- 快捷搜索
- 全站搜索
第三道防线(事后审计):在安全事件处理及业务恢复后,通过对事件进行追踪和事后审计,对安全事件发生的原因进行分析与学习,通过对事件处理过程进千亍综合评价及考核构建信息安全的第三道防线,减少或避免类似安全事件发生。
4.四大体系。信息安全一体化框架覆盖信息安全建没的各个方面,包括四大体系,分别为信息安全组织体系、信息安全管理体系、信息安全技术体系和信息安全运维体系。
5.一个综合管控平台。通过信息安全综合管控平台实现信息安全工作过程规范化、流程化、信息化和智能化,主要覆盖信息安全制度管理、安全运维管理、监控管理、安全事件和应急管理、知识管理等各项工作管理。
信息安全一体化建设情况
为了提升信息安全水平,北京农商银行将信息系统安全等级保护工作有效地融入到了信息安全一体化建设中。
1.标准指引,整体规划,建立健全信息安全建设框架和跨越式发展模式。在制定未来5年信息安全战略目标和建设文施路线时,北京农商银行认真分析了信息系统安令等级保护、信息科技风险管理指引、信息安全管理体系ISO2700l、IT服务管理体系ISO20000、软件开发能力成熟度模型CMMI等相关标准,整体融人信息安全制度框架、组织框架、技术框架和运维框架。
在完善信息安全策略、标准和制度时,不以单独满足等级保护工作要求为目标,而是将一体化框架所涵盖的几大标准整体考虑,避免一个标准一套制度带来的重复建设。在信息系统设计时综合考虑安全等合规要求,明确信息系统的安全等级,从而保证信息系统上线后可以满足等级保护和其他各项安全需求。
2.安全驱动,内外牵引,建立积极的常态化安全检查评估机制。北京农商银行坚持内、外部监督管理行为的指导思想,采用安全检查、等级测评、考核、持续改进的螺旋式上升模式驱动,建立信息安全检查评估常态化机制。为了有效缩短检查周期,扩大检查覆盖面,更好地监督发展,除定期安排的内部审计和外部审计外,还将安全检查工作前移,在信息技术部内部设置独立的信息安全小组,负责对信息系统建设进行指导、监督、检查、评审和整改跟踪。
3.流程建设,安全为纲,建立等级化思想融入系统全生命周期的机制。在信息安全一体化框架下,北京农商银行将信息系统安全定级、安全需求开发、安全设计、安全编写规范、安全测试、安全评审、安全运维、备案与安全测评融入重要信息系统项目立项、需求开发、系统设计、代码编写、软件测试、系统验收、系统上线和运行维护全过程。目前我行对综合业务系统、网银业务系统、中间业务系统、OA系统等已建系统进行了定级、备案、安全建设整改和等级测评等工作。对在建和新建系统按照融入等级化思想的CMMl3进行开发建设。
4.同步建设,同步运行,建立信息安全保障与信息化建设协调发展机制。信息安全保障与信息化建设并重。信息系统在新建、改建、扩建时同步建设信息安全设施,坚持信息安全与信息化建设“三同步”,即同步规划、同步建设、同步投入运行,坚持人防技防并重,从管理体系、组织体系、技术体系和运维体系入手,不断提高信息系统安全防护能力,确保网络与信息系统安全运行,保障信息安全与信息化建设相适应,逐步实现安全常态化。
保障机制建设
北京农商银行依托以下7项有效保障措施,为信息安全工作的顺利开展奠定坚实基础。
政策保障,立足信息安全一体化建设,明确信息安全管理框架;领导保障,建立信息安全领导小组,行长挂帅及各部门领导共同参与;组织保障,组建信息安全工作小组,聘请有经验的外部专家,对信息安全一体化建设各项工作详细分解,责任到岗、落实到人,并纳入年度绩效考核;资金保障,落实信息安全专项资金,优化资源配置,启动支撑信息安全一体化建设的项目;宣传保障,统一认识,全员参与,加强全员信息安全意识和教育培训,开展全方面的立体宣传推广和评优活动;技术保障,借助安全设备、管理平台等技术手段保障安全体系有关流程、控制要点的实施与落地;监督保障,通过内审、外审等措施保障信息安全体系有效执行。
(文章来源:金融电子化)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信