银行信息安全规划概述.docVIP

2012-07-19###############2012-07-19########2012-07-19########银行信息安全规划概述! 广 2012-07-19###############2012-07-19########2012-07-19######## 银行信息安全规划概述 ! 广州市农村信用合作联社 马希佳 一、银行信息安全威胁 随着银行信息建设的深入发展，银行全面进入 了业务系统整合、数据大集中的新的发展阶段，经 营的集约化和数据的集中化趋势一方面顺应了银 行业务发展的要求，但是另一方面不可避免地导致 了信息安全风险的集中。 银行信息系统存在的信息安全威胁主要包括 来自互联网的风险、外部机构的风险、不信任网络 的风险、机构内部的风险、灾难性风险等五部分。 二、信息安全建设的原则及等级划分 5 一 6 、信息安全原则 信息安全是一项结合规划、管理、技术等多种 因素的系统工程，是一个持续、动态发展的过程。 技术是安全的主体，管理是安全的灵魂。只有将有 效的安全管理实践自始至终贯彻落实于信息安全 当 中 ， 网 络 安 全 的 长 期 性 和 稳 定 性 才 能 有 所 保 证。 信息安全的原则：明确责任，共同保护；依照标 准，自行保护；同步建设，动态调整；指导监督，重点 保护。 5 二 6 、信息安全等级介绍 信息安全等级保护是指对国家秘密信息、法人 和其他组织及公民的专有信息和公开信息，以及存 储、传输、处理这些信息的信息系统分等级实行安 全保护，对信息系统中使用的信息安全产品实行按 等级管理，对信息系统中发生的信息安全事件分等 级响应、处置。根据信息和信息系统在国家安全、经 济建设、社会生活中的重要程度，遭到破坏后对国 家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度，针对信息的保密性、 完整性和可用性要求及信息系统必须达到的基本 安全保护水平等因素，信息系统的安全保护共分为 五等级： 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 5 三 6 、信息安全等级评估 决定信息系统重要性等级时应考虑以下因素： 系统所属类型，即信息系统的安全利益主 $3 体。 信息系统主要处理的业务信息类别。 系统服务范围，包括服务对象和服务网络 !3 73 覆盖范围。 业务依赖程度，或以手工作业替代信息系 83 统处理业务的程度。 三、信息安全规划内容 5 一 6 、信息安全体系及其特点 信息安全体系包括安全管理体系和安全技术 体系，两者是保障信息系统安全不可分割的两个部 分，大多数情况下，技术和管理要求互相提供支撑 2012-07-19###############2012-07-19#######4.#2*30$1，2!-#0’7+3-# 19#!####### !!# 年 # 月 $ 日 第 # 期%’(’ ! !# 年 # 月 $ 日 第 # 期 %’(’)(* )+,-./01 +% 2.(’(’3 以确保各自功能的正确实现。 构建安全管理体系的主要目的是管理信息系 统中各种角色的活动。通过文档化的管理体系，从政 策、制度、规范、流程以及日志等方面监督、控制各类 角色在系统日常运行维护工作中的各种活动。 安全管理体系是由安全管理组织、人员安全管 理、系统建设管理、系统运维管理和安全审计管理 5 个部分组成。 安全技术体系的主要目的是为信息系统提供 各种技术安全机制，主要是通过在信息系统中部署 软硬件并正确地配置其安全功能来实现。 安全技术体系是由基础设施安全、网络安全、 主机安全、应用安全和数据安全 5 个层面组成。 6 二 7 、信息安全建设方法论 参照国际标准 8+$##99 : 8+!#$ 信息安全 管理标准，建立信息安全管理体系 （简称 8,8），具 体内容如下： 计划（-*(’）：建立 8,8。建立 8,8 的政策、目 标、过程及相关程序以管理风险及改进信息安全， 使结果与组织整体政策和目标相一致。 执行（;+）：实施与执行 8,8。8,8 的政策、控 制措施、过程与流程的实施与操作。 查核 （)20)）：监督与审查 8,8。依据 8,8 政策、目标及实际经验，以评鉴与测量 6 适当时 7 过 程绩效，并将结果回报给管理层加以审查。 行动（()/）：维持与改进 8,8。依据内部 8,8 稽核与管理层审查或其它相关信息结果采取矫正 与预防措施，以达成信息安全管理系统的持续改 进。 6 三 7 、规划实施内容 人员安全管理主要通过全员安全教育培训的 方式来实现，培训的方式可分为三类： 管理层安全意识教育：针对管理层的安全意识 教育培训，帮助管理层了解国家在信息安全方面的 政策，提高对安全工作的认识，从而能够指导安全