论文风险导向下人民银行信息技术审计模型构建是关于本文可作为人民银行方面的大学硕士与本科毕业论文人民银行官网论文开题报告范文和职称论文论文写作参考文献下载。
摘 要:中央银行的业务工作对信息技术的依赖程度不断提高,信息安全和技术风险问题也日益受到关注,在人民银行系统全面开展信息技术审计应得到各部门的高度重视.信息技术审计是面对计算机信息系统的审计,其目标是通过对计算机信息系统资产所面临的威胁、脆弱性识别以及管理和环境风险水平计算,来评估审计对象科技信息安全状态和存在的不足的流程,探索建立人民银行信息科技审计模型,发现和识别在科技信息系统的风险点和控制薄弱环节,提出有针对性的意见和建议,促进和维护计算机系统的合规性、安全性、可靠性及有效性.
关键词:人民银行;信息技术;风险导向审计
中图分类号:F830 文献标识码:A
文章编号:1005-913X(2015)12-0113-03
一、人民银行信息技术审计中风险导向内审模式的构建思路
随着信息化的迅猛发展,信息技术已经渗透到各个金融管理和服务领域.中央银行的业务工作对信息技术的依赖程度不断提高,信息安全和技术风险问题也日益受到关注,在人民银行系统全面开展信息技术审计应得到各部门的高度重视.信息技术审计是面对计算机信息系统的审计,其目标是通过对计算机信息系统资产所面临的威胁、脆弱性识别,以及管理和环境风险水平计算,来评估审计对象科技信息安全状态和存在的不足的流程,探索建立人民银行信息科技审计模型,发现和识别在科技信息系统的风险点和控制薄弱环节,提出有针对性的意见和建议,促进和维护计算机系统的合规性、安全性、可靠性及有效性.
二、人民银行信息技术审计风险评估指标体系构建
(一)资产重要性识别
资产是具有价值的信息或资源,是安全策略保护的对象.它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等.机密性、完整性和可用性是评价资产的三个安全属性.信息科技审计中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的.安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响.根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类.
通过对资产的机密性、完整性和可用性综合分析评定,可以对被审计资产的重要性给出一个评估结论.笔者将资产重要性划分为五级,级别越高表示资产重要性程度越高.具体见表1.
(二)资产威胁识别
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的.造成威胁的因素可分为人为因素和环境因素.根据威胁的动机,人为因素又可分为恶意和无意两种.环境因素包括自然界不可抗的因素和其它物理因素.威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件.根据人民银行科技信息工作实际,根据表现形式,威胁主要分为以下几类.见表2.
判断威胁出现的频率是威胁识别的重要工作,审计人员应根据经验和(或)科技部门提供的有关的统计数据来进行判断.根据人民银行工作实践,判断依据主要包括以下三个方面.
1.以往安全事件报告中出现过的威胁及其频率的统计.
2.实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计.
3.近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警.
威胁频率等级划分为五级,分别代表威胁出现的频率的高低.等级数值越大,威胁出现的频率越高.表3提供了威胁出现频率的一种赋值方法.
(三)资产脆弱性识别
脆弱性是对一个或多个资产弱点的总称.脆弱性识别也称为弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害.而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失.即,威胁总是要利用资产的弱点才可能造成危害.
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱性的严重程度进行评估.脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业等人员.脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等.
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题.管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关.具体识别内容见表4.
可以根据对资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值.脆弱性由于很多弱点反映的是同一方面的问题,应综合考虑这些弱点,最终确定这一方面的脆弱性严重程度.对某个资产,其技术脆弱性的严重程度受到组织的管理脆弱性的影响.因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度.
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低.等级数值越大,脆弱性严重程度越高.见表5.
(四)风险分析
审计人员在完成了资产识别、威胁识别、脆弱性识别,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险.风险计算以下面的范式形式化加以说明:
风险值等于R(A,T,V)等于 R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失.有以下三个关键计算环节.
总结:本论文可用于人民银行论文范文参考下载,人民银行相关论文写作参考研究。
参考文献:
1、 农村商业银行风险导向内部审计改革建议 [摘要]在当前经济下行壓力大的背景下,对农村商业银行进行改革,意义深远。农村商业银行在发展过程中已经暴露出了不适应改革发展要求的新问题,诸如:审。
2、 关于信息资源持续模型构建 关键词: 信息资源;持续使用;理性行为;期望确认;习惯;模型摘 要: 在理性感知理论、期望确认理论和习惯领域理论的基础上,构建了信息资源持续使。
3、 初中信息技术高效课堂构建探究 摘要:二十一世纪是信息化时代,信息技术已经融入了各行各业的发展中,掌握信息技术操作能力已经成为了人才在社会中发展的必备素质之一。在这一背景下,我。
4、 初中信息技术高效课堂构建策略之探究 摘 要:随着科学技术的日益发展,教师越来越注重对学生信息技术知识运用能力的培养,而信息技术作为一门能促进学生提升综合实践能力的学科逐渐受到学校和。
5、 风险导向审计模式对完善我国国家审计技术方法 [摘 要] 随着经济的发展和社会的进步,审计方法也面临着极大的机遇和挑战,如何提高审计工作的效率并降低其成本是目前审计人员共同探讨的问题。文章阐。
6、 农村商业银行实施风险导向内部审计问题 摘 要:风险导向内部审计经过多年的发展,不仅在理论方面得到了深入研究,形成了较为全面的理论体系,在实践方面也受住了考验,特别是在金融行业,风险导。