2.2 金融行业信息安全目标
正如“一千个人心中有一千个哈姆雷特”,金融行业的信息安全从业人员,对于金融企业信息安全工作目标的理解也都是不尽相同的。因为金融企业的信息安全工作是保障性工作,是为金融企业的战略、业务、科技开发和运维等工作服务的,所以信息安全目标也与本企业上述工作的目标和定位高度相关。
但是,对于所有金融企业来说,必须建立和保证信息安全的核心目标和安全基线,在此基础上,可以根据金融企业的战略方向、风险偏好、管理要求进行量体裁衣,做出选择和调整。
1.确立信息安全的核心目标
从务虚的角度来说,金融企业信息安全工作的核心目标是,通过信息安全建设和管理,有效控制和防范信息安全风险,提高信息安全保障能力和水平,确保金融企业及客户的信息及资金安全。从务实的角度来说,金融企业信息安全工作的核心目标是两个“两手抓”:一是“一手抓安全合规,一手抓风险控制”;二是“一手抓安全管理,一手抓安全技术”。
2.明确信息安全基线
要实现金融企业信息安全工作的核心目标,从具体操作层面上来说,必须明确信息安全工作的范围,在信息安全工作的各个领域建立信息安全工作基线,同时采取措施确保安全基线的达成。
所谓信息安全基线,就是信息系统最基本要满足的安全要求,是最小限度的安全保证。安全基线主要分为安全管理基线和安全技术基线。
安全管理基线主要包括安全组织、安全制度、人力资源安全等:
·安全组织方面包括确定金融企业的安全组织架构(决策层、管理层和执行层,以及合规、风险、审计等机构)、汇报路线、职责分工、日常工作机制等。
·安全制度方面包括确定制度的体系框架和制度层级等,制度必须完整覆盖信息科技工作的全生命周期和科技管理等保障工作,制度必须与法律法规、行业标准和监管要求等保持一致,制度之间必须满足“MECE(相互独立、完全穷尽)”法则等。
·人力资源安全方面包括在人员任用前、中、后的基本安全管理要求,例如,任用前的筛选、背景调查、安全职责确定和岗前培训等,任用中的各项权限分配、安全检查和奖罚制度等,以及任用终止前的权限冻结或取消等。
安全技术基线主要包括机房、网络、系统、应用、终端、数据的安全:
·机房安全基线主要规定机房物理选址、基础设施相关设备、风火水电、环境监控、访问控制等方面的基本要求。
·网络安全基线主要规定网络结构安全、边界安全、网络设备安全、入侵防范、访问控制、安全审计等方面的基本要求。
·系统安全基线主要规定系统配置、服务安全、操作系统访问权限、协议管理、系统日志审计等方面的基本要求。
·应用安全基线主要规定身份鉴别、抗抵赖性、资源控制、应用系统访问控制、应用日志审计等方面的基本要求。
·终端安全基线主要规定设备管理、软件管理、用户管理、终端网络隔离、自助终端管理等方面的基本要求。
·数据安全基线主要规定数据保密性、数据完整性、数据可用性、数据访问安全、数据备份和恢复等方面的基本要求。