农发行信息安全管理策略谈

1、一、信息安全管理概述信息安全是指在利用信息技术处理信息的过程中,与稳定、秩序、期望相一致的所有安全的总和,是信息保密性、完整性和可用性的安全特征的组合。信息安全追求的目标是:利用信息技术进行数据加工处理、转换、传输的所有过程都处于一种稳定可靠和不发生紊乱、功能失效或瘫痪的状态;信息始终受到预期的保护;信息的内在属性在进入、驻留或离开信息域时受到适当的认证等。信息安全管理是综合利用技术、管理、法律和心理等手段实现上述目标的过程。信息安全管理是一项复杂的系统工程,在这一工程中,技术是基础,管理是关键,法律是保障,这三者相互配合,缺一不可。按照信息系统建设和管理的一般构架以及信息安全风险来源、层次,

2、可将信息安全管理细分为以下四个层面:1.技术层面。这一层面的安全目标是:通过对信息系统实体的检测、防护和管理,保障信息系统实体安全,为信息系统安全打好物理基础;在此基础上,研究各类安全技术、安全产品和技术措施的合理配置和整体应用,形成完整的技术解决方案,构建整体安全技术结构体系。(见附表:信息安全技术防范措施2.管理层面。这一层面的安全目标是:通过科学设计流程,实现前后台职能分离、权限控制和岗位制约;通过建立健全规章制度,完善信息安全管理办法,明确并落实信息安全岗位职责;重视并加强信息技术管理,采取系统运行分析、系统风险评估和IT审计等IT治理手段确保信息安全。3.战略层面。这一层面的安全目标

3、是:加强信息安全风险意识,树立信息安全管理理念,将信息安全风险纳入到全面风险管理框架内;制定信息安全管理战略,通过组织结构设计保证人力资源的科学配置,从战略高度并通过组织设计确保信息安全。4.环境层面。这一层面的安全目标是:通过研究法律、法规和心理行为学等非技术因素对信息安全的影响,减少各类人为不稳定因素,营造良好的社会环境和组织环境,降低信息风险发生的可能性。以上四个层面,从微观到宏观,从专业技术到战略管理到政策环境,相互影响,循环作用,共同构成了完整的信息安全管理体系。二、信息安全管理策略农发行要实现信息安全管理目标,必须根据信息安全风险的来源和层次,有针对性地采取技术、管理和法律等措施,

4、构成立体的、全面的信息安全管理体系。1.进一步提高对信息安全管理工作的认识。首先,要充分认识农发行业务运行对信息系统的高度依赖性,要认识到信息系统就是农发行的业务平台和管理平台、信息和信息系统就是农发行的关键资产;其次,要充分认识到信息系统本身的脆弱性,要合理配置资源并实行科学管理,以增强信息系统的抗风险能力;第三,要充分认识到信息安全管理是一项系统工程,必须从农发行的战略目标、组织构架、制度建设、流程设计和技术方案等各个层面入手,专业性和综合性很强,必须全行上下齐抓共管。2.从战略高度加强信息安全管理。首先,要将信息安全管理纳入农发行“科技兴行”战略,要由最高决策层全面参与制定信息安全管理战

5、略,明确信息安全的目标、过程、架构以及与业务管理和发展的关系,使科技平台Science&Technology农发行信息安全管理策略谈戚海峰59AD2006年第3期信息安全管理战略与农发行整体发展规划和“科技兴行”战略保持一致;其次,要将信息安全管理纳入全面风险管理和安全保卫管理范畴,对信息安全实行严格的风险管理,对信息系统进行全面的安全保卫,要像保全信贷资产和保卫金库安全一样保障信息系统安全;第三,对信息安全管理实行“一把手”负责制,对出现信息安全事件的要实行“一票否决制”;第四,要研究信息安全管理策略,用科学的组织结构、流程设计和规章制度支撑信息安全管理;第五,从战略高度充分重视信息技术工作

6、和信息技术人才,尊重信息技术人员的劳动成果,既要以人为本,又要严格管理,使信息安全管理的各项措施更有效地发挥作用。3.重视心理行为研究,提高思想政治工作水平。首先,要重视员工心理和行为等非技术因素对信息安全的影响,通过思想道德教育、企业文化建设和规章制度落实确保员工心理和行为健康;其次,要研究组织变革、制度创新、人际关系和人员流动等因素对内部员工心理和行为状况产生的影响,采取各类预防措施防止不良心理和行为影响信息安全;第三,不断加强和改进思想政治工作,充分发挥思想政治工作的重要作用,最大限度地减少人为风险。4.进一步完善组织结构。首先,要坚持组织结构设计的基本原则,在业务管理条线实行前、后台职

7、责分离,在信息技术管理领域逐步实现开发、运维、安全和IT审计的职能分离;其次,调整现有的信息管理组织结构,可成立信息技术管理委员会,负责制定信息技术治理结构,制定信息技术发展规划与策略,并定期评价信息技术应用的有效性。信息技术管理委员会下设信息技术部、信息风险部和信息技术审计部;第三,明确信息技术管理委员会下设各部门的职责:信息技术部门负责信息系统开发、测试、运行和维护,落实信息风险部制定的信息风险管理措施。信息风险部门负责制定与定期检讨风险管理措施,协助各业务部门和信息技术部执行信息技术风险管理程序。信息技术审计部门定期审查信息技术风险管控措施落实情况,及时评价各项措施的有效性;第四,科学合

8、理设定信息技术岗位,确保重要岗位AB角备份、不相容岗位不兼岗等岗位设计原则的落实;第五,明确信息技术各部门和其他部门的工作关系,科学界定、分解和落实信息安全管理的部门职责。5.加强流程设计和制度建设。首先,通过严密的流程设计科学界定流程路径、操作规程、操作权限和密码控制,使各类人为风险减到最低;其次,针对流程中的人(Peo-ple、过程(Process和技术(Technology制定严格的业务管理制度,切实落实岗位责任制,特别要杜绝不相容岗位的混岗、代岗和一人多岗现象的产生;第三,健全信息技术管理制度体系,制定与外单位联合开发系统管理办法、直接购买应用系统管理办法和IT外包管理办法规章制度,防

9、范由此带来的各类风险;第四,加强信息系统运维管理,建立健全监控管理、事件管理、配置管理和变更管理等管理制度,解决信息技术管理中的信息不对称现象;第五,逐步推行信息安全风险管理制度,完善信息系统风险识别、评估、分析和规避办法,制定信息安全风险应急管理计划;第六,试点实行IT审计,采用客观标准对信息系统策划、开发、使用、管理和运维等相关活动进行完整地、有效地检查和评估并提出改良建议,以强化IT投资效果,保障信息安全。6.进一步健全技术防范、预警和保障体系。首先,有关部门要认真研究有关信息安全的理论、标准和规范,如ISO/IEC13335IT安全管理指南、AS/NZS4360风险管理标准和BS779

10、9-1(ISO/IEC17799基于风险管理的安全体系等;其次,要充分研究并掌握包括IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术、电源保护技术、电磁信息防漏技术、存储备份技术、鉴别技术、监听检测技术、安全软件工程、灾难缓解及灾后恢复等各项技术防范、预警和保障措施,确保各系统安全运行;第三,要根据基础设施、硬件系统、网络系统、操作系统、数据库系统和应用系统的分布和层次结构,安排不同特性的安全策略和措施,使这些策略和措施相互配合和补充,形成整体安全防护体系。科技平台Science&Technology信息安全技术防范措施信息系统应用系统网络系统文件和数据系统操作系统信息基础设施潜在风险*计算机病毒和恶意程序破坏程序*非法获取用户ID号造成非法操作*应用系统安全漏洞*对网络通信设备和网络边界的攻击*计算机病毒和恶意程序造成网络阻塞*网络安全漏洞*计算机病毒和恶意程序破坏文件和数据*电磁信息泄漏*信息破解*内控制度不严或执行不力造成内部数据泄漏、篡改和丢失*计算机病毒和恶意程序破坏操作系统*操作系统用户ID泄漏造成系统失控*操作系统安全漏洞*恶劣天气和自然灾害*设施故障造成信息系统瘫痪技术防范措施*病毒防杀*身份认证*检测技术*安全