• 快捷搜索
  • 全站搜索

建设银行信息安全管理体系的贯标之路

2014-08-27 11:50:05作者:中国建设银行信息技术管理部总经理 金磐石编辑:金融咨询网
建设银行借鉴ISO27001、GB/T 22080、COBIT等业界成熟标准,打造属于自己的信息安全管理体系,建立起适应新一代信息系统的整体安全架构,为全行的信息系统建设提供安全服务和保障。

马斯洛需求层次理论提出人除了生理需求,最急切的就是安全需求;如把信息系统视同有生命的对象,那么信息系统除了正常运转外,最重要的也就是信息的安全,这在信息化最广泛、信息处理规模最大的银行业更为突出。然而,商业银行尤其是大型商业银行,在线上万台设备、运转上百套应用、二三十万员工频繁操作、日均数亿笔交易、对外日均交换海量数据的情况下,确保信息安全谈何容易。

        引入标准、引入遵循业界及国家信息安全标准是人们直接的想法。标准来自实践,是前人摸着石头成功过河的经验提升。然而,具体环境千差万别,知道“标准是什么”是一回事,将标准与一个个具体实践相结合,“用好标准”是另一同事,贯标后管理水平未见提升的也不乏少数。对于如何实现两者的有机结合,建立适应建设银行的信息安全管理体系,真正有效保护信息资产,建设银行进行了有益的探索。建设银行从企业级、体系化视角开展信息安全管理顶层设计,吸收借鉴ISO27001、GB/T22080、COBIT等业界成熟标准提供的全局思维和最佳实践,并将这些标准的理念、内容整合到实际管理制度和流程中,实现两者有机融合,取得了良好成效。

金磐石.jpg

借力业界成熟标准,务实开展信息安全建设实践

        1. 认知业界成熟安全标准

        信息安全无论无意为之或有意攻击,都与人有关。因此,信息安全的核心因素是人,关键在管理,必须通过标准来规范管理组织和人的行为。20世纪90年代中期开始,国际上陆续出台多项信息安全管理标准,如1995年,英国标准协会(BSI)发布的BS7799—1:1995《信息安全管理实施细则》(2000年被ISO/IEC采纳成为国际标准,进而发展为ISO27000系列标准)。1996年六国七方(英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究院)发布的《信息技术安全性通用评估准则》(简称CC),国际信息系统审计与控制协会(ISACA)发布的COBIT1.0。

        2005年以来,又有一系列标准的发布,使信息安全管理标准体系日趋成熟。如2005年,ISO发布ISO27001:2005,ISAC发布COBIT4.0,CC标准被ISO采用后发布更新版本ISO15408:2005。2010年以后,相关标准化组织对这些标准规范进行修订,发布了最新版本,如ISO发布了ISO27005:2011,ISACA发布COBIT5.0等。

        与之同时,我国也加快了国际标准的采标及自主标准制定工作,采用ISO27001:2005转为国内的GB/T22080—2008《信息技术安全技术信息安全管理体系要求》,采用ISO27002:2005转为国内的GB/T22081—2008《信息技术安全技术信息安全管理实用规则》,并结合国内实际,自主制定的GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》、GB/T25058—2010《信息安全技术信息系统安全等级保护实施指南》等信息系统安全等级保护标准,用于指导我国信息安全体系建设。

        纵观上述各标准体系,ISO27001因其整体性和可操作性强而得到业界广泛认同,许多国家的政府机构、银行、证券、保险公司、电信运营商均采用该标准来实施自身信息安全管理。ISO27001:2005包含信息安全方针、信息安全组织、资产管理等11个领域,39个目标,133个控制项,要求组织通过一系列的过程,如确定信息安全管理体系范围,制定信息安全方针策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织实现动态、系统、以预防为主的信息安全管理方式。

        2. 建行应用业界成熟标准的策略

        建设银行在信息安全能力建设过程中,充分参考业界标准,但不是直接照搬使用,因为经过横向对比和综合分析发现,这些业界成熟标准均有不同的出台背景,不同的国情文化以及不同的适用范围和应用场景,例如ISO27001源自英国,侧重信息安全管理;CC源自美国,侧重安全技术;COBIT源自美国,侧重于IT审计。企业应用借鉴标准要与企业风险容忍度、管理理念及管控流程相结合。因此,建设银行对于业界安全标准的应用策略是消化吸收和转化使用。消化吸收是指充分理解这些标准的框架、理念、方法和思路,灵活运用,构筑自身的信息安全管理体系;转化使用是指将建设银行管理流程与这些标准的具体控制要求进行对照,通过对流程进行优化、重组,将这些控制要求转化为建行信息安全管理的内在控制要求,并形成制度标准正式发布,固化实施,确保信息安全控制要求有效落地。

        3. 建行应用业界成熟标准的实践成果

        经过多年应用实践,建设银行已初步形成了具有建行特色的企业级信息安全管理体系和信息安全技术体系。其中,信息安全管理体系充分借鉴了ISO27001、GB/T 22080一2008等标准;安全技术体系充分借鉴了GB/T22239—2008、GB/T 22240一2008等标准。

        (1)在信息安全管理体系建设方面
        《中国建设银行信息安全管理办法》(以下简称《办法》)是建行信息安全管理的纲领性文件,明确了信息安全的管理政策、目标、范围和原则,指导全行开展信息安全制度建设以及具体管理工作。

        《办法》在吸收ISO27001预防为主、持续改进理念基础上.结合我国国情和建行实际,明确提出“全面管理、预防为主、分级保护、合规审慎”信息安全管理原则。其中:全面管理是指信息安全管理覆盖信息科技管理活动及业务管理活动中所有信息资产,涵盖信息资产全生命周期。预防为主是指信息安全管理采取事前防护,过程控制,持续改进的策略,在信息系统建设中同步进行信息安全建设。分级保护是指根据信息系统重要性确定安全等级,实施差异性保护。合规审嗅是指信息安全管理遵守国家法律、法规,遵循监管要求。

        在信息安全组织方面,《办法》明确了全行信息安全组织架构,确定了高管层、信息委、技术部门、业务部门的信息安全管理职责,其中:信息技术与流程银行建设委员会(以下简称信息委)是建行信息安全战略和办法的具体组织实施者,对信息安全工作负责。

        在信息安全控制领域及控制点方面,《办法》对ISO27001提出的信息安全管理11个领域,39个目标,进行兼收并蓄,明确了信息资产分类和分级、信息安全体系管理、数据安全管理、开发安全管理、运维安全管理、桌面安全管理、系统网络安全管理、物理安全管理等覆盖银行所有信息科技活动的信息安全控制领域和目标。《办法》从准确定义信息资产、明确保护对象入手,按照信息资产承载业务价值和无形价值、信息资产损失、差错或失效对企业、客户及社会的影响不同,对信息资产进行安全等级分类。在此基础上,甄别各类资产的生命周期,分别制定覆盖全流程的保护措施,实行差别化保护管理,并对每个环节都明确了责任部门和责任人。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章