返回
建设银行信息安全实践与思考new

建设银行信息安全实践与思考new

ID:36999066

大小:22.41 KB

页数:7页

时间:2019-05-05

建设银行信息安全实践与思考new_第1页
建设银行信息安全实践与思考new_第2页
建设银行信息安全实践与思考new_第3页
建设银行信息安全实践与思考new_第4页
建设银行信息安全实践与思考new_第5页
资源描述:

《建设银行信息安全实践与思考new》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、建行一直践行“以客户为中心”的理念,全力打造让客户放心的金融服务平台,在人民银行、银监会等监管部门的指导下,按照高管层“确保全行生产系统安全、稳定、持续运行”的要求,加大信息安全技术投入,完善信息安全管理流程,加强人员安全意识和安全技能提升,有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响,有力地保障了建行业务稳健发展和创新。  中国建设银行股份有限公司(以下简称“建行”)一直践行“以客户为中心”的理念,全力打造让客户放心的金融服务平台,在人民银行、银监会等监管部门的指导下,按照高管层“确保全

2、行生产系统安全、稳定、持续运行”的要求,加大信息安全技术投入,完善信息安全管理流程,加强人员安全意识和安全技能提升,有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响,有力地保障了建行业务稳健发展和创新。  一、“十一五”期间建行信息安全建设成绩  2005年,建行实现了全行数据大集中,有力地支持建行重组上市、促进业务快速增长和业务创新,与此同时,信息系统自身风险和内外部攻击的风险也不断积聚,信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”,系统化进行信息安全建设已迫在眉睫。为此,“十一

3、五”期间,建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面,全面推进全行信息安全体系建设。  1.高层推动,建立健全全行信息安全管理组织体系  遵循监管部门信息科技管理要求,结合行内组织职能划分,建行构建了全面的信息安全管理组织,形成了“三个层面,三条防线”安全管理体系。三个层面是指,董事会负责制定全行信息安全管理战略、负责定期听取全行信息安全管理情况报告;高管层负责明确内部信息安全管理职责,负责重大信息安全管理决策;总行各业务部门和各级分

4、行作为信息安全执行层,负责具体落实全行信息安全战略和决策。三条防线是指,执行层面中信息科技管理部门及相关业务部门是信息安全的第一道防线,信息科技管理部门负责制定信息安全管理制度、开发部署信息技术保障体系、提供信息安全管理咨询服务等,部内设安全管理处,承担日常信息安全管理工作;风险管理部门是信息安全管理的第二道防线,负责监管要求的传递和业务连续性管理工作,内设操作风险管理处和业务连续管理处,从事业务操作风险管理相关工作;审计部是安全管理的第三道防线,负责全行安全管理情况监督评价,内设IT审计处负责全行IT

5、审计工作。  安全管理人员配置上,全行92人具有信息安全专业证书(CISP),94人具有国际IT审计证书(CISA)。  2.明确信息安全管理目标和策略,完善信息安全制度体系  “方向明晰是成功的基础”,建行十分注重整体信息安全管理策略建设。遵循监管要求,结合自身实际,建行确立了全行信息安全管理目标:一是有效保护信息及信息处理环境,支持业务持续运营;二是提高应对新型信息安全威胁的能力,支持业务创新;三是保护客户信息和资金安全,维护建行声誉;四是提高合规管理能力,满足监管要求。制定了“全面管理、预防为主、

6、分级保护、合规审慎”的信息安全管理原则,确定了信息资产的等级划分策略,明确了对不同等级信息资产的信息安全管理偏好,为信息安全管理指明了方向。  在信息安全管理策略的指引下,建行结合信息科技检查以及内外部审计意见,组织完善信息安全制度框架体系,按照“全面防范,重点突出”的原则,先后制定发布了一系列涉及物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。具体内容包括:按照银监会《商业银行信息科技风险管理指引》,组织制

7、定了配套的信息安全和业务连续性管理的政策、管理办法、操作规范和指南,构建了全行信息安全管理整体框架,明确了信息安全管理对象、管理角色及各对象全生命周期的安全管理要求,规范运维中的安全管理行为;统一全行安全评估的尺度和方法;明确应急管理要求,实行信息系统责任事故的责任认定,在员工行为准则中明确了违反信息科技管理原则的处罚办法。  通过上述工作,初步建立了以政策、制度、标准为导向的信息安全管理体系,建立了涵盖开发、运维、合规、治理全方位的信息安全管理制度体系。  3.以国家等级安全保护要求为指导,构建等级化

8、信息科技安全技术保障体系  全面落实国家信息系统安全等级保护要求,根据国家信息安全等级划分标准,制定信息系统安全技术基线,明确了不同安全等级信息系统安全保护要求,编写了信息系统安全技术选用指南,明确了实现信息系统安全要求的技术实现方法,编写了信息系统安全产品选用指南,明确了信息技术所需安全产品的选用原则,从而建立了从需求、安全设计到安全实现的整体安全建设流程。  构建了信息系统安全技术架构,明确了信息系统共有安全技术基础平台的建设原则,明确

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。