【电子商务安全】我国商业银行电子商务安全风险管理策略的薄弱点 (一)系统管理思想缺乏 目前的电子商务安全风险管理策略，在全局上缺乏系统论理论的指导，在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞，无法形成一张全面有序的安全网络。 实践中被采用的安全风险管理策略，以及作为指导意见的规则规范，如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》，尽管提出了比较全面的安全风险管理方案，层次上也比较清晰，但是还不足以作为一个风险防范系统。实践中，电子商务组织是一个复杂的系统组织，电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。 (二)风险分析的模型与方法不成熟，定量分析不足 电子商务模式自身的发展历史也不过20几年，在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时，往往将威胁发生的可能性定性划分为几个级别，将威胁所造成的影响也定性划分为1～5级，实质上是将一些按照概率发生的事件定义为不连续的几个级别，在操作上易行，但造成了度量的不精确。在进行监控和审计之后，也存在无法量化、对比的问题。 (三)忽视与原有的传统风险管理策略的结合 本质上，电子商务的安全风险无非是新兴的商业模式对传统的风险的改变，以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题，站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性，只进行偏信息和技术的研究，导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言，传统金融业务的风险控制与电子商务的技术风险控制，两个方面存在脱节，同样属于商业银行的风险，存在着不同的管理策略，导致多头管理、资源浪费、机构之间的扯皮，乃至缺位管理。 (四)风险管理策略无法 依赖外部的信息安全管理行业 在发达国家，信息系统审计(Is Audit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。 (五)风险管理策略中商业银行的内部风险控制能力薄弱 我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。