观点 | 城商行建设信息安全管理体系的思考
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 邯郸银行信息科技部 韩文科
城商行经过近几年的快速发展,资产规模连续增长,资产质量不断提高,盈利能力不断提升,在综合实力增强的背后,信息科技投入持续增加,基础设施日趋完善,信息系统建设同比增长。同时,城商行信息科技管理工作也面临着来自内、外部双重的挑战。一是内部存在着对科技期望高,信息技术人才和建设费用少,规划、自主研发、测试能力弱的“一高、两少、三弱”的局面;二是外部存在着信息网络安全形势严峻,监管要求不断提高,新技术快速应用和发展。如何应对这些挑战,是当前城商行信息科技管理工作需要认真思考的现实问题。
建设思路
受限于城商行资金及人员限制,利用有限的资源,通过整合相关标准,扎实开展风险评估,提升关键领域能力,持续改进和优化,建设一套行之有效的管理体系,提高信息安全管控水平,以适应信息科技不断发展和变革的需要。
1.整合标准
针对国际、国内信息安全管理发展趋势,结合监管要求,整合信息安全管理体系建设框架。目前,国际和国内信息安全标准主要包括ISO27001、信息安全等级保护、ISO20000/ITIL,ISO22301等体系,考虑到城商行缺少完整的标准体系指导具体工作实际情况,以ISO27001为基础,将标准进行整合,统一按照PDCA流程进行实施,基于保障信息资产的可用性,完整性、保密性的要求,完善管理制度、规范处理流程,建设标准化、可量化的管理体系,并具备持续改进能力,构建切实可行的信息安全管理体系。
2.风险评估
信息安全风险评估工作,是度量当前信息安全短板的必要手段,也是建设信息安全管理体系的基础。通过差距分析,了解优势和不足,明确信息安全管理体系建设的工作方向和重点,为完善信息安全管理体系文件以及相应的技术控制措施提供输入。
(1)资产分析法。传统以信息资产为核心的风险分析方法具有通用性,强调信息资产的风险属性。按照资产列表、脆弱性及威胁列表,对每项资产面临的风险进行分析,确定与资产、威胁和脆弱性相关联的具体风险,根据资产重要性、脆弱性严重程度和威胁严重程度,进行风险计算,确定风险值。经过“定性”到“定量”的过程,使信息风险按等级进行量化表示,有助于风险偏好的设定和处置。
(2)基线评估法。基于信息安全基线的风险评估方法主要围绕信息系统规划、建设、使用过程中的风险进行分析,特别强调标准化和最低控制策略。根据信息系统生命周期的不同阶段,通过建立安全基线检查列表,对相关安全要求标准化、制度化,对应用层和基础设施层评估,能够降低对人员的能力要求,更适用于城商行风险评估过程。
信息系统建设过程中每个阶段都可能存在信息安全隐患,根据不同阶段,采用资产分析法和基线分析法相结合,更有利于信息风险的全面掌控。
3.提升能力
针对城商行信息科技力量相对薄弱、资金投入相对较少的特点,以满足合规性要求为基础,加强在信息安全重点控制领域的能力提升。
(1)加强日常运维流程管理。对信息系统运行过程中的关键流程进行标准化,包括事件管理、问题管理、变更管理、容量管理等流程。通过统一的运维管理及监控平台提供工具支撑,实现对日常信息系统运行过程中的安全事件快速响应,提升信息科技服务质量,保障系统可用性的目标。
(2)建立外包服务评价系统。根据城商行信息系统建设项目大量外包的现状,建立外包服务商绩效综合评估系统。在整体评价中对各单项进行单独风险评价,覆盖外包商的准入、实施、事后评价等项目外包的全生命周期范围。选择优质的外包服务提供商,以确保信息系统工程质量,降低信息系统的运行风险。
(3)完善业务连续性保障体系。通过管理、应急、支撑三个层面的建设,提升对灾难事件的应急处置能力,完善生产中心、同城灾备中心、异地灾备中心的容灾保障体系。城商行应依据监管要求,针对重要的业务系统,制定相应的业务恢复目标、业务连续性计划,并切实执行演练,验证业务连续性资源的可用性,验证应急预案的可操作性、有效性和完整性,实现对灾难事件的应急响应,保障信息系统的业务连续性。
(4)筑牢信息科技三道防线。筑牢信息科技三道防线是城商行信息安全风险管理的重要保障。一是强化信息科技部门对信息科技风险的识别、监控、实施管控的职责;二是提升风险管理部门制定信息科技风险管理策略、计量标准,进行风险提示,开展评估,监控重大风险,督促纠正的管控能力;三是深化审计部门对信息科技风险管控情况审计,实现对一、二道防线的独立鉴证和评价作用。
4.优化改进
信息安全管理是一个不断完善、持续改进的过程,结合业务发展,明确改进目标,不断优化提升,树立一个良好的指标体系。一是意识能力提升,人员的安全意识、安全保障能力等方面,需要加快成长过程;二是加强投入,作为城商行,信息安全方面的投入是一个逐步的过程,需要抓住重点,逐步实施;三是完善信息安全风险评估方法,为信息安全风险评估提供更方便、准确的评估手段;四是针对外包商管理绩效评估体系,需要进一步实施落地,完善绩效评估指标以及权重设置,降低外包风险。
建设实践
邯郸银行根据自身的特点,提出了“全面规划、预防为先、基线达标、突出重点、分步实施”的信息安全管理体系实施方针,实现了信息安全有序发展目标,经过充分运行,通过审核,获得了“信息安全管理体系认证证书”。
1.实现建设目标
以战略为指导,以管理为基础,以技术为保障,以工具为手段,采取分级防护、集中管控、持续改进的措施,邯郸银行实现了信息安全的“可管、可控、可信”有序发展目标。
(1)可管阶段。在“可管”阶段,以国际信息安全领域的管理体系标准ISO27001为基础,充分考虑信息安全的合规性要求,包括信息安全等级保护、以及监管部门发布的相关标准指引,同时结合ISO20000/ITIL、ISO22301等国际标准,从组织、体系文件、流程、人员等方面进行标准体系整合,对信息安全管理体系进行优化,建立信息安全基线,满足合规性要求。
(2)可控阶段。在“可控阶段”,实现信息安全管理体系流程基本绩效测量,评估流程实施的效果,同时将信息安全管理体系的管理部分固化到日常信息安全管理当中,通过工具支撑,组织全行人员充分理解信息安全管理体系架构及使用。
(3)可信阶段。在“可信阶段”,随着规模的扩大和能力的提升,信息安全各领域的管理能力和安全保护措施都已全面完整,流程达到体系建设标准,根据标准的流程进行裁剪以适应不同部门的需要,信息安全管理流程推广到全行所有部门以及各分支行,达到信息安全管理体系贯彻的效果。
2.获得认证证书
在2011年取得信息安全管理体系认证证书的基础上,邯郸银行于2019年12月,顺利通过中国网络安全审查技术与认证中心审核,再次获得认证证书。本次认证是根据新版信息安全管理体系(ISO/IEC27001-2013)国际标准和监管要求,开展了资产识别、风险评估、风险处理、风险控制、持续监控和评审以及信息安全管理体系运行等一系列工作,建立了一套符合最新国际标准和监管要求的信息安全管理体系,全方位涵盖了安全方针、信息安全组织、人力资源安全等14个领域,极大提升全行信息科技的安全管理和风险防范水平,为业务快速发展提供强有力的信息安全保障。
未来探索
目前信息安全方面的标准、定义、要求众多,涵盖了信息安全的各个方面,建议城商行信息科技安全管理工作从多体系融合和流程成熟度模型方向深入探索。
1.多体系融合探索
信息安全相关标准存在很多的共性内容,存在较多的重复工作,甚至出现不一致的内容,组织架构、管理流程、人员、相关工具支撑方面都各自为政,加大了标准的实施难度,多体系融合能够避免重复工作以及内容冲突。邯郸银行在实施标准整合的基础上,正在积极探索ISO27001和ISO20000/ITIL的深度融合,通过“制度+服务”的理念,进一步提高管理能力,提升服务质量。
2.成熟度模型研究
目前以信息安全治理框架为基础的信息安全管理流程,有一定的广泛性,但其理论性强,具体到城商行实践方面不一定具备通用性。通过管理流程与成熟度模型相结合的思路,研究信息安全管理流程的成熟度模型,城商行可以根据自身的风险偏好和策略,选择需要达到的信息安全管理流程成熟度水平;对信息安全有效性的度量指标内容进行深入研究,评估相关控制措施是否达到了预期目标,对城商行信息安全管理体系建设更具备指导意义。
信息安全总是相对安全,随着技术与业务的高度融合,大数据、智能化、移动互联网等电子化替代手段进一步提高,新的信息科技风险总是不断出现。城商行应立足自身实际,建设适用的信息安全管理体系,保障信息系统安全、高效、稳定运行。
(栏目编辑 :韩维蜜)
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧