银行信息安全实践与思考.docVIP

■IM HYPERLINK http://www.doolond.cornwww.doolond.corn 原版杂志 图书 精选图片 客户竣 个人屮心 读者俱乐部 行业动态 优患专区 充值卡/VIP激沽通道 立即成为VIP 字母检索 ABCDEFGHIJKLMNOPQRSTUVWXYZO-9 杂志首页 屮国金融电脑 建设银行信息安全实践与思考 来源:屮国金融电脑 关键字:建设银行，信息安全，实践，思考 建行一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人尺 银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行” 的要求，加人信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提 升，有效应对人为I人I索、信息系统自身缺陷、口然因索带来的不利影响，有力地保障了建行 业务稳健发展和创新。 屮国建设银行股份有限公司（以下简称“建行）一直践行“以客户为屮心”的理念，全力打 造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保 全行生产系统安全、稳定、持续运行”的要求，加人信息安全技术投入，完善信息安全管理流 程，加强人员安全意识和安全技能提升,有效应对人为因索、信息系统自身缺陷、自然内索 带来的不利影响，有力地保障了建行业务稳健发展和创新。 一、“十一五期间建行信息安全建设成绩 2005年，建行实现了全行数据人集屮，有力地支持建行重组上市、促遡业务快速增长和 业务创新，与此同时，信息系统自身风险和内外部攻击的风险也不断积聚，信息安全己不再 是传统的防病溥、防火墙、入侵检测“三大件”，系统化进行信息安全建设已迫在眉睦。为此, “十一五期间，建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维 安全管理流程、持续开展信息安全文化建设等方面，全面推进全行信息安全体系建设。 1 .高层推动，建立健金金行信息安全管理组织体系 遵循监管部门信息科技管理要求，结合行内组织职能划分，建行构建了全面的信息安全 管理组织，形成了“三个层面，三条防线”安全管理体系。三个层而是指，董事会负责制定全行 信息安全管理战略、负责加期听取全行信息安全管理情况报告；高管层负责明确内部信息安 全管理职责，负责重人信息安全管理决策；总行各业务部门和齐级分行作为信息安全执行层, 负责具体落实全行信息安全战略和决策。二条防线是指，执行层面屮信息科技管理部门及相 关业务部门是信息安全的第一道防线，信息科技管理部门负责制定信息安全管理制度、开发 部署信息技术保障体系、提供信息安全管理咨询服务等，部内设安全管理处，承担II常信息 安金管理丁作；风险管理部门是信息安金管理的第二道防线，负责监管要求的传递和业务连 续件管理丁作，内设操作风险管理处和业务连续管理处，从事业务操作风险管理相关丁作； 审计部是安全管理的第三道防线，负责全行安全管理情况监督评价，内设IT审计处负责全行 IT审计工作。 安全管理人员配置上，全行92人具有信息安全专业证书(CISP) , 94人具冇国际IT审 计证书(CISA)。 明确信息安全管理n标和策略，完善信息安全制度体系 “方向明晰是成功的基础”,建行? I?分注重整体信息安全管理策略建设。遵循监管要求,结 合自身实际，建行确立了全行信息安全管理口标：一是有效保护信息及信息处理环境，支持 业务持续运营；二是提高应对新型信息安全威胁的能力，支持业务创新；三是保护客户信息 和资金安全，维护建行声誉；四是捉高合规管理能力，满足监管要求。制定了“全面管理、预 防为主、分级保护、合规审慎”的信息安全管理原则，确定了信息资产的等级划分策略，明确 了对不同等级信息资产的信息安全管理偏好，为信息安全管理指明了方向。 在信息安全管理策略的指引下，建行结合信息科技检查以及内外部审计意见，组织完善 信息安全制度框架体系，按照“全面防范，重点突出的原则，先后制定发布了一系列涉及物理 安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险 评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。具体内容包括：按照银监 会《商业银行信息科技风险管理指引》，组织制疋了配套的信息安全和业务连续性管理的政 策、管理办法、操作规范和指南，构建了全行信息安全管理整体框架，明确了信息安全管理 对象、管理角色及各对象全生命周期的安全管理要求，规范运维屮的安全管理行为；统一全 行安全评估的尺度和方法；明确应急管理要求，实行信息系统责任事故的责任认定，在员工 行为准则中明确了违反信息科技管理原则的处罚办法。 通过上述工作，初步建立了以政策、制度、标淮为导向的信息安全管理体系，建立了涵 盖开发、运维、合规、治理全方位的信息安全管理制度体系。 以国家等级安全保护要