【摘要】：自評估是被評估信息系統(tǒng)的擁有者發(fā)起的評估工作。目前自評估中使用的模型和方法過于理論化，資產(chǎn)、脆弱性、威脅的度量和評價(jià)操作起來比較困難，難以在銀行內(nèi)部推廣使用。那么，在基于銀行內(nèi)部信息科技風(fēng)險(xiǎn)管理已較為合規(guī)的情況下，如何設(shè)計(jì)簡單而有效的自評估模型和方法論，是我行必須考慮的一個重大課題。 本文以監(jiān)管機(jī)構(gòu)相關(guān)規(guī)定為依據(jù)，首先對傳統(tǒng)的風(fēng)險(xiǎn)評估技術(shù)進(jìn)行了研究，設(shè)計(jì)了銀行內(nèi)部開展信息科技風(fēng)險(xiǎn)評估的自評估模型和方法論。接著以自評估模型為基礎(chǔ)，針對目前行內(nèi)自評估工作量較大、流程繁瑣、科技人員缺乏評估背景等問題，，詳細(xì)設(shè)計(jì)并開發(fā)搭建了自評估風(fēng)險(xiǎn)管理系統(tǒng)，實(shí)現(xiàn)對自評估實(shí)施進(jìn)度的全流程動態(tài)管理。最后基于該自評估模型開展試點(diǎn)風(fēng)險(xiǎn)評估工作。 本文解決了傳統(tǒng)模型中資產(chǎn)、脆弱性、威脅的度量和評價(jià)問題，將銀行業(yè)務(wù)緊密地與專業(yè)的風(fēng)險(xiǎn)評估結(jié)合起來，并重新規(guī)劃了我行信息科技及其子領(lǐng)域的風(fēng)險(xiǎn)控制范圍，具有良好的適應(yīng)性、動態(tài)性。研究成果對銀行內(nèi)部開展信息科技風(fēng)險(xiǎn)自評估有較強(qiáng)的實(shí)踐意義，為科技人員開展自評估活動掃清了部分理論和技術(shù)障礙。
[Abstract]:Self-assessment is an assessment initiated by the owner of the assessed information system. At present, the models and methods used in self-assessment are too theoretical, the measurement and evaluation of assets, vulnerability, threats are difficult to operate, and it is difficult to popularize them in banks. Therefore, how to design a simple and effective self-assessment model and methodology is an important issue that our bank must consider when it is based on the information technology risk management within the bank. Based on the relevant regulations of regulatory agencies, this paper first studies the traditional risk assessment technology, and designs the self-assessment model and methodology of information technology risk assessment in banks. Then based on the self-assessment model, aiming at the problems such as large workload, cumbersome process, lack of evaluation background and so on, a self-assessment risk management system is designed and developed in detail. To realize the dynamic management of the whole process of self-assessment implementation progress. Finally, the pilot risk assessment is carried out based on the self-assessment model. This paper solves the problem of measurement and evaluation of assets, vulnerabilities and threats in traditional models, combines banking business closely with professional risk assessment, and replans the scope of risk control in the information technology and its sub-fields of our bank. Has good adaptability, dynamic. The research results have strong practical significance to carry out the self-assessment of information science and technology risk within the bank, which clears up some theoretical and technical barriers for the scientific and technological personnel to carry out the self-assessment activities.
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2012
【分類號】：TP311.52;F832.2

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 胡嘯 ,吳志剛 ,陳星;關(guān)于信息安全標(biāo)準(zhǔn)化的思考[J];信息技術(shù)與標(biāo)準(zhǔn)化;2005年04期

2 陳亮;;信息系統(tǒng)安全風(fēng)險(xiǎn)評估模型研究[J];中國人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版);2007年04期

3 董良喜,王嘉禎,康廣;計(jì)算機(jī)網(wǎng)絡(luò)威脅發(fā)生可能性評價(jià)指標(biāo)研究[J];計(jì)算機(jī)工程與應(yīng)用;2004年26期

4 艾明;向宏;康冶平;;風(fēng)險(xiǎn)評估中威脅發(fā)生可能性的定量分析方法[J];微計(jì)算機(jī)信息;2007年27期

5 徐崇嶺;;銀行信息安全風(fēng)險(xiǎn)自評估的流程和方法[J];中國金融電腦;2007年02期

6 余志偉;唐任仲;賈東澆;葉范波;;一種基于業(yè)務(wù)過程的信息系統(tǒng)安全需求分析方法[J];中國機(jī)械工程;2007年04期

相關(guān)博士學(xué)位論文 前1條

1 劉芳;信息系統(tǒng)安全評估理論及其關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2005年

相關(guān)碩士學(xué)位論文 前2條

1 彭澤偉;信息系統(tǒng)安全風(fēng)險(xiǎn)量化模型研究及風(fēng)險(xiǎn)評估系統(tǒng)的實(shí)現(xiàn)[D];重慶大學(xué);2006年

2 崇小蕾;信息安全風(fēng)險(xiǎn)自評估方法的研究及其輔助工具的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2006年

本文編號：2463585