对中小商业银行等级保护咨询服务探讨与研究.docVIP

对中小商业银行等级保护咨询服务探讨与研究 　　【 摘 要 】 本文力求全面剖析中小商业银行的等级保护咨询服务项目，帮助将要开展信息安全等级保护的咨询方和银行信息安全管理者明确等级保护的咨询服务所涵盖的内容及所能达到的目标。 　　【 关键词 】 中小商业银行；等级保护；信息科技风险管理；信息安全体系框架 　　1 中小银行等级保护咨询服务的背景 　　随着信息技术的不断进步与发展，信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发【2012】163号”文件，为进一步落实《信息安全等级保护管理办法》（公通字〔2007〕 43号文印发），加强对银行业信息安全等级保护工作的指导，结合近年来银行业信息安全等级保护工作开展情况，人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见，至此，正式的拉开了中小商业银行等级保护建设和整改工作的序幕。 　　2 等级保护咨询服务的项目目标 　　国内中小银行在信息安全的发展程度，大部分处于自我认知的阶段，一边忙于业务发展的保障需要，一边又要应对上级监管部门的监督检查，对于安全建设来说，大部分没有纳入到战略的层面来考虑。因此，借助于等级保护咨询服务来建立的这样一套信息安全体系，必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承，互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面，建立适合自己业务特点与发展需求的信息安全体系，才能达到有效管理风险、进行IT治理的目的，并最终通过等级测评。 　　3 等级保护咨询服务的总体思路 　　中小银行在咨询服务项目需要主动地全面的考量自身情况，综合分析人民银行、银监会和等级保护的要求，在现有的安全工作基础之上，建立统一的信息安全体系，同时满足这些主要的监管要求。这样面临检查时，只要客观反映出当前状态就可以，有效降低临时的材料组织工作。 　　同时满足三方面监管要求的信息安全体系，这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架，以各专项监管指引为各个领域的具体工作指导，以ISO27000为代表的国内外信息安全标准为补充。 　　4 等级保护咨询服务的内容 　　等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》，“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。 　　4.1 系统定级 　　系统定级阶段需要完成的工作。 　　1） 等级保护的导入培训：在进行咨询服务之前，需要对银行相关科室信息人员进行等级保护的内容培训。只要讲清楚等保是什么，需要各级人员配合的工作点是什么就可以了。 　　2） 系统业务安全域划分：这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。 　　3） 编写系统定级报告和备案表：定级报告和备案表都是按照公安部等保办公室的通用模版来编写的，内容包含了系统功能描述、网络拓扑、定级的理由和依据等。 　　4） 召开专家评审会、获得备案证明：召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果，因为定级和备案是等级保护工作开展的前提，如果级别定错了，或者专家有不同的评审意见，则后续的设计方案、整改方案均无法执行。同时，对于银行信息科技部门的领导而言，服务工作做的怎么样无法量化，但是备案证书是看的见，摸的着的，如果能在评审会现场当场颁发，则意义更加重大。 　　4.2 规划与设计 　　规划与设计阶段的主要工作就是进行等级差距分析和风险评估。 　　1） 技术层面可直接参考人民银行关于金融行业的“测评指南”来完成，可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估，同时对网络流量和网络协议进行简单的分析，通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析，输出风险评估报告和技术层面的差距评估报告。 　　2） 管理层面上，等保的管理要求相对薄弱，集中体现在运维管理等方面，如果要达到人民银行和银监会的标准，还有很多需要加强和补充的地方，可以对现有的制度文档进行一个简单的梳理，用最短的时间完成等保的管理制度调研。 　　4.3 实施与整改 　　实施与整改阶段需要按照规划阶段的设计方案进行实施，以满足等级保护安全体系的建设要求。 　　1） 组织体系整改：安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式，但应具体到管理员岗位。 　　2） 管理体系整改：按照等级保护的要求补充或重新制定管理制度，根据咨询方提供的制度模版，银行可根据自身的实际业务需求进行修改，并经