金融行业网络安全.docVIP

金融行业网络安全管控解决方案 方案背景 随着全球信息技术的快速发展与金融行业IT信息化的不断深入，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查，75%以上的信息安全案件，都是与内部人员有关。在国内的各种信息安全案件中，内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力，金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高，为此国家相关主管部门也在积极促进信息科技审计工作的推进，意在促进国内金融体系建立起信息安全技术保障机制，以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》，要求中央企业加强内控，降低企业风险，并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年，银监会对国内商业银行也提出了强化内部控制与审计的要求（银监会63号文和313号文），要求不仅仅要加强安全建设，同时也要对IT系统的相关操作进行全面采集和审计。此外，萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性，这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。