- 快捷搜索
- 全站搜索
由于银行业信息的重要性和特殊性,各银行对信息安全的重视程度不断提高,银行业信息安全建设已逐渐成为银行业信息化发展的基础和保障。银行业信息安全管理体系(Information Security Management System,ISMS)内容及其应用已成为我国银行业科技工作的重中之重。
一、信息安全管理体系的建立
1.相关术语和定义
(1)信息安全(Information Security)。信息安全是指保障信息的保密性、完整性和可用性,也可以包括诸如信息的真实性、可核查性、不可否认性和可靠性等特性。
(2)信息安全管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监审、保持和改进信息安全的体系。ISMS可以认为是一系列关于组织的信息安全管理的控制措施的总称。
(3)ISO/IEC27001:2005简介。该标准用于为建立、实施、运行、监视、评审、保持和改进IS:MS提供模型。该标准采用了PDCA循环模型,该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程,产生满足这些要求和期望的信息安全结果。
2.定义ISMS的范围和边界
银行可根据自身业务的特点、组织结构、位置、资产和技术,确定ISMS的范围和边界,包括对此范围例外的对象作出详情和合理的说明。
(1)定义责任范围。可以通过调研组织的管理结构、部门设置和岗位责任等,界定ISMS的责任边界。同时要考虑到以下内容:受影响的不止内部相关部门,还可能有外部相关方;负责ISMS的领导应基本上与受影响范围的负责人一致,如果信息系统的责任部门不止一个,那么应该由更高一层的领导来负责协调;必须能够在定义的范围内实现ISMS的PDCA循环。
(2)定义物理范围。物理边界的定义包括识别应属于ISMS范围的组织内的建筑物、场所或设施等。同时还要考虑到移动访问、远程设施、签署的第三方服务、无线网络等。
(3)完成范围概要文件。描述ISMS范围和边界的文件应包含业务特性、关键业务过程列表、组织结构文件、场所和楼层位置图、网络拓扑、设备部署、处理的信息资产、对ISMS范围进行删减的合理性说明等。
3.确定ISMS方针
信息安全方针是组织总体方针的一部分,是保护敏感、重要或有价值的信息应该遵守的基本原则。
(1)制定ISMS方针的过程如下:根据业务要求,建立ISMS的目标;考虑业务要求、法律、法规和政策要求的安全义务;在组织的战略性风险管理环境下,建立和保持ISMS;建立风险评价的准则;阐明高层领导的责任,以确保信息安全管理的需要;获得管理者的批准。
(2)准备ISMS方针文件。ISMS方针文件应易于理解,并及时传达给ISMS范围内的所有用户。
4.进行业务分析
在定义了ISMS范围和方针后,需要进行业务分析,以确定组织的安全要求。
(1)定义基本安全要求。包括如下内容:确认组织的信息安全目标,并识别所确认的目标对未来信息处理要求的影响;识别ISMS范围内的主要业务、流程和功能;识别当前应用系统、通信网络、活动场所和IT资源等;识别关键信息资产及其在保密性、完整性和可用性方面的保护;识别所有基本要求(例如法律、法规、政策、标准、业务要求、行业标准、供应商协议、保险条件等)。
(2)建立信息资产清单。信息资产清单的建立可以用不同的方法完成。比如可以按照资产分类识别并进行统计的方法,即遵循信息分类方案,然后统计ISMS范围内的所有资产,插入资产列表;也可以把业务流程分解成组件,并由此识别出与之联系的关键资产,按照这个过程产生资产列表。实际工作中,可以将两种方法结合使用。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信