資源描述:
《銀行信息安全》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1���、一��、銀行信息安全威脅隨著銀行信息建設(shè)的深入發(fā)展���,銀行全面進(jìn)入了業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段����,經(jīng)營的集約化和數(shù)據(jù)的集中化趨勢一方面順應(yīng)了銀行業(yè)務(wù)發(fā)展的要求,但是另一方面不可避免地導(dǎo)致了信息安全風(fēng)險(xiǎn)的集中��。銀行信息系統(tǒng)存在的信息安全威脅主要包括來自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)�、外部機(jī)構(gòu)的風(fēng)險(xiǎn)、不信任網(wǎng)絡(luò)的風(fēng)險(xiǎn)�����、機(jī)構(gòu)內(nèi)部的風(fēng)險(xiǎn)��、災(zāi)難性風(fēng)險(xiǎn)等五部分�����。二、信息安全建設(shè)的原則及等級劃分(一)信息安全原則信息安全是一項(xiàng)結(jié)合規(guī)劃���、管理�、技術(shù)等多種因素的系統(tǒng)工程���,是一個(gè)持續(xù)�、動態(tài)發(fā)展的過程�。技術(shù)是安全的主體,管理是安全的靈魂����。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中,網(wǎng)絡(luò)安全的
2�����、長期性和穩(wěn)定性才能有所保證�。信息安全的原則:明確責(zé)任�,共同保護(hù);依照標(biāo)準(zhǔn)����,自行保護(hù)�����;同步建設(shè)�,動態(tài)調(diào)整���;指導(dǎo)監(jiān)督����,重點(diǎn)保護(hù)�����。(二)�、信息安全等級介紹信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息和公開信息��,以及存儲��、傳輸���、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)�����,對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理���,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)��、處置��。根據(jù)信息和信息系統(tǒng)在國家安全��、經(jīng)濟(jì)建設(shè)�、社會生活中的重要程度���,遭到破壞后對國家安全�����、社會秩序����、公共利益以及公民����、法人和其他組織的合法權(quán)益的危害程度,針對信息的保密性�����、完整性和可用性要求及信息系統(tǒng)必
3�����、須達(dá)到的基本安全保護(hù)水平等因素�,信息系統(tǒng)的安全保護(hù)共分為五等級:第一級為自主保護(hù)級第二級為指導(dǎo)保護(hù)級第三級為監(jiān)督保護(hù)級第四級為強(qiáng)制保護(hù)級第五級為專控保護(hù)級(三)��、信息安全等級評估決定信息系統(tǒng)重要性等級時(shí)應(yīng)考慮以下因素:1��、系統(tǒng)所屬類型��,即信息系統(tǒng)的安全利益主體����。2、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別�。3、系統(tǒng)服務(wù)范圍�,包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。4����、業(yè)務(wù)依賴程度��,或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度����。三����、信息安全規(guī)劃內(nèi)容(一)、信息安全體系及其特點(diǎn)信息安全體系包括安全管理體系和安全技術(shù)體系�,兩者是保障信息系統(tǒng)安全不可分割的兩個(gè)部分,大多數(shù)情況下����,技術(shù)和管理要求互相提
4、供支撐以確保各自功能的正確實(shí)現(xiàn)��。構(gòu)建安全管理體系的主要目的是管理信息系統(tǒng)中各種角色的活動��。通過文檔化的管理體系����,從政策、制度�����、規(guī)范�、流程以及日志等方面監(jiān)督、控制各類角色在系統(tǒng)日常運(yùn)行維護(hù)工作中的各種活動�����。安全管理體系是由安全管理組織�����、人員安全管理���、系統(tǒng)建設(shè)管理����、系統(tǒng)運(yùn)維管理和安全審計(jì)管理5個(gè)部分組成�����。安全技術(shù)體系的主要目的是為信息系統(tǒng)提供各種技術(shù)安全機(jī)制�,主要是通過在信息系統(tǒng)中部署軟硬件并正確地配置其安全功能來實(shí)現(xiàn)。安全技術(shù)體系是由基礎(chǔ)設(shè)施安全�、網(wǎng)絡(luò)安全����、主機(jī)安全��、應(yīng)用安全和數(shù)據(jù)安全5個(gè)層面組成����。(二)、建立信息安全管理體系(簡稱ISMS)�,具體內(nèi)容如下:計(jì)劃(PLA
5、N):建立ISMS��。建立ISMS的政策��、目標(biāo)�、過程及相關(guān)程序以管理風(fēng)險(xiǎn)及改進(jìn)信息安全,使結(jié)果與組織整體政策和目標(biāo)相一致�。執(zhí)行(DO):實(shí)施與執(zhí)行ISMS。ISMS的政策�、控制措施、過程與流程的實(shí)施與操作����。查核(CHECK):監(jiān)督與審查ISMS。依據(jù)ISMS政策、目標(biāo)及實(shí)際經(jīng)驗(yàn)����,以評鑒與測量(適當(dāng)時(shí))過程績效,并將結(jié)果回報(bào)給管理層加以審查����。行動(ACT):維持與改進(jìn)ISMS���。依據(jù)內(nèi)部ISMS稽核與管理層審查或其它相關(guān)信息結(jié)果采取矯正與預(yù)防措施�,以達(dá)成信息安全管理系統(tǒng)的持續(xù)改進(jìn)��。(三)�����、規(guī)劃實(shí)施內(nèi)容1��、信息安全組織建設(shè)信息安全管理組織建設(shè)是在組織內(nèi)部建立跨部門的信息安全協(xié)
6、調(diào)溝通機(jī)制,以便在組織內(nèi)管理信息安全���,識別與外部組織相關(guān)的安全風(fēng)險(xiǎn),定義和分配信息安全職責(zé)�����,定期對信息安全工作進(jìn)行評審��。在銀行建立信息安全管理委員會�,從組織架構(gòu)的層面推動信息安全規(guī)劃的實(shí)施,該機(jī)構(gòu)的主要職責(zé)包括:推動信息系統(tǒng)安全保障體系建設(shè)�;周期性地對系統(tǒng)信息安全風(fēng)險(xiǎn)進(jìn)行識別和評估;保護(hù)商業(yè)秘密和技術(shù)機(jī)密���,維護(hù)企業(yè)的利益��;制定信息系統(tǒng)的安全策略���,提高企業(yè)的抗風(fēng)險(xiǎn)能力����。2�、人員安全管理人員安全管理是指在全體員工范圍內(nèi)提高信息安全防范意識���,普及信息安全管理知識�����,落實(shí)各項(xiàng)安全管理制度,群策群力共同保障信息系統(tǒng)安全�。人員安全管理主要通過全員安全教育培訓(xùn)的方式來實(shí)現(xiàn),培訓(xùn)的方式
7����、可分為三類:管理層安全意識教育:針對管理層的安全意識教育培訓(xùn),幫助管理層了解國家在信息安全方面的政策����,提高對安全工作的認(rèn)識,從而能夠指導(dǎo)安全建設(shè)工作�。技術(shù)人員安全技能培訓(xùn):學(xué)習(xí)安全管理理論知識和安全技術(shù)知識,從而具有掌握安全管理理念��、掌握安全產(chǎn)品操作維護(hù)和安全事件處理的能力����,維護(hù)信息系統(tǒng)的安全。普通員工的安全意識培訓(xùn):對廣大信息系統(tǒng)用戶進(jìn)行安全意識教育培訓(xùn)����,提高大家的安全意識�,讓全體員工都意識到信息安全工作的重要性�����,共同維護(hù)網(wǎng)絡(luò)和信息安全。3�����、系統(tǒng)建設(shè)管理在信息系統(tǒng)集成項(xiàng)目��、軟件開發(fā)項(xiàng)目中考慮信息安全�����。進(jìn)行安全需求分析和規(guī)劃�,系統(tǒng)開發(fā)需要進(jìn)行輸入數(shù)據(jù)
