商业银行信息安全风险管理

兰州大学硕士学位论文A市商业银行信息安全风险管理体系研究姓名：匡景炜申请学位级别：硕士专业：工商管理·金融企业管理指导教师：田中禾20090401MBA学位论文作者：匡景炜 A市商业银行信息安令风险管理体系研究中文摘要金融是现代经济运行的核心，商业银行是我国金融行业最为重要的组成部分。从上世纪90年代起，信息技术逐步在我国商业银行发挥作用，尤其在21世纪以来，商业银行对信息系统的依赖性越来越强，但信息系统的复杂性和开放性却成为了信息安全风险管理的困难所在。随着我国加入WTO，银行业国际化程度越来越高，技术领先、管理观念和手段先进的外资银行对我国国内商业银行形成了进一步的挑战，而国内商业银行公司治理和IT治理机制尚不完善，信息安全风险管理体系很不健全，由此带来的信息安全风险十分突出。因此，开展商业银行信息安全风险管理体系研究是一件既有必要又很重要的事情。我国国内商业银行经营同质性较高，信息安全风险管理体系通用性较强。因此，本文着重分析了A市商业银行信息安全风险管理体系的现状、存在的问题和问题带来的危害以及问题成因，在借鉴国内外信息安全风险管理相关理论和要求的基础上，指出了完善商业银行信息安全风险管理体系的关键点，并就商业银行管理的行业特性提出了IT治理的决策、执行和监督三权分立的组织架构和管理模式，明确定义了信息安全风险管理的执行架构；在综合现有商业银行信息安全风险管理体系的基础上进一步明确了信息安全风险管理的方针、策略和操作规程，以关乎商业银行信息安全风险管理最为重要的内控管理为核心，指出了信息系统哪些地方需要进行关键的流程控制和风险点控制和相应需采取的控制方法和具体措施；对管理和操作过程中如何识别信息安全所面临的威胁、系统存在的漏洞、风险管理控制的方法和JxL险防范的措施进行了归纳；为确保业务连续性明确了相关前提和要求并提出建设相应的应急机制；最后对体系实施的反馈和修正提出了建议。结尾部分对本次研究的过程以及研究中存在的不足和难点进行了总结，给未来在进一步完善商业银行信息安全风险管理体系中解决这些不足和难点提出了一些尝试性的思路。关键词：商业银行，IT治理，信息安全风险管理体系些兰垡笙兰．作者：匡景炜 A市商业银行信息安令风险管理体系研究———————————————————————————————————————————一一一一：一．=：：：：=：．：：．：：===：：：：：：=：ABSTRACTFinance pIays the corc role in the modem economic system． Funhe珊ore，Commercialbankisthemostimportantcomponentinournation’sfinancialindustry．Since90s，especjaJly柏erthe215‘century，IThasplayedanimponantr01einournation’scommercialbanks，卸dbothOfthemgetinVolVeddeeplybe坩eeneachotheLHoweVer，thecomplexityand0pennessofinformationsystemisbecomingthekeyissuewhichhastObeconsideredinthefieldofinf0加ationsecurityriskmanagement．AfterChinabecomesthememberOfW1’o，banksarebecomingmoreandmoreintemational．Foreignbanl【sfacilitatedwithadVancedtechnologyandmanagementhaschallenged10calbankswhicharcimpe疵ctinco叩orategoVemance，ITgoVemance，andeVentheframeworkofinfb册ationsecufityriskmanagement．F0rlocalbanks，theyhaVefacedseriousriskininfo咖ationrisk．Therefore，itisnecessaryandimpoIrtantforresearchingtheinfrastructureofinfomationsecurityriskmanagementofcommercialbank．1nfo册ationsecurityriskmanagementsystemisrelativelyuniversalbecome0urnation’sbankhashighhomogeneous．Thepaperhasanalyzedthecullrentstatus，deficiencyandtheconsequenceofonecommercialbank’sinfomlationsecurityriskma舳gementsystemBase伽sometheories，standardsandguidance，thepaperhaSpointedoutthekeyissuesofcompletingtheinf0咖atiOnsecurityriskmanagementofcommercialbank，andfurthemorepointedoutthestnlctureandmanagementmodelofITgoVemancedecision，executionandsupeⅣision．ThepaperhasgiVenthedefinitionOfthef}锄eofinfo啪ationsecurityriskmanagement．Onthebase0fcullrentcommercialbank’sinfo咖ationsecurityriskmanagementinfrastmcture，thepaperhasf虱弘redoutthestrategyandthemethodofexecutionofinfb彻ationsecurityriskmanagement．F0rthepurposeofcommercialbank’sintemalcontrol，thepaperhaspointedoutthecontrolandimproVedmethodforthosekeypoints．Aftertheconclusionofthefinalpu巾oseofinfb册ationsecurityriskmanagementiscontinuityandthemethodsofdiscemingleakofinfo丌nationsecu“tyriskmanagement，thepaperhasgiVenthesuggestionsoffeedbackandamendment．Intheend，thepaperhassunlmarizedthedeficienciesofthecun．entresearch，andpmposedsometrialideasfbrsolVingthosedeficienciesanddifficuItiesinthecomingresearches．KIeywords：Commercialbank，ITgoVemance，Infbnnationsecurity“sk111anagementsystem原创性声明本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行研究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、观点等，均已明确注明出处。除文中已经注明引用的内容外，不包含任何其他个人或集体己经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名： 匣兰!生： 日 期： 垄QQ鱼生垒旦圣Q目关于学位论文使用授权的声明本人在导师指导下所完成的论文及相关的职务作品，知识产权归属兰州大学。本人完全了解兰州大学有关保存、使用学位论文的规定，同意学校保存或向国家有关部门或机构送交论文的纸质版和电子版，允许论文被查阅和借阅；本人授权兰州大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用任何复制手段保存和汇编本学位论文。本人离校后发表、使用学位论文或与该论文直接相关的学术论文或成果时，第一署名单位仍然为兰州大学。保密论文在解密后应遵守此规论文作者签名：匣盟导师签名 u期：呈噶LL7MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究一、引 言信息安全风险管理是一件比较新的事物，是随着信息技术的逐步发展和应用而出现的一门新兴应用管理学科，商业银行信息安全风险管理是其中的一个分支。由于商业银行是一类经营货币和风险、行业特点比较突出的金融企业，因此，商业银行信息安全风险管理有其自身的特点，重点更应关注银行资金类系统的信息安全和对外服务类信息系统的运行风险，并需要根据这些重点丌展针对性的研究。从国际国内实际情况看，该学科研究和应用的时问都不是很长，国外情况相对要好，英美、新加坡、香港等发达国家和地区的商业银行监督管理部门和商业银行本身对信息安全风险管理体系投入研究比较早，应用效果也比较理想，而国内起步较晚，包括政府管理部门和各行业、各企业对信息安全风险管理体系的研究才刚刚丌始，应用效果一般，商业银行信息安全风险管理体系的研究起步就更晚，实际效果离理想有很大距离。从商业银行信息安全风险管理体系本身来看，由于银行信息系统涉及业务的方方面面，要理清信息安全风险管理的整体脉络不是一件很容易的事情，要建立一个相对完善和应用效果突出的信息安全风险管理体系就更为困难，只有付出时间和投入力量进行大量的研究和在应用中不断发展和完善后，效果才能逐步得到体现。从我国银行业实际情况看，业务的发展日新月异，已完全离不丌信息系统安全、稳定和高效的运转。一方面，商业银行的重要信息资料储存在各类信息系统中，这些信息资料包括商、业银行客户资料、存贷款数据、各类商业交易信息以及商业银行自身用于经营管理的各类信息资料。这些信息资料绝大部分是商业机密，有些因为中国商业银行普遍带有的国有性质而属于国家秘密。因此，防止这些信息泄露，确保这些信息安全是十分重要的事情。另一方面，随着我国商业银行信息系统数据的大集中，信息安全风险管理不足带来的运行风险已从局部地区扩大到全国范围。由于商业银行计算机系统的复杂性，银行信息系统重大故障和事故时有发生，给企业(尤其是大型企业)和居民应用会融服务和融通资金带来了不利影响，也给银行声誉造成了严重损害。因此，结合以上方方面面的情况看，开展商业银行信息安全风险管理体系研究是一件很有必要和相当重要的事情。我国国内商业银行经营同质性较高，信息安全风险管理体系通用性较强。因此，以A市商业银行信息安全风险管理为范围进行研究并不影响体系的普遍性。本文将从A市商业银行信息安全风险管理体系现状入手，针对存在的问题进行研究和分析成因并寻找解决的方法。目前国内外明确提出信息安全风险管理这一概念的研究文章并不多，更多的是提出了信息安全管理这一概念。信息安全管理和MBA学位论文作肯：匡景炜 A市商业银行信息安伞风险管理体系研究信息安全风险管理的最大区别是后者在强调“信息安全"的同时更突出了“风险管理”，这与商业银行经营风险和着重风险管理的本质一脉相承。为此，本文认为商业银行信息安全风险管理体系研究和应用的目标是通过完善现代商业银行公司治理体制下的IT治理机制，构造一套相对完善的信息安全风险管理方针、策略和操作规程，从信息安全角度确保银行以信息系统为核心的信息资产的机密性、完整性、可用性，从风险管理角度确保信息系统的安全、稳定和可靠运行，及时发现针对这些信息及信息系统安全存在的诸多威胁，并采取各种风险管理措施来防范信息系统运行风险，为商业银行各项业务的持续、稳定和高速发展保驾护航。最根本目标是借助这套强大、安全和有效的信息系统支撑平台和信息安全风险管理体系来支持我国商业银行各项业务的持续会融创新，有效应对加入wTO五年金融保护期过后外资银行给中资银行所带来的挑战，全面促进我国商业银行的现代化、国际化，实现国家金融安全和金融改革战略的跨越式发展。2MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究二、信息安全风险管理体系相关理论和要求(一)基本概念商业银行信息安全风险管理体系的基本概念有广义上和狭义上的划分，从广义上说，是指商业银行公司治理机制下的IT治理、信息安全风险管理方针策略和操作规程、信息安全风险管理的内部控制、信息安全风险的控制和防范、业务连续性管理和应急机制建设、信息安全风险管理体系实施情况的反馈和体系修正；从狭义上看，商业银行信息安全JxL险管理体系主要指信息安全风险管理方针、策略和操作规程这一部分。本文定位是广义上的商业银行信息安全风险管理体系。(二)相关理论1、公司治理理论和模式现代企业公司治理理论的主要表现形式是委托代理理论，其前提是公司的所有权和经营权的分离。它是20世纪60年代末70年代初一些经济学家深入研究企业内部信息不对称和激励问题发展起来的。委托代理理论的中心任务是研究在利益相冲突和信息不对称的环境下，委托人如何设计最优契约激励代理人，使得代理人按委托人真实要求完成委托。从治理形式看，公司治理分英美模式和德同模式，其主要区别是前者通过市场对公司管理进行监控，后者是由股东对公司管理进行监控。从利益追求方式看，公司治理又分股东利益至上治理模式和公司利益相关者治理模式，前者以追求股东利益最大化为公司经营目标，后者以追求公司利益相关者利益共同发展为公司经营目标。2、多维权变环境理论(theoryof muItiple contingencies)该理论由V．Sambamurthy等人提出。主要研究了环境因素如何影响IT治理模式的选择，重点放在信息技术能力和组织设计这一本质问题上。V．S硼b硼urthy通过实证研究得出以下假设和结论：(1)处在增强型权变环境条件下，组织倾向于采用或集权或分权的IT治理模式；(2)处在冲突型权变环境条件下，组织倾向于采用联邦式的IT治理模式；(3)处在主导型权变环境条件下，组织倾向于采用或集权或分权的IT治理模式。3MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究3、IT治理安排矩阵＼决策表1治理安排矩阵一用于不同类型决策的治理原掇IT原则11r架构IT基础设施战略业务应用11r投资和优原型＼＼需求先权企业君主制IT君主制封建制联邦制IT舣寡头制无政府制2003MITSloanSch001CenterforInformationSystemsResearch(CISR)．这个矩阵的第一行列出了五项相互关联的IT决策。(1)IT原则：阐述IT的商业应用；(2)IT架构：定义集成和标准化的要求；(3)IT基础设施：决定共享和可提供的服务；(4)商业应用需求：确定购买或内部IT开发应用的商业需求；(5)IT投资和优先权：选择资助哪一个立项以及投入多少资金。这五个关键决策是彼此相关的，有效的IT治理必须关注它们的相关性。矩阵的第一列列出了IT治理的决策方法。包括：(1)企业君主制决策：高级管理层拥有决策权；(2)IT君主制决策：信息技术部门、专家拥有决策权；(3)封建制(事业部领地制)决策：每个事业部拥有独立的决策权；(4)联邦制决策：公司、部门(包括或不包括信息技术部门)共同拥有决策权；(5)无政府状态：个体或小的群体拥有决策权。彼得·维尔(Peterweill)等人使用资源基础理论、行为理论以及战略理论结合以上矩阵对企业信息技术活动中的权力和责任的配置以及如何产生所希望的行为(desirablebehavior)进行了更为深入的分析。他们认为IT治理的关键在于授权与控制并举。首先要确定做出以上五个相互关联的信息技术决策：然后决定由谁来做出决策；最后要解决如何做出决策和实施监督的问题一一即设计和实施IT治理机制。该研究认为，机制应能够促成所希望行为的产生。希望的行为是组织信仰和文化的具体化，在每一个组织中都是不同的。明确所希望行为的产生是有效治理的关键，是行为而不是战略创造价值。(三)相关要求1、0ECD《信息系统安全指南》(1992)该指南旨在提高信息风险意识和安全措施：提供一个～般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的4MBA学位论文作存：匡景炜 A市商业银行信息安全风险管理体系研究公共和私有部门的合作；促进人们对信息系统的信心，促进人们应用和使用信息系统；方便国家间和国际间信息系统的合作、开发、使用和安全防护。这个管理框架包括法律、行动准则、技术评估、管理和用户实践以及公众教育或宣传活动。2、国际会计师联合会《信息安全管理》(1998)《信息安全管理》强调信息安全的目标是“保护依靠信息、信息系统和传送信息的人、通讯设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足下面3条准则时可以认为达到信息安全目标：数据和信息只透露给有权知道该数据和信息的人(机密性)、数据和信息保护不受未经授权的修改(完整性)、信息系统在需要时可用和有用(可用性)。3、美国注册会计师协会的IT审计指南美国注册会计师协会提出的《SysTrustTM系统可靠性原理和准则》(简称SysTrustTM服务准则)为注册会计师进行信息系统审计提供指南，注册会计师从可用性、安全性、完整性和可维护性4个基本方面评估和测试系统是否可靠。可用性一系统在服务水平声明或协议规定的时间内可以运行和使用；安全性一确保系统拒绝未经授权的物理或逻辑的访问：完整性一系统的数据处理是完整的、准确的、及时的和被授权的；可维护性一必要时能够升级系统而不影响系统或者不与系统的可用性、安全性和完整性相冲突。4、国际COBIT信息系统审计标准COBIT(Control 0bjectives for Information and related Techn0109y)是目前国际上通用的信息系统审计标准。它以业务流程为中心，将IT分成四个领域(计划和组织、获取和实施、交付与支持、监控)，共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：计划和组织流程一评估风险；交付和支付流程一确保持续的IT服务；监控流程一保证系统安全。5、英国BS7799系列标准BS7799虽是英国国家标准，但却是目前世界上最典型、应用最广泛的信息安全管理标准，它是在英国标准协会BsI／DISC信息安全管理委员会指导下制定完成的。主要包括Bs7799—1《信息安全管理实施细则》和Bs7799—2《信息安全管理体系规范》。BS7799—1主要包括：信息安全政策、信息安全组织、资产分类和管理、人员安全、物理与环境安全、通讯与操作管理、访问控制、系统丌发和维护、业务连续性管理、法律符合性等10个领域的36个管理目标和127个控制措施。Bs7799—2是基于Bs7799～l《信息安全管理实施细则》而产生的，它不是MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究技术标准而是管理标准，它针对的是信息系统中非技术性内容的管理和控制，它强调的是均衡管理，符合信息安全的“七分靠管理、三分靠技术’’的原则，它规范了建立、实施和文件化信息安全管理体系(ISMS)的要求，并规范了不同组织根据各自具体需要实施安全控制措施时的要求，体系包括：风险评估、风险管理、控制措施和适用条款共4个阶段的内容。另外，英国标准协会BSI／DISC信息安全管理委员会还于2005年推出了BS7799—3《信息安全风险管理指南》。6、IS0／IEC系列标准ISO／IEC系列主要包括ISO／IEC2700l(从英国BS7799—2发展而来)和ISO／IEC27002(从英国BS7799—1发展而来)。请参阅前述英国BS7799系列标准规范的介绍。另外还有：IS0／IEC 27000一基础和术语；ISO／IEC27003一信息安全管理体系实施指南，正在开发中；IS0／IEC27004一信息安全管理度量和改进，正在开发中；IS0／IEC 27005一信息安全风险管理指南，以2005底英国推出的BS7799—3标准为蓝本。7、国家有关信息安全管理要求在这里主要是指：《计算机信息系统安全保护等级划分准则(GB17859～1999)》。该准则规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。8、中国银监会《银行业金融机构信息系统风险管理指引》的要求该指引对银行业金融机构(包括商业银行)在信息系统风险管理中的职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、IT审计方面做出了指引性规定。6MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究三、A市商业银行信息安全风险管理体系现状(一)A市商业银行信息安全风险管理体系基本情况目前A市共有4家国内法人商业银行，其中三家是全国性银行，一家是地方性银行。整体上看，这4家国内法人商业银行都没有建立起一套与银行实际信息科技发展水平和银行业务发展现状相适应的信息安全风险管理体系。根据广义的信息安全风险管理体系概念，其中的“信息安全风险管理方针策略和操作规程’’即指信息安全风险管理制度，而“信息安全风险管理的内部控制”、“信息安全风险的控制和防范”、“业务连续性管理和应急机制建设"、“信息安全风险管理体系实施情况的反馈和体系修正”这四部分可以概括为信息安全风险管理的实施。因此，A市现有4家国内法人商业银行的信息安全风险管理体系可以具体从以下三个方面反映：1、IT治理情况A市现有4家国内法人商业银行的IT治理基本上可分为两类模式，一类是CIO(或技术总监)领导的IT治理委员会下科技运营和科技开发分设的、相对分权的模式(以下简称为分立模式)；另一类就是分管行长直管的信息科技部(包括科技运营和科技丌发)单一部门的模式(以下简称为集中模式)。无论是分立模式还是集中模式，作为信息安全风险管理的组织机构均未独立，一般设在科技运营部(分立模式)或者信息科技部(集中模式)。“分立模式”的IT治理决策通常由CIO(或技术总监)领导的IT治理委员会决定或者初步决定后报银行高级管理层或董事会审定，IT治理决策的执行和监督通常由科技运营部和科技开发部承担，IT治理委员会也承担部分监督职能；“集中模式”的IT治理决策通常由信息科技部初步决定然后报主管行长审定，当主管行长不能作出决策判断时再报银行高级管理层或董事会审定，IT治理决策的执行和监督通常由信息科技部承担，主管行长通常只能发挥很少的监督作用。这两类模式的信息安全风险管理职能通常只有一个很小部门的几个人来负责，作用十分有限。2、信息安全风险管理体系的制度情况A市现有4家国内法人商业银行中，有3家银行尝试引进了一些国际信息安全管理标准来构建信息安全JxL险管理制度体系。其中A银行在被某集团收购后，将集团原有的信息安全风险管理制度体系拷贝过来，并根据银行的实际进行了一些改动。制度框架包括：需求规范、开发规范、项目规范、通用规范、基础架构7MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究规范、运营规范、信息安全规范和总体流程规范。从与该银行接触中了解到，无论是制度体系管理者还是制度体系实施者，均对这套制度体系缺乏深刻的了解，对这套制度体系哪些适合银行，哪些不适合银行，哪些应该修改，哪些应该保留，哪些应该删去，哪些是重点以及制度体系该如何实施，实施的措施是什么等等均没有明确的概念，其发布的制度体系文本中甚至还带有某集团名称的字样。由此可见，A银行引进建立的制度体系是十分粗糙的，基本上也就停留在纸面上而己。B银行和C银行则是引入了IS027001这一国际信息安全管理标准，并根据银行的实际进行了修改而形成自己的信息安全风险管理制度体系。制度框架总体与A银行差别不大，但在具体细节上有所差别。比如，B银行在引进建立的信息安全风险管理制度体系相关方针、策略和操作规程与原有信息制度不一致时，并没有明确规定是新的有效还是原先的有效。象新制度体系规定了信息安全风险管理小组的职责，但这些职责明显与运行管理部门的信息安全室职责重叠，但信息安全管理小组并不是指信息安全室。另外由于B银行股权投资者的短期行为，引进建立的信息安全风险管理制度体系并没有按照银行应该具备的信息系统业务连续性要求来规定备份建设标准。C银行则由于原有信息安全风险管理制度总体还不错。因此员工对引入的信息安全风险管理制度体系还需要一段理解和消化的过程。至于D银行的信息安全风险管理基本上是沿用传统的行政管理模式，只制定了几个项目开发和科技运营方面的管理办法，还不能说已形成了一套制度体系。总体看，A市这4家国内法人商业银行的信息安全风险管理制度虽然内容和形式有所差别，但都涉及了项目需求丌发制度和项目运营管理制度这两大信息安全风险管理制度核心部分。3、信息安全风险管理体系的实施情况从A市现有4家国内法人商业银行信息安全风险管理体系的实施情况看，B银行的信息安全风险管理主要在科技运营部门等局部实施；A银行和C银行只是制订一些信息安全JxL险管理制度，尚无明确和有效的实施行动；D银行则只有非常简陋的几项信息安全风险管理条款，就更谈不上去有效实施信息安全风险管理体系了。(二)A市商业银行信息安全风险管理体系存在的主要问题1、lT治理模式不统一和lT治理机制不健全A市四家国内法人商业银行IT治理模式不统一主要表现为：存在“分立模式”和“集中模式”两种不同模式。其中“分立模式"也有IT治理管理者是“CIO”和“技术总监”的细微差别，通常设置“技术总监”与设置“CIO”相比不符合8MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究IT治理组织原则。无论是“分立模式”还是“集中模式’’，其IT治理机制均不健全。“分立模式’’下IT治理机制不健全主要表现在：担任IT治理委员会执行主席的C10的决策权利不足和IT治理委员会的决策功能不强。虽然IT各部门总经理和主要业务部们总经理均是IT治理委员会成员，可以帮助CIO在协调业务和IT发展上起到一定作用，但由于CIO只是执行主席，IT治理委员会的主席是CE0或者行长，而CE0或者行长又通常只是挂名主席而已，极少参加IT治理委员会的各类会议。因此，实际上由CIO这个执行主席领导的IT治理委员会所作的各项IT和业务协调发展决策还需要提交高级管理层甚至董事会讨论决定。在讨论决定过程中，C10作为高级管理层成员可以参加高级管理层会议或者列席董事会会议，但问题是重大的IT决策C10只有解释权，而没有最终决策权。在这些高级管理层或董事会会议上，C10要说服其他管理层成员和董事是十分困难的事情，除非事先已经得到董事会主席、CEO或者行长的首肯，否则IT重大决策的出台总是非常艰难。至于技术总监领导的IT治理模式下的决策效果也相差无己。“集中模式"下的IT治理机制不健全主要表现在：业务行长主导的IT治理决策效率很低和效果更不理想。由于分管IT部门的行长绝大多数是只熟悉银行业务的行长，有些甚至是分管后勤、保卫的非业务行长。因此，IT重大决策的讨论和形成就更加困难。IT决策多数时候涉及业务部门，但只靠IT部门独自去同业务部门协调，那差不多就是一件难以完成的任务，结局往往就是IT部门独自拍板各种重大IT决策，最多是方案出台前征求一下各业务部门的意见。在征求意见过程中，通常也没有什么意见反馈，偶尔有反馈的意见，往往又是IT部门不了解、不能接受或技术上做不到的，整个决策形成效率极低、效果不佳。如此程序下形成的IT决策方案就算能提交到高级管理层或董事会讨论，但被打回或者不批准的可能性是很大的。就算在分管行长或其他重要领导的极力周旋下，这些IT决策方案能获得通过，但执行起来往往是不切实际或者根本不能满足业务部门的真正需要。IT治理模式不统一和IT治理机制不健全带来的危害将首先反映在决策失灵或决策失误上。由此，员工工作方向不能得到明确指示而会影响到员工工作积极性，各项IT工作无法取得更大突破；其次会导致信息系统开发不能如期完成，完成效果也大打折扣，甚至会导致信息系统丌发彻底失败，使银行IT投资蒙受巨大损失；再次就是IT决策周期长，可能导致象灾备系统建设这类需尽快完成的工作无法及时落实。2、体系制度不符合商业银行信息安全风险管理的实际需要A市现有4家国内法人商业银行的信息安全风险管理制度不符合商业银行信9MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究息安全风险管理的实际需要，主要表现在：一是没有以商业银行资金、账户和客户资料的安全保护以及系统对外提供服务的业务连续性保证等这些商业银行行业特性为核心；二是没有根据商业银行的行业特性采取针对性很强的内部管理流程控制和风险点控制等重点防护手段；三是没有系统和全面的信息系统备份制度和和应急管理制度；四是没有完整的信息系统防攻击和防破坏策略。由此带来的危害首先反映在银行信息安全风险管理工作得不到充分重视，无法扭转普遍存在的重建设轻风险现象；其次就是银行各类信息系统故障和事故依然不能得到有效控制；再次就是很容易发生银行网站被黑、资金被盗和客户资料被窃等破坏性事件。3、信息安全风险管理体系的实施效果不佳A市现有4家国内法人商业银行信息安全风险管理体系的实施效果不佳，主要表现在：一是违章违规操作普遍；二是实施过程不能得到有效监督和检查；三是实施结果不能得到及时反馈和后评价。实施效果不佳所带来的危害就是制度不能得到有效落实，各类信息安全风险不能得到有效控制，银行信息安全风险管理水平长期得不到提高。10MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究四、A市商业银行信息安全风险管理体系问题成因A市商业银行信息安全风险管理体系问题成因很多，有商业银行总体管理水平不足的影响，有IT在商业银行地位不高的影响，还有商业银行信息安全风险外部监管机制不完善的影响，但最主要和最直接的问题成因还是由IT治理环境、制度本身复杂和体系实施困难所致。受篇幅所限，本文主要针对最主要和最直接的问题成因进行分析。从广义商业银行信息安全风险管理体系概念所对应的范围看，以商业银行公司治理机制下的IT治理环境最难把握，以信息安全风险管理制度最为复杂，以信息安全风险管理的实施最为困难。就商业银行来说，又因其规模庞大、组织结构复杂和人员众多，所以信息安全风险管理体系在商业银行的建立和实施就更加困难。现分三方面成因具体说明如下：(一)IT治理深受商业银行中国式行政管理等不良因素影响通常一个好的IT治理模式需要表现出决策、执行和监督的三权分立和彼此牵制，但IT治理模式是否完善、是否成熟还取得于IT治理环境的好坏。从A市4家国内法人商业银行的IT治理环境看，现行治理机制带有浓厚的中国式行政管理色彩，象银行党委会对同常经营的干预、董事长和行长等一把手大权独揽使董事会和高级管理层集体和民主决策形同虚设、领导层更换导致经营战略和经营方向的随意改变、监事会和独立董事发挥作用有限等因素，均使得现行商业银行IT治理模式和机制深受影响，现代治理所要求的决策、执行和监督的三权分立机制无从建立和发挥作用，这也是A市4家国内法人商业银行IT治理模式不统一和IT治理机制不健全的主要原因。(二)体系制度复杂且缺乏统一和规范的行业标准指导信息安全风险管理体系制度本身内容很多，主要包括：安全风险管理方针、安全风险管理组织、信息资产分类、人员安全、实物与环境安全、通讯与运行安全、访问控制、系统开发与维护、业务连续性管理、合规性等10个方面的内容。这些内容的每一项均涉及到商业银行的不同业务领域、不同管理层级，每一项的每一个环节均充满了可能存在的威胁和需要防范的JxL险。以通讯安全为例，商业银行分支机构遍布全国各地，总部与各分支机构之I’日J离不丌通讯网络，而通讯网络商业银行自身是不能提供的，只能依赖外部服务商提供。如此，商业银行面对的信息安全风险无形中扩大了不知多少倍。商业银行要大力发展网上银行等电子MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究业务，就必须连接上充满犯罪、黑客横行的因特网，而以商业银行单家或几家来应对来自全世界不同国家、不同领域的网络犯罪那该是一件多么不容易的事情。由此看，要有效防范如此复杂的商业银行信息安全风险，就需要配套建设一个同样复杂的商业银行信息安全风险管理制度体系。除信息安全风险管理制度本身复杂外，从国际国内看，针对商业银行这一经营性质特别的行业标准也很缺乏。尽管国际国内出台了许多信息安全风险管理标准，但这些标准是否完全适合商业银行这一专营货币、自有资本不到5％的高风险行业，却缺乏理论依据和实践检验。这些标准如何有机地与商业银行各项业务管理、信息科技管理相结合以形成有效的信息安全风险防范屏障，也缺乏全面、深入和持续的研究和实践。正是商业银行的行业特殊性，才显得相关信息安全风险管理的行业标准的缺乏，尤其是在商业银行IT治理机制的合理性、信息安全风险管理措施贯彻的有效性、业务连续性和应急机制如何在成本可控的前提下最大限度地确保商业银行不发生重大事故等方面均没有统一和有效的行业标准给予指导。制度复杂而且又没有统一和规范的行业标准给予指导。因此，要建立一个适应现阶段商业银行需要的信息安全风险管理制度体系是一件很不容易的事情。缺少合理的制度建设为基础，就会从很大程度上影响到整体商业银行信息安全风险管理体系的建立。(三)体系实施受制于各种困难因素而难以推进商业银行信息安全风险管理体系的实施包括：“信息安全风险管理的内部控制"、“信息安全风险的控制和防范”、“业务连续性管理和应急机制建设”、“信息安全风险管理体系实施情况的反馈和体系修正”这四部分。从每一部分看，要做好均是一件很困难的事情。首先，信息安全风险属于操作风险范畴，是一件看不见摸不着的东西，要管理和控制好谈何容易；其次“控制"和“内部控制”均需要人参与，而人是一个最不容易控制的对象，会因家庭生活压力和工作压力而导致情绪、心理等因素变化而变得非理性和不受控制；再次业务连续性管理要体现“连续’’这一概念，但要知道任何事情要做到“连续’’而不问断那该多么困难；第四就是应急机制建设中的“应急’’对象往往是非常难应付的重大事故或重大故障，而高科技的IT技术含量很高，属于前沿科学，要避免不发生重大事故或重大故障又该是多么不容易的事情；第五就是体系实施情况反馈的通常是信息，但信息是隐蔽而不容易发现的，信息的传递也容易出现偏差而很难百分之百地反馈上来；第六就是体系的修正。修J下对象何为“正”，往往需要到实践中去并经过12MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究无数次的反复检验才能得到一个相对『F确的结果；最后就是商业银行规模庞大、组织结构复杂和人员众多，大家知道要在一个庞大组织中做任何一件事情均是不容易的，何况是要实施信息安全风险管理这么一件复杂而又困难的事情呢。总之，无论从以上哪个方面和哪个角度看，要建设和实施商业银行信息安全风险管理体系都是非常困难的事情，A市4家国内法人商业银行信息安全风险管理体系存在问题也是事出有因。13MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究五、完善商业银行信息安全风险管理体系的关键完善商业银行信息安全风险管理的关键是要从问题成因入手逐一解决现有体系存在的主要问题。因此，首先是要深入开展IT治理并建设一套行之有效的IT治理机制；其次是需根据商业银行的行业特性理清复杂的制度体系脉络而进行制度建设；再次就是针对导致实施困难的种种因素开展内控机制建设、风险管理机制建设、业务连续性和应急机制建设以及体系反馈渠道建设等。现具体表述如下：(一)IT治理机制建设完善的IT治理机制是建设好商业银行信息安全风险管理体系的根本前提，只有深入开展商业银行公司治理机制下的IT治理机制建设并建立一套行之有效的IT治理模式，商业银行信息安全风险管理体系建设的进一步完善才有了保证，没有合适的组织架构，没有良好的决策机制、执行机制和监督评价机制，就不可能建设完全适合商业银行需要的信息安全风险管理体系。因此，要开展IT治理机制建设，我们只有在不断完善公司治理机制和IT治理环境的基础上，尽最大可能提高和保证商业银行IT治理机制运行的独立性，采取一些具体措施使得IT治理模式与现行IT治理环境更加融洽，比如：通过建立IT治理委员会、信息安全风险管理委员会(含信息系统应急管理职能)等相关IT管理机构，设立首席信息技术官(CIO)和首席信息安全风险官(CISRO)制度，并且首席信息安全风险官(CISRO)和信息安全风险管理委员会直接对董事会下的风险管理委员会负责，不受或者少受高级管理层和C10的直接干预，确保决策机制、执行机制以及监督评价机制的有效运转，从而在尚需不断完善的商业银行公司治理机制下，实现IT治理统一模式下的信息安全风险管理机制运行的相对独立性，构建相对独立和较为完善的IT治理机制。(二)制度建设制度建设是信息安全风险管理体系的基础，没有一套成熟和完善的信息安全风险管理制度，就如房屋没有了地基，体系也就失去了建造和实施的意义。要建设一套相对完善的制度体系，必须从商业银行的行业特性出发，逐步理清复杂制度体系的脉络，通过多方借鉴国际国内现有制度体系中的先进思想和现有的国际国内通用标准和相关要求，逐步构建商业银行信息安全风险管理制度体系。目前，14MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究国际上比较成熟的信息安全管理标准是IS0／IEC27000系列。这一标准主要围绕信息及信息系统的机密性、完整性和可用性三大原则而制定，国际国内其他相关信息安全风险管理要求也基本上遵循机密性、完整性和可用性三原则而展开。因此，只有以具体的IS0／IEC27000系列标准为主要借鉴点，并以其他信息安全风险管理要求为补充，在充分考虑商业银行这一经营货币资金的行业特殊性情况下，不断提高商业银行管理能力和内控执行能力，注重吸收国际国内最前沿信息安全防护技术，才能逐步完善现有商业银行信息安全风险管理制度体系。(三)内部控制机制建设任何一家企业在内部管理过程中均要体现“控制”这一理念，商业银行作为一类以资金交易为主要业务的金融企业，在内部管理中进行各种“控制"是十分必要的。在商业银行信息安全风险管理实施过程中，面对种种安全和风险，不注重管理过程中的控制就不可能做到有效的信息安全风险管理和信息安全风险防范。因此，商业银行各种管理包括信息安全风险管理最为关键的一环就是内部控制机制建设。完善商业银行信息安全风险管理内部控制机制的核心是进行流程控制管理和风险点控制管理，也就是在制度建设的基础上，设置相配套的流程控制程序并严格执行，着重发现所有与信息安全风险密切相关的风险点并进行针对性控制，对违反流程进行管理和操作、忽视风险的行为要严格约束，对造成影响的要进行必要的处罚，从而确保这套流程控制和风险点控制程序有效运转，促使内部控制机制建设更为完善。(四)风险管理机制建设商业银行信息安全风险主要因IT基础平台管理操作和各项业务系统管理操作所面临的内外部威胁而管理不慎所导致。因此，商业银行如何识别这些内外部威胁、发现自身存在的脆弱点和防范所引致的信息安全风险，除需要开展内部控制机制建设外还需要丌展更为全面的风险管理机制建设。商业银行信息安全风险属于操作风险范畴，开展全面风险管理和有效防范很不容易。从巴塞尔协议发布的有关操作风险规定看，是准备从量化的角度来防范操作风险的。但如何量化操作风险是一项刚刚起步、十分艰难的研究工作，离完成之R还很遥远。因此，我们全面建设风险管理机制和防范信息安全风险的重点应放在威胁识别、脆弱点发现和相应的措施弥补以及事后效果检查等方面。只有如此，才能在现阶段将各种信息安全风险控制在可接受的范围内。MBA学位论文作者：匡景炜 A市商业银行信息安令风险管理体系研究(五)业务连续性和应急机制建设商业银行信息安全风险管理的根本目标是提供对外的业务连续性服务。因此，开展业务连续性和相应的应急机制建设是商业银行信息安全风险管理的重头工作之一。现代商业银行的服务范围几乎是全社会，包括政府、企业和个人都可能是商业银行的重要客户，为这些客户提供不问断的存款、贷款以及资金汇兑支付等各项基本金融服务是商业银行的主要职能。商业银行要切实履行好这些职能，除开展内控机制建设和风险管理机制建设外，还需要以业务连续性为目标，开展各项应急机制建设，确保计算机系统在各种灾难事故、重大故障发生时的安全、稳定和不间断运行，从而保证以信息系统为支撑的各项业务持续对外提供服务。总之，只有全面、深入和持续开展以上几项建设工作，再通过建立畅通的体系实施反馈渠道并不断修正体系，才能解决A市现有国内法人商业银行信息安全风险管理体系存在的各种问题，最终建成相对完善的商业银行信息安全风险管理体系。16MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究六、完善A市商业银行信息安全风险管理体系的对策和措施本文前面指出了完善商业银行信息安全风险管理的关键主要是要进一步开展IT治理机制建设、制度建设、内部控制机制建设、风险管理机制建设以及业务连续性和应急机制建设。因此，笔者在此针对性提出了具体的对策和措施，首先提出通过建立有效的IT治理组织架构、高效的IT治理决策模式、有效的执行机制和到位的监督评价机制来进一步完善IT治理机制；其次提出制定信息安全风险管理方针、策略和建立全面、准确和操作性强的信息安全风险管理相关操作规程以开展制度建设；再次就是通过指出流程控制和风险点控制的相关要求并采取确保流程控制和风险点控制有效的具体措施来完善信息安全风险管理的内部控制机制；第四就是通过有效识别各类内外部威胁和全面防范信息安全风险来开展风险管理机制建设；第五就是通过指出确保业务连续性的前提要求并采取保证应急机制能动性和对外提供高效高质服务的相关措施来开展业务连续性和应急机制建设。现将相关具体对策和措施分以下五部分给予说明：(一)完善IT组织架构以及决策、执行和监督评价机制1、建立有效的IT治理组织架构完善商业银行信息安全风险管理体系需要建立有效的组织架构，主要是建立信息技术治理委员会领导下的三部门分设机制。三部门是指：(1)信息规划和信息安全部；(2)科技开发部；(3)科技运营部。信息技术治理委员会由首席信息技术官(CIO)担任主席，在董事长、CEO或行长的授权下负责协调银行信息及信息技术工作，其人员构成应包括：CIO、各业务部门分管行领导，以及信息技术各部门负责人；部分分行行长或其代表(轮值)。信息技术治理委员会的职能应该包括：(1)建立信息资源配置、信息系统项目开发和管理的体系架构；(2)审定银行信息标准、信息系统安全、信息工作流程的规范及相关制度；(3)审定支持银行战略目标的信息科技发展战略规划；(4)检查银行信息资源配置的合理性；(5)参与制定银行的信息和信息科技预算和经费计划；(6)审核对信息系统和业务产品的丌发、建设、运行、管理的重要提议；(7)审定与银行信息系统相关的信息安全风险管理制度。信息规划和信息安全部的主要职能应该包括：(1)根据银行业务发展战略规划，协助信息技术治理委员会制定银行信息科技发展战略规划(含业务连续性管MBA学位论文作肯：匡景炜 A市商业银行信息安伞风险管理体系研究理规划)和工作计划；(2)按照董事会年度预算，制定和管理银行信息科技年度预算；(3)牵头负责信息科技战略规划(含业务连续性管理规划)的实施和监督检查；(4)负责科技开发制度、科技运行制度和信息安全风险管理体系等各类信息科技制度制订；(5)负责银行基础技术标准及规范的制定和实施；(5)负责科技开发项目和业务系统运营的组织协调和监督检查；(6)对信息安全风险管理实施情况进行监督和检查。科技开发部的主要职能应该包括：(1)根据银行信息科技发展战略规划，制定银行信息科技丌发计划；(2)负责银行信息科技开发项目标准、流程及制度实施细则的制订及管理；(3)负责银行信息科技项目开发的实施和外包开发的组织管理和实施；(4)负责银行信息科技丌发、应用及相关技术的咨询、支持与培训工作；(5)负责制定银行信息科技开发人员培训计划并组织实施。科技运营部的主要职能应该包括：(1)规划、设计、建设满足银行管理与业务发展需求的银行IT系统基础设施；(2)管理、运行银行各类业务系统，提供银行业务与管理的信息服务；(3)监控、调度各类软、硬件系统和通讯网络资源，优化生产管理；(4)建立银行业务系统安全生产管理规范，确保生产系统的安全稳定运行；(5)提供科技开发部门所需要的特殊系统服务；(6)实施业务连续性管理，建设并管理灾难备份中心，保障系统高可用性；(7)对新开发或购入的硬件、系统软件、应用、工具系统进行验收测试，制定、实施切换方案；(8)管理IT资产，控制生产成本；(9)提供IT系统运行维户及相关技术培训。针对信息安全管理风险，在各部门内还应设立信息安全风险防控部门、信息安全风险检查部门。信息安全风险防控部门是指在科技开发部门设置的、对科技开发部门内部在项目开发过程中的信息安全风险进行防范和控制的内设机构，以及在科技运营部门设置的，对科技运营部门内部在同常信息系统运营管理中的信息安全风险进行防范和控制的内设机构。信息安全风险检查部门则是指对科技开发部门、科技运营部门在科技开发和科技运营过程中存在的信息安全风险进行监督检查的部门外机构一即指信息规划和信息安全部的项目管理组织和安全风险检查组织。2、建立高效的IT治理决策模式从IT治理安排矩阵所提出的决策模式看，比较适合现有商业银行实际的决策模式应该是联邦制决策。联邦制决策是指IT部门与业务部门共同协商决策。在商业银行，IT的发展与业务密切相关，在各重大项目的决策出台过程中，应充分考虑业务部门的实际需要，而不能由IT部门独自决定。决策的高效应体现在两方面：一是决策高效率。任何一项IT决策在明确牵头部门、协助部门、预18MBA学位论文作肯：匡景炜 A市商业银行信息安伞风险管理体系研究期投入费用和预计完成时间的同时，应该配置决策跟踪督促部门，随时关注决策的进展情况；二是决策效果突出。一项IT决策的效果依赖于决策部门和决策人员的业务能力、IT能力、判断能力和决断能力。因此，IT决策人员应是复合型人才，需要较大程度上掌握各类银行业务知识、适合银行业务的IT知识和较高的综合思维能力。总之，商业银行IT决策模式应该建立在业务部门和IT部门以及管理层充分沟通和协调融洽的基础上，决策人员的配备也应选拔或着重培养各类复合型人才。如此，决策的效率和效果才能符合商业银行业务不断发展的实际需要。3、建立有效的执行机制和到位的监督、评价机制各项IT决策的实施是否有效除需要一套正确的决策机制外，还需要一套确保实施到位的执行机制、监督机制和实施后的评价机制。执行机制要求信息技术各部门在制度、纪律、管理和控制的约束下，严格按照有关规定执行各种信息安全风险管理方针、策略以及一丝不苟地按照有关操作规程进行管理和操作，管理和操作过程要体现一种“没有例外”的理念，不以“特权”、“人情”、“紧急”。为借口而违反相关管理制度和操作规程，重在“执行、落实到位”，不差一分一毫。监督机制包括外部(执行主体以外)的监督检查和内部(执行主体)的自我监督与改进。外部的监督检查主要包括：信息规划和信息安全部对各项同常信息科技实施工作的监督检查。内部(执行主体)的自我监督与改进主要包括：执行前的预评估、执行过程中的自我约束、检查和改善、执行后的自我评价与进一步的改进。实施结束后的评价机制包括：银行内部审计部门的年度审计、外聘外部审计机构的年度审计、银行监管部门的不定期信息科技风险检查等。(二)明确有关方针、策略和操作规程完善A市4家国内法人商业银行信息安全风险管理体系制度，主要应参照国内外信息安全风险管理等相关标准和要求，再结合A市4家国内法人商业银行业务发展和信息安全风险管理的实际，制定信息安全风险管理的方针和策略等纲领性文件，并根据这些纲领性文件进一步建立全面、准确和可操作性强的各项信息安全风险管理操作规程。在此，明确有关方针、策略和操作规程等具体内容如下：1、制定信息安全风险管理方针就A市4家国内法人商业银行来说，信息安全JxL险管理方针主要应包括：(1)成立信息安全风险管理委员会和设立首席信息安全风险管理官(CISR0)。信息安全风险管理委员会是IT治理委员会下的二级委员会，是负责19MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究商业银行信息安全风险管理的最高机构，委员会成员由银行相关部门的负责人和负责信息安全风险管理的具体人员组成。主要对银行信息安全风险相关的重大问题做出决策，并在业务上直接对银行董事会的风险管理委员会负责。首席信息安全风险管理官(CISRO)负责信息安全风险管理委员会的日常管理，业务上接受银行董事会的风险管理委员会领导。(2)制定的信息安全风险管理措施和规范应符合现行法令以及银行监管部门的要求。(3)应向员工与第三方用户讲明相关的信息安全风险管理责任。(4)机密性原则下的相关信息安全风险管理方针：一是根据信息资产重要程度合理定级，实施信息安全等级保护；二是所有员工或第三方用户必须遵守国家的法律、法规和银行的相关规定，决不能滥用银行的信息系统，或是侵犯银行的版权和商业秘密；三是严格控制银行外的第三方对银行信息与信息系统的访问；四是对关键或敏感的信息系统的强制安全保护，确保物理安全性；五是系统或设备被处置时，对系统中的数据和设备中的数据要进行安全、彻底的删除；六是必须实施访问控制来决定什么人以什么级别可以访问特定数据和信息系统，必须要有可以监控并及时中止非法用户访问权限的程序或手段。(5)完整性原则下的相关信息安全风险管理方针：一是必须采取有效的措施发现和预防计算机病毒、网络蠕虫、木马等恶意软件的感染和传播；二是重要数据要根据需要进行备份，并要定期对备份数据进行测试；三是必须采取安全措施保证网络中传输以及与外界交流信息的安全性，并与信息分类的要求保持一致；四是必须启用所有操作系统和应用软件的同志审计功能，以保证所选择的安全控制已起作用并可以得到验证，同时确保针对这些安全控制的审计功能和应急响应功能已启动；五是通过银行信息系统传输的所有银行交易都必须记录，并按照有关法律法规以及监管要求给予保留及保护；六是针对信息系统的操作要严格和规范，避免有意或无意的系统数据滥用和误用风险；七是必须对信息系统等服务外包进行风险管理和防范，对需要丌发的系统进行重要性评估，服务外包时应考虑监管部门的规范和要求；八是外包或自行开发的系统应充分考虑安全性需求，使用的商业软件也必须通过相应的安全性评估；九是所有应用系统的源代码和执行代码都必须做好保存和访问控制；十是所有的系统变更必须经过严格的审查和测试，检查它们是否破坏系统或生产环境的安全，以确保现有系统的安全和稳定。(6)可用性原则下的相关信息安全风险管理方针：一是要对重要信息系统实施业务连续性管理，预防因业务活动中断而导致的系统服务中断的风险，保证重要业务不受故障和灾难的影响；二是应按照可以接受的风险水平对操作系统、MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究网络和应用软件进行维护，以提高系统的可靠性和可用性，并降低系统的脆弱性；三是要对信息系统进行阶段性的风险评估，以判断现有安全措施是否能充分有效地确保系统的可用性，是否需要增加其他的安全措施。(7)信息安全风险管理方针每年由银行信息安全风险管理委员会进行评审和更新。2、制定信息安全风险管理策略在信息安全风险管理的总体方针指导下，商业银行应进一步制定信息安全风险管理的具体策略。其重点：一是各项管理和操作中的信息安全风险管理；二是信息安全保密，实行严格的访问控制机制；三是系统业务连续性管理，确保系统不问断运行；四是银行信息系统的反攻击和防破坏。(1)信息安全风险管理制度方面：任何信息安全风险管理制度都必须经过制度制订、制度发布、制度执行、制度复审和制度体系验证等阶段。(2)组织内部安全风险管理方面：一是在信息安全风险管理组织体系方面，信息安全风险管理委员会的工作策略应包括：①确定信息安全风险管理的目标符合商业银行的要求，并且与国家法律法规和行业规范相一致；②阐明、复查和批准信息安全风险管理策略；③为信息安全风险管理策略的执行提供明确的指导和有效的支持；④提供信息安全风险管理运作体系所需的支持，为信息安全风险管理的执行在商业银行划分明确的岗位和职责：⑥批准信息安全风险管理推广和培训的计划和程序；⑦确保信息安全风险管理控制措施在商业银行内部被有效地执行；二是在信息安全风险管理的协调运作方面，信息安全风险管理委员会由来自银行内部不同部门的代表组成，委员会协同工作，执行跨部门的信息安全风险管理措施；三是信息安全风险管理岗位和职责方面，必须明确定义每个工作岗位和每个岗位的信息安全风险管理职责，必须明确商业银行每个员工个人保护银行信息资产和执行具体信息安全风险管理程序的职责；四是信息处理设备的授权管理方面：①新设备的采购和设备部署的审批流程应该充分考虑信息安全风险管理的要求；②新设备在部署和使用之前，必须明确其用途和使用范围，并对新设备的硬件系统和软件系统进行安全检查；③除非获得信息安全风险管理委员会的授权，否则不允许使用私人的信息处理设备来处理商业银行业务信息或使用信息资源；五是在保密协议方面，对能够接触到敏感信息的岗位，需要该岗位的员工签署保密协议，防止信息泄露：六是银行组织内部与外界的联系方面：①在必要时可以聘请外部的信息安全风险管理专家提供有关信息安全风险管理建议：②必须与商业银行以外的监管机构、公安消防部门、媒体、厂商和服务提供商保持联系，在发生信息安全风险管理事故时联系相关组织，获耿帮助；③在信息系统可能影2lMBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究响客户服务时，必须以适当的方式及时告诉客户，并根据不同的对象，指定相应的人员负责联系和信息发布工作；④需与安全协会、行业协会、专业公司组织保持联系，及时获取安全咨询、预警信息和行业最佳实践经验：七是在独立的信息安全风险管理审核方面，必须对商业银行信息安全风险管理控制措施的实施情况进行独立地审核，确保商业银行的信息安全风险管理措施符合策略的要求，而且原则应每年进行一次审核。(3)第二方安全风险管理方面：当银行与客户接触时应强调信息安全，必须在允许客户访问信息或信息系统前识别并告知其需要遵守的信息安全要求，必须采取相应的保护措施保护客户访问的信息或信息系统。(4)第三方安全风险管理方面：一是进行信息安全评估的第三方应包括：①硬件厂商、软件厂商和外包商；②监管机构、外部顾问、外部审计机构和合作伙伴；③清洁工和保安；二是在决定聘请第三方前必须对其进行充分的评估，评估的内容包括但不限于：①第三方的经营状况和财务实力；②第三方的诚信历史；③第三方的能力和资质的评估；④第三方实际风险控制与责任承担水平；⑤对商业银行现有安全控制措施的影响；⑥对相关银行业务系统的影响；三是根据评估中发现的风险制定相应的风险处理或防范措施，将对第三方的信息安全要求明确在合同中，必要时可报告监管当局；四是建立完整的信息系统外包JxL险评估与监测程序，严格管理外包第三方可能产生的信息安全风险；五是就针对第三方的信息安全风险管理措施进行评估，以确保各项措施被有效执行，及时发现可能存在的风险隐患；六是与第三方签订协议的安全要求，如信息保密、知识产权和版权保护、物理上和逻辑上的访问限制、商业银行有权审查第三方合同执行情况等；七是第三方访问银行信息系统的风险策略：①必须对第三方对银行信息或信息系统的访问进行风险评估，只有在风险降低到可接受的水平时才允许其访问；②第三方所有的访问申请都必须经过银行信息安全风险管理委员会审批或者其授权的人员审批；⑨第三方对重要信息系统的访问和操作必须有银行相关人员陪同；④对第三方的安全要求必须包含在与其签订的合约中。(5)信息资产(包括信息类资产以及信息系统密切相关的实物资产)安全风险管理方面：一是明确信息资产安全风险管理责任，清楚识别所有的信息资产，所有与信息或银行业务相关的重要资产都必须进行分类和清楚列明，并及时进行维护和更新；二是明确信息资产的管理权，指明具体的拥有者，拥有者根据职责进行管理并承担管理责任；三是信息资产必须被合理使用，使用人需遵：子信息资产的保密和访问策略，在授权范围内使用信息资产，并承担使用责任。(6)人员安全风险管理方面：～是人员的筛选应有一套符合银行需要的用人原则，必要时需要对被筛选人员进行背景调查，确保其符合银行信息安全风险MBA学位论文作者：匡景炜 A市商业银行信息安全风险管理体系研究管理的需要；二是人员被正式雇佣之前，应清楚说明其将要承担的角色、职责和安全风险管理责任；三是人员被雇佣后应进一步了解和遵守银行信息安全风险管理策略及其要求，进行信息安全风险管理意识的教育和培训，对违反银行信息安全风险管理要求的员工应进行相应的惩戒，甚至在确保银行信息安全的前提下终止雇佣。(7)物理和环境安全风险管理方面：一是应设置安全区域，通过建立安全区域的信息安全风险管理制度确保安全区域的信息安全：①划分物理安全边界，设置银行大厦和生产数据中心的统一入口，并专人值守和办理人员出入登记；②非办公时间非经授权不得进入安全区域，办公时问员工进出须佩带标志性证件，来宾进出必须经过信息安全管理委员会或者授权人员批准方可出入，安全区域中某些关系银行核心安全的区域应设立单独隔离区，严格控制接触单独隔离区的人员数量和接触时问；③安全区域必须有防范外部和周围环境威胁的措施，如火灾、洪水、地震、恐怖袭击、爆炸、骚乱等，某些重要安全区域如生产数据中心必须符合国家有关标准并做好各种防火、防潮、防尘、防盗、防磁、防鼠等措施；④在安全区域工作的员工和其他相关人员必须获得授权，并在授权范围或授权区域内工作，在银行生产数据中心工作必须获得更高级别的授权，所有安全区域以及生产数据中心的工作必须严格执行有关信息安全风险管理的各项规定；⑤安全区域以及生产数据中心必须执行巡检制度，尤其生产数据中心应定期(通常l小时)巡检，并配备人员24小时值班进行监控；二是各类具体设备的安全风险管理：①设备的安置及保护应充分考虑各项针对设备的威胁，进而采取有效的针对性保护措施；②设备的操作应严格执行有关规定，严禁违规操作；⑧保证设备正常运行的各类支持措施如电力供应、厂家维护等均应有具体的应急保障措施：④对银行控制以外的各类通讯设备和通讯线路，需要同相关供应商(电信部门)签订有严格约束条款的协议，明确对方应承担的有关安全风险管理责任。(8)各类操作的信息安全风险管理方面：一是要有规范的操作程序。所有的银行业务系统必须建立规范的操作程序，操作程序一经制订必须严格执行，如需修订必须经过严格的审核；二是操作人员的职责应明确划分，尤其各类系统管理人员、一般操作人员和系统开发人员的职责应明确分开由不同人员担任；三是针对各类业务系统的管理和操作必须实行双人或多人共同实施制度，确保既有操作又有监督。(9)网络通讯的信息安全风险管理方面：一是网络管理应设置专人管理并与操作系统管理人员分丌，并实行双人管理与操作；二是应定义严格的网络访问策略，确保路由器和防火墙安全策略等网络参数的完整性和严密性；三是应通过各种加密手段确保网络通讯数据的保密性和防篡改性；四是实行对通讯网络的MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究24小时监控，及时发现内部员工与外部不法分子对银行网络的攻击与破坏；五是建立网络和通讯线路的冗余策略，通过热备份或者冷备份机制保证网络连接的高可用性；六是网络的通讯容量应适时调整和升级，确保网络带宽和网络设备容量能满足银行正常业务运营的需要。(10)业务系统的访问控制方面：一是建立访问控制策略：①禁止匿名访问；②所有业务系统都必须有访问控制列表，并定义访问控制规则、用户和用户组的权限和访问控制机制；③访问控制列表应该进行周期性的检查以保证授权正确；④所有访问授权必须通过相应的审批；⑤系统自带的默认账号应该禁止使用或者配置密码进行管理；二是建立用户管理策略：①用户必须通过注册程序注册后方能访问业务系统；②用户每次访问记录必须保留和维护；③用户账号必须专用，不允许共享用户账号；④用户账号超过一定时间不使用，必须自动禁用，欲再次使用必须重新获得授权；⑤账号名称必须同使用者本人信息有一定关联性，不允许设置看不出任何个人信息的公共账号；三是建立密码管理策略：①系统中存放的任何密码均必须与用户账号合并后加密存储；②密码必须具有足够的长度和复杂性，不允许设置过于简单的密码；③密码应定期修改，超过一定期限没有修改密码的用户必须强制其修改密码；④用户忘记密码必须经过用户确认后重新获得授权和设置新的密码；⑤必须设置用户登录时密码错误的重试次数；⑥禁止用户账号和密码被同时传送或显示；⑦所有业务系统必须建立应急账号，应急账号平时封存，只有出现紧急情况时才可启用应急账号，启用后应急账号的密码必须重新修改并封存。(11)业务系统开发(含购买的商业软件)和维护方面：一是业务系统本身安全风险管理需求分析和范围的确定：①系统架构、用户认证、访问控制和授权范围、业务(或事务)处理的机密性和完整性要求、日志记录、系统配置、系统兼容性以及系统备份恢复等安全需求分析；②安全需求的评审、阶段性检查以及对商业软件的安全评估；③系统的正式验收以及正式使用前的安全测试；④系统各项业务同常操作和技术维护操作的检查、审计；⑤操作F1志记录、日志的查看权限以及预留的同志审计接口：二是商业软件采购和使用的安全风险管理：①欲采购商业软件(或产品)的选型评估和测试，包括厂家的资质评估和软件(或产品)本身的资质评估、软件(或产品)架构的评估、软件(或产品)功能和性能的测试和评估、软件(或产品)安全性的测试和评估、软件(或产品)服务商维护能力的评估；②软件(或产品)采购流程的合规性和有效性；③软件(或产品)保养和维护的维护期限、维护人员以及服务响应时间；三是业务系统操作和应用中的安全风险管理：①业务操作数据输入的验证，包括数据的长度、类型、范围和字符数限制等：②业务操作数据处理过程中的控制，包括数据校验、数据例外MBA学位论文作者：匡景炜 A市商业银行信息安伞风险管理体系研究处理、数据完整性检查；③电子交易中的消息验证：④业务数据输出的验证，包括数据合理性、输入数据是否得到全部处理、输出数据的状态是否正常、输出数据验证功能的测试、数据输出各环节所有相关人员的职责；四是系统的业务数据加密控制方面：①敏感业务数据存储和传输均要求采用加密措施进行保护，而且必须采用符合国家安全标准的密码设备或加密算法，算法强度和密钥长度需符合数据保护的要求；②数据签名的使用必须符合国家电子签名法的相关规定；③用于加密的密钥必须得到保护，在密钥产生、变更、存储、使用、交换和分发、注销、恢复和备份以及密钥销毁方面均要制定严格的安全风险管理程序；④加密机(设备)应禁止非加密机管理员接触，其使用必须符合国家法律、法规要求或行业规定；五是系统开发过程中的信息安全风险管理方面：①开发过程必须严格遵守商业银行的开发流程和规范，每个阶段均必须保留好相关文档和记录；②系统开发必须经过可行性论证，在充分考虑可行性以及相关风险和收益的前提下进行立项开发；③系统需求阶段必须经过业务部门和技术开发部门的充分沟通，确保开发的系统能符合银行业务流程的需要，需求分析要充分、深入并制定相应的风险控制措施；④系统设计必须充分考虑商业银行现有系统的架构，确保不发生业务上的冲突，并需要事先考虑技术应急方案和业务连续性方案；⑤系统编码必须符合商业银行的开发规范，尤其要做好代码注释，涉及业务大量计算的代码要做好技术优化，开发部门对丌发的代码要进行交叉检查，检查内容包括代码质量，是否存在安全漏洞、后门、逻辑炸弹等；⑥系统测试至少需要进行功能测试、安全性测试、压力测试、验收测试和适应性测试，不得使用生产数据来测试，测试范围包括所有的需求、设计功能点和安全控制功能点，并确保系统经过