【摘要】：自評估是被評估信息系統(tǒng)的擁有者發(fā)起的評估工作。目前自評估中使用的模型和方法過于理論化，資產(chǎn)、脆弱性、威脅的度量和評價操作起來比較困難，難以在銀行內(nèi)部推廣使用。那么，在基于銀行內(nèi)部信息科技風險管理已較為合規(guī)的情況下，如何設(shè)計簡單而有效的自評估模型和方法論，是我行必須考慮的一個重大課題。 本文以監(jiān)管機構(gòu)相關(guān)規(guī)定為依據(jù)，首先對傳統(tǒng)的風險評估技術(shù)進行了研究，設(shè)計了銀行內(nèi)部開展信息科技風險評估的自評估模型和方法論。接著以自評估模型為基礎(chǔ)，針對目前行內(nèi)自評估工作量較大、流程繁瑣、科技人員缺乏評估背景等問題，，詳細設(shè)計并開發(fā)搭建了自評估風險管理系統(tǒng)，實現(xiàn)對自評估實施進度的全流程動態(tài)管理。最后基于該自評估模型開展試點風險評估工作。 本文解決了傳統(tǒng)模型中資產(chǎn)、脆弱性、威脅的度量和評價問題，將銀行業(yè)務緊密地與專業(yè)的風險評估結(jié)合起來，并重新規(guī)劃了我行信息科技及其子領(lǐng)域的風險控制范圍，具有良好的適應性、動態(tài)性。研究成果對銀行內(nèi)部開展信息科技風險自評估有較強的實踐意義，為科技人員開展自評估活動掃清了部分理論和技術(shù)障礙。
[Abstract]:Self-assessment is an assessment initiated by the owner of the assessed information system. At present, the models and methods used in self-assessment are too theoretical, the measurement and evaluation of assets, vulnerability, threats are difficult to operate, and it is difficult to popularize them in banks. Therefore, how to design a simple and effective self-assessment model and methodology is an important issue that our bank must consider when it is based on the information technology risk management within the bank. Based on the relevant regulations of regulatory agencies, this paper first studies the traditional risk assessment technology, and designs the self-assessment model and methodology of information technology risk assessment in banks. Then based on the self-assessment model, aiming at the problems such as large workload, cumbersome process, lack of evaluation background and so on, a self-assessment risk management system is designed and developed in detail. To realize the dynamic management of the whole process of self-assessment implementation progress. Finally, the pilot risk assessment is carried out based on the self-assessment model. This paper solves the problem of measurement and evaluation of assets, vulnerabilities and threats in traditional models, combines banking business closely with professional risk assessment, and replans the scope of risk control in the information technology and its sub-fields of our bank. Has good adaptability, dynamic. The research results have strong practical significance to carry out the self-assessment of information science and technology risk within the bank, which clears up some theoretical and technical barriers for the scientific and technological personnel to carry out the self-assessment activities.
【學位授予單位】：上海交通大學
【學位級別】：碩士
【學位授予年份】：2012
【分類號】：TP311.52;F832.2

【參考文獻】

相關(guān)期刊論文 前6條

1 胡嘯 ,吳志剛 ,陳星;關(guān)于信息安全標準化的思考[J];信息技術(shù)與標準化;2005年04期

2 陳亮;;信息系統(tǒng)安全風險評估模型研究[J];中國人民公安大學學報(自然科學版);2007年04期

3 董良喜,王嘉禎,康廣;計算機網(wǎng)絡威脅發(fā)生可能性評價指標研究[J];計算機工程與應用;2004年26期

4 艾明;向宏;康冶平;;風險評估中威脅發(fā)生可能性的定量分析方法[J];微計算機信息;2007年27期

5 徐崇嶺;;銀行信息安全風險自評估的流程和方法[J];中國金融電腦;2007年02期

6 余志偉;唐任仲;賈東澆;葉范波;;一種基于業(yè)務過程的信息系統(tǒng)安全需求分析方法[J];中國機械工程;2007年04期

相關(guān)博士學位論文 前1條

1 劉芳;信息系統(tǒng)安全評估理論及其關(guān)鍵技術(shù)研究[D];國防科學技術(shù)大學;2005年

相關(guān)碩士學位論文 前2條

1 彭澤偉;信息系統(tǒng)安全風險量化模型研究及風險評估系統(tǒng)的實現(xiàn)[D];重慶大學;2006年

2 崇小蕾;信息安全風險自評估方法的研究及其輔助工具的設(shè)計與實現(xiàn)[D];西安電子科技大學;2006年

本文編號：2463585