商业银行内部信息安全战略管理体系的构建.pdfVIP

经营探索 Pilot Operation 商业银行内部信息安全战略管理体系的构建 插图：张超 信息技术的发展在为商业银行经营提供巨大便利的同时，也带来安全风险。通过信息安全战略管理体系的构建与运行，商 「摘要」 业银行可以整体规范组织信息安全管理工作，有效保护信息资产，控制信息风险，提高组织运行效率，提升组织价值。 DOI:10.16127/j.cnki.issn1003-1812.2015.07.013 文 / 李欲晓 （一）中国商业银行信息安全管理现 得到全球广泛认可。此外，国际信息系统 状 审计与控制协会（ISACA）也颁布了信息 信息技术的运用在不断提高商业银 及相关技术的控制目标（COBIT）。按照 中国商业银行信息安全管理概 行管理效率的同时，也带来一系列安全问 相关国际标准，中国也陆续发布了GB／ 述 题。在交易、支付、清算等商业银行业务 T22080—2008等一系列国内信息安全管 过程中，安全事件时有发生，严重影响了 理标准。自2000年开始，中国人民银行 20世纪后期，中国的商业银行开始进 商业银行的正常运行。为此，商业银行加 先后印发了内部系列信息安全管理办法以 行信息化建设，银行卡、POS机、自助存 强了信息安全管理。一方面，各国纷纷颁 及《中国人民银行关于进一步加强银行业 取款机、网上银行、手机银行、电话银行、 布了信息安全管理标准，为商业银行信 金融机构计算机信息安全保障工作的指导 核心业务系统、银联中心等越来越多的金 息安全管理提供了可靠的依据。首先，国 意见》等。此外，银监会发布了《商业银 融业务采用了现代化的信息技术与设备， 际标准化组织基于英国标准协会（BSI） 行信息科技风险管理指引》；国家网络与 不仅大大提高了银行运营的效率，而且基 发布的BS7799-1（信息安全管理实施规 计算机信息安全协调小组办公室也印发了 于信息技术的金融服务也成为商业银行的 则）和BS7799-2（信息安全管理体系规 《银行重要信息系统应急协调预案》等。 业务创新点和新的利润增长点。 范ISMS），发展成为ISO27000系列标准， 上述规范的制定，有利于商业银行进行信 July 2015 农村金融研究 57 经营探索 Pilot Operation 息安全标准化管理。另一方面，各商业银 创新的基础。因此，信息技术的安全、可 身份可认证性、授权、访问控制、不可否 行结合自身特征，积极进行信息安全管理 靠和有效直接影响商业银行的生存与长期 认性和可追查性以及遭受攻击后的可恢复 实践。例如，中国建设银行通过分别制定 发展。 性等 ；技术安全是指生成、处理、转换、 《信息安全管理办法》和《信息系统安全建 其次，信息安全是银行业发展与金融 存储和传输信息的系统在设计、管理以及 设标准体系》，加强组织的信息安全管理 体系稳定的必要保障。商业银行业务与信