銀行信息安全風險評價體系的構建及實證研究

尚亞龍

（國家開發銀行寧夏回族自治區分行 寧夏 銀川 750000）

引言

信息技術的發展使得銀行的的建設和發展速度不斷提升，同時也使得銀行金融產品的數量和種類在不斷豐富。商業銀行不僅需要完善的信息系統作為支撐，同時還需要借助信息技術對銀行數據進行處理和分析，因此不斷的提升商業銀行信息安全系統的等級變得尤為重要，而信息安全風險也將成為國家金額發展的重要風險之一。新時期的銀行信息安全管理尤為重要，需要引起社會的廣泛關注。目前國內很多的銀行風險管理上多以事后處理為主，在風險的防范和化解方面缺失，相關的技術管理手段和管理制度還需要進一步的完善，整體上還沒有形成一套完備的預防管理體系。為了更好的對銀行信息安全風險管理進行研究，本次論文也將在熵權-AHP評價方法的基礎上，對商業銀行的安排風險評價進行研究和分析。

1 銀行業信息安全風險評價研究現狀

《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件)從2003年頒布以來，對規范我國安全管理工作開展發揮了重要的作用。在這份文件中，不僅對安全風險評估的重要作用進行了明確的規定，同時也是今后銀行業信息安全風險管理和風險防范的重要依據，將更好的指導我國的信息安全風險體系的完善。隨著國家對信息安全風險評估的重視程度不斷提升，很多學者也開始關注信息安全風險評價的研究，并取得了一定的研究成果。其中李鈞銳根據信息流相關理論的研究，對信息風險的風險域進行了劃分，通過根據不同的風險域借助模糊綜合評判法可以進行有效的風險評估。鄭皆亮在灰色理論的基礎上建立了專門的安全風險評估模型，并根據三角白化權數和隸屬度等指標可以確定相應的安全風險等級。賈斌同樣借助模糊綜合評估方法實現了對安全風險的評估，并取得了一定的效果。吳亞非、李新友等認為當的信息安全風險評估也可以借助信息化的軟件和產品工具來輔助實現，并介紹了相應的軟件和使用方法。程湘云在概率風險相關理論的基礎上建立了定量風險計算模型，同時通過對故障樹對網絡系統的實例分析總結了安全風險因素和系統漏洞產生原因。

本次論文也將從眾多文獻研究的基礎上，更好的針對當前商業銀行運行過程中的安全風險因素，從全過程管理的角度對風險評價以及體系建立進行了分析和論述。

2 銀行業信息安全風險評價體系構建

2.1 風險因素的確定

針對信息在銀行各業務中的流動程序，本文根據以往學者的研究結論從信息采集、信息使用以及信息維護三個方面對威脅信息安全的因素歸納總結，具體的風險因素見圖1。

至此，形成了由3個準則層指標、13個1級指標、54個條目組成的銀行信息安全風險評價體系初始測評指標體系（見圖1）。研究繼續進行了初始量表的預測試及修正：（1）將初始量表發給專家小組（銀行領導者10位、信息安全主管10位、高校計算機及金融領域教授10位），在聽取專家對初始問卷中條目結構、清晰度、易讀性的建議后對初始問卷進行修改，共刪除11個條目，對語義和語句錯誤進行修改，形成修改后的初始測評量表；（2）本研究以中國西北某省會城市某銀行為預測試對象，共發放問卷200份，回收問卷113份，其中有效問卷94份，回收率和有效率分別為56.5%和83.19%；（3）將調研得到的數據，借助Spss26.0進行探索性因子分析（KMO和Bartlett球體檢驗），其中KMO值為0.841、Bartlett球體檢驗小于0.001，證明樣本可以進行因子分析；（4）采用主成份分析進行因子提取，13個項目聚合成3個因子，積累方差結實率達到69.42%，三構面的概念結構非常清晰，在經過正交旋轉的成分矩陣中，4個指標載荷指標沒有達到0.50，予以刪除，最后9個項目更好地聚合到3個因子上，積累解釋率達到71.43%，各項目載荷量最小值也達到6.91，修訂過的測評量表具有良好的聚合效度。正式測評量表中包含3個一級指標，9個二級指標，37個條目。如表1第1和2列所示。

表1 銀行信息安全風險評價指標體系

2.2 識別體系的構建

2.2.1 AHP法求指標主觀權重

依據評測量表構建結構模型，請上文中由30位專家組成的小組對目標層與準則層各指標進行兩兩打分（采用Santy的1—9標度方法），由此得出30份打分結果（每份1個目標層判斷矩陣、3個準則層判斷矩陣）。本研究應用yaahp7.5軟件計算AHP權重，由于軟件包含判斷矩陣一致性檢驗（本研究各判斷矩陣CR<0.1），專家群決策分析、權重計算等功能，詳細步驟不在此贅述。主觀權重值見圖2第3列。

2.2.2 熵權法求指標客觀權重

以往研究多利用熵權法公式，手動計算客觀權重值，繁瑣、耗時且易出現誤差。本研究應用matlab 2018版軟件，依據熵權法計算原理編程，結合3.1中得出的判斷矩陣，運算出各評測指標客觀權重，見圖2第4列。

2.2.3 組合權重的確定

表2 銀行信息安全風險評價體系的權重信息及排序

2.3 風險評價體系的說明

從表2各風險因素組合權重的權值可以看出，信息資源的可獲取性是影響銀行信息安全風險的最重要因素，其次是后續信息的跟蹤程度，信息的維護成本對銀行而言，也是信息安全能否得到保障的重要印象因素。而信息資源的可辨識度、信息更新程度等因素，對銀行信息安全的影響并沒有其它因素程度深。

3 銀行業信息安全風險評價體系的實證研究

3.1 數據采集

本研究選取了中國西北某省會城市七家銀行（不同名稱）作為實證研究對象，為了對研究對象的敏感信息進行保密，文本中不公開研究對象的具體網點名稱，利用“問卷星”在線調研網站作為數據收集平臺，采用李克特5點量表方式完成在線銀行信息安全風險評價體系網頁。按照以下規則發放問卷：（1）每家銀行發放30份問卷，共210份問卷；（2）方法對象主要針對每家銀行的信息管理或信息安全主管人員。

3.2 結果分析

取每家銀行指標數據的平均值，與本研究得出的對應組合權重相乘，得出每家銀行信息安全風險評價的評分數據，見圖3。

實證研究的結果具有以下啟示：（1）信息維護所面臨的風險最大，說明中國西北某省會城市銀行業在信息安全的維護方面效果一般；（2）總評分均值位于中等偏上水平，說明中國西北某省會城市銀行的信息安全風險，總體處于一般偏高的水平；（3）各銀行網點間的信息安全風險系數差別不大，說明銀行在信息安全風險的處理能力上具有相似的水平；（4）所有影響銀行信息安全風險的因素中后續信息的跟蹤程度是影響的主要因素，銀行應該在此方面跟進措施，才能顯著提高信息安全水平。

表3 實證研究結果

4 結論

本文首先對當前銀行業所面臨的信息安全風險狀況進行了簡要分析，隨后對以往學者在此領域的研究建樹進行了總結，而后提取了影響銀行信息安全風險評價體系的9個影響因素，并利用熵權-AHP方法對評價體系進行了綜合權重的計算，最后應用評價體系進行了實證研究。

研究得出以下結論：（1）銀行信息安全風險評價體系包含三個準則層指標，分別是信息采集風險、信息使用風險和信息維護風險，其中信息維護風險對信息安全的影響最大，信息采集風險次之。（2）利用熵權-AHP方法構建了銀行信息安全風險評價體系，并對中國西北某省會城市七家銀行進行了實證研究，實證研究證實了評價體系的可行性。（3）中國西北某省會城市銀行的總體信息安全風險處于一般水平，信息維護方面所面臨的風險最大，但各個網點的信息安全風險系數趨同。

本研究結論的意義在于：（1）建立了銀行信息安全評價指標體系，該體系可以銀行業測評信息安全水平提供實踐指導；（2）對銀川市銀行業的實證研究結論為該市銀行的信息安全管理措施提供了方向。