北京银行信息安全等级保护建设实践

        第六，测评与不断改进。完成差距分析和安全整改建设工作后，安全测评机构完成了对三级(含)以上重要信息系统的等级测评工作，并出具等级评测报告。后续，按照测评报告中提到的风险评估结果和改进建议，逐步落实整改工作。确保在下一年度的等级测评中不再出现类似风险。

        第七，强化全员培训。采取多种方式使全体员工认识到银行等级保护工作的重要意义；组织骨干人员认真学习相关管理办法，为开展等级保护工作奠定了坚实的基础。

        第八，建立沟通机制。与中国人民银行、中国银监会、北京银监局以及北京市公安局等级监管机构保持紧密沟通，认真听取有关信息科技风险防范方面的要求和建议。同时，与第三方信息安全领域的专家积极交流，共同对信息安全防护工作出谋划策，不断提高信息安全等级保护工作水平。

        通过落实上述信息安全等级保护工作的理论与实践，北京银行积累了丰富的等保工作实施经验，培养了一支经验丰富的等级保护保障团队。目前，北京银行还在不断加强等级保护工作开展的力度，已经开始着手参照人行科技司《银行业金融机构信息系统安全等级保护定级的指导意见(征求意见稿)》，重新评估重要信息系统的定级情况，对不准确的定级进行修订，将新加入的骨干网络和分支机构信息系统进行补充定级，同时启动系统安全保护差距分析和安全整改工作。

开展信息安全等级保护工作的成效和心得体会
        计算机系统安全防护是一项基础性、制度性和长效性的工作。在人民银行、北京银监局和北京市公安局的大力帮助和指导下，北京银行信息安全等级保护工作取得了长足的进步，同时收获和体会很多。

        一是明确和突出了工作的重点，信息安全等级保护规范为信息安全建设工作提供了一套完备的参考依据，使银行能够有目的、有侧重地进行网络与系统安全建设，优化了资源使用配比，将有限的人力、物力、财力资源合理分配给不同安全等级的系统，有效地提高了安全风险防范工作的效率。

        二是大大减少信息安全事件发生的数量。通过开展信息安全等级保护工作，使银行信息安全管理和技术防护措施得到进一步落实，IT技术人员的安全保障能力显著增强，重要信息系统抵御入侵攻击的能力明显提高。北京银行在北京奥运会、国庆60周年、世博会、广州亚运会等重要政治活动和社会活动期间，确保了全行计算机网络和信息系统安全稳定运行。

        三是顺畅的沟通机制，强化了计算机系统安全保障能力。一方面，监管机构积极整合行业内的各种资源，及时向各家银行提供最新的安全事件情况，并提供形式多样的安全专题培训，使银行有机会及时发现信息系统潜在的安全隐患和薄弱环节，全面掌握了重要信息系统安全保护状况。另一方面，借助监管机构与银行间建立起的安全通报机制，一旦发生重大信息安全事件，银行可以获得及时的响应和支持，有效降低了信息安全事件的危害和影响。

        等级保护建设过程是银行信息系统安全防护能力不断完善的过程。实行信息安全等级保护制度，有利于银行建立安全建设的长效机制，保证安全保护工作稳固、持久地进行下去；有利于突出重点，保障信息安全管理与技术相协调，规范、科学、系统的开展信息安全建设工作，进而保障银行信息系统安全稳定运行。北京银行将从维护整个首都金融行业信息系统安全稳定的大局出发，一如既往地推进落实信息安全等级保护建设工作，结合即将出台的银行业信息系统定级指导意见，全力以赴做好定级更新和安全整改相关工作，不断将计算机系统安全保护工作推向新的高度。

        作者简介：龚伟华，1998年毕业于北京理工大学自动控制系，获工学硕士学位；2003年毕业于清华大学经济管理学院，获工商管理硕士学位。中国计算机学会金融信息处理专业委员会委员。长期在北京银行从事信息化建设工作，先后参与了北京银行众多信息系统的开发，以及北京银行计算机网络总体架构、计算机安全体系等设计与实施。

（文章来源：金融电子化）
 

首页 上一页 1 2

扫码即可手机
阅读转发此文