您的位置:新文秘網>>金融/金融講話/信息/安全/安全講話/>>正文

打造金融業(yè)信息安全等級保護平臺

發(fā)表時間:2014/4/23 15:21:35

打造金融業(yè)信息安全等級保護平臺
  
加強信息安全保障工作,實行信息安全等級保護,是從整體上和根本上解決國家信息安全問題的治本之道,是開展信息安全保護工作的有效辦法及發(fā)展方向。如何打造金融業(yè)自身的信息安全等級保護平臺,成為當前的首要課題。

一、實施信息安全等級保護的意義和價值

信息安全涉及國家利益、安全和主權。2007年7月16日,我國公安部、國家b_m局、國家密碼管理局、國務院信息化辦公室四部委聯(lián)合發(fā)布“關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知”,隨后在全國范圍各行業(yè)各省市內組織開展了重要信息系統(tǒng)安全等級保護定級工作。根據四部委的精神和要求,2007年8月31日,中國人民銀行聯(lián)合銀監(jiān)會下發(fā)關于印發(fā)《開展銀行業(yè)金融機構重要信息系統(tǒng)安全等級保護定級工作》的通知,文件要求各單位依照《信息安全等級保護管理辦法》和關于印發(fā)《信息安全技術信息系統(tǒng)安全
……(新文秘網http://m.jey722.cn省略617字,正式會員可完整閱讀)…… 
來,檢查應用單位是否采取了相應的安全措施。國家制訂推薦性標準為指導各應用單位具體落實提供參考。

行業(yè)需要依據自身特點,細化國家標準。雖然國家已制訂的等保標準非常細致,但越細越存在可操作性的問題,各單位會因實際情況不同而與標準產生沖突。國家標準是供很多單位共同參考,太細了反而缺乏可操作性。

目前銀行業(yè)只看到了國家標準,而不知道行業(yè)具體標準。作為行業(yè)監(jiān)管部門,首先要讓各銀行了解等保的具體依據,并對照執(zhí)行。在實施過程中,不斷積累應用單位的反饋意見,根據國家要求制訂詳細的行業(yè)規(guī)范性指導文件,最終匯總形成行業(yè)標準。

三、從構建金融業(yè)的測評體系切入

通過對美國、英國、德國、法國、澳大利亞、加拿大、荷蘭等國家信息安全測評認證體系的研究,可以發(fā)現(xiàn),國外的信息安全測評認證體系由三部分組成:一個測評認證管理委員會,一般由國家的信息安全主管部門和技術監(jiān)督及標準化主管部門聯(lián)合組織與管理;一個測評認證實體,即認證機構,通常是直屬情報安全機關的職能部門,代表國家實行權威公正的認證;多個技術測評機構,即授權測評機構,具有技術能力和工程經驗的企業(yè)、公司或研究機構,其能力需達到各國國家實驗室認可準則的要求。

測評認證管理委員會負責制訂國家信息安全評估認證政策,監(jiān)督認證機構和仲裁訴訟及爭議,代表國家對信息安全測評認證實體運作的獨立性和在測評認證活動中的公正性、科學性以及規(guī)范性,實施監(jiān)督管理。

認證機構即行業(yè)監(jiān)管部門,具體實施信息安全測評認證體系的運作,負責監(jiān)管授權測評機構。
授權測評機構是認證實體授權并通過國家實驗室認可機構認可的實驗室,是業(yè)務受認證機構監(jiān)督并與認證機構簽署相關合同獲準開展測評工作的公司或組織。授權測評機構作為獨立于開發(fā)者和出資者的第三方,能夠保證客觀性、公正性和對評估信息的b_m。

國外測評認證體系中有兩類測評機構,一類是商業(yè)性測評機構,這類機構向社會提供評估服務,它們必須由認證實體批準,并具備足夠的技術實力,并保證客觀公正和為用戶b_m。另一種是政府的測評機構,政府測評機構主要實施面向政府的評估和與國j-a全及國防事務有關的評估。后者更值得我們研究和借鑒。

四、等保測評體系組織架構及職責初探

雖然有國外的經驗可供借鑒,但建立具有中國特色的金融行業(yè)安全等級保護測評機構組織架構還需要在實踐中認真探索。鑒于金融行業(yè)在國民經濟中的重要地位和特殊影響,在進行等級保護測評機構和實驗室的選擇上一定要慎重,考慮安全、b_m等各方面的因素,并在行業(yè)監(jiān)管部門的指導下以非盈利模式開展測評活動。中國金融電子化公司測評中心經過專門的研究,初步提出了金融業(yè)等級保護測評體系的組織架構模型,如圖所示。
金融行業(yè)等級保護管理委員會是由行業(yè)內信息安全專家組成的一個常設機構,主要履行以下職責:組織和協(xié)調等保測評活動,建立測評體系的規(guī)則、程序和管理頒發(fā);對金融行業(yè)信息系統(tǒng)按照國家等級保護規(guī)定進行強制實施,并接收申請者關于測評的上訴。

金融行業(yè)信息安全監(jiān)管機構,主要履行以下職責:接受信息系統(tǒng)等保測評申請;安排部署等保測評工作,并在測評過程中與申請者保持聯(lián)系;為每個生產者指定合格的測評機構或實驗室;組織測評活動;通過委派合 ……(未完,全文共2726字,當前僅顯示1733字,請閱讀下面提示信息。收藏《打造金融業(yè)信息安全等級保護平臺》