当前位置:安全服务 \ 安全征文作品展
二等奖 —— 商业银行一级分行信息安全管理体系的实践与探索
新闻来源:
发布人:计算机安全协会
点击率:462
发布日期:2018.07.18

随着信息技术的高速发展,信息技术已经融入到商业银行经营管理的各个领域,在信息科技和金融业务高度融合的今天,信息科技风险已经成为唯一能够在瞬间导致商业银行服务中断的风险。近年来,国内外商业银行信息安全管理问题日益凸显,信息安全事故时有发生,网络和信息安全已经成为商业银行信息科技风险管理的重中之重。

习主席在全国网络安全和信息化工作会议上强调:没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。这一论述,将网络安全上升到了国家安全层面。《中华人民共和国网络安全法》也第一次从法律的角度对网络经营者在网络安全方面的权利和义务进行了规范。商业银行作为国家金融行业重要组成部分,对维护国家金融稳定有着不可替代的作用。新《巴塞尔资本协议》将信息科技风险纳入银行总体风险框架中进行重点防控。作为商业银行业务经营实体的一级分行,如何在总行信息安全管理策略下,构建和完善自身的信息安全管理体系,切实保障网络和信息安全,是非常具有实际意义的一个课题。本文将结合某大型国有商业银行多年来信息安全管理的相关经验,探讨商业银行一级分行信息安全管理体系的建设和管理思路。

一、商业银行一级分行信息安全面临的风险

    1、人的风险

人是信息安全管理最关键的因素,同时,人也是信息安全最大的潜在风险。调查显示,大多数信息系统风险事件由于内部员工的错误操作或工作失误造成的。对于一级分行来说,信息科技人员普遍存在配置不足的情况,人员信息安全意识的缺失,不相容岗位的未能分离,A/B角机制未能有效落实都将导致信息安全风险上升,长此以往,就有可能导致生产运行事故或引发道德风险。

    2、可用性和连续性风险

随着信息化程度的升高,信息系统软硬件本身脆弱性触发导致的固有风险和管理缺失导致的操作风险对系统可用性带来的冲击就越大。而信息系统可用性和业务连续性保障是商业银行信息科技安全工作的首要目标。一级分行信息科技体系由于基础环境老化、系统健壮性不强、自动监控不到位、管理精细化不够、人员技能不足等多种原因,较易发生网络或信息系统中断的情况,影响业务连续性,甚至导致客户满意度下降、财务和声誉风险受损等情况。

     3、数据安全风险

    数据安全主要关注数据的保密性、完整性和可用性。在数据转存、备份过程中缺乏管理,或未按要求将信息系统配置信息或交易信息纳入数据管理范畴,数据完整性和可用性有缺失,将会导致信息系统出现异常后未能达到RPO要求。数据使用和传输过程缺少管控措施,例如在开发环境中使用未脱敏的生产数据,或者数据能够未经授权带离生产或办公环境,极易造成敏感信息数据泄露,破坏数据保密性。特别是在大数据时代,数据价值日益提高,数据泄露导致的后果越发严峻,数据安全管理越发重要。

二、商业银行一级分行信息安全管理的实践

商业银行一级分行较总行相比,较少涉及策略级别的顶层设计职能,更多偏向于执行层面的角色。因此在实际工作中,一般依托于总行的信息安全管理策略,结合自身实际开展具体工作,并根据内外部监管和自身管理要求不断优化改进。总体来说,应涵盖以下领域:

    1、完善的制度管理机制

完善的制度管理机制是商业银行开展网络和信息安全管理的根本依据。作为商业银行一级分行,应遵从“以监管为底线、以总行为框架”的理念,结合分行管理实际,制定覆盖信息科技各个领域的制度细则,搭建一级分行信息安全管理骨架,确保各项日常工作开展有法可依。同时,应建立制度的定期回顾机制,至少每年一次对现有制度进行重检,制定修订计划,确保制度规范、管理思路、操作实践三者有效融合。

    2、组织架构和人员配置

为满足计算机信息安全工作治理要求,应建立“计算机安全工作领导小组”等决策机制,由分行最高管理层担任主要负责人,计算机安全主要相关部门负责人担任成员,主要负责一级分行辖内信息安全保障工作的决策、审批、协调和指挥工作。

设置信息安全管理团队或专职信息安全经理职位,全面负责信息安全管理的具体工作。重视安全人才培养认证和梯队建设,提高理论基础和技术水平,通过获取CISSPCISA等国际化专业认证和参与网络攻防比赛等技能实践,打造一支能文能武的信息安全管理人才队伍。

    3、建立量化指标管理体系

为有效评估信息科技风险管控情况,识别并处置关键信息科技风险,可建立一套量化的信息科技风险指标体系进行管理。立足于内部管理需要,结合监管要求并参照同业情况,从绩效管理、决策管理、组织架构、制度管理、人员管理、变更管理、事件和故障管理、项目管理、系统开发、外包管理、应急管理、灾备管理、数据管理、可用性管理、访问控制等多个信息科技风险管理领域出发,设置对应的指标内容、阈值范围和报送频率,分“容忍区”、“预警区”、“干预区”三个区域进行监控结果分析,并自动生成报告,便于管理层全面了解并进行决策,该方式能有效提升信息科技风险管理的力度和深度。

    4、访问控制和变更管理

作为信息安全管理体系中最重要的“事前”防控手段,访问控制策略需遵循“最小授权”和“知所必需”原则,利用网络防火墙、访问控制列表、堡垒机系统等多种方式相结合,实施生产系统的访问控制策略,所有对生产系统的运维操作必须在指定的生产运维场所才能实施,并配备门禁、视频监控等方式进行管理。此外,可以利用业界成熟的堡垒机系统,实现用户身份的双因素认证、一事一审批、操作录屏、用户托管和定期改密各项管理要求。

应建立完备的生产变更管理流程。通过定期召开变更评审会等方式,对当期生产变更的实施方案进行审核,安排专人负责版本出入库管理,确保投产版本准确性。通过工具平台实现生产变更申请、审批、材料提交全流程管理。生产变更原则上选择在非营业时间窗口执行,重要变更双人复核,严格落实重大保障时期的变更严控工作。

    5、应急管理和灾备建设

为确保多场景情况下的应急处置能力,可预制统一的应急预案模板,全面覆盖信息系统可能涉及的各大应急场景,各信息系统根据实际情况“对号入座”,制定详细的恢复方案。每年初制定全年应急演练计划,开展应急预案集中修订、培训和审核工作。重要系统每年开展一次实战演练,其他系统三年全覆盖,演练时邀请相关业务部门参与,演练后对预案的有效性进行及时评估,适时开展修订工作。

凡事预则立,不预则废。要时刻具有风险意识,重视灾备建设,打造本行的同城灾备中心,在资源有限的情况下也可通过租用IDC机房的方式实施。首先完成网络级灾备机房建设,建议采用生产与灾备“双活”机制,确保全辖网络高可用性。逐步开展信息系统应用级灾备建设,提高系统容灾能力。

    6、等保测评和风险评估

按照监管机构对等级保护工作的相关要求,为切实提高重要系统保障能力,应对一级分行维护的重要系统开展等保定级,并按照等保三级系统每年一次、等保二级系统每两年一次的频率组织专业测评机构对定级系统进行复测。通过定级和复测排查存在的安全隐患,并根据检测报告制定改进计划,确保信息系统安全可靠。

需高度重视信息科技风险评估工作,可引入业界比较成熟的风险评估方法论,定期评估和触发式评估相结合,对信息科技风险开展全面评估。风险评估参与方范围尽可能广泛,人员层级尽可能丰富,做到从不同岗位视角对制度、开发、运维等各个领域的风险进行识别和评估,评估结果提交管理层进行决策,并根据决策结果开展后续风险处置工作。

    7、内部审计和安全检查

建立内部常规审计机制,每月对机房出入、生产变更、日常运维开展审计,通过调阅机房门禁记录、审批记录、生产变更方案、监控录像等多种方式,督促各运维人员做到合规操作,减少操作风险隐患。

每年至少开展一次集中式内部审计,对IT运维和信息安全管理进行全方位审计,全面排查制度执行合规情况和信息科技风险,对发现问题制定后续整改计划,明确整改责任人,并定期跟进整改情况。

加强对二级行检查和指导力度,通过开展各类现场检查和自查等方式,重点关注网点机房、网络、UPS等基础环境以及客户信息保护领域,传导信息安全管理要求,及时发现和消除安全隐患。

    8、工具化防护体系

应利用强大的工具化体系保障网络和信息安全,重视“技防”在实际管理中的应用,建立多位一体的安全管控防线。

在网络层面:可以通过内外网物理隔离、网络边界部署防火墙、外联交互通过DMZ区落地等方式实施网络安全策略。利用部署IDS设备和漏洞扫描系统等方式,实时监测可疑的网络攻击行为,对网络和系统漏洞风险进行有效识别。

在终端层面:可以通过域控管理,终端准入软件、防病毒管理软件进行终端基本防护,建立有效的补丁升级和病毒库更新机制。为避免未经授权的信息转移,可通过部署文档安全管理软件和移动介质管控软件,确保前期管控和后期追溯能力。

在系统层面:可以通过集中监控平台、机房动力环境监测系统等组成基础环境的自动监测防线,结合应用层面的监控手段,共同形成全覆盖的纵深监控预警体系。高等级监控告警实时对接事件管理流程,确保在发生故障时运维人员能第一时间介入处理,管理层和信息安全管理职能团队能够及时关注并提供资源支持。

    9、外包安全管理

    重视信息科技外包风险管理,对外包商实行分级管理,严格落实事前调查、事中监控、事后评价的管理模式。对重要外包商可采取现场走访的方式开展外包风险排查,核实其履约能力。对于提供信息科技服务的驻场外部人员,采取严格的出入场管理,包括但不限于签订保密协议、开展安全意识培训、访问权限限制、日常考勤、离岗审核等,有效防范人员外包风险。

    10、宣传教育和培训提升

高度重视员工信息安全意识培训,在新员工入职培训中设置信息安全培训课程。对行内信息安全日常职责涉及人员,可通过邀请安全行业专业师资开展现场培训等方式,提升其理论和实操能力。每年开展全行员工信息安全意识培训,可利用在线测评的方式宣传网络安全法、普及信息安全意识和办公保密应知应会。

    11、PDCA持续改进机制

结合业内最佳实践,建议对整个信息安全管理体系实行PDCA的持续改进机制,PDCA循环的含义是将质量管理分为四个阶段,即计划(Plan)、执行(Do)、检查(Check)、行动(Action)。通过定期组织召开回顾会等方式,通报体系运转情况,并就收集到的改进建议进行评审讨论,确定后续改进计划,确保体系质量得到持续提升。

三、商业银行一级分行信息安全管理体系的探索

    1. 依托总行,立足分行,重视体系化管理

对于商业银行一级分行来说,在总行设计的顶层策略下,分行应结合自身业务发展、管理重点、人员配置等多方面因素,满足总行和当地监管要求,设计一套适用于自身实际的信息安全管理体系,以合规为底线,以制度为导向,为整个信息安全管理工作提供总体规划。必要时,可以引入专业的咨询公司协助设计,并通过ISO27001等国际标准化认证的方式来开展体系化建设。

    2. 建立专业化队伍,培养员工合规意识

一是加强信息安全人员专业化培养,设置专职的信息安全管理岗位,树立“持证上岗”的准入要求,通过网络安全、信息安全、审计等方面理论体系培养,进一步提升从业人员的专业化水平。二是满足信息科技人员配备要求,做到科学设岗,岗责分离,切实做到不相容岗位的职责分离,减少“一手清”风险。三是加强制度培训和教育,培养员工合规意识,减少员工道德领域的风险。

    3. 工具化管理和新技术场景的挑战

工欲善其事,必先利其器。注重人防与技防相结合,引入业内成熟的安全工具,在运行监控、访问控制、数据保护、恶意攻击等方面实现自动化管理目标,形成监控、防御、处置全方位覆盖,达到事前控制、事中审批、事后审计的全流程管理要求。关注信息科技最新发展,在大数据、云计算、区块链、人工智能等新技术场景应用时,及时投入资源分析随之而来的网络和信息安全风险,思考解决方案,做到提前应对。

    4. 确保制度有效落实,安全生产是第一要务

据统计,商业银行超过半数的生产运行风险都是由操作原因引起的。因此,作为承担生产运行任务和职责的一级分行必须严格落实生产安全的各项制度,强化过程管理,确保合规操作。此外,要充分发挥现有各项监控平台的作用,对于生产安全风险做到早发现、早报告、早处置。重视应急预案和应急演练,建立高效的信息通报和决策机制,提升网络和信息系统应急处置和恢复能力,最大限度地降低风险,以安全生产为第一要务,全面提高商业银行一级分行的网络和信息安全管理水平。

 

在网络和信息安全形势越发严峻的今天,在内外部管理要求更加细化和深入的当下,商业银行一级分行信息安全管理体系化建设已经成为优化管理模式、提高管理效率,提升管理效果的必经之路。


作者:胡思维(中国银行宁波市分行)

上一篇:二等奖 —— 宁波市数据中心信息网络安全工作的实践与做法
下一篇:二等奖 —— 浅谈医院信息网络安全
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com