您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
觀點 | 城商行建設(shè)信息安全管理體系的思考
文 / 邯鄲銀行信息科技部? 韓文科
城商行經(jīng)過近幾年的快速發(fā)展,資產(chǎn)規(guī)模連續(xù)增長,資產(chǎn)質(zhì)量不斷提高,盈利能力不斷提升,在綜合實力增強的背后,信息科技投入持續(xù)增加,基礎(chǔ)設(shè)施日趨完善,信息系統(tǒng)建設(shè)同比增長。同時,城商行信息科技管理工作也面臨著來自內(nèi)、外部雙重的挑戰(zhàn)。一是內(nèi)部存在著對科技期望高,信息技術(shù)人才和建設(shè)費用少,規(guī)劃、自主研發(fā)、測試能力弱的“一高、兩少、三弱”的局面;二是外部存在著信息網(wǎng)絡(luò)安全形勢嚴(yán)峻,監(jiān)管要求不斷提高,新技術(shù)快速應(yīng)用和發(fā)展。如何應(yīng)對這些挑戰(zhàn),是當(dāng)前城商行信息科技管理工作需要認(rèn)真思考的現(xiàn)實問題。
建設(shè)思路
受限于城商行資金及人員限制,利用有限的資源,通過整合相關(guān)標(biāo)準(zhǔn),扎實開展風(fēng)險評估,提升關(guān)鍵領(lǐng)域能力,持續(xù)改進(jìn)和優(yōu)化,建設(shè)一套行之有效的管理體系,提高信息安全管控水平,以適應(yīng)信息科技不斷發(fā)展和變革的需要。
1.整合標(biāo)準(zhǔn)
針對國際、國內(nèi)信息安全管理發(fā)展趨勢,結(jié)合監(jiān)管要求,整合信息安全管理體系建設(shè)框架。目前,國際和國內(nèi)信息安全標(biāo)準(zhǔn)主要包括ISO27001、信息安全等級保護(hù)、ISO20000/ITIL,ISO22301等體系,考慮到城商行缺少完整的標(biāo)準(zhǔn)體系指導(dǎo)具體工作實際情況,以ISO27001為基礎(chǔ),將標(biāo)準(zhǔn)進(jìn)行整合,統(tǒng)一按照PDCA流程進(jìn)行實施,基于保障信息資產(chǎn)的可用性,完整性、保密性的要求,完善管理制度、規(guī)范處理流程,建設(shè)標(biāo)準(zhǔn)化、可量化的管理體系,并具備持續(xù)改進(jìn)能力,構(gòu)建切實可行的信息安全管理體系。
2.風(fēng)險評估
信息安全風(fēng)險評估工作,是度量當(dāng)前信息安全短板的必要手段,也是建設(shè)信息安全管理體系的基礎(chǔ)。通過差距分析,了解優(yōu)勢和不足,明確信息安全管理體系建設(shè)的工作方向和重點,為完善信息安全管理體系文件以及相應(yīng)的技術(shù)控制措施提供輸入。
(1)資產(chǎn)分析法。傳統(tǒng)以信息資產(chǎn)為核心的風(fēng)險分析方法具有通用性,強調(diào)信息資產(chǎn)的風(fēng)險屬性。按照資產(chǎn)列表、脆弱性及威脅列表,對每項資產(chǎn)面臨的風(fēng)險進(jìn)行分析,確定與資產(chǎn)、威脅和脆弱性相關(guān)聯(lián)的具體風(fēng)險,根據(jù)資產(chǎn)重要性、脆弱性嚴(yán)重程度和威脅嚴(yán)重程度,進(jìn)行風(fēng)險計算,確定風(fēng)險值。經(jīng)過“定性”到“定量”的過程,使信息風(fēng)險按等級進(jìn)行量化表示,有助于風(fēng)險偏好的設(shè)定和處置。
(2)基線評估法。基于信息安全基線的風(fēng)險評估方法主要圍繞信息系統(tǒng)規(guī)劃、建設(shè)、使用過程中的風(fēng)險進(jìn)行分析,特別強調(diào)標(biāo)準(zhǔn)化和最低控制策略。根據(jù)信息系統(tǒng)生命周期的不同階段,通過建立安全基線檢查列表,對相關(guān)安全要求標(biāo)準(zhǔn)化、制度化,對應(yīng)用層和基礎(chǔ)設(shè)施層評估,能夠降低對人員的能力要求,更適用于城商行風(fēng)險評估過程。
信息系統(tǒng)建設(shè)過程中每個階段都可能存在信息安全隱患,根據(jù)不同階段,采用資產(chǎn)分析法和基線分析法相結(jié)合,更有利于信息風(fēng)險的全面掌控。
3.提升能力
針對城商行信息科技力量相對薄弱、資金投入相對較少的特點,以滿足合規(guī)性要求為基礎(chǔ),加強在信息安全重點控制領(lǐng)域的能力提升。
(1)加強日常運維流程管理。對信息系統(tǒng)運行過程中的關(guān)鍵流程進(jìn)行標(biāo)準(zhǔn)化,包括事件管理、問題管理、變更管理、容量管理等流程。通過統(tǒng)一的運維管理及監(jiān)控平臺提供工具支撐,實現(xiàn)對日常信息系統(tǒng)運行過程中的安全事件快速響應(yīng),提升信息科技服務(wù)質(zhì)量,保障系統(tǒng)可用性的目標(biāo)。
(2)建立外包服務(wù)評價系統(tǒng)。根據(jù)城商行信息系統(tǒng)建設(shè)項目大量外包的現(xiàn)狀,建立外包服務(wù)商績效綜合評估系統(tǒng)。在整體評價中對各單項進(jìn)行單獨風(fēng)險評價,覆蓋外包商的準(zhǔn)入、實施、事后評價等項目外包的全生命周期范圍。選擇優(yōu)質(zhì)的外包服務(wù)提供商,以確保信息系統(tǒng)工程質(zhì)量,降低信息系統(tǒng)的運行風(fēng)險。
(3)完善業(yè)務(wù)連續(xù)性保障體系。通過管理、應(yīng)急、支撐三個層面的建設(shè),提升對災(zāi)難事件的應(yīng)急處置能力,完善生產(chǎn)中心、同城災(zāi)備中心、異地災(zāi)備中心的容災(zāi)保障體系。城商行應(yīng)依據(jù)監(jiān)管要求,針對重要的業(yè)務(wù)系統(tǒng),制定相應(yīng)的業(yè)務(wù)恢復(fù)目標(biāo)、業(yè)務(wù)連續(xù)性計劃,并切實執(zhí)行演練,驗證業(yè)務(wù)連續(xù)性資源的可用性,驗證應(yīng)急預(yù)案的可操作性、有效性和完整性,實現(xiàn)對災(zāi)難事件的應(yīng)急響應(yīng),保障信息系統(tǒng)的業(yè)務(wù)連續(xù)性。
(4)筑牢信息科技三道防線。筑牢信息科技三道防線是城商行信息安全風(fēng)險管理的重要保障。一是強化信息科技部門對信息科技風(fēng)險的識別、監(jiān)控、實施管控的職責(zé);二是提升風(fēng)險管理部門制定信息科技風(fēng)險管理策略、計量標(biāo)準(zhǔn),進(jìn)行風(fēng)險提示,開展評估,監(jiān)控重大風(fēng)險,督促糾正的管控能力;三是深化審計部門對信息科技風(fēng)險管控情況審計,實現(xiàn)對一、二道防線的獨立鑒證和評價作用。
4.優(yōu)化改進(jìn)
信息安全管理是一個不斷完善、持續(xù)改進(jìn)的過程,結(jié)合業(yè)務(wù)發(fā)展,明確改進(jìn)目標(biāo),不斷優(yōu)化提升,樹立一個良好的指標(biāo)體系。一是意識能力提升,人員的安全意識、安全保障能力等方面,需要加快成長過程;二是加強投入,作為城商行,信息安全方面的投入是一個逐步的過程,需要抓住重點,逐步實施;三是完善信息安全風(fēng)險評估方法,為信息安全風(fēng)險評估提供更方便、準(zhǔn)確的評估手段;四是針對外包商管理績效評估體系,需要進(jìn)一步實施落地,完善績效評估指標(biāo)以及權(quán)重設(shè)置,降低外包風(fēng)險。
建設(shè)實踐
邯鄲銀行根據(jù)自身的特點,提出了“全面規(guī)劃、預(yù)防為先、基線達(dá)標(biāo)、突出重點、分步實施”的信息安全管理體系實施方針,實現(xiàn)了信息安全有序發(fā)展目標(biāo),經(jīng)過充分運行,通過審核,獲得了“信息安全管理體系認(rèn)證證書”。
1.實現(xiàn)建設(shè)目標(biāo)
以戰(zhàn)略為指導(dǎo),以管理為基礎(chǔ),以技術(shù)為保障,以工具為手段,采取分級防護(hù)、集中管控、持續(xù)改進(jìn)的措施,邯鄲銀行實現(xiàn)了信息安全的“可管、可控、可信”有序發(fā)展目標(biāo)。
(1)可管階段。在“可管”階段,以國際信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)ISO27001為基礎(chǔ),充分考慮信息安全的合規(guī)性要求,包括信息安全等級保護(hù)、以及監(jiān)管部門發(fā)布的相關(guān)標(biāo)準(zhǔn)指引,同時結(jié)合ISO20000/ITIL、ISO22301等國際標(biāo)準(zhǔn),從組織、體系文件、流程、人員等方面進(jìn)行標(biāo)準(zhǔn)體系整合,對信息安全管理體系進(jìn)行優(yōu)化,建立信息安全基線,滿足合規(guī)性要求。
(2)可控階段。在“可控階段”,實現(xiàn)信息安全管理體系流程基本績效測量,評估流程實施的效果,同時將信息安全管理體系的管理部分固化到日常信息安全管理當(dāng)中,通過工具支撐,組織全行人員充分理解信息安全管理體系架構(gòu)及使用。
(3)可信階段。在“可信階段”,隨著規(guī)模的擴(kuò)大和能力的提升,信息安全各領(lǐng)域的管理能力和安全保護(hù)措施都已全面完整,流程達(dá)到體系建設(shè)標(biāo)準(zhǔn),根據(jù)標(biāo)準(zhǔn)的流程進(jìn)行裁剪以適應(yīng)不同部門的需要,信息安全管理流程推廣到全行所有部門以及各分支行,達(dá)到信息安全管理體系貫徹的效果。
2.獲得認(rèn)證證書
在2011年取得信息安全管理體系認(rèn)證證書的基礎(chǔ)上,邯鄲銀行于2019年12月,順利通過中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心審核,再次獲得認(rèn)證證書。本次認(rèn)證是根據(jù)新版信息安全管理體系(ISO/IEC27001-2013)國際標(biāo)準(zhǔn)和監(jiān)管要求,開展了資產(chǎn)識別、風(fēng)險評估、風(fēng)險處理、風(fēng)險控制、持續(xù)監(jiān)控和評審以及信息安全管理體系運行等一系列工作,建立了一套符合最新國際標(biāo)準(zhǔn)和監(jiān)管要求的信息安全管理體系,全方位涵蓋了安全方針、信息安全組織、人力資源安全等14個領(lǐng)域,極大提升全行信息科技的安全管理和風(fēng)險防范水平,為業(yè)務(wù)快速發(fā)展提供強有力的信息安全保障。
未來探索
目前信息安全方面的標(biāo)準(zhǔn)、定義、要求眾多,涵蓋了信息安全的各個方面,建議城商行信息科技安全管理工作從多體系融合和流程成熟度模型方向深入探索。
1.多體系融合探索
信息安全相關(guān)標(biāo)準(zhǔn)存在很多的共性內(nèi)容,存在較多的重復(fù)工作,甚至出現(xiàn)不一致的內(nèi)容,組織架構(gòu)、管理流程、人員、相關(guān)工具支撐方面都各自為政,加大了標(biāo)準(zhǔn)的實施難度,多體系融合能夠避免重復(fù)工作以及內(nèi)容沖突。邯鄲銀行在實施標(biāo)準(zhǔn)整合的基礎(chǔ)上,正在積極探索ISO27001和ISO20000/ITIL的深度融合,通過“制度+服務(wù)”的理念,進(jìn)一步提高管理能力,提升服務(wù)質(zhì)量。
2.成熟度模型研究
目前以信息安全治理框架為基礎(chǔ)的信息安全管理流程,有一定的廣泛性,但其理論性強,具體到城商行實踐方面不一定具備通用性。通過管理流程與成熟度模型相結(jié)合的思路,研究信息安全管理流程的成熟度模型,城商行可以根據(jù)自身的風(fēng)險偏好和策略,選擇需要達(dá)到的信息安全管理流程成熟度水平;對信息安全有效性的度量指標(biāo)內(nèi)容進(jìn)行深入研究,評估相關(guān)控制措施是否達(dá)到了預(yù)期目標(biāo),對城商行信息安全管理體系建設(shè)更具備指導(dǎo)意義。
信息安全總是相對安全,隨著技術(shù)與業(yè)務(wù)的高度融合,大數(shù)據(jù)、智能化、移動互聯(lián)網(wǎng)等電子化替代手段進(jìn)一步提高,新的信息科技風(fēng)險總是不斷出現(xiàn)。城商行應(yīng)立足自身實際,建設(shè)適用的信息安全管理體系,保障信息系統(tǒng)安全、高效、穩(wěn)定運行。
(欄目編輯 :韓維蜜)
來源:金融電子化