金融标准化在行业信息安全等级保护中实践.docVIP

金融标准化在行业信息安全等级保护中实践 　　一、金融行业信息安全系列管理标准概述 　　信息安全等级保护是国家在信息安全保障工作的一项基本制度，人民银行根据国家关于信息安全等级保护工作的相关制度和标准，制定了金融行业信息系统信息安全等级保护系列标准，2012年以由金融标准化技术委员会以中华人民共和国金融行业标准对外发布。即：《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071-2012）、《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072-2012）、《金融行业信息安全等级保护测评服务安全指引》（JR/T 0073-2012）。其中： 　　第一，《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071-2012）依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全涉及技术要求标准》，结合金融行业特点以及信息系统安全建设需要，对金融行业信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求，以保障将国家等级保护要求行业化、具体化，提高金融机构重要网络和信息系统信息安全防护水平。 　　第二，《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072-2012）规定了金融行业对信息系统安全等级保护测评评估的要求，包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。根据金融行业信息系统的定级情况，不存在五级系统，而一级系统不需要去公安机关备案，不作为测评重点。 　　第三，《金融行业信息安全等级保护测评服务安全指引》（JR/T 0073-2012）总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。 　　二、金融行业信息安全系列管理标准应用 　　人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上，按照标准化技术和方法，制定《银行业金融机构信息安全检查规范》（简称《规范》），作为落实等级保护管理要求的检查标准。 　　（一）以标准化方法细化检查依据 　　???融信息安全管理体系范围与内容复杂庞大，研究表明，金融信息安全等级保护系列标准规范涵盖金融机构信息化安全管理的基本管理要求和基本技术要求，应以信息安全等保制度作为检查依据。目前，根据人民银行总行和公安部的统一部署，银行业金融机构有序开展网络及信息系统的定级、评审、备案、测评和整改工作。 　　（二）以标准化技术明确检查内容 　　以金融信息安全等级保护的管理要求为基础，同时，从实际工作出发，需要增加以下内容： 　　1.增加信息安全概况的内容。按照统一的标准化方式统计各银行机构信息化发展规划、人员资金投入、开发建设、专项治理、安全保障等情况。便于检查人员掌握了解被查行信息化建设的基本层面。 　　2.增加银行卡联网联合技术管理的内容。当前，银行卡犯罪呈上升趋势，人民银行总行高度重视银行卡联网联合及其带来的信息安全管理工作，在《规范》中应增加相关检查内容。 　　3.增加金融业机构信息管理的内容。金融机构代码在我国实施的金融标准化战略中，具有重要的基础作用，人民银行通过检查金融机构代码证申领、年检、变更和撤销，确保金融机构信息的真实、准确、有效。因此，在《规范》中应增加相关检查内容。 　　（三）以标准化手段细化检查流程 　　一是标准化的检查方案。由于银行金融机构分为法人和非法人机构，金融信息化发展水平不均衡。省、市、县、营业网点金融信息化发展不均衡。制定的《规范》作为通用工作规范，并按照信息安全等级保护定级分别标注出来。检查单位要根据被检查银行信息安全等级保护定级情况，在通用规范的基础上定制检查方案。 　　二是标准化的检查内容。由于各银行金融机构的基础、投入、核心系统等不同，导致各行信息安全管理具有独立性，金融信息安全管理组织、资料名称、归聚存在差异。检查单位应关注被检查单位的信息安全管理的实质内容，忽略具体表现形式。 　　三是标准化的机房核查流程。网络和信息系统正常运行是业务开展的基础，机房属于银行核心区域。因此，检查人员进入机房应注意按照相应管理制度执行。 　　四是标准化的协查规定。信息安全涵盖机房、网络、系统、安全、银行卡、机构信息等，检查人员需要与不同的技术人员交流，被检查单位应指定专人全程陪同，负责协调。 　　五是标准化的禁止规定。为了避免检查人员登陆被查单位信息系统出现误操作，造成重大损失，检查人员应与联络人进行充分的沟通，由被查单位人员具体上机操作，严禁检查人员直接登陆被查单位信息系统操作。 　　六是标准化的通报格式。检查人员应分析查出问题的性质，标识风险隐患的类别（高风险、中风险、低风险）