- 快捷搜索
- 全站搜索
银行信息系统和网络是根据数据金融产品服务、业务流程及管理需求而设计和建立的,并根据安全域理念进行部署运行。对信息安全保护必须符合客观情况和实际业务需求,在正确的信息安全政策和策略指导下,实行分级、分类的方式进行安全防护。
作为一家上市银行,北京银行不断实现发展战略突破,先后设立了9家异地分支机构。随着通讯网络规模的不断扩张,信息系统结构的日趋复杂,计算机系统安全防护能力逐渐成为影响银行发展和竞争能力的关键因素之一。北京银行成立16年来,始终秉持服务创新、科技兴行的发展理念,持续加大在信息安全技术和产品上的投人,通过部署功能先进、多层次的安全防御设备,建立了完善的安全监测和防护体系;通过采用双机热备、负载均衡和虚拟化等技术,实现了全系统冗余备份设计,确保全行计算机系统不间断稳定运行。伴随着西安异地灾备中心的投产使用,北京银行成为第一个建立起“两地三中心”灾备体系架构的中小商业银行。
信息安全等级保护工作的理论与实践
信息系统安全等级保护制度作为信息安全系统分级分类保护的一项国家标准,对于完善银行计算机系统安全保障能力,提高信息安全建设工作的整体水平,具有非常重要的意义。为此,北京银行高度重视落实开展信息安全等级保护工作。早在2006年,作为北京市唯一一家试点单位,北京银行参加了公安部牵头组织的信息安全等级保护试点工作,圆满地完成了信息系统等级保护定级和备案工作。后续,又逐步落实了全行重要信息系统的差距分析和建设整改工作,并完成了三级以上系统的测评工作。去年年底以来,又积极配合人民银行科技司关于对《金融业等级保护系统规范征求意见稿》和《银行业金融机构信息系统安全等级保护定级的指导意见(征求意见稿)》的意见反馈工作,结合多年来开展等级保护工作的实践经验,反馈了多项有价值的建议。
北京银行在信息技术总部成立了由首席信息官为组长,以总行信息技术部门负责人和骨干员工为成员的信息安全等级保护专项工作组,负责组织协调和推动落实信息安全等级保护的各项工作,具体工作措施如下。
第一,明确工作方针。北京银行开展等级保护工作总体上遵循预防为主、权限分离、成本平衡、动态管理、分级保护、全员参与、最小权限、全部禁止的原则。从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求,在完善安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理基础上,保证信息安全的可靠性和有效性。
第二,落实安全责任。坚持实行“谁主管谁负责,谁运营谁负责,谁使用谁负责”。信息技术部门负责监督、检查、指导,并提供安全保护技术支持服务。
第三,开展现状分析。每年定期对信息系统安全保护的现状进行分析,依据等级保护规范,采取对照检查、风险评估、等级测评等方法,结合曾经发生过的安全事件,分析目前所采取的安全保护措施与等级保护标准要求之间的差距。
第四,系统定级报备。针对全行重要信息系统,经过定级小组审核评定后,形成定级报告并备案。
第五,差距分析与整改。聘请公安部门推荐的信息安全等级保护测评机构,对等级保护工作落实情况进行差距分析,排查系统安全漏洞和隐患,分析风险程度,形成改进建议方案。再根据整改方案,实施整改工作,一是建立并落实人员安全管理、系统建设管理、系统运维管理等各项制度规范,形成完善的安全管理体系;二是开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全、数据安全、系统开发安全和外包安全等安全保护技术措施,建立并完善信息系统综合防护体系。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信