来源:蜘蛛抓取(WebSpider)
时间:2016-10-24 09:26
标签:
非系统风险
管理信息系统的问题与答案1_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
管理信息系统的问题与答案1
上传于||暂无简介
阅读已结束,如果下载本文需要使用0下载券
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩1页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢会计信息系统安全风险及其防范-
留言内容不能
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
□文/钟骏华1 齐雨雯2
会计信息系统安全风险及其防范
[提要] 本文首先从会计信息失真、企业资产损失、企业重要信息泄露、系统无法正常运行等四个方面,阐述会计信息系统安全风险的形式,然后从硬件系统、软件系统、会计操作员等方面,分析影响会计信息系统安全风险的因素,最后提出会计信息系统安全风险防范措施。
关键词:会计信息系统;安全风险;防范措施
中图分类号:F23 文献标识码:A
原标题:论会计信息系统的安全风险和防范措施
收录日期:日
如何提高会计信息系统的安全程度、降低安全风险,是系统设计者p企业管理者和系统用户都关心和考虑的一个重要问题。所以,针对会计信息系统的安全风险,施加必要的防范措施是每个企业所必须做的事,这样才能使企业利益达到最大化。由此可见,会计信息系统在企业经营实践中的经济作用越来越明显。
一、会计信息系统安全风险的表现形式
会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃,企业资金财产损失,系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生,会计信息系统的安全风险主要表现在以下几个方面:
(一)企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化,信息系统犯罪更加隐蔽,更加难以发现,涉及的金额也从最初的几千元发展到几万元,甚至上亿元,安全风险损失越来越大,后果也随之越来越严重。
(二)企业重要信息泄露。在信息技术高速发展的今天,信息在企业的经营管理中变得越来越重要,成为企业的一项重要资本,甚至决定了企业在激烈的市场竞争中的成败。网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险。因此,利用高技术手段窃取企业重要机密成为了当今计算机犯罪的主要目的之一,也是构成系统安全风险的重要形式。比如:窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等,常常会对企业造成无法估量的损失。
(三)系统无法正常运行。网络会计主要依靠自动数据处理功能,而这种功能又很集中,自然或人为的微小差错和干扰,都会造成严重后果。无论是无法避免的自然灾害,或者是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作,甚至系统瘫痪,造成巨大损失,给企业带来很多不便。
二、影响会计信息系统安全的因素
影响会计信息系统安全风险的因素大致可以分为以下三个方面:硬件系统安全、软件系统安全以及会计操作人员的因素。
(一)硬件系统安全因素
1、不正确操作。计算机系统的操作人员对硬件设备的不正确操作可能会引起系统的损坏,从而进一步危害系统的安全。不正确的操作主要是指操作人员不按规定的程序流程使用硬件设备,例如不按顺序开机、关机,有可能烧毁计算机的硬盘,从而造成数据的泄露甚至导致数据的全部丢失。
2、人为因素。人的因素在保障会计信息安全过程中起着主导作用,会计信息系统操作人员出于主观故意篡改数据或不按操作程序操作,均会直接影响会计信息的真实性和可靠性、可用性;有意破坏系统硬件设备者可能是系统内部操作人员,也可能是系统外部人员。破坏者出于某种目的,例如发泄私愤或谋取不法利益,等等,从而破坏计算机硬件,致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备,也可能通过盗窃等手段破坏计算机系统,例如窃走存有数据的磁带或磁盘,或者利用计算机病毒的发作造成硬件损坏等。
3、不可预测的灾难。不可预测的灾难虽然发生的概率非常小,但不意味这不可能发生,一旦发生对信息系统的破坏性极大,所以必须引起足够的重视,例如火灾或某些元件的损坏,可能造成整个系统的崩溃。
(二)软件系统安全因素
1、计算机病毒。计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计,全世界发现的各种计算机病毒已经超过了24,000种,并且正以每月300~500种的速度疯狂的增长。由于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计信息传输的安全构成了非常大的威胁。查杀病毒已成为系统安全保护的一个重要的也是必不可少的内容。
2、网络黑客,也就是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种:(1)捕获,许多程序能够使破坏者捕获到一些个人信息,尤其是口令;(2)查卡,这种程序是“捕获”程序的一部分,它主要捕获信用卡密码;(3)即时消息轰炸,利用即时消息功能,黑客可以采用多种程序,以极快的速度用大量的消息“轰炸”某个特定用户;(4)电子邮件轰炸,用数百条消息、以填塞某人的E-mail信箱,是一种确实可行的在线袭扰的方法;(5)违反业务条款,这种诡计相当于在网上陷害某人,有些程序可使这种欺骗活动看起来就好像是某个用户向黑客发送了一条攻击性的E-mail消息;(6)病毒和“特洛伊木马”,这些程序看起来像一种合法的程序,但是它静静地记录着用户输入的每个口令,然后把它们发送给黑客的网络信箱,从而通过盗窃系统合法用户的口令,然后以此口令合法登录系统以实现非法目的。
(三)会计操作人员的安全因素
1、操作人员篡改程序和数据文件。通过对程序做非法的改动,导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,例如转移单位资金到指定的个人账户。
2、有权和无权用户的非法操作。主要是操作员或其他人员不按照操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据的安全。
3、窃取或篡改商业秘密、非法转移电子资金和数据泄密等。对会计数据的泄密主要是针对系统的用户或数据保管人员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手;窃取或篡改商业秘密是系统非法转移用户利用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通讯设施非法转移资金对会计数据的安全保护构成很大威胁。
除此之外,操作人员通过非法修改、销毁输出信息等损坏计算机系统的方式达到掩盖舞弊行为和获取私人利益的目的,也是构成系统安全风险的一个重要因素。
三、会计信息系统安全风险防范措施
随着会计信息系统在企业经营管理中的广泛应用,一些传统的核对p计算p存储等内部会计控制方式都被会计信息系统逐渐的替代,企业内部会计信息的处理发生了根本的变化,但会计信息系统给企业带来便利的同时也带来了风险,为了保证会计信息系统的正常,有序工作,其安全风险的防范措施显得尤为重要,既然已经对会计信息系统安全风险因素进行了三大方面的分析,那么就分别对每一个方面阐述一下相对应的防范措施。
(一)在硬件功能上施加必要的控制
1、提示功能。增加必要的提示功能如软件执行备份时,存储介质上无存储空间、备份介质未正确插入和安装;执行打印时未连接打印机或未打开打印机电源;用户输入数据时输入了与系统当前数据项不符的数据或未按要求输入等等,此时系统应给予必要的提示,并自动中断程序的执行。
2、保护功能。增加必要的保护功能以防止在突然断电、程序运行中用户的突然干扰等偶发事故造成的系统故障,如软件执行结账时用户干预等发生时,能自动保护好原有的数据文件,防止数据破坏或丢失、同时对重要数据系统可增加退出系统时的强行备份功能,用户再次登录到系统时自动把备份数据与机内数据比较对照,及时发现数据文件的改变。
3、上机操作控制和系统运行记录控制。(1)建立严格的硬件操作规程。安装计算机硬件系统时,必须按照一定的顺序进行;启动计算机时,要按照先开外设再开主机、关机时先关主机再关外设;计算机处于工作(加电)状态时、不得拔插各种外部设备;计算机进行软盘读写操作时,不得强行将软盘取出;网络的布线要避免电磁干扰或人为的损坏,不要随意插拔网络缆线的接头,也不要经常移动计算机等;(2)制定操作员访问系统的标准操作规程、明确规定各个操作员进人系统后执行程序的顺序、各硬件设备的使用要求、数据文件和程序文件的使用要求以及处理系统偶发事故的操作要求,如设备突然断电的处理、设备的重新启动要求等,同时也要制定数据文件的处置标准,对数据文件的名称、保留时间、存放地点、文件重建等事项做出规定,以便统一管理;(3)通过设置软件功能、利用系统提供的功能或人工控制记录等措施对各用户操作系统的所有活动予以相应的记录,并定期由系统主管进行监察和检验以便及时了解非法用户和有权用户越权使用系统的情况。
4、建立健全硬件管理制度和损害补救措施。建立健全设备管理制度,确保硬件设备的运行环境、电源、温度、湿度、静电、尘土、电磁干扰、辐射等,例如计算机系统要求配置稳压电源,不间断电源(UPS),有时还需要配置备份电源,以便在长时间断电的情况下启用备份电源来保证设备的正常运行;另一方面,各系统操作人员应分清责任,各自管理和使用自己职责范围内的硬件设备,不得越权使用,禁止非计算机操作人员擅自的使用计算机系统进行操作,以免不当的操作损坏硬件设备。如果有多个用户使用同一台设备的情况,要进行严格的登记,并记录运行的情况。
(二)在软件功能上施加必要的控制措施
1、必要的检验功能。设计适应电算化账务处理的核算组织程序。任何由原始凭证人工编制的记账凭证都应进行严格的审核以及复核。在网络环境系统中,输入的工作量由多人共同来分担,凭证数据的输入可以采用一组人员输入,换人复核;或者采用两组人员分别进行两次的输入,输入的数据分别存放在两个暂存文件中,然后由计算机对两个数据文件中的记录来逐条进行比较。对于存在差异的记录进行对照显示或打印,以便于找出错误,进行修改。只有完全相同的情况下,系统才把录入的数据作为正式的凭证数据存储。未经校验的数据系统应作上标记,不允许进入记账凭证文件。
2、加强输入数据检验。对输入系统的数据、代码等都要进行检验。如:输入记账凭证时、每张凭证都要经过日期合法性、会计科目合法性、凭证类合法性、对应科目的合法性、金额借、贷平等校验。对于那些不符合要求的数据系统不予通过。根据会计核算的要求和网络系统的特点、系统对输入的同类记账凭证、原始凭证自动按日或月分类顺序编号,并且对多个用户同时访问同一个数据文件时各用户操作的记录进行锁定,拒绝其他用户的访问。这样可以尽量避免多个用户同时操作易引起的凭证断号、重号和串号,而且使于分清责任,达到会计控制的目的。
3、建立严格的档案管理制度。(1)系统投入使用之后,原系统的所有程序文件、软、硬件技术资料应作为档案进行妥善的保管,并应由专人负责,同时严格限制无权用户、有权用户在非正常时间等对程序的不正常接触;在档案调用时也必须经系统主管和程序保管共同的批准,并对使用人、程序名称、调出时间、使用原因和目的以及归还时间等进行详细的登记和记录,以便日后核查。(2)所有会计数据文件应做档案保管并严格限制无权用户、有权用户非正常时间等的不正常接触;建立必要的应急措施,如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等,从管理上严格把关,以降低软件系统因素的风险。
(三)在会计操作人员上施加必要的控制措施
1、增加必要的限制功能。修改限制,修改功能可以方便用户,提高系统的实用性,但同时也增加了系统的不安全因素。因此,在账务处理中有必要对修改功能加以限制:(1)对未记账的凭证,一经修改,必须进行复核,只有正确之后系统才对修改结果予以确认;(2)对已经记账的凭证系统不提供直接修改账目的功能,只能通过编制记账凭证,对错误的凭证进行冲正或补充登记;(3)对修改过的凭证,系统予以标识,保留更改痕迹,并可以打印输出以作核查依据;(4)输出的财务报表,其数据由系统自动按照用户定义的格式和数据来源的公式生成、不提供对数据的修改功能;(5)基础数据,如:科目库、代码库等的修改权限只授予系统维护员。
2、处理数据的一次性限制。在账务处理中、期末结账,一旦执行,系统应予以标识,如果系统的某些设置(比如会计期间)未改变,则不能再执行第二次。
3、实行用户权限分级授权管理。实行用户权限分级授权管理,建立起网络化环境下会计信息系统的岗位责任制。按照网络化会计系统业务的需求设定各会计上机操作岗位,明确岗位职责和权限,并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施,使各个用户进入系统时必须输入自己的用户号和口令,进入系统之后也只能执行自己权限范围内的功能,防止非法操作。
4、建立预防病毒的安全措施。坚持使用正版的软件,不要使用盗版或者来历不明的软件;经常性的备份磁盘的数据和软件;在不能确定计算机是否带有病毒的情况下,要读取软盘的数据必须使软盘处于写保护状态;不要打开和阅读来历不明的电子邮件;经常对计算机硬盘和软盘进行病毒检测。
5、建立对黑客的防护措施。(1)设置防火墙,使用入侵检测软件。入侵检测软件可以检测出非法入侵的黑客,并将它拒之内部网络之外;(2)抓好网内主机的管理。用户名和密码管理永远是系统安全管理中最重要的环节之一,对网络的任何攻击,都不可能没有合法的用户名和密码组合(后台网络应用程序开后门例外)。但目前绝大部分系统管理员只注重对特权用户的管理,而往往忽视了对普通用户的管理。主要表现在设置用户时图省事方便,胡乱设置用户的权限、组别和文件权限,为非法用户窃取信息和破坏系统留下了空隙;(3)设置好的网络环境。网上访问的常用工具有网络操作命令,对它们的使用必须加以限制。但这样做会使网外的一切访问都被拒绝,即使是合法访问也不例外。这种闭关自守的做法不太值得提倡,因为这样会使本网和网外完全的隔绝开,也会给自己带来诸多的不便与麻烦。应该尽量做到有条件的限制,允许有效的、必要的网上访问;(4)加强对重要资料的保密。重要资料主要包括路由器、连接调制解调器的电脑号码以及所用的通信软件的种类、网内的用户名等,这些资料都应采取一些必要的保密措施,防止资料随意的扩散。比如,向电信部门申请通信专用的电话号码不刊登、不供查询等。由于公共的或普通邮电交换设备的介入,信息通过它们后可能被篡改或泄露;(5)加强对重要网络设备的管理。路由器在网络安全计划中是很重要的一环、现在大多数路由器已具备防火墙的一些功能,如禁止Internet的访问、禁止非法的网段访问等。通过网络路由器进行正确的存取过滤是限制外部访问简单而有效的手段。有条件的地方还可以设置网关机,将本网和其他网隔离,网关机上不存放任何业务数据,删除除系统正常运行所必需的用户外所有的无关用户,也能起到增强网络的安全性的作用。
四、结论
总之,会计信息系统的安全风险一直以来都是企业管理者、系统设计者以及系统用户所必须面临的问题。无论防范措施做得多么完善,也不可能做到没有漏洞,更何况随着信息技术的飞速发展,还会应运而生更多的安全问题,想做到万无一失是不可能的,总会有百密一疏的时候。但是,企业相关人员能做到的是要将会计信息系统的安全风险降到最低,尽量使可能出现的损失最小化,使企业的利益最大化。这样,只有科学p合理的运用会计信息系统,才能使企业取得长远的发展。
(作者单位:1.东北财经大学;2.大连财经学院)
主要参考文献:
[1]赵静.电算化会计信息系统的风险防范问题.财经界(学术版),2013.6.
[2]董滢.网络环境下中小企业会计信息系统存在的安全问题及防范对策.甘肃联合大学学报(社会科学版),2013.1.
[3]赵丽艳.浅谈会计信息系统的风险及防范措施.中国电子商务,2014.11.
版权所有:合作经济与科技杂志社 备案号:冀ICP备号
您是本站第 786856 位访客【图文】第六章
管理信息系统开发的风险分析与管理_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
评价文档:
管理信息系统开发的风险分析与管理
上传于||暂无简介
大小:313.00KB
登录百度文库,专享文档复制特权,财富值每天免费拿!
你可能喜欢股票/基金&
浅析商业银行信息系统研发的风险管理
陈典友 曹玉磊 孙玮
现状概述
随着商业业务的快速发展,信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时,也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的,导致信息系统出现安全性问题的风险。研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,旨在保障和提高新研发信息系统的安全性。
研发风险管理工作特点
商业银行信息系统所承载的业务服务和数据都很重要,一旦受到破坏将对商业银行及其客户的利益造成严重损害。因此商业银行对信息系统的安全性、稳定性要求很高。但随着业务的快速发展,商业银行信息系统的种类和数量也在快速增加。这些信息系统需要采用不同的语言、平台和架构来实现,其关联关系和技术复杂度越来越高。同时,随着IT技术的发展和互联网开放程度的加深,新的攻击手段不断出现,安全攻防技术不断演变,且有愈演愈烈之势。因此商业银行研发风险管理工作具有管理要求高,管理难度大的特点。
为加强对商业银行的风险管理,人民银行、等监管机构发布了一系列指引,其中包括了信息系统研发相关的合规性要求。这些要求也是监管机构进行检查的重点,如果未能在研发阶段落实,信息系统上线后仍需进行整改,将增加不必要的成本和变更风险。因此,研发风险管理工作不但应落实信息系统的安全性要求,还应将合规性要求纳入考虑范围之内。
研发风险的分类
《巴塞尔新资本协议》已将操作风险纳入资本监管,并将信息科技风险划归操作风险范畴。研发风险属于信息科技风险的组成部分,具体细分,又可以分为管理风险和技术风险。
管理类风险是指由于未做好研发风险管理相关工作,间接对信息系统安全性造成影响的风险,主要有合规性风险、管理环节缺失、管理力度不足等。合规性风险是指未落实监管部门关于研发风险的监管要求而形成的风险,例如未落实《银监会非现场监管报表》对“项目代码安全检查完成率”、“代码安全检查方法”的要求等。
技术类风险是指因各种技术原因引入的,影响信息系统安全性的风险,主要包括安全设计问题、代码漏洞。安全设计问题是指信息系统安全设计不到位,例如用户口令复杂度不足、敏感数据未加密存储等;代码漏洞是指由于开发人员疏忽或者编程语言的局限性,导致程序存在可以被黑客利用的逻辑错误,例如SQL注入、跨站脚本、缓冲区溢出等。
我国商业银行研发风险管理工作现状
我国商业银行虽然在规模、业务特性与管理模式上存在差异,但由于同处于我国经济大环境下,其信息系统研发风险管理工作面临相似的环境和挑战。目前我国银行的系统研发模式有自主研发、合作开发、外包和外购等几种。大型国有商业银行一般以自主研发为主,大中型股份制商业银行一般采用合作开发方式为主,大多数小型和地方性金融机构则主要采用外包或外购的方式。
随着我国商业银行信息化建设的不断深入,目前大多数商业银行都加强了信息科技风险管理,建立了包括组织、制度、技术等方面的信息科技风险管理体系,涵盖了基础架构、研发、测试、运维、外包、应急等各方面。在研发风险管理方面,采用了必要的管理和技术手段,加强了系统安全设计,在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不够,研发风险管理水平整体滞后于信息科技管理水平,因安全设计不充分所引发的安全事件或整改仍不时出现,危害着商业银行的安全。因此,我国商业银行信息系统研发风险管理水平还有待进一步提高。
存在的问题和不足
研发风险管理组织不完善、流程机制不健全。研发风险管理工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较为完善,但很少能够深入到研发风险管理环节,主要表现在缺少研发风险管理的统筹部门,缺少对研发风险管理进行决策的组织机构,项目组中缺少研发风险管理角色等方面。我国商业银行信息系统研发工作大多以项目的形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,对系统安全设计、实现的审核机制不健全,难以保证在研发阶段提高信息系统安全性。
研发风险管理依据多、信息系统安全设计不规范。当前商业银行的信息系统面临着多方面的监管要求,既有行内的,也有行外的;既有监管机构的,也有业界的;既有管理要求,也有技术要求。这些要求的来源不同,侧重点不同,粗细颗粒度不同,甚至有的相互冲突,给研发人员造成一定困扰,亟待统筹规范。现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中难以避免安全需求不完整,安全设计水平良莠不齐,安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。
安全技术不能重复利用、安全技术支持服务不足。商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。在现有模式下,各个项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,也不利于企业安全架构整合与管理。研发出安全的信息系统,必须以相应的技术手段作为支撑,但现有商业银行研发团队往往缺少这方面的支持和服务,影响了信息系统安全研发水平。
此外, 为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全工作人员的数量不足,开发人员的安全意识和安全技能不足等问题。
研发风险管理目标及主要依据
研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,主要目标是提升信息系统的安全性,避免安全事件发生,保证商业银行业务连续性。同时,也应关注信息系统合规性,避免系统上线后因各类检查发现问题而进行整改,减少不必要的变更。商业银行开展研发风险管理工作的最理想状态,是实现对所有信息系统研发风险的统筹管理和良性循环,实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接,做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。
为做好研发风险管理工作,有效提升信息系统的安全性、合规性,商业银行在信息系统研发过程中需遵从多方面的要求。这些要求一方面是对研发风险管理工作的指导和规范,另一方面也是开展研发风险管理工作的依据。从大的方面来说,我国关于商业银行信息安全、保密等方面的法规均属于研发风险管理依据范围,这些法律法规的层次较高,不适合指导具体工作开展。从执行角度来看,研发风险管理工作的依据主要有监管要求和信息安全标准,同时还应参考业界最佳实践。
监管要求。《巴塞尔新资本协议》将信息科技风险划归操作风险,而研发风险属于信息科技风险范畴。因此,当前我国商业银行遵从的信息科技风险监管要求,包括:《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《业信息科技“十二五”发展规划监管指导意见》等,通常涵盖研发风险管理相关内容,是开展研发风险管理工作的有力依据。人民银行、银监会等监管机构对商业银行开展的信息科技检查,以及商业银行接受的其他内外部科技审计、风险评估发现的问题,是从各个角度对现有监管要求的细化和解读,属于未来新建信息系统应规避的问题,也应纳入研发风险管理工作依据范围。
信息安全标准。信息系统安全问题是整个IT行业普遍关注的问题,经过业界多年探索和经验积累形成的信息安全标准,是商业银行开展信息系统研发风险管理工作的另一重要依据。目前国内外信息安全标准种类、数量较多,比较有代表性和有指导意义的包括:信息系统安全等级保护标准、ISO27001标准、CC标准、Cobit标准等。此外,我国国家密码管理部门、人民银行等部委针对各专业技术领域颁布的标准,例如《网上银行系统信息安全通用规范》、《联网联合安全规范》、国产加密算法标准等,可作为各专业领域信息系统研发风险管理的工作依据。
业界最佳实践。随着IT行业对信息系统安全问题的越来越重视,各大公司和机构纷纷进行了广泛而积极的探索,积累了许多最佳实践和解决方案,对商业银行信息系统研发风险管理工作具有一定的启发和借鉴意义。其中,微软的SDL方法关于全生命周期安全管理的理念,值得研发风险管理工作借鉴;OWASP的CLASP方法将安全融入现有项目开发流程的理念,与商业银行在现有条件下推动研发风险管理工作开展的需求相吻合;McGraw的TouchPoints方法在关键点切入安全管理的理念,对研发风险管理工作具有借鉴意义。
研发风险管理策略分析
构建研发风险管理体系、全生命周期防范研发风险。针对商业银行研发过程风险管理工作特点和现状,要想从根本上解决当前存在的问题,应统筹考虑,博采众长,从体系化的角度进行整体规划,构建符合商业银行自身实际情况的研发风险管理体系。在具体操作上,建议从组织、管理、技术三个方面入手。其中,组织方面应由专职部门牵头,设置项目安全员、安全专家等角色,分别履行评审、督导、执行等工作职责;管理方面做好管理制度、安全开发标准的制定维护,以及培训考核等整体推动工作;技术方面要采取多种手段,为项目组提供安全公共组件、安全技术平台、安全工具等技术支持和服务。信息系统安全问题是整个系统级的问题,包括物理、网络、系统、应用等很多方面。同时,安全问题也是一个连续不断地出现的问题,在信息系统研发生命周期的每一个阶段都有可能引入风险,无论是选择的工具、实现技术还是编码的质量。因此,研发风险防控工作应贯穿信息系统建设全生命周期,在信息系统研发过程中同步做好安全需求分析、安全设计、安全编码、安全测试、安全审核等工作,使研发风险管理活动与项目管理流程紧密结合,避免引入风险隐患。
做好关键阶段的安全审核、坚持定制化和个性化原则。商业银行信息系统种类多、数量多,从安全和合规的角度来看,每个信息系统均应落实研发风险管理要求,但商业银行的投入和能力毕竟有限,必须结合信息系统研发工作特点,准确把握工作重点。在信息系统研发生命周期中,需求分析阶段处于初始阶段,且与业务联系紧密,并为后续工作量估算、系统设计等工作奠定基础。做好需求分析阶段的安全评审,能够保证安全要求在后续工作中得到贯彻执行,具有特别的重要性。同时,在信息系统测试阶段,应对信息系统整体安全情况进行审核,以验证安全需求实现情况,及时修复发现的问题。通过一头一尾两个关键阶段的安全审核,有效保证新研发信息系统的安全性。
虽然研发风险管理工作的管理依据多,可参考标准多,但是现代商业银行发展迅速,信息科技发展也是日新月异,任何一个标准或指引均不能保证普遍适用,永不过时。商业银行在开展研发过程风险管理工作中,应准确把握和灵活运用各类工作依据和标准,坚持定制化和个性化原则,结合自身工作特点,制定符合自身实际情况的管理办法和技术标准。对于各类安全工具或服务,也应根据工作需要做出选择,并在实际工作中进行个性化改进,尤其是对安全工具的个性化配置维护,将成为研发风险管理工作的主要内容之一。
安全与效率兼顾、管理和技术相结合。商业银行的业务扩张和发展速度很快。为抢占市场先机,商业银行信息科技服务的变化速度也很快,且时效性要求很高。这就使得商业银行必须提高信息系统研发效率。研发风险管理工作属于提升信息系统安全性的强化工作,主要表现在增加信息系统的非功能性需求,增加研发工作量,因此可能会影响研发效率。商业银行在开展研发过程风险管理工作时,要紧紧围绕信息系统研发这个核心工作任务,坚持服务研发、防控风险的原则,妥善处理安全和效率之间的关系,找到安全和效率之间的最佳结合点,争取以最小的投入产生最大的安全效益。
研发风险管理工作的主要落脚点是加强信息系统研发全生命周期的风险管理,做好需求、设计、编码、测试等阶段风险管理工作,落实安全技术措施。因此,与传统的项目风险管理不同,研发风险管理不但重视风险管理,还重视安全技术设计和实现。这就要求在开展研发风险管理工作过程中,必须将管理和技术相结合,在提出研发风险管理要求的同时,必须为项目组提供安全技术支持和服务,指导和协助项目组解决技术难题,使研发风险管理要求得到切实贯彻执行。
持续优化改进。研发风险管理并非一成不变,随着商业银行业务方向,以及信息科技的发展变化,研发风险管理要求也在不断变化。要想保证研发风险管理工作的持续性和有效性,必须对研发风险管理体系进行持续优化改进。可以采用征求意见或召开专家会议的方式,定期梳理研发风险管理变更需求,进而确定体系优化改进的方向。对于管理类优化改进,需要通过修订研发风险管理制度和流程实现;对于安全技术发展变化,需要在安全设计、编码规范,以及安全技术支持服务中予以改进。通过持续改进优化,实现研发风险管理体系的与时俱进和良性循环。
(作者单位:中国)
10/18 08:2208/13 10:40
暂无专家推荐本文
同时转发到我的微博
将自动提交到和讯看点,
请输入您的观点并提交。
请输入您的观点 168字以内
同时转发到我的微博置顶我的观点
银行精品推荐
特色数据库:
精品栏目:
每日要闻推荐
社区精华推荐
精彩专题图鉴
【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
