展與國外有些差異,但從銀行現階段的情況來看,有很多地方都是需要向國外銀行學習的。
(一)建立健全的信息技術風險管理法律法規體系
法律法規的完善是保證信息技術風險管理有效執行的前提,建議從以下幾個方面來完善相關法規建設:完善信息技術風險管理所涉及的范圍;建立完整的風險監管體系;建立合理的信息技術風險評估的指標體系;建立科學風險評估體系;建立銀行信息技術安全審計體系。此外,還要注意相關法律法規的及時修正和補充。
(二)加強銀行IT審計
首先,銀行領導層要充分認識IT審計的作用,完善銀行公司治理機制;其次,要積極解決IT審計人才不足的問題,調整信息技術風險管理人員和監管人員的知識結構,提高銀行對信息技術風險管理的控制和防范水平;第三,銀行監管當局要重視IT審計,把IT安全作為監管的重要內容,將IT審計作為評價其安全性的重要因素,通過現場及非現場對銀行業進行督促。
(三)重視信息技術風險評估和外包風險控制
風險評估作為銀行信息技術風險控制和系統安全建設的基礎,指導銀行信息系統系統安全技術體系和管理體系的建設。因此,要重視信息技術風險評估工作,充分利用信息技術風險評估指標體系來實現對信息技術現場檢查工作的客觀化、科學化和規范化。此外,銀行監管當局和銀行本身都要借鑒國外發達國家的實踐和經驗,加強外包風險控制。
三、結語
