企业信息安全的建设,一直以来都以遵从和参考国家信息安全标准体系和国际iso27001体系标准为基础,结合业界最佳实践和企业自身特点,构建出信息安全管理体系和技术体系。金融行业不列外也是如此。但金融行业的要求更高,信息安全还要遵从金融管制机构如银监会、证监会、保监会的特别要求。在这方面,本人前期分享了一些相关通用知识和个人经验,不过大多都集中在合规和技术体系方面,今天,就针对金融行业的信息安全管理要求,做一些分享。
iso27001管理体系控制域
以下是总结出来的信息安全管理的六大方面:
制度保障
金融行业的企业或机构,应制定完善的信息安全管理制度,包括但不限于以下几个方面:
信息安全管理的总体目标和指导原则;
信息安全管理的定义、范围,可供参照的相关法律、法规条款、公司制度;
信息安全管理的一般责任和具体责任;
违反信息安全管理制度的惩罚原则和具体措施。
管理职责
金融行业的企业或机构,应建立独立的部门,落实信息安全管理相关职责。主要要求如下:
金融信息提供商的主负责人为信息安全管理第一责任人,同时指定分管领导负责企业信息安全管理日常工作;
金融信息提供商应成立信息安全领导小组或者信息安全管理办公室负责具体信息安全管理实施工作。其职责主要包括:研究和执行国家和行业有关信息安全的政策、法律和法规;制定和推广企业信息安全管理总体策略、管理规范和技术标准等。
人员管理
主要是以下两方面:
金融信息提供商应配备系统管理员、网络管理员、软件系统管理员、安全审计员、安全保密管理员等核心信息安全相关岗位,相关人员应严格遵守有关信息安全管理规定;
金融信息服务提供商的员工应与企业签订保密协议。
培训教育
金融行业的企业或机构,应做好员工培训教育工作,包括不限于以下几方面:
金融信息服务提供商的员工应定期接受安全管理相关培训,了解安全制度、安全要求、法律责任、安全处理程序等方面内容,并定期检查员工掌握情况;
金融信息服务提供商的员工应具备相关基础业务技能,新员工需要接受一定的专业培训并通过考核才能从事相关的工作。
风险管理
金融行业的企业或机构,应依据有关信息安全管理制度、标准和规范,通过风险识别、风险分析、风险评价、风险处理等步骤,对其面临的信息安全风险进行管理。主要要求如下:
制定风险管理方案,明确风险管理的目标、范围、人员、方法、评估方法、评估结果的形式等;
通过风险识别,识别信息安全管理风险来源,并确定其影响区域、事件以及致因;
通过风险分析分析安全管理风险特性,确定其所带来的正面和负面的后果及这些后果发生的可能性;
通过风险评价,依据风险分析的结果确定需要处理的风险和处理实施优先的决策;
通过风险处理,确定风险的处理方案并对方案进行实施。
外包管理
金融行业的企业或机构,不应将核心服务外包,涉及软件开发、系统集成、系统运维等非核心业务时可以采用外包方式。金融信息服务提供商在外包管理时应满足:
建立外包服务商选择、评估及风险管理制度;
保证外包服务商的服务质量和服务标准。
体系管理流程
全方位安全体系