全新网络安全框架助力金融服务类企业风险管理致同会计师事务所.pdfVIP

全新网络安全框架助力 金融服务类企业风险管理 科学技术的日渐革新极大改变了传统的沟通及商业模式，数据安 全逐渐成为企业最关注的问题之一。 网络信息安全是IT 战略的重要组成部分，它主要包含了技术和流 程部分, 旨在保护数据、计算机和网络免遭他人通过互联网非法访 问或窃取信息。 信息安全战略和工具一直在努力改进以适应层出不穷的各类威胁， 业内人士已经意识到最佳实践必须不断调整，以最大可能地控制 信息犯罪。此外，对于那些系统复杂或过于陈旧的企业来说，网 络安全战略的实施会更为困难，同时也会增加额外的风险。 金融服务类企业和信息安全 信息安全对于那些储存着极重要数据的机构而言显得尤为关键。对于金融服务类企业来说，其数据难以避免地会受到信息 窃贼的关注。由此可能产生的风险包括对个人或企业银行账户的信息泄露、身份欺诈、数据更改、数据窃取、交易欺诈、 电汇欺诈、信用卡信息泄露，以及洗钱等。 银行已经意识到这些威胁，并积极着手应对。例如网上银行—— 消费者最初对它的接受是缓慢的，他们认为网上银行更容 易遭受欺诈或身份盗窃。对此银行迅速提升了网银的技术和安全流程，于是消费者很快地接受了各类新的在线产品，而网 银也由此成为银行业务发展的主导力量。令消费者振奋的是，如今看来，网上银行比邮寄的纸质账单更安全。我们就是这 样不断接受挑战，实现超越，并向潜在的信息安全威胁宣战。 我国政府对网络安全的持续关注 目前我国针对或适用网络信息安全的专门立法也在不断完善中。2010 年，中国人民银行向银行业金融机构发布了《网上银 行系统信息安全通用规范 （试行）》，针对网上银行系统的技术、管理和业务运作三个方面，成为网上银行系统安全建设、 内部信息安全检查和合规性审计的依据；2012 年度，中国证监会正式发布 《证券期货业信息安全保障管理办法》，其中定 义了证券期货业的网络安全初步要求。 近年来各类网络金融事件的频频发生，也启示着我国的金融服务类企业：无论是为了符合监管要求，或是为了保障企业的 网络金融安全，重建或增强现有的网络安全框架已刻不容缓。 美国政府对网络安全的介入 多年来，美国政府一直试图为信息安全立法，2010 年的《网络安全法案》鼓励公众、私人就网络安全问题展开合作，尤其 针对那些可能涉及处理国家安全利益重要数据的私营实体。这部有争议的法案还试图赋予总统特殊权力——在美国遭受重 大安全威胁等极端情况下，可以关闭整个互联网。虽然该法案最终没有通过成为法律，但是2013 年版本的《网络安全法案》 已经出台并处于审查阶段。其他值得注意的法案包括2010 年的《国际网络犯罪报告与合作法》，以及2010 年的《保护国 有资产网络空间法》，但是这两个法案都止步于投票阶段。 拟议的NIST 框架 第13636 号总统执行令(Executive Order 13636) 呼吁对信息安全架构进行开发， 为建立或加强网络安全策 以便于为信息安全风险管理提供 “优先、灵活、可复用、以性能为基础且经济高 略，NIST 框架为高管们提 效的方法”。为履行这一指令，美国国家标准与技术研究所 （NIST ）于2013 年 供了绝佳的起点。 8 月28 日发布了一份网络安全框架讨论稿，企业可应用该框架来建立一套全新的 网络安全体系或改进现有体系。 网络安全框架由三部分组成 1. 框架核心 框架的核心贯穿了五大方面的网络安全标准和最佳实践：识别、保护、检测、响应和恢复。它可以为 企业的网络安全风险管理提供一个高层次和战略性的视角。 2. 框架执行层 四大层次展示了企业落实框架核心标准和最佳实践的实施力度，并阐述网络安全风险的管理方法。这 些层次涵盖了局部性级别 （0 级）至自我适应级别 （3 级）。 3. 框架目标轮廓 目标轮廓展示了特定风险的应对方法，并且可以用来测量实施进度。 金融服务类企业：框架的应用 金融服务类企业是拟议网络安全法规的一个重要焦点，因此，了解法规预期并迅速采取行动至关重要。每家企业的基础设 施各有不同，部分推荐方案必须进行相应调整，企业必须意识到这一点并立刻采取行动。 该框架还远未成熟，预计许多利益关系方将在最后立法形成雏形时进行权衡。此外，围绕立法诠释已有许多争议。例如， 该框架没有详细说明如何最好地实施网络安全保护，而且它目前倾向于自律而非强制。相信随着时间的推移，这些问题都 将得到解决。 “这个框架协助企业了解他们