通过风险评估,可以进行风险计算,计算出大致成本,控制防范风险就是要采取行动,并得到资金的支持。银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
在硬件方面控制风险,首先要选择合适的供应商,选择满足安全要求的解决方案。在网络安全方面,要将银行内部网络与银行外部网络隔离,通过防火墙或者代理服务器连接。通过隔离连接容易实现数据检查,减少系统暴露面,发现问题系统及时报告及时处理。在银行信息系统建设上,可以借鉴成熟的运行系统,采用成熟的信息技术,银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果
在银行信息系统运行方面,银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权
银行信息系统风险管理要坚持持续管理风险的理念,银行信息系统风险的存在是会随着时间和环境的变化而不断变化,持续管理就是要跟随环境的变化。建立持续管理策略,就是在银行信息系统中,不断地进行评估。不断地实施PDCA循环,即计划(Plan)、实施(Do)、检测(Check)、改进(Action)四个进程。安全控制的境界不能放在不断纠正错误上,应该放在预防上,就是要不断检测,不断发现不安全因素,不断地改进,使系统符合变化环境下安全需求。