银行信息安全管理体系建设方案的设计-毕业论文

摘要银行信息安全管理体系建设方案的设计摘要伴随着互联网技术的的发展，信息化已经不断渗透到国民经济的各个行业，银行业也不例外，也面临着巨大的冲击，银行业信息化水平也在不断的提升，但是商业银行在利用信息化和科技的同时，也面临着巨大的安全隐患问题。因此，各个商业银行不断加大对于银行信息安全问题的关注。城市商业银行是商业银行的重要组成部门之一，在中国整个银行业当中发挥着重要的作用。本文在研究商业银行信息安全管理中存在的问题的基础上，重点侧重于对城市商业银行的信息安全管理的问题的讨论。运用了文献综述法、案例分析法等系统分析的方法,根据城市商业银行现存的信息安全风险事故问题，结合城市商业银行实际,具体的提出了城市商业银行的信息安全管理体系的设计思想,制定了建设信息安全体系的实施方案。本文主要分为五个部分，第一部分是绪论部分，提出了本文的研究背景和研究意义；第二部分是相关的理论和文献综述部分，从理论上对于信息安全问题进行了梳理；第三部分是城市商业银行的信息安全风险和信息安全管理的现状和问题；第四部分是城市商业银行信息安全管理体系的设计；第五部分是城市商业银行信息安全体系的设计方案。同时本文的创新之处主要在于设计了适合城市商业银行发展的银行信息安全管理体系架构，主要包括银行风险安全体系外围、管理平台建设、运作平台、银行技术平台和银行文件系统这五个层次。通过这个包括城市商业银行的信息安全管理的内部和外围结构的构建，实现从管理到具体的技术维护和保障等多方面的城市商业银行信息安全风险的防控，为城市商业银行信息安全建设提供有效的措施。通过本论文对于信息安全管理体系架构的设计以及建设实施方案的探讨,希望能够对城市商业银行的信息安全工作起到有效的推动，同时也为其他的类似的金融机构的信息安全管理有着理论指导和实践上的借鉴意义。关键词：信息安全管理，城市商业银行，信息安全体系构建AbstractAbstractWiththedevelopmentofInternettechnology,informationtechnologyhasbeeninfiltratedintoallsectorsofthenationaleconomy,thebankingindustryisnoexception,isalsofacingahugeimpact,thebankinginformationizationlevelhasalsobeenimproved,butthecommercialbanksintheuseofinformationandtechnologyatthesametime,isalsofacinghugesecurityproblems.Therefore,eachcommercialbankpaysmoreattentiontothesecurityofbankinformation.Citycommercialbanksisanimportantpartofthecommercialbanks,andplaysanimportantroleinthewholebankingindustryofchina.Onthebasisofstudyingtheproblemsexistingintheinformationsecuritymanagementofcommercialbanks,thispaperfocusesonthediscussionoftheinformationsecuritymanagementofthecitycommercialbanks.Usingtheanalysismethodofliteraturereview,caseanalysissystem,accordingtothecitycommercialbanksoftheexistinginformationsecurityriskaccidents,combinedwiththeactualconstructionbank,putforwardspecificdesignideasofinformationsecuritymanagementsystemforthecitycommercialbanks,setuptheconstructionofinformationsecuritysystemimplementationscheme.Thispaperisdividedintofiveparts,thefirstpartistheintroduction,thispaperputsforwardthebackgroundandsignificanceoftheresearch;thesecondpartistherelatedtheoryandliteraturereview,fromthetheorytotheproblemofinformationsecurityreviews;thethirdpartisthepresentsituationandproblemsofthecitycommercialbanks'informationsecurityandinformationsecurityriskmanagement;thefourthpartisthedesignofinformationsecuritymanagementsystemforthecitycommercialbanks;thefifthpartisthedesignschemeofthecitycommercialbanks’informationsecuritysystem.Atthesametime,themaininnovationofthispaperisdesignedforthecitycommercialbanks,anddevelopmenttheirinformationsecuritymanagementsystemarchitecture,includingthefivelevelsofbankriskmanagement,externalsecuritysystemplatformconstruction,operationplatform,technologyplatformandbankbankfilesystem.Thisincludesthecitycommercialbanks’informationsecuritymanagementofinternalandexternalstructure,realizethepreventionandcontrolofcitycommercialbanks’informationsecurityriskmanagementfrommanyaspectstothespecifictechnicalmaintenanceandsecurityetc.,toprovideeffectivemeasuresfortheconstructionofthecitycommercialbanksinformationsecurity.Throughthediscussionthisthesisdesignarchitectureforinformationsecuritymanagementsystemconstructionandimplementationplan,hopetobeabletoeffectivelypromotetheinformationsecurityworkofthecitycommercialbanks,butalsofortheinformationsecuritymanagementissimilartootherfinancialinstitutionswiththetheoreticalguidanceandpracticalsignificance.Keywords：Informationsecuritymanagement,Thecitycommercialbanks,Informationsecuritysystemconstruction目录目录第一章绪论 11.1选题背景 11.2研究思路和研究方法 11.2.1本文的研究思路 11.2.2本文的研究方法 21.3主要创新点和意义 2第二章信息安全管理领域发展综述和相关理论 42.1相关理论介绍 42.1.1信息安全理论简介 42.1.2风险管理的相关概念 52.2信息安全管理相关研究状况和综述 52.2.1国外信息安全管理体系的研究 52.2.2国内信息安全管理体系的研究 62.3我国商业银行信息安全建设现状 8第三章城市商业银行信息安全及管理的现状与出现的问题 93.2城市商业银行面临的信息安全风险 93.2.1城市商业银行信息安全风险的特征和表现 93.2.2城市商业银行信息安全风险的主要原因 103.3城市商业银行信息安全风险管理的现实状况 113.3.1城市商业银行信息安全风险制度建设不断加强 113.3.2城市商业银行信息安全风险监管力度增强 123.3.3加大城市商业银行信息安全风险管理投入 123.3.4城市商业银行外部信息安全环境得到提升 123.4城市商业银行信息安全风险管理出现的问题 133.4.1城市商业银行信息风险管理意识不足 133.4.2缺乏城市商业银行信息安全统一管理 143.4.3缺乏城市商业银行信息安全管理人才 15第四章城市商业银行信息安全管理体系设计 164.1城市商业银行信息安全管理体系涵义和作用 164.2城市商业银行信息安全管理体系的设计原则 164.3城市商业银行信息安全管理体系架构设计 174.3.1架构外围 174.3.2城市商业银行信息安全管理平台 184.2.3城市商业银行信息安全运作平台 184.2.4城市商业银行信息安全技术平台 204.2.4城市商业银行信息安全的文件管理系统 21第五章城市商业银行信息安全管理体系建设方案 225.1城市商业银行信息安全管理策划和准备工作 225.1.1做好城市商业银行信息安全战略部署 225.1.2做好城市商业银行信息安全方针建设 235.2城市商业银行信息安全管理体系运作平台建设 235.2.1城市商业银行信息安全风险评估 235.2.2城市商业银行信息安全规划实施 255.2.3城市商业银行信息安全安全监控 255.2.4城市商业银行信息安全响应恢复 255.3城市商业银行信息安全管理体系技术平台建设 265.3.1身份认证 265.3.2访问控制 265.3.3恶意代码防控 265.3.4审计和监控 275.3.5加密 275.3.6备份和恢复 285.4城市商业银行信息安全管理平台建设 295.4.1城市商业银行信息安全意识的培养 295.4.2信息安全组织架构 295.4.3信息安全的监督控制 29第六章结论 316.1本文的结论 316.2本文的不足 31参考文献 33致谢 35第一章绪论第一章绪论1.1选题背景起始于20世纪80年代末的金融电子化浪潮发展至今已近30年的时间。30年来,信息技术利用其自身的特点，使其在银行业中的地位从具体的工具变为业务和管理的组成要素;影响力从单一的业务部门，扩展到商业银行的方方面面;甚至商业银行的管理模式和业务流程优化，都因信息技术的存在而成为可能。信息技术对银行业的发展功不可没、成绩斐然。可以说，没有信息技术，就没有现代银行业。然而，信息技术在给商业银行带来巨大助益的同时，也使企业面临着巨大的风险挑战。近年来，信息技术项目失败造成的巨额损失(决策与管理风险)、信息系统失效或网络故障引起的业务中断(内部风险)、利用信息技术犯罪与病毒侵犯导致的信息泄露或篡改(外部风险)、自然灾害引起的设备和数据毁损等等，在商业银行的经营管理实践中不断表现出来，轻则降低了商业银行的服务水平、阻碍了业务的正常开展，重则使得商业银行面临信用危机、利益受损，甚至造成不良的社会影响。可以预见，随着商业银行电子化程度的提高，信息化建设的深入，信息技术风险造成的威胁将会越来越大。目前，国内银行业信息安全管理尚处于起步与探索阶段，不可避免地普遍面临着缺乏统一全局的信息安全管理规划、缺乏科学全面的信息安全管理体系、缺乏动态的信息安全管理模式、重技术轻管理等共性问题。除此之外，银行信息安全管理还存在着个性化的问题:缺少内部独立监管机构对信息安全状况和效果进行监督与评价、缺乏全面系统的信息安全制度体系、缺乏统一的信息安全风险评估标准和监控平台等。为从根本上解决上述问题，银行亟待建立一套全面科学的信息安全管理体系。通过科学合理的规划与实施，有效地防范和化解信息技术风险，提高信息安全管理整体水平，改善信息安全管理现状，为银行信息系统的平稳运行和业务的持续开展提供强有力的信息安全保障。1.2研究思路和研究方法1.2.1本文的研究思路本文在此背景和需求下，在国内外信息安全怜理领域相关研究的基础上，结合商业银行实际，采用系统分析的方法，提出了信息安全管理体系的设计思想，并为体系的建设制定了详细的实施方案。本文按照研究背景—理论综述—状况调查—问题分析—解决方案—架构设计—建设方案—结论与展望的顺序安排文章的结构。第一章，概要地介绍了本论文研究的背景、目的和方向，研究采用的理论基础和方法，以及论文结构章节的安排，最后说明论文研究的意义和创新之处。第二章，国内外信息安全管理领域相关研究与发展综述。分别介绍国际、国内信息安全管理领域相关研究的发展阶段、研究成果以及我国商业银行信息安全管理的现状。第三章，城市商业银行信息安全及管理的现状和问题。首先介绍商业银行信息安全出现问题的表现、主要原因，然后分析城市商业银行在信息安全和信息安全管理的现状和问题。第四章，城市商业银行信息安全管理体系架构设计。首先，阐述信息安全体系的涵义，指出体系建设的目的和作用;然后，结合城市商业银行实际，确定体系的设计原则;最后，在设计原则的指导下，对银行信息安全管理体系进行架构设计，并逐一阐述五层架构(体系外围、管理平台、运作平台、技术平台和文件系统)的设计思想。第五章，城市商业银行信息安全管理体系建设方案。按照前一章对体系架构的设计思想，从策划和准备入手，紧密结合城市商业银行发展现状和信息安全保障需求，逐层制定具体的建设实施方案。第五章，结论部分对本论文研究的意义和创新点加以总结，对银行信息安全管理体系建设研究的前景进行展望和预测，同时总结分析此项研究工作有待改进的地方。1.2.2本文的研究方法理论分析与实证研究相结合本文通过用理论文献进行分析和比较,在理论分析的同时进行相关的实证研究,分析城市商业银行在经营运营中存在的信息安全风险管理的现实状况、问题以及形成这些问题的原因,并且通过理论与实证两方面来提出适宜银行发展的科学、有效的建设城市商业银行信息安全风险管理体系。（2）案例分析法在对商业银行信息安全管理的研究时，重视案例研究，以城市商业银行的信息安全风险管理的实际案例为例进行研究,研究城市商业银行的经验教训,发现城市商业银行信息安全体系建设中存在的问题、分析问题,最后针对城市商业银行信息安全体系建设的问题归纳和总结出具有共性的东西，为其他的商业银行信息安全体系建设提供有益的借鉴。1.3主要创新点和意义本文的创新之处主要有两点,一是在借鉴国际上通用的信息安全实践标准的基础上,结合城市商业银行实际,设计了包含“体系外围、管理平台、运作平台、技术平台、文件系统”五个层次的信息安全管理体系架构二是以架构为指导,结合城市商业银行的发展现状、信息化平和信息安全保障需求,制定了具体的建设实施方案,并分析了体系建设的关键成功因素。本论文的研究思路和内容,对于城市商业银行,以及其他规模、结构、经营模式、发展水平相近的国内商业银行的信息安全管理,均具有理论指导和实践参考意义。本文对国际国内成熟的信息安全风险管理体系有一定的认识,了解其优势和特点、对我国城市商业银行信息安全风险管理工作和体系建设工作的现状和不足有比较清楚的认识，这样可以对建设和完善我国商业银行信息安全风险管理体系具有一定的借鉴意义和参考价值。第二章信息安全管理领域发展综述和相关理论第二章信息安全管理领域发展综述和相关理论信息是一种有价值的资源，是当今一种重要的资源。无论是国家、企业或者个人，保证信息的安全是一个非常重要的问题。国际化标准组织（ISO）对信息安全的定义是：为信息处理系统提供技术上和管理上的保障，维护计算机软件、硬件和数据不因偶然或者恶意的破坏而遭受损失。而在信息安全风险管理这一方面，目前国内外的研究主要是分在两大领域，一是学术界对于信息安全风险管理基础理论的探讨，另外一个则是实践过程中各种信息安全风险管理标准的规定，这些构成了现阶段信息安全风险管理的研究框架。2.1相关理论介绍2.1.1信息安全理论简介信息对于现代社会生活中的我们并不陌生，信息属于客观事物状态的一种形式，与此同时也是客观事物运动特性的一种具体的展现的形式。信息的展现的形式和种类多种多样，例如我们日常生活中见到的图片以及出现的文字词条，这些都属于信息当中的一种。除此之外，很多的信息还能通过语言、气味等来展现，信息对于我们的日常的生活和工作是非常的重要的，信息从本质上看是一种资产，同时它也是一种具有实际的价值的资产。因为信息具备一定的价值，所以我们像保护其他资产一样保护好信息。信息安全管理中的任务就是对于信息资产的良好的保护，经过一定的技术手段确保信息不被恶意更改或者使得信息不被窃取，从而更好的保证信息能够及时、可靠的传递出去。有限的信息安全管理能够减少安全事件的发生，能够最大限度降低安全事件造成的损害，进而确保业务能够正常开展。信息安全的目标主要包含三个，（1）确保信息的保密性，即要求信息无论是在使用还是在传输的过程中，都不会因为人为操作或者机器技术问题发生泄漏，从而避免信息落入非法用户手中（2）确保信息的完整性，即要求信息在进行使用、传输等过程中不被其他不合法用户进行修改，减少信息的丢失，从而保持信息自身的完整一致（3）确保信息的可用性，也就是当实际用户需要访问信息时，信息能够接受需求者的访问请求。这是信息管理体系中的重要环节，具体的针对的对象是组织的信息资产。信息安全管理的对象是组织或者个人的信息，它的作用是为了让信息安全风险降低到最小。信息安全的目的的达到主要依赖于技术和信息管理。信息管理对于信息安全来说则更为的重要，因为技术是信息安全的构筑材料，使得信息信息能够稳定的传播，那么安全管理就是粘合剂和催化剂。大多数的安全事件和安全隐患都是管理问题。因为管理上的疏忽所导致的信息安全事件要多于由于技术不过关导致的信息安全事故。因此，科学有效的管理，认识到管理对于信息安全的重要意义，对于整个信息安全和管理都至关重要。2.1.2风险管理的相关概念风险管理是社会组织和个人通过一定的方式和手段来降低风险的的管理过程。风险管理包括风险识别技术、评估技术以及评估后利用奇特的管理技术，实现最小的成本换来最大的安全保障，从而达到有效的控制风险的目的。风险管理的内容基本上包括风险识别、评估、控制和风险管理评价这四个环节。（1）风险识别。风险识别指的是当组织或个人面临风险，以及面临将要发生的风险时，对这些风险展开一系列的全面的判断、归类以及风险的整理，达到有效识别出风险，从而对风险进行有效的管理的过程。（2）风险评估。在进行风险评估之前必须要开展信息的风险识别，不然难以正确评估出风险的等级等。风险评估依靠收集的大量数据，采取概率论以及其他统计工具，从而得出风险发生的概率以及其可能造成的损失。（3）风险控制。主要通过采用积极的策略和方式来控制风险的发生概率，来降低损失程度。在风险控制环节中制定切实可行的应急办法是其中最重要的方法，能够在最大限度地减少风险带来的损害。一旦事故发生时，根据预先计划执行，就能最大程度减少损失。（4）风险管理的评价。对于已经发生的风险事故进行风险管理的评价，评价采取风险管理方法的实现结果是否与和风险管理预期目标相适应，由此判断管理方案的科学性、适应能力和盈利能力。2.2信息安全管理相关研究状况和综述2.2.1国外信息安全管理体系的研究在学术界，信息安全的这一概念起源于20世纪70年代。Lampson（1971）构思了存取监控器这样一个抽象模型，通过信息系统主体对客体的授权形式实现信息安全的保障。美威特曼著,齐立博译信息安全原理[M],北京清华大学出版社,2007.Schell（1972）、Mitre（1974）则提出和构建了信息系统安全内核这一概念，为信息系统安全平台的开发奠定了理论基础，开创了信息安全技术发展的新局面。AndrewsJ.D,Moss（1993）在结合前人研究的基础之上，把信息安全这一理念扩展到数据库系统领域，提出了数据库系统多元安全模型AndrewsJ.D,Moss．T.R,ReliabilityandRiskAssessment，[J].LongmanGroupUK,1993.25-80。进入20世纪80年代，信息安全技术越发成熟。Voydock、Kent（1985）提出了高级网络协议以及分布式系统的信息安全处理问题美威特曼著,齐立博译信息安全原理[M],北京清华大学出版社,2007.AndrewsJ.D,Moss．T.R,ReliabilityandRiskAssessment，[J].LongmanGroupUK,1993.25-80Voydock、Kent著,汤大马译基于治理的风险管理之道,[M],北京清华大学出版社,2010.而在实践过程中，国外信息技术安全管理的规章制度也是在不断的改善发展中。美国是国际上信息安全管理研究历史最长和工作经验最丰富的国家，随着信息化应用需求的牵引，安全事故的驱动和信息安全技术、信息安全管理理念的深化，对信息安全管理的研究也不断的加深。1967年11月，美国国防科学委员会委托兰德公司，迈特公司以及其它一些国防工业相关的企业开始研究计算机安全问题。到了20世纪70年代以后，美国制定了信息安全的许多标准，例如70年代的电磁泄漏（TEMPEST）对抗标准、80年代的密码标准、联邦信息处理标准，这些信息安全管理标准为防范信息系统风险提供了良好的制度指引。在1993年美国又联合欧洲四国（英、法、德、荷）和加拿大以及国际标准化机构（ISO）推出了新一代的信息技术安全通用评估标准（CC）,并且于1999年成为国际标准ISO/IEC15408。“911”事件以后，美国政府更加重视信息安全问题，在2002年通过了《联邦信息安全管理法案》（FISMA），强调了信息安全在美国国家安全体系中的战略定位。而在其它的国家，信息安全管理研究也在不断的更新。英国标准协会（BSI）制定的信息安全管理标准——BS7799，是目前国家上最具代表性的信息安全管理体系标准。BS7799信息安全管理体系强调基于风险管理的思想，指导机构建立信息安全风险管理体系（ISMS）。并于在2000年12月，BS7799-1通过了国际化标准机构的认可，正式成为国际标准ISO17799。德国联邦信息技术安全局推出的BPM比英国的BS7799更加详细地对各种威胁和风险进行了归类，并通过网上实时维护来应对变化莫测的计算机系统安全需求。而早在1996年，国际标准化机构就在信息安全管理方面开始制定《信息技术信息安全管理指南》（ISO/IEC13335）,它分成《信息安全的概念和模型》、《信息安全管理和规划》、《信息安全管理技术》等五部分，其后，ISO又提出了依据BS7799-1制定了《信息安全管理实施指南》（ISO/IEC17779:2000），提出了基于风险管理的信息安全管理体系IS0,ISO(2005),ISO/IEC17799,InformationTechnologySecurityTechniques-CodeofPracticeforInformationSecurityManagement,IS0,2005-06-15IS0,ISO(2005),ISO/IEC17799,InformationTechnologySecurityTechniques-CodeofPracticeforInformationSecurityManagement,IS0,2005-06-15综观国外研究情况，虽然传统上的信息安全已经不是一个陌生的问题，但是结合信息安全的管理体系理论还是一个尚在探讨中的未解决问题。信息安全管理技术经历了一个只重技术到技术、管理并重的全面管理，从单机管理到信息系统防范，从单一安全因素到多种安全因素属性的发展。在信息保障的理念下，信息安全风险管理研究也在不断的深化之中。2.2.2国内信息安全管理体系的研究在国内学术界，在信息安全的管理体系这方面的研究也处于探索阶段。在对信息安全管理定义的理解上，沈昌祥院士（2001）对国家信息安全保障战略目标的定义为：“在保障国民经济基础设施的信息安全的基础上，抵御有关国家、地区、集团可能对我国实施‘信息战’的威胁，打击国内外高技术犯罪，进而保护国家安全、维护社会稳定和经济发展。”而叶尔江、刘怀兴等（2005）依据国际标准化组织（ISO）的定义以及参考国内外专家学者的观点，认为信息安全的本质属性就是实现保密性、完整性、可用性、可控性、占用性和可信性这六个要素的的安全IS0,ISO(2005),ISO/IECTR13335,GuideliensfortheManagementofITSecurity,ISO,2005-06-15。因此，所有可能对这“六性”造成威胁的因素就称之为信息安全风险，信息安全的风险管理也应该从这些因素入手。王玉平（2006）指出随着信息技术的发展，信息安全应用的内涵也在不断延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。而刘哲（2007）则是把信息安全风险管理划分为对象确立、风险分析、风险控制、风险控制、审核批准这四个环节。而在日常信息安全风险管理的工作中，秦天保、方芳（2004）认为应该把企业信息安全管理纳入企业的工作日程流程中，实现信息安全管理的系统化、制度化。但是由于信息安全管理工作的复杂性与多样性，信息安全管理体系的制定和实施依赖于企业决策者的思路和管理水平，导致执行的随意性较强。如果能够严格按照国家信息安全标准来建立企业的信息安全管理体系，目前企业信息安全管理制度建设这种混乱无序状态就能得到大幅度改善。陈静,刘永春（2007）则从战略上对我国银行信息化安全管理做了深入的探索：他构思了我国银行信息化与信息化资产监管的科学体系，探讨了我国网上银行、银行卡信息安全监控的新机制，研究并构想了优化危机事前决策和完善灾难备份体系的新策略陈静,刘永春.网上银行－技术风险及其管理[M],北京,人民出版社,2001,(1)。而钱钢（2002）提出了基于SSE-CMM的信息安全风险管理理念，朱而刚，张素英（2004）基于灰色算法描述了信心安全风险评估的路径选择朱而刚,张素英.基于灰色评估的信息安全风险评估模型,信息安全与通信保密,2004,(7).IS0,ISO(2005),ISO/IECTR13335,GuideliensfortheManagementofITSecurity,ISO,2005-06-15陈静,刘永春.网上银行－技术风险及其管理[M],北京,人民出版社,2001,(1)朱而刚,张素英.基于灰色评估的信息安全风险评估模型,信息安全与通信保密,2004,(7).孙强,陈伟.王东红,信息安全管理[M],北京:清华大学出版社,2004在实践过程中，我国在信息安全领域的各类标准建设起步较晚，在进入20世纪90年代，随着互联网在我国的广泛应用，国际大环境的信息安全问题和信息战威胁等因素出现后才开始了信息安全标准建设的步伐。1994年颁布了《中华人民共和国计算机系统安全保护条例》，1999年公布了《计算机信息系统安全保护等级划分准则》（GB17859—1999），2004年国家信息部开始了《信息安全风险管理指南》和《信息安全风险评估指南》两个草案的制定。2006年，公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室联合制定了《信息安全等级保护管理办法（试行）》（公通字〔2006〕7号），这一系列的法律条文规范了我国信息安全风险管理工作的具体目标和要求，保障了信息安全工作的顺利进行，在日常的信息安全风险管理工作中提供了有效的指导作用。2.3我国商业银行信息安全建设现状随着经济的发展，我国商业银行的信息化建设也在不断的发展，其信息化的建设主要经历了两个比较重要时期，这两个时期分别是电子化建设时期和网络化时期。其中，银行电子化建设阶段主要是银行利用计算机，使得计算机代替人的工作,最终要实现银行的主要的后台业务以及前台柜面业务实现电子化。其次，在银行网络化的建设阶段,银行信息系统主要是根据相关技术,在处理流程方面进行的改造，使之实现电子化,这样可以实现业务集中处理。这样可以利用互联网技术为代表的网络技术实现加快业务创新,为客户提供了品种多样的金融产品，从而实现开拓相关网上金融服务的目的。我国商业银行在信息化建设方面，在几十年的发展过程中一直走在各个行业的前列,积极采用最新的科技，加快信息技术利用,其对信息技术的应用水平也是最高的行业之一。因此，在我国，覆盖全行的内部网络基本上已经在我国大部分的商业银行建立,内部网络是起到连接银行数据中心、省级分行以及地市支行和营业网点的网络，在具体的内部系统内部已经建立起了银行的低柜、高柜、中间业务和运营管理、办公自动化等方面的信息系统。与此同时，我国大部分的商业银行的营业网点基本上已经实现电子化,其中的低柜、高柜和中间业务也已经基本实现电子化，有些业务甚至实现了网络化的集中处理。此外，全国对公对私业务的通存通兑业务也因为商业银行内部系统的电子化随之实现。但是，随着中国加入世贸组织和国际化竞争激烈,我国商业银行纷纷作出信息化战略性调整，适用国际银行业当中信息化发展的要求,不断向全行数据集中的方向跟进。从明年开始，我国商业银行开始推进数据集中工程，逐步改变“以省级分行为中心建立先对独立的数据中心和独立的业务系统”的运作模式。近几年来,我国的商业银行也不断的跟上信息化的步伐，纷纷加快了电子银行服务系统的建设，开展电话银行、网上银行、手机银行、自助银行、呼叫中心等,逐步的开通了网上查询、支付、转账、缴费、财务管理等服务。这些电子化的发展是我国商业银行逐步由传统的实体柜面服务的模式不断转向电子银行服务模式。到目前，国内的五大商业银行都建立了网上银行、电话银行、手机银行、自助银行等信息化、立体化的服务体系,同时这些新的业务发展迅速,其交易量和交易额不断的超越传统业务量。但是跟国外成熟的商业银行信息建设相比，我国无论是在信息安全标准制定，还是在管理体系方法模型上还存在较大的不足，因此，加强对我国商业银行信息安全管理建设具有极强的现实意义。第三章城市商业银行信息安全及管理的现状与出现的问题第三章城市商业银行信息安全及管理的现状与出现的问题商业银行信息化经历了十余年的高速发展,城市商业银行在信息化建设方面已取得了很大的成果。伴随着城市商业银行信息化程度的提高,信息系统数量越来越多,信息系统内部和信息系统之间的关系越来越复杂,城市商业银行的信息安全也逐渐暴露出了这样那样的问题,出现了各种信息安全风险,信息安全风险的管理工作存在着严重滞后的局面。3.2城市商业银行面临的信息安全风险随着城市商业银行电子信息化的水平的不断提高,城市商业银行的业务和管理流程的网络电子化也在不断的增强，使得银行服务的质量和效率不断的提高。城市商业银行的电子化银行系统即电话银行、手机银行、自助银行、网上银行等电子银行的发展，极大地提高了银行用户使用者的自主性和使用感受,同时也降低了城市商业银行的实际的运营成本,实现了城市商业银行服务质量提升和银行业务创新能力的提高，增强了竞争优势。但是,我们也应该认识到,前所未有的风险隐患在银行业高速发展的中不断的出现，给客户和银行自身带来许多的困扰。随着电子银行的发展带来银行抢劫类案件发生数量减少的同时出现了许多的信息资金诈骗事故，网上银行被人盗取，高科技犯罪经常出现，这些对银行和银行客户的资金安全都构成了严重的威胁。统计发现,黑客攻击行为大多数是针对互联网上的银行和证券等金融交易。因此，加大对银行信息安全风险监管,确保银行信息安全,尤其是银行电子信息的安全，确保银行和客户资金安全是银行电子信息化的重点。由此，信息安全关系到我们国家的经济安全、社会安定也是城市商业银行的生存和发展的生命线。此外,由于信息系统是银行业务的依托，一旦系统出现故障，会造成无法估量的影响和损失，所以，银行信息系统运行稳定必须极大的关注，引起足够的重视。3.2.1城市商业银行信息安全风险的特征和表现（1）城市商业银行信息安全风险普遍存在根据实际的调查我们可以发现，城市商业银行的信息安全风险具有风险的一些普遍性特征,即商业银行的信息安全风险具有普遍性，存在于银行运行的各个环节当中。商业银行众多交易流程和运营管理流程之中有城市商业银行的信息安全风险存在。信息安全风险从数据中心内部的服务器集群到银行员工的业务终端都有分布,甚至有可能来源于境外网络终端。因为城市商业银行一笔简单的交易是由客户或柜台发起，由分支行网络到总行数据中心众多环节都有分布，涉及网络系统、前端系统、账户系统等各个不同的环节。（2）城市商业银行信息安全风险隐蔽性强城市商业银行信息安全风险隐蔽性很强，非常难被发现。随着交易路径的优化整合,城市商业银行的信息安全风险动态管理也不断的增强，原有的路径的调整,系统的合并、拆分、优化,技术的不断提高都使得其信息安全相对提升，但是固有的问题和缺憾始终存在。（3）城市商业银行信息安全风险变动和复杂性较强随着城市商业银行交易路径从之前的路径不断的调整,使得与其相关信息系统不断的进行着合并、拆分、优化,虽然随着技术的替代,原有的风险可能随之消失,然而新的风险点又随之出现。银行的信息安全风险非常的复杂,银行的业务流程因为会涉及多个服务器、网络、操作系统、中间件、数据库、应用程序等多个部分,因此，这些部分都会很大的风险存在。（4）银行信息安全风险危害非常大由于银行的信息系统依靠网络发挥作用，犯罪工具有时候仅仅依靠一台或几台电脑，造成银行的信息安全风险犯罪成本非常的低,并且非常容易被犯罪分子利用。但是，由于银行信息安全造成的信息安全风险事故则对于城市商业银行危害确是极大的。由于银行信息系统已经成为当前整个银行业务的操作平台和运转中枢,一旦城市商业银行信息系统遇到信息安全问题，是很难恢复到传统业务作业模式当中去的，从而导致其业务出现中断。对城市商业的基本支付业务造成极大伤害，由于现代银行大多数是联网式，因此，一旦一家银行系统出现问题，会出现危及其他银行乃至整个金融系统的稳定的问题。根据城市商业银行的电子化发展的实际的状况来看，之前出现的一些信息安全事件值得我们反思,总结信息安全事件中的经验和教训。银行的信息安全事件的发生的原因是多种多样的，究其来源，对城市商业银行的信息系统安全问题进行深入的、有效的分析，进行防范和控制，进行信息安全风险防控，才能全面的实现信息安全管理。3.2.2城市商业银行信息安全风险的主要原因（1）来自软件和硬件产品的原因潜在的信息安全隐患往往存在于一个微小的产品瑕疵,一个细微的程序设计当中，疏忽任何一个微小的产品瑕疵盒程序设计都可能成为系统安全威胁出现。城市商业银行信息系统当中所涉及的电子设备数量众多,系统中包含几台、十几台、有的是上百台服务器、网络设备,并安装有多种复杂的应用程序。系统复杂性以及在设计和生产过程中出现的人力无法全面掌控的问题,都会造成系统安全问题上升。同时，外部环境的因素诸如电力、空调等也有可能对信息系统的安全性造成一定程度的干扰,这些都会使得信息安全受到威胁。此外，银行业务渠道,诸如网上银行、手机银行、电子商务等都给银行客户提供了极大的便利，但是，渠道的开放必然面临着风险，一些来自外部网络入侵和来自内部网络的干扰都是银行信息系统的主要威胁。之前采取的对银行业务系统采取的边界化信息安全防范措施显然已经不能满足银行业务渠道全面开放，用户端安全出现了前所未有的挑战沈昌祥.信息安全国家发展战略思考与对策.中国人民公安大学学报,2003,(3)。沈昌祥.信息安全国家发展战略思考与对策.中国人民公安大学学报,2003,(3)（2）有效的信息安全技术保障手段不足我国城市商业银行的信息安全建设在面对信息系统的安全性方面还存在很多的不足和问题。例如，缺乏对全面风险在整体上的监控和预警手段,在局部智能、主动的风险防范体系不足,甚至很多己有的技术工具和管理系统不能完全满足防护的需求,需要更新的产品引入。（3）缺乏完善的管理流程和信息安全架构城市商业银行内部网络由于各个系统相互联系，往往规模比较庞大,很多城市商业银行业务系统大部分集中在总行数据中心,小部分仍然分散在分支行,因而使用系统的人员也很多分散在各个分支行。但是，由于分支行的系统设备、网络设备、前端设备的管理和运行水平还远低于总行数据中心的管理水平，使得风险和威胁经常出现分支行的系统中。同时，管理流程的不顺畅经常体现在组织架构上面,比如，弹性的风险管理,快速反应和处理能力都出现了严重不足,整体风险很难控制,对于突发事件更不能及时有效的处置。3.3城市商业银行信息安全风险管理的现实状况随着城市商业银行的信息安全风险管理出现的问题,城市商业银行对其系统内以及分支机构的信息安全风险进行了有效的管理,城市商业银行的监管工作实现了不断的加强。城市商业银行开始不断的提高了信息安全风险的认识，对于银行的信息安全管理不断投入更多的精力。城市商业银行在信息安全风险管理建设方面，尤其是在在监管机构的指引下,做了大量的工作,逐步建立起适合城市商业银行自身信息化发展水平的信息安全风险管理体系。3.3.1城市商业银行信息安全风险制度建设不断加强近年来，我国城市商业银行在信息安全治理框架方面做出了一定的优化调整，不断的吸收国外先进经验。目前,很多城市商业银行基本上建立起了适合本银行发展的公司治理框架,逐步调整了业务和的组织架构,和银行信息安全风险管理相关的内控制度也随着不断的制订和完善。同时，城市商业银行逐渐借鉴国际先进的信息安全风险管理的经验和理念,完善银行信息安全风险管理的方式和信息安全风险管理的手段，初步建成信息安全风险制度保障体系,颁布了一系列和实际业务发展水平和管理水平相造应的信息安全风险管理制度和技术规范。3.3.2城市商业银行信息安全风险监管力度增强随着城市商业银行信息安全风险的提高，同时随着我国银行监管机构大大加强了对银行信息安全的监管的力度,开始由银监会和人民银行牵头,不断学习国际信息安全风险管理经验，吸收采纳国内外商业银行和有关机构意见，陆续颁布了一系列的和银行信息安全管理相关的制度和管理规范。城市商业银行信息安全风险管理的制度和规范涉及到了城市商业银行信息安全风险管理领域的众多的方面,除了制度和规范的颁布，城市商业银行还积极的实施了督促和规范城市商业银行的信息安全风险管理的各种方式，对城市商业银行信息安全风险监管工作起到了很大的推动作用。3.3.3加大城市商业银行信息安全风险管理投入随着城市商业银行业信息化建设迅速发展,很多家的城市商业银行陆续推进数据集中处理工作,逐步开始将原来分布在各省分支行的数据中心的一部分业务，尤其是银行的核心业务数据和系统，进行逐步的划分，并且逐步集中于总行数据中心，这项措施使得城市商业银行的信息安全风险的明显降低。与此同时,城市商业银行对于数据中心的依赖性显著增强，由于所有系统和数据主要集中在总行数据中心,并且提供着24小时的不间断的服务工作。城市商业银行数据日均交易数量和交易规模也非常的大，因此，对于数据中心众多生产系统的稳定运行将不断成为城市商业银行交易系统关注的焦点。因此，城市商业银行为了提升银行信息安全管理，不断的结合本行的自身情况开展了各种监管和内控的措施，不断的满足了城市商业银行信息安全管理的各项规范。其中许多的城市商业银行分支机构基本上都在建或已经建成了异地灾难备份中心，同时数据中心的信息系统运行监控、流程优化、身份认证、数据加密、网络安全、病毒防范等信息安全风险防范必备的基础设施也不断的实现了维护，这些都加快了城市商业银行风险管理工作的推进步伐,这些都使城市商业银行的信息安全风险管理不断的提升。3.3.4城市商业银行外部信息安全环境得到提升随着城市商业银行信息安全问题的重要性的不断的提升，以及国家对互联网信息安全的重视程度不断提高,近年来国家对银行的信息相关的制度不断加快制订，加强了银行基础性的信息安全应用规范和技术标准的制定,商业银行信息化和法制都不断的加强。城市商业银行信息安全管理中的互联网治理效果十分显著。同时，伴随着互联网环境也不断改善，都在很大程度上促进了城市商业银行网上银行业务以及城市商业银行的网上支付业务的合规化发展。有关国家信息安全部门和公安部门对于银行业信息安全进行了一定治理，以银行为对象的互联网犯罪案件的数量也出现了明显的下降的趋势。此外，银行金融业的服务运营不断的进行着市场化改革，市场化竞争使得各家运营商的运营和服务质量有了很大的提升,大规模的运营商互联网络服务中断事件随着减少。随着整个互联网环境的改善,使得城市商业银行电子信息化业务的发展有了一个更好的平台环境。3.4城市商业银行信息安全风险管理出现的问题随着城市商业银行信息安全风险管理的提升，我国城市商业银行在信息安全风险管理也不断的采取了相应的措施，在很多的方面取得了很高的成绩,是值得肯定的。但是我国城市商业银行信息安全风险管理仍然处在存在很大的问题,对于银行信息安全风险管理的研究也远远地落后于城市商业银行信息化发展水平,与国际先进银行信息安全风险管理的差距还很大。城市商业银行信息安全风险管理也还不能完全适应我国城市商业银行业务发展和技术高速的发展的需要,各个层面仍然存在不少巫待解决的问题，问题主要表现在如下几个方面：3.4.1城市商业银行信息风险管理意识不足随着城市商业银行信息安全风险问题日益凸显，但是我国城市商业银行高管层对城市商业银行信息风险问题的管理不足，城市商业银行高管层对信息安全风险问题尤其是信息安全风险问题缺乏全面而足够深刻的认识。领导层面通常只在出问题时才重视,对城市商业银行信息风险问题没有形成持续的重视。这种风险管理意识不足不利于城市商业银行内部的信息安全风险管理工作的开展。在以下几个方面重点有所体现：（1）城市商业银行信息风险管理投入不足城市商业银行信息风险管理在人力和财力等方面的投入占信息化建设整体比太小，使得资源投入过低，城市商业银行信息风险隐患得不到全面、及时的解决。城市商业银行信息风险新的隐患又随着系统的不断的更新逐步增加,积累了更多的的风险隐患。仅重视信息系统的运行阶段管理城市商业银行信息风险隐患产生于系统的开发和建设阶段，但是在城市商业银行信息化的发展的过程中,为了保证按时上线,加快了开发的速度,运行前没有经过充分的测试,在系统稳定性和安全性方面容易产生很大的隐患,出现了很多系统明带病上线。这样带病上线系统一旦投产运行，需要不断的优化改造和安全修补，城市商业银行信息风险隐患经常出现，同时城市商业银行的风险隐患难也很难在短时期内彻底解决。城市商业银行信息风险需要从规范信息系统开发、建设开始,城市商业银行信息风险管理只有贯穿于信息系统生命周期始终，才能有效的从源头控制风险的引入,解决信息系统风险管理问题。（3）缺乏稳定的信息安全风险管理机制城市商业银行信息风险的管理主要依赖于事件推动,没有形成持续的稳定的信息安全风险管理机制。城市商业银行信息风险的系统问题,整改一批而后信息安全风险管理工作随着城市商业银行信息安全问题的解决随着结束，但是风险仍然存在。特别是城市商业银行完成了数据大集中后,部分分支行信息安全意识淡薄,甚至认为信息安全是总行考虑的事,忽视信息风险预防和应急机制的系统化建设。在城市商业银行信息风险的管理方面，我国大部分城市商业银行往往是凭借经验进行风险管理,管理很多都是事后纠正式管理,导致很多的城市商业银行出现了因为问题出现才去补救和整改的习惯。信息安全风险管理工作的被动化的管理方式,已经不能适应现在商业银行各类业务的发展。城市商业银行信息风险的管理系统规划和制度体系保障对于城市商业银行信息安全化显得极其的重要。（4）缺乏定期有效的城市商业银行风险评估很多城市商业银行缺乏定期的、有效的风险评估，只有采取动态的、主动的、持续改进的信息安全风险管理方式,才能从根本上预防重大信息安全风险的发生同时带来的损失。但是城市商业银行对于信息安全风险的预防和管理不足,缺乏定期的、有效的风险评估，城市商业银行信息安全管理基本停留在已有规章制度检查层面,已经存在的风险评估工作也大多数是停留在定性评估层面,对风险的定量分析十分的缺乏。城市商业银行整体信息安全风险管理也出现了很多的问题，事前预防不足，事中控制有限，事后查出问题很多的态势。（5）缺少系统化的银行信息安全风险管理措施城市商业银行整体信息安全风险管理往往不能从全局高度把握，信息风险的预防和应急处置标准不统一，城市商业银行信息安全风险管理缺乏统一协调配合。存在“既当裁判员,又当运动员”的管理错位问题，没有专门的信息安全风险管理机构,很难从全局高度上评估和分析信息系统风险，也很难制定和实施统一的信息安全风险管理策略,这种缺少系统化的银行信息安全风险管理措施势必会给城市商业银行的信息安全带来巨大的威胁。（6）城市商业银行信息安全管理重技术轻流程城市商业银行在信息安全风险管理上都存在技术导向性,信息安全管理重技术轻流程现象非常的显著，缺乏必要的流程管控和合理的制度保障，这在很大的程度上很难从根本上解决城市商业银行信息安全管理问题。城市商业银行的信息科技领导和技术人员认为,信息安全建设只需要对网络安全设备,如防火墙、通信加密设备、防病毒系统、相关监控系统等设备进行有关的部署，实现双机热备份等管理策略就实现了城市商业银行信息安全管理的工作。但是这种信息安全管理方式显然是不充分的，没有有效的对城市商业银行信息安全管理随着会来了更多的信息安全风险问题。城市商业银行信息安全管理工作除了在技术层面上面的重点的部署，更需要与之配套的信息安全管理的流程和管理规范的相互配合。只有采取信息安全管理中的细致的操作规范、管理制度和应急手段才能对城市商业银行信息安全管理技术环节进行有效的配合。3.4.2缺乏城市商业银行信息安全统一管理城市商业银行信息安全管理往往存在缺乏信息安全统一管理的问题，很多的城市商业银行仅仅重视具体风险事项的管理,对于整体管控缺乏相应的手段。城市商业银行在实施信息安全风险管理过程中,很多是将主要精力投入到具体事项的风险管理中,基本上缺乏对于风险的整体把握,缺乏信息安全统一管理的意识也缺乏信息安全风险流程管理与风险技术管理的之间关系的考量。因而在城市商业银行信息安全管理方面经常存在巨大的漏洞。但是随着城市商业银行业务的不断发展，以及信息技术的不断变化,城市商业银行在信息安全管理方面也要随其变化做相应的调整。3.4.3缺乏城市商业银行信息安全管理人才银行信息安全管理是“三分看技术,七分靠管理”的，由此信息安全风险管理工作的成败可以看出城市商业银行信息安全管理工作室离不开人才的。但是，目前我国城市商业银行信息安全风险管理普遍缺乏精通信息安全管理方面的专业人才。由于城市商业银行信息技术对人才的要求非常高,需要懂银行的业务并且对于计算机技术业务也要相对了解。而我国在信息安全风险管理人才方面是极其缺乏的，那些懂银行业务、计算机技术之外又要了解城市商业银行信息风险管理的人才更是少之更少。目前,城市商业银行有关风险管理的人员缺乏信息技术专业知识,无法准确识别城市商业银行的信息资产、威胁，对银行信息系统的风险状况也不能做出及时的正确判断，给城市商业银行的信息安全管理造成了困难。第四章城市商业银行信息安全管理体系设计第四章城市商业银行信息安全管理体系设计4.1城市商业银行信息安全管理体系涵义和作用信息安全管理体系是一个企业在整体或特定范围内建立信息安全方针和目标,以及为了实现这些目标所采取的方法。信息安全管理体系主要包括信息安全管理的建立、实施、操作、监视、复查、维护和改进等一系列的的活动，同时也表现为具体的组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。银行信息安全管理体系首先可以实现对关键信息资产的全面保护,维持城市商业银行的资源竞争优势；其次,信息安全管理体系的建设可以确保业务和服务仍可持续开展，当出现信息系统受到侵袭时,实现将损失降到预先测定的可接受的范围内。再次，城市商业银行信息安全管理体系可以使业务合作伙伴和客户对城市商业银行充满信心,从而提高银行的知名度。最后,通过城市商业银行信息安全管理体系的建设可以规避信息技术风险，促进城市商业银行的业务发展，从而实现企业整体战略目标。4.2城市商业银行信息安全管理体系的设计原则城市商业银行的信息安全管理体系必须以保证城市商业银行的信息安全管理业务连续性为前提，通过信息安全技术和相关的管理实现对信息技术风险的全面保障,因此,城市商业银行在信息安全管理体系设计的原则如下所示：（1）全面和系统性原则城市商业银行的信息安全管理是一个全面系统的工程,因此要进行系统的考虑和规划，这就要求城市商业银行的信息安全管理是多角度、多层次的。因为城市商业银行的信息安全管理任何环节上的安全问题和缺陷都会对整个信息系统构成威胁,威胁业务经营与资产安全。所以在城市商业银行的信息安全管理中要实现信息安全目标,要从全局出发，必须保证构成信息安全管理体系的整体的合规性。因此,城市商业银行应在借鉴国内外银行信息安全管理实践的基础上,结合本行信息化发展规划的现状,建设全面系统的信息安全管理体系。（2）不断改进和动态发展原则城市商业银行的信息安全管理工作是一个持续改进、动态发展的过程，城市商业银行的信息安全管理工作以保证业务连续性为根本目标。城市商业银行信息安全管理是以为业务服务为中心的，脱离业务的信息安全管理也就失去了其真正的意义。因此,城市商业银行的信息安全管理工作要在保证信息系统的正常运行的同时实现全行业务的连续开展,从而实现银行信息安全的根本目标。（3）全员参与性的原则城市商业银行的信息安全管理不是某一个人的事情，在城市商业银行的信息安全管理体系的建设中,应由最高管理者确立全行统一的信息安全方针、政策和方向,并且使得城市商业银行内部员工都积极参与到信息安全管理的过程中来。领导全体员工明确自己在信息安全管理中的职责,使得员工具备一定的信息安全技术和风险防范意识,进而使得员工积极参与信息安全管理体系的建设。（4）技术与管理并重的原则城市商业银行的信息安全管理工作不是单一方面的工作，涉及到了信息技术是信息安全管理各方面的工作。城市商业银行的信息安全管理工作中技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。城市商业银行在进行信息安全管理体系设计时,银行必须牢牢把握技术与管理并重的原则,从而使二者相辅相承,共同促进信息安全目标的实现。4.3城市商业银行信息安全管理体系架构设计4.3.1架构外围信息安全管理体系架构的外围包括法律法规与标准的符合性、信息安全战略、风险管理理念三部分内容。1.相关法律法规与标准的符合性城市商业银行信息安全管理的体系必须符合国家有关法律法规的要求,否则将阻碍业务的开展,不利于城市商业银行的长远发展,甚至可能带来损失。近年来,随着我国城市商业银行信息安全管理问题的出现，银行业监管机构不断加强对信息技术风险的监管,开始逐步的实施了一系列商业银行信息安全管理有关的法律、法规和内控指引,银行业监管机构也不断对银行业的信息技术风险管理也不断的提出了更高的要求。其中，《人民银行法》、《商业银行法》、《银行业监督管理法》相继提供了银行业信息安全的基本原则和一般指导性的法规，因为基本法规的宏观性,城市商业银行信息安全管理具体的信息安全要求需要通过银行业监管机构发布。银监会针对商业银行信息安全管理问题又相继的发布了《商业银行操作风险管理指引》。除此之外，一系列的国际标准组织近年来也不断的通过了商业银行信息安全方面的规范与标准。这些国内的和国际的商业银行信息安全的建设准则是组织进行信息安全管理体系建设的实践规范，也是城市商业银行建设信息安全管理工作必须要遵循的准则。2城市商业银行信息安全战略城市商业银行信息安全战略是全行信息安全保障体系的核心,信息安全战略也是信息安全工作的原则、宗旨和指导,为城市商业银行信息安全工作指明了方向。城市商业银行信息安全战略层处于管理平台、运作平台、技术平台及体系文件各模块的上层,是整个体系的上层建筑,起到总体的战略性和方向性指导的作用。其他的构建都是按照战略平台上的内容进行统筹规划的。3.城市商业银行信息安全管理理念与大多数的商业银行一样，城市商业银行信息安全银行面临的风险分为信用风险、市场风险和操作风险,其中信息技术风险是操作风险的重要组成部分。风险管理是城市商业银行信息安全管理的核心内容,城市商业银行信息安全管理体系架构的每一部分都充分体现了信息安全风险管理的理念。城市商业银行信息安全管理理念是从城市商业银行的业务需求出发,遵从风险管理的理念，根据城市商业银行信息安全管理的规范而制定的信息安全政策与标准。4.3.2城市商业银行信息安全管理平台城市商业银行信息安全管理是一个统一的整体，信息安全管理平台处于城市商业银行信息安全管理体系架构的“管理一运作一技术”三元关系的最上层。这个平台是从企业管理的层面出发,根据多层防护的思想,为了达到信息安全战略而搭建的。城市商业银行信息安全管理平台包括信息安全认知培养、组织与职责、审计与监督三部分,从人员、意识、职责、监督等方面,保证并指导“管理一运作一技术”关系层次的下一层次即信息安全运作层次的顺利进行。1.城市商业银行信息安全认知培养信息安全认知培养部分是银行信息安全风险控制的基础。实际工作中大部分的信息安全控制措施的落实需要依靠员工的主观能动性,因此,应通过宣传、教育等手段提高员工在信息安全方面的自我约束和自我控制意识。2.城市商业银行信息安全组织与职责城市商业银行信息安全组织与职责部分是需要通过完善组织结构,明确不同安全组织和不同安全角色的定位、职责以及相互关系,实现对信息安全风险进行的管理和控制。城市商业银行信息安全组织与职责的落实,需要通过开展信息安全认知培养和城市商业银行信息安全审计监督获得保障。3城市商业银行信息安全审计和监督城市商业银行信息安全审计与监督是城市商业银行内部风险控制的重要组成部分,本质上是城市商业银行的自我检查、自我监督以及自我改进的方式,一般由城市商业银行内部独立的专业审计部门对信息安全管理和信息风险控制的效果展开一系列的检查和评价,实现对城市商业银行内部的监督，从而促使其缺陷的整改,从而确保城市商业银行信息安全管理体系的良好运行和持续改进。4.2.3城市商业银行信息安全运作平台城市商业银行信息安全运作平台是城市商业银行信息安全管理体系架构中“管理一运作一技术”关系中的中间的层次,它是城市商业银行在日常的信息管理和日常运作中不断的实现的。在“管理一运作一技术”三元体系中,城市商业银行信息安全运作平台从人员组织的角度出发、技术平台从技术的角度出发,通过这些运作平台实现信息安全管理体系的整体目标,由此，城市商业银行信息安全运作平台是整个体系的核心层。城市商业银行信息安全运作平台强调以可接受的成本,控制、降低或消除各种可能的安全风险。城市商业银行信息安全运作平台不断的持续改进，动态地管理信息安全运作平台，并且遵循“规划一实施一监控一改进”的循环模式,实现不断地适应动态变化的环境。与传统的城市商业银行信息安全运作模式相比,新型的城市商业银行信息安全运作平台是以风险管理理念和持续改进模式作为理论基础构建的运作平台,是一种事先预防、动态控制的运作模式构架。风险评估响应恢复安全监控规划实施风险评估响应恢复安全监控规划实施图4-1城市商业银行的信息安全技术平台上层结构用户管理用户管理资产管理数据和文档管理应用开发和维护管理物理安全运作管理系统安全运作管理网络安全运作管理图4-1城市商业银行的信息安全技术平台下层结构城市商业银行的信息安全技术平台的结构分为上下两个部分，上层是包括风险评估、规划实施、安全监控和相应恢复在内的运作，下层则是根据具体的信息安全的对象进行的运作事物的管理，具体包括用户管理、资产管理、数据和文档管理、应用开发和维护管理、系统安全运作管理、网络安全运作管理和物理安全运作管理等各个方面的管理。4.2.4城市商业银行信息安全技术平台城市商业银行信息安全技术平台处在整个平台的最底层,是信息安全技术平台当中提供有关银行信息技术支持的部分，也是整个城市商业银行信息安全管理体系建设当中的技术基础。根据对城市商业银行信息安全技术平台的建设的现状，并参考国内外银行业主要应用的信息安全技术,城市商业银行不断总结出适合本银行信息安全技术平台的手段，主要包括以下几个主要的部分，预防监控环节、跟踪检测环节和系统响应和故障恢复环节，具体的设计如下图所示：预防监控环节预防监控环节身份认证访问管理加密防恶加固跟踪监测监控审核监督故障恢复 图4-3新城市商业银行的信息安全技术平台结构其中城市商业银行信息安全技术平台的预防监控环节主要指在城市商业银行的业务中，在主体访问客体之前,首先要对于客体的身份信息予以相应的确认，经过主体身份的认证、主体访问权限的设置，设置具体的信息安全加密设施等有效的手段,实现城市商业银行信息安全的预防和监控。其次，城市商业银行信息安全的跟踪监测等项目，这种跟踪测算具体是通过城市商业银行的技术手段监督客体的工作的安全性，确保主体访问过程的安全,避免访问过程中可能产生的安全事故。其中具体的环节包括监控和审核监督等技术。最后是故障的恢复以及故障的响应环节，一旦出现信息安全事故，为了确保城市商业银行在最短的时间内对事件进行响应做出相应的安全事故的处理，实现将信息安全事故的损失降至最低所采取的技术手段,其中包括必要的数据的备份和数据的恢复等技术。城市商业银行信息安全建设需要将技术平台中的上述三类信息安全技术手段充分的应用到信息安全保护对象的各个环节当中去，才能形成信息安全管理平台和运作平台的合理运转,才能够有效保障信息安全控制措施的落实以及实现城市商业银行信息安全管理目标的实现。4.2.4城市商业银行信息安全的文件管理系统城市商业银行的信息安全文件管理系统是对城市商业银行信息安全战略的逐层的细化和落实的过程，也是将城市商业银行信息安全的管理平台、运作平台以及技术平台的内容进行的标准化和模式化，最终形成的全面的、系统的规章制度。城市商业银行信息安全，通过这项系统和制度的信息安全文件管理系统进行不断的整合和维护，从而实现城市商业银行信息安全管理文件系统乃至城市商业银行的整体信息安全系统的不断的实现优化。这部分的设计分为信息的安全政策、信息安全标准与相应的规范以及相应的信息安全指南等几个主要的层面。通过这几个层面的架构，从而实现城市商业银行信息安全管理，具体的包括如下：城市商业银行信息安全政策城市商业银行信息安全政策是指在城市商业银行信息安全战略管理下提出的各种信息安全方面的工作目标，城市商业银行信息安全政策，是城市商业银行的管理层根据城市商业银行的信息安全工作的一系列的有关原则和具体的方向，制定和实施的城市商业银行的信息安全管理的政策性的方针。城市商业银行信息安全政策的下层具体化包括城市商业银行信息安全标准和规范、城市商业银行信息安全指南以及城市商业银行信息安全的指导性的纲领文件。城市商业银行信息安全的准则城市商业银行信息安全的规范和准则主要是城市商业银行在信息安全政策的有关的指导下，对于城市商业银行有关信息安全方面制定的具体的管理制度，是城市商业银行根据信息安全工作开展的相关管理规定，具有非常大的强制力，是所有的城市商业银行的员工必须加以遵守的标准化的准则和要求。城市商业银行信息安全建设方略城市商业银行信息安全的建设方略是指为了是实现和贯彻落实信息安全，城市商业银行根据一定的规则和标准结合具体的实际制定的一系列的实施的安全建设方略和方针，从而保证城市商业银行信息安全的管理能够不断的实现。第五章城市商业银行信息安全管理体系建设方案第五章城市商业银行信息安全管理体系建设方案5.1城市商业银行信息安全管理策划和准备工作城市商业银行信息安全管理策划和准备工作对于城市商业银行的信息安全管理体系建设的策划和准备以及后续活动的规划和设计提供基础和指导。这个阶段的主要任务是制定城市商业银行的信息安全战略,做好银行信息安全管理策划和准备工作，其中具体包括拟定计划、人员等资源的配备、前期培训和动员、安全现状调研等相关的工作。5.1.1做好城市商业银行信息安全战略部署信息安全战略从企业战略的高度,对信息资源和运作过程进行指导和控制,实现信息技术战略与银行战略的的有效融合。城市商业银行信息安全战略是全行信息安全保障体系的核心,信息安全战略也是信息安全工作的原则、宗旨和指导,城市商业银行信息安全战略层处于管理平台、运作平台、技术平台及体系文件各模块的上层,对体系的管理平台、运作平台、技术平台以及文件系统的建设在总体上起着的战略性和方向性指导的作用。城市商业银行信息安全战略部署应注意遵循内外部环境、依据信息技术规划、遵从风险管理理念的的原则。（1）信息安全战略符合城市商业银行环境要求城市商业银行在制定信息安全战略时,首先应结合内部和外部环境,城市商业银行的信息安全管理是一个全面系统的工程,因此要进行系统的考虑和规划，这就要求城市商业银行的信息安全管理是多角度、多层次的，需要考虑城市商业银行内部和外部环境的信息安全建设。这种基于城市商业银行内部和外部环境的，确定整个城市商业银行的信息安全风险控制目标的城市商业银行信息安全规范才能为经营管理和业务发展提供基础的、必要的信息安全保障。（2）城市商业银行信息安全战略符合信息技术规划信息技术安全建设的关键环节在于银行的信息技术规划，城市商业银行在开展信息技术工作的时候，城市商业银行信息安全战略要为城市商业银行的信息技术安全工作服务，因此，城市商业银行信息安全战略是在符合信息技术规划的基础上进行的，不能脱离具体的城市商业银行的信息安全管理的技术性的要求。（3）遵从风险管理的理念制定信息安全战略城市商业银行信息风险管理也是风险管理中的一种，因此，城市商业银行信息安全管理也必须遵从风险管理的理念,从风险治理的角度看待和处理有关的信息安全问题，从而实现城市商业银行信息安全的风险的识别风险预防和风险的治理。5.1.2做好城市商业银行信息安全方针建设城市商业银行信息安全方针是为了城市商业银行的信息安全工作提供指导和支持,并与银行业务要求和相关法律法规保持一致。管理者应根据业务目标制定清晰的信息安全方针