- 快捷搜索
- 全站搜索
随着金融信息化进程的不断推进,金融科技创新能力日益提高,金融业务的发展已经依赖于金融科技的支撑。同时,金融业务又对金融信息系统安全提出了更高要求,信息安全工作已成为金融科技工作的核心目标。
一、金融信息安全现状
我国金融企业多为集团型企业,一般具有多层级的分支机构、信息系统部署覆盖全国及地市以下分支机构、信息技术力量薄弱等特点,这使得金融企业信息安全管理工作复杂性高。主要表现在总部对分支机构信息安全工作“可管可控”水平不高,分支机构信息安全水平参差不齐等。因此,如何统筹、比较全面提高各级分支机构,特别是技术力量比较薄弱的地市以下分支机构的信息安全工作水平,成为当前金融科技管理工作中的一个重要命题。
二、基于安全基线的金融企业信息安全管理方法
通过研究信息安全基线的特点与优势,本文提出了一种适合(特)大型金融企业的信息安全管理方法,可以有效地实现整体信息安全工作“可管、可控、可信”。在该方法中,企业所有的信息安全管理行为均基于安全基线机制来进行。
1.建立安全基线标准
安全基线标准(安全基线规范),由一组安全要求项组成,这组安全要求项描述了一个企业、单位应该达到满足安全需求的最小信息安全目标,是该企业的“最优安全水平基准点”。这组安全要求项至少应包含政策合规性需求(信息安全法律、法规等)、企业自身安全建设发展需求、特殊时期安全保障需求等。
安全基线标准涵盖安全管理和安全技术两方面要求。一般安全管理要求应包括组织架构管理、人员安全管理、运维安全管理、涉密管理、流程管理、资产管理等。安全技术要求应包括应用安全、主机安全、网络安全、机房安全、安全审计等,如图1所示。
2.基线的测量、配平与报告
安全基线标准建立后,需要根据这些基准数据进行整体的安全检测和风险测评,以找出企业目前安全状态与安全目标之间的差距,并通过安全整改、加固等措施,消除安全风险,达到基线标准要求。
与“安全基线标准”相对应的另一个概念是“安全基线报告”。安全基线报告是金融企业各分支机构基于安全基线标准,对本单位的整体信息安全状况进行风险测评,所形成的整体安全状态报告,由一组安全配置项组成。这组安全配置项描述了一个单位在某一时点上的整体信息安全状态,是该单位信息安全总体水平的量化表述。风险评估时间不同,形成了信息安全基线报告的不同版本。基于特定时间序列的安全基线报告集,可以反映一个单位在该时间内的信息安全变动态势。
安全检测和风险测评。基于安全基线标准,金融企业总部可以组织对各分支机构的信息安全状态进行检查、评估,度量各分支机构安全现状与安全基线标准之间的差距,并为后续的信息安全整改提供依据。
安全整改。根据风险测评结果,对不达标的安全要求项,对照基线标准进行整改,以消除信息安全隐患,实现最终整体信息安全状态符合基线标准要求。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信