1.金融行业信息安全态势
管理流派,设备流派,数据流派。金融企业需要清楚分析面临的监管要求,外部形势和内部需求,然后针对性的指定安全战略规划,管理规划和技术架构,进而在安全管理
和安全技术方面落实实施。
1.金融行业信息科技监管趋势
金融行业信息科技风险具有影响范围广,破坏性大,突发性强,资金损失高等特点。
信息科技监管的趋势:
1.监管机构越来越重视信息科技治理,强调和重视董事会,监事会和高管层的履职情况。
2.监管重点从"管理为主"往"管理和技术并举"方向发展。
3.对于信息科技部门职责的规定和约束,逐渐精细化,具体化,层次化。
4.信息科技风险管控不仅是信息科技部门的责任
5.信息科技风险管控与业务密不可分
6.信息安全意识培训和教育
7.监管手段逐渐向技术化发展
2.金融行业面临的外部信息安全态势
1.客户方面
2.外部合作商方面
3.攻击者方面
3.金融行业内在的信息安全管理需求
金融行业的信息管理有着不同于其他行业的特点,最主要的几个特点如下:
1.金融行业整体信息化程度高
2.金融行业实时性和准确性要求高
3.金融行业直接处理对象为资金,敏感信息价值高
4.金融行业积极应用新技术,但信息安全往往滞后于新技术
因此,金融企业的信息安全工作要求会高于其他行业,在深度和广度上都必须兼顾,需要从组织架构,制度流程,团队能力,安全意识,外包管理,安全技术等各个方面,
统筹做好规划。
2.金融行业信息安全目标
1.确立信息安全的核心目标
从务虚的角度,金融企业信息安全工作的核心目标是,通过信息安全建设和管理,有效控制和防范信息安全风险,提高信息安全保障能力和水平,确保金融行业业务及用户
的信息和资金安全。从务实角度,金融企业信息安全的工作的核心目标是两个"两手抓":一是"一手抓安全合规,一手抓风险控制";二是"一手抓安全管理,一手抓安全技术"。
2.明确信息安全的基线
要实现金融企业信息安全工作的核心目标,从具体操作层面来说,必须明确信息安全工作的范围,在信息安全工作的各个领域建立信息安全工作基线,同时采取措施确保达成
安全基线。
所谓安全基线,就是信息系统最基本要满足的安全要求,是最小限度的安全保证。安全基线分为安全管理基线和安全技术基线。
安全管理基线主要包括安全组织,安全制度,人力资源安全等。
安全组织:包括确定金融企业的安全组织架构(决策层,管理层和执行层,以及合规,风险,审计等机构),汇报线路,职责分工,日常工作机制等。
安全制度:包括确定制度的体系框架和制度层级等,制度必须完整的覆盖信息科技工作的全生命周期和科技管理等保障工作。
人力资源安全方面:包括在人员任用前,中,后的基本安全管理要求。
安全技术基线主要包括机房,网络,系统,应用,终端,数据的安全。
机房安全:包括机房的物理选址,基础设施相关设备等。
网络安全:主要固定网络结构安全,边界安全,网络设备安全,入侵防护,访问控制,安全审计等
系统安全:系统配置,服务安全,操作系统访问权限,协议管理,系统日志审计等
应用安全:主要规定身份鉴别,抗抵赖性,资源控制,应用系统访问控制,日志审计等
终端安全:设备管理,软件管理,用户管理等
数据安全:数据的保密性,完整性,可用性,访问安全,数据备份,恢复等
3.信息安全域业务的关系:矛盾与共赢
尽可能化解矛盾,取得最大公约数的一致,最终才能实现共赢。
1.信息安全与业务的矛盾性
信息安全域业务的矛盾,多数体现在业务流程的设计方面。
2.信息安全与业务的一致性
开展业务的同时,必须尽可能采取措施使得风险最小化,这一点和信息安全管理目标是一致的。信息安全域业务的一致性,体现在事前预防,事中拦截,事后警告等。
1.事前预防
2.事中拦截
3.事后警告
3.信息安全与业务的共赢
争取最大公约数,取得风险和效益的平衡。包括:
1.风险分类
根据风险的大小及发生的频率,优先化解高风险或者高频交易的风险。同时调研同业采用的方式。
2.前轻后重
前轻,就是对于直接提供客户体验的前端来说,在满足监管要求的前提下,设计尽可能的简单。如用户信息遵循"必须知道,最小原则",身份验证方式遵循"够用就好原则"。
后重,后端的风控必须到位,要有黑名单和灰名单。
3.客户风险等级分类
4.额度管控
从交易金额的角度控制,不同金额设置不同的安全管控措施。
4.信息安全与监管的关系:约束与保护
1.信息安全监管的约束
所有信息安全
2.信息安全监管的保护
5.监管科技
通过科技手段,服务监管需求,提高监管效率。
监管科技应用非常广泛,对于金融企业来说,主要应用领域包括:
1.合规管理
2.企业风险管理
3.税务管理
4.反洗钱
5.交易监控
对监管机构而言,监管科技的应用领域包括:
1.金融企业日常监测
2.金融企业合规分析
3.甄别不发机构和行为
4.发现行业性风险
5.比特币/区块链风险防范
金融行业的信息安全: