信息安全管理与评估,信息安全管理定义

信息安全与业务的矛盾，多数体现在业务流程的设计方面。信息安全管理与评估,信息安全管理定义业务部门是必须考虑客户体验的，因此信息安全管理处理步骤越便捷、信息安全管理验证过程越简单越好。但是从信息安全的角度，有些必要的风险控制措施又不能简化。

例如，商业银行的II、III类电子账户的开设就是一个很典型的例子。从客户体验和便利性角度，信息安全管理开户信息及验证步骤越少越好，但是从信息安全角度，需要客户提供更多的个人信息，通过人脸识别、短信验证等步骤，才可以在客户不跟银行人员面对面接触的情况下，信息安全管理正确核验客户身份，信息安全管理确保客户开户意愿的真实性，既能保护客户不被假冒开户，也能够防止客户抵赖。客户转账或支付是第二个典型的例子。为了给客户更便捷的体验，信息安全管理有些金融企业采用一个认证因素（例如静态密码、指纹等）即可完成转账或支付类交易，但这会给某些攻击者可乘之机，因为静态密码很容易通过撞库等攻击方式获取，而客户指纹信息也可以被复制。因此从信息安全的角度，必须采用两种以上不同类别的认证因素，方可完成转账或支付这类对客户账户余额有改变的“动账”类交易，但这样显然会影响到客户体验。