论文关键词:信息安全风险评估风险分析
论文摘要:本文设计的信息安全风险评估辅助系统是一个多专家评估系统,主要模块分为风险评估管理端、系统评估端、信息库管理端和知识库管理端,严格按照《指南》的风险评估流程进行评估,使评估结果更全面更客观。
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NISTSP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,MicrosoftSecurityRiskSelf-AssessmentTool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献
[1]HuishengGao,YiqunSun,ResearchonIndicesSystemofSecurityRiskEvaluationforElectricPower.OpticalFiberCommunicationNetwork,IEEE,2007.
[2]MasamiHasegawa,ToshikiOgawa,SecurityMeasuresfortheManufactureandControlSystem,SICEAnnualConference2007.
[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66
电子银行业务既面临传统银行业的流动性风险、信用风险、市场风险等风险因素,由于在经营理念和经营模式上的突破和改变,电子银行同时又不可避免的具有战略风险、网络风险、法律风险、操作风险等风险种类。作为高风险行业,电子银行的风险伴随着电子化的发展而产生并不断扩大,因此,商业银行应建立健全电子银行风险防范体系,不断优化风险防范措施,将风险控制在最次限度,为电子银行业务的快速、健康、持续发展保驾护航。
1、积极完善电子银行相关的法律法规,采取有效监管措施,防范法律风险我国正式加入WTO后,既为国内商业银行开展电子银行业务提供了前所未有的机遇,也加剧了国内金融市场的激烈竞争。我国应将电子银行作为知识经济的重要组成部分,组织人民银行、银监会、信息产业部等力量开展公关研究,制定行之有效的优惠政策,激励企事业从事电子银行相关产品和技术的研究与开发。
电子银行业务的健康持续发展必须有相应的法律法规来保驾护航,国家有关部门应加快法律体系建设步伐。一是应针对网银的通信安全、控制权的法律责任、存款保险、保护机制、争端的适应条文等问题加以立法。二是制定有关数字化,电子货币的发行、支付与管理的相关制度以及电子银行业务结算、电子设备使用等规范和标准。立法机关要密切关注电子银行的发展动态和科技创新,集中力量研究、制定与完善有关法律法规,如“加密法”、“电子证据法”等。
应完善监管制度,加强风险管理能力,改变电子银行业务的监管方式,由机构监管向功能监管过渡,依据电子银行业务功能实施响应的监管,可以提高监管部门利用市场手段进行创新产品监管的能力,使得功能性的金融监管与基于网络背景的电子银行这两种表面上的对立关系演变成为协调关系。此外,监管部门除了制定行之有效、具有针对性的管理办法外,还应加快自身电子化建设步伐,依托先进的科技手段,实施非现场监测,以不断适应金融监管中出现的新情况、新问题。商业银行要主动搜集、分析相关的政策法规,主动与监管部门沟通新业务研究进展,及时报批或报备。要对照最新的各项政策法规,及时修订更新制度办法、改造产品,全面落实反洗钱、国际收支申报等具体要求。同时,随着金融一体化的不断深化,央行监管也逐渐向全球一体化迈进,我国央行也应积极与各国监管当局通力合作,加强国际金融同业的协作和沟通交流,合作组建国际间同业风险防范组织,共同研究探讨监管协作的思路和措施,确保依法合规、健康持续开展业务。
建立社会信用体系、加强客户风险教育、创造有利电子银行发展的社会环境电子银行涉及很多概念和领域,包括银行的网络系统安全、银行卡持有率、客户使用习惯等等,这些因素均对电子支付业务发展有着直接或间接的影响。据调查,电子银行的用户群定位于20-35岁,具有一定的知识水平和消费能力。在目前信用体系尚不完善的背景下,网络消费的商品质量、售后服务等相关问题成为广大用户的关注焦点。电子商务的发展需要一个强大的软硬件环境和深厚的社会氛围作支持。因此应运用综合系统工程的方法,通过法律、经济、道德等多种手段来提升整个社会的信用水平,建立科学完善的信用支持体系。
加强客户的风险教育,将客户安全教育纳入日常工作,建立长效机制。可以采用安全视频讲座、安全宣传折页、有奖知识问答、电话银行定向外拨等多种方式进行安全教育和风险提示,要不断地加强对客户操作方法的指导和培训,使客户可以熟练掌握应用登录密码、U盾、手机验证码,以及其他各类辅助的安全检测工具,引导客户高度重视数字证书、短信认证、余额变动提醒、防钓鱼软件等客户端安全工具的推广使用,提高客户的安全防护意识和防范欺诈手段的能力。
2、加大技术研发,加强内控管理网络的共享性和开放性是一把双刃剑,在为大众带来便利的同时,网络系统也极易遭受病毒和黑客层出不穷的攻击,银行业的传统风险将在网络环境中不断放大。因此,商业银行一是要大力发展计算机系统的核心技术、大力发展具备自主知识产权的关键技术,有效降低电子银行发展的技术选择风险和安全风险系数;加强网络基础建设,研发与时俱进的网络安全措施,防止对主机系统和数据库的非法入侵,同时发挥信息技术优势,完善数据灾备机制。二是要健全基础管理,建立健全电子银行业务制度及岗位权限制约,避免管理制度漏洞。要加强关键环节、关键岗位人员的管理,防止操作风险和道德风险;要严把客户开户关口,严格审核签约身份,从源头上防范各类欺诈风险;要逐步建立电子银行业务自查自纠机制,做到及时发现问题、及时整改,定期组织有针对性的专项检查。
二、电子银行安全问题
理顺电子银行反欺诈策略,科学辩证的看待电子银行安全问题,统筹兼顾风险控制与客户体验。应进一步解放思想,转变电子银行风险管理理念,从追求"零风险"转移到确保"风险可控"的目标上来,要在安全与便利之间找到平衡点,设立合理的区间,将电子银行业务安全策略从单纯依靠事前防范,转移到事中控制和事后赔付上,决不能片面强调安全,更不能以牺牲客户的便利换来所谓的安全。
要不断增强安全力量,升级安全产品,加强在线风险监控,对异常交易、大额交易、频繁交易建立实时监控制度,并及时总结归纳外部欺诈的行为特点,及时更新风险监控系统数据信息,根据业务风险动态及时调整安全策略,持续不断研究安全储备产品,根据风险情况适时投产。在加强银行后台反欺诈系统的基础上,取消不必要的客户端控制环节,简化安全产品的使用流程、简化客户操作步骤,改善客户体验。
关键词:商业银行;风险管理;电子银行
中图分类号:F832文献识别码:A文章编号:1001-828X(2017)013-0-01
现代银行属于信息密集型行业,在这个信息发达的大数据时代,银行之间的竞争也愈演愈激烈,九十年代末期,商业银行看准时机,推出来电子银行服务,经过了二三十年不断的探索和发展,已经取得了很好的成就,在这个金融一体化进程的不断加快的时代中,商业银行的电子银行开始转变发展模式,提出了更加多样,个人风格的业务。近年来,我国商业银行电子业务的客户数量越来越多,电子银行相关的风险管理问题备受关注。
一、电子银行的概述
(一)电子银行的概念
2006年3月,《电子银行业务管理办法》将电子银行业务定义为:“银行业金融机构利用面向社会公众开放的通信通道或开放的公众网络以及专用网络,向客户提供的银行服务”。
(二)电子银行业务的特点
1.高度数字化。高度数字化是电子银行业务在大数据时代最与众不同的特征,同样也是电子银行业务与传统银行业务最基础最本质的不一样。电子银行业务通过借助计算机的终端和互联网的结合,以开放的网络作为数据传输的基础,减少了传统银行业务的人工费用,极大地减少了银行的成本。
2.灵活度高。由于电子银行业务上一个特征高度数字化,所以电子银行业务基本不会受到时间和空间的制约。在全球范围内,只要在互联网的覆盖下,客户可以在任何地方、任何时间,可以选择多种形式的服务方式。
3.平均成本降低。电子银行的信息化系统的成本虽然很高,但是承载范围内提供服务的边际成本几乎没有,所以这就导致了电子银行业务的平均成本会随着业务量的增加不断的减少。
二、风险类别
金融市场中银行经营业务可能面临的风险有流动性风险(liquidityrisk)、利率风险(interestrisk)、信用风险(creditrisk)和市场风险(marketrisk)。除此之外,还有金融市场特有的风险,巴塞尔银行监管委员会(BSBC)的有关规定认为电子银行业务所面临的主要风险有操作风险、信誉风险、法律风险和信息技术风险。
(一)操作风险
商业银行的电子银行业务的操作风险主要出现在商业银行自身操作系统的安全性和客户是否在使用电子银行业务是对风险防御解决掌控的把握程度。主要表F为三种形式:
1.安全性风险。互联网黑客可通过病毒、内部员工利用自身的便利如访问权限,造成客户的信息盗取、更改、伪造,还可提取客户的存款,让银行承受巨大的损失。
2.系统设计和维护的风险。指的是电子银行自身能力不够,其研发使用的系统存在大量漏洞,导致风险系数增加。
3.客户使用不当的风险。客户因操作不当可能让不法分子有机可乘,盗取客户的资料。或者因为知道客户资料然后通过某些手段取走资金,让客户和银行蒙受意想不到的意外损失。
(二)信誉风险
信誉风险指的是当客户在办理不同的商业银行的电子银行业务时,因为提示不够明确,操作太复杂等多种原因,不能满足客户要求,最后让客户甚至公众对银行产生不好的的看法,甚至是对商业银行的电子银行业务产生不相信,最后不选择办理电子银行业务,从而可能让银行遭受产生不同的损失的风险。
(三)法律风险
法律风险指的是关于电子银行业务的法律法规体系不健全或者在某些方面规定不够明确,当电子银行业务交易发生纠纷时,可能导致当事人无法确定的分清自己的责任,或者交易无效。另一方面则指银行本身未能严格要求自己遵守有关的法律法规、行业规章制度最终导致银行遭受损失的风险。
(四)信息技术风险
信息技术分险则是指因为自然或人为原因、技术的不成熟以及监管力度不够导致在信息技术在电子银行业务实践的时候给银行造成损失的风险。
三、如何管理风险
有效识别风险后,我们可以有针对性的改善和提高商业银行电子业务风险预防、控制、管理等各个方面的能力。
(一)加强内部风险控制
电子银行业务本身具有一定的特殊性,所以需要针对它的特点去建立一套完整并且有效的内部风险控制体系,从而防止一些潜在的风险威胁,使商业银行电子业务顺利的进行。开始,商业银行电子银行业务应该建立统一规范的部门业务流程和规章制度;然后,明确规定每个部门和每个员工的职责,提高整个业务的效率,降低衔接处的风险;最后,加强对工作人员的教育,提高相关人员的风险意识,建立奖惩制度,从内部提高电子银行业务整体的安全性,降低风险。
(二)增加法律规范
电子银行业务的正确发展离不开相关法律法规的监管,健全的法律法规可以约束不法分子的违法行为并对其进行相应的惩罚。不断完善和改进商业银行电子银行业务的法律法规体系,加大对金融犯罪的打击力度,不断地提高风险管理意识。
(三)加强信息披露和客户风险意识培养
商业银行应拓展信息披露渠道比如手机银行客户端、微信等,从而能够保证客户在正常情况下能够及时的知道银行近期的各种讯息和重要通知,避免因为信息不能及时通知给顾客而给顾客或银行带来风险损失。此外,通过各种披露渠道可对客户或者潜在客户进行安全意识培养,提高客户的风险识别能力和自我保护的意识,从而有效的提高避免风险的效率,减少风险对客户和银行的损失。
(四)加强操作的监控管理
监控管理分为事前、事中和事后三部分,在事前依据制定好的安全操作规范,严格控制操作权限和审批权限,对职权外的操作需提交申请,审批通过后才能进行操作。在事中通过设置摄像头和录音系统等记录交易过程,利用程序监控操作内容并记录操作日志。在事后由更高级别的业务人员对其操作内容进行复核审查。通过操作监管努力保证交易的正确性、完整性、安全性。
参考文献:
[1]工商银行教育部与电子银行部.工商银行电子银行业务培训教材:第二版.2011.
[2]BSBC.RiskManagementforElectronicBankingandElectronicMoneyActivities.March,1998.
[3]中国银联.电子银行业务的现状、趋势及发展规划.2010.
近年来,国信办组织了几项信息安全试点,遍及全国的近三十余家试点单位成为安全探索先行者。当通过一年多的努力,为中国信息安全前行之路成功点燃一簇簇“星火”的时候,
他们坦然面对记者说出了这背后的故事。
国税总局在风险评估实践中总结出的差距分析法
有句话是这么说的:道路是什么,道路是人在没有路的地方用脚踩出来的。
人生的道路是这样,信息安全之路也是这样。当安全威胁成为信息化进程最大阻碍的时候,如何踩出一条网络信息安全之路,就成为政府主管部门思考的问题。
2006年,为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件),形成与国际标准相衔接的中国特色的信息安全标准体系,以更好应对未来日益严峻的信息安全威胁,国务院信息化工作办公室会同相关部门,组织了三项信息安全试点,包括:电子政务信息安全试点、信息安全风险评估试点、信息安全管理标准应用试点。总共有三十余家试点单位参加了相关试点工作。
因为涉及国家信息安全未来标准和技术道路的探索,所有的试点单位一直都仿佛蒙上一层神秘的面纱。这些探索者究竟做了一些什么工作?它们的先行又为我国信息安全事业踏出什么样的实践之路?近日,在国信办召开的全国地方信息安全处长会议间歇,记者走近本次试点工作六个优秀试点单位代表,揭开了一直罩在这些试点单位头上那层神秘的面纱,看到了他们的努力和汗水,以及试点工作探*索出来的宝贵经验。政务驰入安全互联网模式
试点方向:电子政务信息安全
访谈人物:河南省济源市信息办副主任焦依平
电子政务是国家信息化的重中之重,而信息安全又是电子政务顺利完成的重中之重。
为贯彻落实中办发27号文件精神,研究解决电子政务信息安全建设和管理中的一些共性问题,探索电子政务信息安全保障方法,国信办会同国家保密局、国家密码管理局、公安部十一局,从2005年10月开始,在广东、河南、天津、重庆4个省市开展了电子政务信息安全试点。
这4个试点具体方向各有不同,其中河南济源市探索的方向是如何基于互联网开展电子政务建设、保障信息安全问题。“我们按照‘保安全,促应用’的思路,构建了基于互联网的电子政务信息安全保障体系,探索出了一条低成本建设电子政务的新路子。”焦依平现在谈起试点,依然抑制不住激动的心情。
焦依平介绍说,济源市通信光纤现已覆盖到村,政务部门全部接入了互联网,但是统计下来,济源市政务信息中部分总量不超过3%。如果仅为了3%的信息传递投入巨资建专网,显然投入和效益不能平衡,这也与电子政务建设的初衷相违背。为此,济源市按照国信办和河南省信息办的要求,不拉专线,完全基于互联网,开展电子政务建设。
济源市试点系统建设内容包括以下几项:一是基于互联网建设连接全市所有党政部门和乡镇的电子政务网络;二是在互联网上建设政务办公、项目审批管理、12345便民热线、新农村信息服务等4个应用系统;三是在进行网络和应用系统建设的同时开展信息安全试点,建设基于互联网电子政务信息安全支撑平台。
那么,如何真正用技术实现政务网络互联网办公的安全需求呢?焦依平介绍说,试点工程遵循信息安全系统工程思想,按照“适度安全,促进应用,综合防范”的原则和等级保护的要求,采用集成创新的技术路线,综合运用以密码为核心的信息安全技术,合理配置信息安全保密设备和安全策略,建设一个技术先进、安全可靠的基于互联网的电子政务信息安全支撑平台,形成一体化的分级防护安全保障体系,为电子政务提供可靠、有效的安全保障。
从安全技术实现上,据焦依平介绍,济源市试点工程的安全支撑平台涉及网络安全和应用安全两部分,本次试点网络安全系统共建设7个安全子系统:一是VPN系统,由VPN密码机、VPN客户端和VPN管理系统组成,共同完成域间安全互联、移动安全接入、用户接入控制与网络边界安全等功能,其中中心机房的VPN密码机带有防火墙功能;二是统一身份认证与授权管理系统,完成用户统一身份认证、授权管理等功能;三是网络防病毒系统,部署于安全服务区,完成网络防病毒功能;四是网页防篡改系统,部署于政府网站,提供网站立即恢复的手段和功能;五是入侵检测系统,部署于中心交换机,对网络入侵事件进行主动防御;六是网络审计系统部署于中心交换机,对网络事件进行记录,方便事后追踪;七是桌面安全防护系统,部署在用户终端,提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护。
对于目前试点效果,焦依平认为,从实际效果来说,一是低成本建设了安全的政务网络,实际投入620万元,比原计划专网方式预算总投资节约48.3%;二是实现了安全政务办公和可信政务服务,全市各部门已100%实现了安全互联,网络可达乡镇,试点村;三是实现了安全的移动办公,打破了电子政务应用只能在本地访问的局限。而从长远来讲,济源市已经初步建成安全、开放、实用的全面基于互联网的电子政务系统。
电子政务内外互通
试点方向:电子政务信息安全
访谈人物:广东省信息中心副主任曾强
目前,妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同,广东省的试点方向主要是通过等级保护,探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说,面对国信办试点布置的这个大命题,广东省将试点命题细化成以下几个方面:由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点;由省政府办公厅完成视频会议系统省府门户网站试点;由佛山市政府完成财税库银互联互通系统试点;由江门市政府完成开放互联环境下的信息安全解决方案试点;由佛山市南海区政府完成大社保6个分系统横向互联互通试点。
关于如何解决在不同的电子政务系统之间,安全实现互联互通以及资源共享问题,曾强介绍说,试点工作中,广东省综合运用等级保护和风险评估相结合的方法,确定了解决互联互通问题的基本思路:一是明确系统的重要程度,确定系统安全等级,采取与系统安全等级相适应的安全保护措施;二是按照有条件互联、共享可控制的原则,确定需要共享的系统和应用以及需要共享的数据,保证只共享那些确实需要共享的数据,以保护系统中原有信息的安全;三是在进行系统互联的部门之间建立共同的安全管理机制,明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制;四是对系统互联的安全风险进行评估,全面分析低安全等级的系统给高安全等级的系统带来的安全风险;五是针对系统互联的安全风险,确定关键的安全控制要素,如互联边界的访问控制、系统互联的安全传输等,并落实具体的安全措施,保障系统互联、数据共享的安全。
在以上措施的执行下,广东省取得了初步成功,形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。
风险规避预先保障
试点方向:信息安全风险评估
访谈人物:国家税务总局处长李建彬
上海市信息化委员会信息安全测评中心
总工程师应力
信息网络,风险无处不在,防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。
国家税务总局在广东地税南海数据中心所进行的风险评估试点,最大的亮点就是具有创新精神的“差距分析法”。
李建彬在介绍广东南海试点经验时,将差距分析法用一句话概括,就是“通过找出安全目标与现实系统差距,从而得出风险分析报告”。在试点工作中,李建彬感触最深的就是,要对系统生命周期的整个过程都持续不断地引入风险评估,尽量避免“先运行,后评估”的亡羊补牢式工作流程,以降低信息系统整体的信息安全风险等级。此外,李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点:
首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性,通过风险评估可以识别系统的类别和安全级别,从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切,可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用,不同行业的系统有着不同的安全要求,必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后,通过安全风险评估工作进一步完善系统安全总体设计。
上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家),涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年,上海市了《上海市公共信息系统安全测评管理办法》,又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后,上海市信息委又出台了关于风险评估工作的实施意见,明确建立自评估与检查评估制度的原则、工作安排。
上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时,多次强调要引导各单位进行自评估建设,让信息安全风险评估成为政府及企事业信息安全建设的常态,在系统的设计阶段、验收阶段、运行阶段,都需要进行风险评估工作,形成“预防为主,持续改进”的风险评估机制。应力认为,对信息安全主管机关来说,风险评估是一种管理措施,通过风险评估,领导者可以了解信息系统的安全现状,从而为管理决策提供依据。
信息安全重在管理
试点方向:信息安全管理标准应用
访谈人物:北京市海淀区信息办主任张泽根
深交所ISMS项目组张兴东
有专家提出:“信息安全系统是三分技术,七分管理。”可见信息安全管理在整个信息安全保障体系中的重要性。
国信办网络与信息安全组与全国信息安全标准化技术委员会共同于2006年3月开始,在北京市、上海市、国家税务总局、中国证监会和武汉钢铁(集团)公司选取了相关单位,对国际上通用的,也是已经列入国家标准制、修订计划的两个信息安全管理标准,即ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理使用规则》,组织了应用试点。
北京市海淀区信息办张泽根主任在具体介绍北京市海淀区信息安全管理体系实践经验时,感触最深的就是在参考国际标准ISO/IEC27001和ISO/IEC17799的基础上,结合海淀区原有ISO9001管理体系,取得了事半功倍的实际效果。通过ISMS的运行实践,海淀区信息办建立了信息安全管理体系,为进一步通过ISO/IEC27001认证做了很好的准备,同时还对ISMS与风险评估和等级保护的关系进行了有益的探索。ISMS为解决海淀区信息安全问题,提供了良好的方法和管理机制,并且为政府的信息化建设通过避免安全事故和合理分配经费两种方式很好地节约了建设经费。
在ISMS项目试点实施前,深交所ISMS项目组就确定了项目实施不能流于形式的总体工作思路。深交所ISMS项目组张兴东介绍经验时,认为除了利用技术调查手段之外,还需要深入各个层面调研,充分了解深交所的信息安全现状,利用多种方法相互补充、相互印证,以提高调查质量,为项目后期的实施打下良好的基础。
【关键词】电网调度;安全性评价;Web技术;安全运行
1.引言
在对电网调度安全要求越来越高的今天,当前我国的安全性评价工作基本上还处于用手工填写Word文档和Excel表格并通过Email或传真的方式来完成,这对于绝大部分调度部门来说是不够的。我们急需一种更为现代化更为方便的管理手段。安全性评价是对安全基础工作进行诊断的重要办法,它通过现状与标准对比,评价一个企业或系统的安全水平及风险程度,从而达到预知甚至掌控客观可能存在的各种风险因素及其严重程度,并在预知和掌控的同时给出相应的解决办法或者反事故措施。电网调度系统的安全性评价内容包括电网公司的综合安全管理(水库调度)、电力通信、运行方式、继电保护、调度自动化、调度运行等专业。
2.提出Web技术的原因
一旦电力调度机房中辅助设备发生了故障,就会全面影响到电网计算机监控系统的运行并且对系统构成不定量的威胁。故障若不能及时发现,就非常有可能呢引起硬件设备的损坏甚至报废等恶性事件。所以为了提高计算机系统的稳定性及安全性,电力调度机房配备了UPS、保安、空调、消防、配电等辅助系统。这些辅助系统对主计算机系统的安全稳定运行起了至关重要的支撑和保护作用。本文在深入的分析和研究了通信技术和移动通信技术后,提出了基于Web技术的电力调度安全监控技术,并分析研究了其可能在电力调度安全中起到的重要作用,望为电力调度的平稳运行提供可靠的技术保证。
3.安全性评价
安全性评价,是指综合运用安全系统工程学的理论方法,对系统存在的危险性进行定性和定量分析,确认系统发生危险的可能性及其严重程度,提出必要的控制措施,以寻求最低的事故率、最小的事故损失和最优的安全效益。电网调度系统开展安全性评价不仅是为了提高电网安全稳定运行水平,而且可以促进发、供电企业安全生产水平的提高。调度系统安全性评价是对电网安全运行水平的稳定性的科学评价,包括对继电保护设备及运行管理、通信与调度自动化设备及管理水平、调度运行管理的评价,是一种进行科学化管理的有效办法。
安全性评价的基本程序(该基本程序既适用于企业自评,也适用于专业安全评价机构的安全评价)有熟悉系统、识别危险、危险的量化、计算危险度或风险率、危险的排除、确定危险或风险是否可以接受。安全性评价方法的分类有定性安全性评价、半定量安全性评价、定量安全性评价。
4.系统功能模块
电网调度安全性评价系统是一个相对独立的业务系统,它是集查评标准管理、数据交换、查评报告生成、整改管理、查评文件管理、安评完成情况管理、信息为一体的综合信息管理系统,同时它又是调度中心信息系统的一个组成部分,它是以实现调度系统的安全性评价的各项功能为核心的信息管理系统。
4.1系统管理子系统
本系统通过组织结构管理、用户管理、查评周期管理等功能,可以使本系统对系统用户的信息和权限进行管理;对网、省调所属地区调度中心进行管理;并且可以启动新的安评周期并为其设定名称和编号。本子系统主要是为用户提供有关系统运行过程中日常维护的管理工具。
4.2数据库管理系统
由于本系统需要和其他管理系统进行大范围的数据交换,同时还会需要传递大量的数据。因此,该数据库的系统应该具有如下几种功能:数据标准且开放、数据可扩展、数据通用性强的特点。如此一来,该数据库系统不但能够有效的管理好其系统内部的所有数据,同时还可以任意的与外部数据进行交换作业。
4.3业务系统及模块
(1)信息子系统
信息子系统包括两个子系统,分别为电子公告牌和公共论坛两个功能。本系统用户若需要对系统公告进行管理,则需要使用到电子公告牌。公共论坛的使用用户拥有在整个网络覆盖的范围内部进行自由讨论的权限,这样展开的自由讨论可以极大地改善不同地域的沟通、不同部门的交流,同时也方便了电力调度安全学习的活动进行。
(2)自查评管理子系统
使各地调中心拥有定期自我查评能力,能够定期进行安全性评价,该系统会根据各地调中心的自我查评给予打分,并通过汇总、分析及处理得出相应的各项详细数据。各地调中心责任人有对查评标准和实际安全工作的评分资格,可以对非满分及满分项进行设定。对于自查评的结果,该系统具有周期、专业、以及各单位之间的对比功能。
(3)专家查评管理子系统
本子系统不仅拥有对专家项目进行打分并进行扣分原因及整改建议的功能,为各查评项指定专家,还能提供对专家的各种不同情况进行分类管理,并对专家查评结果进行各种比较。专家查评小组根据各单位自查评的查评项目进行审核,并根据审核情况进行专家查评小组打分工作。
(4)整改管理子系统
该子系统是为了实现专家的整改建议而提出的,并且其具有对各个单位编制整改措施,修改整改报告的能力。此整改管理系统在进行至安评环节时所发现的自我查评问题记录信息,将作为查评整改任务而提取出来,从而制定新的、更合适的整改措施,与此同时,还能整体的检查整改工作进度、整改工作信息,最终完成整改报告。
(5)安评任务完成情况子系统
按计划内完成、逾期完成、计划内未完成、逾期未完成等类型,查询各单位、或各责任人各周期内所有按照安评计划中的计划日期完成安评指标项的情况。本子系统用于管理和查询各地区当前周期查评任务完成的情况。
5.结语
在internet快速发展的今天,电网调度安全监控整逐步从使用windows办公软件转向Web技术。在电网调度安全运行的过程中,Web更能快速、优质的保证电网调度安全性,保证电网调度在一个可控、可靠的环境下运作。Web技术符合现代企业管理理念,能够充分地提高工作效率和省公司的经营决策水平,大大提升企业的现代化进程。
参考文献
[1]张丽英,余卫国,等.电网调度系统安全性评价(网、省调部分)[J].国家电网公司,2003.
现在,人们生活中一个非常重要的,必须的工具就是电子计算机,其具有多种多样的功能,这为办公自动化带来了巨大的变革,使办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对单位在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致数据被盗,所以,在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
1避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.1积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
1.2制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
1.3及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。
1.4及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
2缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多单位开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,都要积极主动的进行及时的处理,这才是最为关键的。
3分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。
4评估风险的措施
关键词:商业银行;电子银行业务;风险管理
近年来,随着银行之间竞争程度的不断加强,商业银行在面对国内经营环境与国际经济环境变化的双重压力下,面临着更多的风险与挑战。其中,电子银行的相关业务风险近年来也受到广泛关注,关于商业银行电子银行业务的风险管理研究也亟待提上日程、亟待解决。
一、商业银行电子银行业务的风险类型
根据巴塞尔银行监管委员会和中国银行业监督管理委员会的有关规定,认为银行业面临的非传统性风险主要包含操作风险、声誉风险、法律风险和信息科技风险四大类。
(一)操作风险。银行的操作风险大多体现在员工的欺诈和客户的操作两个角度上。一方面是员工的欺诈风险,例如职员更改信息、在银行账户里面提出资金等。另一方面是客户的操作风险,若是商品设计自身安全指数低,用户还未能自如掌握如何安全使用网上银行的方法,这就会让犯罪人员能够轻易进行欺骗,或窃取事件将更易发生。
(二)声誉风险。声誉风险是指企业的名声受到不良方面影响的风险。声誉风险出现的负面风险将更大,或许会致使企业发展陷进严重倒退的局面,特殊状况下还能够致使公司被并购或倒闭。
(三)法律风险。对于商业银行来说,其所面临的法律风险是没有完全秉承依照法律的经营管理理念,未能严格自律,未能严格要求自己依照法律法规、行业规章制度进行法律经营。
(四)信息科技风险。信息科技风险是指信息技术在电子银行程序实行环节,由于自然原因、人为原因、技术上面的不足以及管理制度缺少致使银行效益或资产造成损失的风险。
二、商业银行电子银行业务的风险管理措施
(一)健全内部风险控制体系。就商业银行而言,必须建立健全一套行之有效且较为完善的内部风险控制体系来杜绝电子银行业务各类潜在的风险,使得电子银行业务能够顺利而快速的开展。
首先,在制度上,商业银行应当高度重视《企业内部控制基本规范》及其配套指引的贯彻实施工作,即要加强对电子银行内部控制组织、协调的日常工作内容进行梳理,明确法律部门、审计部门、总分行各职能部门、营业网站的内控管理职责、进一步清晰电子银行内部控制管理的组织架构与职责分工;又要进一步规范电子银行内控管理,构建内控梳理、内控整改、内控自评管理机制。
其次,内部各个部门及员工的分工必须明确。采取责任划分到部门、义务分配到员工,合理调整经营部门、决策部门及管理部门的方式使得该银行内部所有跟电子业务有关系的各个部门配合更默契,沟通更方便,动作更协调,进而抑制电子银行潜在风险。
最后,合理的适当内部测评是十分有必要的。要想更加准确及全面的调查电子银行业务的实际业绩情况,就必须参考各种考核标准,借鉴各种技术方式,全面的对电子银行的实际业务进行不定期、不定点的随机抽查,这样各项决策的督促作用才能发挥效力。
(二)开展电子银行业务审计。电子银行的审计工作应该扩大审计范围,进一步考虑到电子业务的签约及受理情况、需要下载的证书及手中U-key的保存、网银交易的适当控制、会计的管理四个方面。
1、电子业务的签约及受理情况。仔细检查申请时填写的材料是否符合各种要求,并印证是否有客户签字、真实性及完整性等。查证方法:可以复审网银申请者的企业授权书、办理银行存底的办理人身份证复印件或申请企业的企业证件、《客户服务协议》、《网上银行客户申请表》等。
2、需要下载的证书及客户手中U-key的保存。证书的下载审计比较简单,只要是符合正确流程的下载都是可行的。查证方法:可以复审《银行操作员证书申请表》、人员分工表及受理岗位的岗位说明等于实际情况一一比对,仔细观察操作员是否真正将证书下载并保存在载体中了。
3、网银交易的适当控制。现阶段网银的权限局限在银证转账业务、代扣业务、网上支付业务、跨行转账业务等。审查的内容包括各项业务是否有额度限制;网银支付时需要提供的密码等是否够充分;代扣除业务时,银行对单位是否有权限进行该操作。转账业务时,被转账的客户是否同样是电子银行客户等。查证方法:密切注意网银转账的差错案例,分析其原因并加以杜绝;系统校验密码的操作是否有盗取密码的可能性;转账协议的内容及转账发生时是否是合理合法的,完成支付时,提供的扣费材料是否全面等。
4、会计的管理方面。审计内容有:会计的每日核算是否符合网银交易的实际账目;付款网银账户的开户行有无该权限,所收取客户的手续费等是否合理。查证方法:详细审查账目,查看是否收取结算费及数额正确;查看会计的核算方法与网银交易方式的比对。
(三)完善事件处理机制。一套行之有效的风险管理机制及事后处理程序是商业银行的电子银行所必须的,有效的事件处理机制主要包括受理和报告、调查和处置、舆情控制以及责任追究四大步骤。
1、受理和报告。各支行及营业网点和客户服务中心负责受理客户报告的电子银行风险事件;各支行及营业网点受理后,应立即逐级上报至一级分行电子银行部;客户服务中心受理后,应立即联动至客户行,由其负责后续处置工作。二级分行及以上电子银行部门负责受理内外部机构转来的电子银行风险事件,并及时报告一级分行电子银行部门。对涉及客户资金损失的风险事件,需重点了解客户基本情况、事件发生经过、事件涉及金额、电子渠道开通情况等,并做好客户安抚、协助报案等工作。
2、调查和处置。处置行应成立电子银行风险事件处置工作组负责统一协调电子银行风险事件处置工作。由银行的科技部、信用卡管理部、零售部、运营部、安保部、风险管理部、法规部及内控系统等组成工作组。各成员部门分别确定一名联系人协调各部门内工作。收到报告后,先确定是否属于风险事件,确立为风险事件后交给工作组管理,确立为非风险事件的转交其他对应部门。
3、舆情控制。电子银行风险事件发生后,处置行要密切关注辖内各类媒体,发现负面信息和失实报道的,应根据舆情影响程度,由本行或上级行舆情主管部门统一出面,积极协调地方党政、宣传、监管、公安、媒体等机构,做好宣传、降低影响。
4、责任追究。存在瞒报、漏报、迟报、错报电子银行风险事件的、不积极处置电子银行风险事件、不顾及银行整体利益,甚至存在毁灭证据、欺上瞒下等行为的、对业务整改不到位或者不按照总行要求进行整改的、不配合总行和其他分行处置电子银行风险事件的情形的分行,总行将对其采取约谈、通报、关停业务、综合考评扣分、经济资本考核扣分等处罚措施,涉及员工个人责任的,应做好责任认定工作。(作者单位:安徽三联学院)
参考文献:
像这样的案例如今已屡见不鲜,随着智能终端的性能愈发强悍、功能越来越完善,更多的人开始利用智能终端来完成收发邮件、电话会议等日常工作。根据Citrix全球市场调研报告显示,有92%的企业表示有员工采用自己的设备办公,个人设备与企业设备的界限正变得模糊。这就是当下IT领域的一个重要发展趋势BYOD(BringYourOwnDevice),即自带设备办公。
利弊共存风险不容忽视
BYOD带来的好处显而易见。对个人而言,工作方式更加灵活,可以不受时间、空间的限制,提高工作效率;对企业而言,能够节约采购成本,提高员工满意度。
不过凡事有利必有弊,对于企业来说,BYOD同样会带来巨大的风险,特别是在安全方面。这其中,如果不能有效规避风险,企业的机密数据存在巨大的安全风险.
举例来说,一方面,如果员工将智能手机、平板电脑或者笔记本电脑带到工作中,就存在财物丢失的风险;再者,由于办公设备类型的增多,企业可能需要雇佣更多的技术人员来提供相应的支持,或者至少保障安全方面不会出现漏洞。另外,由于不少行业受到政府的严格监管,必须遵循相关的法律规定,这其中就可能包括了数据安全性方面的规章,携带未知设备办公可能会破坏相关法律法规的要求。这还会涉及数据安全性方面的风险,如果机密数据被复制到一台不安全的设备上,很可能出现数据泄露等问题。
企业如何规避风险
BYOD来袭,企业该如何规避风险?这种情况下,通过简单地禁止员工自带设备办公显然是不切实际的,不仅会丧失其带来的优势,且会大幅降低员工士气。因此,相比禁止自带设备办公,企业更聪明的做法是深入了解BYOD,规避其带来的风险。
同样,与信息安全领域的其他应用类似,BYOD带来的问题不是采用单一方法就可以解决的,企业应该采取多种措施,确保这些设备不会构成威胁。这其中就涉及到相关策略的建立、网络访问保护,以及全面的监测控制等。
具体到设备控制层面,企业应该积极主动地建立起覆盖全面的整体策略,对于允许及禁止的行为进行详细说明。不要等到员工已经开始利用自带设备工作后,再试图进行限制。
另外,技术人员也应该考虑全面。比如,为了方便智能手机、平板电脑上网,会有员工将家用路由器带到工作环境中,这样只要将路由器接入公司网络中,可为周围所有人都提供无线上网服务,而这样做带来的风险无疑是巨大的。因此,企业除了需要在整体策略中重点强调此类做法属于绝对不能容忍的情况外,还应该为希望使用个人设备的员工建立专门的无线网络,以方便他们的使用。
除此之外,企业还需要在整体策略中明确规定,公司数据绝对不能被保存在此类设备中,并指出一旦发生盗窃或者遗失之类的问题,员工应该承担怎样的责任。
建立整体策略后,具体到内部环境,企业则需要根据各自不同的IT架构、操作系统进行全面详细的配置。比如,在网络层面,企业内部无线网络应该仅允许经过验证的设备进行连接,员工自带的设备应使用单独的子网,以达到分割管理确保安全的目标。同样,物理端口也可以采取同样的做法。
类似这样的措施还有很多,随着BYOD的到来,过去仅依赖防火墙与入侵检测系统来对业务边界进行保护已经显得远远不够了。企业如今要将安全保护的覆盖范围扩展到整个办公环境,其中不仅会涉及到查询访问日志在内的全面监控、内部入侵检测系统的部署,甚至还要定期对办公室无线网络设备进行扫描,以找出非法接入点。只有多管齐下,企业才有可能做到万无一失。
BYOD解决方案如何选
当然,除了充分利用原有的安全设备、防护策略进行防护外,企业还可以选择部署新的BYOD解决方案。而如今各大网络、安全厂商,包括思科、华为、锐捷、戴尔等都推出了自己的BYOD解决方案,其中也各有重点,企业该做何选择?这其中有一些基本的要素需要考虑。
首先,该解决方案是否具备灵活的部署模式?除了常见的本地部署交付模式,是否可以提供SaaS的交付模式等?
第二,该方案是否能够兼容iOS、安卓、黑莓、WindowsMobile等操作系统?因为并非所有的解决方案都支持现有智能终端的各种操作系统和平台,所以一旦选择了错误的方案,最终可能只能对一部分用户进行管理。
第三,该解决方案采用的是轻量级的管理方法,还是重量级的“容器”方法?其中轻量级的管理方法是指,通过解决方案自带的安全功能组合来保障设备的安全;重量级方法则使用专有的容器应用,该容器保存着所有的数据,并提供电子邮件、日历、文档编辑等用户功能。两种方法各有利弊,其中,重量级方法可以提供对应用程序的全面控制,如加密、公司数据与个人数据的分离等。但这种控制是需要付出代价的,可能对员工所使用移动设备的性能产生影响,还需要针对不同的用户界面对用户分别进行培训。而轻量级方法则能够保证用户良好的体验,且轻量级方法还允许管理员管理设备目录,并进行合规性检查和软件分发,这些正是BYOD策略成功的关键。
第四,供应商能够提供怎样的售后支持服务?解决方案相关的技术问题随时可能出现,如果没有良好的售后服务体系,带来的风险可想而知。
第五,解决方案是否能够提供全面的安全保护?BYOD解决方案能够提供智能终端的集中化管理,但这仅是全局安全策略的一部分。因为移动终端并不局限于智能手机和平板电脑,员工通过像USB设备、云存储等方式同样可以带走数据。
社会保险基金无论从收支过程,还是从具体运作程序来看,都潜伏着巨大的风险,可以说基金安全管理和监督是一个全方位、全流程、全员式的实时的连续过程。针对这一特点,怀化市采取了几点防范措施。
一、建立风控流程
在认真梳理各项业务工作基础上,进行基金安全管理风险控制流程的再造与重塑。统一规范和优化业务经办流程,明确基金安全管理和监督检查标准、职责、基本规范和防范措施,确定不同类型社会保险基金安全运行程序和办法,把基金监管关口前移,加强了基金源头监管和过程监管。
二、开展风险评估
按照湖南省厅关于社会保险基金监管统计工作要求,怀化市制定和完善了加强社保基金日常监管32项指标体系,明确规定了32项指标的核算内容、范围和标准,规定了指标数据的报送方式和时限,为开展风险评估分析,进行基金风险预测、预警、预报提供了技术支持。同时,为及时掌握社会保险基金管理运营情况和安全状况,制定了《怀化市社会保险基金行政监督事项报告制度》,组织各二级经办机构和县(市、区)对辖区内基金安全运行情况进行风险评估,撰写基金安全运行风险评估报告,确认风险指数和安全系数,进行基金安全预警预测。风险评估报告要求重点分析当期缴费基数、平均工资、缴费人数、缴费率、征缴额、支出额、资金使用效率等指标变化情况,并要求有明确的风险分析和情况说明,尤其要认真分析当期收不抵支的原因,提出对策建议,发现问题及时进行现场检查,及时堵塞、弥补管理中的漏洞和薄弱环节,指导、帮助经办机构做好基金安全管理和监督工作,确保基金安全平稳运行。
三、确岗限权
怀化市按照经办机构不同的内控要求,科学设置岗位,合理调整确定经办岗位权限和职能,严格操作程序和行为规范,严格人员配备和定期轮岗交流,通过确岗限权,增强自我约束和风险控制能力。
四、施行行政问责
怀化市印发了《怀化市人力资源和社会保障依法行政考核实施办法》,施行社会保险基金安全管理绩效考核和行政问责。每年年初与所辖区域社会保险行政部门签订基金安全管理目标责任状,明确监督检查内容和责任。还进一步加大重点监督项目的细化、量化力度,把基金合规运作和基金安全完整两项重点监督指标纳入行政绩效考核范围,细化为四大块十一项具体指标,明确检查标准和要求,实行量化考核。同时下发了《怀化市社会保险基金管理使用违规责任追究制度》,列出了社会保险基金违规使用18种情形和行为,规定对因监督不力或工作失误造成损失的,严格追究相关责任人责任,使基金安全管理责任层层分解和落实,做到横向覆盖五大险种,纵向延伸到基金征收、支付和结余全过程,确保基金合规运行率和安全完整率100%目标任务实现。
论文摘要:随着商业银行网上业务的不断发展,电子商务安全风险管理策略成为理论与实践中必须重视的课题。剖析现阶段电子商务安全网风险策略的薄弱点,发展商业银行电子商务安全风险管理策略,应借鉴成熟的传统风险度量中的一些方法改变电子商务安全管理对资产进行粗略的优先级别排序,用系统管理思想构建商业银行电子商务安全管理框架,并将商务安全风险纳入风险管理范畴。
商业银行从事金融业务面临着风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指设备和的安全,人与之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了意见。
3.利用外部专业化机构对机构的安全性评估已成为大部分国家的选择。面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事的安全风险工作,从学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险策略中商业的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的交易部门;风险管理部门、内审稽核部门实质上无法控制安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
【论文摘要】目前,计算机技术的不断普及使一些传统的文件载体不断消失,而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立,这种记录信息的手段对企业来说更加方便和快捷,避免了传统的纸张档案的弊端。但是有利必有弊,计算机自身也存在着一些缺陷,导致企业在使用信息档案这一手段时也存在一些弊端,针对这个问题,企业在运用此技术时一点要做好风险的防范措施,力求使风险降到最低。基于此,本文主要对电子信息档案管理的风险控制方法进行了探讨。
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参考文献
[1]冯惠玲.论电子文件的风险管理[j].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[j].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[j].信息安全与通信保密.2004(4):28~29
0引言
电力企业安全风险管理不同于电力企业财务风险管理等,相对于较完备的财务风险数据,电力企业安全风险没有定量细致的指标,现有安全指标大多都是文字描述并且其目标值均为“0”。同时,各管理部门提交的安全风险统计报表中大部分安全风险相关数据也为“0”。安全风险相关数据为“0”并不意味着电力企业不存在安全风险,但大量“0”风险数据给电力企业安全风险的深入分析和定量管理造成了困难。因此,本文提出将海因里希法则应用到电力企业安全生产风险管理的过程中,不直接研究安全风险的“0”数据,而是对安全风险背后的各种事故进行挖掘分析,并研究各类事故间的影响规律,从而管理“0”数据背后的安全风险。
1“海因里希”法则
“海因里希”法则又称“海因里希安全法则”或“海因里希事故法则”,是1941年美国人“海因里希”统计了55万件机械事故后,得出的一个重要结论,即300∶29∶1法则,国际上把这一法则叫事故法则。这个法则意思是说,当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。对于不同的生产过程,不同类型的事故,这个比例关系不一定完全相同,但该统计规律说明了在进行同一项活动中,不同程度的事故之间不是孤立的,而是存在特定的规律,即特定次数的意外事件,必然导致重大伤亡事故的发生。因而,若要防止重大事故的发生必须减少和消除无伤害事故,重视事故的苗头和未遂事故,否则终会酿成大祸。
2电力企业安全生产风险事故分析模型
电力企业安全生产风险管理是对电力企业整体或某项工作任务存在的安全隐患和可能构成的风险进行定性和定量分析,确认发生风险的严重程度和可能性,进而采取措施,实现安全风险可控、能控、在控。本文围绕“海因里希”法则,结合“决策层—管理层—工作层”管理金字塔模型以及规范的风险管理流程,构建了电力企业安全生产风险事故分析模型,(图略)
2.1核心思想“海因里希”法则体现了在同样的工程活动中,不同程度事故发生的内在规律,即小事故的积累引起中事故,进而导致大事故发生的必然规律。因此,应用“海因里希”法则进行安全生产事故风险管理的关键在于控制小事故:通过限制小事故的积累,减少中事故的发生,最终杜绝大事故。
2.2管理金字塔模型依靠各级组织和相关业务部门的配合,建设企业全面风险管理体系。决策层:负责建立电力企业安全风险管理体系,监督风险管理体系的运行,审议并批准风险管理办公室和风险监督部门报告。由公司主要领导班子成员组成。管理层:负责制定工作方案,组织协调日常工作。设立风险管理办公室,办公室成员为工作组主要负责人。执行层:各风险领域工作组负责本领域内风险管理方案的设计和具体推行。工作组组长由牵头部门负责人担任,成员由本领域相关的各个职能部门相关人员组成,各个部门确定1名联络人,负责本部门相关工作的组织和对外联络工作。
2.3安全生产风险管理流程
2.3.1风险识别根据“海因里希”法则的核心思想,电力企业安全风险识别的本质工作就是要识别出在生产过程中的各类事故。根据长期的调研结果和对电力企业各类事故数据的分析,本文构建的安全生产风险事故分析模型把电力企业的安全管理事故分为3种,分别为人身事故、电力安全事故和设备事故,具体划分(图略)
2.3.2风险态势预测风险态势预测是利用各种模型或方法对风险进行度量或预测,由风险分析人员运用科学的方法,对其掌握的统计资料、风险信息及风险的性质进行系统的分析和研究,进而确定各项风险的基本属性,为选择适当的风险处理方法提供依据。据此,本模型将风险态势预测分成了3步。1)对事故的“大、中、小”类型进行划分。根据“海因里希”法则,构建安全生产风险指标体系,并对各类违章操作、各类事件,特别重大和重大人身、电网和设备事故进行合理划分,以确保准确的风险态势预测,图3为安全生产风险指标体系及其划分图。2)根据图3划分的结果,统计“小事故”、“中事故”、“大事故”发生次数的计算式分别为(公式略3)借助“海因里希”法则,依据统计结果对安全风险的整体态势进行预测,给出整体安全生产风险等级),(公式略)
2.3.3电力企业安全生产风险防控风险防控指电力企业根据自身条件和外部环境,围绕电力企业安全发展战略,经过安全生产风险态势预测,确定风险偏好、风险承受度、风险管理有效性,选择风险承受、风险规避、风险转移等适合的风险策略,配置相应的人力、物力和财力资源,制定和实施有效的风险处理方案。根据“海因里希”法则的核心思想,本模型风险防控应从“小事故”抓起,以达到“控制小事故,减少中事故,杜绝大事故”的目的。在人身事故风险方面,应提高作业人员的安全防护意识,组织其认真学习各种作业的安全措施,减少违章违规操作;在电力安全事故方面,首先应认真研究地区电网的结构,分析负荷分布特点,严肃电网主要设备检修工作的计划性,合理安排电网运行方式;在设备事故方面,可以通过以下几个方面来控制设备事故风险:1)严格核准设备制造厂家应具备权威机构颁发的生产许可证;2)设备制造厂家出具设备的质量合格证和相关出厂质量检测数据;3)考察该设备在网运行的履历及质量跟踪情况;4)派专业技术人员到生产地对关键设备进行监造。
3实例
通过梳理供电企业安全风险相关业务和对安全风险事故类型的划分,对山西省某供电分公司2010年1—10月经营活动,开展了风险识别工作。该公司安全风险主要集中在安全违章、缺陷,一般电力安全事故、一般设备事故,重大人身、电力安全和设备事故未发生(图略)根据表1中给出的2010年1—10月风险识别结果,对供电企业风险态势进行预测:1)统计“小事故”、“中事故”、“大事故”的发生次数。按上述给出的计算式计算有:(公式略)2)借助“海因里希”法则,依据统计结果对安全风险的整体态势进行预测,给出整体安全生产风险等级。通过上述计算分析,山西省某供电分公司2010年1—10月安全风险事故分析模型(图略),该模型在企业的安全生产管理中发挥了积极作用,控制了小事故,减少了中事故,杜绝了大事故。考虑到“海因里希”300∶29∶1的比例系数不完全适合电力企业,模型中还增加了调整“海因里希”系数的功能。
