• 快捷搜索
  • 全站搜索

发挥等保龙头效应 构筑安全保障体系

2012-08-19 22:39:08作者:中国农业银行信息技术管理部副总经理 涂晓军编辑:
农业银行在落实等级保护工作过程中,提升了信息安全管理工作水平,提高了信息系统的安全防控能力,保障了重要信息系统安全稳定持续运行。

信息安全等级保护是国家信息安全的基本制度。对信息系统实行等级保护,能够增强安全保护的整体性、针对性,使信息系统安全建设更加突出重点、统一规范、科学合理。本文将围绕农业银行的等级保护工作实践,分享其在信息安全建设中的作用,探讨其落地过程中存在的问题。

等级保护工作实践
        2007年以来,农业银行按照公安部、人民银行有关信息安全等级保护的标准规范和工作要求,实施了信息安全等级保护定级、备案、测评、规划、整改建设工作。

        1.等级保护工作现状
        首先,对重要信息系统进行定级梳理,做到摸清信息资产、厘清系统等级。在梳理过程中,按照业务类型、服务对象等因素,将重要信息系统划分为交易类、中间业务类、生产管理类、数据交换类和其他类。共计28个重要信息系统,并比照定级指南确定了各系统的安全保护等级。

        其次,2008年完成对重要信息系统的等级保护测评。此后对发生重大变更的系统和新增系统持续进行等级保护测评。

        第三,以等级保护测评为契机。以等级保护各项安全要求为指导,逐步建立信息安全保障体系。一是提升IT管理水平。建立健全信息科技风险管理组织体系,形成信息科技风险的三道防线,明确风险管理职责:逐步完善信息科技风险管理制度,提升信息科技风险规范化和精细化管理水平。二是提升信息系统安全防护能力。推行覆盖软件研发全流程的CMMI过程管理体系,从“产品制造”环节消除系统风险隐患;初步构建一体化生产运行体系,引入ISO20000服务质量管理体系,提高信息系统安全运行保障能力;推广ISO27001认证,强化数据中心IT风险管理体系建设,促进信息安全和风险管理工作的制度化和标准化;推进应急管理和灾备体系建设,提升保障信息系统业务连续性的能力。三是加强基础设施建设。通过不断加大对机房、网络、系统资源等基础设施的投入,初步构建了资源共享、动态扩展、按需配置的IT基础设施支撑体系。实施机房建设达标工程,对机房安全风险防控进行常态化管理;加强网络安全建设,构筑网络防护屏障;优化系统资源配置,提高资源安全性、稳定性和使用效率。

        2.深化落实等级保护工作
        2007年以来,农行在不断深化等级保护工作过程中意识到,只有在常规工作中充分考虑等级保护各项要求并有意识地将其融人工作目标中贯彻实施,才能使等级保护落到实处。结合信息化建设“十二五”规划的各项工作安排及新的安全形势带来的挑战,农业银行制订了信息科技风险管理体系建设的总体规划,通过确立信息科技风险管理方针策略,健全管理体系和技术体系,构建以预防为主、风险管控为核心的信息科技风险管理体系,保障信息系统安全持续稳定运行。等级保护作为具有中国特色的信息安全风险管理的理论和方法,将贯穿于体系建设的各环节,与ISO27001系列标准相辅相成,互为补充,指导全行建立全面覆盖的信息安全保障体系,构筑信息系统的安全屏障。

        3.等级保护工作体会
        首先,高层重视是落实等级保护工作的前提。等级保护涉及信息科技管理、研发、运维等工作的方方面面,需要各系统使用部门、开发部门、运维部门、管理部门共同参与。必须由高层统筹推进,协调各部门通力合作,确保等级保护各项要求落到实处。

        其次,多措并举是等级保护工作的保障。一是建立信息科技风险常态化检查、评估工作机制,实现对信息安全风险的持续改进。二是建立风险隐患整改长效机制,切实做好安全建设整改工作。三是大力推进标准体系建设,将等级保护的各项要求融合在标准体系建设过程中。

        第三,全员参与是等级保护工作的基础。在高度依赖信息系统的银行业金融机构,信息安全不仅仅是单个部门的责任,而需要各方人员积极参与,切实将安全工作落实到信息化建设的各个环节。只有这样,才能变“头疼医头、脚疼医脚”的被动模式为“整体设计、综合防御”的主动模式,切实提高全行信息系统的整体安全防护能力。

等级保护在信息安全建设中的作用
        农业银行在落实等级保护工作过程中,提升了信息安全管理工作水平,提高了信息系统的安全防控能力,保障了重要信息系统安全稳定持续运行。

        首先,为构建目标明确、重点突出的信息安全保障体系指明方向。信息安全等级保护各项标准指南明确规定,确保业务信息安全以及业务连续性是各单位信息安全建设的最终目标。以此为指引,等级保护划定了实施安全建设的工作域,并从安全技术和风险管理层面对各工作域所应达到的具体安全要求进行详细刻画,打破以往信息安全建设过程中安全目标笼统、安全要求混乱的状况。商业银行通过实施等级保护,能够更加明确安全保障体系的建设目标,并依据等级保护中规定的基本安全要求,本着重点突出、循序推进的工作原则,脚踏实地的做好安全建设工作。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

科技金融安全
云计算安全问题突出

云计算中心是特殊的信息系统,其安全等级保护应从技术和管理角度全面实施。实施可参照GB/T25070—2010《信息系统安全等级保护设计

科技金融安全
北京银行信息安全等级保护建设实践

对信息安全保护必须符合客观情况和实际业务需求,在正确的信息安全政策和策略指导下,实行分级、分类的方式进行安全防护。