文 / 邯鄲銀行信息科技部? 韓文科

城商行經(jīng)過近幾年的快速發(fā)展，資產(chǎn)規(guī)模連續(xù)增長(zhǎng)，資產(chǎn)質(zhì)量不斷提高，盈利能力不斷提升，在綜合實(shí)力增強(qiáng)的背后，信息科技投入持續(xù)增加，基礎(chǔ)設(shè)施日趨完善，信息系統(tǒng)建設(shè)同比增長(zhǎng)。同時(shí)，城商行信息科技管理工作也面臨著來自內(nèi)、外部雙重的挑戰(zhàn)。一是內(nèi)部存在著對(duì)科技期望高，信息技術(shù)人才和建設(shè)費(fèi)用少，規(guī)劃、自主研發(fā)、測(cè)試能力弱的“一高、兩少、三弱”的局面;二是外部存在著信息網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，監(jiān)管要求不斷提高，新技術(shù)快速應(yīng)用和發(fā)展。如何應(yīng)對(duì)這些挑戰(zhàn)，是當(dāng)前城商行信息科技管理工作需要認(rèn)真思考的現(xiàn)實(shí)問題。

建設(shè)思路

受限于城商行資金及人員限制，利用有限的資源，通過整合相關(guān)標(biāo)準(zhǔn)，扎實(shí)開展風(fēng)險(xiǎn)評(píng)估，提升關(guān)鍵領(lǐng)域能力，持續(xù)改進(jìn)和優(yōu)化，建設(shè)一套行之有效的管理體系，提高信息安全管控水平，以適應(yīng)信息科技不斷發(fā)展和變革的需要。

1.整合標(biāo)準(zhǔn)

針對(duì)國(guó)際、國(guó)內(nèi)信息安全管理發(fā)展趨勢(shì)，結(jié)合監(jiān)管要求，整合信息安全管理體系建設(shè)框架。目前，國(guó)際和國(guó)內(nèi)信息安全標(biāo)準(zhǔn)主要包括ISO27001、信息安全等級(jí)保護(hù)、ISO20000/ITIL，ISO22301等體系，考慮到城商行缺少完整的標(biāo)準(zhǔn)體系指導(dǎo)具體工作實(shí)際情況，以ISO27001為基礎(chǔ)，將標(biāo)準(zhǔn)進(jìn)行整合，統(tǒng)一按照PDCA流程進(jìn)行實(shí)施，基于保障信息資產(chǎn)的可用性，完整性、保密性的要求，完善管理制度、規(guī)范處理流程，建設(shè)標(biāo)準(zhǔn)化、可量化的管理體系，并具備持續(xù)改進(jìn)能力，構(gòu)建切實(shí)可行的信息安全管理體系。

2.風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估工作，是度量當(dāng)前信息安全短板的必要手段，也是建設(shè)信息安全管理體系的基礎(chǔ)。通過差距分析，了解優(yōu)勢(shì)和不足，明確信息安全管理體系建設(shè)的工作方向和重點(diǎn)，為完善信息安全管理體系文件以及相應(yīng)的技術(shù)控制措施提供輸入。

(1)資產(chǎn)分析法。傳統(tǒng)以信息資產(chǎn)為核心的風(fēng)險(xiǎn)分析方法具有通用性，強(qiáng)調(diào)信息資產(chǎn)的風(fēng)險(xiǎn)屬性。按照資產(chǎn)列表、脆弱性及威脅列表，對(duì)每項(xiàng)資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析，確定與資產(chǎn)、威脅和脆弱性相關(guān)聯(lián)的具體風(fēng)險(xiǎn)，根據(jù)資產(chǎn)重要性、脆弱性嚴(yán)重程度和威脅嚴(yán)重程度，進(jìn)行風(fēng)險(xiǎn)計(jì)算，確定風(fēng)險(xiǎn)值。經(jīng)過“定性”到“定量”的過程，使信息風(fēng)險(xiǎn)按等級(jí)進(jìn)行量化表示，有助于風(fēng)險(xiǎn)偏好的設(shè)定和處置。

(2)基線評(píng)估法。基于信息安全基線的風(fēng)險(xiǎn)評(píng)估方法主要圍繞信息系統(tǒng)規(guī)劃、建設(shè)、使用過程中的風(fēng)險(xiǎn)進(jìn)行分析，特別強(qiáng)調(diào)標(biāo)準(zhǔn)化和最低控制策略。根據(jù)信息系統(tǒng)生命周期的不同階段，通過建立安全基線檢查列表，對(duì)相關(guān)安全要求標(biāo)準(zhǔn)化、制度化，對(duì)應(yīng)用層和基礎(chǔ)設(shè)施層評(píng)估，能夠降低對(duì)人員的能力要求，更適用于城商行風(fēng)險(xiǎn)評(píng)估過程。

信息系統(tǒng)建設(shè)過程中每個(gè)階段都可能存在信息安全隱患，根據(jù)不同階段，采用資產(chǎn)分析法和基線分析法相結(jié)合，更有利于信息風(fēng)險(xiǎn)的全面掌控。

3.提升能力

針對(duì)城商行信息科技力量相對(duì)薄弱、資金投入相對(duì)較少的特點(diǎn)，以滿足合規(guī)性要求為基礎(chǔ)，加強(qiáng)在信息安全重點(diǎn)控制領(lǐng)域的能力提升。

(1)加強(qiáng)日常運(yùn)維流程管理。對(duì)信息系統(tǒng)運(yùn)行過程中的關(guān)鍵流程進(jìn)行標(biāo)準(zhǔn)化，包括事件管理、問題管理、變更管理、容量管理等流程。通過統(tǒng)一的運(yùn)維管理及監(jiān)控平臺(tái)提供工具支撐，實(shí)現(xiàn)對(duì)日常信息系統(tǒng)運(yùn)行過程中的安全事件快速響應(yīng)，提升信息科技服務(wù)質(zhì)量，保障系統(tǒng)可用性的目標(biāo)。

(2)建立外包服務(wù)評(píng)價(jià)系統(tǒng)。根據(jù)城商行信息系統(tǒng)建設(shè)項(xiàng)目大量外包的現(xiàn)狀，建立外包服務(wù)商績(jī)效綜合評(píng)估系統(tǒng)。在整體評(píng)價(jià)中對(duì)各單項(xiàng)進(jìn)行單獨(dú)風(fēng)險(xiǎn)評(píng)價(jià)，覆蓋外包商的準(zhǔn)入、實(shí)施、事后評(píng)價(jià)等項(xiàng)目外包的全生命周期范圍。選擇優(yōu)質(zhì)的外包服務(wù)提供商，以確保信息系統(tǒng)工程質(zhì)量，降低信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)。

(3)完善業(yè)務(wù)連續(xù)性保障體系。通過管理、應(yīng)急、支撐三個(gè)層面的建設(shè)，提升對(duì)災(zāi)難事件的應(yīng)急處置能力，完善生產(chǎn)中心、同城災(zāi)備中心、異地災(zāi)備中心的容災(zāi)保障體系。城商行應(yīng)依據(jù)監(jiān)管要求，針對(duì)重要的業(yè)務(wù)系統(tǒng)，制定相應(yīng)的業(yè)務(wù)恢復(fù)目標(biāo)、業(yè)務(wù)連續(xù)性計(jì)劃，并切實(shí)執(zhí)行演練，驗(yàn)證業(yè)務(wù)連續(xù)性資源的可用性，驗(yàn)證應(yīng)急預(yù)案的可操作性、有效性和完整性，實(shí)現(xiàn)對(duì)災(zāi)難事件的應(yīng)急響應(yīng)，保障信息系統(tǒng)的業(yè)務(wù)連續(xù)性。

(4)筑牢信息科技三道防線。筑牢信息科技三道防線是城商行信息安全風(fēng)險(xiǎn)管理的重要保障。一是強(qiáng)化信息科技部門對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、監(jiān)控、實(shí)施管控的職責(zé);二是提升風(fēng)險(xiǎn)管理部門制定信息科技風(fēng)險(xiǎn)管理策略、計(jì)量標(biāo)準(zhǔn)，進(jìn)行風(fēng)險(xiǎn)提示，開展評(píng)估，監(jiān)控重大風(fēng)險(xiǎn)，督促糾正的管控能力;三是深化審計(jì)部門對(duì)信息科技風(fēng)險(xiǎn)管控情況審計(jì)，實(shí)現(xiàn)對(duì)一、二道防線的獨(dú)立鑒證和評(píng)價(jià)作用。

4.優(yōu)化改進(jìn)

信息安全管理是一個(gè)不斷完善、持續(xù)改進(jìn)的過程，結(jié)合業(yè)務(wù)發(fā)展，明確改進(jìn)目標(biāo)，不斷優(yōu)化提升，樹立一個(gè)良好的指標(biāo)體系。一是意識(shí)能力提升，人員的安全意識(shí)、安全保障能力等方面，需要加快成長(zhǎng)過程;二是加強(qiáng)投入，作為城商行，信息安全方面的投入是一個(gè)逐步的過程，需要抓住重點(diǎn)，逐步實(shí)施;三是完善信息安全風(fēng)險(xiǎn)評(píng)估方法，為信息安全風(fēng)險(xiǎn)評(píng)估提供更方便、準(zhǔn)確的評(píng)估手段;四是針對(duì)外包商管理績(jī)效評(píng)估體系，需要進(jìn)一步實(shí)施落地，完善績(jī)效評(píng)估指標(biāo)以及權(quán)重設(shè)置，降低外包風(fēng)險(xiǎn)。

建設(shè)實(shí)踐

邯鄲銀行根據(jù)自身的特點(diǎn)，提出了“全面規(guī)劃、預(yù)防為先、基線達(dá)標(biāo)、突出重點(diǎn)、分步實(shí)施”的信息安全管理體系實(shí)施方針，實(shí)現(xiàn)了信息安全有序發(fā)展目標(biāo)，經(jīng)過充分運(yùn)行，通過審核，獲得了“信息安全管理體系認(rèn)證證書”。

1.實(shí)現(xiàn)建設(shè)目標(biāo)

以戰(zhàn)略為指導(dǎo)，以管理為基礎(chǔ)，以技術(shù)為保障，以工具為手段，采取分級(jí)防護(hù)、集中管控、持續(xù)改進(jìn)的措施，邯鄲銀行實(shí)現(xiàn)了信息安全的“可管、可控、可信”有序發(fā)展目標(biāo)。

(1)可管階段。在“可管”階段，以國(guó)際信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)ISO27001為基礎(chǔ)，充分考慮信息安全的合規(guī)性要求，包括信息安全等級(jí)保護(hù)、以及監(jiān)管部門發(fā)布的相關(guān)標(biāo)準(zhǔn)指引，同時(shí)結(jié)合ISO20000/ITIL、ISO22301等國(guó)際標(biāo)準(zhǔn)，從組織、體系文件、流程、人員等方面進(jìn)行標(biāo)準(zhǔn)體系整合，對(duì)信息安全管理體系進(jìn)行優(yōu)化，建立信息安全基線，滿足合規(guī)性要求。

(2)可控階段。在“可控階段”，實(shí)現(xiàn)信息安全管理體系流程基本績(jī)效測(cè)量，評(píng)估流程實(shí)施的效果，同時(shí)將信息安全管理體系的管理部分固化到日常信息安全管理當(dāng)中，通過工具支撐，組織全行人員充分理解信息安全管理體系架構(gòu)及使用。

(3)可信階段。在“可信階段”，隨著規(guī)模的擴(kuò)大和能力的提升，信息安全各領(lǐng)域的管理能力和安全保護(hù)措施都已全面完整，流程達(dá)到體系建設(shè)標(biāo)準(zhǔn)，根據(jù)標(biāo)準(zhǔn)的流程進(jìn)行裁剪以適應(yīng)不同部門的需要，信息安全管理流程推廣到全行所有部門以及各分支行，達(dá)到信息安全管理體系貫徹的效果。

2.獲得認(rèn)證證書

在2011年取得信息安全管理體系認(rèn)證證書的基礎(chǔ)上，邯鄲銀行于2019年12月，順利通過中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心審核，再次獲得認(rèn)證證書。本次認(rèn)證是根據(jù)新版信息安全管理體系(ISO/IEC27001-2013)國(guó)際標(biāo)準(zhǔn)和監(jiān)管要求，開展了資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)控制、持續(xù)監(jiān)控和評(píng)審以及信息安全管理體系運(yùn)行等一系列工作，建立了一套符合最新國(guó)際標(biāo)準(zhǔn)和監(jiān)管要求的信息安全管理體系，全方位涵蓋了安全方針、信息安全組織、人力資源安全等14個(gè)領(lǐng)域，極大提升全行信息科技的安全管理和風(fēng)險(xiǎn)防范水平，為業(yè)務(wù)快速發(fā)展提供強(qiáng)有力的信息安全保障。

未來探索

目前信息安全方面的標(biāo)準(zhǔn)、定義、要求眾多，涵蓋了信息安全的各個(gè)方面，建議城商行信息科技安全管理工作從多體系融合和流程成熟度模型方向深入探索。

1.多體系融合探索

信息安全相關(guān)標(biāo)準(zhǔn)存在很多的共性內(nèi)容，存在較多的重復(fù)工作，甚至出現(xiàn)不一致的內(nèi)容，組織架構(gòu)、管理流程、人員、相關(guān)工具支撐方面都各自為政，加大了標(biāo)準(zhǔn)的實(shí)施難度，多體系融合能夠避免重復(fù)工作以及內(nèi)容沖突。邯鄲銀行在實(shí)施標(biāo)準(zhǔn)整合的基礎(chǔ)上，正在積極探索ISO27001和ISO20000/ITIL的深度融合，通過“制度+服務(wù)”的理念，進(jìn)一步提高管理能力，提升服務(wù)質(zhì)量。

2.成熟度模型研究

目前以信息安全治理框架為基礎(chǔ)的信息安全管理流程，有一定的廣泛性，但其理論性強(qiáng)，具體到城商行實(shí)踐方面不一定具備通用性。通過管理流程與成熟度模型相結(jié)合的思路，研究信息安全管理流程的成熟度模型，城商行可以根據(jù)自身的風(fēng)險(xiǎn)偏好和策略，選擇需要達(dá)到的信息安全管理流程成熟度水平;對(duì)信息安全有效性的度量指標(biāo)內(nèi)容進(jìn)行深入研究,評(píng)估相關(guān)控制措施是否達(dá)到了預(yù)期目標(biāo)，對(duì)城商行信息安全管理體系建設(shè)更具備指導(dǎo)意義。

信息安全總是相對(duì)安全，隨著技術(shù)與業(yè)務(wù)的高度融合，大數(shù)據(jù)、智能化、移動(dòng)互聯(lián)網(wǎng)等電子化替代手段進(jìn)一步提高，新的信息科技風(fēng)險(xiǎn)總是不斷出現(xiàn)。城商行應(yīng)立足自身實(shí)際，建設(shè)適用的信息安全管理體系，保障信息系統(tǒng)安全、高效、穩(wěn)定運(yùn)行。

(欄目編輯 ：韓維蜜)

來源：金融電子化