电子商务安全管理策略范文

时间：2023-08-18 09:31:54

引言：寻求写作上的突破？我们特意为您精选了4篇电子商务安全管理策略范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

电子商务安全管理策略

篇1

1．引言

随着信息技术和Internet的飞速发展，电子商务，特别是通过Internet进行的电子商务成了电子商务应用和发展的主要推动力。然而，由于Internet的高度开放性而随之带来的安全问题，严重影响了电子商务的广泛应用和发展。而目前的各种电子商务安全技术和安全协议的局限性，使得加强对基于Internet的电子商务安全管理策略的研究，有效地对各种电子商务安全技术和安全协议进行有效协调和应用，对于抵挡各种电子商务安全问题的冲击，无疑为人们在电子商务安全技术研究领域之外，提供了一个新的途径和方法。

2．电子商务安全管理策略的制定

2．1制定电子商务安全管理策略的目的

制定电子商务安全管理策略的目的是为了能够有效地保障电子商务系统安全、完整、正常地运行而不受破坏和于扰；能够有序地、客观地鉴别和测试电子商务系统的安全状态；能够对可能存在的风险有一个基本的评估；而当电子商务系统遭受破坏后能够采取及时有效的恢复措施和手段，并且对其所需代价有一定的估计。

对基于Internet的电子商务活动来说，构建一个安全的电子商务网络系统应首先确定其安全管理策略。解决电子商务安全问题，制定电子商务安全管理策略应从物理安全、网络安全、信息安全访问授权、病毒防范、灾难恢复等多角度、多方面考虑。

2．2电子商务安全管理策略制定原则

电子商务安全管理策略的制定就是针对电子商务系统中所要保护信息的、被攻击的可能性、投入的资金状况等，在电子商务系统管理的整个过程中，根据实际情况具体地对各种电子商务安全措施进行选择。有效的电子商务管理策略可以说是在一定条件下的成本和效率的平衡。虽然电子商务的具体应用环境不同，但我们在制定电子商务安全管理策略时一般都应遵守下面一些原则。

(1)综合性、系统性原则

该原则要求用系统的观点和方法来分析整个电子商务系统的安全问题，要求在综合各方面情况后制定相应的具体可行的安全措施。

(2)平衡分析原则

由于目前技术条件的限制，绝对安全的电子商务系统是做不到的。因此，要在对电子商务系统面临的威胁和可能承担的风险进行充分研究后，再结合目前的技术和资金条件制定相应的安全措旆以达到安全与价值的平衡。

(3)易操作性原则

再好的安全措施，都要由人来完成．因此，如果措施过于复杂，不便操作，那么电子商务系统的安全性也就无从谈起。

(4)适应性和灵活性原则

安全防范措施必须要能够随着电子商务系统性能、技术环境以及安全需求的变化而作出相应的调整以适应安全要求。

(5)多级保护原则

受目前技术条件限制，任何安全措施都有可能被攻破。因此，建立一个多级保护的系统，当其中某一层被破坏时，另外的层次也能起到防护作用。

2．3电子商务安全管理策略制定步骤

制定电子商务安全管理策略通常都包括以下几个步骤：

(1)确定目标

安全管理策略目标包括电子商务系统中被保护的对象，实现的方法和途径。

(2)明确范围

确定电子商务安全管理策略所要保护的资源范围以及相关保护环境的界定。

(3)争取来自高层管理的支持

来自电子商务系统所属单位的高层支持，对于保障电子商务安全管理措施的顺利运行，以及技术资金上的保证，都有重要的意义。

(4)评估危险

尽可能地对影响电子商务安全的各方面因素考虑周全，对可能存在的危险作出较为准确的评估，以便为制定安全管理策略提供依据。

(5)制定策略

完成前面几个步骤后，接着就根据经济和技术实力确定一个相对满意的安全策略。

(6)策略评估调整

在策略制定后，应评估其是否达到目标，以及当安全需求变化时作出适时的调整。

3．电子商务安全管理策略的基本内容

基于Internet的电子商务安全管理策略涵盖范围很广，一个完整的电子商务安全管理策略一般都可以分为物理安全策略、网络安全策略以及灾难恢复策略等。

3．1物理安全策略

物理安全策略是整个电子商务安全管理策略的不可忽视的重要基础。在基于Internet的电子商务整个交易过程中，对电子商务系统包含的相关物理设备有相当高的安全要求。影响电子商务系统安全的物理安全风险主要有自然灾害风险、人为风险和硬件防护风险。相应的物理安全策略也围绕上述三个物理安全风险展开。

(1)自然灾害安全防范策略

主要包括防火、防水和防雷措施。设备所在场所应避免火灾、水灾的发生并采取相应的隔离措施以保证在意外火灾、水灾下的设备防护。另外，电子商务系统的设备主要由电路组成，因此制定全方位、安全灵活的防雷措6S显得非常有必要。

(2)人为风险防范策略

人为风险包括人为的操作错误引起的安全问题、设备防盗以及计算机犯罪问题等。

人为操作方面引起的风险可以通过建立和健全安全制度来加以防止，同时加强和培育安全意识。对于设备防盗问题，如果资金允许，可以建立较为完善的防盗系统，如果资金不足，可以通过加强内部管理的方法加以解决。对于内外部人员的计算机犯罪问题，一是通过法律途径解决；二是加强自身安全防范。

(3)硬件防护策略

硬件防护包括电磁防护和硬件设备维护。

硬件维护包括服务器及其他相关设备的电源保护、有效的防静电措施以及要抑制和防范电磁泄露与电磁干扰。关于硬件设备维护，如果条件允许，可以增加设备信息保护装置。另外除了日常维护以外，还需要定期对设备进行检修。

3．2网络安全策略

网络安全是电子商务系统安全的核心，需要从技术和管理两方面入手，因此，网络安全策略分为技术策略和管理策略。

(1)技术策略

安装使用网络安全检测设备和相关软件

借助一些专用的网络安全监控设备和软件，加强对各种不法行为的监控和防范。

加强网络访问控制

访问控制是网络安全防范和保护的主要策略。它包括入网访问控制、网络权限控制、网络监测和锁定控制等。

采用防火墙技术

防火墙用来检查通过内部网和外部网间的信息往来，它可以鉴别网络服务请求是否合法，以便采取响应或拒绝的措施。

数据加密

数据加密是采用一定的加密技术，以防在传输过程中数据一旦被截获不致造成信息的泄露，其核心是加密的方式以及密钥的分配和管理。

引入鉴别机制

鉴别是查明另外一个实体身份和特权的过程，以确定其合法性，并作出响应。

(2)管理策略

加强电子商务网络系统的日常管理和维护

建立严格的保密制度

加强对管理人员监督和培训，落实工作责任制

建立跟踪、审计和稽核制度

完善病毒防范制度

建立健全相关法律法规制度

3．3灾难恢复策略

对于电子商务系统来说，灾难主要指意外的自然灾害以及黑客攻击等原因造成数据库受到的破坏。灾难恢复策略是为了在数据资源遭受破坏后迅速恢复系统功能，最大程度地保持数据资源的完整性，将损失降至最低。因此，灾难恢复主要包括备份和恢复两个环节。

(1)灾难备份

确定备份方案

建立数据恢复中心

建立完善的备份制度

(2)数据恢复

评估数据损失情况

确定数据恢复方案

恢复数据

4．结论

对基于Internet的电子商务系统来说，一个完善的安全管理策略，能够保障系统的正常运行；能够有序地、经常地测试安全状态；能够对可能的安全风险有一个基本的评估；能够在系统遭破坏后及时采取补救措施。

基于Internet的电子商务安全所面临的威胁是多种多样的，各种问题还会不断出现，同样，电子商务安全技术和安全协议也是不断发展的，因此，电子商务安全管理策略需要电子商务理论界和实业界进一步研究和完善。

主要参考文献

[1]甘早斌．电子商务概论(第二版)[M]．华中科技大学出版社，2003．

[2]钟诚．电子商务安全[M]．重庆；重庆大学出版社，2004．6．

篇2

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等，而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来，我国面临的网络仿冒威胁正在逐渐加大，仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件，超过2004年全年案件数，商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)－逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全，人与计算机之间的交互主要局限在大型计算机上的哑终端，安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段，由事件驱动，没有形成规范的管理流程。在此阶段的前期，只重视技术手段。后期开始重视管理手段，但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度，但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑，形成一套较为完整的安全管理策略，其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略，内容也包括了技术手段、安全管理制度、人员安全教育等等，基本上形成体系，技术和管理手段综合统一，但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次，安全管理策略也演进到安全风险管理阶段。主要特点如下：

1.安全风险管理成为主流趋势；在安全管理策略的演进过程中，技术和管理手段综合统一、又融入了风险管理的分析、防范策略，从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One)，认为信息安全问题最终将归结为风险管理问题，风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理，制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》，对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险，在相当程度上取决于采用的信息技术的先进程度，系统的设计开发水平，以及相关设施设备及其供应商的选择等；银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样，监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此，大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法，加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作，从经济学的角度出发分析风险，充分衡量保持安全的代价和收益之间的关系，寻求用最小的代价实现最大的效用，在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略，在全局上缺乏系统论理论的指导，在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞，无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略，以及作为指导意见的规则规范，如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB／T18336．1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》，尽管提出了比较全面的安全风险管理方案，层次上也比较清晰，但是还不足以作为一个风险防范系统。实践中，电子商务组织是一个复杂的系统组织，电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟，定量分析不足

电子商务模式自身的发展历史也不过20几年，在风险分析的定量技术上并不成熟；如BS7799中推荐的电子商务安全风险管理中实施风险评估时，往往将威胁发生的可能性定性划分为几个级别，将威胁所造成的影响也定性划分为1～5级，实质上是将一些按照概率发生的事件定义为不连续的几个级别，在操作上易行，但造成了度量的不精确。在进行监控和审计之后，也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上，电子商务的安全风险无非是新兴的商业模式对传统的风险的改变，以及产生的在传统风险控制领域暂时无法明晰的新风险；现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题，站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次；忽略了风险的整体性，只进行偏信息和技术的研究，导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言，传统金融业务的风险控制与电子商务的技术风险控制，两个方面存在脱节，同样属于商业银行的风险，存在着不同的管理策略，导致多头管理、资源浪费、机构之间的扯皮，乃至缺位管理。

(四)风险管理策略无法依赖外部的信息安全管理行业

在发达国家，信息系统审计(Is Audit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门；风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后进行监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶，商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定，商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失，巴塞尔委员会制定资本要求的转换系数；在度量损失的分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分析的尝试。

篇3

国内外调查显示…，52．26％的用户最关心的是网上交易的安全可靠性，超过6O％的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。

电子商务的安全，可分为技术安全和管理安全两种类型。所谓技术安全，是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件，甚至网络银行帐号、密码等，给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段，最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行，都有过由于内部人员的违规和违法操作，导致数据被篡改和泄密的事件发生。

近几年的电子商务安全案件表明：人员是网上交易安全管理中的最薄弱的环节，近年来我国计算机犯罪大都呈现内部犯罪的趋势，有的竞争对手利用企业招募新人的方式潜入对方企业，或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后，迅速把客户资料、产品研发成果等机密出售给竞争对手，给企业带来了不必要的经济损失。

2、原因分析

电子商务信息安全已经引起很多企业的重视，但大多数企业往往侧重于加强技术措施，如购买先进的防火墙软件，采用更高级的加密方法等，很多企业认为：员工泄密的安全事故只是偶然现象，很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位，很多先进的安全技术无法发挥应有的效能。之所以出现上述问题，主要有以下原因：

首先，很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施，企业内部缺乏系统的安全管理策略，只是被动的使用一些技术措施来进行防御，因此电子商务过程中一旦出现突发性事件，往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的，不安全因素随时存在。因此，安全管理措施必须渗透到系统的每一个环节和企业组织的～个层面，只有构建一个人与技术相结合的安全管理体系，才能确保整个电子商务系统得安全。

企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面，缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性，而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异，对于不同业务领域来说，信息安全具有不同的涵义和特征，信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。

缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强，没有一批业务能力强，且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才，就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发，加快信息安全人才的培养。

企业对员工的信息安全教育不够。员工的信息安全意识薄弱，9O％的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体，如U盘、移动硬盘以及笔记本等移动办公设备。

3、加强电子商务安全管理的建议

电子商务信息安全管理实践表明，大多数安全问题是由于管理不善造成的。安全管理是一项系统工程，不仅涉及到企业的组织架构、信息技术、人员素质等各个方面，还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素：改变lT系统不等于改变企业的信息安全管理，要使企业信息尽可能的安全，必须在技术投人的基础上融人人在管理方面的智慧i同时，不仅要防外，更要防内，即对组织内部人员的管理。信息安全问题的解决需要技术，但又不能单纯依靠技术。整个电子商务的交易过程，是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。“三分技术，七分管理”阐述了信息安全的本质。

电子商务的安全管理，就是通过一个完整的综合保障体系，来规避信息传输风险、信用风险、管理风险和法律风险，以保证网上交易的顺利进行。网上交易安全管理，应采用综合防范的思路，一是技术方面的考虑，如防火墙技术、网络防毒、信息加密、身份认证、授权等，但必须明确，只有技术措施并不能完全保证网上交易的安全。二是必须加强监管，建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全，我们提出如下建议：

(1)提高网络安全防范意识。

现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱，其中的机密数据得不到应有的保护。据调查，目前国内90％的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座，只有提高网络安全防范意识，才能有效的减少信息安全事故的发生。

(2)建立电子商务安全管理组织体系。

一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要，还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问，负责提供安全建议，特别是在安全事故或违反安全策略事件发生后，可以被安全决策机构指定负责事故(事件)调查，并为安全策略评审和评估提供意见。

(3)制定符合机构安全需求的信息安全策略。电子商务交

易过程中，需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准，并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估：在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。

(4)人员安全的管理和培训

参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是，他们具有智能性、隐蔽性、连续性、高效性的特点，因而，加强对有关人员的管理变得十分重要。首先，在人员录用时应做好人员鉴别，人员录用或人员职位调整时，一般要签署保密协议。当人员到期离开或协议到期、工作终止时，要审查保密协议。其次对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和规程方面的培训。第三，落实工作责任制，在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责，对违反网上交易安全规定的人员要进行及时的处理。第四，贯彻网上交易安全运作基本原则，包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。

(5)增强法律意识，促进电子商务立法

面对电子商务这种新型的贸易形式，我国目前尚无专门法规可依，使得部分违法犯罪人员没有得到应有的惩罚。近几年里，国家加强了这方面的投入。在全国性的立法文件中，《合同法》的部分条款可以看作是针对电子商务的立法。此外，广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动，电子政务等其他应用应该有新的适用法规。

篇4

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)－逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

(二)标准化时期

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次，安全管理策略也演进到安全风险管理阶段。主要特点如下：

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作，从经济学的角度出发分析风险，充分衡量保持安全的代价和收益之间的关系，寻求用最小的代价实现最大的效用，在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

(二)风险分析的模型与方法不成熟，定量分析不足

(三)忽视与原有的传统风险管理策略的结合

(四)风险管理策略无法

依赖外部的信息安全管理行业

在发达国家，信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

(二)电子商务安全风险管理中定量分析中的改进思路

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统，二者相互联系、相互影响，不可分割。尝试借鉴信用风险与操作风险度量的方法与思想，短期内将其与信用风险控制衔接，最终形成一个全面的商业银行安全风险管理框架。

(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务，采取定期评估审计、不断采取措施改善风险状态的策略；(2)在目前商业银行的组织与管理体制下，风险控制部门与传统金融业务部门的流程需不断改善，商业银行必须创造条件，加强风险管理部门与电子商务部门的交叉配合，包括各部门人员的配置、培训等各方面；使风险管理部门能够履行安全风险管理的监控与审计职能；(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究，不断提高风险管理部门综合控制风险的能力，充分考虑电子商务安全风险与信用风险、操作风险的交叉问题，为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家，信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

(二)电子商务安全风险管理中定量分析中的改进思路

电子商务安全管理策略范文

篇1

篇2

篇3

篇4

相关精选

电子音乐论文

电子商务安全对策

电子档案管理方法

电子技术作业

电子封装的技术

相关范文

推荐期刊

电子制作