商業(yè)銀行信息安全風險管理

蘭州大學碩士學位論文A市商業(yè)銀行信息安全風險管理體系研究姓名：匡景煒申請學位級別：碩士專業(yè)：工商管理·金融企業(yè)管理指導教師：田中禾20090401MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安令風險管理體系研究中文摘要金融是現代經濟運行的核心，商業(yè)銀行是我國金融行業(yè)最為重要的組成部分。從上世紀90年代起，信息技術逐步在我國商業(yè)銀行發(fā)揮作用，尤其在21世紀以來，商業(yè)銀行對信息系統(tǒng)的依賴性越來越強，但信息系統(tǒng)的復雜性和開放性卻成為了信息安全風險管理的困難所在。隨著我國加入WTO，銀行業(yè)國際化程度越來越高，技術領先、管理觀念和手段先進的外資銀行對我國國內商業(yè)銀行形成了進一步的挑戰(zhàn)，而國內商業(yè)銀行公司治理和IT治理機制尚不完善，信息安全風險管理體系很不健全，由此帶來的信息安全風險十分突出。因此，開展商業(yè)銀行信息安全風險管理體系研究是一件既有必要又很重要的事情。我國國內商業(yè)銀行經營同質性較高，信息安全風險管理體系通用性較強。因此，本文著重分析了A市商業(yè)銀行信息安全風險管理體系的現狀、存在的問題和問題帶來的危害以及問題成因，在借鑒國內外信息安全風險管理相關理論和要求的基礎上，指出了完善商業(yè)銀行信息安全風險管理體系的關鍵點，并就商業(yè)銀行管理的行業(yè)特性提出了IT治理的決策、執(zhí)行和監(jiān)督三權分立的組織架構和管理模式，明確定義了信息安全風險管理的執(zhí)行架構；在綜合現有商業(yè)銀行信息安全風險管理體系的基礎上進一步明確了信息安全風險管理的方針、策略和操作規(guī)程，以關乎商業(yè)銀行信息安全風險管理最為重要的內控管理為核心，指出了信息系統(tǒng)哪些地方需要進行關鍵的流程控制和風險點控制和相應需采取的控制方法和具體措施；對管理和操作過程中如何識別信息安全所面臨的威脅、系統(tǒng)存在的漏洞、風險管理控制的方法和JxL險防范的措施進行了歸納；為確保業(yè)務連續(xù)性明確了相關前提和要求并提出建設相應的應急機制；最后對體系實施的反饋和修正提出了建議。結尾部分對本次研究的過程以及研究中存在的不足和難點進行了總結，給未來在進一步完善商業(yè)銀行信息安全風險管理體系中解決這些不足和難點提出了一些嘗試性的思路。關鍵詞：商業(yè)銀行，IT治理，信息安全風險管理體系些蘭垡笙蘭．作者：匡景煒 A市商業(yè)銀行信息安令風險管理體系研究———————————————————————————————————————————一一一一：一．=：：：：=：．：：．：：===：：：：：：=：ABSTRACTFinance pIays the corc role in the modem economic system． Funhe珊ore，Commercialbankisthemostimportantcomponentinournation’sfinancialindustry．Since90s，especjaJly柏erthe215‘century，IThasplayedanimponantr01einournation’scommercialbanks，卸dbothOfthemgetinVolVeddeeplybe坩eeneachotheLHoweVer，thecomplexityand0pennessofinformationsystemisbecomingthekeyissuewhichhastObeconsideredinthefieldofinf0加ationsecurityriskmanagement．AfterChinabecomesthememberOfW1’o，banksarebecomingmoreandmoreintemational．Foreignbanl【sfacilitatedwithadVancedtechnologyandmanagementhaschallenged10calbankswhicharcimpe疵ctinco叩orategoVemance，ITgoVemance，andeVentheframeworkofinfb冊ationsecufityriskmanagement．F0rlocalbanks，theyhaVefacedseriousriskininfo咖ationrisk．Therefore，itisnecessaryandimpoIrtantforresearchingtheinfrastructureofinfomationsecurityriskmanagementofcommercialbank．1nfo冊ationsecurityriskmanagementsystemisrelativelyuniversalbecome0urnation’sbankhashighhomogeneous．Thepaperhasanalyzedthecullrentstatus，deficiencyandtheconsequenceofonecommercialbank’sinfomlationsecurityriskma舳gementsystemBase伽sometheories，standardsandguidance，thepaperhaSpointedoutthekeyissuesofcompletingtheinf0咖atiOnsecurityriskmanagementofcommercialbank，andfurthemorepointedoutthestnlctureandmanagementmodelofITgoVemancedecision，executionandsupeⅣision．ThepaperhasgiVenthedefinitionOfthef}鋤eofinfo啪ationsecurityriskmanagement．Onthebase0fcullrentcommercialbank’sinfo咖ationsecurityriskmanagementinfrastmcture，thepaperhasf虱弘redoutthestrategyandthemethodofexecutionofinfb徹ationsecurityriskmanagement．F0rthepurposeofcommercialbank’sintemalcontrol，thepaperhaspointedoutthecontrolandimproVedmethodforthosekeypoints．Aftertheconclusionofthefinalpu巾oseofinfb冊ationsecurityriskmanagementiscontinuityandthemethodsofdiscemingleakofinfo丌nationsecu“tyriskmanagement，thepaperhasgiVenthesuggestionsoffeedbackandamendment．Intheend，thepaperhassunlmarizedthedeficienciesofthecun．entresearch，andpmposedsometrialideasfbrsolVingthosedeficienciesanddifficuItiesinthecomingresearches．KIeywords：Commercialbank，ITgoVemance，Infbnnationsecurity“sk111anagementsystem原創(chuàng)性聲明本人鄭重聲明：本人所呈交的學位論文，是在導師的指導下獨立進行研究所取得的成果。學位論文中凡引用他人已經發(fā)表或未發(fā)表的成果、數據、觀點等，均已明確注明出處。除文中已經注明引用的內容外，不包含任何其他個人或集體己經發(fā)表或撰寫過的科研成果。對本文的研究成果做出重要貢獻的個人和集體，均已在文中以明確方式標明。本聲明的法律責任由本人承擔。論文作者簽名： 匣蘭!生： 日 期： 壟QQ魚生壘旦圣Q目關于學位論文使用授權的聲明本人在導師指導下所完成的論文及相關的職務作品，知識產權歸屬蘭州大學。本人完全了解蘭州大學有關保存、使用學位論文的規(guī)定，同意學校保存或向國家有關部門或機構送交論文的紙質版和電子版，允許論文被查閱和借閱；本人授權蘭州大學可以將本學位論文的全部或部分內容編入有關數據庫進行檢索，可以采用任何復制手段保存和匯編本學位論文。本人離校后發(fā)表、使用學位論文或與該論文直接相關的學術論文或成果時，第一署名單位仍然為蘭州大學。保密論文在解密后應遵守此規(guī)論文作者簽名：匣盟導師簽名 u期：呈噶LL7MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究一、引 言信息安全風險管理是一件比較新的事物，是隨著信息技術的逐步發(fā)展和應用而出現的一門新興應用管理學科，商業(yè)銀行信息安全風險管理是其中的一個分支。由于商業(yè)銀行是一類經營貨幣和風險、行業(yè)特點比較突出的金融企業(yè)，因此，商業(yè)銀行信息安全風險管理有其自身的特點，重點更應關注銀行資金類系統(tǒng)的信息安全和對外服務類信息系統(tǒng)的運行風險，并需要根據這些重點丌展針對性的研究。從國際國內實際情況看，該學科研究和應用的時問都不是很長，國外情況相對要好，英美、新加坡、香港等發(fā)達國家和地區(qū)的商業(yè)銀行監(jiān)督管理部門和商業(yè)銀行本身對信息安全風險管理體系投入研究比較早，應用效果也比較理想，而國內起步較晚，包括政府管理部門和各行業(yè)、各企業(yè)對信息安全風險管理體系的研究才剛剛丌始，應用效果一般，商業(yè)銀行信息安全風險管理體系的研究起步就更晚，實際效果離理想有很大距離。從商業(yè)銀行信息安全風險管理體系本身來看，由于銀行信息系統(tǒng)涉及業(yè)務的方方面面，要理清信息安全風險管理的整體脈絡不是一件很容易的事情，要建立一個相對完善和應用效果突出的信息安全風險管理體系就更為困難，只有付出時間和投入力量進行大量的研究和在應用中不斷發(fā)展和完善后，效果才能逐步得到體現。從我國銀行業(yè)實際情況看，業(yè)務的發(fā)展日新月異，已完全離不丌信息系統(tǒng)安全、穩(wěn)定和高效的運轉。一方面，商業(yè)銀行的重要信息資料儲存在各類信息系統(tǒng)中，這些信息資料包括商、業(yè)銀行客戶資料、存貸款數據、各類商業(yè)交易信息以及商業(yè)銀行自身用于經營管理的各類信息資料。這些信息資料絕大部分是商業(yè)機密，有些因為中國商業(yè)銀行普遍帶有的國有性質而屬于國家秘密。因此，防止這些信息泄露，確保這些信息安全是十分重要的事情。另一方面，隨著我國商業(yè)銀行信息系統(tǒng)數據的大集中，信息安全風險管理不足帶來的運行風險已從局部地區(qū)擴大到全國范圍。由于商業(yè)銀行計算機系統(tǒng)的復雜性，銀行信息系統(tǒng)重大故障和事故時有發(fā)生，給企業(yè)(尤其是大型企業(yè))和居民應用會融服務和融通資金帶來了不利影響，也給銀行聲譽造成了嚴重損害。因此，結合以上方方面面的情況看，開展商業(yè)銀行信息安全風險管理體系研究是一件很有必要和相當重要的事情。我國國內商業(yè)銀行經營同質性較高，信息安全風險管理體系通用性較強。因此，以A市商業(yè)銀行信息安全風險管理為范圍進行研究并不影響體系的普遍性。本文將從A市商業(yè)銀行信息安全風險管理體系現狀入手，針對存在的問題進行研究和分析成因并尋找解決的方法。目前國內外明確提出信息安全風險管理這一概念的研究文章并不多，更多的是提出了信息安全管理這一概念。信息安全管理和MBA學位論文作肯：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究信息安全風險管理的最大區(qū)別是后者在強調“信息安全"的同時更突出了“風險管理”，這與商業(yè)銀行經營風險和著重風險管理的本質一脈相承。為此，本文認為商業(yè)銀行信息安全風險管理體系研究和應用的目標是通過完善現代商業(yè)銀行公司治理體制下的IT治理機制，構造一套相對完善的信息安全風險管理方針、策略和操作規(guī)程，從信息安全角度確保銀行以信息系統(tǒng)為核心的信息資產的機密性、完整性、可用性，從風險管理角度確保信息系統(tǒng)的安全、穩(wěn)定和可靠運行，及時發(fā)現針對這些信息及信息系統(tǒng)安全存在的諸多威脅，并采取各種風險管理措施來防范信息系統(tǒng)運行風險，為商業(yè)銀行各項業(yè)務的持續(xù)、穩(wěn)定和高速發(fā)展保駕護航。最根本目標是借助這套強大、安全和有效的信息系統(tǒng)支撐平臺和信息安全風險管理體系來支持我國商業(yè)銀行各項業(yè)務的持續(xù)會融創(chuàng)新，有效應對加入wTO五年金融保護期過后外資銀行給中資銀行所帶來的挑戰(zhàn)，全面促進我國商業(yè)銀行的現代化、國際化，實現國家金融安全和金融改革戰(zhàn)略的跨越式發(fā)展。2MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究二、信息安全風險管理體系相關理論和要求(一)基本概念商業(yè)銀行信息安全風險管理體系的基本概念有廣義上和狹義上的劃分，從廣義上說，是指商業(yè)銀行公司治理機制下的IT治理、信息安全風險管理方針策略和操作規(guī)程、信息安全風險管理的內部控制、信息安全風險的控制和防范、業(yè)務連續(xù)性管理和應急機制建設、信息安全風險管理體系實施情況的反饋和體系修正；從狹義上看，商業(yè)銀行信息安全JxL險管理體系主要指信息安全風險管理方針、策略和操作規(guī)程這一部分。本文定位是廣義上的商業(yè)銀行信息安全風險管理體系。(二)相關理論1、公司治理理論和模式現代企業(yè)公司治理理論的主要表現形式是委托代理理論，其前提是公司的所有權和經營權的分離。它是20世紀60年代末70年代初一些經濟學家深入研究企業(yè)內部信息不對稱和激勵問題發(fā)展起來的。委托代理理論的中心任務是研究在利益相沖突和信息不對稱的環(huán)境下，委托人如何設計最優(yōu)契約激勵代理人，使得代理人按委托人真實要求完成委托。從治理形式看，公司治理分英美模式和德同模式，其主要區(qū)別是前者通過市場對公司管理進行監(jiān)控，后者是由股東對公司管理進行監(jiān)控。從利益追求方式看，公司治理又分股東利益至上治理模式和公司利益相關者治理模式，前者以追求股東利益最大化為公司經營目標，后者以追求公司利益相關者利益共同發(fā)展為公司經營目標。2、多維權變環(huán)境理論(theoryof muItiple contingencies)該理論由V．Sambamurthy等人提出。主要研究了環(huán)境因素如何影響IT治理模式的選擇，重點放在信息技術能力和組織設計這一本質問題上。V．S硼b硼urthy通過實證研究得出以下假設和結論：(1)處在增強型權變環(huán)境條件下，組織傾向于采用或集權或分權的IT治理模式；(2)處在沖突型權變環(huán)境條件下，組織傾向于采用聯邦式的IT治理模式；(3)處在主導型權變環(huán)境條件下，組織傾向于采用或集權或分權的IT治理模式。3MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究3、IT治理安排矩陣＼決策表1治理安排矩陣一用于不同類型決策的治理原掇IT原則11r架構IT基礎設施戰(zhàn)略業(yè)務應用11r投資和優(yōu)原型＼＼需求先權企業(yè)君主制IT君主制封建制聯邦制IT艤寡頭制無政府制2003MITSloanSch001CenterforInformationSystemsResearch(CISR)．這個矩陣的第一行列出了五項相互關聯的IT決策。(1)IT原則：闡述IT的商業(yè)應用；(2)IT架構：定義集成和標準化的要求；(3)IT基礎設施：決定共享和可提供的服務；(4)商業(yè)應用需求：確定購買或內部IT開發(fā)應用的商業(yè)需求；(5)IT投資和優(yōu)先權：選擇資助哪一個立項以及投入多少資金。這五個關鍵決策是彼此相關的，有效的IT治理必須關注它們的相關性。矩陣的第一列列出了IT治理的決策方法。包括：(1)企業(yè)君主制決策：高級管理層擁有決策權；(2)IT君主制決策：信息技術部門、專家擁有決策權；(3)封建制(事業(yè)部領地制)決策：每個事業(yè)部擁有獨立的決策權；(4)聯邦制決策：公司、部門(包括或不包括信息技術部門)共同擁有決策權；(5)無政府狀態(tài)：個體或小的群體擁有決策權。彼得·維爾(Peterweill)等人使用資源基礎理論、行為理論以及戰(zhàn)略理論結合以上矩陣對企業(yè)信息技術活動中的權力和責任的配置以及如何產生所希望的行為(desirablebehavior)進行了更為深入的分析。他們認為IT治理的關鍵在于授權與控制并舉。首先要確定做出以上五個相互關聯的信息技術決策：然后決定由誰來做出決策；最后要解決如何做出決策和實施監(jiān)督的問題一一即設計和實施IT治理機制。該研究認為，機制應能夠促成所希望行為的產生。希望的行為是組織信仰和文化的具體化，在每一個組織中都是不同的。明確所希望行為的產生是有效治理的關鍵，是行為而不是戰(zhàn)略創(chuàng)造價值。(三)相關要求1、0ECD《信息系統(tǒng)安全指南》(1992)該指南旨在提高信息風險意識和安全措施：提供一個～般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實踐的制定和實施，鼓勵關心信息系統(tǒng)安全的4MBA學位論文作存：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究公共和私有部門的合作；促進人們對信息系統(tǒng)的信心，促進人們應用和使用信息系統(tǒng)；方便國家間和國際間信息系統(tǒng)的合作、開發(fā)、使用和安全防護。這個管理框架包括法律、行動準則、技術評估、管理和用戶實踐以及公眾教育或宣傳活動。2、國際會計師聯合會《信息安全管理》(1998)《信息安全管理》強調信息安全的目標是“保護依靠信息、信息系統(tǒng)和傳送信息的人、通訊設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足下面3條準則時可以認為達到信息安全目標：數據和信息只透露給有權知道該數據和信息的人(機密性)、數據和信息保護不受未經授權的修改(完整性)、信息系統(tǒng)在需要時可用和有用(可用性)。3、美國注冊會計師協會的IT審計指南美國注冊會計師協會提出的《SysTrustTM系統(tǒng)可靠性原理和準則》(簡稱SysTrustTM服務準則)為注冊會計師進行信息系統(tǒng)審計提供指南，注冊會計師從可用性、安全性、完整性和可維護性4個基本方面評估和測試系統(tǒng)是否可靠?？捎眯砸幌到y(tǒng)在服務水平聲明或協議規(guī)定的時間內可以運行和使用；安全性一確保系統(tǒng)拒絕未經授權的物理或邏輯的訪問：完整性一系統(tǒng)的數據處理是完整的、準確的、及時的和被授權的；可維護性一必要時能夠升級系統(tǒng)而不影響系統(tǒng)或者不與系統(tǒng)的可用性、安全性和完整性相沖突。4、國際COBIT信息系統(tǒng)審計標準COBIT(Control 0bjectives for Information and related Techn0109y)是目前國際上通用的信息系統(tǒng)審計標準。它以業(yè)務流程為中心，將IT分成四個領域(計劃和組織、獲取和實施、交付與支持、監(jiān)控)，共計34個IT業(yè)務流程。其中3個與信息安全直接密切相關的業(yè)務流程是：計劃和組織流程一評估風險；交付和支付流程一確保持續(xù)的IT服務；監(jiān)控流程一保證系統(tǒng)安全。5、英國BS7799系列標準BS7799雖是英國國家標準，但卻是目前世界上最典型、應用最廣泛的信息安全管理標準，它是在英國標準協會BsI／DISC信息安全管理委員會指導下制定完成的。主要包括Bs7799—1《信息安全管理實施細則》和Bs7799—2《信息安全管理體系規(guī)范》。BS7799—1主要包括：信息安全政策、信息安全組織、資產分類和管理、人員安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、系統(tǒng)丌發(fā)和維護、業(yè)務連續(xù)性管理、法律符合性等10個領域的36個管理目標和127個控制措施。Bs7799—2是基于Bs7799～l《信息安全管理實施細則》而產生的，它不是MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究技術標準而是管理標準，它針對的是信息系統(tǒng)中非技術性內容的管理和控制，它強調的是均衡管理，符合信息安全的“七分靠管理、三分靠技術’’的原則，它規(guī)范了建立、實施和文件化信息安全管理體系(ISMS)的要求，并規(guī)范了不同組織根據各自具體需要實施安全控制措施時的要求，體系包括：風險評估、風險管理、控制措施和適用條款共4個階段的內容。另外，英國標準協會BSI／DISC信息安全管理委員會還于2005年推出了BS7799—3《信息安全風險管理指南》。6、IS0／IEC系列標準ISO／IEC系列主要包括ISO／IEC2700l(從英國BS7799—2發(fā)展而來)和ISO／IEC27002(從英國BS7799—1發(fā)展而來)。請參閱前述英國BS7799系列標準規(guī)范的介紹。另外還有：IS0／IEC 27000一基礎和術語；ISO／IEC27003一信息安全管理體系實施指南，正在開發(fā)中；IS0／IEC27004一信息安全管理度量和改進，正在開發(fā)中；IS0／IEC 27005一信息安全風險管理指南，以2005底英國推出的BS7799—3標準為藍本。7、國家有關信息安全管理要求在這里主要是指：《計算機信息系統(tǒng)安全保護等級劃分準則(GB17859～1999)》。該準則規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，即：第一級：用戶自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級。8、中國銀監(jiān)會《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》的要求該指引對銀行業(yè)金融機構(包括商業(yè)銀行)在信息系統(tǒng)風險管理中的職責、總體風險控制、研發(fā)風險控制、運行維護風險控制、外包風險控制、IT審計方面做出了指引性規(guī)定。6MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究三、A市商業(yè)銀行信息安全風險管理體系現狀(一)A市商業(yè)銀行信息安全風險管理體系基本情況目前A市共有4家國內法人商業(yè)銀行，其中三家是全國性銀行，一家是地方性銀行。整體上看，這4家國內法人商業(yè)銀行都沒有建立起一套與銀行實際信息科技發(fā)展水平和銀行業(yè)務發(fā)展現狀相適應的信息安全風險管理體系。根據廣義的信息安全風險管理體系概念，其中的“信息安全風險管理方針策略和操作規(guī)程’’即指信息安全風險管理制度，而“信息安全風險管理的內部控制”、“信息安全風險的控制和防范”、“業(yè)務連續(xù)性管理和應急機制建設"、“信息安全風險管理體系實施情況的反饋和體系修正”這四部分可以概括為信息安全風險管理的實施。因此，A市現有4家國內法人商業(yè)銀行的信息安全風險管理體系可以具體從以下三個方面反映：1、IT治理情況A市現有4家國內法人商業(yè)銀行的IT治理基本上可分為兩類模式，一類是CIO(或技術總監(jiān))領導的IT治理委員會下科技運營和科技開發(fā)分設的、相對分權的模式(以下簡稱為分立模式)；另一類就是分管行長直管的信息科技部(包括科技運營和科技丌發(fā))單一部門的模式(以下簡稱為集中模式)。無論是分立模式還是集中模式，作為信息安全風險管理的組織機構均未獨立，一般設在科技運營部(分立模式)或者信息科技部(集中模式)?！胺至⒛Ｊ健钡腎T治理決策通常由CIO(或技術總監(jiān))領導的IT治理委員會決定或者初步決定后報銀行高級管理層或董事會審定，IT治理決策的執(zhí)行和監(jiān)督通常由科技運營部和科技開發(fā)部承擔，IT治理委員會也承擔部分監(jiān)督職能；“集中模式”的IT治理決策通常由信息科技部初步決定然后報主管行長審定，當主管行長不能作出決策判斷時再報銀行高級管理層或董事會審定，IT治理決策的執(zhí)行和監(jiān)督通常由信息科技部承擔，主管行長通常只能發(fā)揮很少的監(jiān)督作用。這兩類模式的信息安全風險管理職能通常只有一個很小部門的幾個人來負責，作用十分有限。2、信息安全風險管理體系的制度情況A市現有4家國內法人商業(yè)銀行中，有3家銀行嘗試引進了一些國際信息安全管理標準來構建信息安全JxL險管理制度體系。其中A銀行在被某集團收購后，將集團原有的信息安全風險管理制度體系拷貝過來，并根據銀行的實際進行了一些改動。制度框架包括：需求規(guī)范、開發(fā)規(guī)范、項目規(guī)范、通用規(guī)范、基礎架構7MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究規(guī)范、運營規(guī)范、信息安全規(guī)范和總體流程規(guī)范。從與該銀行接觸中了解到，無論是制度體系管理者還是制度體系實施者，均對這套制度體系缺乏深刻的了解，對這套制度體系哪些適合銀行，哪些不適合銀行，哪些應該修改，哪些應該保留，哪些應該刪去，哪些是重點以及制度體系該如何實施，實施的措施是什么等等均沒有明確的概念，其發(fā)布的制度體系文本中甚至還帶有某集團名稱的字樣。由此可見，A銀行引進建立的制度體系是十分粗糙的，基本上也就停留在紙面上而己。B銀行和C銀行則是引入了IS027001這一國際信息安全管理標準，并根據銀行的實際進行了修改而形成自己的信息安全風險管理制度體系。制度框架總體與A銀行差別不大，但在具體細節(jié)上有所差別。比如，B銀行在引進建立的信息安全風險管理制度體系相關方針、策略和操作規(guī)程與原有信息制度不一致時，并沒有明確規(guī)定是新的有效還是原先的有效。象新制度體系規(guī)定了信息安全風險管理小組的職責，但這些職責明顯與運行管理部門的信息安全室職責重疊，但信息安全管理小組并不是指信息安全室。另外由于B銀行股權投資者的短期行為，引進建立的信息安全風險管理制度體系并沒有按照銀行應該具備的信息系統(tǒng)業(yè)務連續(xù)性要求來規(guī)定備份建設標準。C銀行則由于原有信息安全風險管理制度總體還不錯。因此員工對引入的信息安全風險管理制度體系還需要一段理解和消化的過程。至于D銀行的信息安全風險管理基本上是沿用傳統(tǒng)的行政管理模式，只制定了幾個項目開發(fā)和科技運營方面的管理辦法，還不能說已形成了一套制度體系?？傮w看，A市這4家國內法人商業(yè)銀行的信息安全風險管理制度雖然內容和形式有所差別，但都涉及了項目需求丌發(fā)制度和項目運營管理制度這兩大信息安全風險管理制度核心部分。3、信息安全風險管理體系的實施情況從A市現有4家國內法人商業(yè)銀行信息安全風險管理體系的實施情況看，B銀行的信息安全風險管理主要在科技運營部門等局部實施；A銀行和C銀行只是制訂一些信息安全JxL險管理制度，尚無明確和有效的實施行動；D銀行則只有非常簡陋的幾項信息安全風險管理條款，就更談不上去有效實施信息安全風險管理體系了。(二)A市商業(yè)銀行信息安全風險管理體系存在的主要問題1、lT治理模式不統(tǒng)一和lT治理機制不健全A市四家國內法人商業(yè)銀行IT治理模式不統(tǒng)一主要表現為：存在“分立模式”和“集中模式”兩種不同模式。其中“分立模式"也有IT治理管理者是“CIO”和“技術總監(jiān)”的細微差別，通常設置“技術總監(jiān)”與設置“CIO”相比不符合8MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究IT治理組織原則。無論是“分立模式”還是“集中模式’’，其IT治理機制均不健全?！胺至⒛Ｊ健翴T治理機制不健全主要表現在：擔任IT治理委員會執(zhí)行主席的C10的決策權利不足和IT治理委員會的決策功能不強。雖然IT各部門總經理和主要業(yè)務部們總經理均是IT治理委員會成員，可以幫助CIO在協調業(yè)務和IT發(fā)展上起到一定作用，但由于CIO只是執(zhí)行主席，IT治理委員會的主席是CE0或者行長，而CE0或者行長又通常只是掛名主席而已，極少參加IT治理委員會的各類會議。因此，實際上由CIO這個執(zhí)行主席領導的IT治理委員會所作的各項IT和業(yè)務協調發(fā)展決策還需要提交高級管理層甚至董事會討論決定。在討論決定過程中，C10作為高級管理層成員可以參加高級管理層會議或者列席董事會會議，但問題是重大的IT決策C10只有解釋權，而沒有最終決策權。在這些高級管理層或董事會會議上，C10要說服其他管理層成員和董事是十分困難的事情，除非事先已經得到董事會主席、CEO或者行長的首肯，否則IT重大決策的出臺總是非常艱難。至于技術總監(jiān)領導的IT治理模式下的決策效果也相差無己。“集中模式"下的IT治理機制不健全主要表現在：業(yè)務行長主導的IT治理決策效率很低和效果更不理想。由于分管IT部門的行長絕大多數是只熟悉銀行業(yè)務的行長，有些甚至是分管后勤、保衛(wèi)的非業(yè)務行長。因此，IT重大決策的討論和形成就更加困難。IT決策多數時候涉及業(yè)務部門，但只靠IT部門獨自去同業(yè)務部門協調，那差不多就是一件難以完成的任務，結局往往就是IT部門獨自拍板各種重大IT決策，最多是方案出臺前征求一下各業(yè)務部門的意見。在征求意見過程中，通常也沒有什么意見反饋，偶爾有反饋的意見，往往又是IT部門不了解、不能接受或技術上做不到的，整個決策形成效率極低、效果不佳。如此程序下形成的IT決策方案就算能提交到高級管理層或董事會討論，但被打回或者不批準的可能性是很大的。就算在分管行長或其他重要領導的極力周旋下，這些IT決策方案能獲得通過，但執(zhí)行起來往往是不切實際或者根本不能滿足業(yè)務部門的真正需要。IT治理模式不統(tǒng)一和IT治理機制不健全帶來的危害將首先反映在決策失靈或決策失誤上。由此，員工工作方向不能得到明確指示而會影響到員工工作積極性，各項IT工作無法取得更大突破；其次會導致信息系統(tǒng)開發(fā)不能如期完成，完成效果也大打折扣，甚至會導致信息系統(tǒng)丌發(fā)徹底失敗，使銀行IT投資蒙受巨大損失；再次就是IT決策周期長，可能導致象災備系統(tǒng)建設這類需盡快完成的工作無法及時落實。2、體系制度不符合商業(yè)銀行信息安全風險管理的實際需要A市現有4家國內法人商業(yè)銀行的信息安全風險管理制度不符合商業(yè)銀行信9MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究息安全風險管理的實際需要，主要表現在：一是沒有以商業(yè)銀行資金、賬戶和客戶資料的安全保護以及系統(tǒng)對外提供服務的業(yè)務連續(xù)性保證等這些商業(yè)銀行行業(yè)特性為核心；二是沒有根據商業(yè)銀行的行業(yè)特性采取針對性很強的內部管理流程控制和風險點控制等重點防護手段；三是沒有系統(tǒng)和全面的信息系統(tǒng)備份制度和和應急管理制度；四是沒有完整的信息系統(tǒng)防攻擊和防破壞策略。由此帶來的危害首先反映在銀行信息安全風險管理工作得不到充分重視，無法扭轉普遍存在的重建設輕風險現象；其次就是銀行各類信息系統(tǒng)故障和事故依然不能得到有效控制；再次就是很容易發(fā)生銀行網站被黑、資金被盜和客戶資料被竊等破壞性事件。3、信息安全風險管理體系的實施效果不佳A市現有4家國內法人商業(yè)銀行信息安全風險管理體系的實施效果不佳，主要表現在：一是違章違規(guī)操作普遍；二是實施過程不能得到有效監(jiān)督和檢查；三是實施結果不能得到及時反饋和后評價。實施效果不佳所帶來的危害就是制度不能得到有效落實，各類信息安全風險不能得到有效控制，銀行信息安全風險管理水平長期得不到提高。10MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究四、A市商業(yè)銀行信息安全風險管理體系問題成因A市商業(yè)銀行信息安全風險管理體系問題成因很多，有商業(yè)銀行總體管理水平不足的影響，有IT在商業(yè)銀行地位不高的影響，還有商業(yè)銀行信息安全風險外部監(jiān)管機制不完善的影響，但最主要和最直接的問題成因還是由IT治理環(huán)境、制度本身復雜和體系實施困難所致。受篇幅所限，本文主要針對最主要和最直接的問題成因進行分析。從廣義商業(yè)銀行信息安全風險管理體系概念所對應的范圍看，以商業(yè)銀行公司治理機制下的IT治理環(huán)境最難把握，以信息安全風險管理制度最為復雜，以信息安全風險管理的實施最為困難。就商業(yè)銀行來說，又因其規(guī)模龐大、組織結構復雜和人員眾多，所以信息安全風險管理體系在商業(yè)銀行的建立和實施就更加困難?，F分三方面成因具體說明如下：(一)IT治理深受商業(yè)銀行中國式行政管理等不良因素影響通常一個好的IT治理模式需要表現出決策、執(zhí)行和監(jiān)督的三權分立和彼此牽制，但IT治理模式是否完善、是否成熟還取得于IT治理環(huán)境的好壞。從A市4家國內法人商業(yè)銀行的IT治理環(huán)境看，現行治理機制帶有濃厚的中國式行政管理色彩，象銀行黨委會對同常經營的干預、董事長和行長等一把手大權獨攬使董事會和高級管理層集體和民主決策形同虛設、領導層更換導致經營戰(zhàn)略和經營方向的隨意改變、監(jiān)事會和獨立董事發(fā)揮作用有限等因素，均使得現行商業(yè)銀行IT治理模式和機制深受影響，現代治理所要求的決策、執(zhí)行和監(jiān)督的三權分立機制無從建立和發(fā)揮作用，這也是A市4家國內法人商業(yè)銀行IT治理模式不統(tǒng)一和IT治理機制不健全的主要原因。(二)體系制度復雜且缺乏統(tǒng)一和規(guī)范的行業(yè)標準指導信息安全風險管理體系制度本身內容很多，主要包括：安全風險管理方針、安全風險管理組織、信息資產分類、人員安全、實物與環(huán)境安全、通訊與運行安全、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性管理、合規(guī)性等10個方面的內容。這些內容的每一項均涉及到商業(yè)銀行的不同業(yè)務領域、不同管理層級，每一項的每一個環(huán)節(jié)均充滿了可能存在的威脅和需要防范的JxL險。以通訊安全為例，商業(yè)銀行分支機構遍布全國各地，總部與各分支機構之I’日J離不丌通訊網絡，而通訊網絡商業(yè)銀行自身是不能提供的，只能依賴外部服務商提供。如此，商業(yè)銀行面對的信息安全風險無形中擴大了不知多少倍。商業(yè)銀行要大力發(fā)展網上銀行等電子MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究業(yè)務，就必須連接上充滿犯罪、黑客橫行的因特網，而以商業(yè)銀行單家或幾家來應對來自全世界不同國家、不同領域的網絡犯罪那該是一件多么不容易的事情。由此看，要有效防范如此復雜的商業(yè)銀行信息安全風險，就需要配套建設一個同樣復雜的商業(yè)銀行信息安全風險管理制度體系。除信息安全風險管理制度本身復雜外，從國際國內看，針對商業(yè)銀行這一經營性質特別的行業(yè)標準也很缺乏。盡管國際國內出臺了許多信息安全風險管理標準，但這些標準是否完全適合商業(yè)銀行這一專營貨幣、自有資本不到5％的高風險行業(yè)，卻缺乏理論依據和實踐檢驗。這些標準如何有機地與商業(yè)銀行各項業(yè)務管理、信息科技管理相結合以形成有效的信息安全風險防范屏障，也缺乏全面、深入和持續(xù)的研究和實踐。正是商業(yè)銀行的行業(yè)特殊性，才顯得相關信息安全風險管理的行業(yè)標準的缺乏，尤其是在商業(yè)銀行IT治理機制的合理性、信息安全風險管理措施貫徹的有效性、業(yè)務連續(xù)性和應急機制如何在成本可控的前提下最大限度地確保商業(yè)銀行不發(fā)生重大事故等方面均沒有統(tǒng)一和有效的行業(yè)標準給予指導。制度復雜而且又沒有統(tǒng)一和規(guī)范的行業(yè)標準給予指導。因此，要建立一個適應現階段商業(yè)銀行需要的信息安全風險管理制度體系是一件很不容易的事情。缺少合理的制度建設為基礎，就會從很大程度上影響到整體商業(yè)銀行信息安全風險管理體系的建立。(三)體系實施受制于各種困難因素而難以推進商業(yè)銀行信息安全風險管理體系的實施包括：“信息安全風險管理的內部控制"、“信息安全風險的控制和防范”、“業(yè)務連續(xù)性管理和應急機制建設”、“信息安全風險管理體系實施情況的反饋和體系修正”這四部分。從每一部分看，要做好均是一件很困難的事情。首先，信息安全風險屬于操作風險范疇，是一件看不見摸不著的東西，要管理和控制好談何容易；其次“控制"和“內部控制”均需要人參與，而人是一個最不容易控制的對象，會因家庭生活壓力和工作壓力而導致情緒、心理等因素變化而變得非理性和不受控制；再次業(yè)務連續(xù)性管理要體現“連續(xù)’’這一概念，但要知道任何事情要做到“連續(xù)’’而不問斷那該多么困難；第四就是應急機制建設中的“應急’’對象往往是非常難應付的重大事故或重大故障，而高科技的IT技術含量很高，屬于前沿科學，要避免不發(fā)生重大事故或重大故障又該是多么不容易的事情；第五就是體系實施情況反饋的通常是信息，但信息是隱蔽而不容易發(fā)現的，信息的傳遞也容易出現偏差而很難百分之百地反饋上來；第六就是體系的修正。修J下對象何為“正”，往往需要到實踐中去并經過12MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究無數次的反復檢驗才能得到一個相對『F確的結果；最后就是商業(yè)銀行規(guī)模龐大、組織結構復雜和人員眾多，大家知道要在一個龐大組織中做任何一件事情均是不容易的，何況是要實施信息安全風險管理這么一件復雜而又困難的事情呢?？傊?，無論從以上哪個方面和哪個角度看，要建設和實施商業(yè)銀行信息安全風險管理體系都是非常困難的事情，A市4家國內法人商業(yè)銀行信息安全風險管理體系存在問題也是事出有因。13MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究五、完善商業(yè)銀行信息安全風險管理體系的關鍵完善商業(yè)銀行信息安全風險管理的關鍵是要從問題成因入手逐一解決現有體系存在的主要問題。因此，首先是要深入開展IT治理并建設一套行之有效的IT治理機制；其次是需根據商業(yè)銀行的行業(yè)特性理清復雜的制度體系脈絡而進行制度建設；再次就是針對導致實施困難的種種因素開展內控機制建設、風險管理機制建設、業(yè)務連續(xù)性和應急機制建設以及體系反饋渠道建設等。現具體表述如下：(一)IT治理機制建設完善的IT治理機制是建設好商業(yè)銀行信息安全風險管理體系的根本前提，只有深入開展商業(yè)銀行公司治理機制下的IT治理機制建設并建立一套行之有效的IT治理模式，商業(yè)銀行信息安全風險管理體系建設的進一步完善才有了保證，沒有合適的組織架構，沒有良好的決策機制、執(zhí)行機制和監(jiān)督評價機制，就不可能建設完全適合商業(yè)銀行需要的信息安全風險管理體系。因此，要開展IT治理機制建設，我們只有在不斷完善公司治理機制和IT治理環(huán)境的基礎上，盡最大可能提高和保證商業(yè)銀行IT治理機制運行的獨立性，采取一些具體措施使得IT治理模式與現行IT治理環(huán)境更加融洽，比如：通過建立IT治理委員會、信息安全風險管理委員會(含信息系統(tǒng)應急管理職能)等相關IT管理機構，設立首席信息技術官(CIO)和首席信息安全風險官(CISRO)制度，并且首席信息安全風險官(CISRO)和信息安全風險管理委員會直接對董事會下的風險管理委員會負責，不受或者少受高級管理層和C10的直接干預，確保決策機制、執(zhí)行機制以及監(jiān)督評價機制的有效運轉，從而在尚需不斷完善的商業(yè)銀行公司治理機制下，實現IT治理統(tǒng)一模式下的信息安全風險管理機制運行的相對獨立性，構建相對獨立和較為完善的IT治理機制。(二)制度建設制度建設是信息安全風險管理體系的基礎，沒有一套成熟和完善的信息安全風險管理制度，就如房屋沒有了地基，體系也就失去了建造和實施的意義。要建設一套相對完善的制度體系，必須從商業(yè)銀行的行業(yè)特性出發(fā)，逐步理清復雜制度體系的脈絡，通過多方借鑒國際國內現有制度體系中的先進思想和現有的國際國內通用標準和相關要求，逐步構建商業(yè)銀行信息安全風險管理制度體系。目前，14MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究國際上比較成熟的信息安全管理標準是IS0／IEC27000系列。這一標準主要圍繞信息及信息系統(tǒng)的機密性、完整性和可用性三大原則而制定，國際國內其他相關信息安全風險管理要求也基本上遵循機密性、完整性和可用性三原則而展開。因此，只有以具體的IS0／IEC27000系列標準為主要借鑒點，并以其他信息安全風險管理要求為補充，在充分考慮商業(yè)銀行這一經營貨幣資金的行業(yè)特殊性情況下，不斷提高商業(yè)銀行管理能力和內控執(zhí)行能力，注重吸收國際國內最前沿信息安全防護技術，才能逐步完善現有商業(yè)銀行信息安全風險管理制度體系。(三)內部控制機制建設任何一家企業(yè)在內部管理過程中均要體現“控制”這一理念，商業(yè)銀行作為一類以資金交易為主要業(yè)務的金融企業(yè)，在內部管理中進行各種“控制"是十分必要的。在商業(yè)銀行信息安全風險管理實施過程中，面對種種安全和風險，不注重管理過程中的控制就不可能做到有效的信息安全風險管理和信息安全風險防范。因此，商業(yè)銀行各種管理包括信息安全風險管理最為關鍵的一環(huán)就是內部控制機制建設。完善商業(yè)銀行信息安全風險管理內部控制機制的核心是進行流程控制管理和風險點控制管理，也就是在制度建設的基礎上，設置相配套的流程控制程序并嚴格執(zhí)行，著重發(fā)現所有與信息安全風險密切相關的風險點并進行針對性控制，對違反流程進行管理和操作、忽視風險的行為要嚴格約束，對造成影響的要進行必要的處罰，從而確保這套流程控制和風險點控制程序有效運轉，促使內部控制機制建設更為完善。(四)風險管理機制建設商業(yè)銀行信息安全風險主要因IT基礎平臺管理操作和各項業(yè)務系統(tǒng)管理操作所面臨的內外部威脅而管理不慎所導致。因此，商業(yè)銀行如何識別這些內外部威脅、發(fā)現自身存在的脆弱點和防范所引致的信息安全風險，除需要開展內部控制機制建設外還需要丌展更為全面的風險管理機制建設。商業(yè)銀行信息安全風險屬于操作風險范疇，開展全面風險管理和有效防范很不容易。從巴塞爾協議發(fā)布的有關操作風險規(guī)定看，是準備從量化的角度來防范操作風險的。但如何量化操作風險是一項剛剛起步、十分艱難的研究工作，離完成之R還很遙遠。因此，我們全面建設風險管理機制和防范信息安全風險的重點應放在威脅識別、脆弱點發(fā)現和相應的措施彌補以及事后效果檢查等方面。只有如此，才能在現階段將各種信息安全風險控制在可接受的范圍內。MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安令風險管理體系研究(五)業(yè)務連續(xù)性和應急機制建設商業(yè)銀行信息安全風險管理的根本目標是提供對外的業(yè)務連續(xù)性服務。因此，開展業(yè)務連續(xù)性和相應的應急機制建設是商業(yè)銀行信息安全風險管理的重頭工作之一?，F代商業(yè)銀行的服務范圍幾乎是全社會，包括政府、企業(yè)和個人都可能是商業(yè)銀行的重要客戶，為這些客戶提供不問斷的存款、貸款以及資金匯兌支付等各項基本金融服務是商業(yè)銀行的主要職能。商業(yè)銀行要切實履行好這些職能，除開展內控機制建設和風險管理機制建設外，還需要以業(yè)務連續(xù)性為目標，開展各項應急機制建設，確保計算機系統(tǒng)在各種災難事故、重大故障發(fā)生時的安全、穩(wěn)定和不間斷運行，從而保證以信息系統(tǒng)為支撐的各項業(yè)務持續(xù)對外提供服務?？傊挥腥?、深入和持續(xù)開展以上幾項建設工作，再通過建立暢通的體系實施反饋渠道并不斷修正體系，才能解決A市現有國內法人商業(yè)銀行信息安全風險管理體系存在的各種問題，最終建成相對完善的商業(yè)銀行信息安全風險管理體系。16MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究六、完善A市商業(yè)銀行信息安全風險管理體系的對策和措施本文前面指出了完善商業(yè)銀行信息安全風險管理的關鍵主要是要進一步開展IT治理機制建設、制度建設、內部控制機制建設、風險管理機制建設以及業(yè)務連續(xù)性和應急機制建設。因此，筆者在此針對性提出了具體的對策和措施，首先提出通過建立有效的IT治理組織架構、高效的IT治理決策模式、有效的執(zhí)行機制和到位的監(jiān)督評價機制來進一步完善IT治理機制；其次提出制定信息安全風險管理方針、策略和建立全面、準確和操作性強的信息安全風險管理相關操作規(guī)程以開展制度建設；再次就是通過指出流程控制和風險點控制的相關要求并采取確保流程控制和風險點控制有效的具體措施來完善信息安全風險管理的內部控制機制；第四就是通過有效識別各類內外部威脅和全面防范信息安全風險來開展風險管理機制建設；第五就是通過指出確保業(yè)務連續(xù)性的前提要求并采取保證應急機制能動性和對外提供高效高質服務的相關措施來開展業(yè)務連續(xù)性和應急機制建設?，F將相關具體對策和措施分以下五部分給予說明：(一)完善IT組織架構以及決策、執(zhí)行和監(jiān)督評價機制1、建立有效的IT治理組織架構完善商業(yè)銀行信息安全風險管理體系需要建立有效的組織架構，主要是建立信息技術治理委員會領導下的三部門分設機制。三部門是指：(1)信息規(guī)劃和信息安全部；(2)科技開發(fā)部；(3)科技運營部。信息技術治理委員會由首席信息技術官(CIO)擔任主席，在董事長、CEO或行長的授權下負責協調銀行信息及信息技術工作，其人員構成應包括：CIO、各業(yè)務部門分管行領導，以及信息技術各部門負責人；部分分行行長或其代表(輪值)。信息技術治理委員會的職能應該包括：(1)建立信息資源配置、信息系統(tǒng)項目開發(fā)和管理的體系架構；(2)審定銀行信息標準、信息系統(tǒng)安全、信息工作流程的規(guī)范及相關制度；(3)審定支持銀行戰(zhàn)略目標的信息科技發(fā)展戰(zhàn)略規(guī)劃；(4)檢查銀行信息資源配置的合理性；(5)參與制定銀行的信息和信息科技預算和經費計劃；(6)審核對信息系統(tǒng)和業(yè)務產品的丌發(fā)、建設、運行、管理的重要提議；(7)審定與銀行信息系統(tǒng)相關的信息安全風險管理制度。信息規(guī)劃和信息安全部的主要職能應該包括：(1)根據銀行業(yè)務發(fā)展戰(zhàn)略規(guī)劃，協助信息技術治理委員會制定銀行信息科技發(fā)展戰(zhàn)略規(guī)劃(含業(yè)務連續(xù)性管MBA學位論文作肯：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究理規(guī)劃)和工作計劃；(2)按照董事會年度預算，制定和管理銀行信息科技年度預算；(3)牽頭負責信息科技戰(zhàn)略規(guī)劃(含業(yè)務連續(xù)性管理規(guī)劃)的實施和監(jiān)督檢查；(4)負責科技開發(fā)制度、科技運行制度和信息安全風險管理體系等各類信息科技制度制訂；(5)負責銀行基礎技術標準及規(guī)范的制定和實施；(5)負責科技開發(fā)項目和業(yè)務系統(tǒng)運營的組織協調和監(jiān)督檢查；(6)對信息安全風險管理實施情況進行監(jiān)督和檢查?？萍奸_發(fā)部的主要職能應該包括：(1)根據銀行信息科技發(fā)展戰(zhàn)略規(guī)劃，制定銀行信息科技丌發(fā)計劃；(2)負責銀行信息科技開發(fā)項目標準、流程及制度實施細則的制訂及管理；(3)負責銀行信息科技項目開發(fā)的實施和外包開發(fā)的組織管理和實施；(4)負責銀行信息科技丌發(fā)、應用及相關技術的咨詢、支持與培訓工作；(5)負責制定銀行信息科技開發(fā)人員培訓計劃并組織實施。科技運營部的主要職能應該包括：(1)規(guī)劃、設計、建設滿足銀行管理與業(yè)務發(fā)展需求的銀行IT系統(tǒng)基礎設施；(2)管理、運行銀行各類業(yè)務系統(tǒng)，提供銀行業(yè)務與管理的信息服務；(3)監(jiān)控、調度各類軟、硬件系統(tǒng)和通訊網絡資源，優(yōu)化生產管理；(4)建立銀行業(yè)務系統(tǒng)安全生產管理規(guī)范，確保生產系統(tǒng)的安全穩(wěn)定運行；(5)提供科技開發(fā)部門所需要的特殊系統(tǒng)服務；(6)實施業(yè)務連續(xù)性管理，建設并管理災難備份中心，保障系統(tǒng)高可用性；(7)對新開發(fā)或購入的硬件、系統(tǒng)軟件、應用、工具系統(tǒng)進行驗收測試，制定、實施切換方案；(8)管理IT資產，控制生產成本；(9)提供IT系統(tǒng)運行維戶及相關技術培訓。針對信息安全管理風險，在各部門內還應設立信息安全風險防控部門、信息安全風險檢查部門。信息安全風險防控部門是指在科技開發(fā)部門設置的、對科技開發(fā)部門內部在項目開發(fā)過程中的信息安全風險進行防范和控制的內設機構，以及在科技運營部門設置的，對科技運營部門內部在同常信息系統(tǒng)運營管理中的信息安全風險進行防范和控制的內設機構。信息安全風險檢查部門則是指對科技開發(fā)部門、科技運營部門在科技開發(fā)和科技運營過程中存在的信息安全風險進行監(jiān)督檢查的部門外機構一即指信息規(guī)劃和信息安全部的項目管理組織和安全風險檢查組織。2、建立高效的IT治理決策模式從IT治理安排矩陣所提出的決策模式看，比較適合現有商業(yè)銀行實際的決策模式應該是聯邦制決策。聯邦制決策是指IT部門與業(yè)務部門共同協商決策。在商業(yè)銀行，IT的發(fā)展與業(yè)務密切相關，在各重大項目的決策出臺過程中，應充分考慮業(yè)務部門的實際需要，而不能由IT部門獨自決定。決策的高效應體現在兩方面：一是決策高效率。任何一項IT決策在明確牽頭部門、協助部門、預18MBA學位論文作肯：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究期投入費用和預計完成時間的同時，應該配置決策跟蹤督促部門，隨時關注決策的進展情況；二是決策效果突出。一項IT決策的效果依賴于決策部門和決策人員的業(yè)務能力、IT能力、判斷能力和決斷能力。因此，IT決策人員應是復合型人才，需要較大程度上掌握各類銀行業(yè)務知識、適合銀行業(yè)務的IT知識和較高的綜合思維能力?？傊虡I(yè)銀行IT決策模式應該建立在業(yè)務部門和IT部門以及管理層充分溝通和協調融洽的基礎上，決策人員的配備也應選拔或著重培養(yǎng)各類復合型人才。如此，決策的效率和效果才能符合商業(yè)銀行業(yè)務不斷發(fā)展的實際需要。3、建立有效的執(zhí)行機制和到位的監(jiān)督、評價機制各項IT決策的實施是否有效除需要一套正確的決策機制外，還需要一套確保實施到位的執(zhí)行機制、監(jiān)督機制和實施后的評價機制。執(zhí)行機制要求信息技術各部門在制度、紀律、管理和控制的約束下，嚴格按照有關規(guī)定執(zhí)行各種信息安全風險管理方針、策略以及一絲不茍地按照有關操作規(guī)程進行管理和操作，管理和操作過程要體現一種“沒有例外”的理念，不以“特權”、“人情”、“緊急”。為借口而違反相關管理制度和操作規(guī)程，重在“執(zhí)行、落實到位”，不差一分一毫。監(jiān)督機制包括外部(執(zhí)行主體以外)的監(jiān)督檢查和內部(執(zhí)行主體)的自我監(jiān)督與改進。外部的監(jiān)督檢查主要包括：信息規(guī)劃和信息安全部對各項同常信息科技實施工作的監(jiān)督檢查。內部(執(zhí)行主體)的自我監(jiān)督與改進主要包括：執(zhí)行前的預評估、執(zhí)行過程中的自我約束、檢查和改善、執(zhí)行后的自我評價與進一步的改進。實施結束后的評價機制包括：銀行內部審計部門的年度審計、外聘外部審計機構的年度審計、銀行監(jiān)管部門的不定期信息科技風險檢查等。(二)明確有關方針、策略和操作規(guī)程完善A市4家國內法人商業(yè)銀行信息安全風險管理體系制度，主要應參照國內外信息安全風險管理等相關標準和要求，再結合A市4家國內法人商業(yè)銀行業(yè)務發(fā)展和信息安全風險管理的實際，制定信息安全風險管理的方針和策略等綱領性文件，并根據這些綱領性文件進一步建立全面、準確和可操作性強的各項信息安全風險管理操作規(guī)程。在此，明確有關方針、策略和操作規(guī)程等具體內容如下：1、制定信息安全風險管理方針就A市4家國內法人商業(yè)銀行來說，信息安全JxL險管理方針主要應包括：(1)成立信息安全風險管理委員會和設立首席信息安全風險管理官(CISR0)。信息安全風險管理委員會是IT治理委員會下的二級委員會，是負責19MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究商業(yè)銀行信息安全風險管理的最高機構，委員會成員由銀行相關部門的負責人和負責信息安全風險管理的具體人員組成。主要對銀行信息安全風險相關的重大問題做出決策，并在業(yè)務上直接對銀行董事會的風險管理委員會負責。首席信息安全風險管理官(CISRO)負責信息安全風險管理委員會的日常管理，業(yè)務上接受銀行董事會的風險管理委員會領導。(2)制定的信息安全風險管理措施和規(guī)范應符合現行法令以及銀行監(jiān)管部門的要求。(3)應向員工與第三方用戶講明相關的信息安全風險管理責任。(4)機密性原則下的相關信息安全風險管理方針：一是根據信息資產重要程度合理定級，實施信息安全等級保護；二是所有員工或第三方用戶必須遵守國家的法律、法規(guī)和銀行的相關規(guī)定，決不能濫用銀行的信息系統(tǒng)，或是侵犯銀行的版權和商業(yè)秘密；三是嚴格控制銀行外的第三方對銀行信息與信息系統(tǒng)的訪問；四是對關鍵或敏感的信息系統(tǒng)的強制安全保護，確保物理安全性；五是系統(tǒng)或設備被處置時，對系統(tǒng)中的數據和設備中的數據要進行安全、徹底的刪除；六是必須實施訪問控制來決定什么人以什么級別可以訪問特定數據和信息系統(tǒng)，必須要有可以監(jiān)控并及時中止非法用戶訪問權限的程序或手段。(5)完整性原則下的相關信息安全風險管理方針：一是必須采取有效的措施發(fā)現和預防計算機病毒、網絡蠕蟲、木馬等惡意軟件的感染和傳播；二是重要數據要根據需要進行備份，并要定期對備份數據進行測試；三是必須采取安全措施保證網絡中傳輸以及與外界交流信息的安全性，并與信息分類的要求保持一致；四是必須啟用所有操作系統(tǒng)和應用軟件的同志審計功能，以保證所選擇的安全控制已起作用并可以得到驗證，同時確保針對這些安全控制的審計功能和應急響應功能已啟動；五是通過銀行信息系統(tǒng)傳輸的所有銀行交易都必須記錄，并按照有關法律法規(guī)以及監(jiān)管要求給予保留及保護；六是針對信息系統(tǒng)的操作要嚴格和規(guī)范，避免有意或無意的系統(tǒng)數據濫用和誤用風險；七是必須對信息系統(tǒng)等服務外包進行風險管理和防范，對需要丌發(fā)的系統(tǒng)進行重要性評估，服務外包時應考慮監(jiān)管部門的規(guī)范和要求；八是外包或自行開發(fā)的系統(tǒng)應充分考慮安全性需求，使用的商業(yè)軟件也必須通過相應的安全性評估；九是所有應用系統(tǒng)的源代碼和執(zhí)行代碼都必須做好保存和訪問控制；十是所有的系統(tǒng)變更必須經過嚴格的審查和測試，檢查它們是否破壞系統(tǒng)或生產環(huán)境的安全，以確?，F有系統(tǒng)的安全和穩(wěn)定。(6)可用性原則下的相關信息安全風險管理方針：一是要對重要信息系統(tǒng)實施業(yè)務連續(xù)性管理，預防因業(yè)務活動中斷而導致的系統(tǒng)服務中斷的風險，保證重要業(yè)務不受故障和災難的影響；二是應按照可以接受的風險水平對操作系統(tǒng)、MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究網絡和應用軟件進行維護，以提高系統(tǒng)的可靠性和可用性，并降低系統(tǒng)的脆弱性；三是要對信息系統(tǒng)進行階段性的風險評估，以判斷現有安全措施是否能充分有效地確保系統(tǒng)的可用性，是否需要增加其他的安全措施。(7)信息安全風險管理方針每年由銀行信息安全風險管理委員會進行評審和更新。2、制定信息安全風險管理策略在信息安全風險管理的總體方針指導下，商業(yè)銀行應進一步制定信息安全風險管理的具體策略。其重點：一是各項管理和操作中的信息安全風險管理；二是信息安全保密，實行嚴格的訪問控制機制；三是系統(tǒng)業(yè)務連續(xù)性管理，確保系統(tǒng)不問斷運行；四是銀行信息系統(tǒng)的反攻擊和防破壞。(1)信息安全風險管理制度方面：任何信息安全風險管理制度都必須經過制度制訂、制度發(fā)布、制度執(zhí)行、制度復審和制度體系驗證等階段。(2)組織內部安全風險管理方面：一是在信息安全風險管理組織體系方面，信息安全風險管理委員會的工作策略應包括：①確定信息安全風險管理的目標符合商業(yè)銀行的要求，并且與國家法律法規(guī)和行業(yè)規(guī)范相一致；②闡明、復查和批準信息安全風險管理策略；③為信息安全風險管理策略的執(zhí)行提供明確的指導和有效的支持；④提供信息安全風險管理運作體系所需的支持，為信息安全風險管理的執(zhí)行在商業(yè)銀行劃分明確的崗位和職責：⑥批準信息安全風險管理推廣和培訓的計劃和程序；⑦確保信息安全風險管理控制措施在商業(yè)銀行內部被有效地執(zhí)行；二是在信息安全風險管理的協調運作方面，信息安全風險管理委員會由來自銀行內部不同部門的代表組成，委員會協同工作，執(zhí)行跨部門的信息安全風險管理措施；三是信息安全風險管理崗位和職責方面，必須明確定義每個工作崗位和每個崗位的信息安全風險管理職責，必須明確商業(yè)銀行每個員工個人保護銀行信息資產和執(zhí)行具體信息安全風險管理程序的職責；四是信息處理設備的授權管理方面：①新設備的采購和設備部署的審批流程應該充分考慮信息安全風險管理的要求；②新設備在部署和使用之前，必須明確其用途和使用范圍，并對新設備的硬件系統(tǒng)和軟件系統(tǒng)進行安全檢查；③除非獲得信息安全風險管理委員會的授權，否則不允許使用私人的信息處理設備來處理商業(yè)銀行業(yè)務信息或使用信息資源；五是在保密協議方面，對能夠接觸到敏感信息的崗位，需要該崗位的員工簽署保密協議，防止信息泄露：六是銀行組織內部與外界的聯系方面：①在必要時可以聘請外部的信息安全風險管理專家提供有關信息安全風險管理建議：②必須與商業(yè)銀行以外的監(jiān)管機構、公安消防部門、媒體、廠商和服務提供商保持聯系，在發(fā)生信息安全風險管理事故時聯系相關組織，獲耿幫助；③在信息系統(tǒng)可能影2lMBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究響客戶服務時，必須以適當的方式及時告訴客戶，并根據不同的對象，指定相應的人員負責聯系和信息發(fā)布工作；④需與安全協會、行業(yè)協會、專業(yè)公司組織保持聯系，及時獲取安全咨詢、預警信息和行業(yè)最佳實踐經驗：七是在獨立的信息安全風險管理審核方面，必須對商業(yè)銀行信息安全風險管理控制措施的實施情況進行獨立地審核，確保商業(yè)銀行的信息安全風險管理措施符合策略的要求，而且原則應每年進行一次審核。(3)第二方安全風險管理方面：當銀行與客戶接觸時應強調信息安全，必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的信息安全要求，必須采取相應的保護措施保護客戶訪問的信息或信息系統(tǒng)。(4)第三方安全風險管理方面：一是進行信息安全評估的第三方應包括：①硬件廠商、軟件廠商和外包商；②監(jiān)管機構、外部顧問、外部審計機構和合作伙伴；③清潔工和保安；二是在決定聘請第三方前必須對其進行充分的評估，評估的內容包括但不限于：①第三方的經營狀況和財務實力；②第三方的誠信歷史；③第三方的能力和資質的評估；④第三方實際風險控制與責任承擔水平；⑤對商業(yè)銀行現有安全控制措施的影響；⑥對相關銀行業(yè)務系統(tǒng)的影響；三是根據評估中發(fā)現的風險制定相應的風險處理或防范措施，將對第三方的信息安全要求明確在合同中，必要時可報告監(jiān)管當局；四是建立完整的信息系統(tǒng)外包JxL險評估與監(jiān)測程序，嚴格管理外包第三方可能產生的信息安全風險；五是就針對第三方的信息安全風險管理措施進行評估，以確保各項措施被有效執(zhí)行，及時發(fā)現可能存在的風險隱患；六是與第三方簽訂協議的安全要求，如信息保密、知識產權和版權保護、物理上和邏輯上的訪問限制、商業(yè)銀行有權審查第三方合同執(zhí)行情況等；七是第三方訪問銀行信息系統(tǒng)的風險策略：①必須對第三方對銀行信息或信息系統(tǒng)的訪問進行風險評估，只有在風險降低到可接受的水平時才允許其訪問；②第三方所有的訪問申請都必須經過銀行信息安全風險管理委員會審批或者其授權的人員審批；⑨第三方對重要信息系統(tǒng)的訪問和操作必須有銀行相關人員陪同；④對第三方的安全要求必須包含在與其簽訂的合約中。(5)信息資產(包括信息類資產以及信息系統(tǒng)密切相關的實物資產)安全風險管理方面：一是明確信息資產安全風險管理責任，清楚識別所有的信息資產，所有與信息或銀行業(yè)務相關的重要資產都必須進行分類和清楚列明，并及時進行維護和更新；二是明確信息資產的管理權，指明具體的擁有者，擁有者根據職責進行管理并承擔管理責任；三是信息資產必須被合理使用，使用人需遵：子信息資產的保密和訪問策略，在授權范圍內使用信息資產，并承擔使用責任。(6)人員安全風險管理方面：～是人員的篩選應有一套符合銀行需要的用人原則，必要時需要對被篩選人員進行背景調查，確保其符合銀行信息安全風險MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安全風險管理體系研究管理的需要；二是人員被正式雇傭之前，應清楚說明其將要承擔的角色、職責和安全風險管理責任；三是人員被雇傭后應進一步了解和遵守銀行信息安全風險管理策略及其要求，進行信息安全風險管理意識的教育和培訓，對違反銀行信息安全風險管理要求的員工應進行相應的懲戒，甚至在確保銀行信息安全的前提下終止雇傭。(7)物理和環(huán)境安全風險管理方面：一是應設置安全區(qū)域，通過建立安全區(qū)域的信息安全風險管理制度確保安全區(qū)域的信息安全：①劃分物理安全邊界，設置銀行大廈和生產數據中心的統(tǒng)一入口，并專人值守和辦理人員出入登記；②非辦公時間非經授權不得進入安全區(qū)域，辦公時問員工進出須佩帶標志性證件，來賓進出必須經過信息安全管理委員會或者授權人員批準方可出入，安全區(qū)域中某些關系銀行核心安全的區(qū)域應設立單獨隔離區(qū)，嚴格控制接觸單獨隔離區(qū)的人員數量和接觸時問；③安全區(qū)域必須有防范外部和周圍環(huán)境威脅的措施，如火災、洪水、地震、恐怖襲擊、爆炸、騷亂等，某些重要安全區(qū)域如生產數據中心必須符合國家有關標準并做好各種防火、防潮、防塵、防盜、防磁、防鼠等措施；④在安全區(qū)域工作的員工和其他相關人員必須獲得授權，并在授權范圍或授權區(qū)域內工作，在銀行生產數據中心工作必須獲得更高級別的授權，所有安全區(qū)域以及生產數據中心的工作必須嚴格執(zhí)行有關信息安全風險管理的各項規(guī)定；⑤安全區(qū)域以及生產數據中心必須執(zhí)行巡檢制度，尤其生產數據中心應定期(通常l小時)巡檢，并配備人員24小時值班進行監(jiān)控；二是各類具體設備的安全風險管理：①設備的安置及保護應充分考慮各項針對設備的威脅，進而采取有效的針對性保護措施；②設備的操作應嚴格執(zhí)行有關規(guī)定，嚴禁違規(guī)操作；⑧保證設備正常運行的各類支持措施如電力供應、廠家維護等均應有具體的應急保障措施：④對銀行控制以外的各類通訊設備和通訊線路，需要同相關供應商(電信部門)簽訂有嚴格約束條款的協議，明確對方應承擔的有關安全風險管理責任。(8)各類操作的信息安全風險管理方面：一是要有規(guī)范的操作程序。所有的銀行業(yè)務系統(tǒng)必須建立規(guī)范的操作程序，操作程序一經制訂必須嚴格執(zhí)行，如需修訂必須經過嚴格的審核；二是操作人員的職責應明確劃分，尤其各類系統(tǒng)管理人員、一般操作人員和系統(tǒng)開發(fā)人員的職責應明確分開由不同人員擔任；三是針對各類業(yè)務系統(tǒng)的管理和操作必須實行雙人或多人共同實施制度，確保既有操作又有監(jiān)督。(9)網絡通訊的信息安全風險管理方面：一是網絡管理應設置專人管理并與操作系統(tǒng)管理人員分丌，并實行雙人管理與操作；二是應定義嚴格的網絡訪問策略，確保路由器和防火墻安全策略等網絡參數的完整性和嚴密性；三是應通過各種加密手段確保網絡通訊數據的保密性和防篡改性；四是實行對通訊網絡的MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究24小時監(jiān)控，及時發(fā)現內部員工與外部不法分子對銀行網絡的攻擊與破壞；五是建立網絡和通訊線路的冗余策略，通過熱備份或者冷備份機制保證網絡連接的高可用性；六是網絡的通訊容量應適時調整和升級，確保網絡帶寬和網絡設備容量能滿足銀行正常業(yè)務運營的需要。(10)業(yè)務系統(tǒng)的訪問控制方面：一是建立訪問控制策略：①禁止匿名訪問；②所有業(yè)務系統(tǒng)都必須有訪問控制列表，并定義訪問控制規(guī)則、用戶和用戶組的權限和訪問控制機制；③訪問控制列表應該進行周期性的檢查以保證授權正確；④所有訪問授權必須通過相應的審批；⑤系統(tǒng)自帶的默認賬號應該禁止使用或者配置密碼進行管理；二是建立用戶管理策略：①用戶必須通過注冊程序注冊后方能訪問業(yè)務系統(tǒng)；②用戶每次訪問記錄必須保留和維護；③用戶賬號必須專用，不允許共享用戶賬號；④用戶賬號超過一定時間不使用，必須自動禁用，欲再次使用必須重新獲得授權；⑤賬號名稱必須同使用者本人信息有一定關聯性，不允許設置看不出任何個人信息的公共賬號；三是建立密碼管理策略：①系統(tǒng)中存放的任何密碼均必須與用戶賬號合并后加密存儲；②密碼必須具有足夠的長度和復雜性，不允許設置過于簡單的密碼；③密碼應定期修改，超過一定期限沒有修改密碼的用戶必須強制其修改密碼；④用戶忘記密碼必須經過用戶確認后重新獲得授權和設置新的密碼；⑤必須設置用戶登錄時密碼錯誤的重試次數；⑥禁止用戶賬號和密碼被同時傳送或顯示；⑦所有業(yè)務系統(tǒng)必須建立應急賬號，應急賬號平時封存，只有出現緊急情況時才可啟用應急賬號，啟用后應急賬號的密碼必須重新修改并封存。(11)業(yè)務系統(tǒng)開發(fā)(含購買的商業(yè)軟件)和維護方面：一是業(yè)務系統(tǒng)本身安全風險管理需求分析和范圍的確定：①系統(tǒng)架構、用戶認證、訪問控制和授權范圍、業(yè)務(或事務)處理的機密性和完整性要求、日志記錄、系統(tǒng)配置、系統(tǒng)兼容性以及系統(tǒng)備份恢復等安全需求分析；②安全需求的評審、階段性檢查以及對商業(yè)軟件的安全評估；③系統(tǒng)的正式驗收以及正式使用前的安全測試；④系統(tǒng)各項業(yè)務同常操作和技術維護操作的檢查、審計；⑤操作F1志記錄、日志的查看權限以及預留的同志審計接口：二是商業(yè)軟件采購和使用的安全風險管理：①欲采購商業(yè)軟件(或產品)的選型評估和測試，包括廠家的資質評估和軟件(或產品)本身的資質評估、軟件(或產品)架構的評估、軟件(或產品)功能和性能的測試和評估、軟件(或產品)安全性的測試和評估、軟件(或產品)服務商維護能力的評估；②軟件(或產品)采購流程的合規(guī)性和有效性；③軟件(或產品)保養(yǎng)和維護的維護期限、維護人員以及服務響應時間；三是業(yè)務系統(tǒng)操作和應用中的安全風險管理：①業(yè)務操作數據輸入的驗證，包括數據的長度、類型、范圍和字符數限制等：②業(yè)務操作數據處理過程中的控制，包括數據校驗、數據例外MBA學位論文作者：匡景煒 A市商業(yè)銀行信息安傘風險管理體系研究處理、數據完整性檢查；③電子交易中的消息驗證：④業(yè)務數據輸出的驗證，包括數據合理性、輸入數據是否得到全部處理、輸出數據的狀態(tài)是否正常、輸出數據驗證功能的測試、數據輸出各環(huán)節(jié)所有相關人員的職責；四是系統(tǒng)的業(yè)務數據加密控制方面：①敏感業(yè)務數據存儲和傳輸均要求采用加密措施進行保護，而且必須采用符合國家安全標準的密碼設備或加密算法，算法強度和密鑰長度需符合數據保護的要求；②數據簽名的使用必須符合國家電子簽名法的相關規(guī)定；③用于加密的密鑰必須得到保護，在密鑰產生、變更、存儲、使用、交換和分發(fā)、注銷、恢復和備份以及密鑰銷毀方面均要制定嚴格的安全風險管理程序；④加密機(設備)應禁止非加密機管理員接觸，其使用必須符合國家法律、法規(guī)要求或行業(yè)規(guī)定；五是系統(tǒng)開發(fā)過程中的信息安全風險管理方面：①開發(fā)過程必須嚴格遵守商業(yè)銀行的開發(fā)流程和規(guī)范，每個階段均必須保留好相關文檔和記錄；②系統(tǒng)開發(fā)必須經過可行性論證，在充分考慮可行性以及相關風險和收益的前提下進行立項開發(fā)；③系統(tǒng)需求階段必須經過業(yè)務部門和技術開發(fā)部門的充分溝通，確保開發(fā)的系統(tǒng)能符合銀行業(yè)務流程的需要，需求分析要充分、深入并制定相應的風險控制措施；④系統(tǒng)設計必須充分考慮商業(yè)銀行現有系統(tǒng)的架構，確保不發(fā)生業(yè)務上的沖突，并需要事先考慮技術應急方案和業(yè)務連續(xù)性方案；⑤系統(tǒng)編碼必須符合商業(yè)銀行的開發(fā)規(guī)范，尤其要做好代碼注釋，涉及業(yè)務大量計算的代碼要做好技術優(yōu)化，開發(fā)部門對丌發(fā)的代碼要進行交叉檢查，檢查內容包括代碼質量，是否存在安全漏洞、后門、邏輯炸彈等；⑥系統(tǒng)測試至少需要進行功能測試、安全性測試、壓力測試、驗收測試和適應性測試，不得使用生產數據來測試，測試范圍包括所有的需求、設計功能點和安全控制功能點，并確保系統(tǒng)經過