爲徹落實國家信息安全等級保護制度，提升整體信息安全管控能力，北京農商銀行結合自身業務特點和信息安全現狀，以信息系統安全等級保護爲契機，全面推進信息安全一體化建設工作，力爭通過3～5年的時間，逐步使信息安全的各項工作實現規範化、流程化、平臺化和智能化，全面提高信息安全管理水平和抗風險能力，使北京農商銀行信息安全水平達到一流銀行之列，成爲商業銀行的標杆。

在落實等級保護的過程中，北京農商銀行並不是簡單地根據等級保護的規定，比照信息系統現狀，被動地實施，而是將國內外先進的信息安全標準、行業要求和信息安全等級化的思路引入信息安全體系建設中，走出了一條具有北京農商銀行特色、自主創新的信息安全建設之路——採用先進的信息安全一體化建設框架指導信息安全建設。

北京農商銀行的信息安全一體化框架充分考慮了事前、事中、事後有關措施，積極預防和快速響應，並明確體現了總行、支行的相關要求。一體化框架包括一個規劃、兩條主線、三層防護、四大體系及一個綜合管控平臺(如圖1所示)。

1．一個規劃。信息安全規劃爲北京農商銀行開展信息安全建設確立了方向和策略，指導信息安全戰略目標的分解和實施。在戰略層面，不僅從自身安全角度出發，提高核心競爭力，還要站在金融安全的宏觀高度，着眼信息安全未來的發展方向，制定適合我行信息安全建設的戰略目標；在戰術層面，要調整資源、優化配置，保障網絡與信息安全，保證信息系統和信息數據的保密性、完整性和可用性，通過借鑑和引用銀行業適用的國內外標準、行業要求和政策文

件，構建北京農商銀行信息安全一體化管控體系。

2．二條主線。信息安全一體化建設始終貫穿外部監督管理、內部建設管理這兩條主線。外部監督管理主要是指在信息安全工作中，貫徹執行人民銀行、銀監會等監管機構對我行信息安全工作的各項要求；內部建設管理主要是指按照信息安全一體化建設框架，逐步建立和完善信息安全組織、安全管理、安全技術和安全運維體系。

3．三層防護。信息安全防護應該是綜合防護，涉及事前、事中和事後三個層面。第一道防線(事前預防)：對信息系統進行全面的風險辨識、風險評估，針對不同類型和等級的安全風險採取相應的安全防範措施，通過安全管理制度、人員及安全技術等途徑，建成對安全事件事前防護的第一道防線，爲業務運行安全打下良好的基礎。

第二道防線(事中管控)：在信息系統的運行維護過程中，通過安全運維、安全監測預警等構成對安全事件防護第二道防線，做到提前預警、快速發現、快速響應和快速處理，通過災備、應急演練建立快速恢復機制，減小安全事件帶來的損失。

第三道防線(事後審計)：在安全事件處理及業務恢復後，通過對事件進行追蹤和事後審計，對安全事件發生的原因進行分析與學習，通過對事件處理過程進千亍綜合評價及考覈構建信息安全的第三道防線，減少或避免類似安全事件發生。

4．四大體系。信息安全一體化框架覆蓋信息安全建沒的各個方面，包括四大體系，分別爲信息安全組織體系、信息安全管理體系、信息安全技術體系和信息安全運維體系。

5．一個綜合管控平臺。通過信息安全綜合管控平臺實現信息安全工作過程規範化、流程化、信息化和智能化，主要覆蓋信息安全制度管理、安全運維管理、監控管理、安全事件和應急管理、知識管理等各項工作管理。

信息安全一體化建設情況
爲了提升信息安全水平，北京農商銀行將信息系統安全等級保護工作有效地融入到了信息安全一體化建設中。

1．標準指引，整體規劃，建立健全信息安全建設框架和跨越式發展模式。在制定未來5年信息安全戰略目標和建設文施路線時，北京農商銀行認真分析了信息系統安令等級保護、信息科技風險管理指引、信息安全管理體系ISO2700l、IT服務管理體系ISO20000、軟件開發能力成熟度模型CMMI等相關標準，整體融人信息安全制度框架、組織框架、技術框架和運維框架。

在完善信息安全策略、標準和制度時，不以單獨滿足等級保護工作要求爲目標，而是將一體化框架所涵蓋的幾大標準整體考慮，避免一個標準一套制度帶來的重複建設。在信息系統設計時綜合考慮安全等合規要求，明確信息系統的安全等級，從而保證信息系統上線後可以滿足等級保護和其他各項安全需求。

2．安全驅動，內外牽引，建立積極的常態化安全檢查評估機制。北京農商銀行堅持內、外部監督管理行爲的指導思想，採用安全檢查、等級測評、考覈、持續改進的螺旋式上升模式驅動，建立信息安全檢查評估常態化機制。爲了有效縮短檢查週期，擴大檢查覆蓋面，更好地監督發展，除定期安排的內部審計和外部審計外，還將安全檢查工作前移，在信息技術部內部設置獨立的信息安全小組，負責對信息系統建設進行指導、監督、檢查、評審和整改跟蹤。

3．流程建設，安全爲綱，建立等級化思想融入系統全生命週期的機制。在信息安全一體化框架下，北京農商銀行將信息系統安全定級、安全需求開發、安全設計、安全編寫規範、安全測試、安全評審、安全運維、備案與安全測評融入重要信息系統項目立項、需求開發、系統設計、代碼編寫、軟件測試、系統驗收、系統上線和運行維護全過程。目前我行對綜合業務系統、網銀業務系統、中間業務系統、OA系統等已建系統進行了定級、備案、安全建設整改和等級測評等工作。對在建和新建系統按照融入等級化思想的CMMl3進行開發建設。

4．同步建設，同步運行，建立信息安全保障與信息化建設協調發展機制。信息安全保障與信息化建設並重。信息系統在新建、改建、擴建時同步建設信息安全設施，堅持信息安全與信息化建設“三同步”，即同步規劃、同步建設、同步投入運行，堅持人防技防並重，從管理體系、組織體系、技術體系和運維體系入手，不斷提高信息系統安全防護能力，確保網絡與信息系統安全運行，保障信息安全與信息化建設相適應，逐步實現安全常態化。

保障機制建設
北京農商銀行依託以下7項有效保障措施，爲信息安全工作的順利開展奠定堅實基礎。

政策保障，立足信息安全一體化建設，明確信息安全管理框架；領導保障，建立信息安全領導小組，行長掛帥及各部門領導共同參與；組織保障，組建信息安全工作小組，聘請有經驗的外部專家，對信息安全一體化建設各項工作詳細分解，責任到崗、落實到人，並納入年度績效考覈；資金保障，落實信息安全專項資金，優化資源配置，啓動支撐信息安全一體化建設的項目；宣傳保障，統一認識，全員參與，加強全員信息安全意識和教育培訓，開展全方面的立體宣傳推廣和評優活動；技術保障，藉助安全設備、管理平臺等技術手段保障安全體系有關流程、控制要點的實施與落地；監督保障，通過內審、外審等措施保障信息安全體系有效執行。

（文章來源：金融電子化）