- 快捷搜索
- 全站搜索
农业银行在建设自身安全保障体系的过程中,以等级保护为龙头,参考国内外安全管理规定和要求,确立了“安全与发展并举,管理与服务并重”的信息科技风险管理方针以及系统分级保护的管理策略。在信息系统设计、开发、运维等各环节依据等级保护的安全要求实施等级化保护和管理,确保业务数据安全可靠、信息系统平稳持续运行。
其次,划定了信息系统安全保护基线,为信息资产分类管理、分级保护打下基础。等级保护按照信息系统的重要性以及破坏后对国家、社会、公民等的危害程度对系统实施定级,首次站在国家安全管理的角度,为商业银行信息资产分类、分级工作的开展提供依据。农业银行按照等级保护定级指南中对系统级别的定义,对已有信息系统进行全面梳理,按照业务类型、服务对象等因素,确定系统类别和安全保护等级。依据其对应的安全等级实施不同的安全措施,彻底改变过去安全建设“一刀切”的模式,为实现“资产分类管理、系统分级保护”安全机制打下坚实基础。
第三,有针对性地发现安全建设中存在的问题和差距,提高了信息系统安全防护能力。信息系统安全等级保护测评从管理和技术层面查找安全建设方面存在的漏洞和安全隐患,并针对性提出安全建设整改建议,使商业银行逐步具备满足国家管理要求的安全保护能力。农业银行通过实施等级保护测评,客观评判了信息系统安全控制措施的有效性和合规性,清晰全面地掌握了安全建设现状。根据测评报告和整改建议,有针对性地开展各项安全建设整改工作,不仅在技术和管理上弥补了存在的缺陷和漏洞,提高了信息系统安全保护能力,还避免了部分各自为政的重复性安全检查和安全整改工作,一举多得。
“等保”落地过程中的问题探讨
目前,信息安全等级保护在具体落实过程中仍有一些问题需要探讨。
一是信息安全等级保护尚缺乏全面的行业标准。尽管公安部已出台了一系列实施指南和标准,对信息系统安全等级保护的安全要求做了规定,但在推广实施过程中,各行业的业务类型大相径庭,安全要求也不尽相同。以银行业为例,伴随业务急剧发展带来的数据量猛增,以及数据大集中带来的系统上收和网络架构的改变,导致部分安全要求可能无法落实。尚需根据行业特点,细化行业标准,更好地指导各行业落实等级保护要求,做到定级适当、保护得当、合理落实。
二是信息安全等级保护作为一项系统性工作,配套措施尚有欠缺。以安全产品选型为例。信息安全等级保护中规定了各项技术要求,但对如何达到这些要求并没有强制性规定。各单位在实施安全建设过程中,通常会借助已有的安全产品实现技术安全要求。《关于信息安全等级保护T作的实施意见》提出国家对信息安全产品的使用实行按等级管理,但目前我国尚没有安全产品等级的明确规范。
作者简介:涂晓军,硕士研究生学历,高级工程师职称。2009年9月至今担任中国农业银行信息技术管理部副总经理,分管信息安全、应用项目管理、基础架构建设和IT治理工作。曾多次获得人民银行科技发展奖、农业银行优秀科技成果奖和总行机关先进个人。2008年获得全国金融“五一”劳动奖章,并享受国务院政府特殊津贴。
(文章来源:金融电子化)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信