构建安全管理框架 践行等级保护要求

2004年以来，公安部、国信办、国家保密局和国家密码管理局等国家部委陆续出台了一系列开展信息安全等级保护工作的通知要求，为各行业开展信息安全等级保护工作提供了明确指引。本文基于中国工商银行信息安全管理整体框架，重点介绍工行开展信息系统等级保护工作的相关实践和体会。

不断探索，构建工行特色信息安全管理整体框架
        工行信息科技经历了“七五打基础、八五上规模、九五电子化、十五信息化、十一五国际化”的持续发展，信息科技核心竞争力显著增强。与此同时，工行高度重视信息科技风险管理工作，充分借鉴国内外的信息安全标准和业界最佳实践，逐步构建了一套具有工行特色的信息安全管理框架，指导和推动工行信息安全实践，保障信息及信息系统安全。

        工行信息安全管理框架包括基础安全规范、安全管理制度和安全技术规范3个层面(如图1所示)，相互关联、相互补充、共同作用。简要介绍如下。

                                                         
  
        基础安全规范：为相关安全管理制度和安全技术规范的制订发挥基础性指导作用，包含两部分。其中《信息及信息系统安全体系规范》包括安全策略和安全管理规范两个层次。安全策略是信息系统安全体系建设的指导方针，阐明了信息安全的总体目标；安全管理规范是在信息系统安全策略的指导下，针对信息系统的管理提出进一步的管控要求，为信息安全体系中的制度、流程、技术规范、操作手册的制订和评估提供直接依据。《信息及信息系统安全等级保护实施规范》是工行开展信息安全等级保护的基础规范，是基于国标《信息系统安全等级保护基本要求》(GB/T22239—2008)和工行《信息及信息系统安全体系规范》编制的，从技术和管理两个层面针对不同安全等级信息系统提出的最低保护要求。

        安全管理制度：在基础安全规范的指导下，明确了信息及信息系统安全管理的各级组织架构、职责和安全管理过程要求。具体包括《信息及信息系统安全管理办法》和涉及信息及信息系统安全管理、客户端安全管理、互联网访问安全管理、外来人员安全管理、计算机防病毒安全管理、计算机漏洞扫描及网络安全检测管理、通用终端安全管理、密钥资源安全管理、用户安全管理等方面的管理细则和管理手册。

        安全技术规范：在基础安全规范的指导下，针对安全定级、机房安全、主机系统安全、开放平台系统安全、网络安全和应用安全等方面分专业细化形成的安全技术规范。

全面梳理，明确信息系统安全等级保护标准和规范
        随着2002年全国信息安全标准化技术委员会的成立，我国信息安全相关标准建设工作取得巨大进展。结合近年来我国信息安全等级保护工作的开展，以信息安全等级保护为核心，形成一套比较完整的信息安全等级保护系列标准，成为各行业开展信息安全管理和等级保护的主要参考体系。我国信息安全等级保护系列标准按照其用途不同分为五类，如图2所示。

悉心组织，开展信息系统安全等级保护工作
        1．开展等级保护工作的基本历程
        2004年，工行组织编制并颁布了《中国工商银行信息系统安全体系规范》，提出对信息和信息系统分级保护的总体要求。2005年开始，根据公安部、国信办、国家保密局和国家密码管理局四部委联合印发《关于信息安全等级保护工作的实施意见》相关要求，启动了系统安全等级保护研究工作。

        2007年，根据国际公安部、国信办、国家保密局和国家密码管理局、人民银行、银监会等部委下发的有关信息系统安全等级保护的通知要求，工行参考国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)和《信息系统安全等级保护基本要求》(GB/T 22239—2008)，制订并颁布了工行的《信息及信息系统安全定级规范》和《信息及信息系统等级保护实施规范》。同时，根据公安部和人民银行通知要求，完成全行2级以上信息系统的备案工作。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文