商业银行信息系统安全风险识别与风险库研究

信息安全研究 ›› 2018, Vol. 4 ›› Issue (10): 940-945.

商业银行信息系统安全风险识别与风险库研究

郭汉利¹,张辉¹,杨宝辉²,顾呈页²

1. 中国建设银行股份有限公司信息技术管理部
2. 中国建设银行股份有限公司金融科技部

收稿日期:2018-10-11 出版日期:2018-10-15 发布日期:2018-10-11
通讯作者: 郭汉利
作者简介:郭汉利工学学士，高级工程师，主要研究领域为信息安全管理、安全技术架构。张辉工学硕士，主要研究领域信息安全技术架构杨宝辉工学硕士，主要研究领域信息安全技术架构顾呈页工学学士，主要研究领域信息安全管理

Research on Information System Security Risk Identification and Risk Database Construction of Commercial Bank

Received:2018-10-11 Online:2018-10-15 Published:2018-10-11

摘要/Abstract

摘要： 风险识别是商业银行信息系统安全风险管理的基础，风险被识别后才能进行有效管理.目前业界缺少可操作性强的风险识别方法和通用的信息系统风险基础库，导致风险管理更多以控制为核心而非以风险为核心.通过借鉴国内外业界标准和实践，深入分析大量信息系统安全风险事件，建立风险要素模型、风险识别方法和风险数据库，统一风险认知，实现对信息系统安全风险的有效识别，明确风险管控目标和重点，提高银行信息科技风险管理水平，增强风险管控能力，支持银行金融科技创新和发展.

关键词: 商业银行, 信息系统, 风险识别方法, 风险基础库, 风险特征

Abstract: Risk identification is the basis of the information system security risk management of the commercial Banks. The known risks can be managed effectively and efficiency. However, there is not a feasible risk identification method and lack of the common information system risk database in the banking industry. Because of that, it may lead to take the control as the core rather than the risk. Based on the industry standards and practices at home and abroad, and thorough analysis of a large number of information system security risk incidents, this essay established the risk factor model, risk identification method and risk database. Those unified risk perception; achieved effective information system security risk identification; clearly defined objectives and priorities of risk management and control; improved the level of bank information technology risk management; strengthened risk control ability; and offered support to the innovation and development of banking fintech.

Key words: commercial bank, information system, risk identification, risk database, risk features

郭汉利张辉杨宝辉顾呈页. 商业银行信息系统安全风险识别与风险库研究[J]. 信息安全研究, 2018, 4(10): 940-945.

[1]	荣晓燕刘海峰李晨旸高磊. 一种综合运动会信息系统全生命周期网络安全保障思路研究[J]. 信息安全研究, 2020, 6(7): 664-668.
[2]	朱林陆明. 信息系统建设者视角下生命周期安全管理研究[J]. 信息安全研究, 2020, 6(12): 1139-1144.
[3]	卢宝林. 某电力集团公司互联网出入口安全防范技术研究[J]. 信息安全研究, 2019, 5(8): 650-655.
[4]	胡向禹. 中国疾病预防控制信息系统云认证服务模式的建设与应用[J]. 信息安全研究, 2017, 3(6): 554-559.
[5]	安宁钰. 《可信计算体系结构》标准综述[J]. 信息安全研究, 2017, 3(4): 299-304.
[6]	孙彦刘贤刚蔡磊. 美国信息系统审计机制研究[J]. 信息安全研究, 2017, 3(12): 1108-1114.
[7]	孙宇千刘述忠陈灏中. 生物识别技术在商业银行应用发展分析[J]. 信息安全研究, 2017, 3(11): 1006-1010.
[8]	郭汉利张辉李爱宏. 商业银行企业级密码服务平台的设计与实现[J]. 信息安全研究, 2017, 3(10): 0-0.
[9]	刘文. 信息安全审计问题与应用创新策略研究[J]. 信息安全研究, 2017, 3(10): 0-0.
[10]	陈芳. 金融领域信息系统密码算法升级的研究与实现[J]. 信息安全研究, 2016, 2(8): 754-759.
[11]	吴志军. 美国民航信息安全保障计划研究[J]. 信息安全研究, 2016, 2(6): 562-567.