您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
觀點 | 城商行建設信息安全管理體系的思考
文 / 邯鄲銀行信息科技部? 韓文科
城商行經(jīng)過近幾年的快速發(fā)展,資產(chǎn)規(guī)模連續(xù)增長,資產(chǎn)質(zhì)量不斷提高,盈利能力不斷提升,在綜合實力增強的背后,信息科技投入持續(xù)增加,基礎設施日趨完善,信息系統(tǒng)建設同比增長。同時,城商行信息科技管理工作也面臨著來自內(nèi)、外部雙重的挑戰(zhàn)。一是內(nèi)部存在著對科技期望高,信息技術(shù)人才和建設費用少,規(guī)劃、自主研發(fā)、測試能力弱的“一高、兩少、三弱”的局面;二是外部存在著信息網(wǎng)絡安全形勢嚴峻,監(jiān)管要求不斷提高,新技術(shù)快速應用和發(fā)展。如何應對這些挑戰(zhàn),是當前城商行信息科技管理工作需要認真思考的現(xiàn)實問題。
建設思路
受限于城商行資金及人員限制,利用有限的資源,通過整合相關標準,扎實開展風險評估,提升關鍵領域能力,持續(xù)改進和優(yōu)化,建設一套行之有效的管理體系,提高信息安全管控水平,以適應信息科技不斷發(fā)展和變革的需要。
1.整合標準
針對國際、國內(nèi)信息安全管理發(fā)展趨勢,結(jié)合監(jiān)管要求,整合信息安全管理體系建設框架。目前,國際和國內(nèi)信息安全標準主要包括ISO27001、信息安全等級保護、ISO20000/ITIL,ISO22301等體系,考慮到城商行缺少完整的標準體系指導具體工作實際情況,以ISO27001為基礎,將標準進行整合,統(tǒng)一按照PDCA流程進行實施,基于保障信息資產(chǎn)的可用性,完整性、保密性的要求,完善管理制度、規(guī)范處理流程,建設標準化、可量化的管理體系,并具備持續(xù)改進能力,構(gòu)建切實可行的信息安全管理體系。
2.風險評估
信息安全風險評估工作,是度量當前信息安全短板的必要手段,也是建設信息安全管理體系的基礎。通過差距分析,了解優(yōu)勢和不足,明確信息安全管理體系建設的工作方向和重點,為完善信息安全管理體系文件以及相應的技術(shù)控制措施提供輸入。
(1)資產(chǎn)分析法。傳統(tǒng)以信息資產(chǎn)為核心的風險分析方法具有通用性,強調(diào)信息資產(chǎn)的風險屬性。按照資產(chǎn)列表、脆弱性及威脅列表,對每項資產(chǎn)面臨的風險進行分析,確定與資產(chǎn)、威脅和脆弱性相關聯(lián)的具體風險,根據(jù)資產(chǎn)重要性、脆弱性嚴重程度和威脅嚴重程度,進行風險計算,確定風險值。經(jīng)過“定性”到“定量”的過程,使信息風險按等級進行量化表示,有助于風險偏好的設定和處置。
(2)基線評估法。基于信息安全基線的風險評估方法主要圍繞信息系統(tǒng)規(guī)劃、建設、使用過程中的風險進行分析,特別強調(diào)標準化和最低控制策略。根據(jù)信息系統(tǒng)生命周期的不同階段,通過建立安全基線檢查列表,對相關安全要求標準化、制度化,對應用層和基礎設施層評估,能夠降低對人員的能力要求,更適用于城商行風險評估過程。
信息系統(tǒng)建設過程中每個階段都可能存在信息安全隱患,根據(jù)不同階段,采用資產(chǎn)分析法和基線分析法相結(jié)合,更有利于信息風險的全面掌控。
3.提升能力
針對城商行信息科技力量相對薄弱、資金投入相對較少的特點,以滿足合規(guī)性要求為基礎,加強在信息安全重點控制領域的能力提升。
(1)加強日常運維流程管理。對信息系統(tǒng)運行過程中的關鍵流程進行標準化,包括事件管理、問題管理、變更管理、容量管理等流程。通過統(tǒng)一的運維管理及監(jiān)控平臺提供工具支撐,實現(xiàn)對日常信息系統(tǒng)運行過程中的安全事件快速響應,提升信息科技服務質(zhì)量,保障系統(tǒng)可用性的目標。
(2)建立外包服務評價系統(tǒng)。根據(jù)城商行信息系統(tǒng)建設項目大量外包的現(xiàn)狀,建立外包服務商績效綜合評估系統(tǒng)。在整體評價中對各單項進行單獨風險評價,覆蓋外包商的準入、實施、事后評價等項目外包的全生命周期范圍。選擇優(yōu)質(zhì)的外包服務提供商,以確保信息系統(tǒng)工程質(zhì)量,降低信息系統(tǒng)的運行風險。
(3)完善業(yè)務連續(xù)性保障體系。通過管理、應急、支撐三個層面的建設,提升對災難事件的應急處置能力,完善生產(chǎn)中心、同城災備中心、異地災備中心的容災保障體系。城商行應依據(jù)監(jiān)管要求,針對重要的業(yè)務系統(tǒng),制定相應的業(yè)務恢復目標、業(yè)務連續(xù)性計劃,并切實執(zhí)行演練,驗證業(yè)務連續(xù)性資源的可用性,驗證應急預案的可操作性、有效性和完整性,實現(xiàn)對災難事件的應急響應,保障信息系統(tǒng)的業(yè)務連續(xù)性。
(4)筑牢信息科技三道防線。筑牢信息科技三道防線是城商行信息安全風險管理的重要保障。一是強化信息科技部門對信息科技風險的識別、監(jiān)控、實施管控的職責;二是提升風險管理部門制定信息科技風險管理策略、計量標準,進行風險提示,開展評估,監(jiān)控重大風險,督促糾正的管控能力;三是深化審計部門對信息科技風險管控情況審計,實現(xiàn)對一、二道防線的獨立鑒證和評價作用。
4.優(yōu)化改進
信息安全管理是一個不斷完善、持續(xù)改進的過程,結(jié)合業(yè)務發(fā)展,明確改進目標,不斷優(yōu)化提升,樹立一個良好的指標體系。一是意識能力提升,人員的安全意識、安全保障能力等方面,需要加快成長過程;二是加強投入,作為城商行,信息安全方面的投入是一個逐步的過程,需要抓住重點,逐步實施;三是完善信息安全風險評估方法,為信息安全風險評估提供更方便、準確的評估手段;四是針對外包商管理績效評估體系,需要進一步實施落地,完善績效評估指標以及權(quán)重設置,降低外包風險。
建設實踐
邯鄲銀行根據(jù)自身的特點,提出了“全面規(guī)劃、預防為先、基線達標、突出重點、分步實施”的信息安全管理體系實施方針,實現(xiàn)了信息安全有序發(fā)展目標,經(jīng)過充分運行,通過審核,獲得了“信息安全管理體系認證證書”。
1.實現(xiàn)建設目標
以戰(zhàn)略為指導,以管理為基礎,以技術(shù)為保障,以工具為手段,采取分級防護、集中管控、持續(xù)改進的措施,邯鄲銀行實現(xiàn)了信息安全的“可管、可控、可信”有序發(fā)展目標。
(1)可管階段。在“可管”階段,以國際信息安全領域的管理體系標準ISO27001為基礎,充分考慮信息安全的合規(guī)性要求,包括信息安全等級保護、以及監(jiān)管部門發(fā)布的相關標準指引,同時結(jié)合ISO20000/ITIL、ISO22301等國際標準,從組織、體系文件、流程、人員等方面進行標準體系整合,對信息安全管理體系進行優(yōu)化,建立信息安全基線,滿足合規(guī)性要求。
(2)可控階段。在“可控階段”,實現(xiàn)信息安全管理體系流程基本績效測量,評估流程實施的效果,同時將信息安全管理體系的管理部分固化到日常信息安全管理當中,通過工具支撐,組織全行人員充分理解信息安全管理體系架構(gòu)及使用。
(3)可信階段。在“可信階段”,隨著規(guī)模的擴大和能力的提升,信息安全各領域的管理能力和安全保護措施都已全面完整,流程達到體系建設標準,根據(jù)標準的流程進行裁剪以適應不同部門的需要,信息安全管理流程推廣到全行所有部門以及各分支行,達到信息安全管理體系貫徹的效果。
2.獲得認證證書
在2011年取得信息安全管理體系認證證書的基礎上,邯鄲銀行于2019年12月,順利通過中國網(wǎng)絡安全審查技術(shù)與認證中心審核,再次獲得認證證書。本次認證是根據(jù)新版信息安全管理體系(ISO/IEC27001-2013)國際標準和監(jiān)管要求,開展了資產(chǎn)識別、風險評估、風險處理、風險控制、持續(xù)監(jiān)控和評審以及信息安全管理體系運行等一系列工作,建立了一套符合最新國際標準和監(jiān)管要求的信息安全管理體系,全方位涵蓋了安全方針、信息安全組織、人力資源安全等14個領域,極大提升全行信息科技的安全管理和風險防范水平,為業(yè)務快速發(fā)展提供強有力的信息安全保障。
未來探索
目前信息安全方面的標準、定義、要求眾多,涵蓋了信息安全的各個方面,建議城商行信息科技安全管理工作從多體系融合和流程成熟度模型方向深入探索。
1.多體系融合探索
信息安全相關標準存在很多的共性內(nèi)容,存在較多的重復工作,甚至出現(xiàn)不一致的內(nèi)容,組織架構(gòu)、管理流程、人員、相關工具支撐方面都各自為政,加大了標準的實施難度,多體系融合能夠避免重復工作以及內(nèi)容沖突。邯鄲銀行在實施標準整合的基礎上,正在積極探索ISO27001和ISO20000/ITIL的深度融合,通過“制度+服務”的理念,進一步提高管理能力,提升服務質(zhì)量。
2.成熟度模型研究
目前以信息安全治理框架為基礎的信息安全管理流程,有一定的廣泛性,但其理論性強,具體到城商行實踐方面不一定具備通用性。通過管理流程與成熟度模型相結(jié)合的思路,研究信息安全管理流程的成熟度模型,城商行可以根據(jù)自身的風險偏好和策略,選擇需要達到的信息安全管理流程成熟度水平;對信息安全有效性的度量指標內(nèi)容進行深入研究,評估相關控制措施是否達到了預期目標,對城商行信息安全管理體系建設更具備指導意義。
信息安全總是相對安全,隨著技術(shù)與業(yè)務的高度融合,大數(shù)據(jù)、智能化、移動互聯(lián)網(wǎng)等電子化替代手段進一步提高,新的信息科技風險總是不斷出現(xiàn)。城商行應立足自身實際,建設適用的信息安全管理體系,保障信息系統(tǒng)安全、高效、穩(wěn)定運行。
(欄目編輯 :韓維蜜)
來源:金融電子化