- 快捷搜索
- 全站搜索
构建安全基线报告机制。金融企业总部安全管理部门应定期、不定期查看某一时点上某个分支机构的信息安全基线报告,来掌握该分支机构的整体信息安全状态、风险分布情况及安全变动趋势。
3.基于安全基线的科技变更管理工作
安全基线报告达标后,表示报告时点上该单位的信息安全状态达到了基线标准。为获得稳定、长效的安全状态,该时点之后的所有该科技变更行为,在变更前应进行“信息安全基线影响评估”,即检查确认这项变更是否影响到信息安全基线状态。如果影响到信息安全基线状态,则需要对这项变更进行审核、确认和整改,使其满足基线标准的相应要求。变更结束后,基于基线标准对当前信息安全基线的“相应安全项达标状态”进行更新,并实现信息安全基线报告的更新,如图2所示。
出现安全基线变动后,新版信息安全基线报告需及时上报总部,以保证总部对全部分支机构信息安全状态的实时管控。
4.信息安全基线运维
信息安全基线运维,描述了基于安全基线的金融企业整体信息安全管理方法,提出了一种新型的(特)大型金融企业信息安全管理框架。该框架包括信息安全管理的11个领域。
综合运维监控。根据安全基线标准,对系统、设备、环境的安全状态及配置进行监控,对超出基线标准的行为进行告警,对安全运维管理指标进行实时的数据汇总和分析呈现。
跟踪风险隐患。通过在分支机构开展信息安全基线管理,对各单位信息安全总体水平进行量化表述,可以有效监控各单位的整体信息安全状态,跟踪未达标的信息安全要求或存在的信息安全隐患,提高安全应急管理水平。
建立自动化的基线管理库。从而实现安全基线报告工具化、自动化。通过基线管理系统,实现分支机构上报基线报告的自动化,同时实现总部对分支机构各时点序列上基线报告的即时查看。
基线标准动态更新。安全基线标准的建立是一个逐渐完善的过程,而且在建立后也不是一成不变的,在系统、组织、应用等方面发生变化后,需要进行及时调整。
建立长效安全机制。通过定期审核、更新及上报信息安全基线报告等措施,提高信息安全状态的可管理性和可控性。
安全工作考核与评价。对大型金融企业而言,总部对各分支机构的信息安全工作负有直接管理责任,有效考核分支机构信息安全工作是企业激励的重要内容。安全基线报告为总部对分支机构信息安全工作考核提供了依据。
综上所述,基于安全基线的金融企业信息安全管理方法,为我国(特)大型金融企业开展信息安全管理工作提供了一种流程再造式的解决思路。考虑到安全基线是安全成本与安全需求的均衡产物,企业在开展信息安全基线管理工作,尤其在制定企业的安全基线标准时,必须结合企业实际情况来制定。同时,为真正发挥安全基线的作用,最关键的环节是将安全基线转化为运维人员日常执行的维护作业计划。此外,实现基线检查的工具化和自动化,提高人员安全技能和安全素质,加强检查与考核等工作也是推动安全基线真正落地并发挥其应有作用的重要措施。随着我国金融科技的发展,适时建立我国金融行业信息安全基线标准,也是今后重要的研究课题。
(文章来源:金融电子化)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信