金融咨询网近期会进行系统维护,短暂的等待是为了更稳定的服务,感谢您的支持。
  • 快捷搜索
  • 全站搜索
位置:首页 > 科技 > 金融安全

管理与技术并重:信息安全需综合治理

2016-08-28 22:12:34作者:中国银行软件中心 张述忠编辑:金融咨询网
信息安全、 风险管理、 银行信息
随着互联网技术和产品的广泛普及和深入应用,信息安全问题迅日渐成为企业和个人日常工作和生活中需要关注的基本问题之一。本文从信息安全管理的一般问题,包括风险来源、风险类别和风险管理中的缺陷展开分析,以银行的信息安全管理实践为基础,提出了信息安全工作综合治理的相关建议。

三、信息安全工作的综合治理

        从上文中可以看出,信息安全问题涉及管理、技术等多方面工作。不论是管理还是技术,都是解决信息安全问题不可或缺的,任一方面的疏漏都可能带来严重的安全风险。而信息安全问题解决得好的机构,也是多方面的工作都得以较好地开展才取得的成效。

        我们认为,信息安全工作的指导思想是综合治理。为了做好综合治理,要遵循一定的指导方针和方法论、实施原则。

        1.信息安全的综合治理

        根据上述情况和实际分析,我们认为,信息安全工作应坚持管理与技术兼顾、两手抓两手都要硬的思路,即坚持综合治理的思想。这里的综合治理,主要表现在信息安全的综合管理和信息安全技术的综合运用。

        (1) 信息安全的综合管理。前文提到,信息安全的管理涉及银行内部负责牵头管理的信息科技部门、风险管理部门、稽核检查部门、内控管理部门等多个部门,各部门从各自的职责和视角对信息安全风险进行独立的管理。为了有效地降低风险,各部门应既保持各自的独立性,又互相配合协同工作,对信息安全进行综合的管理。例如,各相关管理部门可以在独立开展各自工作的同时,加强部门之间的沟通和协同,建立联席会议或联合工作组等方式,定期就信息安全等问题进行工作沟通,从不同方面共同促进信息安全管理工作的改进和完善。同时,信息科技部门也应该组织全行信息安全管理部门建立协同工作机制,定期进行工作研讨、技术交流,加强全行的信息安全工作改进、专业人才队伍建设,共同努力改进信息安全管理能力,提升管理水平。

        (2) 信息安全技术的综合运用。信息安全技术(包括各种信息安全产品)的运用,是提高信息安全保障能力的重要手段。由于金融服务的多样化和复杂性,信息安全技术的应用也体现出多样化的特点。一方面不同的业务系统需要不同的信息安全保障手段,另一方面每类服务的信息安全手段又有多种具有不同特点的技术。因此,在信息安全技术的使用上,需要考虑不同类别的安全手段及使用范围,统一管理,做好顶层设计,既要体现出信息安全技术的综合性、层次化和多样性,也要体现出信息安全系统建设的全面性,以及公共模块和差异化模块的分工,实现综合运用,避免重复建设。例如,网络环境的安全技术、互联网服务系统的安全技术、柜面系统的安全技术、自助系统的安全技术等不同的安全应用领域,其信息安全要求和适用技术是不同的。而在一个领域内,不同的处理流程和不同的处理环节对信息安全的要求和适用技术又有差别。信息安全系统的建设上,又有公共的安全设施、差异化的应用安全模块等架构上的差异与配合。例如,对于互联网服务,可以有客户敏感信息的加密传输、加密存储、用户身份认证、系统之间的互认、交易的监控等多种安全手段的综合运用。即使用户身份认证,也有多种技术手段可以使用。因此,信息安全技术也是多种技术按照统一的信息安全策略加以综合使用。

        2.信息安全工作的基本方针和方法论、实施原则

        根据上述综合治理的指导思想,我们提出做好信息安全工作应坚持的基本方针和方法论、实施原则。

        (1)信息安全工作基本方针

        信息安全工作的基本方针包括如下几个方面。

        依法合规:以国家法律为核心,政策法规为依据,内控制度为抓手,标准规范为基础。

        综合治理:管理与技术并重,相辅相成,避免技术万能论。

        狠抓落实:管理重在制度建设与落实,技术重在体系设计与实施。

        安全可控:引进吸收与自主研发结合,外购产品与国产化结合。

        上述基本方针体现了综合治理的观念。对于管理工作,要避免产生管理工作麻烦、可有可无、浪费时间等错误认识,实际上, “磨刀不误砍柴工”,加强管理是为了更有效地进行系统实施,从长远看将有效提升信息安全体系的建设质量和效率。

        (2)信息安全工作方法论(四要素)

        信息安全工作方法论有以下四个方面。

        管理:重在落实。强化风险意识,严格遵章守制,多方综合管理。

        技术:做好保障。规范有效,安全可控,多种安全手段综合,有一定前瞻性。

        实施:分类分级。对信息、系统划分不同的安全等级要求,分类实施安全措施。

        策略:合理可行。对时间和成本、利益和代价、方便性和安全性、可承受性等多种因素进行综合评估,合理选择并实施。

        (3)信息安全工作实施原则

        在信息安全工作的实施过程中应当坚持提高风险意识,落实基本方针,不留安全死角,人人担起责任的原则。

        需要强调的是,安全意识是做好信息安全工作的前提。如果没有安全意识,一切都谈不上。我们发现,很多信息安全问题的产生,都是由于当事人缺乏安全意识,从而造成重大损失的。对此需要加强信息安全方面的教育,常抓不懈、警钟长鸣,让管理者、研发者、使用者、终端用户都具有较高的安全意识,才能真正保障环境的安全,各种管理措施和技术手段才能奏效。基本方针重在落实,空谈十条不如落实一条,“坐着说,何如起来行!”不留安全死角,要求信息安全工作全覆盖,所有的场景都要纳入管理范围,没有遗漏。人人担起责任,要求每个人既是信息安全工作的参与者,也是信息安全工作的责任人,从而保证所有工作环节都严格遵循信息安全工作的要求。

(文章来源:《中国金融电脑》杂志)

首页 上一页 1 2

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章