• 快捷搜索
  • 全站搜索

等级保护工作的实践和思考

2012-08-19 22:52:35作者:中国光大银行信息科技部总经理 杨兵兵编辑:
光大银行形成一套以信息安全等级保护为基础,包含安全战略、安全治理、安全运作和安全技术管理在内、相对成熟的信息安全体系。

经过4年的努力,中国光大银行形成一套以信息安全等级保护(以下简称等级保护)为基础,包含安全战略、安全治理、安全运作和安全技术管理在内、相对成熟的信息安全体系,并成为我行信息科技发展战略的重要组成部分。本文将就我行落实等级保护相关要求工作的历程与实践经验,与行业同仁分享与探讨。

信息安全.jpg

 

      2007年7月公安部等四部委联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),我国商业银行的等级保护工作在中国人民银行的统一部署下全面展开。

        按照《信息安全等级保护管理办法》(公通字[2007]43号)的要求,我行积极组织开展信息系统的定级工作,较早完成2级以上系统的定级和备案工作,并率先在银行业内开展包括核心业务、核心网络和网上银行等3级以上系统的等级保护测评工作。

        “适度安全,等级保护”是我国等级保护工作的出发点和基本原则,也是我行信息安全体系建设的重要原则。在完成信息系统定级、备案和测评工作后,我行结合自身特点,渐进式地将信息系统等级保护的思想融入到信息安全体系建设和管理的实际工作中。

        等级保护标准和体系是我国为提升国家重要行业整体安全管理和防护水平而提出并构建的一套信息安全保障体系。该体系也是目前国内各种信息安全体系标准中唯一被明确上升到国家层面的信息安全保障标准体系。商业银行开展等级保护体系的测评、定级和备案工作不仅能够使自身的科技发展达到并符合国家战略需要,而且也能将自身的信息安全管理水平提升到国家高度。因此我们认为:等级保护体系在商业银行的贯彻和实施是银行和国家“双赢”的选择。

        我行是业内较早开展等级保护测评、定级、备案和体系实施的银行。2008年初,我行即邀请公安部等部委认可的测评机构对我行的核心业务、核心网络、网上银行等多个重要信息系统开展定级、测评和备案工作。此后,我行坚持开展新建及存量系统的等级保护自主定级和备案工作,并在吸收等级保护的基础上,逐渐完善我行自身的信息安全体系。

        1.以等级保护技术要求为基础,构建全行信息安全架构
        我行在国标《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)的基础上,结合行内信息安全体系目标,将信息安全架构分为物理安全、网络安全、系统安全、应用安全和数据安全5个层次。同时从等级保护的技术基本要求中提炼出具有可操作性的要点,并将其融入到我行的信息安全标准和管理制度中,使之成为既符合等级保护基本要求、又符合我行实际工作需要的信息安全标准和管理制度。

        2.融入监管机构要求,补充完善信息安全标准和管理制度
        为进一步推动信息安全管理规范和标准在行内落地,我行参考《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发[2006]123号)、《商业银行信息科技风险管理指引》(银监发[2009]19号)、《商业银行数据中心管理指引》(银监办发[2010]14号)等临管要求,提炼监管要点,以增强现有的信息安伞标准和管理制度,使之更符合银行业的特殊管理需求。

        3.简化定级操作,制订操作性更强的等级保护自主定级标准
        为避免因人员素质、对标准理解的个人差异等因素影响信息系统等级保护自主定级的准确性,简化信息系统安全等级保护自主定级过程,我行根据《信息系统安全等级保护定级指南》(GB/T 22240——2008)开发了信息系统等级保护自主定级标准,并据此完成多个信息系统的自主定级工作。经过数年的努力和积累,我行建立的以等级保护为基础、符合银行业监管机构要求的信息安全体系已日趋成熟,并在我行信息科技战略中发挥了应有的作用。

        信息系统安全等级保护作为国家的一项强制性标准,同时具有通用性和严格性的特点。通用性是指等级保护标准适用于各行各业,是一项广泛应用的标准。反射在实际应用中,就是可定级为二级以下的信息系统占到定级信息系统的绝大多数,反映了我国的实际国情。

        严格性是指标准不仅要求坚持向上定级的原则,而且对定级为i级以上的信息系统须采取更加严格和苛刻的保护措施,以确保重要信息系统的安全性,反映了国家对重要信息系统安全的重视。

        但等级保护标准在商业银行具体执行过程中,由于标准在通用性方面的考虑,并未体现出银行业的自身特点和银行业监管的特殊需求。同时由于现有等级保护标准中的各项严格保护措施,尚未形成完备的前提环境,导致部分要求无法在银行业金融机构中落地,增加了等级保护落地推广的难度。

        鉴于以上问题,我行根据自身等级保护实施经验,建议银行业监管机构在符合国家信息系统安全等级保护要求的前提下,尽快推出银行业自身的行业等级保护标准,确保等级保护要求在银行业信息科技管理和信息安全管理中的适用性;并制订银行业金融机构等级保护管理办法,明确商业银行各类信息系统的定级标准和统一银行业金融机构向公安机关的等级保护备案报送程序。

        作者简介:杨兵兵,中国光大银行信息科技部总经理,香港理工大学工商管理硕士。具备多年银行国际金融管理和风险管理从业经验,曾任中国光大银行风险管理部副总经理、中国光大银行总行信贷审批委员会委员,中国银行香港有限公司风险管理部授信管理处主管。自2011年出任中国光大银行信息科技部总经理。

 (文章来源:金融电子化)
 

扫码即可手机
阅读转发此文

本文评论

相关文章

科技金融安全
构建安全管理框架 践行等级保护要求

工行充分借鉴国内外的信息安全标准和业界最佳实践,逐步构建了一套具有工行特色的信息安全管理框架,指导和推动工行信息安全实践