信息系统安全管理体系建设路径探析——以省域人民银行安全管理为视角

  原标题：信息系统安全管理体系建设路径探析——以省域人民银行安全管理为视角

  摘要：当前网络安全形势日益严峻，在推动数字化转型过程中，持续完善信息系统安全管理具备极其重大意义。文章从省域人民银行安全管理视角出发，立足网络安全管理实际，分析当前信息系统安全管理存在的不足和问题，以保障重要信息系统持续安全稳定运行为目标，坚持管理与技术同步推进、业务与技术有效衔接，提出了完善信息系统安全管理体系实施路径建议。

  伴随着区块链、云计算、大数据等新兴技术的快速发展与应用，金融业态也快速迭代变化。统筹安全与发展，完善信息系统安全管理体系建设，保障业务连续性、运行安全性是金融科技发展的生命线。当前，全球网络安全形势日益严峻，新威胁、新攻击手段不断出现，金融业网络安全事件时有发生。人民银行作为金融核心信息基础设施的运营者和管理者，在强化信息化建设管理、完善技术防护体系的基础上，加强与网络安全专业力量的合作，强联动，重配合，共同应对，共筑安全管理防线，保障重要信息系统持续安全稳定运行，具备极其重大特殊意义。本文在对当前安全管理工作做综合分析的基础上，探索加强与网络安全专业力量合作的路径，以完善信息系统安全保护体系建设，提升信息系统风险防范和化解能力。

  人民银行格外的重视网络和系统建设与管理，并始终致力于安全管理能力的提升。网络安全管理方面，强化组织领导，逐渐完备网络安全重大事项决策机制，认真落实网络安全等级保护工作要求，严格做好系统定级、备案、测评、整改等工作。完善管理制度，定期开展对信息系统的全面梳理、检查。信息系统建设和网络安全遵循“同步规划、同步建设、同步运行”原则，在对信息系统与网络风险做多元化的分析的基础上，从建设、运行管理等所有的环节做好安全管理。安全策略主要涵盖物理环境安全、网络安全、系统安全、数据安全、运行安全、应急响应、安全培训等方面，保障安全风险得到一定效果控制。安全监测和预警方面，运用技术方法和人工监控相结合的方式来进行系统安全监测，若发生安全预警第一时间应对处置。应急管理方面，注重协调联动，发挥多方应急协调机制的作用，对于重要情况及时发布风险提示。梳理网络安全应急处置案例、典型应急演练，围绕重要网络和信息系统，常态化开展多种形式的应急演练，锻炼提升应急处置能力，做好应急准备。

  《中华人民共和国网络安全法》于2017年6月1日起正式实施，网络安全管理迈入法治化阶段，《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络安全产品漏洞管理规定》于2021年9月1日起实施，网络安全法律体系加强完善。文件要求网络和系统的运营者采取技术措施和其他必要措施，保障网络安全、稳定运行，同时要求关键信息基础设施的运营者应当自行或委托网络安全服务机构对网络的安全性和有几率存在的风险做评估。文件还要求开展数据处理活动应当履行数据安全保护义务，重要数据的处理者应当按照相关规定定期对其活动开展风险评估。人民银行省域分支机构是重要金融信息基础设施的运营者，在加强自身信息化管理、符合网络安全合规管理要求的基础上，逐渐完备安全保障体系建设，提升安全管理能力，保障人民银行网络和重要系统安全稳定运行。

  人民银行格外的重视网络安全管理，围绕信息化建设、系统管理、网络管理、信息化外包管理、安全检查等制定了一系列的规章制度，要求加强检查评估，提升安全保障能力，提升信息系统风险防范管理能力，及时有效地发现有几率存在的风险隐患。同时，人民银行从数字化转型实际的需求出发，实施“软件集中开发、系统集中运行、数据集中管理”的信息科技“三集中”战略。对省域分支机构而言，在推动信息系统整合和信息系统架构转型中，统筹安全与发展、快速提升技术风险的管理能力十分迫切。

  当下，全球网络安全形势日益严峻，数字化转型在深入推动业务发展的同时，也带来了更加严峻的安全挑战，对网络管理、系统运维、数据安全管理提出了新的要求。银行机构网络安全事件层出不穷，网络攻击呈专业化、团队化发展，虽然人民银行始终致力于网络安全管理能力的提升，但攻防两端的能力仍有差距。云计算、大数据、区块连等新技术不断涌现，新风险点也随之出现，任何一个环节的风险和隐患都可能会引发安全事件，因此，在加强自身能力建设的同时，如何快速提升应对威胁的能力，具备极其重大意义。

  省域人民银行信息基础设施系统是重要的信息枢纽、通信枢纽、服务枢纽。因此，在规范优化内部信息系统建设运行管理、完善技术防护体系建设的同时，要深化与外部网络安全专业力量的合作，共享威胁信息，整合技术资源，共建安全能力。

  兼顾安全与效率，统筹建设与管理，整合省域科技条线资源，推行联合运维机制，强化重要信息系统监控、运维、巡检等各环节的工作，提升运行监控效能，规范优化信息系统建设、变更、改进步骤，完善技术防护体系。同时，依照国家和人民银行网络安全管理新要求，结合目前人民银行网络安全专业技术人员现状，全面加强和深化与网络安全专业力量的合作，丰富合作领域，提升合作层次，增加合作频度，在合作中增强技术资源支撑、应对能力支撑、人员队伍支撑，同时，在有效完善信息系统安全管理体系的过程中，推动自身人才队伍能力提升。

  具体实施路径是以重要信息系统安全稳定运行为重点，重合作，强协同，评估人民银行信息系统潜在风险，高效开展应急处置，一直在优化完善系统运行管理，通过资源整合、优势互补，推动效率、能力双提升。重点开展重要时期保障、网络安全评估、威胁情报分享、网络安全检查、网络安全应急响应、网络安全意识和技能培训等领域的合作协同，为人民银行重要信息系统持续安全稳定运行提供重要支撑，见表1所列。

  一是网络安全专业力量选择。应选择具有国家有关部门认可的网络安全风险评估服务资质、具有国家有关部门认可的网络安全应急服务支撑及网络安全漏洞库技术支撑能力的团队。其实施人员具有国家认可的CISP等相关资质，且有着非常丰富的安全保障工作经验、信息化项目工程实施经验，团队过硬、信誉好，以保证合作安全，保证协同效率。

  二是协同管理。应明确合作框架，签订合作协议，厘清各方责任和义务，明确工作流程及合作成果归属方式，建立常态化协商工作机制。严格保密管理，签订保密协议，统筹应急准备，完善应急预案，加强相关管理人员的安全教育和安全技能学习培训，明确合作中断情况下的应急处置预案。

  三是过程控制。开展重要时期保障、网络安全评估等工作前应充分论证，结合实际制定详细、可行的方案，明确工作要求，确定合适的实施时间，应保证不影响系统稳定运行、不降低系统服务质量，且不可能会引起新的风险，实施过程由有关人员陪同，确保实施全程安全可控。

  总之，深化与网络安全专业力量的合作，可有效从第三方专业视角提升信息系统对安全威胁的事前防范能力，完善日常安全管理机制，保障应急处置高效实施，通过资源整合、优势互补，推动整体安全管理能力提升，完善信息系统安全保障体系建设，并将为新时期重要信息系统持续安全稳定运行提供重要支撑。

  [1]吕晓强.《网络安全法》强化银行互联网空间安全[J]. 金融电子化，2018(6):23-24.

  [3]王昕平，赵姝，张凤林. 人民银行网络安全框架构建研究[J]. 华北金融，2020(9):66-75.

  传统订阅：①征订单下载→②填写征订单→③转账汇款→④把征订单及汇款凭证邮件至→⑤电话确认，完成订阅。