前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全風險管理主題范文,僅供參考,歡迎閱讀并收藏。
Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.
Key words: information security;risk management;framework research
中圖分類號:F270 文獻標識碼:A 文章編號:1006-4311(2017)18-0053-03
0 引言
在社會不斷發展的同時,信息化技術也獲得了長足的進步,并且已經廣泛地應用到人們的生活與工作中。對于企業單位而言,信息資源是保證正常運營的關鍵因素,企業運營的重要數據、客戶資料以及知識產權等信息都是重要的信息資源,這些資源一旦泄露或丟失,會對企業造成極大的影響。因此,企業必須重視自身信息系統安全風險管理的框架的建設,有效防止來自網絡的惡意攻擊,防止內部重要信息泄露或丟失,保證企業信息安全。
1 企業信息安全實踐的需求分析
在信息時代的大背景下,企業的信息化程度是衡量其發展水平的重要因素。但是,我國的信息安全形勢不容樂觀,大部分企業沒有樹立信息安全風險管理概念,企業的信息安全無法得到良好的保障。信息安全是一項綜合性的工程,不能僅憑企業短期內需要就采取某些措施,無法從根本上提高信息安全水平。想要做好企業信息安全實踐工作,必須事先做好企業對信息安全的需求分析,形成全面的分析報告,并根據報告中的內容采取相應的措施,改善企業信息安全現狀。但是,需求分析的具體過程也不是始終不變的,而是會根據企業的發展與信息技術的進步發生改變的。信息安全風險的獨特性必須在框架中體現出來。信息安全風險源于信息,信息本身具有不斷發生變化的特性,從其以數據的形勢出現開始,直至在各項功能中發揮相關的作用,這個周期內的每個階段都有相的價值。信息安全管理就是要對企業的信息資源進行全面的保護,避免因這些資源受到損失而對企業的運營造成影響。企業信息安全風險管理框架中,必須能夠發現信息資源即將受到的威脅,評估這些威脅會對信息資源造成的后果,以確定應對這些威脅的順序。在制定風險計劃時,需要明確對于風險的應對方式以及合理的控制措施。在風險的監督與改進過程中,需要根據這些風險采取適當的監控手段??傊?,在此過程框架每個過程要素的分析中,都必須體現信息安全風險的獨特性。
2 企業信息安全風險的類型及內容
一般來說,在企業運營過程中,信息安全系統通常面臨以下風險因素:
①因線路故障、停電、網絡通信設備損壞等導致網絡突然中斷。
②網站遭到非法攻擊,主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規、歪曲事實、散布謠言的言論,以及破壞社會穩定、損害公司名譽的不當言論等。
③公司內部網絡服務器或他服務器被非法入侵,相關網絡設置被非法拷貝、修改、刪除,發生泄密事件。
④公司內外網終端混用,被國網公司信息管理部門查處,造成公司信息泄露、丟失事件。
信息系統是企業正常開展生產運營工作的基本前提,信息管理系統一旦出現問題,輕則影響企業內部業務項目的正常進行,重則導致企業蒙受巨大的經濟虧損。因此,針對信息安全風險加強管控對企業來說意義重大。
3 企業信息安全風險管理方案
3.1 建立信息安全風險管理流程
企業信息安全風險管理工作可按照圖1所示流程逐步展開。
3.2 完善信息安全風險管理措施
對信息安全風險的管理可以以階段化的管理模式逐步展開,具體措施如下:
3.2.1 實施準備階段
信息安全風險管理實施的準備階段主要包括管理開端的建立、風險評估以及制定行動方案三個步驟。第一,在管理開端的建立中,首先要獲得企業管理部門與業務部門的支持,并且建立完善的管理質素,明確參與到管理過程中的工作人員的職責;第二,在風險評估步驟中,首先,確定風險評估對象的范圍,其次,確定評估小組的成員,并且制定評估方案;最后,對評估小組成員進行與評估方案有關的培訓。在這些準備工作結束后,評估人員就可以開始通過訪談或調查的形式來確定公司信息資源的具體情況,明確用戶對信息安全的需求。再通過對風險進行識別與分析,發現企業信息系統中存在的風險。第三,在制定行動方案的步驟中,需要完成保護方案的制定以及確定風險處理方式兩部分工作。通常情況下,保護方案就是需要企業長期持續執行,能夠幫助企業保證自身信息安全的方案,但不足以滿足企業在短期內提高信息安全性的需求。因此,企業必須對所有控制措施制定相應的處理方式,在短期內解決企業最需要解決的問題。
3.2.2 部署與執行階段
行動的部署與執行階段主要有計劃的部署與安全培訓兩方面工作組成。第一,行動計劃部署。在這個過程中,安全風險管理計劃中的所有措施都必須被執行,需要對具體行動方案進行必要的理解并執行。首先,要與企業中的員工進行事先溝通,防止在實施中遇到反對或抵觸的情緒。其次,確保被安排到行動計劃的員工能夠把握這些工作的優先級。此外,必須制定行動執行保障制度,為計劃執行準備足夠的資源,以保證計劃順利執行。第二,安全培訓工作的實施。在企業內部,從事安全風險管理工作的員工有時會將普通工作人員視為技術人員,顯然這種想法是有問題的,并不是企業內的所有員工都了解信息安全風險管理。所以,我們必須了解企業中大部分員工知識利用信息系統完成自己的工作任務,信息安全的保護是需要專業的信息安全人員進行的。所以,企業必須組織安全培訓,通過培訓提高員工安全意識,保證他們在信息系統遇到危險時能夠采取一些有效的行動,對系統進行適當的保護。
3.2.3 風險監督檢查階段
在信息安全風險管理團隊中,必須組建風險監督小組,在風險管理的整個過程中對其進行監督與檢查,小組應由小組負責人與檢查人員組成。實施風險監督檢查的目的就是為了掌握企業信息安全的實際狀態,并且收集信息安全環境變更信息,方便對未來的風險進行預測。風險監督小組在獲得這些信息后,必須及時向風險管理團隊反饋,確保他們能夠掌握企業最近的信息安全狀態。
3.2.4 風險改進階段
在這一階段,我們必須做好以下工作:制定詳細的風險改進措施。風險管理團隊需要根據企業的信息安全狀態制定詳細的風險改進措施。通過對監督檢查過程中發現的問題進行分析,可以找出導致問題產生的原因,制定相應的改進措施并限期完成,檢查人員則要負責對具體的實施情況進行檢查。在改進過程中,需要注意的是,改進措施必須獲得最高管理者的批準,特別是關系到整個企業或大多數部門的改進措施。風險監督小組必須隨時跟蹤糾正措施實施情況,驗證改進措施的執行是否符合標準。
3.3 建立企業信息安全風險評估體系,促進信息管理工作不斷優化改進
3.3.1 明_信息安全風險評估流程
企業信息安全風險評估工作可以參照圖2逐步實行。
3.3.2 信息安全風險的計算及處理措施
企業的風險可以通過多種計算方法得到,但通常資產的風險值可以定義為:風險值=f(安全事件發生的可能性,安全事件發生的危害性)=g(資產,威脅,脆弱性,已實施的控制措施)。評估人員根據這樣的函數形式,可以采用一種類似5×5形式的矩陣來計算風險,其中行和列分別代表了安全事件發生的可能性或發生的危害性等級。當然,評估人員為了細化這些風險可以采用維數更多(更細)的矩陣。
4 結論及建議
企業通過信息安全風險管理的實施,能夠確定長時間的安全風險管理計劃,并且可以有效地緩解企業信息系統中的安全風險,提高工作人員對與信息安全風險的認識,建立健康的安全風險管理氛圍,推動企業信息化發展。
另外,建議企業在實施信息風險管理的同時,及時建立信息安全風險預警系統,特別要加強網絡與信息系統安全管理,充分發揮技術支撐、機制保障作用,不斷完善預防與搶險相結合,有效地預防和減少信息系統安全事故的發生,保障信息安全穩定運行。
參考文獻:
[1]王淳萱.大數據環境下國有企業的信息安全探析[J].冶金經濟與管理,2016(02).
關鍵詞:鐵路網絡;信息;安全風險;管理措施
目前,我國已經進入信息網絡技術普及的時代中,在信息技術應用越來越廣泛、作用越來越強大的同時,鐵路運輸組織、服務、管理、建設等多方面的發展逐漸依賴于信息技術與網絡技術,目前鐵路生產與管理已經進入智能化、管控一體化的管理模式中,因此,信息與網絡的安全性對鐵路發展有著至關重要的影響。但是隨著信息化越來越強烈,存在的風險越來越多,這對鐵路發展無疑是一種嚴重的威脅,下面對控制網絡與信息安全風險提出了幾點參考建議。
一、信息安全管理體系結構
信息安全風險管理體系結構模型主要由技術、管理以及系統生命周期三大要素組成的三維模型。而信息安全是由信息安全技術與信息安全管理共同參與保護工作而實現的,信息安全技術的保護作用在于對信息安全保護采取的有效技術措施,而信息安全管理的作用主要在于對信息安全技術實施與運行過程中進行科學管理,促使信息安全技術發揮最大作用。隨著信息安全風險越來越多,需要不斷提高信息安全技術實施與運行能力,更重要的是加強信息安全管理,從政策、法律、技術、人員等方面進行全面管理,為保證信息安全采取有效的應對措施。
1、技術要素
在技術要素中主要含有環境、系統、網絡、應用四個技術方面。鐵路信息系統建設過程中,環境安全是保護信息系統安全的基礎與屏障,對于機房環境安全要求非常嚴格,從機房建設過程開始就需要對機房地址、周邊環境等方面進行考慮,特別是對防火、防雷擊、防滲水、防鼠害等多種對機房安全有影響的因素全部考慮在內,同時還要加強對機房維護與管理等方面工作的考慮。值班人員管理、設備管理、電源管理、機房詢問控制以及機房保密等方面中都會存在安全風險,因此需要對其采取相應的管理措施,來降低風險發生幾率,保障信息安全。
系統主要是由硬件、軟件以及數據組成,加強系統安全,首先要確保硬件安全、軟件安全以及數據安全,一旦發生安全風險,就會使數據遭到破壞、更改、泄露等風險出現,因此,需要加強對其安全保護,保證數據安全、促使系統正常運行。網絡是數據傳輸、分析、處理等方面的重要渠道,要對網絡安全加以重視,網絡安全是可以保證信息安全的基礎,因此,需要對其加強管理,要從結構、訪問、審計、設備、代碼、病毒等方面進行全面加強防范措施。應用系統是實現信息權限管理的重要技術,具有賦予、變更、撤銷等重要信息應用功能,因此,加強應用系統安全管理有一定的必要性。首先要完善專用用戶登錄識別功能;其次要提高訪問控制功能;再次需要對重要信息進行加密保管;還要保證數據完整性,加強密碼技術功能應用;最后要對資源進行合理控制,限制使用額度。
2、管理要素
信息安全風險管理效果與鐵路內部組織結構、管理制度以及人員管理有著直接的關系,沒有完善的組織結構,相應的管理制度,會使內部管理混亂,進而發生信息安全管理不得當,同時技術人員的技術水平以及個人素質等因素都會造成信息泄露、丟失等風險存在。因此,必須建立完善的組織結構,鐵路信息系統的安全要在組織結構方面得到安全保證。鐵路信息安全管理應建立由上級領導層、中級管理層、下級執行層三個層面的管理組織機構,并制定完善的管理制度,落實到實際工作中,加強技術人員的培訓,以提高技術人員專業水平以及綜合素質為目的,優化整個信息安全管理部門,促使鐵路信息安全風險管理得到保證。
3、系統生命周期要素分析
設計階段的安全風險管理過程應對設計方案中所提供的安全功能符合性進行判斷,作為采購過程風險控制的依據。應詳細評估設計方案中對系統可能面臨威脅的描述,將使用的具體設備、軟件等資產及其安全功能需求列表。基于設計階段的資產列表、安全措施,實施階段應對規劃階段的安全威脅進行進一步細分,同時評估安全措施的實現程度,從而確定安全措施能否抵御現有威脅、脆弱性的影響。運行維護階段的風險評估應采取定期和非定期兩種方式;當組織的業務流程、系統狀況發生重大變更時,也應進行風險評估。
二、采取措施建議
在信息系統規劃、設計階段,應對信息系統的安全需求進行分析,同步規劃、設計信息系統的安全等級和保護措施,建立安全環境,從源頭上保障信息安全。對已定級的信息系統,應嚴格按照等保要求進行區域劃分、邊界防護、訪問控制、安全審計及安全管理。構建一個全路信息系統可視化管理平臺,對網絡、計算機設備、應用系統部署、操作用戶及角色、運維狀態等關鍵信息進行全局監控,提高對系統中安全問題及其隱患的發現、分析和防范能力。建立全路統一的身份認證與授權機制,對各信息系統的用戶進行統一管理,確保信息在產生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。
鐵路網絡與信息安全風險管理,不僅僅是從加強技術或者管理任意一方面就可以實現的,而是需要對信息技術與安全管理相結合,共同完善信息安全風險管理。加強對信息技術內部結構的保護,從硬件、軟件、數據、加密手段、權限管理手段等多方面進行安全防護,控制系統安全風險發生,同時還需要加強信息外部管理,從建設、人員、操作、管理等方面進行管理,保證鐵路網絡與信息安全,降低風險發生,為鐵路發展提供信息安全保障。
參考文獻:
前言
隨著網絡時代的到來,各項科技技術獲得了極大的突破,也在實際生活中得以應用。而在現代醫院運行管理中,計算機網絡信息技術的綜合運用便是極為明顯的可靠實例。通過加強改進醫院計算機系統管理與風險控制,改善醫療整體服務質量與業務能力。通過對現代醫院計算機信息系統重要性分析闡述,并對其風險控制方法提出建議。
1 醫院計算機信息網絡系統建立的重要性
由于網絡技術的飛速發展,已經對現代社會,生活,政治,經濟等各方面產生深遠影響,深入滲透。尤其在醫院現代化管理中,醫院信息網絡化管理,資源數據化帶來了非常大的便利,也是現代化醫院建立的必要條件。借助計算機網絡工具,提高服務質量,醫療水平,促進醫療事業的發展。通過信息網絡管理后,使醫院運營得更加規范科學。不僅推動了醫院現代化改革,也對整個醫療事業的發展提供了助力,其意義與作用不言而喻。
傳統的醫院管理中,由于缺乏網絡信息,往往花費大量的財力物力人力對進行日常維護。隨著醫院計算機信息系統的引入,不斷地智能化科學化,在很大程度上對醫院的資源配置進行合理優化,提高了整體的醫療競爭力。而在信息分析處理中,因為計算機的決策整合,使得最終處理結果更加合理精確。例如在對患者病情記錄分析中,職員考察考核等等,都可以高速便捷的展開研究。
2 計算機軟件信息安全維護
在醫院計算機使用過程中,要做到醫院計算機自身終端完全不受干擾破壞是不可能的,只有通過提高免疫防御能力,才能減少被感染可能性。但是由于有的高危病毒,傳播速度驚人,破壞力極大,并且頑固復雜,難以徹底清除,在短時間內就能造成大量客戶計算機無法工作,對醫院日常的工作帶來了極大的影響。應用系統在數據交換過程中可以對其進行審計,其中記錄的事件內容,可能包括客戶機地址,具體操作時間,與其他用戶結果信息數據。在日常維護處理中,就可以對報告結果導出分析。對于用戶私人數據,也應該建立嚴格的保護機制,安全性,只有通過權限授予才能訪問讀取相關的信息數據。同時為了保證關聯性,可以對用戶設置多個角色。系統根據角色類別進行權限操作限制,不僅可以越權操作,還可以設置角色屬性限制期的功能,權限的多樣化和靈活性大大保證了醫院計算機信息系統的安全性。
3 計算機信息安全管理制度建立
在安全管理中,可以實施責任制度。例如成立醫院信息安全管理組,醫院相關負責人,以職能為參考標準,負責安全線的各項工作,定期安排任務與會議總結,發現問題,總結問題,進而深化部署醫院計算機信息安全管理工作。在制度的建立中,可以參考服務器,網絡設備,技術人員,數據文檔相關系列的安全管理制度體系。指定人員定期維護,保存記錄,做好應急預案與應急措施,做到日志化管理。
對于信息安全操作規范,也需要加強管理。指定系統軟件,數據操作規范流程,沒有授權不能進行文件復制,數據共享,系統的修改增刪。定期維護服務器狀態檢查,分析日志,并且觀測數據是否存在問題,及時發現異常點,做好日志記錄,保證完整性與可靠性??梢灾贫ㄅ嘤栍媱潱谡麄€培訓中,目標,流程,結果應該清晰有效,如果信息安全管理小組發生變化可以及時跟進培訓配合,建立獨立操作局域網,模擬真實的信息系統環境,幫助相關人員快速準確掌握方法。
4 信息系統安全管理控制升級
4.1 信息安全細節化設計
醫院網絡安全數字化是一個長期整體的系統工程,主要圍繞防護警示,檢測檢查,修改恢復這一過程循環運行。如果這一程序鏈中出現錯誤,某個環節沒有按照預定設置完成,將會產生諸多負面影響??刂坪妹恳粋€環節的處理,并且嚴格落實,通過一系列的管理制度與措施,監督責任到位,確保整個信息安全系統安全高效,持續穩定的工作。由于網絡技術的不斷發展,漏洞與不足暴露得越來越多,對于新應用新技術推廣的同時,還需要加強培訓,以滿足業務工作需要。
就信息網絡系統自身而言,采用符合實際操作情況與工作狀態的結構系統,安全等級與維護難度都將能夠降低難度,易于操作。構建多層次,體系化的設計使用戶角色等級,權限操作,優先等級分布到更多層次,更多日志記錄。那么后續維護,控制分配也將更加靈敏。結合具體的業務情況,在可用性與安全性之間尋找平衡點,在符合安全的大前提下,開拓業務,提升服務質量。
4.2 醫院計算機信息安全風險控制升級
在某些醫院中,計算機網絡防御等級較低,需要通過加強安全性對整個系統進行升級。首先需要確保醫院計算機信息網絡服務器保持正常。要確定系統的長期安全。注意機房服務供電情況,布線合理,溫度濕度,雷電預防等問題。保證醫院服務器不間斷供電,保持電源線路通暢。同時主要設備與核心設備固定器維護與檢查,及時發現問題與前兆,快速有效處理。保證計算機中心溫控與散熱條件良好,使得整個服務器中心環境到達理想狀態。保持清潔,除塵保潔,重視物理環境的維護,并且確保數據的及時正確備份。
另外,對于醫院計算機信息主要管理人員的素質,仍然需要加強,明確權力責任,落實到點。這也關系到醫院信息安全工作能否安全運行。對于網絡用戶也應該嚴格限制管理,分清患者、醫務職員、管理人員的角色職能。對用戶和密碼加強管理,這樣可以有效的避免危險數據與不明軟件對服務器的攻擊與傷害。
同時重視日常計算機系統相關記錄數據。在常規服務日志的檢測基礎上,加以分析預判,進而實施下一步相關措施。例如服務器啟動停止,異常運行數等等,都可以有助于信息系統管理者對醫院計算機信息系統的全面了解,從而進行評估,得出相關結論。依托數據對系統的安全等級展開定級,制定有效制度措施防范解決問題,確保整個信息系統的安全和高效,達到風險管理控制的目的。
5 結束語
提高安全防范意識,完善制度,對于醫院計算機信息安全風險管理控制方法不僅僅需要從技術角度入手,自身也需要意識到它的重要性。這不僅關系到醫院的整體協作與工作效率,還影響所有部門員工統一性。需要全面了解當前信息系統中的安全問題,并積極應對。因此在提高技術的同時,依靠建立制度對員工進行規范管理,提高防范意識,確保醫院計算機信息系統安全。
關鍵詞:網絡審計 歷史財務報表審計 信息安全管理 風險評估
一、引言
從審計的角度,風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。從企業管理的角度,企業風險管理將風險評估作為其基本的要素之一進行規范,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分,是企業信息安全管理的基礎和關鍵環節。盡管如此,風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網絡審計風險評估的理解。
二、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率,為企業的經營管理帶來很大的優越性,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索,這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統,或者說,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地,網絡審計的固有風險主要是指系統環境風險,即財務電算化系統本身所處的環境引起的風險,它可分為硬件環境風險和軟件環境風險??刂骑L險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險,財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同,企業在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境;網絡層,即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等;系統層,即信息系統本身的漏洞情況、配置的缺陷情況;應用層,即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的??偟膩碚f,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環境外,還應該關注其他相關的潛在事件及其影響,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅,并分析威脅發生的可能性;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度,判斷風險發生的可能性;(4)根據風險發生的可能性,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外,審計人員應格外關注對信息系統及網絡的特性情況,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析,進而評價企業相關風險發生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業管理的組成部分,它具有規劃、組織、協調和控制等管理的基本特征,其主要目的在于從企業內部風險管理的角度,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險,包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動;他評估通常是由組織的上級主管機關或業務主管機關發起的,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業務,與網絡審計嚴格區分開來。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威
脅發生的可能性賦值;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值;(4)根據威脅和脆弱性計算安全事件發生的可能性;(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織的影響,即風險值。結合上文網絡審計風險評估五個方面的內容可以看出,網絡審計和信息安全風險評估在內容上有相近之處,即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業的一項內部管理,其風險評估工作需要從兩個層次展開:一是評估風險發生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的,其重點在第二層次?!缎畔踩L險評估指南》(征求意見稿)提出,企業在確定出風險水平后,應對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業發展戰略、企業文化、人員素質,并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此,兩者的評估內容是存在區別的。
【關鍵詞】數字化 醫院 信息管理系統 安全風險
伴隨著信息化技術的飛速發展,數字化開始受到了人們的普遍關注,在越來越多的領域得到了應用?,F階段,醫院普遍都建立起了相應的信息管理系統,并且其正逐漸由單純的信息管理向其它業務延伸,在醫院正常運轉中發揮著越來越重要的作用。針對當前醫院信息管理系統中存在的安全風險,管理人員應該制定切實可行的風險應對策略,保障系統的運行的安全性和可靠性。
一、醫院信息管理系統的安全風險
醫院信息管理系統是指在醫院管理以及醫療活動中,進行信息管理和聯機操作的計算機應用系統,同時也是覆蓋醫院所有業務以及業務所有流程的信息管理系統,能夠利用計算機以及通訊設備,為醫院各部門提供病人診療信息、行政管理信息等,實現信息的收集、存儲、整理、提取以及交換,可以滿足授權用戶功能需求的平臺。醫院信息管理系統的安全直接影響著醫院網絡服務的質量,關系著醫院的正常運轉,其重要性不言而喻。
從目前來看,在醫院信息管理系統中,存在著大量的安全風險,包括了硬件風險、軟件風險、管理風險以及環境風險四個方面的內容,之所以會如此,一方面,醫院管理人員并沒有認識到信息管理系統安全的重要性,將目光更多的放在了系統的實用性而非安全性上,因此并沒有投入相應的經費去進行系統安全防護模塊的建設及維護,導致系統中存在著較大的缺陷和漏洞,給系統安全帶來很大的隱患;另一方面,醫院病沒有制定與信息管理系統密切相關的制度和措施,導致在系統管理方面缺乏嚴謹性與可靠性,加上缺乏先進的技術支撐,在系統的安全維護方面相對薄弱,影響了系統的運行安全。
二、醫院信息管理系統安全風險的應對策略
(一)提高系統安全意識
只有意識到了信息管理系統安全的重要性,樹立起了相應的系統安全意識,才能夠真正確保風險防范措施的有效落實。因此,對于醫院而言,應該加強信息系統的安全教育,成立相應的安全領導小組,對任務進行分配和落實,確保其都能夠認識到系統安全的重要性。同時,應該制定出切實可行的管理制度,對領導小組和管理團隊的行為進行約束,確保其能夠全身心地投入到各自的工作中去,強化責任意識。另外,醫院財政管理部門應該設置專門的系統安全管理資金,對一些影響系統安全的薄弱環節進行統計,增大設備、技術以及管理方面的資金投入力度,避免由于設備缺陷、技術不足以及管理漏洞影響系統安全管理工作的成效。
(二)構筑風險評估機制
相關統計數據顯示,在醫院信息管理系統中,多數安全風險都可能會帶來難以估量和彌補的損失,嚴重時甚至可能會間接導致病患的傷亡。而對安全風險進行分析,其多數都是由于沒有能夠及時發現和排除風險因素。對此,醫院應該結合自身實際,構筑相應的風險評估與檢測機制,及時做好系統檢測工作,發現其中存在的不足和漏洞,尋找問題的解決策略。對于一些尚未表現出的問題,應該通過系統的日常維護管理,發現其潛在風險,做好必要的預防和規避措施,盡可能消除其對于醫院的影響[2]。從機制的落實層面考慮,應該設置完整的安全檢測計劃,安排專門的計劃執行人員,成立系統安全管理小組,確保其能夠在醫院各部門的配合下,對安全檢測計劃進行有效落實,確保各項工作的有序、規范進行。
(三)選擇可靠硬件設備
硬件設備的質量在很大程度上關系著系統的運行安全,要想確保醫院信息管理系統的安全運行,離開了高穩定、高可靠和高性能的硬件設備的支持是不可能的。對于醫院而言,應該認識到這一點,不能為了縮減資金而使用一些缺乏保障的產品。對于一些關鍵性設備,如交換機等,不僅需要確保其可靠性,還必須設置備用,確保設備出現突發性故障時可以迅速替換,保障信息管理系統的正常運行。應該做好硬件設備的維護管理和檢測工作,及時對一些老化的設備和部件進行更換,對設備內部的積塵進行清理,對設備運行的環境進行優化,確保硬件設備的穩定可靠運行。
(四)重視數據備份管理
數據備份在應對系統風險方面發揮著非常關鍵的作用,可以有效減少數據丟失對于醫院運轉造成的影響。當前,許多醫院在數據備份上往往只能做到定期備份或者針對某個時點的備份,而無法做到實時備份,這樣并不能有效規避風險。從目前的技術條件分析,數據庫的實時備份包括了硬件同步和軟件同步兩種,可以在同一時刻將數據寫在兩個甚至多個不同的位置,從而避免了數據的損壞或者丟失。對于系統管理人員而言,應該對數據庫備份策略做到心中有數,并在模擬機上進行數據恢復試驗,以確保備份數據的有效性。
(五)完善網絡防護措施
在當前數字化、網絡化的環境下,醫院信息管理系統面臨著病毒、木馬以及非法入侵的威脅,必須設置完善的網絡防護系統。從目前來看,比較有效的防護措施,一是物理隔離,將醫院信息管理系統運行的網絡獨立出來,切斷病毒傳播的途徑;二是防毒軟件,減少和預防病毒的傳播與擴散;三是端口控制,防止設備非法接入網絡,減少網絡遭受攻擊的機率。
三、結語
醫院信息管理系統的安全關系著醫院的信息安全,也關系著醫院自身的運行安全,應該得到足夠的重視,做好相應的風險評估和檢測,及時發現系統中存在的安全風險和風險隱患,采取切實有效的預防和應對措施,對風險進行規避和處理,保障醫院信息管理系統的安全可靠運行。
參考文獻:
[1]陳寧,李成華,李暉,曾永杰.醫院信息系統安全風險規避管理策略研究[J].電腦知識與技術,2015,(28).
[關鍵詞]檔案管理;信息化;優勢;安全風險;評估
doi:10.3969/j.issn.1673 - 0194.2015.18.132
[中圖分類號]G270.7 [文獻標識碼]A [文章編號]1673-0194(2015)18-0-01
隨著時代的不斷發展,信息化建設成為檔案管理發展的必然趨勢,對現代檔案管理工作的開展及檔案資源的應用有著非常重大的意義。檔案管理信息化是實現檔案管理規范化、現代化的一大重要途徑,同時也是檔案資源實現共享,得到廣泛應用的必然要求。
1 檔案管理信息化的必要性
在當今檔案管理信息量急速增加、種類繁多、信息載體多樣的情況下,傳統的檔案管理模式已與社會信息化發展相脫節。這必然要求檔案管理信息化,在滿足時展需要的同時更好地促進檔案管理事業的發展,充分實現檔案的功能和價值。檔案管理信息化發展是檔案發展的必然要求,當今社會已具備了檔案管理信息化發展完善的條件,使其發展成為可能。第一,具備軟硬件基礎。硬件基礎主要體現在各單位的檔案管理部門已具備打印機、復印件以及掃描儀等高新技術設備,另外,對計算機的配置也滿足了檔案管理部門的工作需求。第二,規范的管理機制。其標準體現在整理、統計、服務及技術等多個方面。第三,人們的信息化意識逐漸增強。隨著計算機網絡技術在生產生活中的廣泛應用,人們的信息化意識逐漸增強,同時人們對信息化相關設備技術的操作能力也已滿足日常生產生活的需要。這為檔案管理信息化的發展提供了良好的社會環境和思想環境,并在一定程度證實了檔案管理信息化建設的迫切需求。
2 檔案管理信息化的優勢
2.1 利于存儲
在檔案管理信息化中,檔案管理不再占用巨大空間,且提高了管理效率,檔案只需儲存在計算機中。同時,也解決了紙質檔案在存儲期間的自然損害問題,提高了檔案資料存儲的長期性。經過高新技術進行“原文掃描“后,利于實現“原文”再現。
2.2 便于查詢
在傳統的檔案管理模式中,查詢資料需檔案管理人員自大量的紙質信息中,通過肉眼查找。檔案管理信息化徹底改變了這一費時、費力的查詢方式,通過檔案信息管理系統即可實現檔案資料的即時、準確查詢。這大大提高了檔案資料的使用質量、精度和效率。
2.3 實現信息共享
檔案管理信息化通過信息網絡可促進組織、單位內部的信息共享,使檔案資源的使用更加快捷,及時滿足組織、單位內部對檔案信息的需求。專用的信息技術,可實現檔案資料的異地遠程管理和使用,最大程度地發揮了檔案的作用。
2.4 實現檔案的分級管理
在檔案管理信息化中,可通過相應的網絡權限設置,規定使用者的調閱權限,實現檔案資料的分級管理,這有利于資料保密。同時,系統查詢記錄可自動記錄調閱情況,以更好地落實責任追究制。
2.5 提高工作效率
傳統的檔案管理工作中,檔案的收集、整理、保管以及利用等都需要通過手工勞動實現,這需要花費大量的人力和物力資源。而檔案管理信息化改變了傳統的工作方式,檔案資料經微機處理后,實現了按“件”整理歸檔,其整理、保管及利用等環節均可在電腦上操作。同時,工作人員的工作由以前的集中工作轉變為分散工作。另外,系統中按“件”整理的資料,使得文件的插入變得簡單,便于文件完善??梢姡瑱n案管理信息化在降低工作人員勞動強度的同時也提高了工作人員的工作效率。
3 檔案管理信息化安全風險評估
3.1 檔案管理信息化安全風險評估的必要性
檔案管理信息化的優勢逐漸體現出來,且其特點鮮明,與社會發展相協調,是現代化發展的一個重要趨勢。信息化的管理方法,能給人們的生活帶來方便,與此同時,信息的安全問題也引起了人們的注意。在對檔案進行信息化管理的過程中,應確保信息的安全性,保證信息傳輸路徑的安全,并確保數據的完整性。
3.2 檔案管理信息化安全風險評估中的存在的問題
目前檔案管理信息化安全風險評估存在的問題主要有以下幾個方面。第一,對信息安全評估不夠重視。各組織、單位的管理層對檔案管理信息化安全評估的重視程度不能與檔案管理信息化安全評估的重要性呈正比,遠遠達不到現階段信息安全的需要。第二,評估技術人員匱乏。各組織、單位內部,對檔案管理信息化安全評估的重視程度不夠,導致安全評估人員的專業知識及經驗嚴重不足,不能滿足其工作需求,甚至相關部門的檔案管理信息化安全評估形同虛設。第三,工作流程及技術標準有待完善。就目前檔案管理信息化安全評估的發展狀況而言,需要完善其工作流程及相關的技術標準。其工作流程和技術標準要根據具體環境及情況而制定,以實現流程和標準的科學性、合理性。特別是評估中的分析方法如定性分析、定量分析等,需要進一步完善。第四,評估工具有待更新。隨著信息化的不斷推進,其安全問題也日漸暴漏。原有的評估工具已不能滿足現階段解決相關安全問題的需要。因此,必須加大評估工具的開發和推廣力度,切實滿足檔案管理信息化安全評估的需求。
4 結 語
檔案管理信息化是檔案管理隨時展的必然趨勢,其與傳統的檔案管理方式相比有著明顯的優勢。同時,檔案管理信息化所具有的信息安全也需引起重視,要積極解決信息化安全評估中的相關問題,促進安全評估,從而在根本上促進檔案管理信息化的發展。
主要參考文獻
隨著信息化的不斷推進,信息設備的使用也變得越來越廣泛,越來越多單位的主營業務系統開始基于信息設備來構建,鑒于此,信息設備及信息系統是否能持續穩定的運行以及承載在這些信息設備之上的數據是否安全成為關注的熱點問題。目前信息數據的主要載體便是各種類型的信息設備,所以對信息設備的信息安全防護即是對其包含的信息數據的安全防護。隨著信息設備所面臨的越來越嚴峻的信息安全威脅,如何做好信息設備的風險管理工作是一個值得深入探討的課題。
2信息設備風險管理
2.1信息設備的風險概述
參照信息安全風險評估規范等標準來說,信息設備信息安全風險包含三個要素,即脆弱性、威脅和資產,每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。信息設備所面臨的信息安全風險并非某種單一來源的安全威脅,而是三種要素互相影響、互相關聯的某種動態的平衡關系,而信息設備的風險管理本質上講是對這三種要素造成的安全風險程度的可控管理。
2.2信息設備全生命周期風險管理
信息設備全生命周期風險管理包括信息設備規劃設計階段、部署階段、測試階段、運行階段和廢棄階段。規劃設計階段應能夠描述信息系統建成后對現有模式的作用,包括技術、管理等方面,并根據其作用確定系統建設應達到的目標。這個階段,風險威脅應根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。部署階段是根據規劃設計階段分析的威脅和制定的安全措施,在設備部署階段應進行質量控制。測試階段是對已經部署完成的信息設備結合前期規劃設計方案的要求對采購來的信息設備進行全面的測試,包括基礎測試、功能性測試及安全性測試等。運行階段讓信息設備穩定運行并起到其應有的功能。該階段應做好設備監控、脆弱性發現、設備異常報警、信息設備日志搜集和分析等工作。廢棄階段存在的風險包括未對殘留信息進行適當處理、未對系統組件進行合理的丟棄或更換或未關閉相關連接,對于變更的系統,還可能存在新的信息安全風險,因為其可能替換了新的系統組件等。
2.3信息設備風險管理體系
傳統的信息安全管理體系主要依據ISO27001相關標準搭建,ISO27001標準采用基于風險評估的信息安全風險管理,具體采用了PDCA模型過程方法來全面、系統、持續的改進組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統信息安全管理,同時也適用于信息設備的安全風險管理。
2.3.1總體思路
信息設備風險管理總體借鑒PDCA管理模型的相關理念,將信息安全設計方案制定、各階段的信息安全風險管理實施、各階段信息安全管理檢查、信息安全管理改進,形成一套有效的安全風險管理防護方法,對信息設備進行不同時間階段、不同維度、不同重點的管理,有效防范和控制信息安全風險,增強信息安全體系的檢測能力、保護能力,為用戶開展風險管理提供全方位的管理思路。
2.3.2風險管理模型
融合傳統風險管理的PDCA模型,將傳統風險管理中動態模型的思路加以延續,增強信息設備狀態的動態特性,主要分為四部分:管理規劃、管理實施、管理檢查、管理改進。管理規劃:決策層要明確政策、目標、策略、計劃,形成具體的管理規劃,明確組織風險管理的整體目標和方向,確定對信息設備進行風險管理所要達到的目的和狀態,從而防止后續制定的風險管理規范和組織與已有的戰略決策、制度、規范等相違背而導致不可執行的問題。管理實施:管理層在深入領會和遵照管理規劃的指示后深入研究信息設備各階段所面臨的信息安全風險,對信息設備各環節制定詳細的風險管理實施規范和標準,以便具體的業務部門、人員等能嚴格按照管理規劃的計劃和要求來實施風險管理規范。管理檢查:管理檢查作為監督信息風險管理實施效果的主要手段之一,需要確保管理檢查手段的全面性、科學性、客觀性,需要覆蓋各個管理階段,客觀而高效的評價風險管理實施效果。管理改進:通過歸納總結前階段管理檢查的工作成果,結合信息設備各階段在實施信息風險管理中碰到的各類問題,從管理規劃、管理實施、管理檢查等各階段提出信息風險管理改進意見,從而持續的改進信息設備各階段的安全風險管理體系。
2.3.3風險管理體系的構建
根據安全風險的特點、信息安全三個關鍵要素以及信息設備各階段的特點,我們應明確安全風險的幾個控制手段,然后有計劃的加強整個信息設備安全風險管理體系的建設,才有可能最終有效控制信息安全設備風險。首先,根據企業所處的環境,全面準確的評估安全風險,并根據安全風險的狀況結合系統、網絡層面的安全防御手段有效抵御各種威脅,最終主動降低安全風險。要實現對安全風險的管理和控制,需要實現完整的風險管理流程,具體為發現安全風險,即通過有效的手段確定安全風險的資產和區域、定位安全風險存在的區域、評估安全風險,準確高效的評估安全風險,了解安全風險的大小和實質、強制措施降低風險,通過管理或強制等安全手段,主動降低安全風險、安全防御通過各類系統、網絡安全設備、防御各類安全威脅、安全問題修補,主動修補存在的各類安全漏洞,全面降低安全風險。以上是完整的信息設備安全風險管理流程,對整個信息設備安全風險的管理和控制,這些步驟缺一不可,同時,風險管理流程還應根據企業的具體情況,有不同的實現方式。其次,實現信息設備風險管理的詳細步驟包括:確定信息安全標準和方針、統計信息設備資產,進行資產識別、檢測信息設備資產存在的安全漏洞、了解潛在的威脅、分析存在的安全風險、通過各種手段如安全防護產品來降低已有的安全風險、對信息設備評估安全效果和影響、對已有信息設備安全策略進行對比及改進。最后,實現完善的信息設備安全風險管理,還需要有計劃的完善自身的安全風險管理體系,制定相應的整體安全策略。建立全面的資產管理和風險管理體系,整合現有的安全設備和手段,形成信息設備成熟完備的動態安全風險管理體系。
3結束語
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。新晨
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。