1. 客服熱線:400-615-8698
          多特蒙德中文

          等級保護工作的實踐和思考

          2012年08月28日 TAG: 本站
          光大銀行形成一套以信息安全等級保護爲基礎,包含安全戰略、安全治理、安全運作和安全技術管理在內、相對成熟的信息安全體系。
           

          經過4年的努力,中國光大銀行形成一套以信息安全等級保護(以下簡稱等級保護)爲基礎,包含安全戰略、安全治理、安全運作和安全技術管理在內、相對成熟的信息安全體系,併成爲我行信息科技發展戰略的重要組成部分。本文將就我行落實等級保護相關要求工作的歷程與實踐經驗,與行業同仁分享與探討。

           

          2007年7月公安部等四部委聯合發佈《關於開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),我國商業銀行的等級保護工作在中國人民銀行的統一部署下全面展開。

           

          按照《信息安全等級保護管理辦法》(公通字[2007]43號)的要求,我行積極組織開展信息系統的定級工作,較早完成2級以上系統的定級和備案工作,並率先在銀行業內開展包括核心業務、核心網絡和網上銀行等3級以上系統的等級保護測評工作。

           

          “適度安全,等級保護”是我國等級保護工作的出發點和基本原則,也是我行信息安全體系建設的重要原則。在完成信息系統定級、備案和測評工作後,我行結合自身特點,漸進式地將信息系統等級保護的思想融入到信息安全體系建設和管理的實際工作中。

           

          等級保護標準和體系是我國爲提升國家重要行業整體安全管理和防護水平而提出並構建的一套信息安全保障體系。該體系也是目前國內各種信息安全體系標準中唯一被明確上升到國家層面的信息安全保障標準體系。商業銀行開展等級保護體系的測評、定級和備案工作不僅能夠使自身的科技發展達到並符合國家戰略需要,而且也能將自身的信息安全管理水平提升到國家高度。因此我們認爲:等級保護體系在商業銀行的貫徹和實施是銀行和國家“雙贏”的選擇。

           

          我行是業內較早開展等級保護測評、定級、備案和體系實施的銀行。2008年初,我行即邀請公安部等部委認可的測評機構對我行的核心業務、核心網絡、網上銀行等多個重要信息系統開展定級、測評和備案工作。此後,我行堅持開展新建及存量系統的等級保護自主定級和備案工作,並在吸收等級保護的基礎上,逐漸完善我行自身的信息安全體系。

           

          1.以等級保護技術要求爲基礎,構建全行信息安全架構
          我行在國標《信息安全技術信息系統安全等級保護基本要求》(GB/T 22239—2008)的基礎上,結合行內信息安全體系目標,將信息安全架構分爲物理安全、網絡安全、系統安全、應用安全和數據安全5個層次。同時從等級保護的技術基本要求中提煉出具有可操作性的要點,並將其融入到我行的信息安全標準和管理制度中,使之成爲既符合等級保護基本要求、又符合我行實際工作需要的信息安全標準和管理制度。

           

          2.融入監管機構要求,補充完善信息安全標準和管理制度
          爲進一步推動信息安全管理規範和標準在行內落地,我行參考《中國人民銀行關於進一步加強銀行業金融機構信息安全保障工作的指導意見》(銀髮[2006]123號)、《商業銀行信息科技風險管理指引》(銀監發[2009]19號)、《商業銀行數據中心管理指引》(銀監辦發[2010]14號)等臨管要求,提煉監管要點,以增強現有的信息安傘標準和管理制度,使之更符合銀行業的特殊管理需求。

           

          3.簡化定級操作,制訂操作性更強的等級保護自主定級標準
          爲避免因人員素質、對標準理解的個人差異等因素影響信息系統等級保護自主定級的準確性,簡化信息系統安全等級保護自主定級過程,我行根據《信息系統安全等級保護定級指南》(GB/T 22240——2008)開發了信息系統等級保護自主定級標準,並據此完成多個信息系統的自主定級工作。經過數年的努力和積累,我行建立的以等級保護爲基礎、符合銀行業監管機構要求的信息安全體系已日趨成熟,並在我行信息科技戰略中發揮了應有的作用。



          信息系統安全等級保護作爲國家的一項強制性標準,同時具有通用性和嚴格性的特點。通用性是指等級保護標準適用於各行各業,是一項廣泛應用的標準。反射在實際應用中,就是可定級爲二級以下的信息系統佔到定級信息系統的絕大多數,反映了我國的實際國情。

           

          嚴格性是指標準不僅要求堅持向上定級的原則,而且對定級爲i級以上的信息系統須採取更加嚴格和苛刻的保護措施,以確保重要信息系統的安全性,反映了國家對重要信息系統安全的重視。

           

          但等級保護標準在商業銀行具體執行過程中,由於標準在通用性方面的考慮,並未體現出銀行業的自身特點和銀行業監管的特殊需求。同時由於現有等級保護標準中的各項嚴格保護措施,尚未形成完備的前提環境,導致部分要求無法在銀行業金融機構中落地,增加了等級保護落地推廣的難度。

           

          鑑於以上問題,我行根據自身等級保護實施經驗,建議銀行業監管機構在符合國家信息系統安全等級保護要求的前提下,儘快推出銀行業自身的行業等級保護標準,確保等級保護要求在銀行業信息科技管理和信息安全管理中的適用性;並制訂銀行業金融機構等級保護管理辦法,明確商業銀行各類信息系統的定級標準和統一銀行業金融機構向公安機關的等級保護備案報送程序。

          作者簡介:楊兵兵,中國光大銀行信息科技部總經理,香港理工大學工商管理碩士。具備多年銀行國際金融管理和風險管理從業經驗,曾任中國光大銀行風險管理部副總經理、中國光大銀行總行信貸審批委員會委員,中國銀行香港有限公司風險管理部授信管理處主管。自2011年出任中國光大銀行信息科技部總經理。

          (文章來源:金融電子化)

          本文鏈接:http://www.sicklycat.com/product/html/26.html轉載請註明!
          掃描加入
          Copyright © 2015 - 2024 上海多特蒙德中文實業股份有限公司    滬ICP備11027956號