亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　在我國(guó)的信息安全戰(zhàn)略中，商業(yè)銀行的信息安全具有十分重要的地位。為了應(yīng)對(duì)日益嚴(yán)峻的信息安全形勢(shì)，監(jiān)管部門(mén)和各級(jí)商業(yè)銀行不斷提高重視程度，采取了各種管理和技術(shù)措施，防范信息科技風(fēng)險(xiǎn)。

　　相對(duì)于信息安全技術(shù)來(lái)說(shuō)，信息安全管理是從企業(yè)戰(zhàn)略出發(fā)，為實(shí)現(xiàn)信息安全目標(biāo)，運(yùn)用一定的手段或措施，對(duì)信息安全的非技術(shù)因素進(jìn)行管理的活動(dòng)?，F(xiàn)代觀念認(rèn)為，保障信息安全除了運(yùn)用信息安全技術(shù)，更多的要依靠信息安全管理，正所謂“三分技術(shù)、七分管理”。

　　信息安全形勢(shì)錯(cuò)綜復(fù)雜

　　當(dāng)今網(wǎng)絡(luò)世界暗流涌動(dòng)，處在敏感、關(guān)鍵位置的銀行信息系統(tǒng)，既面臨著金融欺詐、火災(zāi)、水災(zāi)等大范圍的安全威脅，又面臨著計(jì)算機(jī)病毒、商秘竊取和黑客入侵等侵?jǐn)_，并且隨著信息技術(shù)的發(fā)展，各種威脅變得越來(lái)越錯(cuò)綜復(fù)雜。

　　根據(jù)瑞士研究機(jī)構(gòu)統(tǒng)計(jì)，在過(guò)去的8年中，超過(guò)半數(shù)的世界50強(qiáng)銀行網(wǎng)站曾受到網(wǎng)絡(luò)攻擊。在公布的102起安全事件中，高風(fēng)險(xiǎn)或極度危險(xiǎn)事件占總數(shù)的15%。由于許多銀行不公開(kāi)全部安全事件，因此實(shí)際情況要比統(tǒng)計(jì)結(jié)果嚴(yán)重得多。

　　外部攻擊固然可怕，但能對(duì)組織造成巨大損失的風(fēng)險(xiǎn)主要還是來(lái)自內(nèi)部。統(tǒng)計(jì)結(jié)果表明企業(yè)受到的安全損失中，70%是由于內(nèi)部員工的疏忽或有意泄密造成的。比如，僅僅是為了方便記憶口令而粘在計(jì)算機(jī)屏幕邊的便條，就足以毀掉花費(fèi)大量人力物力建立起來(lái)的安全防護(hù)系統(tǒng)。

　　建立信息安全管理體系

　　根據(jù)木桶原理，一個(gè)木桶的最大容量取決于最短的那塊木板。同理，一個(gè)企業(yè)的信息安全水平將由與信息安全所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。

　　商業(yè)銀行的信息安全管理工作涉及策略、組織、制度、技術(shù)等多個(gè)層面，既要抵御外部攻擊，又要防范內(nèi)部風(fēng)險(xiǎn)，任何一個(gè)疏漏都可能影響整體信息安全水平。要想實(shí)現(xiàn)信息安全目標(biāo)，必須使構(gòu)成信息安全這只“木桶”所有木板都要達(dá)到一定的長(zhǎng)度。

　　但是信息安全是一個(gè)多層面、多因素、動(dòng)態(tài)的過(guò)程，如果僅憑一時(shí)的需要，想當(dāng)然地制定一些控制措施和引入某些產(chǎn)品，難免存在掛一漏萬(wàn)、顧此失彼的問(wèn)題。

　　正確的做法是遵循國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實(shí)踐，考慮銀行對(duì)信息安全各方面的實(shí)際需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)?shù)目刂品椒ǎ⒑侠淼男畔踩芾眢w系。這個(gè)體系還不能一成不變，應(yīng)當(dāng)隨著環(huán)境變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)。

　　因此實(shí)現(xiàn)信息安全是一個(gè)需要完整的體系來(lái)保證的持續(xù)過(guò)程。這也是商業(yè)銀行為什么需要信息安全管理的原因所在。

　　目前國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)ISO 27001，已在世界范圍內(nèi)得到了廣泛應(yīng)用，并被我國(guó)等同采納為國(guó)家標(biāo)準(zhǔn)。

　　根據(jù)該標(biāo)準(zhǔn)，信息安全管理一般包括制定信息安全政策、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)與方式選擇、制定規(guī)范的操作流程、對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)等一系列工作。

　　通過(guò)在安全方針策略、組織安全、人員安全、物理與環(huán)境安全等10個(gè)領(lǐng)域內(nèi)建立管理控制措施，來(lái)為組織建立起一張完備的信息安全“保護(hù)網(wǎng)”，保證組織信息資產(chǎn)的安全與業(yè)務(wù)的連續(xù)性。

　　2013年1月，中國(guó)銀聯(lián)通過(guò)ISO 27001信息安全管理體系認(rèn)證。2014年2月，中國(guó)農(nóng)業(yè)銀行總行信息技術(shù)管理部和軟件開(kāi)發(fā)中心通過(guò)了ISO 27001標(biāo)準(zhǔn)認(rèn)證。截至目前，我國(guó)已經(jīng)有十幾家商業(yè)銀行的總部或科技部門(mén)通過(guò)了ISO 27001認(rèn)證。

　　實(shí)施ISO 27001至少可以給商業(yè)銀行帶來(lái)兩方面效益：一是價(jià)值效益。減少信息安全事件發(fā)生概率，降低經(jīng)濟(jì)損失；二是非價(jià)值效益。增加聲譽(yù)、提升品牌價(jià)值，成為商業(yè)銀行向社會(huì)及監(jiān)管機(jī)構(gòu)證明其信息安全水平的一種有效途徑。

　　融入全面風(fēng)險(xiǎn)管理體系

　　在商業(yè)銀行全面風(fēng)險(xiǎn)管理體系中，信息安全管理與操作風(fēng)險(xiǎn)中的信息科技風(fēng)險(xiǎn)管理密不可分。2009年銀監(jiān)會(huì)頒布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，是商業(yè)銀行開(kāi)展信息安全管理的有力依據(jù)。

　　從管理思路來(lái)看，信息科技風(fēng)險(xiǎn)管理側(cè)重對(duì)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，信息安全管理側(cè)重具體控制點(diǎn)和控制標(biāo)準(zhǔn)的PDCA（即計(jì)劃、執(zhí)行、檢查和行動(dòng)），但均屬于操作風(fēng)險(xiǎn)管理范疇。此外，在管理組織、目標(biāo)、措施、流程等方面，信息安全管理與信息科技風(fēng)險(xiǎn)管理均有較高的重合性。

　　隨著計(jì)算機(jī)辦公的普及，信息安全管理工作除了涉及信息科技部門(mén)外，還涉及全行各條線各部門(mén)，尤其與內(nèi)控合規(guī)、內(nèi)部審計(jì)、保密管理等部門(mén)關(guān)系密切。因此，信息安全管理可以作為操作風(fēng)險(xiǎn)管理內(nèi)容之一，融入到商業(yè)銀行全面風(fēng)險(xiǎn)管理體系中去，由全行各部門(mén)按照職責(zé)分工共同落實(shí)信息安全管理措施，共同打造一個(gè)安全的、抗風(fēng)險(xiǎn)的信息科技環(huán)境，促進(jìn)商業(yè)銀行業(yè)務(wù)的健康快速發(fā)展。