返回
银行信息安全风险自评估的流程和方法.pdf

银行信息安全风险自评估的流程和方法.pdf

ID:52402918

大小:659.97 KB

页数:6页

时间:2020-03-27

银行信息安全风险自评估的流程和方法.pdf_第1页
银行信息安全风险自评估的流程和方法.pdf_第2页
银行信息安全风险自评估的流程和方法.pdf_第3页
银行信息安全风险自评估的流程和方法.pdf_第4页
银行信息安全风险自评估的流程和方法.pdf_第5页
资源描述:

《银行信息安全风险自评估的流程和方法.pdf》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、热点探究信息安全银行信息安全风险自评估的流程和方法中国建设银行山东省分行徐崇岭随着金融信息化的不断深入,信息化给国内商业银(2)银行保密性要求较高,信息系统的各种设计文行带来利益的同时,也带来了新的安全问题,信息系统档和用户资料等均需保密。本身的不安全因素和人为的攻击破坏及安全管理制度(3)银行业务集中程度高,绝大部分银行已实现数的不完善或执行不到位等,都潜伏着很多安全隐患。特据大集中,部分银行已基本实现业务大集中。别是业务数据的集中处理,使业务服务的连续性风险随2.银行信息系统的特点之集中,大到自然灾害、设计规划不当,小到意外的人为(1)银行开展信息化的时间较长,应

2、用系统较为成操作错误,都可能导致系统故障,威胁银行的业务开展熟,在整个信息系统中,应用系统所占比重较大。和对外声誉。因此,各家银行急需建立完善的信息安全(2)长期以来,银行信息系统较为封闭,但随着网上保障体系,防范信息安全风险。银行、中间业务等银行新型业务和金融产品的出现,银信息安全保障体系的建设是一项系统工程,风险评行对开放信息系统的要求越来越高。事实上,所有银行估在其中占有非常重要的地位,是信息安全保障体系建的信息系统均已不同程度地对外开放。设的基础和前提。目前,国内外现有的信息安全风险评(3)由于数据大集中,单笔交易所跨越的网络环节估模式大体可分为自评估、检查评

3、估与委托评估三大越来越多,银行信息系统对网络依赖程度越来越高。数类,后两种类型也可称为他评估。在现阶段,不同模式各据大集中后,大部分银行将建立一个生产中心和一个异有优点和缺陷,但从信息安全的角度考虑,自评估应是地备份中心,这进一步提高网络系统在银行信息系统中风险评估的基本模式。本文参照风险评估的框架,结合的地位。银行业务和信息系统的特点,提出银行开展信息安全风3.银行信息安全的特点险自评估工作的流程和方法。(1)银行的信息安全保障体系建设普遍处于起步阶段,尚需进一步完善。一、银行业务、信息系统和信息安全的特点(2)随着竞争的加剧,金融新产品的不断开发,应用软件开发周期

4、越来越短,新系统的推出越来越快,往往1.银行业务的特点安全隐患尚未彻底排除即已投产。(1)银行业务的正常开展关系到国计民生,因此银(3)银行网点众多,管理难度高,成为信息安全的另行对数据完整性要求极高,对业务可用性和数据可用性一主要薄弱点。的要求也非常高,对业务中断和数据丢失等事故非常敏(4)随着科技的迅速发展和网络的不断开放,目前感。银行的网络安全管理水平和安全技术设施已显落后。中国金融电脑2007年第2期·29热点探究信息安全脆弱性:信息资产及其安全措施在安全方面的不足二、风险评估的要素和基本概念和弱点,也常常被称为漏洞。威胁是外因,而脆弱性是内因,外因要通过内因

5、起作用。脆弱性是信息资产本身所风险管理是信息安全管理的核心,风险及其相关具有的(例如系统没有打补丁),威胁要利用脆弱性才能概念揭示了信息安全问题产生的原因,也提出了信息安造成安全事件。全解决方案的需求。信息安全风险评估各要素之间的关安全事件:如果威胁主体能够产生威胁,利用信息系如图1所示。资产及其安全措施的脆弱性,实际产生的危害情况称之为安全事件。风险:由于系统存在脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险由安全事件发生的可能性及其造成的影响这两种因素来衡量。残余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。安全需求:为

6、保证组织的使命能够正常行使,在信息安全保障措施方面提出的要求。安全措施:对付威胁,减少脆弱性,保护信息资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种方案、规程和机制的总称。图1信息安全风险评估各要素之间的关系三、风险评估各要素间的相互作用信息安全风险评估各要素的内涵如下。风险评估各个要素间的相互作用可以这样描述:使命:一个组织通过信息技术手段实现的工作任组织通过安全措施来对信息资产加以保护,对脆弱性务。一个组织的使命对信息系统和信息的依赖程度越加以弥补,从而可降低风险;实施了安全措施后,威高,风险评估的任务就越重要。胁只能形成残余

7、风险;对资产的保护往往需要多个安信息资产:通过信息化建设积累起来的信息系统、全措施共同起作用;某些情况下,也可能会有多个脆信息、生产或服务能力、人员能力和赢得的信誉等,这是弱性被同时利用;脆弱性与威胁是独立的,威胁要利需要保护的对象。只有信息资产得到保护,组织的使命用脆弱性才能造成安全事件,但有时某些脆弱性可以才可以实现。没有对应的威胁,这可能是由于这个威胁不在考虑的信息资产价值:信息资产价值可通过信息资产的范围内,或者这个威胁的影响极小,以至忽略不计;敏感程度、重要程度和关键程度来表示,这里指的信息采取安全措施的目的是控制风险,将残余风险限制在资产

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。