2016年12月,银监会发布了[2016]188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提出了要求。
《指导意见》共包含六个章节,第一章节:指导原则。明确了非银机构自主开展信息科技工作的要求;提出非银机构积极稳妥探索新技术支撑业务发展,通过与其他银行业金融机构协同合作提高信息科技建设和管理水平;建立健全信息科技风险管理架构,避免和减少重大信息科技事件发生。
第二章节:建立有效的信息科技治理架构。强调了高层信息科技履职,应成立由高层、信息科技部门和主要业务部门负责人组成的信息科技组织架构,承担相关项目审议、决策职责;非银机构应设立相对独立的信息科技部门,配备专业人员,明确岗位职责和分工,通过培训、绩效考核等方式建立健全人才队伍;同时定期开展风险评估和审计,将信息科技风险纳入全面风险管理体系,建立常态化的风险识别、监测和管控机制。
第三章节:科学规划,提升信息科技对业务的支撑能力。提出非银机构应制定战略规划,确保落地实施;运用新技术兼顾业务系统特性开展信息系统建设,满足业务发展需要和全面风险管理要求;建立有效的数据治理组织架构,满足监管和业务发展需求。
第四章节:加强基础设施建设,提升开发测试和运维管理水平。参考数据中心建设相关要求进行基础设施建设;通过开发测试相关管理制度、标准、流程建设,规范开发管理工作,同时加强安全设计、研发和测试;建立专业运维队伍,提高自主运维能力;关键岗位专职专岗;完善日常运维工作的制度和流程,提升运维能力。
第五章节:健全信息科技风险管理体系,加强重点领域风险防控。非银机构应配备专职信息安全管理人员,制定完善的安全管理制度,严格落实国家相关政策法规;加强网络区域划分和隔离,;通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力;定期开展安全评估和上线前渗透测试,确保系统安全;实现敏感数据的全生命周期的安全管理,对非法非法外联等各类违规行为的监控、阻断和审计;开展业务连续性管理,重要系统应进行同城或异地备份,制定信息科技应急预案,每年进行演练;加强外包风险管理。
第六章节:加强监管指导。加强对非银机构的监管;特别要加大重点风险领域的监管力度,严防重大风险隐患;强化问责机制,要求非银机构按照《商业银行业务连续性监管指引》有关要求,及时报送重要信息系统服务中断或重要数据损毁、丢失、篡改、泄露情况,妥善处置对本机构或客户利益造成较大损害的重大突发信息科技事件。
从上文快速浏览中可以发现,《指导意见》对信息科技治理、信息科技风险管理、信息科技战略规划、数据治理以及基础设施建设和运维能力提出了明确要求,内容涵盖了信息科技工作的方方面面,为非银机构信息科技建设和管理工作指明了方向。
绿盟科技将对《指导意见》中涉及信息安全技术的内容进行着重梳理,通过三期的解读,分析《指导意见》中相关要求,并就如何落地提出建设思路。
《指导意见》中涉及信息安全技术的内容包括开发安全管控、安全意识教育、安全技术保障体系建设、网络区域划分和隔离、安全漏洞管理、上线安全检测、数据安全管控、应急预案和应急演练等八方面内容。
本期将对开发安全管控和安全意识教育两部分内容进行解读,分析具体要求,并提出落地建设思路。
《指导意见》第四章节明确“非银机构应制定开发测试相关制度、标准、流程,规范管理自主开发或外包开发过程。安排专人负责项目管理,合理控制项目进度。重视需求分析,规范设计,兼顾业务功能与非业务功能需求。选取适当的开发测试方法,确保系统开发测试的完整性和有效性。明确安全开发规范,加强信息系统的安全设计、研发和测试。”
解读:《指导意见》之所以指出应规范开发过程控制,完善开发过程中需求、设计、测试工作,并着重指出加强安全开发规范,加强安全设计、研发和测试,是因为相关数据表明应用已经部署后再进行修复漏洞的成本,最高可达需求阶段时进行完善分析和设计所消耗成本的30倍,一旦漏洞需要在部署上线后修复,除去相对固定的漏洞修复工程成本,还将伴随着该用户一定程度上的业务能力损失。在开发阶段从需求和设计阶段着手对漏洞进行管理,可大幅度降低修复成本,同时在修复手段的选择上也具有最大的灵活性。
解决开发阶段的安全问题最直接有效的方法就是开发全生命周期的安全管控,通过应用开发的需求、设计、编码、上线和运维等阶段的安全管控,制定各阶段安全目标和措施。期间,每个阶段都要实现本阶段的安全目标,确保后续阶段工作的开始是建立在前一阶段“正确”前提上的延续,从而实现全生命周期的安全管控。
在应用开发的需求阶段,需要结合应用系统业务承载、应用场景等进行安全需求分析,提出应用系统安全目标;在设计阶段,通过受攻击面分析、威胁建模等手段形成明确的基于业务流程的安全设计方案;在编码阶段,针对系统的安全功能、安全策略、安全实现等三个方面,明确应采用的安全编码方法,保证权限对象、数据流、交互处理、数据存储、边界处理的安全性;在测试和上线阶段对系统安全目标实现情况、安全缺陷等问题进行检测,确保系统上线时已修复严重风险问题。
《指导意见》第五章节明确“非银机构应配备专职信息安全管理人员,制定完善的安全管理制度,严格落实国家网络安全政策法规的有关要求,定期开展安全教育,提高员工信息安全意识。……”
解读:世界头号黑客Kevin Mitnick曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。由于缺少足够的信息安全意识,他们往往因为自己的便利而违反信息安全规章,也往往意识不到,因为自己的这种行为,会将其他同事乃至整个组织推向危险的境地。在很多看起来不起眼的细节上,都隐藏着对组织致命的安全隐患。
为了保证信息系统和业务流程的正常运行,企业投入了大量的财力、物力购买安全设备、制定操作规章制度,但在花费大量财力和精力后,发现同样的简单安全事件反复出现,其中很重要的原因是员工的安全意识低、有章不循,大量的制度、规程形同虚设,导致上述情况频繁出现。因此,组织迫切需要提升全员的信息安全意识,对员工进行信息安全意识方面的教育,让员工建立起保护企业的责任感,才能够整体提高组织的信息安全水平。
安全意识教育包括安全培训、海报、员工手册、终端屏保、员工手册等多种形式。安全培训最易组织和实施,效果最直接,是最经常使用的方式之一,但安全培训的弊端也比较明显,就是持续时间短,因此安全培训常常结合终端屏保、海报和员工手册等方式,实现持续的安全教育和宣传。
由于篇幅限制,后续解读请参见下期解读。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880