光大银行金融科技供应链安全防护体系研究与实践

近年以来，供应链安全事件频发，大多数信息安全事件均与供应链上要素有关。商业银行金融科技建设工作涉及大量供应商和外部产品，形成复杂的金融科技供应链，涉及的供应链要素有软件、硬件、厂商、人员、数据等。商业银行供应链安全管理和风险控制不到位，将产生巨大的信息安全和业务连续性隐患。从国家监管层面到商业银行自身治理需要，都对供应链安全管理提出了明确的要求，进行科学、规范、全面的金融科技供应链安全管理已经成为商业银行的重点安全工作。

为应对上述内外部形势，光大银行通过梳理金融科技供应链全要素及其安全风险，结合成熟网络安全防护框架，设计商业银行金融科技供应链安全防护体系，对金融科技供应链全要素进行有效安全管理，达到全生命周期、数字化、可视化安全管理，铸造金融科技供应链“强链、稳链”。

金融科技供应链全要素及供应链子链

1. 供应链全要素设计

通过研究《ISO 28000-2022供应链安全管理准则》《金融行业网络安全等级保护实施指引》等标准，传统供应链的概念可以理解为一个由各种组织、人员、技术、活动、信息和资源组成的将商品或服务从供应商转移到消费者手中的过程，这一过程从原材料开始，将其加工成中间组件乃至最终转移到消费者手中的最终产品。从上述概念可以看到，传统供应链的要素包括供应商、人员、技术、活动、信息、中间产品等。同时ÿ