金融信息安全(11)-系统运营中的风险管理

信息科技风险管理办法第一章总则第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我行各项业务安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定本管理办法。

第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第三条本管理办法所称信息科技风险，是指信息科技在我行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第四条信息科技风险管理的目标是通过建立有效的机制，实现对我行信息科技风险的识别、计量、监测和控制，促进我行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章机构职责第五条根据我行信息科技治理的要求，法定代表人是本机构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引是由中国人民银行出台的金融机构信息系统风险管理的指导性文件，旨在为银行业和其他金融机构提供风险管理指导。

该指引概括了银行业金融机构信息系统风险管理的原则、方法和要求，以帮助金融机构更好地管理信息系统风险。

一、原则银行业金融机构信息系统风险管理要求，金融机构必须坚持“安全第一、合规第一”的原则，以安全、可靠、高效的信息系统实现信息安全管理，促进信息安全和服务质量的持续改进。

二、方法（1）金融机构要建立健全信息系统风险管理体系，明确信息系统风险管理职责，建立相应的管理机制，增强信息系统风险意识，完善风险监测和评估体系，加强风险处置能力。

（2）金融机构要建立完善的信息系统安全防护体系，实施和完善信息系统安全防护措施，加强应用系统的安全管理，健全应用系统安全防护策略，并定期进行安全测试和审计，确保信息系统能够正常运行。

（3）金融机构要建立完善的信息系统维护体系，健全信息系统运维政策和流程，完善信息系统管理制度，提高信息系统管理水平，加强信息系统运维监控，保障信息系统正常运行。

三、要求（1）金融机构要结合自身实际，制定信息系统风险管理规范和措施，健全信息系统风险管理框架，细化信息系统风险管理流程，实施信息系统风险管理政策，加强信息系统风险管理，保障信息系统安全运行。

（2）金融机构要定期开展信息系统风险管理考核，积极推进信息系统风险管理持续改进，不断提高信息系统风险管理水平，保障信息系统正常运行。

（3）金融机构要实施信息系统风险管理责任制，将信息系统风险管理纳入内部管理制度，严格执行信息系统风险控制要求，保障信息系统风险管理的有效实施。

以上就是银行业金融机构信息系统风险管理指引的详细说明，通过坚持“安全第一、合规第一”的原则，建立健全信息系统风险管理体系，实施和完善信息系统安全防护措施，建立完善的信息系统维护体系，实施信息系统风险管理责任制，金融机构可以更好的管理信息系统风险，进而保障信息安全和服务质量的持续改进。

2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20212、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果3、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件7、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

笔试题（一）一、单选题（50分，共50题，每题1分）1、EN－DC中，下面哪种测量目前协议未定义（)AMCG下进行2／3G邻区测量BMCG下进行LTE邻区测量CSCG下进EN-DC中，下面哪种测量目前协议未定义()A、MCG下进行2/3G邻区测量B、MCG下进行LTE邻区测量C、SCG下进行LTE邻区测量D、SCG下进行NR邻区测量2、EN－DC中，MCG进行NR邻区测量使用的参考信号（)ASSB RSBCSI－RSCC－RSDDM－RS EN-DC中，MCG进行NR邻区测量使用的参考信号()A、SSB RSB、CSI-RSC、C-RSD、DM-RS3、SRB3未建立时，SCG的测量结果，UE通过下面哪条消息上报给网络（)A、MeasurementReportB、RRCConnectionReconfigurationCompleteC、RRCReconfigurationCompleteD、ULInformationTransferMRDC4、关于SS／PBCHBlocks的描述正确的是（）A、SS/PBCHBlocks的周期可以是5/10/20/40/80/160ms;B、SS/PBCHBlock的传输是在1个系统帧的时间窗内;C、SS/PBCHBlocks传输窗内最大数目的SS/PBCHBlock可以是16;D、EN-DC下，若SS/PBCHBlocks的周期没有定义，则默认的周期为20ms;5、根据《网络安全法》的规定，（）应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

A、电信企业B、电信科研机构C、网络合作商D、网络运营者6、国家建立网络安全监测预警和（）制度。

国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

A、信息共享B、信息输送C、信息传达D、信息通报7、国家建立和完善网络安全标准体系。

（）和国务院其他有关部门根据各自的职责，组织制订并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

中国银监会办公厅关于重要信息系统运行风险提示的通知正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 中国银监会办公厅关于重要信息系统运行风险提示的通知（银监办发〔2010〕43号）各银监局，各政策性银行、国有商业银行、股份制商业银行，邮政储蓄银行，各省级农村信用联社：2010年2月3日上午11点，民生银行核心系统数据库发生故障，核心系统服务停止，全国范围内柜面等各项业务停顿，至下午15时20分系统恢复。

此次故障的诱因是该行某分行当日凌晨发起大批量交易，使数据库出现长事务警告，进而导致数据库挂起、不能接受访问，但技术层面的根源在于核心系统超期服役、版本老化和系统负载过重，该行在重要信息系统运行维护和应急管理方面存在薄弱环节。

目前对事件仍在调查中，为防范该类事件再次发生，现将有关风险提示通知如下：一、加强核心系统更新和升级换代的风险管理，提高风险管控能力此次民生银行核心系统故障反映了银行业信息科技建设、管理滞后于业务发展的突出矛盾，折射出银行业在核心系统建设过程中普遍存在的风险隐患和问题。

一方面，业务交易量高速增长，对信息系统运营管理能力产生了巨大的压力；另一方面，新的核心系统建设过程中，老核心系统不能及时升级、更新，信息科技风险敞口不断扩大。

为此，各银行业金融机构要提高认识，严守风险底线，确保系统安全稳定运行；要加强核心系统更新和升级换代的风险管理，做好新旧系统的衔接工作；要在新系统上线前加强对旧系统的运行监控、安全管理和维护；要加强项目管理，严格控制新系统的项目延误风险，做好充足的风险应对准备；要做好新旧系统切换的规划工作，保障系统平稳过渡，特别是对分步实施的系统更新，要做好新旧系统并存期间的风险管控。

银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

第五条信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条银行业金融机构应认真履行下列信息系统管理职责：（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；（六）做好本机构信息系统审计工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；（九）开展与信息系统风险管理相关的其他工作。

2022年网络与信息安全技能竞赛题库208题并附全部答案2022年网络与信息安全技能竞赛题库208一、单项选择题（90道）1、国务院于哪年的6月28日印发了《关于大力推进信息化发展和切实保障信息安全若干意见》（）A、2022B、2022C、2022D、20222、2022年12月28日，由哪个机构通过了关于加强网络信息保护的决定（）A、国务院B、全国人大常委会C、工信部D、国家网络与信息安全协调小组3、下列关于我国涉及网络信息安全的法律说法正确的是（）A、在1979年的刑法中已经包含相关的计算机犯罪的罪名B、《关于维护互联网安全的决定》是我国目前为止直接规范网络信息安全的效力最高的法律文件C、2003年全国人大常委会审核通过了《中华人民共和国电子签名法》D、《中华人民共和国电子签名法》的实施年份是2004年4、我国哪部法律法规对禁止以计算机病毒或者其他方式攻击通信设施，危害网络安全和信息安全等行为作出了详细规定（）A、《中华人民共和国信息安全法》B、《中华人民共和国电信条例》C、《中华人民共和国计算机信息系统安全保护条例》D、《中华人民共和国个人信息保护法》5、我国第一部保护计算机信息系统安全的专门法规是（）A、《计算机信息网络国际联网管理暂行规定》B、《中华人民共和国信息安全法》C、《中华人民共和国电信条例》D、《中华人民共和国计算机信息系统安全保护条例》6、不属于《中华人民共和国保守国家秘密法》中第48条规定的违法行为的选项是（）A、未经他人同意而在互联网上公开他人隐私信息的行为B、通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的行为C、在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的行为D、擅自卸载、修改涉密信息系统的安全技术程序、管理程序的行为7、《中华人民共和国电子签名法》的实施时间是（）A、1994年2月28日B、2004年8月28日C、2005年4月1日D、2005年6月23日8、下列哪部法律法规从法律层面规定了国际联网、互联网络、接入网络等信息技术术语（）A、《计算机信息网络国际联网管理暂行规定》B、《中华人民共和国计算机信息系统安全保护条例》C、《计算机信息网络国际联网管理暂行规定实施办法》D、《中华人民共和国电信条例》10、下列哪个选项不是全国人民代表大会常务委员会在2000年12月颁布实施的《关于维护互联网安全的决定》中规定的犯罪行为（）A、损害互联网运行安全B、扰乱社会主义市场经济秩序和社会管理秩序C、对个人造成精神创伤D、破坏国家安全和社会稳定11、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行（）等处理的人机系统。

金融信息安全是银行业务运营的基础和保障，涉及客户信息保护、数据安全、系统安全等方面。

以下是金融信息安全的一些职责：制定和执行信息安全策略和标准：银行需要制定符合业务需求的安全策略和标准，包括信息安全政策、安全培训、安全审计等，确保员工了解并遵守相关规定。

建立和维护安全基础设施：银行需要建立完善的安全基础设施，包括防火墙、入侵检测系统、加密技术等，以保护客户信息和业务数据。

风险管理和评估：银行需要定期进行信息安全风险评估和漏洞扫描，及时发现和修复潜在的安全风险。

监控和应对威胁：银行需要建立安全监控机制，及时发现和处理网络攻击、病毒等威胁，确保业务运营的稳定性和持续性。

合规性和法律事务：银行需要遵守相关法律法规和行业标准，确保信息安全工作符合合规要求。

同时，需要处理涉及客户隐私和数据安全的法律事务。

应急响应和恢复计划：银行需要制定应急响应计划，以便在发生安全事件时能够迅速响应并恢复业务运营。

合作与培训：银行需要与行业协会、合作伙伴等进行合作，共同应对信息安全挑战。

同时，需要定期为员工提供培训和教育，提高员工的信息安全意识和技能。

总之，金融信息安全是银行业务运营的基础和保障，银行需要采取全面措施来保护客户信息和自身业务运营的安全。

H UMAN RESOURCES人力资源金融信用信息基础数据库接入机构征信信息安全风险技术防控路径及优化策略中国人民银行武汉分行皮文爽摘要：近年来，为加强征信信息安全管理，防范信息泄露风险，金融信用信息基础数据库接入机构陆续开发上线了征信查询前置系统，并将信贷业务与之关联，较好地提升了征信信息安全风险技术防控水平。

但实际监管中发现，接入机构的相关技术防控措施在规避现有风险的同时，也带来了新的问题。

因此，应全面梳理当前征信信息安全风险技术防控手段，进一步强化相关系统功能升级改造、完善相关业务流程、创新相关业务模式，建立健全征信信息安全风险技术防控机制。

关键词：数据库信用信息安全技术防控问题为加强征信信息安全管理，防范信息泄露风险，金融信用信息基础数据库接入机构(以下简称“接入机构”)陆续开发上线了征信查询前置系统，并将信贷业务系统与之关联，通过查询行为“双人”管控、异常查询监测等功能，较好地提升了征信信息安全风险技术防控(以下简称“技术防控”)水平。

但在实际监管中发现，接入机构的相关技术防控措施在规避现有风险的同时，也带来了新的问题。

本文简要梳理了当前接入机构征信信息安全风险技术防控主要措施，具体分析了技术防控措施中存在的相关问题，并提出相应的优化策略。

一、接入机构技术防控主要措施当前接入机构的技术防控措施主要包括两方面：一是开发征信查询前置系统，通过设置征信查询线上“双人管控”;用户登录及操作行为的实时记录；异常查询监测等功能实现对征信查询的事前、事中和事后管控。

二是将征信查询前置系统与信贷业务系统有机关联，通过推广业务触发式查询，实现征信报告在各系统间闭环流转，规避因征信报告下载、打印等环节造成的信息泄露风险。

(一)征信查询前置系统主要功能一是实现对征信用户登录和操作行为的有效追溯。

系统后台实时记录了征信查询前置系统用户的登录和维护行为，有效实现了对相关行为的有效追溯。

记录的用户登录信息主要包括用户ip地址、登入(出)时间等；用户维护信息主要包括新建、停用、密码及权限变更的时间、维护人等。

一、互联网金融潜在风险分析1.互联网固有的技术风险（1）操控风险操纵风险是指由于内部过程、系统等方面的缺陷或人为错误而造成直接或间接损失的可能性。

由于此风险范围广泛，因此可管理性较弱，需要我们投入大量精力。

2018年6月数家网贷平台发布公告暂停业务进行清盘，严重逾期或者资金链出问题的平台不得不退出行业，发布清盘公告。

事后调查，相关负责人表示公司在行业操作方面缺乏足够的经验，多数平台运转期间存在操作不当、自身架构不合理、监管机制不健全等问题，只有P2P平台的内部错误才导致公司破产。

可以看出，在互联网时代，有效防范操作风险已成为互联网金融可持续发展的关键一步。

（2）安全风险安全风险主要表现为信息风险，信息风险是由于I n t e r n e t 平台操作不当或安全系统漏洞造成的用户信息被盗，直接或间接导致用户损失。

互联网时代注重开放性和数据交换。

越来越多的We b平台已开始推广共享帐户登录。

在用户提供便利的同时，他们还加强了用户账户之间的链接，并为犯罪分子提供了便利，这造成了极大的安全风险。

（3）技术风险互联网金融业的发展得益于计算机和网络技术的普及和突破,同时互联网也带来了技术漏洞、网络安全和信息披露等问题。

例如通过病毒黑客程序人为入侵计算机网络，互联网传输故障，利用钓鱼网站或公共网络非法盗取资金，截留、篡改个人信息等。

I T技术一直是互联网金融行业的短板[1]。

2.信用风险信用风险是金融机构的根本性风险。

信用风险与利率风险和汇率风险的显著区别是，它在任何情况下都不能产生意外的收益。

互联网金融风险包括以下几个方面。

其中之一是产品的错误促销和销售。

第二是客户个人信息的泄露。

第三是窃取银行金融机构的声誉。

第四，现金提取困难、人员失联、携款跑路、非法集资等。

3.金融固有的风险互联网金融在本质上仍是资金的融通，没有脱离金融的范畴，仍具有微观和宏观上的风险特征。

资本账户管控的有效性导致了大规模的资本流动异常。

金融行业安全风险管理内容总结简要作为一名金融行业安全风险管理的专业人士，我的工作职责涵盖了风险评估、监控、报告以及制定和实施风险缓解策略。

在复杂多变的金融环境下，深知安全风险管理对于保护公司资产、维护客户信任和确保业务连续性至关重要。

我的日常工作涉及到与不同部门的紧密合作，包括IT、合规、审计以及业务运营部门。

在风险评估方面，负责对潜在的安全威胁进行识别和分类，评估其可能对公司造成的财务和声誉损失。

通过定期的风险评估，我们能够及时发现新的风险点，并针对性地制定应对措施。

监控是风险管理的核心环节。

在这一领域，我利用先进的技术工具和系统，对公司的网络和信息系统进行24小时不间断的监控。

一旦发现异常行为或潜在的安全漏洞，我们将立即启动应急预案，采取措施以减轻损失。

数据分析是我工作的重要部分。

通过对大量数据的深入分析，我能够识别出潜在的风险模式和趋势，为制定风险管理策略科学依据。

例如，通过分析过去一年的安全事件，我们发现在下午时段发生的攻击事件频率较高，因此建议公司加强该时段的安全防护。

在实施策略方面，负责制定具体的风险缓解措施，并确保这些措施得到有效执行。

这包括制定安全政策、开展员工培训、部署安全技术和进行定期演练。

通过这些措施，我们能够显著提高公司的整体安全防护水平。

案例研究是提升风险管理能力的重要手段。

我曾参与一个关于内部数据泄露的案例研究，通过深入分析事件发生的原因和过程，我们发现并修复了多个安全漏洞，并重新设计了内部数据访问政策，有效降低了未来类似事件发生的风险。

作为一名金融行业安全风险管理人员，深知责任重大。

通过不断的学习和实践，继续提升自己的专业技能，为公司的安全稳定运营贡献力量。

以下是本次总结的详细内容一、工作基本情况在金融行业安全风险管理领域，负责的工作内容包括风险评估、监控、报告以及制定和实施风险缓解策略。

我与其他部门的同事紧密合作，共同确保公司的资产安全、维护客户信任并保证业务连续性。

引言：个人从事IT行业多年，早期作开发工作，后来做ERP实施，负责完成了多个大型企业的ERP项目，目前转入到甲方单位做些项目管理的工作。

在长期的软件项目工作经历中，接触到的客户中或多或少的表现出对信息系统风险的错误认识，存在误解的既有企业的普通员工，也有企业领导。

信息系统的风险和系统的应用是伴生的，风险是永远客观存在的，怎样防范风险、怎样控制风险，这是企业信息化建设过程中必须应对的问题。

本文中结合我个人从事IT行业的经历和经验，面向即将实施信息系统或已经建设了信息系统的企业，对信息系统风险管理中的问题提出我的观点和相应的解决办法。

正文：当前各个行业的企业内部各项信息化工作开展的如火如荼，ERP、电子商务、CRM，建设工作由点到面，从业务运营到企业管理、从单一应用到综合治理，在企业内部各个层面逐步展开。

系统建设大多已初具规模，企业的信息化框架也逐步确立。

可以看到，信息化为企业经营带来了明显的经济效益，为企业管理改革提供了有力的支持。

凡事都具有两面性，企业在收获信息化成果的同时，也应该看到信息化带来的巨大风险，应该对这类风险安排适当的控制措施。

但是在我的工作经历中，大多数客户，特别是IT建设刚刚起步的一些企业，对此风险问题都表现出不同程度的漠视，或者错误的认识。

归纳一下，主要有以下几种错误观点：1、认为信息系统应该达到安全可靠，否则就是开发商的水平不高；2、要求系统提供商承诺软件系统功能无差错；3、要求系统提供商承担系统错误造成的损失和影响；信息系统风险分析：上面提到的几种观点，其根本，还在于认为“信息系统可以做到安全可靠”，这实际是对信息系统风险问题的错误认识。

信息系统本身具有很大的“脆弱性”，信息系统依赖的硬件、信息系统应用的IT技术（软件方面）、信息系统的建设和使用过程都存在着大量的风险因素，这类风险客观长期存在，既有有形的风险（设备、环境）、也有无形的风险（行为、道德）。

下面，将从这些角度分析一下信息系统常见的风险因素：1、系统硬件环境风险信息系统的运用，依赖于特定的硬件环境，例如服务器、网络等等，这些环境依赖大量的硬件设备，这些设备自身都存在一定的故障率，这类故障发生时必然影响信息系统正常运行。

金融机构信息系统运行管理制度金融机构系统运行管理制度第一章总则第一条.为规范信息系统的运行维护管理工作，确保信息系统的安全可靠运行，切实提高生产效率和服务质量，使信息系统更好地服务于生产运营和管理，特制订本管理办法。

第二条.本管理办法适用于及其分支机构的信息系统，各分支机构和各部室可根据本办法制定相应的实施细则。

第三条.信息系统的维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分：１、计算机硬件平台指计算机主机硬件及存储设备；２、配套网络指保证信息系统相互通信和正常运行的网络组织，包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等。

３、基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件；４、应用软件指运行于计算机系统之上，直接提供服务或业务的专用软件；５、机房环境指保证计算机系统正常稳定运行的基础设施，包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。

第四条.运行维护管理的基本任务：１、进行信息系统的日常运行和维护管理，实时监控系统运行状态，保证系统各类运行指标符合相关规定；２、迅速而准确地定位和排除各类故障，保证信息系统正常运行，确保所承载的各类应用和业务正常；３、进行系统安全管理，保证信息系统的运行安全和信息的完整、准确；４、在保证系统运行质量的情况下，提高维护效率，降低维护成本。

第五条.本办法的解释和修改权属于。

第二章运行维护组织架构第一节运行维护组织第六条.信息系统的运行维护管理遵循在统一的领导下，分级管理和维护的模式。

作为信息系统维护管理部门，牵头组织分支机构实施信息系统的维护管理工作。

原则上信息系统的维护工作应逐步集中。

第七条.信息系统的维护管理分两个层面：管理层面和生产操作层面。

１、在管理层面，为信息系统维护管理部门，负责全行范围内信息系统的维护管理和考核。

1国家宏观信息安全管理方面,主要有以下几方面问题：（1）法律法规问题。

健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.（2）管理问题。

（包括三个层次：组织建设、制度建设和人员意识）（3）国家信息基础设施建设问题。

目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.2微观信息安全管理方面存在的主要问题为：（1）缺乏信息安全意识与明确的信息安全方针。

（2）重视安全技术，轻视安全管理。

信息安全大约70%以上的问题是由管理原因造成的. （3）安全管理缺乏系统管理的思想。

3信息安全的基本概念(重点CIA)信息安全（Information security)是指信息的保密性（Confidentiality)、完整性（Integrity)和可用性（Availability)的保持。

C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等国家组织持续发展的需要个人隐私与财产的需要5如何确定组织信息安全的要求：a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动，关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。

信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。

银行信息安全风险管理实践与案例23.1某股份制商业银行安保平台建设实例23.1.1安保平台建设背景随着我国金融环境和信息化技术应用的快速发展，国内银行综合业务系统的发展由手工操作的电算化登记簿概念的单机版时代，快速步入了以数据集中、面向交易为特点的综合业务系统时代。

在银行新综合业务系统进入数据大集中阶段后，各家银行更加强调以客户为中心，在行内统一客户视图，满足客户个性化的金融服务需求。

为此，某股份制商业银行（以下简称C行）在其新综合业务系统就采用了一套全新的思路、理念和技术路线，构建切合C行实际发展需要的“流程银行”支撑系统，实现了业务流程再造和业务与技术模块化实施等突出特点。

作为C行新综合业务系统的业务和技术架构中的重要支撑模块之一，安全服务保障平台系统（简称安保平台）应运而生，其主要功能是为新综合业务系统的所有应用模块提供综合密码安全服务和用户认证管理功能。

与新综合业务系统一样，这是一个以新的思路和理念构建的安全功能模块。

C行历来重视信息安全工作，受历史原因和技术条件的限制，某些应用系统在建设之初，其用户、密码的安全管理几乎都是各自为政的局面，难以站在一个全局的角度规划密码应用安全的方方面面。

造成现有信息系统中的密码应用安全等级和强度参差不齐，难以统一对用户认证与权限进行管理，特别是某些安全设备当中的敏感密钥信息还做不到高效和便捷的更新，存在一定的安全隐患和脆弱点，并对整个应用系统的安全运行管理造成极大的不便。

在这样的建设背景和实现情况下，C行谋求在密码和用户认证应用安全上，建立一个统一的安全服务保障平台，其建设需求及实现目标如下：1）从C行信息科技的全局视角和高度出发，通盘考虑用户认证及密码应用安全风险，将各种业务应用系统的安全等级和强度提到相同的高度，以满足业务应用和安全审计的需要。

即通过建立统一的安全服务平台，强化和规范应用系统秘钥管理及用户认证安全措施，向各种应用提供全面的安全服务调用机制，实现多渠道、多认证方式的应用安全服务保障体系。