客服熱線:400-615-8698
經(jīng)過4年的努力,中國光大銀行形成一套以信息安全等級(jí)保護(hù)(以下簡(jiǎn)稱等級(jí)保護(hù))為基礎(chǔ),包含安全戰(zhàn)略、安全治理、安全運(yùn)作和安全技術(shù)管理在內(nèi)、相對(duì)成熟的信息安全體系,并成為我行信息科技發(fā)展戰(zhàn)略的重要組成部分。本文將就我行落實(shí)等級(jí)保護(hù)相關(guān)要求工作的歷程與實(shí)踐經(jīng)驗(yàn),與行業(yè)同仁分享與探討。
?
2007年7月公安部等四部委聯(lián)合發(fā)布《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào)),我國商業(yè)銀行的等級(jí)保護(hù)工作在中國人民銀行的統(tǒng)一部署下全面展開。
?
按照《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))的要求,我行積極組織開展信息系統(tǒng)的定級(jí)工作,較早完成2級(jí)以上系統(tǒng)的定級(jí)和備案工作,并率先在銀行業(yè)內(nèi)開展包括核心業(yè)務(wù)、核心網(wǎng)絡(luò)和網(wǎng)上銀行等3級(jí)以上系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作。
?
“適度安全,等級(jí)保護(hù)”是我國等級(jí)保護(hù)工作的出發(fā)點(diǎn)和基本原則,也是我行信息安全體系建設(shè)的重要原則。在完成信息系統(tǒng)定級(jí)、備案和測(cè)評(píng)工作后,我行結(jié)合自身特點(diǎn),漸進(jìn)式地將信息系統(tǒng)等級(jí)保護(hù)的思想融入到信息安全體系建設(shè)和管理的實(shí)際工作中。
?
等級(jí)保護(hù)標(biāo)準(zhǔn)和體系是我國為提升國家重要行業(yè)整體安全管理和防護(hù)水平而提出并構(gòu)建的一套信息安全保障體系。該體系也是目前國內(nèi)各種信息安全體系標(biāo)準(zhǔn)中唯一被明確上升到國家層面的信息安全保障標(biāo)準(zhǔn)體系。商業(yè)銀行開展等級(jí)保護(hù)體系的測(cè)評(píng)、定級(jí)和備案工作不僅能夠使自身的科技發(fā)展達(dá)到并符合國家戰(zhàn)略需要,而且也能將自身的信息安全管理水平提升到國家高度。因此我們認(rèn)為:等級(jí)保護(hù)體系在商業(yè)銀行的貫徹和實(shí)施是銀行和國家“雙贏”的選擇。
?
我行是業(yè)內(nèi)較早開展等級(jí)保護(hù)測(cè)評(píng)、定級(jí)、備案和體系實(shí)施的銀行。2008年初,我行即邀請(qǐng)公安部等部委認(rèn)可的測(cè)評(píng)機(jī)構(gòu)對(duì)我行的核心業(yè)務(wù)、核心網(wǎng)絡(luò)、網(wǎng)上銀行等多個(gè)重要信息系統(tǒng)開展定級(jí)、測(cè)評(píng)和備案工作。此后,我行堅(jiān)持開展新建及存量系統(tǒng)的等級(jí)保護(hù)自主定級(jí)和備案工作,并在吸收等級(jí)保護(hù)的基礎(chǔ)上,逐漸完善我行自身的信息安全體系。
?
1.以等級(jí)保護(hù)技術(shù)要求為基礎(chǔ),構(gòu)建全行信息安全架構(gòu)
我行在國標(biāo)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)的基礎(chǔ)上,結(jié)合行內(nèi)信息安全體系目標(biāo),將信息安全架構(gòu)分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全5個(gè)層次。同時(shí)從等級(jí)保護(hù)的技術(shù)基本要求中提煉出具有可操作性的要點(diǎn),并將其融入到我行的信息安全標(biāo)準(zhǔn)和管理制度中,使之成為既符合等級(jí)保護(hù)基本要求、又符合我行實(shí)際工作需要的信息安全標(biāo)準(zhǔn)和管理制度。
?
2.融入監(jiān)管機(jī)構(gòu)要求,補(bǔ)充完善信息安全標(biāo)準(zhǔn)和管理制度
為進(jìn)一步推動(dòng)信息安全管理規(guī)范和標(biāo)準(zhǔn)在行內(nèi)落地,我行參考《中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見》(銀發(fā)[2006]123號(hào))、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》(銀監(jiān)發(fā)[2009]19號(hào))、《商業(yè)銀行數(shù)據(jù)中心管理指引》(銀監(jiān)辦發(fā)[2010]14號(hào))等臨管要求,提煉監(jiān)管要點(diǎn),以增強(qiáng)現(xiàn)有的信息安傘標(biāo)準(zhǔn)和管理制度,使之更符合銀行業(yè)的特殊管理需求。
?
3.簡(jiǎn)化定級(jí)操作,制訂操作性更強(qiáng)的等級(jí)保護(hù)自主定級(jí)標(biāo)準(zhǔn)
為避免因人員素質(zhì)、對(duì)標(biāo)準(zhǔn)理解的個(gè)人差異等因素影響信息系統(tǒng)等級(jí)保護(hù)自主定級(jí)的準(zhǔn)確性,簡(jiǎn)化信息系統(tǒng)安全等級(jí)保護(hù)自主定級(jí)過程,我行根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240——2008)開發(fā)了信息系統(tǒng)等級(jí)保護(hù)自主定級(jí)標(biāo)準(zhǔn),并據(jù)此完成多個(gè)信息系統(tǒng)的自主定級(jí)工作。經(jīng)過數(shù)年的努力和積累,我行建立的以等級(jí)保護(hù)為基礎(chǔ)、符合銀行業(yè)監(jiān)管機(jī)構(gòu)要求的信息安全體系已日趨成熟,并在我行信息科技戰(zhàn)略中發(fā)揮了應(yīng)有的作用。
信息系統(tǒng)安全等級(jí)保護(hù)作為國家的一項(xiàng)強(qiáng)制性標(biāo)準(zhǔn),同時(shí)具有通用性和嚴(yán)格性的特點(diǎn)。通用性是指等級(jí)保護(hù)標(biāo)準(zhǔn)適用于各行各業(yè),是一項(xiàng)廣泛應(yīng)用的標(biāo)準(zhǔn)。反射在實(shí)際應(yīng)用中,就是可定級(jí)為二級(jí)以下的信息系統(tǒng)占到定級(jí)信息系統(tǒng)的絕大多數(shù),反映了我國的實(shí)際國情。
?
嚴(yán)格性是指標(biāo)準(zhǔn)不僅要求堅(jiān)持向上定級(jí)的原則,而且對(duì)定級(jí)為i級(jí)以上的信息系統(tǒng)須采取更加嚴(yán)格和苛刻的保護(hù)措施,以確保重要信息系統(tǒng)的安全性,反映了國家對(duì)重要信息系統(tǒng)安全的重視。
?
但等級(jí)保護(hù)標(biāo)準(zhǔn)在商業(yè)銀行具體執(zhí)行過程中,由于標(biāo)準(zhǔn)在通用性方面的考慮,并未體現(xiàn)出銀行業(yè)的自身特點(diǎn)和銀行業(yè)監(jiān)管的特殊需求。同時(shí)由于現(xiàn)有等級(jí)保護(hù)標(biāo)準(zhǔn)中的各項(xiàng)嚴(yán)格保護(hù)措施,尚未形成完備的前提環(huán)境,導(dǎo)致部分要求無法在銀行業(yè)金融機(jī)構(gòu)中落地,增加了等級(jí)保護(hù)落地推廣的難度。
?
鑒于以上問題,我行根據(jù)自身等級(jí)保護(hù)實(shí)施經(jīng)驗(yàn),建議銀行業(yè)監(jiān)管機(jī)構(gòu)在符合國家信息系統(tǒng)安全等級(jí)保護(hù)要求的前提下,盡快推出銀行業(yè)自身的行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn),確保等級(jí)保護(hù)要求在銀行業(yè)信息科技管理和信息安全管理中的適用性;并制訂銀行業(yè)金融機(jī)構(gòu)等級(jí)保護(hù)管理辦法,明確商業(yè)銀行各類信息系統(tǒng)的定級(jí)標(biāo)準(zhǔn)和統(tǒng)一銀行業(yè)金融機(jī)構(gòu)向公安機(jī)關(guān)的等級(jí)保護(hù)備案報(bào)送程序。
作者簡(jiǎn)介:楊兵兵,中國光大銀行信息科技部總經(jīng)理,香港理工大學(xué)工商管理碩士。具備多年銀行國際金融管理和風(fēng)險(xiǎn)管理從業(yè)經(jīng)驗(yàn),曾任中國光大銀行風(fēng)險(xiǎn)管理部副總經(jīng)理、中國光大銀行總行信貸審批委員會(huì)委員,中國銀行香港有限公司風(fēng)險(xiǎn)管理部授信管理處主管。自2011年出任中國光大銀行信息科技部總經(jīng)理。
(文章來源:金融電子化)
