建立一個強健的信息安全架構是云時代銀行信息風險管理自動化、系統化，智能地管理信息安全活動的基礎。

?

信息風險管理隨著信息技術的發展而逐步演進，從信息技術安全逐步發展到信息安全并最終演變成信息風險管理，其關注點也從技術風險、被動的威脅驅動的管理，逐步發展到以技術和業務相關的風險驅動的主動并整體的管理方式。

第一階段，信息技術安全關注基礎架構方面的安全威脅，同時涵蓋應用開發和安全事件管理等。第二階段范圍則擴展到整個信息的生命周期管理過程，包括機密性、完整性和可用性，在審計和監管要求的基礎上適應業務。在第三階段將信息與技術風險融入到整體風險過程，基于風險的技術將幫助業務制定風險管理的策略，并確定可接受剩余風險的水平。

除了信息技術的發展，信息風險管理還受到新出現的威脅、不斷演進的業務模型和逐漸嚴厲的監管要求的重要影響。隨著云計算、社交媒體以及大數據技術的發展，信息風險管理發展到一個全新的階段。

云時代的銀行信息風險管理完全適用于信息風險管理的3個方面。人員，主要是安全認知及其相應的培訓，這里通常會涵蓋技術人員與普通用戶兩方面，人員的信息安全意識是云時代信息風險管理的一個重要組成部分。第二方面是流程，云時代的信息風險管理仍然需要遵從風險識別、風險評估、風險消減及風險監控的過程。最后是技術，在信任計算、加密技術、數字簽名等傳統安全技術的基礎上，遵從安全架構圍繞身份管理、訪問控制與授權、CIA等概念，構建安全的SaaS、IaaS和PaaS。

云時代的智能企業信息安全架構是什么樣的呢？

當下多數的研究集中在信息安全技術的某個分支，如網絡安全、應用安全、網格安全、Web安全、全面入侵檢測等，并停留在應用層面的研究上面。第一，缺少一種能將各種不同信息安全系統或解決方案整合到一起的企業信息安全整合架構，不同的系統與解決方案之間可能的不兼容性。可能會使系統的信息風險管理控制無法有效實現。第二，由于信息風險管理系統自動信息收集仍不完善，手工的信息收集與分析過程中容易因為人為的干預而造成錯誤。第三，lSO/IEC 27000為企業信息安全管理提供了很好的規劃與指引，但是由于缺乏合適的工具來管理，企業信息風險管理活動很難落地。

建立一個強健的信息安全架構是云時代銀行信息風險管理自動化、系統化，智能地管理信息安全活動的基礎，一個智能企業信息安全架構是建立在數據倉庫和數據集市基礎之上的，并且具有一個專有的安全服務總線，目的是通過使用業務流程管理（BPM）、規則引擎等技術，為銀行提供一個集成的主動管理并能夠有效控制的企業信息安全平臺。通過商務智能、AI等方法，在保證信息安全管理和信息風險管控的過程中實現自優化管理。企業智能信息安全架構可以幫助銀行等企業將信息安全管理提高到業務和監管機構所期望的水平。

智能企業信息安全架構應該具有如下的特性和優勢：

整合：能整合所有的企業信息安全管理相關的活動，甚至可以將企業信息安全管理和風險管控整合到同一個框架中。

重用：具有行業無關性，除了銀行企業外，可適用于各類金融企業和組織，服務的封裝使得架構的重用變得簡單，因為這些服務既不需要依存于服務的內容及其狀態，又與其實施和客戶需求變更無關。

面向服務的架構：SOA架構的采用為服務提供了獨立性、自我管理和自我恢復機制，這將有助于構建整合的、有效的通用企業信息安全環境。

集成數據環境：需要建立在一個整合的信息安全數據環境之上，分開的運營型數據和分析型數據可以滿足不同的信息安全系統在這個架構統一的平臺中協同工作。

商業智能：采用數據挖掘和模式識別等BI技術、大數據技術進行高水平的信息安全管理活動，通過這些技術的運用可以減少信息風險管理工作中的大量手工作業和人為判斷，提高信息安全管理和風險控制水平。