略论银行信息安全体系之构建.pdfVIP

图书馆理论与实践 信息学·文献学 2008（6） ●罗 宇（宁夏银行，银川 750001） 略论银行信息安全体系之构建 ［关键词］银行信息安全；安全体系构建； 互联网以及灾难性风险等方面。不法之徒利用科技手段侵 银行网络；ISMS；检测与防护 入银行电子系统盗取资金的危害最大。 因此，不但要以高 ［摘 要］银行信息系统安全存在的隐患 科技手段建立一个严谨的网络安全体系，而且要从意识上 主要来自于机构内部、 互联网以及灾难性风险 乃至于制度上使这个体系更具完整性、稳定性和持续性， 等方面。参照国际信息安全管理标准 ISO17799/ 形成一个坚不可破的铁壁铜墙。 ISO27001，建立信息安全管理体系刻不容缓。 银行信息安全建设是一项结合规划、管理、技术等多 除此之外，还应建立健全保障机制，依托法律 种因素的系统工程，是一个持续性的动态发展的过程，它 法规，融合技术与管理，定期进行信息安全检 由安全管理和安全技术两大要素构成，两者互相依赖、相 查，全方位地实现银行信息网络的安全构建。 互支撑，缺一不可地共同实现银行信息网络体系的安全。 ［中图分类号］G201 只有将有效的安全管理自始至终贯彻落实于信息安全体系 ［文献标志码］A 的建设之中，银行信息安全体系的长期性和稳定性才能得 ［文章编号］1005－8214（2008）06－0057－02 到有效保证。而要实现这一目标，就必须要有相应的制度 作为保障。 因此，在相关法律法规的框架下制定出一个基 信息安全是指以防止被黑客恶意攻击和意外事故为目 本的信息安全策略是当务之急。有研究者提出，其基本原 的，对信息基础设施、应用服务和信息内容的必威体育官网网址性、完 则应该是：明确责任，共同保护；依照标准，自行保护； 整性、可用性、可控性和不可否认性进行安全保护。它包 同步建设，动态调整；指导监督，重点保护；持之以恒， ［1］ 含了信息环境、信息网络和通信基础设施、媒体、数据、 定期查验。 有了这样一个原则，才能使安全体系建设有 信息内容、信息应用等多方面的安全需求。我国银行信息 一个较高的保障水平，才能有条不紊而且井然有序地面对 化发展现已全面进入以业务系统整合、数据大集中为特征 各种突发性事件，并采取相应的保护措施。 的新阶段，随着信息技术的发展，出现了更多的对信息系 3 银行信息安全体系的建设、保护及规范化管理 统安全的威胁，其形式、手段和途径在不断地变化，信息 以盈利为目的网络犯罪，主要是针对电子商务、在线 安全已成为迫在眉睫的问题。 当银行对信息技术人员的依 交易、 电子银行等业务实施犯罪的活动。跨部门网间互 赖程度越来越高时，也使信息技术风险变得异常突出，信 联、 内部业务网与国际互联网互联的需求急剧增加，使安 息安全保障的形势也更加严峻。这就要求银行业必须加强 全控制变得十分复杂。必须建立信息安全保障体系，才能抵 对自身漏洞的检测、监控和处理，形成快速反应能力。然 御各种侵入者，使得银行各项业务始终经受住安全的考验。 而认识不到位，安全防范意识淡薄，安全工作仅仅局限于 3．1信息安全体系的建设 个别部门和岗位则是各银行普遍存在的问题。 因此，亟需 笔者认为，建立信息安全管理体系应该参照国际信息 完善银行信息安全法规和技术标准，通过标准化建设，保 证应用系统符合总体安全策略和安全要求。 agementS