摘要:近年来安全基线被广泛地应用于金融行业,安全基线对于提高金融网络与信息系统的安全性起到了重要的基础性作用。所谓信息安全基线就是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。人民银行信息安全基线(以下简称安全基线)由一组安全要求项组成,其描述了本单位在某一时点上的整体信息安全状态,是该单位信息安全总体水平的量化表述。
关键词:央行;信息安全基线
中图分类号:F832.2 文献标识码:A 文章编号:1001-828X(2012)11-0-01
一、构建基层央行信息安全基线
(一)安全基线管理的职责分工
基层央行负责本单位安全基线的建立、维护、不定期评估和定期上报。安全基线管理设置操作员和审核员,负责安全基线的日常维护。
安全基线操作员负责提交新增、删除、变更基线要求项的申请;负责配合安全基线审核员对安全基线进行不定期评估;负责对不合格的基线要求项进行整改。
安全基线审核员负责对申请材料进行审核,并完成安全基线的新增、删除、变更等日常维护操作;负责组织完成本单位安全基线的不定期评估,对于高风险基线要求项,建立督办单,跟踪其整改过程;负责将本单位的安全基线定期上报至上级单位。
(二)安全基线要求项的定义
安全基线项遵循统一的定义,包括基线编号、基线要求、基线当前状态、状态说明、基线整改措施、审批单编号及备注等七个要素。
基线版本是对基线要求项的变更情况进行跟踪的途径,其分为两节,第一节为版本号,由四位阿拉伯数字组成,表示基线要求项内容发生变更,每次变更时号码加1;第二节为安全基线发生变更时的变更单编号,变更单编号由六位阿拉伯数字组成。
在安全基线的第一次初始化时,审批单编号中须填写“初始化”,之后每次对基线要求项进行新增、变更和删除时,都需要记录相关的审批单编号,以便对基线要求项的历史状态进行追溯。
(三)安全基线的变更管理
安全基线操作员在申请进行基线要求项的新增或删除前,填写审批单并说明原因,在安全基线审核员审核通过后,进行相应的新增和删除操作。
当信息化基础设施、网络以及应用系统发生变更时,相关人员对变更进行充分评估,若该变更会对安全基线产生影响,同步进行安全基线要求项的变更。
不定期开展本单位的安全基线自评估,对于处于“不符合”状态的基线要求项,及时进行整改。
对于高风险基线要求项启动跟踪督办流程。首先由安全基线审核员建立督办单,在得到部门负责人同意后,将其交给负责整改的相关人员(若为多人,则指定其中一人为整改工作的主要负责人),要求其在规定时间内进行整改;负责整改人员在收到督办单后,及时组织进行整改,在整改期间,定期将整改进展情况在督办单上进行具体描述,并由安全基线审核员签字确认。
(四)基线的上报和检查
基层央行按照上级行的要求频率定期上报安全基线,并接受上级行不定期的抽查和全面检查,对安全基线不符合的要求项进行整改。
二、以信息安全基线管理促进信息安全建设
人民银行信息安全基线细化为机房管理、网络安全、应用安全、保密技术管理、信息安全管理、安全运维等十大类近一千个要求项,涵盖了央行信息安全工作的各个方面,对信息安全工作的要求进行了分类、明确和规范,制定了统一的模板,为今后的信息安全工作奠定了一个良好的基础。
基层央行信息安全工作历年来受到各级领导的高度重视,来自总行、省会中支、内审部门等不同口径的检查,促进了基层行信息安全工作良性的发展,但同时来自不同目标的检查工作,不同的安全要求,给基层央行的信息安全工作带来了很大的困惑,究竟应以什么标准为依据,一直是基层行近年来迫切需要明确的问题。人民银行信息安全基线的建立,规范了信息安全要求,对基层央行的信息安全建设具有里程碑的意义。
三、做好基层央行信息安全基线管理的几点思考
(一)制度把关,做好基层央行信息安全基线管理
很多人觉得严格按制度办事已经是老生常谈了,但工作中就是有这样的情况发生,人情高于制度、执行先于审批、业绩重于安全,没有高度的安全责任感,没有制度的严格把关,信息安全工作就不能落到实处,再多的工作业绩也只能是为信息工作种下更多的安全隐患,进而影响到央行的正常履职。
随着央行信息化建设的发展,安全基线是在不断地更新和拓展的,那么制度的建立、完善、梳理也是同步的,制度的内容应当反映着信息安全工作最新的要求,制度的建设应作为一项重点的工作来抓,使制度的建设同步于信息建设的步伐,覆盖信息工作的各个方面,真正成为信息工作的行为规范。制度建设的同时要把制度的执行落到实处,坚持学习、监督、检查并重,逐步形成严格按制度办事不违规操作的工作氛围,以制度执行力的不断提高来保证信息安全基线的落实。
(二)严格审批,做好信息安全基线的变更工作
基层行根据上级行的安全基线模板建立了本行的第一个安全基线,作为一个初始化的安全基线,必然会存在一些不符合的要求项,信息安全基线的变更和定期上报,使上级行能够更加清晰地了解和掌握基层行信息安全工作情况,哪些工作做得到位,哪些工作存在问题,存在问题的原因和整改的计划,整改中存在的困难,需要的技术、资金等方面的支持等等。信息安全基线的初始化要客观、准确,建立在初始化基础上的信息安全基线的变更管理更加重要,只有通过审批的变更才可以实施,严把变更审批关,加强变更项的检查和复核,保证安全基线是对基层行信息安全工作的真实反映。
(三)钻研技术,提高信息安全基线的管理水平
基层行的信息安全基线是上级行决策的一个重要依据,基层行的信息安全基线管理水平也直接影响到上级行对基层行信息安全工作的认知。加强制度的执行,加强信息安全检查,加强安全基线的审批管理,可以保证信息安全基线管理的有效性、真实性。但同时我们也不能忽视,信息建设的步伐要求安全基线的管理是动态的,随着信息系统的建设、网络技术的进步,对可能存在安全隐患的新的领域,我们要保持足够的警惕,安全基线的管理是服务于信息安全工作的,及时地充实和更新安全基线,才能更有效地防范和化解安全风险。
信息技术的发展日新月异,金融科技工作者面对的是更大的责任和挑战,安全基线的充实和变更往往伴随着技术的进步和创新,只有不断的学习钻研才能不断提高信息安全基线的管理水平,才能适应科技工作发展的需要和更好地履职。