銀行信息安全風險管理策略探析

邢陳思

摘 要：隨著信息化建設的不斷深入，金融服務趨向多樣化，業務規模也在不斷擴大，使得信息安全問題日益凸顯。針對病毒感染、黑客入侵等一系列的問題，需要建立信息安全風險管理策略來能有效規模。所以，本文就銀行信息安全分級風險管理進行探討，希望可以避免對銀行造成不可估量的影響。

關鍵詞：銀行 信息安全 風險管理

中圖分類號：F063 文獻標識碼：A 文章編號：1003-9082（2017）11-00-01

互聯網技術的不斷發展，使得我們的生活區域信息化，也就是說生活實現了便捷化，多元化。但是信息安全事故的出現，使得我們無時無刻不處于擔心自身信息安全的境地下。尤其是在利用互聯網進行交易的時候出現賬號資金安全、信息泄露等問題，這就要求我們不斷的提升安全性，這樣才能降低風險。

一、銀行信息安全風險分析

對銀行信息安全風險進行分析，了解到其信息安全風險主要包含：第一，組織風險。在銀行中未能建立完善的預警信息戰略風險機制，信息安全風險管理還需要進一步加強；第二，人員風險，銀行信息安全管理人員缺少安全意識，缺少專業化的風險管理人才；第三，政策和過程風險。缺少信息安全管理相對應的政策，缺少有效的風險評估方法，IT監控審計有待進一步加強；第四，技術風險。主要包含物理環境與設備風險、網絡安全風險、應用系統以及系統安全風險；第五，外部風險。主要包含法律漏洞風險、信譽風險以及客戶行為分級風險[1]。

二、銀行信息安全風險管理策略

1.信息安全戰略

在信息安全風險管理中，戰略處于管理的首要位置，是指引工作開展的方向。銀行董事會以及高層管理人員應當重視信息安全戰略的制訂并達成共識，這樣就能夠確保銀行的決策與業務戰略能夠相互的達成一致。在得到董事會與高層管理人員的審批之后，在制定全行IT戰略規劃的基礎上，再定期的召開IT風險管理工作評估會議。對于銀行而言，信息安全風險管理是一大難題，其直接將銀行的風險與信息安全相互聯系起來，這樣就需要利用風險管理的理念，通過風險識別、控制與評估的方式來開展信息安全的保障工作，這才能為銀行業相關業務的發展奠定強大的基礎支撐。

2.信息安全政策和標準體系

信息安全的政策和標準體系是成套的信息安全管理規定，主要是對信息安全組織、技術體系以及運作的標準化制度加以指導，其中包含了信息安全政策、管理標準以及安全指南幾個方面。銀行在制定發展規劃的信息安全政策的時候，應當站在銀行業的高度上，將信息安全工作的方向明確，并且將其作為信息安全大背景下的奮斗目標。制定信息安全管理標準，才能確保信息安全政策得以落實，也可以對信息安全工作之中的各個流程加以規范。制定管理指南，才能確保信息安全保準得以有效的實施，這才是最好的銀行信息安全標準的詮釋[2]。

3.信息安全組織管理模式

對于銀行高層管理而言，利用深度防御，通過信息安全組織與人員管理模式的有效構建，就能實現銀行的信息安全戰略目標，并且還需要進一步分析：針對每一個員工的主觀信息安全，都需要做好認知能力的培養，并且強化安全意識方面的教育；進一步完善組織架構，明確信息安全之中的組織與角色的具體職責，所以，針對信息安全管理的風險控制，就可以利用多層組織來實現。

4.信息安全管理運作模式

將PDCA模型以及風險管理理念作為基礎，構建銀行信息安全核心運作模式，這一種管理模式相比傳統模式下的信息安全運行，存在動態性、參與性以及全局性等諸多優勢，這樣就能夠科學的實現風險事件管理的規劃，同時也能落實預防理念，管理實施中期的監督控制過程，同時也可以監督管理周期末期的審核完善目標，這樣就能確保風險影響得到最大程度的控制。

5.信息安全技術體系

良好的信息安全技術才是信息安全得以高效運行的基礎，銀行IT的各個領域都需要滿足信息安全技術標準的要求，具體包含了網絡身份認證、加密保證、訪問管理、備份措施、審核跟蹤等多個方面。滿足安全標準的技術，能夠提升信息安全運行，實現安全戰略目標。信息安全技術手段主要是根據其功能效應周期，將其劃分成為預防保護、響應恢復以及跟蹤監測三個類別，如確保網絡系統訪問身份認證以及對訪問權限的管理，被訪問客體的自身安全加密、對于惡意代碼加固防范等屬于第一類；審核管理的技術手段、確保訪問的安全性監控屬于第二類；確保風險事件的快速響應、確保信息系統備份措施以及及時恢復等技術屬于第三類[3]。

通過上述的分析，我們不難看出，銀行業采取了大量有效的技術措施來確保信息安全，但是還缺少一個全局性的信息安全技術體系的支持。所以，按照銀行業務的發展與更新，通過各種信息技術手段的綜合優化與運用，確保銀行信息系統的安全，最終達到降低技術風險的目的。針對銀行的信息安全，本文將其保護手段劃分為七類，具體見圖1所示。為了能夠滿足對銀行信息系統安全訪問的保護，針對審計與監控訪問全過程，還需要做好意外事件的數據備份處理，這樣才能夠針對應急事件做好及時的響應與恢復。

三、結語

總而言之，隨著信息技術的不斷發展，銀行信息安全對于信息系統的要求也在逐漸提升，因此，在現代銀行的風險管理中，我們不能忽視信息安全風險管理這一環節。只有注重信息安全風險管理，才能滿足銀行信息安全管理的整體要求。

參考文獻

[1]張亞杰.中小商業銀行信息安全風險控制探討[J].金融科技時代，2013（12）：67-68.

[2]張良乾.信息系統信息安全風險管理方法研究[J].信息通信，2014（12）：158.

[3]尚亞龍.探析銀行信息安全管理體系建設[J].電子世界，2014（14）：262-263.endprint