文 / 上海浦东发展银行信息科技部 黄洁润 胡振鹏 胡灵娟
目前,随着各行各业逐渐进入数字化时代,保存企业有形资产的传统方法并不能提供足够的保护,因此,信息安全对于企业来说十分重要。如今,企业的营运资金通常以数据的形式存储在服务器上,并通过有线或无线网络传输这些数据进行交易。企业越来越多地采用电子信息的形式来拥有和使用信息,这就促使企业迫切地需要借助各种信息安全管理工具来对信息进行保护。金融行业更是如此,金融企业亟需开发自己的信息安全体系来保护自己的信息安全。本文介绍了一种以风险为基础的金融行业信息安全管理方法,通过以风险为导向的思维,对金融企业所有流程进行统一的风险管理,确保重要信息的必要保护。
信息安全管理中基于风险的方法
1.信息安全模型
传统的信息安全模型由三个部分组成:机密性、完整性和可用性,也称为“CIA模型”(confidential-integrity-availability)。信息安全的目标是确保机密性、完整性和可用性。机密性是指确保只有具有相应权利的员工才能访问必要的信息,因此要保证员工、其他人或物(例如自动化系统和服务)在没有被赋予相应的权利时不能访问机密信息。为防止未经授权更改或破坏信息,以及确保所提供信息的安全性、完整性是十分有必要的。信息不完整意味着信息遭受了未经授权的更改或损坏。信息的可用性对于日常快速搜索和使用信息是至关重要的,如果信息无法保证可用性,那么可能会面临无法访问信息的风险。
2.信息安全管理体系
信息安全管理体系(Information Security Management System,简称ISMS)由1998年从英国发展而来,是信息安全领域应用管理体系(MS)思想和方法的一种新观念。近些年,随着信息安全管理系统国际标准的修改,ISMS在全球范围内得到快速接受和承认,是全球范围内解决信息安全问题的一种有效途径。通过ISMS认证,组织和企业可以有效提高自身的信息安全水平和能力。
信息安全管理体系是根据信息安全管理制度的相关标准,采取风险管理的方式,包括制订信息安全管理的具体内容和策略、执行信息安全管理的计划、接受信息安全管理的审核和检查、改进信息安全管理的工作体系等。信息安全管理体系是按照《信息技术、安全技术、信息安全管理体系要求》的规定,基于ISO/IEC 27001标准而建立。
信息安全管理实用规则ISO/IEC 27001是由BS7799标准发展而来。BS7799是英国标准协会(BSI)于1995年提出并修订的,由两个部分组成:BS7799-1和BS7799-2,分别指信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则(BS7799-1)针对信息安全管理提出了相关建议,供负责在其组织启动、实施或维护安全的人员使用。信息安全管理体系规范(BS7799-2)阐述了建立、实施和文件化信息安全管理体系的要求,规范了根据独立组织的需要应实施安全控制的要求。
信息安全管理体系是用来建立和维护信息安全管理体系的制度标准。这套制度标准要求组织明确管理范围、制定安全策略、明确管理职责、基于风险评估选择控制的目标与方式、建立完善完备的信息安全管理体系。此外,在建立体系后,组织应该根据规定的要求进行操作,在保证有效性的基础上进行体系运转。信息安全管理体系应该以文件的方式留存,也就是说组织应建立并运行文件化的信息安全管理体系。信息安全管理体系应该说明需要被保护的资产、组织风险管理的策略、控制目标及控制方式和需要的保证程度。
信息安全管理体系可在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,为包括政府、研究院所、金融行业、服务行业等在内的所有类型的组织提供服务。信息安全管理体系还规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求,范围涉及了广义上的信息安全,为组织实施、维护和管理信息安全提供了标准化的指导。
通过ISO/IEC 27001认证,可以有效提升组织的安全管理水平,将因安全事件带来的破坏和损失降低到最小,增强合作伙伴与投资方的信心。ISO/IEC 27001证书的有效期为三年,每年需要按规定进行年审,三年到期后需要换证,通过监督审核,可以保持,暂停或撤销认证证书的注册。逾期不年审或换证,证书将会被暂停,面临过期和失效的风险,无法继续正常使用。
ISO/IEC 27001具有统一的方法,类似于大多数现代管理系统标准,适用于任何类型的组织,对面向风险的方法的形式化和描述提出了框架要求。目前在各行业领域的企业中,执行基于风险的办法已经有了丰富的经验,满足了管理系统有效运作的需求。
然而,不论什么类型的企业,迟早都会面临管理各种风险的问题。以金融行业为例,基于风险的方法可以找出过程中可能存在的偏差,以及可能会影响最终结果的因素。此外,风险管理不仅包括处理消极后果,还包括处理有利机会。通过提前对发现的偏差进行管理,从而确保企业流程的有效流动。以风险为基础的方法可以改善金融行业的发展前景,有助于节约资源,并促进高级管理人员快速和明智的战略决策。
3.风险管理
为了增加金融行业风险管理系统的透明度,可以将风险管理过程分离成单独的过程,分别由各自的风险协调者来处理。其主要任务是风险管理系统的方法支持,重大和特大风险的控制措施,以及组织所有风险的合并财务报表的形成。ISO 31000:2018标准“风险管理指南”包含了建立风险管理系统的建议,并不局限于特定的行业,因此其原则可以用于金融行业领域,以及解决与信息安全相关的问题。利用ISO 31000:2018中规定的方法和原则,金融企业可以最大限度地降低与信息管理相关的风险以确保信息安全。
要在一个组织中建立一个完善的风险管理体系,需要解决一系列的任务,最高管理层必须做出有意识的决策。这种决策能确保风险导向的思想和谐地融入到组织的所有活动中,使得企业员工各司其职,将风险管理体系与其他管理体系较好地整合在一起。此外,体系实施小组由组织第一负责人指定,实施小组制定详细的实施计划,监督各阶段工作的实施情况。与此同时,向高级管理人员报告计划的实施结果,为企业的条线经理和员工提供方法论支持。
要开发规避信息完整性和机密性相关重要风险的管理工具时,需要考虑风险管理系统的范围和组织资源库的能力。在建立风险管理政策时,组织的负责人必须确保提供必要的资源,如有资质的人员、足够的资金、硬件和软件环境,以确保信息安全体系有效运作。最终风险评估的阈值由组织的最高管理者设定,在此阈值时,需要在业务过程中引入缓解和补偿措施,并对所采取的措施进行控制和评价其有效性。组织将选择的风险管理方法作为实现信息安全管理系统目标的重要管理战略,包括四个类别:规避、本土化、多样化和风险补偿。管理特定风险的方案选择取决于与风险环境、相关风险、流程资源和组织信息安全威胁的重要性相关的外部和内部因素。
只有采用系统的方法来识别、评估和有计划地重新评估风险,才能建立有效的风险管理体系来防止或最大限度地减少组织外部和内部环境的负面影响。在监控过程中,基于信息系统技术(包括人工智能等)来实施控制措施和引入缓解和补偿措施,从而做出及时的决定来阻止威胁。组织风险管理体系有效性年度评估的关键标准应建立与预防重大或特大风险的实施有关的指标,报告未识别的重大风险的实施情况,以及风险管理措施融入信息安全管理系统过程模型的程度。上述在信息安全方面提出的风险管理方法与基于风险的方法相协调,该方法不仅在国际标准ISO/IEC 27001中提到了,而且在其他基于高级SL结构的管理系统标准中也有涉及。
4.集成管理系统
ISO/IEC 27001标准不仅具有与国际标准化组织发布的其他管理体系标准集成的巨大潜力,例如与ISO9000系列(质量管理)、ISO14000(环境管理)、ISO45001(职业健康和安全管理)等,还可能将信息安全风险管理集成到企业风险管理系统中。这种协调一致的做法能够全面一致地实施,以统一的方式减轻风险,并在维持合规方面节省大量资源。与维持管理系统的有效运作有关的许多过程可以合并成一个不同标准的管理过程,从而节省时间、人力和财政资源。联合实施和维护管理系统显著降低了企业的成本,提高了企业的盈利能力和市场竞争力。通过在企业中实施一个集成的管理系统,最高管理层不仅获得了监控和管理信息安全的手段,这大大降低了与信息安全相关风险的可能性,而且还获得了管理组织所有资产的手段,建立并实施企业整体的战略发展理念。
结 语
以风险为基础的金融行业信息安全管理方法可以确保在信息安全和数据保护领域实现既定的目标和任务。以风险为导向的思维在事件发生之前工作,并提供了对各种偏离计划流程的发生和发展的分析,并为管理可能的偏离做好了准备。系统风险管理对金融企业所有流程进行统一的风险管理,包括主要行政流程、管理流程、辅助流程和数据安全流程等。为确保对组织重要信息的必要程度的保护,只有在将完整的信息安全管理系统集成到金融企业的活动中,才能满足先进的国际标准和实践。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。