- 快捷搜索
- 全站搜索
中国建设银行一直高度重视信息安全保护工作,在公安部、中国人民银行、银监会等监管部门的指导下,积极开展信息系统安全保护定级、测评、整改等工作,建立健全等级化的信息安全技术体系,加大信息安全技术投入,完善信息安全管理流程,加强人员安全意识和安全技能提升,有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响,保障了建行业务稳健发展和创新。
一、对信息系统等级保护工作的认识
“一管就僵,一松就乱”,在银行业早期信息系统安全建设方面表现较为突出。平衡信息安全与信息系统建设的关系,实现信息安全与业务创新的统一是建行迫切要解决的问题。在多年的信息系统建设实践中,建行切实感受到国家及人民银行推广等级保护工作的重要性和必要性。
等级化工作是优化资源配备,确保重点系统得到恰当保护的基础。从优化信息安全资源配备上考虑,不同的信息系统对于组织机构的重要程度是有区别的。核心业务系统遭到破坏将会导致整个组织机构无法正常运营,而内部学习系统等辅助系统遭到破坏对整个组织机构运营造成的影响较小。信息系统安全等级保护在对信息系统进行合理安全分类的基础上,采用强度不同的信息安全管理和技术手段,优化信息安全资源的配置,使重要信息系统得到重点保护,使得一般系统得到恰当保护。
等级化工作是避免一刀切、提高信息安全要求可行性的有效方法。如果所有信息系统全部采用高等级的安全保护措施,部署相同的保护设备、配置相同的人力、实施相同的安全流程,那么,一方面会造成安全的过度投入,另一方面也可能造成因为过度保护导致业务流程复杂化而影响业务开展,效率低下。也可能因保护要求过高而得不到执行,众多要求沦为一文空纸。
等级化工作倡导技术和管理并行,也为全面性管理指明了方向。要做好等级化工作,必然要求全面考虑企业的信息化建设和保障工作,建立有效的管理机制,将安全保障工作融入到信息系统的规划、定级、建设、运维等各环节,实现全生命周期管理;建立整体的技术保障体系,实现物理层、网络层、主机层、应用层以及数据层的立体化防御。
二、信息系统等级保护工作思路
信息系统等级保护工作要落地,就必须将安全建设融入到信息系统建设中,从源头抓起,在信息系统建设中同步组织信息安全建设,并建立安全等级定级、确定等级保护要求、明确实施策略、组织实施的规范工作流程。必须提供信息安全建设的可操作性,结合企业实际细化等级保护标准和工作指南。必须加强技术手段应用,加大基础安全平台建设,为等级化保护提供技术手段支持。
1.从源头抓起,规范等级保护工作流程,推进信息系统及安全建设
等级保护工作落实离不开管理工作流程的规范,建行将单个信息系统的等级保护实现过程分为信息系统安全保护等级定级、安全基线选取、安全策略确定、安全技术实现方式选择、安全产品选择、安全平台建设等环节。信息系统建设初期,业务部门提供信息系统安全等级所需的业务数据,技术部门定级后交业务部门确认,业务和技术部门从统一的视角确定信息系统安全保护等级。信息系统开发部门按信息系统安全等级确定信息安全保护要求,遵照信息系统安全技术实现策略选择适宜的安全技术平台或安全技术手段,组织信息系统安全建设。信息系统测试人员对照信息系统安全等级保护要求进行测试。按此流程,建行信息科技管理将安全等级保护工作与信息系统建设过程有机结合。
2.结合我行实际情况细化等级保护标准
国家出台的信息系统等级保护标准起点高远,指明了各行业信息安全保护的方向,融合了各行业共性的安全保护要求和措施。人民银行结合金融行业特点,细化增补控制要求,进一步增强了内容的全面性。但金融企业之间存在信息系统规模、能力建设等众多不同,落实时必然面临国家及金融行业安全等级保护要求如何与本单位实际结合的实际问题。建行采取的策略是——结合本行信息系统特点,细化等级保护标准,制订配套指南,明确安全要求技术实施路径。具体措施是,我行制订了信息系统安全等级划分标准、安全技术基线、安全技术实现策略、安全技术选用指南、安全技术应用指南、安全产品应用指南等一系列标准和操作指南,有效破解了国家及金融行业信息安全等级保护要求与行内技术实施之间的瓶颈。
3.加强基础安全平台的建设
加密、认证、监控等安全保护要求是各个信息系统的共性需求,建行改变了分散开发、投入大、质量无保障的局面,大力推进安全平台的统一开发,以高标准建设信息安全基础平台,通过推广基础安全平台,提升信息系统整体安全保护水平。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信