[导读]调查显示,大多数中小商业银行信息系统建设都存在滞后问题,系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
随着我国银行业信息系统建设持续发展,核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用,在提升金融服务效率和增加服务品种的同时,信息系统潜在的风险也逐渐显现。调查显示,大多数中小商业银行信息系统建设都存在滞后问题,系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
一、我国中小商业银行信息安全现状
(一)建设趋规范:金融监管延伸至信息化领地
在我国金融业从传统运作模式向现代运作模式转变的背景下,金融监管开始适应金融业的信息化运作模式,更加具体细致地与信息技术联系在一起。2007年,公安部、国家保密局、国家密码管理局、国务院信息工作办公室颁布了《信息安全等级保护管理办法》。2006年人民银行出台了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,2009年9月,人民银行对全国66家银行业金融机构网银系统安全进行了现场检查,并通过跟踪整改,促进各银行提高对信息安全保障工作的重视程度,同月,人民银行在银行业信息安全通报会上表示,要将银行信息安全纳入考核。银监会制定的《电子银行业务管理办法》、《电子银行安全评估机构业务资格认定工作规程》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》等法规制度相继出台,各商业银行也大力推动了IT审计的进程。归纳起来看,这几部法规强调了三个重点。一是关于银行业金融机构完善IT治理结构方面,通过构建和完善金融机构内与信息技术应用有关的组织架构及工作程序,有效地识别、度量、跟踪和控制信息技术风险。二是规定了从事某些严重依赖信息技术的银行业务的资质。三是对风险的识别、计量、管理,与国际银行业的发展趋势相一致。
(二)发展有差距:中小商业银行信息安全建设整体水平落后于股份制商业银行
近年来,我国各股份制商业银行为了提高竞争力,相继对核心业务系统和后台管理系统进行了改造开发,信息化发展水平相对比较先进,且信息安全体系较为健全。目前,大部分股份制银行或是稳健引进国外核心业务系统,或是通过自身的研发力量,不断地在原有系统基础上,打造出更适合未来发展的新系统,以全面提升信息化建设水平为落脚点,在信息安全管理方面作出了令人瞩目的成绩。相比之下,中小商业银行,特别是城市商业银行、城信社、农村商业银行、农村合作银行及农信社的信息化建设严重滞后于业务发展的需要,其信息安全管理亦存在较多隐患。
(三)防范多漏洞:中小商业银行信息安全隐患骤增
中小型金融机构信息系统众多安全环节都存在漏洞,首先是核心数据的安全没有保障,表现在:第一,核心计算机机房的建设符合标准的不多,在选址、供电、机房的建设标准、机房的安保措施都或多或少存在问题。第二,没有能力建设自身的异地备份中心,所有的数
据存在于一个点上,如果发生极端情况,后果将是灾难性的。其次,在建设过程中,因为没有统筹考虑,对于系统安全部分的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次,在系统投入生产后的运维周期,主要依靠系统承包商,自身的能力不足以做好运维工作,人力风险明显。
二、中小商业银行信息安全风险分析
(一)IT外包风险-忽略业务连续性的无奈选择
在国内中小银行IT外包迅速发展的同时,也面临诸多风险。一是市场风险。中国的IT 服务市场仍不够成熟,一旦IT外包后,商业银行需要借助外包商的力量规避市场需求变化的风险,且银行也不可能轻易涉入外包商的经营管理工作中,对中小银行而言,市场的不确定性很大。二是技术风险。外包商研发能力与银行现有的技术不匹配.就会严重阻碍银行的信息化进程;外包商采用的新技术不够成熟,将危及整个计算机应用系统的稳定性和安全性。三是交易风险。由于外包市场的不成熟,服务标准的不完善,交易双方市场信息的不对称,商业银行在价格、质量、时间等方面承担一定的风险。四是战略风险。易造成核心信息外泄。
(二)灾备恢复风险-效益与成本之间的两难选择
灾备中心的运营是构建业务连续管理体系非常重要的一环。一个运行良好、作用有效的灾难备份与恢复体系建设不仅涉及IT、业务、财务、后勤保障等部门,还需获得消防、电力和电信行业等相关部门、单位的支持,以确保相应的配套资源。2005年以来,为应对因数据大集中而带来的技术风险集中,以工商银行为代表的国有商业银行采取了自建灾备中心的措施,多数全国性股份制商业银行也基本完成了灾备中心建设。但出于成本考虑,中小商业银行的灾备建设还未出现良好的“中国模式”。中国的中小商业银行,特别是城市商业银行在系统灾难备份方面几乎是空白。
(三)信息安全认识偏差产生的风险-运行机制不健全的产物
与国有商业银行及股份制银行相比,我国中小商业银行的信息化进程起步较晚,对随之而来的信息安全问题一定程度上存在认识偏差。以咸阳中小商业银行为例,大部分对于信息安全与网络安全的区别认识不清,仅重视安全工具投资而忽视管理投资,大多信息安全工作不成体系。在当前信息化由局部化应用向一体化应用演变、信息管理由分散化向集中化过度的背景下,这种由认识偏差而产生的风险极易导致信息化建设重复投资、管理无序,由此而带来的信息安全隐患亦随着信息化进程的加速而倍增。
三、我国中小商业银行信息安全建设的战略选择
相较国有商业银行及股份制银行,中小商业银行在信息安全建设方面处于后来者的地位,在自筹资金有限,管理水平较低,硬件设备投入不够的紧迫压力下,为避免重复投资、无序管理,一个科学合理的规划尤为重要。可预见的一段时期,我国中小商业银行的总体目标应是:通过建立完善的信息安全管理制度和安全防御技术手段,构建一个包括管理体系、组织体系与技术体系相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的
发展提供一个坚实的基础保障。为实现上述目标,我国中小商业银行信息安全建设应在战略上作出以下策略选择。
(一)以确保信息安全建设的协调性、开放性和持续性为战略重点进行远期规划
中小商业银行必须重视做好全面、系统的信息系统架构,将安全融入整个信息系统生命周期中,通过借鉴其他银行的成功经验,明确阶段性建设目标,力争在前期以最少的资金投入获得高标准的信息服务和安全保障。中小商业银行信息安全远期规划的首要任务是组织行内外力量,结合本行信息化建设的中长期发展规划和经营管理战略,在充分把握金融信息技术发展趋势的基础上,全面分析银行外部经营环境及内部经营环境,立足现实的资源能力,对银行信息安全建设的总体目标、实施步骤、关键技术、相关规范、阶段划分及费用评估进行统筹安排。
(二)以健全和完善IT安全治理机制为重点,提高信息安全的管理绩效
当IT成为银行业务发展和管理不可或缺的组成部分,并在提供收益的同时带来风险时,银行对IT必须从管理走向治理。有效的IT安全治理需要解决三个方面的问题。首先是明确目标。一是必须确保银行IT安全治理与IT治理的目标、内容、步骤环环相扣,紧密衔接,并作为银行公司治理整体的一部分和谐共存。二是明确IT治理的决策内容,即IT原则、IT 架构、IT基础设施、IT商业应用及IT投资。三是根据自身实际情况制定IT安全治理计划。其次是解决IT安全治理的组织性问题,关键是准确定义银行IT安全治理的角色和职责。最后是完善IT安全治理的控制机制。一是IT投资的控制机制。应根据银行IT安全管理的实际情况,针对薄弱环节,按安全级别进行排序,优先把资金投入到银行急需的IT安全资源中。二是IT安全治理的监控机制。
(三)以加强IT风险管理为重点,全面构筑信息安全保障体系
一是加强组织管理体系建设,落实风险管理和安全运行责任制。重点在发现整个信息系统的薄弱环节,区分业务风险和信息系统风险,制定出相应的风险防范办法加以落实并对结果进行检查,建立起自身的风险防范机制。二是加强信息安全保障体系建设,完善应急反应体系和商业银行业务连续性计划,加快建立灾备恢复体系,建设应急储备仓库,仓库中应包括相关的硬件、软件、人员、技术、文档和所有的系统相关的外部资源。三是加强安全管理制度建设,通过常规安全审计等方法对IT风险进行排序,做好计算机运行的安全检查工作。四是完善与商业银行数据集中相适应的安全和管理体系,最大限度地降低系统运行风险,保障银行业务处理系统的平稳运行。五是建立健全包括内部员工、IT供应商、安全责任人和保险人在内的风险消除机制。
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
( 安全论文 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 浅谈企业信息安全概述及防范 (2021版) Safety is inseparable from production and efficiency. Only when safety is good can we ensure better production. Pay attention to safety at all times.
浅谈企业信息安全概述及防范(2021版) 论文关键词:信息安全风险防范 论文摘要:该文对企业信息安全所面临的风险进行了深入探讨,并提出了对应的解决安全问题的思路和方法。 随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
1企业信息安全风险分析 计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要,如果这些信息系统及网络系统遭到破坏,造成数据损坏,信息泄漏,不能正常运行等问题,则将对企业的生产管理以及经济效益等造成不可估量的损失,信启、技术在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。 信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,公司信息系统面临的主要风险存在于如下几个方面。 计算机病毒的威胁:在业信息安全问题中,计算机病毒发生的频率高,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。 在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,单台计算机感染病毒,在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度,感染和破坏规模与网
信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是(A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理
系统持续性管理C. D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。 A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等
信息科技审计制度和流程的实施,制订和执行信息科技审计计划D 等 7、信息科技风险管理策略,包括但不限于下述领域(C)。 A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全 B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C)为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的(D)等,定期进行更新和公示A信息科技风险管理制度 B 技术标准
企业内部网信息安全建设的技术要求、配置方案及建议
企业网网络安全解决方案 引言 1999年已经到来, 人类处在21世纪前夜。1998年是全球信息革命和Internet新腾飞的一年。“带宽爆炸”, 用户超亿, 网上协同攻破密码等等创造性的应用层出不穷。Internet已成为全新的传播媒体, 克林顿丑闻材料在48小时内就有2000万人上网观看。电子商务发展更出人意料, 网上购物仅圣诞节就突破3亿美元的销售额, 比预计的全年20亿还多。美国对“Internet经济”投资达到1240亿, 第二代Internet正式启动,第三代智能网络已在酝酿, 以Internet为代表和主体的信息网络必将在21世纪成为人类生产、生活、自下而上的一个基本方式。世界各国都以战略眼光注视着它的发展, 并在积极谋取网上的优势和主动权。但是Internet网的信息安全问题在1998年也较突出, 除两千年虫问题已进入倒计时外,下面摘录上电报导: 病毒感染事件1998年增加了二倍, 宏病毒入侵案件占60%, 已超过1300种, 而1996只有40种。 网上攻击事件大幅上升, 对50个国家的抽样调查显示: 去年有73%的单位受到各种形式的入侵, 而1996年是42%。据估计, 世界上已有两千万人具有进行攻击的潜力。 网上经济诈骗增长了五倍, 估计金额达到6亿美元, 而同年暴力抢劫银行的损失才5900万。一份调查报告中说: 有48%的企业受过网上侵害, 其中损失最多的达一百万美元。 对美军的非绝密计算机系统的攻击试验表明, 成功率达到88%。而被主动查出的只占5%。1998年5月美CIA局长在信息安全的报告中正式宣布:“信息战威胁确实存在。” 网上赌博盛行, 去年在200个网点上的赌博金额达到60亿美元, 预计今年还会增加一倍。 网上色情泛滥, 通过浏览器、电子邮件等方式大量扩散。由于问题严重,西方12个国家的警方在去年九月进行了一次联合行动, 共抓96人, 其中一
一.浅谈信息安全五性的理解 所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。 1.保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具 有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。 而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。 2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态, 使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。 3.可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在 信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。 4.可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息 和信息系统。 5.不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换 过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。 二.WPDRRC模型解析 WPDRRC信息安全模型(见图)是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型,它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证,落实在WPDRRC 6个环节的各个方面,将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表1所示。
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
浅谈我国信息安全现状和保护 论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。 论文关键词:信息安全;保护信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。 1我国信息安全的现状 近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。 ①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。 ②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。 ③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。 除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。 2我国信息安全保护的策略 针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。 ①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。 ②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。 ③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。 3结语
银行业信息安全培训试题 (2)
信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是(A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理 C系统持续性管理
D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。 A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等 D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划
等 7、信息科技风险管理策略,包括但不限于下述领域(C)。 A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全 B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C)为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的(D)等,定期进行更新和公示A信息科技风险管理制度 B 技术标准 C 操作规程
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
如何加强企业信息安全管理建设浅谈 发表时间:2016-10-20T17:12:30.650Z 来源:《低碳地产》2016年12期作者:孟繁江 [导读] 越来越多的企业开始关注企业信息安全管理的工作,认识到企业信息安全管理工作的重要性,并采取了一系列的措施维护企业的信息安全,但是经过调查分析发现我国企业在信息安全管理工作上仍然存在较为严重的不足。 黑龙江省依安农场黑龙江 161502 【摘要】随着改革开放的不断深入以及经济的不断发展,市场上各类企业的竞争越来越激烈,同时,近年来,企业的生产经营与计算机网络的联系越来越紧密,企业的每一项业务都越来越离不开信息技术的支持。因此,在企业不断提升竞争力的同时,越来越多的企业开始关注企业信息安全管理的工作,认识到企业信息安全管理工作的重要性,并采取了一系列的措施维护企业的信息安全,但是经过调查分析发现我国企业在信息安全管理工作上仍然存在较为严重的不足。 【关键词】企业信息安全;问题;建议 前言 企业信息安全管理是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的薄弱点,提出有针对性的抵御威胁的防护对策和控制措施,这是企业推进信息化进程和促进生产经营管理的重要内容,是保障企业信息系统正常运行、高效应用和健康发展的前提条件。 一、我国企业信息安全管理存在的问题 1、缺少企业信息安全的法规和规范。企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,即便现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。 2、存在物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。 3、信息外泄现象时有发生。进入信息化时代后,企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易,许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且,在企业信息管理系统中,大量购、销、存等业务、财务数据、文档及客户资料,以存储介质形式存在于计算机中,由于电磁辐射或数据可访问性等弱点,受到人为和非人为因素的破坏。数据一旦遭到破坏,将会严重影响企业日常业务的正常运作。因此,保证数据的安全,就是保证企业的安全。 4、缺少安全管理制度和责任性。目前企业的安全解决方案,基本上只是一个安全产品方案,这使人们误以为企业的信息安全只是信息技术部门的工作和责任,与其他人员不直接相关.但是一个企业的信息系统是企业全体人员参与的,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素. 二、加强我国企业信息安全管理的几点建议 1、全面提高职工的信息安全知识素质,加强安全文化建设,提升防患水平,防微杜渐。对于信息安全工作的开展,不是系统管理部门的事,也不是系统使用部门的事,而是全体员工的事,必须要提高全体员工的信息安全意识。通过培训和考核等措施,提高员工对公司信息安全的认识,让信息安全成为业务开展的一部分,才能有效提高公司整体信息安全水平,也是信息安全工作得到有效的支持和推进。在此基础上,要建立适应21世纪知识经济时代的企业信息安全文化,只有加强安全文化建设,才能适应知识经济时代的发展。 2、完善企业信息安全管理制度。首先,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。第二,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息:一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者,就应在一定时间内封闭其所在网段的请求,并发出报警信号。二是系统安全验证,即对登录用户的操作系统进行安全证,并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改,并对登录户相应的操作进行记录备案。 3、采取传统的信息安全防范策略。物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等;网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等;数据加密策略:包括加密算法、适用范围、密钥交换和管理等;数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等;身份认证及授权策略:包括认证及授权机制、方式、审计记录等;灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等;事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。 4、实施、检查和改进信息安全管理体制。企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动,主要实施和运行ISMS 方针、控制措施、过程和程序,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间,企业应及时检查发现规划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。 5、加强信息安全监控,保障信息系统安全运行。在信息安全监控、信息安全配置和系统访问控制方面,信息管理部门借助先进成熟的信息技术,充分挖掘和利用现有资源功能潜力,进一步提升企业信息系统的安全防范能力。优化企业内外网连接架构和访问控制策略,增加网络出口流量监控环节,使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多,造成非授权用户占用大量网络资源的问题,加强用户访问监控,严肃处理违规用户,加强保密教育,促进用户规范使用信息系统。 6、构建信息安全管理团队。信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者,其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训,同时与外部专业技术企业建立长期有效的
商业银行数据安全管理 规范 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-
商业银行数据安全管理规范 第1章总则 第1条本管理规范定义了XXXX商业银行数据安全管理方面的相关要求。 第2条本规范适用范围为涉及维护XXXX商业银行各类数据的安全管理员、系统管理员和业务管理员。 第3条XXXX商业银行的所有员工必须遵照数据安全管理规范,科技科加强管理,防止数据管理存在安全问题。如由于未遵循以上规范导致出现数据安全问题,相关部门和人员负有责任。 第4条本标准由XXXX商业银行科技科发布,对标准具有解释、增加和修改的权力。本规范自下发之日起正式执行。 第2章系统数据安全 第5条XXXX商业银行系统数据指XXXX商业银行中设备和系统的各种配置数据,如权限设置、存储分配、网络地址、硬件配置及其它系统配置参数等。 第6条应制定系统数据管理制度,对系统数据实行严格的安全与保密管理。系统数据管理制度应遵循以下原则: ●重要的系统数据应实施严格的安全保密管理,参见本规范“数据保密”小节。 ●对系统数据的操作应经过严格的身份鉴别与权限控制,防止非授权操作。 ●应采取有效措施防止系统数据的非法生成、变更、泄漏、丢失与破坏。 ●系统数据应进行核对审查,防止使用过程中产生误操作或被非法篡改。 ●系统数据的备份和恢复应符合本规范“数据备份和恢复”小节的要求。 ●对系统数据应实行专人管理。 第3章业务数据安全 第7条业务数据主要包括XXXX商业银行上各业务系统的用户数据、业务数据、统计数据及其它相关数据。
第8条各个业务管理部门应遵循以下原则制定具体的业务数据安全管理规定: ●重要的业务数据应实施严格的安全保密管理,参见本规范“数据保密”小节。 ●业务数据在系统中的保存时间应有最低限制。 ●业务数据应进行核对审查,防止使用过程中产生误操作或被非法篡改。 ●业务数据应及时、完整、真实、准确地转储到不可更改的介质上,并规定保存期限。 ●业务数据的备份和恢复应符合本规范“数据备份和恢复”小节的要求。 ●对业务数据应实行专人管理。 第4章数据备份与恢复 第9条XXXX商业银行相关数据的备份与恢复应遵循: ●数据备份媒介应采用性能可靠、不宜损坏的介质,如磁带、光盘等。 ●XXXX商业银行中的网络设备和主机系统的配置信息在每次更新后及时备份,更新前的备 份按需要保存一定时间。 ●XXXX商业银行中的网络设备和主机系统的数据库信息应进行备份。对重要数据应做到定 期全备份和增量备份,并配备可靠的备份设备。 ●备份数据应进行检查,以保证其有效性和可用性。 ●备份数据的物理介质应注明数据的来源、备份日期、恢复步骤等信息,并置于安全环境 保管。 ●备份数据的恢复需经主管人员签字认可后,方可进行。 ●过期的备份数据应经主管人员认可后,方可销毁。 第5章数据保密 第10条XXXX商业银行数据保密的范围包括XXXX商业银行网络组织、系统软件、业务数据及用户数据等重要数据,另外还包括XXXX商业银行为生产通信、科研通信、办公通信、机要通信、党政专用通信提供的通信手段及保障措施。
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
Enhance the initiative and predictability of work safety, take precautions, and comprehensively solve the problems of work safety. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 2021浅谈某公司的信息安全建设 与管理
2021浅谈某公司的信息安全建设与管理导语:根据时代发展的要求,转变观念,开拓创新,统筹规划,增强对安全生产工作的主动性和预见性,做到未雨绸缪,综合解决安全生产问题。文档可用作电子存档或实体印刷,使用时请详细阅读条款。 摘要:本文以XX的信息管理为研究对象,对信息安全现状进行调研和分析,并对未来的信息安全建设将会遇到的主要问题做了深入研究。从目前信息建设、人员配置、机制流程等方面进行了差距分析与对比,结合本企业的实际情况,制定出了符合本企业的信息安全管理策略的基本框架和指导建议,并提供了信息安全管理体系实施的搭建方案,最终对该信息安全体系实施进行了总结评价与未来展望。在企业信息化大规模发展的形势下,如何有效地减少或避免因信息安全事故而带来的企业经济损失,是亟需解决的、具有重大战略意义的研究课题。本论文的研究是为了保障企业信息安全建设目标达成,并最大化地保障企业利益,并取得良好的管理效果。 关键词:信息管理;信息安全系统;信息安全管理体系;一、前言北京XX有限公司(简称BSMC)的前身是首钢日电电子有限公司(SGNEC),成立于1991年12月。由首钢总公司和日本NEC电子株式会社,致力于半导体集成电路制造和销售的生产厂商。公司拥有半导
XXXX商业银行应用系统开发安全管理办法 1 范围 本标准规定了信息系统开发阶段、测试阶段、试运行阶段和上线阶段的管理内容与要求。 本标准适用于XXXX商业银行(以下简称:本行)自主开发及委外开发信息系统的管理。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。凡是不注明日期的引用文件,其最新版本适用于本标准。 国务院令(第339号)计算机软件保护条例 国务院令(第147号)中华人民共和国计算机信息系统安全保护条例 Q/JYG/GL-SB -16-2013.a 《投资项目管理办法》 3 术语和定义 信息系统:是指由计算机及其相关的配套设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息系统一般由三部分组成:硬件系统(计算机硬件系统和网络硬件系统)、系统软件(计算机系统软件和网络系统软件)、应用软件(包括由其处理、存储的信息)。 4 职责 4.1 科技信息部门 4.1.1 负责本行信息系统开发各阶段文档的审批工作; 4.1.2 负责组织本行新开发信息系统的测试工作; 4.1.3 负责本行信息系统上线与终止的验收工作。
4.2 各实施部门或单位 4.2.1 负责本行信息系统开发过程中的需求提出、测试及验收等工作。 5 管理内容与要求 5.1 总体要求 5.1.1 信息系统开发须遵循《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》。 5.1.2 信息系统开发过程中项目单位(承接信息系统开发的单位)须提交相应的安全需求、安全设计、安全测试等资料并经过科技信息部审批,否则不予立项或验收。 5.1.3 信息系统开发范围的变更(增加或缩减)、新技术的使用、新产品或新版本的采用、新的开发工具和环境须经过科技信息部审批。5.2 信息系统开发生命周期管理要求 5.2.1 系统需求收集和分析阶段 a)技术可行性分析 根据业务上提出的需求,信息系统归口管理部门应从技术开发的角度分析是否现有的技术手段和技术能力是否可以达到业务上要求的系统功能,主要包括:人员技术能力分析(指本行内的系统开发队伍是否有足够的软件开发的技术能力来完成系统开发的任务,或第三方外包的开发公司是否具有开发应用系统的技术能力)、计算机软件和硬件分析(指本行现有的软件和硬件的性能是否足够满足开发相应的系统的要求)、管理能力分析(指现有的技术开发管理制度和管理流程是否成熟且标准化,是否足够系统开发的要求)。 b)需求可行性分析:信息系统归口管理部门应对该申请部门所提需求进行可行性分析,以判断需求是否明确,是否符合实际,是否能在一定的时间范围实现。 c)经济可行性分析:信息系统归口管理部门应根据业务需求和技术手段的分析,确认投资的数额在可控制和可承受的范围内。 d)安全可行性分析:信息系统归口管理部门应明确该系统的安全建设范围和内容,设定安全性指标要求,合理判定该信息系统是否符合公司的网络及信息安全要求。 5.2.2 设计阶段安全管理
中小商业银行信息安全体系构架思路 2009-03-24CBSi中国·https://www.doczj.com/doc/949841834.html,类型: 转载来源: 睿商在线 中小银行所面临的信息安全风险 大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展,业务应用的不断深入,IT 需求不断增加,网 络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患,监管部门也进行了信息安全风险的相关提示。为此,结合呼和浩特市商业银行的现状,谈一谈中小商业银行信息安全体系建设的思路。 一、中小银行所面临的信息安全风险 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用,大大提高了金融行业的业务处理效率和管理水平,促成了各项创新的金融业务的开展,改善了整个金融行业的经营环境,增强了金融信息的可靠性,使金融服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。 金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标, 面临的网络安全风险叙述如下八类: 1、非法访问:现有网络设备本身具备一定的访问控制能力,而这些访问控制强度 较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面金融行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。 2、失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密 码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。 3、信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。