在我国的信息安全战略中，商业银行的信息安全具有十分重要的地位。为了应对日益严峻的信息安全形势，监管部门和各级商业银行不断提高重视程度，采取了各种管理和技术措施，防范信息科技风险。

　　相对于信息安全技术来说，信息安全管理是从企业战略出发，为实现信息安全目标，运用一定的手段或措施，对信息安全的非技术因素进行管理的活动。现代观念认为，保障信息安全除了运用信息安全技术，更多的要依靠信息安全管理，正所谓“三分技术、七分管理”。

　　信息安全形势错综复杂

　　当今网络世界暗流涌动，处在敏感、关键位置的银行信息系统，既面临着金融欺诈、火灾、水灾等大范围的安全威胁，又面临着计算机病毒、商秘窃取和黑客入侵等侵扰，并且随着信息技术的发展，各种威胁变得越来越错综复杂。

　　根据瑞士研究机构统计，在过去的8年中，超过半数的世界50强银行网站曾受到网络攻击。在公布的102起安全事件中，高风险或极度危险事件占总数的15%。由于许多银行不公开全部安全事件，因此实际情况要比统计结果严重得多。

　　外部攻击固然可怕，但能对组织造成巨大损失的风险主要还是来自内部。统计结果表明企业受到的安全损失中，70%是由于内部员工的疏忽或有意泄密造成的。比如，仅仅是为了方便记忆口令而粘在计算机屏幕边的便条，就足以毁掉花费大量人力物力建立起来的安全防护系统。

　　建立信息安全管理体系

　　根据木桶原理，一个木桶的最大容量取决于最短的那块木板。同理，一个企业的信息安全水平将由与信息安全所有环节中最薄弱的环节决定。

　　商业银行的信息安全管理工作涉及策略、组织、制度、技术等多个层面，既要抵御外部攻击，又要防范内部风险，任何一个疏漏都可能影响整体信息安全水平。要想实现信息安全目标，必须使构成信息安全这只“木桶”所有木板都要达到一定的长度。

　　但是信息安全是一个多层面、多因素、动态的过程，如果仅凭一时的需要，想当然地制定一些控制措施和引入某些产品，难免存在挂一漏万、顾此失彼的问题。

　　正确的做法是遵循国内外相关信息安全标准与最佳实践，考虑银行对信息安全各方面的实际需求，在风险分析的基础上引入恰当的控制方法，建立合理的信息安全管理体系。这个体系还不能一成不变，应当随着环境变化、业务发展和信息技术提高而不断改进。

　　因此实现信息安全是一个需要完整的体系来保证的持续过程。这也是商业银行为什么需要信息安全管理的原因所在。

　　目前国际上具有代表性的信息安全管理体系标准ISO 27001，已在世界范围内得到了广泛应用，并被我国等同采纳为国家标准。

　　根据该标准，信息安全管理一般包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作。

　　通过在安全方针策略、组织安全、人员安全、物理与环境安全等10个领域内建立管理控制措施，来为组织建立起一张完备的信息安全“保护网”，保证组织信息资产的安全与业务的连续性。

　　2013年1月，中国银联通过ISO 27001信息安全管理体系认证。2014年2月，中国农业银行总行信息技术管理部和软件开发中心通过了ISO 27001标准认证。截至目前，我国已经有十几家商业银行的总部或科技部门通过了ISO 27001认证。

　　实施ISO 27001至少可以给商业银行带来两方面效益：一是价值效益。减少信息安全事件发生概率，降低经济损失；二是非价值效益。增加声誉、提升品牌价值，成为商业银行向社会及监管机构证明其信息安全水平的一种有效途径。

　　融入全面风险管理体系

　　在商业银行全面风险管理体系中，信息安全管理与操作风险中的信息科技风险管理密不可分。2009年银监会颁布的《商业银行信息科技风险管理指引》，是商业银行开展信息安全管理的有力依据。

　　从管理思路来看，信息科技风险管理侧重对风险的识别、计量、监测和控制，信息安全管理侧重具体控制点和控制标准的PDCA（即计划、执行、检查和行动），但均属于操作风险管理范畴。此外，在管理组织、目标、措施、流程等方面，信息安全管理与信息科技风险管理均有较高的重合性。

　　随着计算机办公的普及，信息安全管理工作除了涉及信息科技部门外，还涉及全行各条线各部门，尤其与内控合规、内部审计、保密管理等部门关系密切。因此，信息安全管理可以作为操作风险管理内容之一，融入到商业银行全面风险管理体系中去，由全行各部门按照职责分工共同落实信息安全管理措施，共同打造一个安全的、抗风险的信息科技环境，促进商业银行业务的健康快速发展。