目前，隨著各行各業逐漸進入數字化時代，保存企業有形資產的傳統方法并不能提供足夠的保護，因此，信息安全對于企業來說十分重要。如今，企業的營運資金通常以數據的形式存儲在服務器上，并通過有線或無線網絡傳輸這些數據進行交易。企業越來越多地采用電子信息的形式來擁有和使用信息，這就促使企業迫切地需要借助各種信息安全管理工具來對信息進行保護。金融行業更是如此，金融企業亟需開發自己的信息安全體系來保護自己的信息安全。本文介紹了一種以風險為基礎的金融行業信息安全管理方法，通過以風險為導向的思維，對金融企業所有流程進行統一的風險管理，確保重要信息的必要保護。

信息安全管理中基于風險的方法

1.信息安全模型

傳統的信息安全模型由三個部分組成：機密性、完整性和可用性，也稱為“CIA模型”(confidential-integrity-availability)。信息安全的目標是確保機密性、完整性和可用性。機密性是指確保只有具有相應權利的員工才能訪問必要的信息，因此要保證員工、其他人或物(例如自動化系統和服務)在沒有被賦予相應的權利時不能訪問機密信息。為防止未經授權更改或破壞信息，以及確保所提供信息的安全性、完整性是十分有必要的。信息不完整意味著信息遭受了未經授權的更改或損壞。信息的可用性對于日?？焖偎阉骱褪褂眯畔⑹侵陵P重要的，如果信息無法保證可用性，那么可能會面臨無法訪問信息的風險。

2.信息安全管理體系

信息安全管理體系（Information Security Management System，簡稱ISMS）由1998年從英國發展而來，是信息安全領域應用管理體系(MS)思想和方法的一種新觀念。近些年，隨著信息安全管理系統國際標準的修改，ISMS在全球范圍內得到快速接受和承認，是全球范圍內解決信息安全問題的一種有效途徑。通過ISMS認證，組織和企業可以有效提高自身的信息安全水平和能力。

信息安全管理體系是根據信息安全管理制度的相關標準，采取風險管理的方式，包括制訂信息安全管理的具體內容和策略、執行信息安全管理的計劃、接受信息安全管理的審核和檢查、改進信息安全管理的工作體系等。信息安全管理體系是按照《信息技術、安全技術、信息安全管理體系要求》的規定，基于ISO/IEC 27001標準而建立。

信息安全管理實用規則ISO/IEC 27001是由BS7799標準發展而來。BS7799是英國標準協會(BSI)于1995年提出并修訂的，由兩個部分組成：BS7799-1和BS7799-2，分別指信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則（BS7799-1）針對信息安全管理提出了相關建議，供負責在其組織啟動、實施或維護安全的人員使用。信息安全管理體系規范（BS7799-2）闡述了建立、實施和文件化信息安全管理體系的要求，規范了根據獨立組織的需要應實施安全控制的要求。

信息安全管理體系是用來建立和維護信息安全管理體系的制度標準。這套制度標準要求組織明確管理范圍、制定安全策略、明確管理職責、基于風險評估選擇控制的目標與方式、建立完善完備的信息安全管理體系。此外，在建立體系后，組織應該根據規定的要求進行操作，在保證有效性的基礎上進行體系運轉。信息安全管理體系應該以文件的方式留存，也就是說組織應建立并運行文件化的信息安全管理體系。信息安全管理體系應該說明需要被保護的資產、組織風險管理的策略、控制目標及控制方式和需要的保證程度。

信息安全管理體系可在建立、實施、運行、監視、評審、保持和改進信息安全管理體系時提供模型，為包括政府、研究院所、金融行業、服務行業等在內的所有類型的組織提供服務。信息安全管理體系還規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求，范圍涉及了廣義上的信息安全，為組織實施、維護和管理信息安全提供了標準化的指導。

通過ISO/IEC 27001認證，可以有效提升組織的安全管理水平，將因安全事件帶來的破壞和損失降低到最小，增強合作伙伴與投資方的信心。ISO/IEC 27001證書的有效期為三年，每年需要按規定進行年審，三年到期后需要換證，通過監督審核，可以保持，暫?；虺蜂N認證證書的注冊。逾期不年審或換證，證書將會被暫停，面臨過期和失效的風險，無法繼續正常使用。

ISO/IEC 27001具有統一的方法，類似于大多數現代管理系統標準，適用于任何類型的組織，對面向風險的方法的形式化和描述提出了框架要求。目前在各行業領域的企業中，執行基于風險的辦法已經有了豐富的經驗，滿足了管理系統有效運作的需求。

然而，不論什么類型的企業，遲早都會面臨管理各種風險的問題。以金融行業為例，基于風險的方法可以找出過程中可能存在的偏差，以及可能會影響最終結果的因素。此外，風險管理不僅包括處理消極后果，還包括處理有利機會。通過提前對發現的偏差進行管理，從而確保企業流程的有效流動。以風險為基礎的方法可以改善金融行業的發展前景，有助于節約資源，并促進高級管理人員快速和明智的戰略決策。

3.風險管理

為了增加金融行業風險管理系統的透明度，可以將風險管理過程分離成單獨的過程，分別由各自的風險協調者來處理。其主要任務是風險管理系統的方法支持，重大和特大風險的控制措施，以及組織所有風險的合并財務報表的形成。ISO31000：2018標準“風險管理指南”包含了建立風險管理系統的建議，并不局限于特定的行業，因此其原則可以用于金融行業領域，以及解決與信息安全相關的問題。利用ISO 31000：2018中規定的方法和原則，金融企業可以最大限度地降低與信息管理相關的風險以確保信息安全。

要在一個組織中建立一個完善的風險管理體系，需要解決一系列的任務，最高管理層必須做出有意識的決策。這種決策能確保風險導向的思想和諧地融入到組織的所有活動中，使得企業員工各司其職，將風險管理體系與其他管理體系較好地整合在一起。此外，體系實施小組由組織第一負責人指定，實施小組制定詳細的實施計劃，監督各階段工作的實施情況。與此同時，向高級管理人員報告計劃的實施結果，為企業的條線經理和員工提供方法論支持。

要開發規避信息完整性和機密性相關重要風險的管理工具時，需要考慮風險管理系統的范圍和組織資源庫的能力。在建立風險管理政策時，組織的負責人必須確保提供必要的資源，如有資質的人員、足夠的資金、硬件和軟件環境，以確保信息安全體系有效運作。最終風險評估的閾值由組織的最高管理者設定，在此閾值時，需要在業務過程中引入緩解和補償措施，并對所采取的措施進行控制和評價其有效性。組織將選擇的風險管理方法作為實現信息安全管理系統目標的重要管理戰略，包括四個類別：規避、本土化、多樣化和風險補償。管理特定風險的方案選擇取決于與風險環境、相關風險、流程資源和組織信息安全威脅的重要性相關的外部和內部因素。

只有采用系統的方法來識別、評估和有計劃地重新評估風險，才能建立有效的風險管理體系來防止或最大限度地減少組織外部和內部環境的負面影響。在監控過程中，基于信息系統技術（包括人工智能等）來實施控制措施和引入緩解和補償措施，從而做出及時的決定來阻止威脅。組織風險管理體系有效性年度評估的關鍵標準應建立與預防重大或特大風險的實施有關的指標，報告未識別的重大風險的實施情況，以及風險管理措施融入信息安全管理系統過程模型的程度。上述在信息安全方面提出的風險管理方法與基于風險的方法相協調，該方法不僅在國際標準ISO/IEC 27001中提到了，而且在其他基于高級SL結構的管理系統標準中也有涉及。

4.集成管理系統

ISO/IEC27001標準不僅具有與國際標準化組織發布的其他管理體系標準集成的巨大潛力，例如與ISO9000系列（質量管理）、ISO14000（環境管理）、ISO45001（職業健康和安全管理）等，還可能將信息安全風險管理集成到企業風險管理系統中。這種協調一致的做法能夠全面一致地實施，以統一的方式減輕風險，并在維持合規方面節省大量資源。與維持管理系統的有效運作有關的許多過程可以合并成一個不同標準的管理過程，從而節省時間、人力和財政資源。聯合實施和維護管理系統顯著降低了企業的成本，提高了企業的盈利能力和市場競爭力。通過在企業中實施一個集成的管理系統，最高管理層不僅獲得了監控和管理信息安全的手段，這大大降低了與信息安全相關風險的可能性，而且還獲得了管理組織所有資產的手段，建立并實施企業整體的戰略發展理念。

結 語

以風險為基礎的金融行業信息安全管理方法可以確保在信息安全和數據保護領域實現既定的目標和任務。以風險為導向的思維在事件發生之前工作，并提供了對各種偏離計劃流程的發生和發展的分析，并為管理可能的偏離做好了準備。系統風險管理對金融企業所有流程進行統一的風險管理，包括主要行政流程、管理流程、輔助流程和數據安全流程等。為確保對組織重要信息的必要程度的保護，只有在將完整的信息安全管理系統集成到金融企業的活動中，才能滿足先進的國際標準和實踐。

本文來自金融電子化，如有侵權聯系刪除