关于信息安全及信息系统及信息化方面的免费优秀学术论文范文,信息安全相关金融礼仪论文,关于金融标准化在行业信息安全等级保护中的实践相关论文例文,对写作信息安全论文范文课题研究的大学硕士、本科毕业论文开题报告范文和文献综述及职称论文参考文献资料下载有帮助。
一、金融行业信息安全系列管理标准概述
信息安全等级保护是国家在信息安全保障工作的一项基本制度,人民银行根据国家关于信息安全等级保护工作的相关制度和标准,制定了金融行业信息系统信息安全等级保护系列标准,2012年以由金融标准化技术委员会以中华人民共和国金融行业标准对外发布.即:《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)、《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012).其中:
第一,《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全涉及技术要求标准》,结合金融行业特点以及信息系统安全建设需要,对金融行业信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求,以保障将国家等级保护要求行业化、具体化,提高金融机构重要网络和信息系统信息安全防护水平.
第二,《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)规定了金融行业对信息系统安全等级保护测评评估的要求,包括对第二级信息系统、第信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等.根据金融行业信息系统的定级情况,不存在五级系统,而一级系统不需要去机关备案,不作为测评重点.
第三,《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求.
二、金融行业信息安全系列管理标准应用
人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上,按照标准化技术和方法,制定《银行业金融机构信息安全检查规范》(简称《规范》),作为落实等级保护管理要求的检查标准.
(一)以标准化方法细化检查依据
金融信息安全管理体系范围与内容复杂庞大,研究表明,金融信息安全等级保护系列标准规范涵盖金融机构信息化安全管理的基本管理要求和基本技术要求,应以信息安全等保制度作为检查依据.目前,根据人民银行总行和的统一部署,银行业金融机构有序开展网络及信息系统的定级、评审、备案、测评和整改工作.
(二)以标准化技术明确检查内容
以金融信息安全等级保护的管理要求为基础,同时,从实际工作出发,需要增加以下内容:
1.增加信息安全概况的内容.按照统一的标准化方式统计各银行机构信息化发展规划、人员资金投入、开发建设、专项治理、安全保障等情况.便于检查人员掌握了解被查行信息化建设的基本层面.
2.增加联网联合技术管理的内容.当前,犯罪呈上升趋势,人民银行总行高度重视联网联合及其带来的信息安全管理工作,在《规范》中应增加相关检查内容.
3.增加金融业机构信息管理的内容.金融机构代码在我国实施的金融标准化战略中,具有重要的基础作用,人民银行通过检查金融机构代码证申领、年检、变更和撤销,确保金融机构信息的真实、准确、有效.因此,在《规范》中应增加相关检查内容.
(三)以标准化手段细化检查流程
一是标准化的检查方案.由于银行金融机构分为法人和非法人机构,金融信息化发展水平不均衡.省、市、县、营业网点金融信息化发展不均衡.制定的《规范》作为通用工作规范,并按照信息安全等级保护定级分别标注出来.检查单位要根据被检查银行信息安全等级保护定级情况,在通用规范的基础上检查方案.
二是标准化的检查内容.由于各银行金融机构的基础、投入、核心系统等不同,导致各行信息安全管理具有独立性,金融信息安全管理组织、资料名称、归聚存在差异.检查单位应关注被检查单位的信息安全管理的实质内容,忽略具体表现形式.
三是标准化的机房核查流程.网络和信息系统正常运行是业务开展的基础,机房属于银行核心区域.因此,检查人员进入机房应注意按照相应管理制度执行.
四是标准化的协查规定.信息安全涵盖机房、网络、系统、安全、、机构信息等,检查人员需要与不同的技术人员交流,被检查单位应指定专人全程陪同,负责协调.
五是标准化的禁止规定.为了避免检查人员登陆被查单位信息系统出现误操作,造成重大损失,检查人员应与联络人进行充分的沟通,由被查单位人员具体上机操作,严禁检查人员直接登陆被查单位信息系统操作.
六是标准化的通报格式.检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,分别以限期整改、风险提示、暂停服务进行处理,并结合实际情况,提出整改时限.
三、金融行业信息安全系列管理标准实践
(一)首次实施统一的监管标准
2013年5月,人民银行昆明中心支行制定并对全省发布《规范》(昆银发〔2013〕139号),首次统一了金融信息安全检查标准.全省16个地区人民银行各级机构依据《规范》,组织了综合执法检查金融业信息安全调查,对机房及基础设施管理、网络管理、信息系统管理、信息安全管理、金融机构信息管理、联网联合技术管理、网上银行信息安全管理7个大类254个调查项,204个检查项实施了信息安全检查.
1.2013年依据《规范》开展检查发现问题统计.
2.2013年依据《规范》开展检查结果处理情况统计.
3.2013年依据《规范》开展检查整改情况统计.
全省首次实施上下统一的监管标准、统一的检查尺度,首次在一个标准下实现全省检查发现问题数、检查结果处理方式的统计、对比分析,使上级行能够更加准确地掌握辖区信息安全状况.
(二)首次统一各类金融信息安全检查
目前,人民银行对辖内银行业金融机构开展的信息安全类检查工作,包括执法检查、信息安全调查、新设机构准入审批、新业务系统开通审批及银行金融机构信息安全自查.各类金融信息安全检查都将《规范》作为一个基础性规范,在使用《规范》时,根据实际情况,酌情增减检查内容.如:信息安全调查内容可酌情增加,新设机构准入审批和新业务系统开通审批的检查内容可酌情减少.专项信息安全检查同时遵守专项信息安全检查要求.人民银行对金融机构的要求具有统一性,连续性,有效提升了人民银行对全省地方法人机构监管的透明度、程序的公开化,对促进全省地方性商业银行信息安全管理向规范化发展起到了重要作用.
(三)首次集中解决检查中的难点
基层人民银行对于检查结果整改及处理一直是金融信息安全检查中的难点,与管理、征信、国库等人民银行传统监管业务相比,梳理金融信息安全管理制度后会发现相关处罚规定模糊且操作性不强.对于屡查屡犯、造成城市金融网严重安全风险等行为,缺乏处罚措施.《规范》首次提出检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,按照限期整改、风险提示、暂停接入人民银行网络和信息系统服务、暂停新设机构准入审批及新业务系统开通审批等方式分别处理,在实践中具有很强的操作性.解决了金融信息安全检查中的难点.
《规范》的实施是人民银行昆明中心支行应用标准化理念和方法,贯彻金融行业信息安全等级保护系列标准规范的实践,也是人民银行昆明中心支行应用金融标准化方法构建金融信息安全体系的初步探索.这一模式,对于金融标准化的推广应用具有借鉴价值.
中国人民银行昆明中心支行课题组成员:王珊珊(执笔)
邱云武 摆 晔