金控體系下信息安全防護網(wǎng)構建論文

　　摘要：近兩年金控行業(yè)發(fā)展迅速，混業(yè)經(jīng)營(yíng)模式下如何有效構建企業(yè)的信息安全防護網(wǎng)，是企業(yè)經(jīng)營(yíng)者需要面對和思考的問(wèn)題。本文介紹了金控的定義與歷史機遇，分析了金控體系下信息建設的重要性和安全需求，最后闡述了金控體系下信息安全體系規劃和實(shí)踐。

　　關(guān)鍵詞：混業(yè)經(jīng)營(yíng)；金融牌照；信息安全；管理體系

　　一、金控的定義與歷史機遇

　�。ㄒ唬┙鹂氐亩�義

　　金控是金融控股的簡(jiǎn)稱(chēng)，是指在同一控制權下，完全或主要在銀行業(yè)、證券業(yè)、保險業(yè)中至少兩個(gè)不同的行業(yè)提供服務(wù)的金融集團。從定義上可以直接反映出金控公司的特點(diǎn)：多金融牌照混業(yè)經(jīng)營(yíng)，由一家集團母公司控股，通過(guò)子公司獨立運作各項金融業(yè)務(wù)。

　�。ǘ�）金控的歷史機遇

　　金控公司出現之初，集團母公司多是扮演財務(wù)投資的角色，不參與具體業(yè)務(wù)的運營(yíng)。隨著(zhù)國家“十三五”工作的推進(jìn)，金融改革不斷深化和多元化，單一業(yè)務(wù)的聚集效應在減弱，而以多業(yè)務(wù)構建“客戶(hù)-平臺-資產(chǎn)”供應鏈閉環(huán)生態(tài)系統的金控平臺則迎來(lái)其歷史發(fā)展機遇。其通過(guò)資源協(xié)同、渠道整合、交叉銷(xiāo)售等運營(yíng)模式，促進(jìn)供應鏈上各項金融業(yè)務(wù)的聯(lián)動(dòng)發(fā)展，最大程度地發(fā)揮了產(chǎn)品互補優(yōu)勢，提高效能，享受高額市場(chǎng)回報。

　　二、金控體系下信息化建設的重要性和安全需求

　�。ㄒ唬┬畔⒒�建設的重要性

　　打造金控體系下多牌照的閉環(huán)生態(tài)系統，離不開(kāi)信息化平臺的建設。換個(gè)角度，信息系統是多牌照業(yè)務(wù)融合、產(chǎn)品創(chuàng )新和效能提升的一種有效手段。如通過(guò)信息化建設金控體系下統一的客戶(hù)系統、全面風(fēng)險管理系統、產(chǎn)品銷(xiāo)售系統、大數據分析平臺等，可助力金控集團建立品牌效應，快速響應多元化的市場(chǎng)需求，從而實(shí)現業(yè)務(wù)的爆發(fā)式增長(cháng)�；�于信息化的重要性，綜觀(guān)目前市場(chǎng)上的各類(lèi)金控公司，都在大力發(fā)展信息化建設，尋找業(yè)務(wù)創(chuàng )新點(diǎn)，引領(lǐng)行業(yè)升級和搶占市場(chǎng)。

　�。ǘ�）信息安全需求分析

　　對于互聯(lián)網(wǎng)時(shí)代的金融企業(yè)來(lái)說(shuō)，數據是核心，安全是生命線(xiàn)。隨著(zhù)《網(wǎng)絡(luò )安全法》的實(shí)施，信息安全已上升到國家戰略層面，構建金融企業(yè)的信息安全防護網(wǎng)勢在必行。對于金控公司來(lái)說(shuō)，由于是混業(yè)經(jīng)營(yíng)模式，旗下不同牌照的子公司，因其監管部門(mén)不同以及對信息安全要求不一樣，在規劃其信息安全時(shí)，必須將多牌照的特點(diǎn)融入到安全體系內，同時(shí)滿(mǎn)足信息安全和業(yè)務(wù)發(fā)展的平衡需求，以免顧此失彼，得不償失。

　　三、金控體系下信息安全體系規劃

　　建立一套金控公司的安全體系，必須同時(shí)從管理和技術(shù)角度進(jìn)行規劃，管理是運營(yíng)措施，而技術(shù)是操作手段，相輔相成，缺一不可。

　�。ㄒ唬┬畔�安全管理體系的規劃

　　1.對標的選擇。建立一套信息安全體系，目前可對標的標準和規范包括國際標準ISO27001、國家安全標準、各監管機構的安全指引、信息安全等級保護管理辦法，以及行業(yè)的最佳實(shí)踐等。對于金控信息安全管理體系的規劃，應該以ISO27001為基礎，結合監管的合規要求進(jìn)行編制。

　　2.設計原則。通常情況下混業(yè)經(jīng)營(yíng)企業(yè)在制定企業(yè)管理體系標準時(shí)要照顧到各方的使用需求，其標準具有通用性和廣泛性。具體使用部門(mén)或子公司可再結合自身業(yè)務(wù)特點(diǎn)，制定更具體的操作規范。但對于金控行業(yè)來(lái)說(shuō)，由于旗下各子公司經(jīng)營(yíng)的都是金融業(yè)務(wù)，對信息安全的要求比普通企業(yè)更嚴格，信息安全是其不可逾越的紅線(xiàn)。因此在為其設計信息安全管理體系時(shí)，應反其道而行，從嚴要求，以最嚴格的標準進(jìn)行編制，做好頂層設計，然后根據各子公司的業(yè)務(wù)特點(diǎn)，對制度或規范做適當的裁減或降低等級要求。

　　3.管理體系模型。信息安全管理體系是一個(gè)多層次的模型，如圖1所示。在該模型中，第一層是企業(yè)信息安全方針政策，說(shuō)明企業(yè)信息安全總體目標、范圍、原則和安全框架等；第二層是企業(yè)安全管理制度和規范，說(shuō)明體系運行所需要的通用管理要求；第三層屬于安全管理活動(dòng)中，用于約束安全行為的具體方法；第四層是配套的表單和記錄，用于輔助制度和管理辦法的執行。

　　4.安全目標和方針的設計。雖然是混業(yè)經(jīng)營(yíng)，但對于金控集團及旗下各子公司來(lái)說(shuō)，信息安全的目標應該是一致的，本質(zhì)都是追求企業(yè)數據的保密性、完整性和可用性，所以安全方針可以基于集團統一考慮，設計為：安全、合規、協(xié)同、務(wù)實(shí)。安全：以風(fēng)險管控為核心，主動(dòng)識別、管控并重，為用戶(hù)提供安全、可靠的信息技術(shù)服務(wù)。合規：按照國家法律法規及行業(yè)監管要求，建立滿(mǎn)足集團業(yè)務(wù)發(fā)展需求，并具有專(zhuān)業(yè)能力的信息安全管理機制。協(xié)同：全員參與，對全體員工進(jìn)行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力。務(wù)實(shí)：以經(jīng)濟適用為準則，選擇適應公司發(fā)展變化的業(yè)務(wù)架構和穩定靈活的技術(shù)架構，滿(mǎn)足各業(yè)務(wù)條線(xiàn)的管理和決策需要。

　　5.組織架構的設計。信息安全方針的貫徹，安全制度的執行，安全技術(shù)的部署，都需要通過(guò)安全管理組織來(lái)推行。各個(gè)模塊相互之間的關(guān)系如圖2所示。對于金控行業(yè)公司而言，由于多數子公司都是獨立法人，無(wú)法完全成立一個(gè)實(shí)體安全組織，而是一個(gè)橫跨集團和各子公司的虛擬安全組織。為保證安全組織的有效性和執行力，應具有分工合理、職責明確、相互制衡、報告關(guān)系清晰的特點(diǎn)。

　　6.管理制度及規范的設計。管理制度和規范是屬于企業(yè)運營(yíng)措施，根據ISO27001標準模型，安全管理制度劃分了14個(gè)控制域，涵蓋的內容如圖3所示。根據各控制域的關(guān)聯(lián)關(guān)系，結合金融企業(yè)的安全需求，企業(yè)的安全管理制度通用全景圖設計如圖4所示。

　�。ǘ�）信息安全技術(shù)體系規劃

　　技術(shù)體系屬于信息安全操作層面的內容，應該是圍繞整個(gè)數據生命周期展開(kāi)規劃的。根據數據的運動(dòng)軌跡，經(jīng)歷“生產(chǎn)-傳輸-計算-存儲-消亡”等階段，所以信息安全技術(shù)體系的范圍，應該涵蓋物理環(huán)境、基礎架構（含虛擬化層）、應用、數據和訪(fǎng)問(wèn)控制等。一般通用的安全技術(shù)體系全景如圖5所示。由于安全技術(shù)需要部署大量的專(zhuān)業(yè)設備，對于混業(yè)經(jīng)營(yíng)的金控公司而言，可以發(fā)揮集團總部的先天優(yōu)勢，對于一些共性的安全技術(shù)方案，由集團統一規劃和部署，然后為各子公司提供相應的安全服務(wù)，減少投入，節約成本。例如防病毒系統，由集團總部部署服務(wù)端，各子公司部署客戶(hù)端即可，類(lèi)似的安全技術(shù)服務(wù)還有漏洞掃描系統、身份認證系統、終端準入系統、APT檢測系統、安全滲透服務(wù)、安全培訓服務(wù)等。

　　四、金控體系下信息安全的實(shí)踐

　　由于是混業(yè)經(jīng)營(yíng)，在組建了橫跨集團和各子公司的安全組織后，還需要不斷地進(jìn)行實(shí)踐以達到最佳效果，以下是一些具有特色的實(shí)踐場(chǎng)景。

　�。ㄒ唬┬畔�安全事件的統一管理

　　信息安全事件的管理是安全制度之一，有效的事件管理可以積極發(fā)揮安全效能，提升全集團的安全能力。

　　1.情報共享，協(xié)同防護。在管理層面，原各業(yè)務(wù)子公司只會(huì )向其外部監管部門(mén)報送安全信息，相互獨立，不能有效共享相關(guān)的安全情報。新的模式下要求子公司同時(shí)將安全信息上報集團總部，總部通過(guò)分析后形成統一報告，再發(fā)放到各個(gè)子公司。通過(guò)這種方式，一方面可以實(shí)現情報共享，另一方面可以實(shí)現信息安全的統一管控，協(xié)調防護。

　　2.統一監控，快速反應。在技術(shù)層面，可通過(guò)在子公司部署探針，建立集團的統一安全監控平臺，對集團內所有的安全日志進(jìn)行采集、分析、響應，同時(shí)結合集團和各子公司的安全保護措施對事件進(jìn)行快速處理，合縱連橫，從而保證整個(gè)集團和各子公司信息系統的安全穩定運行。

　�。ǘ�）子公司信息安全建設的管理

　　對于多牌照的金控公司來(lái)說(shuō)，旗下各子公司業(yè)務(wù)種類(lèi)不同，規模也有區別。在信息安全的建設方面，應該有區分對待。對于規模較大的子公司，依靠自身力量建設了數據中心及安全體系的，除一些共性的安全技術(shù)方案可由集團提供以外，其他的安全措施由子公司執行，集團主要是發(fā)揮標準制定和監管的角色。對于規模較小的子公司，由于IT力量較弱，數據中心體量有限，很難依靠自身建設完整的信息安全保護體系。在監管許可的情況下，可以將子公司的信息系統托管在集團數據中心，由集團進(jìn)行信息安全的統一規劃、建設和運維。

　�。ㄈ�）交叉檢查，取長(cháng)補短

　　由于同屬于一個(gè)集團，各子公司之間具有天然的信任感，通過(guò)集團的統一組織和管理，可以促進(jìn)各子公司之間進(jìn)行信息安全的交叉檢查，在兄弟公司之間充分展示本單位的優(yōu)勢，取長(cháng)補短，相互學(xué)習，共同進(jìn)步。

　　參考文獻：

　　[1]ISO27001：2013.信息安全管理體系標準[S].2013.

　　[2]中國銀行業(yè)監督管理委員會(huì ).商業(yè)銀行信息科技風(fēng)險管理指引[Z].2009.

　　[3]中國銀行業(yè)監督管理委員會(huì ).商業(yè)銀行業(yè)務(wù)連續性監管指引[Z].2011.

【金控體系下信息安全防護網(wǎng)構建論文】相關(guān)文章：

校園安全風(fēng)險防控體系方案通用05-28

學(xué)校安全風(fēng)險防控體系工作建設方案通用09-08

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

旅游社會(huì )教育體系構建08-09

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25