依托信息安全基线 提升科技管理水平

信息安全基线由一组安全配置项组成，这组安全配置项描述了一个单位在某一时点的整体信息安全状态，是该单位信息安全总体水平的量化表述。近年来，人总行综合人民银行内部、金融行业、等级保护、分级保护等多类制度形成《人民银行信息安全综合规范》，以此为基础引入信息安全基线常态管理的工作思路并提出“建立健全人民银行信息安全管理基线”的工作目标。在人总行信息安全工作精神的指引下，人民银行广州分行结合广东省内科技工作特点，从信息安全基线实施的本地化、标准化、信息化等方面着力，积极探索信息安全基线管理实践并取得良好成效。

一、规范：人民银行信息安全基线简介

　　《人民银行信息安全综合规范》涉及总行、省级行、地市中支、县支行4级机构，包含机房环境、网络安全、应用安全、保密技术管理、信息安全管理、安全运维6大类合计1076个项目，人民银行信息安全基线就是对这1076个项目某一时期状态的记录。

二、探索：提高合规性，降低风险性

　　广州分行以“提高合规性、降低风险性”为目标，从多个方面围绕信息安全基线进行科技管理探索实践。

　　1．树立和强化以基线管理为核心的信息安全工作意识

　　广州分行明确信息安全工作思路应以信息安全基线管理为核心，并采取多项措施树立和强化科技人员信息安全意识。

　　一是建立管理办法，奠定制度基础。广州分行于2013年初发布《中国人民银行广州分行信息安全基线管理办法（暂行）》（广州银科[2013]8号），明确了基线管理的岗位职责、变更要求、检查要求以及填报规范等内容。

　　二是加强培训教育，夯实知识基础。结合具体工作的开展，广州分行组织举办多次信息安全专题培训，各有侧重地对基线管理的相关内容和落实措施进行深入讲解。

　　三是开展岗位考试，激发工作热情。2013年上半年，广州分行以信息安全基线为主要内容，分设科技管理、综合管理、机房管理、网络管理、运维管理、信息安全、项目建设、银行卡、金融机构编码管理、电视会议运维10个科目，组织全省科技人员开展岗位应知应会考试。上述措施的实施，有效地将全省信息安全工作思路统一到信息安全基线管理上来，牢固树立了科技人员以基线为准绳的工作意识，为后续深入推进信息安全基线管理奠定坚实基础。

　　2．对基线内容实施本地化和标准化管理

　　以《人民银行信息安全综合规范》为基础的信息安全基线包括1000余个检查项目，涵盖科技管理的大部分关键环节，虽然每个项目都标明了适用范围，但由于广东省内地市中心支行较多、各地区实际情况差异较大，如果简单照搬实施，则会存在“水土不服”，如：地市中心支行一般无三级系统、机房一般为C类机房，部分地市中心支行对同一项目的理解和填报标准不一致等。广州分行在具体实施中采取以下措施对基线内容进行本地化和标准化管理。

　　一是深入分解，全面梳理。广州分行结合2012年以来的安全基线管理经验，对省内基线项目进行全面梳理，分离出分行机关不适用项329项、地市中支不适用项391项，有效提高基线管理实施的可操作性。二是建立模板，细化项目。在总行原有基线项目的基础上，建立包含基线内容、情况说明、符合情况、整改内容、整改时间、整改责任人、变更情况等指标的基线模板，并结合全省安全自查、上级检查、专项审计等实际工作反复验证和完善。三是发布指引，树立标准。制定并发布《广东省人民银行地市中支信息安全基线部分项目填写指引》，明确复杂项目的填报标准，对全省统一的项目预先整理出标准化选项，充分体现基线的“标尺”作用。

　　3．督促检查整改工作落实以提升基线管理成效

　　在信息安全基线日常管理的基础上，广州分行结合年度信息安全检查计划，对全省工作落实情况进行检查督促，确保基线管理取得实效。一是通过开展年度信息安全自查、上级检查、专项审计等工作，对全省基线管理要求的落实情况进行核查，比对各地市中心支行基线填报是否与实际情况一致。二是统一实施难点和重点加固项目，对在全省基线填报中反映的普遍问题、整改难题进行专题分析，如：IMS系统安全配置、业务网及办公网网络安全加固等；同时，组织广东省内各地市中心支行统一实施整改，提升整体安全防护水平。

　　4．采用信息化手段实现安全基线动态管理

　　广州分行积极践行“以技术手段实现科技管理”的工作理念。一是开发信息系统，实现基线管理流程数字化。广州分行依托广东省科技管理平台，根据实际需要自主开发安全基线管理系统，实现信息安全基线项目录入、修改、查询、汇总统计等功能，系统既可单独查询每个项目的符合和变更情况，也可按照“符合情况”等关键指标对所有基线项目进行汇总统计，生成全省信息安全基线符合情况汇总统计表。

　　二是利用非现场监控方式实现部分基线项目的远程动态监控。经过逐条分析基线项目，广州分行筛选出一批非现场检查项目，通过查阅网上记录、调阅签字扫描件、对比脚本程序检查结果等方式对其开展检查，极大提高检查效率。

三、成效：信息安全管理水平明显提升

　　2013年，广东省有3家地市中心支行接受信息科技专项审计，发现的问题数量较2012年明显减少，问题风险等级明显下降，信息安全管理水平明显提升。

　　一是贯彻信息安全基线理念，对日常科技管理尤其是变更管理加以控制，牢固确立信息安全基线的“标杆”作用，实现各项科技工作内容可管理、可控制、可操作，减少科技管理风险隐患。

　　二是定期填报信息安全基线，每季度对人民银行各级科技部门进行“全面体检”。通过和基线对照检查发现问题，重点关注未达标的安全项目，全程跟踪整改效果，实现对各单位信息安全状态的结构化、有序化管理。

　　三是信息安全基线规定了各岗位科技人员“应知应会”的知识技能要求，明确了每个岗位要做什么、如何做，确保要求落实到位、操作有据可循，科技人员可有的放矢地学习知识和掌握技能，不断提升专业素质。

　　四是通过信息化手段实现安全基线准确高效管理，既通过填报表单模板化杜绝主观性和随意性，又可通过查询统计功能全面掌握全省人民银行科技管理情况，从而有效提升管理精细化程度。

四、后续：灵活应用，深入完善

　　信息安全基线管理是当前以及未来一段时间科技管理工作的核心，广州分行将继续结合实际工作加深对安全基线的理解和认识，动态更新基线管理配套规范和指引，将基线管理理念灵活应用到科技工作的各方面、各层次中。同时，将继续完善安全基线管理系统功能，将该系统与广东省科技管理平台的事务审批、运维管理、安全检查等功能有机结合起来，推动科技管理信息化水平持续提升。

（文章来源：《金融电子化》杂志）

扫码即可手机
阅读转发此文