随着经济全球一体化的加深,对金融风险的防范已经成为整个经济安全的核心。2005年是中国的金融风险年,可见政府对金融风险的重视。继信用风险和市场风险之后,操作风险日益成为国际金融业和金融监管机构关注的焦点。
金融业是个特殊的高风险行业,金融风险是一种未来的不确定性。那么如何有效地避免金融风险呢?BSI的专家在会上指出,避免风险就是要在全系统内建立透明化的管理机制。透明化的管理机制包括多样的管理体系,例如ISO9000质量管理体系、BS7799信息安全管理体系、BS15000IT服务管理、PAS56 BCM永续经营管理、CMSAS 86客户投诉管理体系、BSI Benchmark绩效标杆等。无论是经典和还是新兴的管理体系,虽然各自的侧重点不同,但是目标都只有一个,通过过程化、透明化和标准化的管理,从而将风险扼杀在萌芽阶段,达到永续经营的状态。
德勤企业风险管理服务副总经理万幼筠表示,传统的信息安全管理是被动的独立方案,而且关注的多是技术层面。技术手段确实可以保护信息安全,反过来问,有了技术手段,信息安全就一定能保障吗?其实,保障信息安全有三大支柱:技术、管理、法律法规。而一套标准的安全管理体系,如BS 7799认证体系则是主动式的,强调过程与方法,并从管理层面制定战略的规划。它可以让企业从整体上减少网络的弱点,提高企业的风险控管能力。整个信息安全管理体系中的安全漏洞、诈骗行为、财物风险与法律风险也会跟着减少,当然网络的连续运作时间与客户信心也会随之提高,为企业的永续经营创造重要的基础条件。
那么针对金融行业,信息安全管理也有其特别之处。它的信息安全风险源头可能来自内部、人员、系统或外部。万幼筠解释说,例如在内部,每日交易流程中数据输入错误、未经核准的存取等交易都会导致损失。而人员的故意或疏忽、软硬件的故障、通信中断、计算机安全入侵等同样也会为金融业带来巨大损失。BSI的专家表示,如果企业采用了安全管理标准,它在发展还会增加如下优势:提高安全规划效率,BS 7799 列举了分属于十项领域共127条控件项目及其控制项目,将引导企业如何处理突发事件等。这些针对信息安全而提出的全面性详细建议,可以使信息安全管理规划作到更完善、更符合经济效益。提高安全管理成效,所有企业都必须开始制定或重新检视其信息安全政策与程序。与企业一般的安全计划不同的是,BS 7799 已备被证实是信息安全的最佳实务准则法则。如果BS 7799确实没有在企业安全管理方面上有突出的表现,也就不会在众多的安全认证体系中表现的这么突出。
单纯的技术不能提供信息全面的安全保护,仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。信息安全就是保护信息免受来自各方面的威胁,是一个企业或机构持续经营策略和管理的重要环节。信息安全管理体制的建立和健全,目的就是降低信息风险的危害,并将其投资和利益最大化。
更多内容请看PCdog.com--Sniffer安全技术 路由安全配置专题
