銀行信息安全实践与思考.docVIP

个人中心 充值卡/VIP激活通道立即成为VIP 字母检索 ABCDEFGHIJKLMNOPQRSTUVWXYZ0-9 窗体顶端 窗体底端 杂志首页 中国金融电脑 建设银行信息安全实践与思考 来源:中国金融电脑 关键字:建设银行,信息安全,实践,思考 建行一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行”的要求，加大信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提升，有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响，有力地保障了建行业务稳健发展和创新。　　中国建设银行股份有限公司（以下简称“建行”）一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行”的要求，加大信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提升，有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响，有力地保障了建行业务稳健发展和创新。　　一、“十一五”期间建行信息安全建设成绩　　2005年，建行实现了全行数据大集中，有力地支持建行重组上市、促进业务快速增长和业务创新，与此同时，信息系统自身风险和内外部攻击的风险也不断积聚，信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”，系统化进行信息安全建设已迫在眉睫。为此，“十一五”期间，建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面，全面推进全行信息安全体系建设。　　1.高层推动，建立健全全行信息安全管理组织体系　　遵循监管部门信息科技管理要求，结合行内组织职能划分，建行构建了全面的信息安全管理组织，形成了“三个层面，三条防线”安全管理体系。三个层面是指，董事会负责制定全行信息安全管理战略、负责定期听取全行信息安全管理情况报告；高管层负责明确内部信息安全管理职责，负责重大信息安全管理决策；总行各业务部门和各级分行作为信息安全执行层，负责具体落实全行信息安全战略和决策。三条防线是指，执行层面中信息科技管理部门及相关业务部门是信息安全的第一道防线，信息科技管理部门负责制定信息安全管理制度、开发部署信息技术保障体系、提供信息安全管理咨询服务等，部内设安全管理处，承担日常信息安全管理工作；风险管理部门是信息安全管理的第二道防线，负责监管要求的传递和业务连续性管理工作，内设操作风险管理处和业务连续管理处，从事业务操作风险管理相关工作；审计部是安全管理的第三道防线，负责全行安全管理情况监督评价，内设IT审计处负责全行IT审计工作。　　安全管理人员配置上，全行92人具有信息安全专业证书（CISP），94人具有国际IT审计证书（CISA）。　　2.明确信息安全管理目标和策略，完善信息安全制度体系　　“方向明晰是成功的基础”，建行十分注重整体信息安全管理策略建设。遵循监管要求，结合自身实际，建行确立了全行信息安全管理目标：一是有效保护信息及信息处理环境，支持业务持续运营；二是提高应对新型信息安全威胁的能力，支持业务创新；三是保护客户信息和资金安全，维护建行声誉；四是提高合规管理能力，满足监管要求。制定了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则，确定了信息资产的等级划分策略，明确了对不同等级信息资产的信息安全管理偏好，为信息安全管理指明了方向。　　在信息安全管理策略的指引下，建行结合信息科技检查以及内外部审计意见，组织完善信息安全制度框架体系，按照“全面防范，重点突出”的原则，先后制定发布了一系列涉及物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。具体内容包括：按照银监会《商业银行信息科技风险管理指引》，组织制定了配套的信息安全和业务连续性管理的政策、管理办法、操作规范和指南，构建了全行信息安全管理整体框架，明确了信息安全管理对象、管理角色及各对象全生命周期的安全管理要求，规范运维中的安全管理行为；统一全行安全评估的尺度和方法；明确应急管理要求，实行信息系统责任事故的责任认定，在员工行为准则中明确了违反信息科技管理原则的处罚办法。　　通过上述工作，初步建立了以政策、制度、标准为导向的信息安全管理体系，建立了涵盖开发、运维、合规、治理全方位的信息安全管理制度体系。　　3.以国家等级安全保护要求为指导，构建等级化信息科技安全技术保障体系　　全面落实国家信息系统安全等级保护要求，根据国家信息安全等级划分标准，制定信息系统安全技术基线，明确了不