银行信息安全管理基础知识.doc

银行信息安全管理基础知识 银行信息安全威胁 随着银行信息建设的深入发展，银行全面进入了业务系统整合、数据大集中的新的发展阶段，经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求，但是另一方面不可避免地导致了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括： 来自互联网的风险、外部机构的风险、不信任网络的风险、机构内部的风险、灾难性风险等五部分。 信息安全建设的原则及等级划分 信息安全原则 信息安全是一项结合规划、管理、技术等多种因素的系统工程，是一个持续、动态发展的过程。技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。 信息安全的原则：明确责任，共同保护；依照标准，自行保护；同步建设，动态调整；指导监督，重点保护。 (二 )信息安全等级介绍 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息，以及存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素，信息系统的安全保护共分为五等级： 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 信息安全等级评估 决定信息系统重要性等级时应考虑以下因素： 1、系统所属类型，即信息系统的安全利益主体。 2、信息系统主要处理的业务信息类别。 3、系统服务范围，包括服务对象和服务网络覆盖范围。 4、业务依赖程度，或以手工作业替代信息系统处理业务的程度。 信息安全规划内容 信息安全体系及其特点 信息安全体系包括安全管理体系和安全技术体系，两者是保障信息系统安全不可分割的两个部分，大多数情况下，技术和管理要求互相提供支撑以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系统中各种角色的活动。通过文档化的管理体系，从政策、制度、规范、流程以及日志等方面监督、控制各类角色在系统日常运行维护工作中的各种活动。 安全管理体系是由安全管理组织、人员安全管理、系统建设管理、系统运维管理和安全审计管理 5个部分组成。 安全技术体系的主要目的是为信息系统提供各种技术安全机制，主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。 安全技术体系是由基础设施安全、网络安全、主机安全、应用安全和数据安全5个层面组成。 建立信息安全管理体系（简称 ISMS），具体内容如下： 计划（PLAN）：建立ISMS。建立ISMS的政策、目标、过程及相关程序以管理风险及改进信息安全，使结果与组织整体政策和目标相一致。 执行（DO）：实施与执行ISMS。ISMS 的政策、控制措施、过程与流程的实施与操作。 查核（CHECK）：监督与审查ISMS。依据ISMS政策、目标及实际经验，以评鉴与测量 （适当时）过程绩效，并将结果回报给管理层加以审查。 行动（ACT）：维持与改进ISMS。依据内部 ISMS稽核与管理层审查或其它相关信息结果采取矫正与预防措施，以达成信息安全管理系统的持续改进。 规划实施内容 信息安全组织建设 信息安全管理组织建设是在组织内部建立跨部门的信息安全协调沟通机制，以便在组织内管理信息安全，识别与外部组织相关的安全风险，定义和分配信息安全职责，定期对信息安全工作进行评审。 在银行建立信息安全管理委员会，从组织架构的层面推动信息安全规划的实施，该机构的主要职责包括：推动信息系统安全保障体系建设；周期性地对系统信息安全风险进行识别和评估；保护商业秘密和技术机密，维护企业的利益；制定信息系统的安全策略，提高企业的抗风险能力。 人员安全管理 人员安全管理是指在全体员工范围内提高信息安全防范意识，普及信息安全管理知识，落实各项安全管理制度，群策群力共同保障信息系统安全。 人员安全管理主要通过全员安全教育培训的方式来实现，培训的方式可分为三类： 1）管理层安全意识教育：针对管理层的安全意识教育培训，帮助管理层了解国家在信息安全方面的政策，提高对安全工作的认识，从而能够指导安全建设工作。 2）技术人员安全技能培训：学习安全管理理论知识和安全技术知识，从而具有掌握安全管理理念、掌握安全产品操作维护和安全事件处理的能力，维护信息系统的安全。 3）普通员工的安全意识培训：对广大信息系统用户进行安全意识教育培训，提高大家的安全意识，让全体员工都意识到信息安全工作的重要性，共同维护网络和