審計信息安全管理范例6篇

前言：中文期刊網精心挑選了審計信息安全管理范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

審計信息安全管理范文1

【關鍵詞】計算機信息；安全管理；問題；對策

1 計算機信息安全的特點

計算機信息安全有五個標志：

第一，完整性。信息在傳輸、交換、存儲和編輯處理的過程中可以保持原樣，不會隨意為他人所破壞，這是計算機信息安全的最基本特征。

第二，保密性。信息的傳遞中不會隨意為第三方所截獲，信息一路暢通無阻的從傳送方發送到接收方。要想實現保密性，在信息的傳遞中就需要采取一定的措施，比方說：使用加密技術。

第三，可用性。在企業日常生活中，員工可以利用信息系統來獲取相關信息，當系統遭受破壞時，系統能夠在管理人員的維護中迅速恢復運行，盡量不影響企業生產經營活動的正常開展?？捎眯猿浞煮w現了計算機信息系統面向用戶的安全性能。

第四，不可否認性。在信息的交互過程中，參與者需要確保本人身份信息以及所提供的信息是真實的。

第五，可控性。對流通中的信息可以實現有效控制，比方說，信息的傳輸范圍和信息的存放位置可控。

企業在建設信息系統時，需要充分考慮到網絡環境下的計算機信息的安全性，盡量避免安全隱患，保證計算機信息安全。在信息系統的運行中要有專門人員進行管理，為企業發展提供安全可靠的計算機信息系統，促進企業的可持續健康發展。

2 計算機信息安全管理中存在的問題

計算機信息安全管理直接關系到企業的生死存亡，關系到信息系統積極作用的發揮。而網絡背景下計算機信息安全面臨較大的挑戰，因此要做好安全管理。那么，目前的計算機信息安全管理又存在哪些方面的問題呢？

2.1 忽視信息系統安全管理

許多企業重視信息系統的安全建設，也就是在建設信息系統的過程中努力減少安全隱患，提高信息系統的安全性能。但是，在信息系統運行之后，企業卻忽視了安全管理。而社會是不斷發展的，信息系統的安全性能也在不斷降低，于是出現了越來越多的安全隱患，不做好安全管理就會導致計算機信息安全得不到保證，不利于企業經濟建設。

2.2 管理人員素質有待提高

很多企業的管理人員都只是進行一般的技術維護工作，沒有對系統進行軟件開發和改進。而社會的不斷發展使得信息系統的管理任務越來越重，這樣就需要管理人員不斷提高自身素質，不斷解決計算機信息安全管理中出現的新問題，保證信息安全。

2.3 缺乏定期審計

信息安全管理需要有專業的專項審計才能發現其技術問題。許多企業并沒有審計部門，或是沒有高素質的專業審計人員來對計算機信息安全管理開展審計工作，因而計算機信息安全管理還存在很大缺陷。

2.4 信息安全管理缺乏針對性

計算機安全管理的基礎是風險評估，運用科學的方法和手段來系統分析計算機信息所面臨的風險以及信息系統的脆弱性，進而形成與之相適應的安全管理方法制度，提出有針對性的安全管理措施，有效防范風險。但是，我國計算機信息安全管理中很多都沒有開展風險評估，甚至有的企業直接借用了他人安全管理的方法，沒有根據自身的特點來開展針對性風險防御，所以計算機信息安全管理的效果不佳。而且風險評估還需要定期進行，比如說：每隔三個月開展一次系統的風險評估，從而調整安全管理措施。

3 計算機信息安全管理的對策

計算機信息安全直接關系到企業的健康發展，關系到企業內部信息交流溝通的順暢，因而企業要提高思想認識，注重信息安全管理。具體來說，可以從以下幾個方面來開展安全管理：

3.1 提高管理人員的素質

安全管理中需要管理人員有比較高的計算機技術，能及時修正信息系統出現的問題，能進行軟件開發，不斷促進信息系統的進步，提高信息系統的安全性能。因此，企業要對管理人員進行定期培訓再教育，促進管理人員學習最新技術知識，提高他們的技能水平，從而更好的開展信息系統的安全管理工作。與此同時，企業還要利用企業文化來促進企業內部形成學習型組織，促進每個員工都能自主提高素質，不斷提高工作效率，促進企業競爭力的提高。

3.2 注重操作人員技能水平的提高

據調查，在信息安全事故中，有20%～30%的事故是由于黑客入侵或網絡病毒等外在因素引起的；有70%～80%是人為操作失誤或主觀泄露造成的。因此，計算機信息安全管理中要注重對人的管理，首先要提高操作人員的思想認識水平。其次要提高操作人員的技能水平，盡量減少操作失誤帶來的信息安全事故，保證信息安全。

3.3 落實檢查責任，開展定期審計

在計算機信息安全管理中，將責任分割落實到每個員工身上，建立完善的責任制度，將責任制度與業績考核制度有機結合起來，促使每一個工作人員都能在規章制度要求下開展安全管理工作，促進安全管理水平的提高。同時，定期審計也是安全管理中不可或缺的一部分，企業要聘請專業審計人員來壯大計算機信息安全管理隊伍，及時發現安全管理的問題并解決。

3.4 動態式的計算機信息安全管理

企業在發展，社會在進步，信息也在時時更新。因此，信息安全管理就應該依據企業信息的特點來開展動態式的安全管理。隨著科學技術的發展，不斷對原有的安全管理方法進行改進，提高信息系統的安全性能。

4 結束語

信息安全管理除了要做好前面幾項任務外，還需要在安全管理制度、安全管理保障體系、系統安全、網絡安全、協議安全等方面不斷創新，不斷進行軟件開發，促進安全管理水平的提高，真正做到多措并舉、不留絲毫安全隱患。

參考文獻：

[1]鄧娟.計算機信息安全問題研究[J].科技資訊，2009（8）.

[2]寇書華，何國偉.計算機信息安全管理探究[J].計算機安全，2013（3）.

[3]韓明.計算機信息安全管理建設淺議[J].中小企業管理與科技，2012（21）.

審計信息安全管理范文2

【關鍵詞】銀行;信息安全;管理體系

從上世紀八十年代至今，信息技術因其獨特的優勢在銀行業的地位發生了巨大的變化。在銀行業應用信息技術之初，只是被作為提高銀行工作效率的手段，隨著信息技術的不斷發展與進步，當前其已經成為銀行系統中不可或缺的工具?？梢哉f信息技術的發展促進了銀行管理模式的變化，并且直接影響到銀行的業務流程[1]。由于銀行對信息技術的依賴程度越來越高，銀行信息系統的運行安全與銀行業的安全以及國家金融穩定密切相關，因此做好銀行信息安全管理是保障國家金融穩定運行的重要措施。目前我國銀行的信息技術水平與規模得到了不斷提高，但在信息安全管理方面存在一些不足，這就需要構建銀行信息安全管理體系，對銀行的各項信息進行全面的管理，有效避免風險的發生。

1.銀行信息安全管理中出現的問題

各種信息技術設備在銀行業的廣泛應用，雖然有效提升了銀行的工作效率與服務質量，但是也逐漸暴露出各種信息安全管理問題，主要表現在以下幾個方面。

1.1 信息安全管理體系不健全

我國很多銀行在安全管理方面存在各種問題，其中最為普遍的就是信息安全管理體系不健全。這些銀行的起步較晚，信息技術的應用范圍相對狹窄，在風險評估與等級保護等方面有待完善，并且信息安全的實施策略、標準以及質量控制等還沒有達到國際標準。同時部分銀行制定的信息安全策略不夠完善，尤其表現在信息資產的管理以及業務管理等方面，極大增加了信息系統的安全隱患，而一些銀行的信息安全管理工作流于形式，根本沒有建立全面而長效的信息安全管理機制。

1.2 運維監控與預警系統存在問題

我國的一些銀行還沒有建立有效的運維監控與預警系統，或者在銀行的硬件設施與業務系統方面存在一些缺陷，無法對銀行的重要設備以及周圍的環境進行實時監測。部分銀行在風險預警監控方面的自動化程度有待提高，而在對突發事件、意外事件等進行預警與監測時人工檢測占據了大部分比例，這樣就很難保障銀行風險預警監控的可靠性與及時性。

1.3 銀行工作人員導致的風險

當前很多銀行的管理人員并沒有加強對員工安全意識的定期強制性培訓，員工普遍缺乏安全意識，在工作過程中不能很好地保障銀行的信息安全，在出現問題后也無法及時發現，這就導致銀行潛在的風險增加。一些銀行員工由于缺乏安全意識，可能會將私人的優盤等設備接入銀行的信息系統中，導致病毒入侵，直接威脅到銀行的信息安全。同時目前銀行還普遍缺乏風險管理專業人才，無法做到對風險的專業化管理[2]。

1.4 信息技術的監控與審計不完善

當前部分銀行在信息技術的監控與設計方面有待加強。首先審計問題的整改落實不到位，銀行在通過審計發現問題后沒有及時查處，或者查處的力度不夠，缺乏長效的監督;大多采用經濟處罰，遇到侵犯領導利益的事件就大事化了或隱瞞事實。其次，銀行審計的廣度、深度還不夠，并且審核的周期與間隔較長，部分基層銀行甚至完全不開展信息技術審計工作。一些銀行雖然開展了審計工作，但審計缺乏深度，很難識別深層次的安全隱患[3]。

2.加強銀行信息安全管理的重要性

銀行加強信息安全的主要目的就是為了保障信息化的持續穩定發展，信息安全不僅屬于技術問題，也屬于管理問題。從信息技術層面來看，當前我們使用的很多操作系統存在一定的安全漏洞，開發商會針對發現的漏洞設計相應的補丁程序，這就需要定期更新系統。例如，運用主機熱備份以及災難備份的方式，可以有效保障信息的安全運行。同時一些軟件開放人員在編程設計過程中留有“后門”，如果這些“后門”被不法分子知道，就會將該部分作為攻擊目標，進而影響到信息系統的安全。當前大部分的黑客攻擊等都是由于系統“漏洞”引起的，因此銀行在應用軟件過程中應該盡量避免留有“漏洞”。

此外，隨著我國信息化技術的不斷發展，信息系統的安全管理也被納入國家的重點項目中。與世界上的部分發達國家相比，我國的信息安全管理工作起步較晚，但是發展較快，并且對系統風險認識的不斷深化促進了信息安全管理的發展。對于銀行而言，信息安全是至關重要的問題，這是因為任何一個環節出現問題，都會對整個系統的發展帶來影響，甚至導致全局性的失誤。例如，銀行傳統的信貸、柜臺等業務已經有多年的信息安全管理經驗，而信用卡作為一種新型的業務，它連接了多個方面的利益關系，其中涉及到發卡行、特約商戶以及持卡人之間的關系，因此信息安全就成為重中之重。在銀行開展各項業務過程中，信息和數據是基礎[4]。此外，從客戶的角度來看，銀行在給客戶提供服務時，必須保障提供信息的準確性、可靠性與安全性。由此可見，銀行加強信息安全管理是十分必要的。

3.構建銀行信息安全管理體系的思考

二十一世紀屬于信息網絡時代，我們生活中的大部分工作與事物都會用到信息技術，而在應用信息技術過程中也伴隨著一些信息安全問題。根據銀行安全管理中出現的問題，并結合銀行業的未來發展規劃，我們應該構建一個健全、高效的銀行信息安全管理體系。

3.1 建設信息安全管理技術體系

在整個銀行信息安全管理體系建設中，先進的技術是其中最為重要的部分，運用先進的信息技術能夠有效避免出現安全事件。我們使用較多的信息技術有身份識別、系統防火墻、防病毒技術等，同時也可以使用漏洞掃描、邊界防護等技術，通過多種安全防護技術來加強信息安全管理。

在使用防火墻技術時通常是將其設置在網絡的邊界上，以此對外界進行隔離，對信息安全管理系統進行安全強化[5]。病毒是信息網絡中最為常見的安全問題，如果出現網絡病毒將給銀行帶來巨大的經濟損失，這個時候我們就需要對重要文件進行實時備份，并且及時更新病毒數據庫。此外，在信息安全管理系統中充分應用身份識別技術，即用戶在登陸系統提交信息后，系統將嚴格識別操作者的身份，必要時會控制操作者的操作活動。

3.2 建設信息安全管理體系

所謂“三分技術七分管理”，銀行信息安全管理體系中的管理體系起到控制各種活動的作用。首先設置文檔化的管理體系，它包括制度建設與人員管理兩個部分。從銀行的制度、政策、操作流程等多個方面進行監督，對各個角色在信息系統中的活動進行監控。在信息安全管理系統中制定科學完備的管理制度，可以為信息安全提供基本保障，各大銀行都應該積極制定并完善自身的信息安全管理制度，如制定并按時更新《信息安全管理辦法》等，切實保障信息系統的安全運行。

信息安全管理系統的重要職責就是對操作人員進行管理，在人才選拔過程中應該嚴格按照銀行的聘用制度操作，不能單靠關系。在用人方面應該對員工的行為進行嚴格監督，加強員工的安全意識培訓，避免由于員工的疏忽、私欲等導致銀行信息系統被破壞。同時建立科學合理的銀行人事任用制度，保證內部員工能夠按照相關規范完成信息系統的管理工作，并及時讓技術人員掌握最新的技術。通過建設信息安全管理體系，讓銀行運行過程中的各項程序、日常維護、監控等操作符合規范，以此保障信息系統的穩定可靠運行。

為了提高銀行信息系統的安全性，管理人員也需要對已經識別的安全信息進行正確應用，定期檢測系統中的安全事件并及時解決，實時監視信息安全管理系統的運行情況，查看技術以及管理方面的控制措施是否合理。對信息系統的監控是一個長期的過程，監控的過程應該密切聯系信息系統的周期，監控程序應該能夠對與安全相關的結果進行改進，以提高信息系統的安全性。通過信息安全管理系統的構建，讓銀行業務數據的完整性、準確性與真實性得以保障;讓信息系統、網絡系統以及其它應用系統的安全性得以保障;讓與信息系統相關的設備、環境與存儲介質的安全性得以保障。

4.結語

銀行在應用先進信息技術提高銀行工作效率并方便大眾的同時，也應該加強對信息安全的管理，從技術和管理層面構建完善、高效的信息安全管理體系，避免重要信息的泄露，以此有效降低安全事故的發生率，營造良好安全的銀行服務環境。

參考文獻

[1]趙小東.數據集中模式下銀行業信息系統災備體系的研究與應用[D].山西財經大學，2011.

[2]王陽.基于IS027001的風險評估系統的設計與實現[D].大連理工大學，2010.

[3]王令朝.創建鐵路信息安全管理及其標準體系的探討[J].鐵道技術監督，2010，38（07）.

[4]石磊.金融業信息安全風險評估存在的問題及對策[J].中國金融電腦，2011，10（02）.

審計信息安全管理范文3

對于進一步提高信息安全的保障能力和防護水平來說，實行信息安全等級保護無疑是一種好的方法，因為它能充分調動國家、法人和其他組織及公民的積極性，增強安全保護的整體性、針對性和實效性，使信息系統安全建設重點更加突出、規范，更加統一。

但是，電子政務重在政務，由于政務部門的職能不同，信息系統的結構、功能和安全要求也不盡相同，信息安全等級保護工作的側重點也不同。然而從總體上來說，都需要做好以下幾點：

落實好“四個把握”

把握等級保護的建設進程。按照等級保護程序規定，做好定級、備案、整改、評測與監管工作。

把握等級劃分的合理性和準確性。要認真分析電子政務系統在國家安全、經濟建設、社會生活中的重要性程度，即電子政務系統遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，合理準確地確定系統安全等級。具體來說，安全等級的確定要根據信息系統的綜合價值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統的經濟價值、社會價值以及信息服務的服務范圍和連續性。

把握好不同等級的基本安全要求?；疽笫轻槍Σ煌踩Ｗo等級信息系統，應該具有的基本安全保護能力提出的安全要求。例如：第三級信息系統要具有抵御來自外部組織的惡意攻擊能力和防內部人員攻擊能力，不僅要對安全事件有審計記錄，還要能追蹤與響應處理，要實現多重保護制度。

把握好基本技術要求和基本管理要求?；炯夹g要求包括物理安全、網絡安全、主機安全、應用安全與數據安全等方面?；竟芾硪笫峭ㄟ^控制信息系統中各種角色參與的活動，包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面，從政策、制度、規范、流程以及記錄等方面做出規定。對于電子政務系統要特別關注基礎設施監控與管理、網絡安全監控與管理、業務應用系統的監控與管理、應急響應與備份恢復管理。

引入風險評估機制

信息安全等級保護必須樹立風險管理的思想，而風險評估是風險管理的基礎，因此，三級以上電子政務系統必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統定級、安全實施和安全運維三個階段：

系統定級。由于不同的電子政務系統具有自身的行業和業務特點，且所受到的安全威脅均有所不同。因此，可以依據信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、系統自身脆弱性的嚴重程度進行識別和關聯分析，判斷信息系統應采取什么強度的安全措施，然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內。即將風險評估的結果作為確定信息系統安全措施的保護級別的一個參考依據。

安全實施。安全實施是根據信息安全等級保護國家標準的要求，從管理與技術兩個方面選擇不同強度的安全措施，來確保建設的安全措施滿足相應的等級要求。風險評估在安全實施階段就可以直接發揮作用，那就是對現有電子政務系統進行評估和加固，然后再進行安全設備部署等。在安全實施過程中也會發生安全事件并可能帶來長期的安全隱患，如安全集成過程中設置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題，風險評估能夠及早發現并解決這些問題。

安全運維。安全運維是指按照系統等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面：一是維護現有安全措施等級的有效性。二是根據客觀情況的變化以及系統內部建設的實際需要，對等級進行定期調整，以防止過度保護或保護不足。在安全運維的過程中，通過信息安全風險評估工作可以對已有信息系統的安全等級保護情況進行評估，依據已確定等級的相關保護要求，對系統的保護效果、潛在風險進行評價，評估是否達到等級保護的要求；當信息系統或外部環境發生變更時，可以通過風險評估工作了解和確定風險的變更，為再次定級和等級保護措施的調整提供依據。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級保護工作的必要條件。當前很多政務部門的信息安全工作均有信息化部門兼任，沒有足夠的權威性。等級保護工作的開展，要求在組織內部建立信息系統安全方面的最高權力組織，并有明確的安全目標，目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內容：

要遵循分權制衡原則。制度的建立、制度的執行、執行情況的檢查與監督要分開考慮。在目前的等級保護測評工作中，時常發現有系統管理員、網絡管理員、安全員與審計員兼任的情況，甚至一人包攬所有的信息系統運維工作。但從等級保護的基本要求來看，依據分權制衡的原則，建議在電子政務系統中，系統管理員與審計員不得兼任，審計員不能從事所有日常信息的維護與管理工作，系統管理員不能從事審計日志的查看與處理工作。

要堅持從上而下的垂直管理原則。上一級機關信息系統的安全管理組織指導下一級機關信息系統的安全管理組織的工作，下一級機關信息系統的安全管理組織接受并執行上一級機關信息系統的安全管理組織的安全策略。

應常設信息系統安全管理組織辦公機構，負責信息安全的日常事務工作。信息系統安全管理組織應由系統管理、系統分析、軟硬件維護、安全保衛、系統稽核、人事與通信等有關方面的人員組成。

信息安全管理組織部門不能隸屬于技術部門或運行部門，各級信息系統的安全組織不能隸屬于同級信息系統管理和業務機構。信息安全管理組織部門只有不隸屬于技術或運維部門，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動應急預案。

審計信息安全管理范文4

關鍵詞：審計視角　信息安全意識

1　發現的問題主要表現形式及成因分析

1.1　發現的問題主要表現形式

筆者曾參加對某一級分行的辦公設備審計檢查，現場隨機抽取多個部門的辦公電腦進行設備安全管理、用戶安全管理及通訊安全管理等三個方面的檢查，結果發現沒有一臺電腦在對上述安全管理的執行方面完全到位，不合規現象較普遍存在。

如電腦上未裝防病毒軟件或病毒庫更新不及時，下載并安裝了不安全軟件或與工作無關的非授權軟件，未設置用戶登錄密碼、開機密碼、屏保密碼或密碼為“111111”、“888888”等簡單數字、密碼長時間未更改過，來賓賬戶未設置禁用，擅自通過撥號（有線/無線）、ADSL等方式直接接入和訪問互聯網以及登陸不安全網站等，同時還關注到部分電腦非工作時間不關機、員工間互相借辦公電腦使用、存有重要數據的移動、設備隨意亂放等現象。

1.2　成因分析

上述普遍存在的不合規現象，究其原因，固然有員工對信息安全風險不識別、制度執行不到位及檢查監督不力、責任追究不深入等方面的因素，但是更深層次的原因還是員工信息安全意識淡薄，對信息安全風險認識不足所造成。如設置用戶開機密碼，本是一個簡單的合規操作問題，無任何復雜度可言，但是就是不執行、做不好，為什么？這恐怕就是員工的信息安全意識上的問題。

2　員工的信息安全意識薄弱的原因分析

造成員工的信息安全意識薄弱的原因是多方面的。一是信息安全價值未具體顯現。因為信息安全價值不能有效量化并分解到每一位員工，并且與員工自己的具體工作相比，信息安全不能對他們的工作成果產生直接影響，因此，在具體工作過程中，很多員工經常把信息安全管理放在次要位置，一切均為方便完成具體工作讓路。二是員工對負面影響的感受效果不明顯。盡管存在客戶資料泄密、機構主機癱瘓，黑客入侵等負面報道，但是真實事件發生在某一員工身上的很少，或者就算由于病毒入侵使該員工電腦癱瘓，但只要主要資料有備份，剩下的完全交給信息技術部門處理，因此，員工感同不深。三是信息安全傳導不到位，思想上認識不足。由于缺乏持續深入的信息安全傳導或者傳導方式、形式不夠靈活，不容易感受和接受，使員工對信息安全的認識處于較模糊的狀態，甚至認為這是領導和信息技術部門的事情，主動信息安全的風險意識不高。四是責任追究不深入，違規成本低。除了出現大的責任事故，否則對員工信息安全方面存在的問題一般處罰較輕或者不處罰。如，用戶密碼為“111111”太簡單，不合規，審計指出后，立即改正，過后又改回來。理由很充分，復雜的密碼不容易記住，又不能記在筆記本上，所以還是簡單的可靠，同時這個問題又不影響日常工作，其領導往往也不會深究，違規成本為零，也間接造成員工思想上的忽視。

3　員工具備信息安全意識的重要性

目前信息技術已經滲透到商業銀行業務的各個層面，信息也逐漸成為各商業銀行的重要資產，其安全管理也引起了金融業高管層的高度重視。為此，各商業銀行紛紛出臺政策、制度等建立健全信息安全管理體系，強化信息資產保護。而銀行員工作為政策、制度及流程的具體執行者，其執行力的高低直接決定了信息資產安全管理的強弱，而其思想上對信息資產安全的重視程度更是成為執行制度規定是否到位的關鍵因素，因此，員工信息安全意識的強弱在信息資產安全管理方面起著至關重要的作用，值得管理層關注。

4　提高員工信息安全意識的建議

4.1　加強信息安全文化建設，提高員工的認同感

一個企業需要一個文化，以提高企業員工的凝聚力，同樣，要提高員工信息安全意識也離不開其文化建設，通過強化信息安全文化建設，將信息安全文化根植于每一個員工的腦海中，以提高其認同感和責任感。

4.2　強化信息安全知識的教育和培訓，提高員工安全防范技能

靈活教育和培訓的角度、方式和形式，強化教育和培訓的全面性、針對性。如利用各種媒體在公司內部宣傳安全問題（定期刊物、公司主頁、錄像錄音、在線培訓）等，同時，為達到較高的教育和培訓效果，可以在培訓過程中插入案例，提高員工的感受度，以便更好地理解和接受。

4.3　強化書面安全策略的推行，提高員工的重視程度

如與員工簽訂遵守銀行安全政策與程序的協議、簽訂保密協議等，讓員工感受到信息安全就在身邊，“從我做起，從現在做起”，以促使員工在思想上引起重視。

審計信息安全管理范文5

【關鍵詞】 煙草 信息安全 體系 建設

隨著煙草行業的不斷發展，企業對信息化建設的要求越來越高。目前，煙草行業，尤其是以地市級煙草企業為代表的卷煙銷售終端企業，在信息安全建設上給予的重視越來越高，資金的投入也越來越大，地市級煙草企業信息安全工作有了保障。

1 信息安全體系規劃原則

根據國家和行業信息安全相關政策和標準，安全體系規劃與設計工作遵循以下的建設原則：

（1）重點保護原則。針對核心的服務支撐平臺，應采取足夠強度的安全防護措施，確保核心業務不間斷運行。

（2）靈活性原則。因信息技術日新月異的發展，而相應的安全標準滯后，應靈活設計相應的防護措施。

（3）責任制原則。安全管理應做到“誰主管，誰負責”，注重安全規章制度、應急響應的落實執行。

（4）實用性原則。以確保信息系統性能和安全為前提，充分利用資源，保障安全運行。

2 信息安全體系管理范圍

以地市級煙草企業中心機房核心網絡和系統為主，覆蓋市局（公司）、各縣級局（營銷部）、基層專賣管理所等，安全體系包括范圍：應用安全、網絡安全、主機安全、數據安全、終端安全等。

3 信息安全體系規劃框架

按照等級化保護“積極防御、綜合防范”的方針，地市級煙草企業信息化建設需要進行整體安全體系規劃設計，全面提高信息安全防護能力。

在綜合評估信息化安全現狀的基礎上，從管理和技術來進行信息安全管理工作。信息安全體系建設思路是：以保護信息系統為核心，嚴格參考等級保護的思路和標準，滿足地市級煙草企業信息系統在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求，為各項業務的開展提供有力保障。信息安全體系框架如圖1所示：

4 信息安全管理體系建設

從實際情況出發，體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。

4.1 組織機構

由決策機構、管理機構、和執行機構三個層面組成信息安全組織機構，并通過合理的組織結構設置、人員配備和工作職責劃分，對信息安全工作實行全方位管理。

4.2 安全制度

信息安全規章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統管理制度、機房管理制度、網絡管理制度等。

4.3 人員安全

通過管理控制手段，確保單位內部人員以及第三方人員的安全意識，包括人員的崗前安全技能培訓、保密協議的簽訂等幾個方面。

4.4 安全教育培訓

通過有計劃培訓和教育手段，確保工作人員充分認識信息安全的重要性，具備符合要求的安全意識、知識和技能，提高其進行信息安全防護的主動性、自覺性和能力。

5 信息安全技術體系建設

按照等級保護方法，對信息系統進行安全區域的劃分，并根據保護強度來采用相應的安全技術，實行分區域、分級管理?；A性保護措施實現后，建立地市級煙草企業的信息安全管理平臺，對地市級煙草企業整體信息系統的統一安全管理。

5.1 劃分安全區域

根據信息化資產屬性，可劃分為服務器區域、終端區域。目前，各業務域的服務器直接連接至核心交換機，無法對各個服務器區之間劃分明確邊界，在服務器區和核心交換機之間增加匯聚交換機，服務器經過匯聚交換機的匯聚再上聯至核心交換機。對局域網按照業務功能區建立不同的VLAN，分別賦予相應級別的服務訪問權限和安全防護措施。安全域網絡拓撲如圖2示：

一級安全域包括范圍：地市級煙草企業辦公區域、縣公司辦公區域、移動訪問用戶區域。部署上網行為管理、殺毒軟件等防護措施。二級安全域包括對象：業務與管理服務器區域、網站服務器區域、公共平臺服務器區（防病毒服務器、網管服務器）等。部署操作系統加固、身份認證、漏洞掃描、文件數據加密以及安全審計等措施。三級安全域包括數據服務器區域、存儲備份區域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份，加載廣域網路由QOS策略，采用數據庫高強度口令訪問等措施。

5.2 保護計算環境

“云計算”和虛擬化技術的發展，打破了傳統意義上按物理位置劃分的計算環境。依照不同的保護等級，分別進行加強用戶身份鑒別、標記和強制訪問控制、系統安全審計、用戶數據完整性保護、保密性保護、系統安全監測等措施。

5.3 區域邊界保護

邊界保護是一組功能的集合，包括邊界的訪問控制、包過濾、入侵監測、惡意代碼防護以及區域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現保護。

5.4 通信網絡防護

信息系統的互聯互通是建立在安全暢通的通信網絡基礎之上。通訊網絡的構成主要包括網絡傳輸設備、軟件和通信介質。保護通信網絡的安全措施有：網絡安全監控、網絡審計、網絡冗余或備份以及可靠網絡設備接入。一是利用入侵防護系統以及UTM在關鍵的計算環境邊界，進行安全監控，防止非法的訪問；二是對骨干網中的防火墻設備進行配置，制定安全訪問控制策略，設置授信的訪問區域；啟用安全審計功能，對經過防火墻訪問關鍵的IP、系統或數據進行記錄、監控；通過網閘技術，對不同網絡進行物理隔離。通過VLAN技術對內部網絡進行邏輯隔離。

5.5 數據安全防護

建立數據安全備份和恢復機制，部署數據備份和恢復系統，制定相應的數據備份與恢復策略，完成對數據的自動備份，并建立數據恢復機制。建立異地數據級災備中心，在系統出現災難事故時，能夠恢復數據使系統應用正常運行。

5.6 信息安全平臺

審計信息安全管理范文6

關鍵詞：商業銀行；電子商務；風險管理

商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等，而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來，我國面臨的網絡仿冒威脅正在逐漸加大，仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件，超過2004年全年案件數，商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現階段的特點

信息安全管理的策略大體遵循事件驅動(技術和管理脫節)－逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段，由事件驅動，沒有形成規范的管理流程。在此階段的前期，只重視技術手段。后期開始重視管理手段，但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度，但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略，內容也包括了技術手段、安全管理制度、人員安全教育等等，基本上形成體系，技術和管理手段綜合統一，但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發展到一個比較高的層次，安全管理策略也演進到安全風險管理階段。主要特點如下：

1.安全風險管理成為主流趨勢；在安全管理策略的演進過程中，技術和管理手段綜合統

一、又融入了風險管理的分析、防范策略，從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結為風險管理問題，風險管理方法是建立良性的安全技術和管理體系的依據和基礎。

2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理，制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》，對國內企業的電子商務安全風險管理給出了指導意見。

3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險，在相當程度上取決于采用的信息技術的先進程度，系統的設計開發水平，以及相關設施設備及其供應商的選擇等；銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣，監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此，大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術風險的管理和監管。

4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作，從經濟學的角度出發分析風險，充分衡量保持安全的代價和收益之間的關系，尋求用最小的代價實現最大的效用，在風險分析中也形成一套較為成熟的模式。

二、我國商業銀行電子商務安全風險管理策略的薄弱點

(一)系統管理思想缺乏

目前的電子商務安全風險管理策略，在全局上缺乏系統論理論的指導，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞，無法形成一張全面有序的安全網絡。

實踐中被采用的安全風險管理策略，以及作為指導意見的規則規范，如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB／T18336．1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》，盡管提出了比較全面的安全風險管理方案，層次上也比較清晰，但是還不足以作為一個風險防范系統。實踐中，電子商務組織是一個復雜的系統組織，電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟，定量分析不足

電子商務模式自身的發展歷史也不過20幾年，在風險分析的定量技術上并不成熟；如BS7799中推薦的電子商務安全風險管理中實施風險評估時，往往將威脅發生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質上是將一些按照概率發生的事件定義為不連續的幾個級別，在操作上易行，但造成了度量的不精確。在進行監控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統風險管理策略的結合

本質上，電子商務的安全風險無非是新興的商業模式對傳統的風險的改變，以及產生的在傳統風險控制領域暫時無法明晰的新風險；現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題，站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次；忽略了風險的整體性，只進行偏信息和技術的研究，導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言，傳統金融業務的風險控制與電子商務的技術風險控制，兩個方面存在脫節，同樣屬于商業銀行的風險，存在著不同的管理策略，導致多頭管理、資源浪費、機構之間的扯皮，乃至缺位管理。

(四)風險管理策略無法

依賴外部的信息安全管理行業

在發達國家，信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規，風險評估工作得到了一定重視，但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。

(五)風險管理策略中商業銀行的內部風險控制能力薄弱

我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安全風險管理中的監控與審計環節。

三、商業銀行的電子商務安全風險管理策略的改進建議

(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架

利用系統理論作為總體的指導思想，將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。

在商業銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內，然后進行監控和審計；尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環，安全風險管理的有效性就上一個臺階，商業銀行的安全管理水平變得到了提高。

(二)電子商務安全風險管理中定量分析中的改進思路

商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中，商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定，商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系數；在度量損失的分布時，主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來，利用現有的度量方法進行精確的風險定量分析的嘗試。新晨

(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇

將商業銀行所面臨的全部風險放在一個框架中考慮。傳統風險管理以及電子商務安全風險管理都是風險管理系統中子系統，二者相互聯系、相互影響，不可分割。嘗試借鑒信用風險與操作風險度量的方法與思想，短期內將其與信用風險控制銜接，最終形成一個全面的商業銀行安全風險管理框架。