深圳平安綜合金融服務(wù)公司信息安全風(fēng)險管理的框架研究24045摘要 I24685Abstract II166811、綜合金融服務(wù)公司信息安全管理研究概述 1315741.1綜合金融服務(wù)公司信息安全監(jiān)管制度 1317341.2信息安全典型標(biāo)準(zhǔn) 1105741.3信息安全風(fēng)險管理的方法論 275622、深圳平安綜合金融服務(wù)有限公司信息安全管理的現(xiàn)狀 4282222.1探索式的管理組織模式 4198012.2初具規(guī)模的業(yè)務(wù)連續(xù)性保障體系 4286852.3較完備的IT制度體系 4278602.4良好的基礎(chǔ)設(shè)施建設(shè) 564082.5大量的信息安全保護(hù)技術(shù)措施 5310443、深圳平安綜合金融服務(wù)公司信息安全風(fēng)險分析 612103.1組織風(fēng)險 635253.1.1尚未建立完善的預(yù)警信息戰(zhàn)略風(fēng)險的機(jī)制 683303.1.2信息安全風(fēng)險管理組織的履職有待加強(qiáng) 635793.2人員風(fēng)險 615583.2.1安全意識淡薄 618993.2.2缺少風(fēng)險管理的專業(yè)人才 714523.2.3IT人員流動風(fēng)險管理薄弱 716963.3技術(shù)風(fēng)險 7187683.3.1物理環(huán)境和設(shè)備 7180573.3.2網(wǎng)絡(luò)安全 7320493.3.3系統(tǒng)安全 850413.3.4應(yīng)用風(fēng)險 842163.4外部風(fēng)險 8190043.4.1法律漏洞風(fēng)險 8311883.4.2客戶行為風(fēng)險 8196663.4.3信譽(yù)風(fēng)險 913344、深圳平安綜合金融服務(wù)有限公司信息安全風(fēng)險管理策略 109904.1建立完備的信息安全政策標(biāo)準(zhǔn)體系 1073194.2建立完善的組織人員管理模式 10122374.3建立流暢的信息安全運作管理模式 10193884.4建立有效的信息安全技術(shù)體系 1232600參考文獻(xiàn) 151、綜合金融服務(wù)公司信息安全管理研究概述對于綜合金融服務(wù)公司信息來講，安全性的保障不應(yīng)當(dāng)在防病毒、防火墻等方面徘徊，不能只在單個設(shè)備和系統(tǒng)的堆砌層面上，而其發(fā)展趨勢是利用現(xiàn)有的風(fēng)險管理理論為思想，構(gòu)建完善的信息安全風(fēng)險預(yù)警、控制與保障機(jī)制，注重整體防護(hù)措施的制定。管理策略出發(fā)點為綜合金融服務(wù)公司的業(yè)務(wù)需求，需借鑒相關(guān)標(biāo)準(zhǔn)、法規(guī)和制度，避免由此產(chǎn)生的風(fēng)險，利于核心業(yè)務(wù)的順利合法開展。在下文所論述的銀監(jiān)會發(fā)布以及安全等級保護(hù)等內(nèi)容中，筆者利用綜合金融服務(wù)公司當(dāng)前現(xiàn)行的信息安全管理機(jī)制，借助有關(guān)法規(guī)政策進(jìn)行課題的論述與研究。其中，國內(nèi)信息安全等級保護(hù)的界定已在評價說明中有所提體現(xiàn)。在我國信息安全的建設(shè)中，信息安全等級保護(hù)不僅是一項基本國策，同時也是構(gòu)建信息安全機(jī)制的重要途徑，是金融行業(yè)所有機(jī)構(gòu)必須嚴(yán)格遵循的一項信息安全規(guī)章制度。所以，筆者認(rèn)為，對于該政策，商業(yè)信息安全風(fēng)險必須重視影響力與重要性，進(jìn)而為提升綜合金融服務(wù)公司安全保護(hù)等級提供保障。1.1綜合金融服務(wù)公司信息安全監(jiān)管制度綜合金融服務(wù)公司信息系統(tǒng)安全性關(guān)乎國家與人們的利益和社會和諧。近年來，隨著信息安全事故的層出不窮，銀監(jiān)部門不斷加大對綜合金融服務(wù)公司的監(jiān)管力度，而“被監(jiān)管”的綜合金融服務(wù)公司積極貫徹該政策，改善信息技術(shù)手段，加強(qiáng)建設(shè)自身全面風(fēng)險管理系統(tǒng)。從2006年起，人民綜合金融服務(wù)公司、銀監(jiān)會等相繼出臺了一系列法令加強(qiáng)綜合金融服務(wù)公司業(yè)的電子綜合金融服務(wù)公司風(fēng)險的管理與監(jiān)督，促進(jìn)電子綜合金融服務(wù)公司業(yè)務(wù)邁向規(guī)范化、法制化方向發(fā)展，2006年中旬，中國銀監(jiān)會制定并頒布了相關(guān)政策，標(biāo)志著我國金融業(yè)風(fēng)險管理正式步入信息化進(jìn)程，同年，銀監(jiān)會該制定了相關(guān)審計工作的指導(dǎo)性措施為綜合金融服務(wù)公司審計提供參考與幫助。屆時，金融業(yè)所有綜合金融服務(wù)公司機(jī)構(gòu)都按照上述兩份文件，對信息系統(tǒng)風(fēng)險管理工作進(jìn)行外審與內(nèi)審，審核結(jié)果最終統(tǒng)計以書面形式上繳到銀監(jiān)會。2009年初，銀監(jiān)會在2006年所頒布的指引上做了新的調(diào)整，并用新的指引取代了舊版。新版指引大分類完全參照了ISO27001。綜合金融服務(wù)公司業(yè)信息科技風(fēng)險管理工作邁上了一個新臺階。1.2信息安全典型標(biāo)準(zhǔn)ISO27000系列標(biāo)準(zhǔn)、COBIT，ISO13335，IATF均是信息安全管理的最佳實踐標(biāo)準(zhǔn)，通過分析這些標(biāo)準(zhǔn)，探討其對綜合金融服務(wù)公司信息安全風(fēng)險管理的實際借鑒價值。(1)ISO27000系列是標(biāo)準(zhǔn)的集合，各類組織在其基礎(chǔ)上建立各自的信息安全管理體系，待安全管理體系構(gòu)建后申請認(rèn)證。措施是充分利用PDCA循環(huán)，構(gòu)建完善的信息管理機(jī)制，將企業(yè)面臨的風(fēng)險最低化。(2)COBIT是當(dāng)前全球金融業(yè)所認(rèn)可的一種信息技術(shù)管理模型，在眾多的大型組織中得到廣泛的應(yīng)用，指導(dǎo)這些組織借助信息技術(shù)的使用實現(xiàn)收益最大化，與此同時，幫助企業(yè)預(yù)防、管理與控制信息相關(guān)的各種風(fēng)險，它是信息技術(shù)與業(yè)務(wù)產(chǎn)生交互的媒介，是內(nèi)審與外審工作的行動指南，幫助企業(yè)不斷完善信息系統(tǒng)內(nèi)控機(jī)制。在已經(jīng)形成的綜合體系實踐中，深圳平安綜合金融服務(wù)有限公司可考慮將信息安全管理與信息系統(tǒng)審計、內(nèi)控體系、技術(shù)服務(wù)體系縱深結(jié)合。(3)ISO13335為信息安全管理提供行為指導(dǎo)。包含IT安全的概念和模型、IT安全的管理和計劃等五個部分。在ISO13335規(guī)范中，它對安全的六大要點論述，是對以往的三點的延伸升華，其細(xì)致性對信息安全屬性的闡述和建立風(fēng)險管理關(guān)系對深圳平安綜合金融服務(wù)有限公司風(fēng)險管理策略實施具有指導(dǎo)意義。(4)信息保障技術(shù)框架IATF立足于整體與過程的維度，采取深度防護(hù)戰(zhàn)略，強(qiáng)調(diào)操作、技術(shù)與人三者間協(xié)調(diào)的重要性，進(jìn)一步認(rèn)識信息安全保障的四個基本點，一是邊界，二是網(wǎng)絡(luò)，三是基礎(chǔ)設(shè)施，四是計算環(huán)境。其中信息系統(tǒng)安全工程相關(guān)的方法論可指引綜合金融服務(wù)公司業(yè)建設(shè)信息保障體系。1.3信息安全風(fēng)險管理的方法論基于風(fēng)險管理方法學(xué)角度著手筆者認(rèn)為，普通領(lǐng)域的風(fēng)險管理可應(yīng)用到信息安全管理中，過程包括四個環(huán)節(jié)，識別，評估，評價，控制，前三者皆屬于風(fēng)險評估范疇。風(fēng)險評估是管理措施開展的基礎(chǔ)。之后進(jìn)入風(fēng)險控制階段，即針對不可接受風(fēng)險確定適當(dāng)?shù)目刂拼胧?，對殘留風(fēng)險進(jìn)一步控制與管理。如果環(huán)境發(fā)生改變，那么就需要進(jìn)行重新評估，最終保障整個管理過程是持續(xù)的、長久的、穩(wěn)定的。信息安全風(fēng)險管理的實施可參照PDCA模型，即對風(fēng)險的控制主要是采用1種可不斷循環(huán)的系統(tǒng)來實現(xiàn)，這類螺旋式循環(huán)過程類似于動態(tài)變化過程：(1)Plan策劃和準(zhǔn)備：整個管理過程的開端，定義體系范圍，并全面識別與評估風(fēng)險；(2)Do部署和執(zhí)行：落實與控制得到批準(zhǔn)后的風(fēng)險防止措施，包括安全戰(zhàn)略、意識和培訓(xùn)程序等；(3)Check檢查與監(jiān)控：監(jiān)控控制措施實施的效果，審查變化的風(fēng)險因素，預(yù)測未來的變化；檢查過程的主要參考憑據(jù)就是根據(jù)現(xiàn)有的法律法規(guī)、計劃目標(biāo)等.(4)Action改進(jìn)和評價：為進(jìn)一步完善信息、安全管理制定不同的改良方案，若方案取得了實際效果不符合計劃一階段要求，則根據(jù)實際風(fēng)險控制進(jìn)行改進(jìn)。在特殊情況下，還需直接進(jìn)行全新的信息、安全管理周期，進(jìn)而實現(xiàn)信息、安全的發(fā)展與完善。圖1綜合金融服務(wù)公司信息安全風(fēng)險管理架構(gòu)圖圖1為綜合金融服務(wù)公司信息安全風(fēng)險管理架構(gòu)圖。外環(huán)部分所代表的內(nèi)容為管理方案，內(nèi)環(huán)為管理流程。其中，執(zhí)行的前提與基礎(chǔ)是過程，在循序漸進(jìn)的過程指導(dǎo)下，可以進(jìn)一步理解信息安全風(fēng)險管理構(gòu)建的相關(guān)內(nèi)容，此外，過程的實現(xiàn)必須依賴于執(zhí)行，只有通過各種方案的執(zhí)行，才能確保組織資源得到整合、優(yōu)化與配置、實現(xiàn)組織全方位、多層次的信息風(fēng)險管理。

2、深圳平安綜合金融服務(wù)有限公司信息安全管理的現(xiàn)狀根據(jù)國家行業(yè)的總體規(guī)劃和當(dāng)前信息化發(fā)展策略，深圳平安綜合金融服務(wù)有限公司己從多方面采取辦法對全行的信息安全風(fēng)險進(jìn)行相應(yīng)管理。從建立探索式的信啟、安全管理組織模式切入，初步建設(shè)了業(yè)務(wù)連續(xù)性保障體系，建立了較完備體制機(jī)制，獎勵了良好的實驗與數(shù)據(jù)分析環(huán)境，采取了大量數(shù)據(jù)進(jìn)行分析，以下做出具體說明。2.1探索式的管理組織模式目前深圳平安綜合金融服務(wù)有限公司的信息安全管理組織模式如下：(1)已經(jīng)成立了專業(yè)的信息安全管理小組，由IT部門主管擔(dān)仟組長，成員集合了總行內(nèi)各個關(guān)鍵的業(yè)務(wù)部門主管，從整體上負(fù)責(zé)行內(nèi)的信息安全管理工作，下設(shè)安全風(fēng)險管理部、審計部門等，負(fù)責(zé)對安全風(fēng)險進(jìn)行統(tǒng)一管理和審計；(2)總行設(shè)置了信息科技部門，下設(shè)信息、開發(fā)、測試、運行、風(fēng)險管理等科，其中信息風(fēng)險管理科主要職能是對行內(nèi)的日常信息管理工作進(jìn)行協(xié)調(diào)；(3)各分行、支行根據(jù)實際情況，可分別設(shè)置信息科技部或電腦科及信息科技管理員，承擔(dān)轄區(qū)內(nèi)分行或網(wǎng)點的信息安全風(fēng)險的日常管理。2.2初具規(guī)模的業(yè)務(wù)連續(xù)性保障體系綜合金融服務(wù)公司業(yè)務(wù)保障體系由如下各層面構(gòu)成：(1)各級綜合金融服務(wù)公司已建立應(yīng)急執(zhí)行和應(yīng)急保障組構(gòu)成的管理機(jī)構(gòu)，由管理機(jī)構(gòu)的領(lǐng)導(dǎo)牽頭帶隊，成員包括各重要業(yè)務(wù)部門的負(fù)責(zé)任，負(fù)責(zé)指揮、解決和協(xié)調(diào)行內(nèi)信窟、安全應(yīng)急事件的處置和應(yīng)急所需各方面的資源配備；(2)為了核心業(yè)務(wù)的連續(xù)性充分得到保障，行方經(jīng)過資源整合及較合理分配，在離總行較遠(yuǎn)的X城市建立異地數(shù)據(jù)備份站，便于各種高風(fēng)險災(zāi)難事件處理；在距總行較近的Y市建立數(shù)據(jù)災(zāi)難備份處理中心站，便于處理各種高概率、低風(fēng)險的IT災(zāi)難事件；(3)為了消除業(yè)務(wù)正常運行時可能發(fā)生的臨時狀況，如系統(tǒng)崩潰、數(shù)據(jù)庫損壞、通訊中斷、供電系統(tǒng)失效、網(wǎng)絡(luò)故障等事件，按照信息中心的硬件工作環(huán)境和系統(tǒng)運行情況制定了健全的應(yīng)急方案，確定了突發(fā)事件的應(yīng)對辦法和措施。而且，對于關(guān)鍵信息系統(tǒng)采取周期性的應(yīng)急演練，形成相應(yīng)的報告，匯總可能的各種突發(fā)事件及問題，以備參考。2.3較完備的IT制度體系經(jīng)過多年的建設(shè)，深圳平安綜合金融服務(wù)有限公司已經(jīng)建立了縱橫兩向并行的IT制度體系：(1)縱向?qū)用姘ㄏ嚓P(guān)的實施細(xì)則和操作規(guī)范；(2)橫向科技制度主要包括開發(fā)、測試、安全和運行等幾個層面的管理，基本涉及到各個方面的IT風(fēng)險管理內(nèi)容，包括開發(fā)、測試、運行、數(shù)據(jù)、網(wǎng)絡(luò)安全和管理等。2.4良好的基礎(chǔ)設(shè)施建設(shè)金融行業(yè)數(shù)據(jù)中心機(jī)房建設(shè)應(yīng)達(dá)到國家機(jī)房建設(shè)A標(biāo)，深圳平安綜合金融服務(wù)有限公司總行的數(shù)據(jù)系統(tǒng)物理環(huán)境和設(shè)施基本符合：(1)采用市電雙路供電，接入不間斷UPS系統(tǒng)，備有應(yīng)急發(fā)電系統(tǒng)；(2)機(jī)房建設(shè)標(biāo)準(zhǔn)嚴(yán)格，盡量避免火水災(zāi)、雷電等自然災(zāi)害和盜搶等人為災(zāi)害，監(jiān)控系統(tǒng)能夠及時發(fā)現(xiàn)并預(yù)警各種設(shè)施和環(huán)境的突發(fā)事件；(3)機(jī)房空調(diào)為專用精密空調(diào)，可達(dá)到核心區(qū)域環(huán)境的對于溫度和濕度的恒定基本要求；(4)利用不同運營商的不同線路進(jìn)行關(guān)鍵網(wǎng)絡(luò)線路備份；(5)對重要設(shè)備系統(tǒng)和設(shè)備采用雙機(jī)熱備份，確保信息數(shù)據(jù)的可恢復(fù)性和安全性。2.5大量的信息安全保護(hù)技術(shù)措施(1)網(wǎng)絡(luò)訪問控制方面，為嚴(yán)格控制安全訪問，綜合金融服務(wù)公司采用不同商家的防火墻構(gòu)建了多層防火墻系統(tǒng)，采用了內(nèi)網(wǎng)訪問控制策略，利用核心交換機(jī)的不同VLAN列表，隔離內(nèi)網(wǎng)中的各個網(wǎng)段。由于可將總行內(nèi)部網(wǎng)絡(luò)邏輯上劃分成多個業(yè)務(wù)區(qū)域，這樣就可通過上述措施實現(xiàn)不同區(qū)域的網(wǎng)段隔離和訪問控制。而每個計算機(jī)個體通過獨立的物理途徑與互聯(lián)網(wǎng)連通，從而與其他辦公網(wǎng)絡(luò)隔離開來。(2)在網(wǎng)絡(luò)的防病毒管理方面，行內(nèi)整體保持統(tǒng)一，所有計算機(jī)都配備有極為強(qiáng)大的病毒庫和殺毒功能，基本形成較為穩(wěn)定的病毒防范體系；在重要區(qū)域設(shè)有安全監(jiān)測和防護(hù)報警系統(tǒng)，并設(shè)置專業(yè)人員進(jìn)行實時監(jiān)控，對非法入侵的數(shù)據(jù)進(jìn)行管理和控制。(3)在系統(tǒng)軟環(huán)境的安全上，不僅是系統(tǒng)軟件，包括應(yīng)用軟件都應(yīng)該對補(bǔ)丁安裝和升級進(jìn)行嚴(yán)格測試，經(jīng)嚴(yán)格的審批之后才可以升級；用戶只有合法登錄才能對系統(tǒng)進(jìn)行訪問，且經(jīng)授權(quán)后的用戶才可進(jìn)行操作，而操作過程將被全程記錄，便于后期的審計；系統(tǒng)變更加嚴(yán)格程序，嚴(yán)格審批、監(jiān)控、并雙人符合，保證變更的正確性、合規(guī)性。(4)數(shù)據(jù)信息、安全通信保障方面，采用金融業(yè)主流的加密技術(shù)進(jìn)行數(shù)據(jù)傳輸和儲存加密，保障了兩層面的安全性，采用數(shù)字簽名、數(shù)字證書等技術(shù)解決通信過程中的數(shù)據(jù)加解密、數(shù)據(jù)完整性、身份認(rèn)證和抗否認(rèn)性等等。

3、深圳平安綜合金融服務(wù)公司信息安全風(fēng)險分析3.1組織風(fēng)險3.1.1尚未建立完善的預(yù)警信息戰(zhàn)略風(fēng)險的機(jī)制隨著現(xiàn)代計算機(jī)技術(shù)的發(fā)展，金融業(yè)的科技創(chuàng)新日益加快，從而產(chǎn)生了越來越多的金融產(chǎn)品，如電子綜合金融服務(wù)公司、信用卡、第三方支付平臺等電子類業(yè)務(wù)，這些業(yè)務(wù)的產(chǎn)生更加劇了綜合金融服務(wù)公司業(yè)信息、風(fēng)險的產(chǎn)生。如果綜合金融服務(wù)公司在制定新的產(chǎn)品和服務(wù)戰(zhàn)略時，與既定的規(guī)劃目標(biāo)偏離，且對新產(chǎn)品或服務(wù)的信息、監(jiān)控不夠健全，都可能導(dǎo)致體系運行失控，引發(fā)風(fēng)險。綜合金融服務(wù)公司的新型業(yè)務(wù)是由各業(yè)務(wù)主管處分別規(guī)劃實施的，因而在信息、技術(shù)時機(jī)把握方面的準(zhǔn)確性不夠，產(chǎn)生一些綜合金融服務(wù)公司戰(zhàn)略風(fēng)險的威脅。其一，為開拓和占領(lǐng)某業(yè)務(wù)的市場，過于躍進(jìn)式地充當(dāng)此方面的先鋒，因此快速的技術(shù)更迭可能引起重大的戰(zhàn)略風(fēng)險；其二，在拓寬某一業(yè)務(wù)市場時，過度擔(dān)憂風(fēng)險，采取保守跟隨新技術(shù)的戰(zhàn)術(shù)，由此會時機(jī)先失而盡失。綜上，深圳平安綜合金融服務(wù)公司在新技術(shù)戰(zhàn)略風(fēng)險把控上還未建立較成熟完善的機(jī)制。3.1.2信息安全風(fēng)險管理組織的履職有待加強(qiáng)深圳平安綜合金融服務(wù)公司雖然已經(jīng)建立信息安全風(fēng)險管理組織，但尚未形成由決策、執(zhí)行和監(jiān)督三個層面為一體的信息、安全風(fēng)險監(jiān)督體系。在各個層面之間仍然存在對接間斷的問題，內(nèi)控機(jī)制不夠完善，未真正達(dá)到相互聯(lián)系、相互依賴、相互制約的工作狀態(tài)。就目前來看，深圳平安綜合金融服務(wù)公司的IT規(guī)則主要由信息科技部門進(jìn)行制定，綜合金融服務(wù)公司的決策層面對此的管理控制嚴(yán)重不足，形成了較為嚴(yán)重的IT戰(zhàn)略風(fēng)險；在深圳平安綜合金融服務(wù)公司中，各個部門分別負(fù)責(zé)不同類型的操作風(fēng)險，這使得各部門之間的協(xié)調(diào)不夠統(tǒng)一，雖然設(shè)有專業(yè)的部門，但這些部門僅與授信業(yè)務(wù)相關(guān)聯(lián)，與其他的操作風(fēng)險特別是IT風(fēng)險的管理沒有較強(qiáng)的關(guān)聯(lián)，而設(shè)置在信息科技部門內(nèi)部的IT風(fēng)險管理科對IT風(fēng)險的管理難免受到制約，難以充分發(fā)揮相應(yīng)的監(jiān)督作用，特別是跨部門協(xié)調(diào)職能較難實現(xiàn)。3.2人員風(fēng)險3.2.1安全意識淡薄總行的多數(shù)業(yè)務(wù)部門和各基層行(分行和支行)往往僅考察業(yè)務(wù)人員崗位操作技能，而對其風(fēng)險防范意識和自控意識要求不高。例如在綜合金融服務(wù)公司信息保密性方面，深圳平安綜合金融服務(wù)有限公司實施了各種防范，包括U盤的使用、互聯(lián)網(wǎng)權(quán)限訪問限制等。但還仍有不在少數(shù)的員工無意間外泄綜合金融服務(wù)公司重要信息，原因是其并未了解行內(nèi)的IT安全策略，不夠明確信息的保密程度，這也正是人員安全意識淡薄的體現(xiàn)。風(fēng)險意識是人員安全素質(zhì)的關(guān)鍵，若企業(yè)制定了科學(xué)的安全培訓(xùn)、教育機(jī)制，則全體員工安全素質(zhì)才能提高。3.2.2缺少風(fēng)險管理的專業(yè)人才“七分管理，三分技術(shù)”，風(fēng)險管理中“人”處在主導(dǎo)地位，深圳平安綜合金融服務(wù)有限公司目前最缺乏的就是專業(yè)技術(shù)人才，但這部分人才的缺口依然龐大。雖然現(xiàn)階段深圳平安綜合金融服務(wù)有限公司的信息科技部門設(shè)有專業(yè)的工作人員，但大多對信息技術(shù)或綜合金融服務(wù)公司專業(yè)的知識較為缺乏，很難系統(tǒng)、準(zhǔn)確的識別出企業(yè)的資產(chǎn)、威脅以及弱點；加之對于信息安全管理的策略掌握較少，則很難正確判斷全行IT風(fēng)險整體狀況。另外，其他IT技術(shù)人員僅僅掌握各自專業(yè)領(lǐng)域的知識，對信息安全中資產(chǎn)、威脅、脆弱性、事件發(fā)生可能性等缺乏深刻認(rèn)識。在下屬各級別行中，信息安全風(fēng)險管理專業(yè)人員則更少，一般由科技部門負(fù)責(zé)人兼任。由此，深圳平安綜合金融服務(wù)有限公司的信息安全風(fēng)險管理團(tuán)隊專業(yè)化程度還遠(yuǎn)遠(yuǎn)不夠。3.2.3IT人員流動風(fēng)險管理薄弱任何企業(yè)都有有著合理的人員流動，但綜合金融服務(wù)公司的IT人員流動是比較特殊的。多數(shù)都可能接觸或了解一些內(nèi)部機(jī)密信息、監(jiān)控盲區(qū)等，而且信息泄密取證較困難，故保密協(xié)議某種程度上成為“看木”，執(zhí)行也有一定難度。而深圳平安綜合金融服務(wù)有限公司恰在IT人員離崗監(jiān)管方面缺乏制度和流程的明確化，因此需要完善此方面的人員流動管理機(jī)制。3.3技術(shù)風(fēng)險技術(shù)風(fēng)險主要是指由于技術(shù)不妥或相對落后而導(dǎo)致的風(fēng)險，主要包括設(shè)備、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)及應(yīng)用中的風(fēng)險。3.3.1物理環(huán)境和設(shè)備在信息安全管理中，物理安全是極其重要的一項工作。近年來，隨著我國銀監(jiān)會等外部監(jiān)管部門不斷敦促綜合金融服務(wù)公司在此方面加強(qiáng)建設(shè)。深圳平安綜合金融服務(wù)有限公司當(dāng)前的硬件環(huán)境建設(shè)安全標(biāo)準(zhǔn)較高，但仍存一些問題：機(jī)房出入控制登記流于“形式化”，關(guān)門隨意性使門禁系統(tǒng)作用削弱：新項目的接連更新上線，常調(diào)網(wǎng)絡(luò)使得網(wǎng)線和電纜走線由多致亂等。3.3.2網(wǎng)絡(luò)安全近年深圳平安綜合金融服務(wù)有限公司在網(wǎng)絡(luò)建設(shè)上基于較高起點，大力投入，較合理規(guī)劃了全行網(wǎng)絡(luò)，充分考慮了故障恢復(fù)、承載能力及安全配置，網(wǎng)絡(luò)的可用、可靠和安全性能大幅提高。隨著新業(yè)務(wù)的不斷拓展，對外接口越來越多，但也暴露出了安全措施缺乏的問題。在網(wǎng)絡(luò)保密處理方面也不夠健全，如鏈路加密不夠嚴(yán)密，重要業(yè)務(wù)數(shù)據(jù)的加密過于簡便，存在安全隱患。對網(wǎng)絡(luò)日志的管理不夠規(guī)范，現(xiàn)階段的網(wǎng)絡(luò)設(shè)備基本都具有日志功能，但人員不足導(dǎo)致無人定期核查日志信息等。此外，網(wǎng)絡(luò)安全配置未形成同一標(biāo)準(zhǔn)，訪問控制管理不足，致使網(wǎng)絡(luò)配置存在安全隱患。3.3.3系統(tǒng)安全在數(shù)據(jù)庫和操作系統(tǒng)等軟件方面，深圳平安綜合金融服務(wù)有限公司主要存在以下安全問題：（1）未遵循最小化原則。系統(tǒng)集成商制定的系統(tǒng)軟件默認(rèn)最大化安裝，，遺留一些安全隱患；（2）未遵循安全策略配置系統(tǒng)。沒有指定系統(tǒng)的安全策略配置和安裝系統(tǒng)，安裝之后對系統(tǒng)安全監(jiān)測不夠重視，未及時安裝安全補(bǔ)丁，簡單或默認(rèn)口令用時忘更改；（3）未及時更新系統(tǒng)補(bǔ)丁。在日常運行過程中，對系統(tǒng)的維護(hù)升級較少，雖然實行了網(wǎng)段隔離，但仍對系統(tǒng)造成嚴(yán)重的威脅。3.3.4應(yīng)用風(fēng)險應(yīng)用系統(tǒng)與綜合金融服務(wù)公司具體使用關(guān)聯(lián)緊密，深圳平安綜合金融服務(wù)有限公司的應(yīng)用系統(tǒng)較多，范圍也很廣泛，因此風(fēng)險不少。由于深圳平安綜合金融服務(wù)有限公司的應(yīng)用系統(tǒng)大多是自主研發(fā)或合作研發(fā)，更注重應(yīng)用的功能和效率，弱化了安全性考慮，未建立全面覆蓋開發(fā)周期的控制機(jī)制，導(dǎo)致上線后的諸多安全隱患。類似安全隱患尚未根本消除，也增加了管理的難度。3.4外部風(fēng)險綜合金融服務(wù)公司外部風(fēng)險指的主要是由于經(jīng)營環(huán)境引發(fā)的風(fēng)險，處于綜合金融服務(wù)公司的內(nèi)控范圍之外，卻常常極大影響著綜合金融服務(wù)公司的正常業(yè)務(wù)經(jīng)營，主要體現(xiàn)在三個方面：3.4.1法律漏洞風(fēng)險在綜合金融服務(wù)公司的一些如電子綜合金融服務(wù)公司等新型業(yè)務(wù)運營過程中發(fā)現(xiàn)，網(wǎng)絡(luò)上某些操作或交易屬投機(jī)行為，鉆了監(jiān)管制度的空子，這是由于此方面的法律法規(guī)相對滯后，這樣就有效避免了糾紛的發(fā)生。除此之外，目前相關(guān)部門受理電子綜合金融服務(wù)公司案件的能力限制也在某種程度上誘發(fā)了網(wǎng)絡(luò)犯罪，最終使得綜合金融服務(wù)公司信譽(yù)和客戶經(jīng)濟(jì)受損。3.4.2客戶行為風(fēng)險通過調(diào)查研究，很多客戶對網(wǎng)絡(luò)安全認(rèn)識不清，假如處于危險情況下進(jìn)行電子交易，罪犯則有可趁之機(jī)，非法解密登陸客戶賬號，造成客戶的損失，綜合金融服務(wù)公司則可能要承受由此帶來的多方面損失。而綜合金融服務(wù)公司如果對客戶的惡意行為未能識別，則潛在經(jīng)濟(jì)名譽(yù)受損風(fēng)險更大，甚至有助推犯罪之嫌。3.4.3信譽(yù)風(fēng)險當(dāng)綜合金融服務(wù)公司的金融產(chǎn)品服務(wù)未能達(dá)到公眾預(yù)期水準(zhǔn)，且產(chǎn)生了較大范圍的不利輿論影響，綜合金融服務(wù)公司則有著嚴(yán)重的信譽(yù)風(fēng)險。這種風(fēng)險的來源是多方面的，如電子運營系統(tǒng)存在故障，對客戶的服務(wù)不能保障，綜合金融服務(wù)公司客戶對多家綜合金融服務(wù)公司某項金融業(yè)務(wù)間的縱向比較和單家綜合金融服務(wù)公司安全事故引發(fā)的行業(yè)內(nèi)部信任危機(jī)等等。因此，深圳平安綜合金融服務(wù)有限公司應(yīng)關(guān)注這些外部風(fēng)險構(gòu)成因素，定期總結(jié)并對類似事件做以風(fēng)險評估，從而制定相應(yīng)的防范機(jī)制和采取應(yīng)對措施，做到外部風(fēng)險防患于未然。

4、深圳平安綜合金融服務(wù)有限公司信息安全風(fēng)險管理策略4.1建立完備的信息安全政策標(biāo)準(zhǔn)體系根據(jù)深圳平安綜合金融服務(wù)公司自身實際，科學(xué)制定，盡可能全面覆蓋安全規(guī)范的要求，同時根據(jù)情況的變化要及時科學(xué)修訂完善，其具有一定強(qiáng)制效力。管理規(guī)定涉及的面廣，故這里強(qiáng)調(diào)深圳平安綜合金融服務(wù)公司應(yīng)基于自身條件，如可在信息系統(tǒng)獲取和維護(hù)方面制訂信息系統(tǒng)硬件設(shè)備引進(jìn)管理規(guī)定、硬件設(shè)備質(zhì)量測試管理規(guī)定、后臺技術(shù)維護(hù)更新管理規(guī)定等，規(guī)范信息系統(tǒng)硬件方面立項的管理細(xì)節(jié)和流程。深圳平安綜合金融服務(wù)有限公司應(yīng)出臺綜合金融服務(wù)公司信息安全技術(shù)的指導(dǎo)性文件，即信息安全技術(shù)標(biāo)準(zhǔn)，至少考慮綜合金融服務(wù)公司IT下述要點：用戶身份認(rèn)證、訪問管理權(quán)限控制、操作工具式加密、防惡意代碼功能、系統(tǒng)安全性加固的全過程、審計監(jiān)控系統(tǒng)、備份恢復(fù)。各個系統(tǒng)安全性要點的實現(xiàn)都需要一系列技術(shù)手段實施，因此此過程中每一步都應(yīng)遵循行內(nèi)制定的相應(yīng)技術(shù)標(biāo)準(zhǔn)和規(guī)范，才能有效保證信息系統(tǒng)的正常工作和持續(xù)的改進(jìn)。如身份認(rèn)證技術(shù)標(biāo)準(zhǔn)中就應(yīng)當(dāng)明確要求描述訪問者身份的信息式樣和內(nèi)容、系統(tǒng)同步響應(yīng)的方式和過程，否則認(rèn)證成功與否的用戶提示和反饋就無標(biāo)準(zhǔn)可言。4.2建立完善的組織人員管理模式當(dāng)前深圳平安綜合金融服務(wù)公司IT風(fēng)險管理機(jī)構(gòu)履職仍存在一些問題，應(yīng)借鑒業(yè)界最佳實踐，針對深圳平安綜合金融服務(wù)公司現(xiàn)狀來完善信息安全組織體系。體系應(yīng)包括參與全行信息安全立項工作的所有部門，可設(shè)立各種形式的信息安全組織機(jī)構(gòu)，而且需明確各安全組織、部門和人員的權(quán)利和責(zé)任。目前，深圳平安綜合金融服務(wù)公司的信息安全決策人員明確表示，從綜合金融服務(wù)公司高層戰(zhàn)略角度來指導(dǎo)信息安全工作，全面分配協(xié)調(diào)信息安全工作所需要的各種資源，審批專項立項；從信息安全管理層面來講，每個下屬行都應(yīng)與總行信息安全管理設(shè)置對接的機(jī)構(gòu)，履行信息安全政策標(biāo)準(zhǔn)評審制定、規(guī)劃提請申報信息安全項目等職能；從信息安全執(zhí)行層面來講，需要在全行各部門進(jìn)一步明確，并需要加強(qiáng)執(zhí)行能力，對綜合金融服務(wù)公司信息安全工作常態(tài)化操作；信息安全監(jiān)督方面，深圳平安綜合金融服務(wù)公司應(yīng)在已有的專職審核和風(fēng)險管理處內(nèi)設(shè)二級專職審計科室或?qū)T，從而增強(qiáng)行內(nèi)監(jiān)管機(jī)構(gòu)履職能力，達(dá)到對全行信息安全狀況正確評估和監(jiān)控。4.3建立流暢的信息安全運作管理模式深圳平安綜合金融服務(wù)公司還未建立完整的信息安全運作模式，本文提出適合深圳平安綜合金融服務(wù)公司信息安全風(fēng)險管理的信息安全運作示意圖：圖2深圳平安綜合金融服務(wù)公司信息安全運作管理框架如圖所示，該框架的流程主要分為四個步驟。參照ISO27001標(biāo)準(zhǔn)，信息安全的具體對象包括：信息資產(chǎn)、物理安全、運營安全、訪問控制、應(yīng)用開發(fā)與維護(hù)、信息安全事件和業(yè)務(wù)連續(xù)性等方面。深圳平安綜合金融服務(wù)有限公司依據(jù)這一運作管理框架，管理常見的或有特殊要求的具體層面上的信息安全事務(wù)。(1)信息資產(chǎn)安全管理從資產(chǎn)管理的角度進(jìn)行深圳平安綜合金融服務(wù)有限公司信息資產(chǎn)安全管理，包括對確定的信息資產(chǎn)進(jìn)行評估、歸類、分等級，明確資產(chǎn)所有者和責(zé)任者，建立并能夠更新信息資產(chǎn)清單，根據(jù)資產(chǎn)評估結(jié)果進(jìn)行標(biāo)識。(2)物理安全管理綜合金融服務(wù)公司不同保護(hù)區(qū)域的內(nèi)部信息資產(chǎn)應(yīng)設(shè)置保護(hù)措施。物理安全管理主要包括物理環(huán)境和門禁系統(tǒng)的安全[42]?？紤]物理環(huán)境的控制、電氣技術(shù)安全、自然災(zāi)害等的防御；考慮身份識別、區(qū)域出入授權(quán)和區(qū)域出入日志審核管理等的安全。深圳平安綜合金融服務(wù)有限公司可通過對保護(hù)區(qū)域的環(huán)境控制和物理隔離實現(xiàn)上述兩方面的安全性管理。(3)運營安全管理為加強(qiáng)深圳平安綜合金融服務(wù)有限公司當(dāng)前系統(tǒng)運營安全管理，應(yīng)嚴(yán)格執(zhí)行所制定的各項操作規(guī)定和流程，采取相關(guān)措施防范惡意程序；嚴(yán)格依據(jù)各項相關(guān)的規(guī)范和標(biāo)準(zhǔn)，確保信息安全傳輸，保證信息分析的準(zhǔn)確性。依據(jù)系統(tǒng)規(guī)劃和驗收標(biāo)準(zhǔn)，降低系統(tǒng)故障風(fēng)險到最小程度。(4)訪問控制管理為確保深圳平安綜合金融服務(wù)有限公司現(xiàn)有服務(wù)器系統(tǒng)或用戶端的安全，應(yīng)嚴(yán)格執(zhí)行訪問全過程管理流程，避免各種未授權(quán)訪問，包括訪問信息系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的訪問，保證信息的控制、網(wǎng)絡(luò)和計算機(jī)的正常服務(wù)，應(yīng)監(jiān)視系統(tǒng)的所有訪問和操作，檢測控制未授權(quán)的行為，保證信息交換、移動的安全性。(5)應(yīng)用開發(fā)與維護(hù)安全管理依據(jù)深圳平安綜合金融服務(wù)有限公司應(yīng)用系統(tǒng)安全管理策略，在設(shè)計、開發(fā)和維護(hù)的不同階段采取必要的安全控制措施，建立一個安全可靠的應(yīng)用環(huán)境，使應(yīng)用系統(tǒng)滿足不斷發(fā)展的綜合金融服務(wù)公司業(yè)務(wù)和安全管理上的兩方面要求。(6)信息安全事件管理深圳平安綜合金融服務(wù)有限公司在信息安全事件的分類、識別、報告、響應(yīng)、恢復(fù)等方面的管理規(guī)范有待加強(qiáng)，應(yīng)建立一套科學(xué)合理的信息安全事件處理流程，包括聯(lián)絡(luò)員的公開部署，其初期識別和報告程序，事件過程監(jiān)督分析匯總機(jī)制，確保信息系統(tǒng)故障及時排除，降低損失。(7)業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理高于信息安全事件響應(yīng)恢復(fù)，完善的整體業(yè)務(wù)連續(xù)性管理流程包括風(fēng)險預(yù)測、風(fēng)險控制，保證綜合金融服務(wù)公司平常業(yè)務(wù)平穩(wěn)運行。應(yīng)當(dāng)從戰(zhàn)略上建立實施業(yè)務(wù)連續(xù)性管理規(guī)劃，將其理念融入到綜合金融服務(wù)公司的日常管理和企業(yè)文化中，才能得到較好的效果，從而真正減少因業(yè)務(wù)運行中斷導(dǎo)致的重大影響或損失。4.4建立有效的信息安全技術(shù)體系如前所述，深圳平安綜合金融服務(wù)有限公司已采取了大量技術(shù)措施保障信息安全，但還未形成有效的全局信息安全技術(shù)體系，因此，深圳平安綜合金融服務(wù)有限公司應(yīng)根據(jù)業(yè)務(wù)發(fā)展和更新，綜合優(yōu)化運用各種信息技術(shù)手段，保護(hù)綜合金融服務(wù)公司信息系統(tǒng)安全，降低相應(yīng)技術(shù)風(fēng)險。本文提出的深圳平安綜合金融服務(wù)有限公司的信息安全七類相關(guān)技術(shù)保護(hù)手段，如圖5.2。為實現(xiàn)用戶對綜合金融服務(wù)公司信息系統(tǒng)的安全訪問保護(hù)，需要審計和監(jiān)控訪問全過程，對意外事件需進(jìn)行數(shù)據(jù)備份，對應(yīng)急事件及時響應(yīng)和恢復(fù)。圖3深圳平安綜合金融服務(wù)公司信息技術(shù)管理體系(1)身份認(rèn)證系統(tǒng)訪問者需要正確的標(biāo)志、標(biāo)簽、證書等才能通過身份認(rèn)證。深圳平安綜合金融服務(wù)有限公司應(yīng)規(guī)范控制功能實現(xiàn)模塊：目錄服務(wù)方面應(yīng)采用系統(tǒng)升級期間的主流技術(shù)協(xié)議；用戶身份管理方面，隨著用戶規(guī)模化漸強(qiáng)，平衡系統(tǒng)中心統(tǒng)一管理和就近管理員分權(quán)管理的狀態(tài)，以期達(dá)到系統(tǒng)的高擴(kuò)展和可持續(xù)應(yīng)用性；認(rèn)證管理方面，應(yīng)隨技術(shù)革新強(qiáng)化身份認(rèn)證要求，逐步實現(xiàn)更加高級安全的認(rèn)證模式，如某些生物特征轉(zhuǎn)換技術(shù)模式。(2)訪問控制從業(yè)務(wù)便捷和安全角度考慮，深圳平安綜合金融服務(wù)有限公司可根據(jù)業(yè)界最佳實踐，采用單點登錄系統(tǒng)的統(tǒng)一角色定義和控制，當(dāng)用戶通過一次登錄識別，即可獲得授權(quán)訪問進(jìn)行特定的操作，管理員不再需要多次干涉用戶登錄。(3)加密服務(wù)深圳平安綜合金融服務(wù)有限公司可通過對系統(tǒng)中數(shù)據(jù)的加解密、消息認(rèn)證碼、數(shù)字簽名、密鑰交換和隨機(jī)數(shù)生成等技術(shù)環(huán)節(jié)，來保證數(shù)據(jù)的保密性、完整性。但標(biāo)準(zhǔn)和方法各系統(tǒng)不同，因此，應(yīng)遵循適度保護(hù)原則，兼顧關(guān)鍵資產(chǎn)的完整性價值和信息傳輸效率，統(tǒng)一制定全面的加密策略，并在全行內(nèi)采用一個信息安全服務(wù)平臺，執(zhí)行一致的密碼支持服務(wù)和密鑰管理機(jī)制等標(biāo)準(zhǔn)。(4)防惡意代碼同加密服務(wù)管理一樣，深圳平安綜合金融服務(wù)有限公司在惡意代碼的防范技術(shù)方面