• 快捷搜索
  • 全站搜索

金融标准化在信息安全等级保护中的实践

2014-03-27 15:49:21作者:中国人民银行昆明中心支行 王珊珊 邱云武 摆晔编辑:金融咨询网
人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上,按照标准化技术和方法,创新制订了《银行业金融机构信息安全检查规范》,作为落实等级保护管理要求的检查标准。

信息安全等级保护是国家在信息安全保障工作中的一项基本制度,人民银行根据国家关于信息安全等级保护工作的相关制度和标准,制订了金融行业信息系统信息安全等级保护系列标准,2012年已由金融标准化技术委员会以中华人民共和国金融行业标准对外发布,即《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》。笔者就金融行业信息安全系列标准的管理与实践应用的话题,与行业同仁探讨。

一、金融行业信息安全系列管理标准应用

        人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上,按照标准化技术和方法,制订了《银行业金融机构信息安全检查规范》(以下简称《规范》),作为落实等级保护管理要求的检查标准。

        1.以标准化方法细化检查依据

        金融信息安全管理体系范围与内容复杂庞大,研究表明,金融信息安全等级保护系列标准规范涵盖了金融机构信息化安全管理的基本管理要求和基本技术要求,因此,金融机构信息安全检查应以信息安全等保制度作为检查依据。目前,根据人民银行总行和公安部的统一部署,银行业金融机构正在有序开展网络及信息系统的定级、评审、备案、测评和整改工作。

        2.以标准化技术明确检查内容

        金融机构信息安全检查应以金融信息安全等级保护的管理要求为基础,同时,从实际工作出发,需要增加以下内容。

        一是增加信息安全概况的内容。按照统一的标准化方式统计各银行机构信息化发展规划、人员资金投入、开发建设、专项治理、安全保障等情况,便于检查人员掌握了解被检查商业银行信息化建设的基本层面。

        二是增加银行卡联网联合技术管理的内容。当前,银行卡犯罪呈上升趋势,人民银行总行高度重视银行卡联网联合及其带来的信息安全管理工作,在《规范》中应增加相关检查内容。

        三是增加金融业机构信息管理的内容。金融机构代码在我国实施的金融标准化战略中,具有重要的基础作用,人民银行通过检查金融机构代码证申领、年检、变更和撒消,确保金融机构信息的真实、准确、有效,因此,在《规范》中应增加相关检查内容。

        3.以标准化手段细化检查流程

        一是标准化的检查方案。由于银行金融机构分为法人和非法人机构,金融信息化发展水平不均衡。省、市、县、营业网点金融信息化发展不均衡,制订的《规范》作为通用工作规范,并按照信息安全等级保护定级分别标注出来,检查单位要根据被检查银行信息安全等级保护定级情况,在通用规范的基础上定制检查方案。

        二是标准化的检查内容。由于各银行金融机构的基础、投入、核心系统等不同,导致各行信息安全管理具有独立性,金融信息安全管理组织、资料名称、归聚存在差异,检查单位应关注被检查单位信息安全管理的实质内容,忽略具体表现形式。

        三是标准化的机房核查流程。网络和信息系统正常运行是业务开展的基础,机房属于银行核心区域,因此,检查人员进入机房应注意按照相应管理制度执行。

        四是标准化的协查规定。信息安全涵盖机房、网络、系统、安全、银行卡、机构信息等,检查人员需要与不同的技术人员交流,被检查单位应指定专人全程陪同,负责协调。

        五是标准化的禁止规定。为了避免检查人员登录被查单位信息系统出现误操作,造成重大损失,检查人员应与联络人进行充分沟通,由被查单位人员具体上机操作,严禁检查人员直接登录被查单位信息系统操作。

        六是标准化的通报格式。检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,分别以限期整改、风险提示、暂停服务进行处理,并结合实际情况,提出整改时限。

二、系列管理标准在人民银行昆明中支的实践

        1.首次实施统一的监管标准

        2013年5月,人民银行昆明中心支行制订并对全省发布《规范》(昆银发[2013]139号),首次统一了金融信息安全检查标准。全省16个地区人民银行各级机构依据《规范》,组织了综合执法检查金融业信息安全调查,对机房及基础设施管理、网络管理、信息系统管理、信息安全管理、金融机构信息管理、银行卡联网联合技术管理、网上银行信息安全管理7个大类254个调查项,204个检查项实施了信息安全检查。具体数据统计见表1、表2、表3。

金融标准化在行业信息安全等级保护中的实践-表1.jpg

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章