返回
依托ISO27001标准提升信息安全保障能力-论文.pdf

依托ISO27001标准提升信息安全保障能力-论文.pdf

ID:54925535

大小:467.79 KB

页数:3页

时间:2020-05-04

依托ISO27001标准提升信息安全保障能力-论文.pdf_第1页
依托ISO27001标准提升信息安全保障能力-论文.pdf_第2页
依托ISO27001标准提升信息安全保障能力-论文.pdf_第3页
资源描述:

《依托ISO27001标准提升信息安全保障能力-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Cov封er面S专to题ryI依托IS027001标准提升信息安全保障能力文l交通银行信息技术管理部总经理李海宁国际上通用的信息安全管理体系标准——Is027001作为行动指南,建立、运行并维护适合自身特点的信息安全管理体系。IS027001是英国标准协会(BSI)针对信息安全管理而制定的一个标准,最早始于1995年,前身为BS7799,后几经改版,成为了目前被广泛应用的信息安全管理标准。最新版本是2013年1O月发布的ISO/IEC27001:2013及配套的ISO/IEC27002:2013。ISO/IEC27001是信息安全管理体系要求,详细说明建立、实施和维护信息安全管理体系的要求,

2、用来指导相关人员建立适合企业需要的信息安全管理体系(ISMSoISO/IEC27002是信息安全管理体系实践规范,详细李海宁,西北工业大学计算机系软件专业毕业,硕士研究生。说明信息安全管理的领域、控制目标和控制措施。I982年1月参加工作,2000年5月八职交通银行广州分行,2004年8月调入交通银行总行。现任交通银行信息技术管开展信息安全管理体系建设工作理鄯总经理兼交通银行软件开发中总经理。作为企业整个管理体系的一个重要组成部分,信息安全管理体系是企业围绕其特定的信息安全方针和目标而建立的一系列管理活动。为定义这一系列管理活动,交通银随行做了以下工作。1.明确信息安全工作定位。交通银行根据

3、自身业务特点和信息分布情况,确立了以IT为试点,针对总分行IT、业务及保障部门进行整体设计的建设范围;根据客户对金融服务的期望值和我行参与国际竞争的需要,确立了以“防范于未然”为信息安全管理活动的目标;最终,交通银行运用IS027001国际标准将“统筹规划、预防为主、标本兼治、稳健合规”作为自如何应对日趋庞大的信息系统规模和日益严峻的信息己的信息安全方针和行动指南,从而在战略层面明确了信安全形势,如何界定信息安全工作边界,如何掌握信息安息安全工作的定位。全管理要点,如伺落实信息安全控制措施,这些问题曾一2.梳理并确定信息资产。信息资产是由企业拥有并能度困扰着我行。根据交通银行经营战略要求,我

4、们选择了够为企业带来价值的重要资源。对信息资产的保护也是信38l2014年6月Cov封er面S专to题ryI对不同级别的文件采用不同的管理方式(如图2示),具体在操作层面,注重管理与技术相结合。便于反映所选的控制措施与风险管理过程之间的关系,确一是建立全行一体化的监控与交流平台,建立HELP保满足信息安全管理的预期目标。其中,一、二级文件由DESK,及时汇聚各种生产事件,按类分派相关任务,按级总行负责编写,方便员工追溯到信息安全管理的策略、目明确响应要求,确保事件的及时与有效处置。标和管理要求;由总行统一控制或调配的资产相关的三、二是加强技术防范手段,严格控制生产上的相关访问,四级文件也由总

5、行编写,以减少各分支机构的工作量,保做好事先有审批、事中有监督、事后有审计。持版本的统一性;与各分支机构特点有关的三级文件,则三是每周召开生产例会,对一周生产事件进行回顾,由分行信息安全管理员,根据总行统一要求,按照总行标及时发现解决安全生产过程中的相关问题。准编写,以满足当地特色的需求,包括当地监管和所在行四是强化流程的执行力度,定期开展自查、互查与检业的要求,确保相关风险被避免、降低或转移至一个可被查等多种形式相结合的信息安全内审活动。接受的水平。五是加强重要信息系统的评测评估,及时发现、消除体系还定义了对管理体系的运行情况及控制措施进行信息系统中存在的风险隐患。回顾的方法,即通过定期的

6、管理评审,评估、评价管理体六是加强重要信息系统应急管理,强化风险评估、预系的有效性、适用性,提出改进措施,按PDCA模式——案管理和灾备建设。计划(Plan)、执行(Do)、检查(Check)、行动(Action),七是加强基础设施管理与环境安全,强化立项审批、持续改进信息安全管理体系。方案审查和项目验收,消除单点故障。经过5年多的运行与改进,交通银行信息安全管理体八是加强供应商管理,通过公开招标,评估确定入围系得到不断完善,取得了明显效果。服务商和入围商品,满足全行对产品质量和服务快速响应一是将全行信息科技管理与信息安全保障两项职能进的需要。行了合并,从战略层面成立了交通银行信息科技管理与

7、信九是协同全行资源,落实四道防线,即由一线部门按息安全保障委员会,在一个机构内讨论、决策信息化相关制度规范进行操作,由条线管理部门检查执行效果并不断问题,更好地解决了快速发展与安全稳定两者之间的矛盾。完善制度规范,由风险部定期对各项信息科技风险指标进二是较好地融合监管部门的相关规定,将金融科技安行监控、评测,由审计部门适时开展对全行信息安全工作全、科技风险防范和信息系统等级保护等内容统一纳入内的审计并向董事会

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。