银行信息安全.docx

一、银行信息安全威胁随着银行信息建设的深入发展,银行全面进入了业务系统整合、数据大集中的新的发展阶段,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,但是另一方面不可避免地导致了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括来自互联网的风险、外部机构的风险、不信任网络的风险、机构内部的风险、灾难性风险等五部分。二、信息安全建设的原则及等级划分(一)信息安全原则信息安全是一项结合规划、管理、技术等多种因素的系统工程,是一个持续、动态发展的过程。技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。信息安全的原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。(二)、信息安全等级介绍信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素,信息系统的安全保护共分为五等级:第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级(三)、信息安全等级评估决定信息系统重要性等级时应考虑以下因素:1、 系统所属类型,即信息系统的安全利益主体。 2、 信息系统主要处理的业务信息类别。3、 系统服务范围,包括服务对象和服务网络覆盖范围。4、 业务依赖程度,或以手工作业替代信息系统处理业务的程度。三、信息安全规划内容(一)、信息安全体系及其特点信息安全体系包括安全管理体系和安全技术体系,两者是保障信息系统安全不可分割的两个部分,大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系统中各种角色的活动。通过文档化的管理体系,从政策、制度、规范、流程以及日志等方面监督、控制各类角色在系统日常运行维护工作中的各种活动。安全管理体系是由安全管理组织、人员安全管理、系统建设管理、系统运维管理和安全审计管理5个部分组成。安全技术体系的主要目的是为信息系统提供各种技术安全机制,主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。安全技术体系是由基础设施安全、网络安全、主机安全、应用安全和数据安全5个层面组成。(二)、建立信息安全管理体系(简称ISMS),具体内容如下:计划(PLAN):建立ISMS。建立ISMS的政策、目标、过程及相关程序以管理风险及改进信息安全,使结果与组织整体政策和目标相一致。执行(DO):实施与执行ISMS。ISMS的政策、控制措施、过程与流程的实施与操作。查核(CHECK):监督与审查ISMS。依据ISMS政策、目标及实际经验,以评鉴与测量(适当时)过程绩效,并将结果回报给管理层加以审查。行动(ACT):维持与改进ISMS。依据内部ISMS稽核与管理层审查或其它相关信息结果采取矫正与预防措施,以达成信息安全管理系统的持续改进。(三)、规划实