下载掌阅APP,畅读海量书库
立即打开
传统金融行业要应对新形势和新挑战,可以从如下方面入手。
1) 建立和完善网络安全治理体系 。银行业普遍构建“三个层面,三道防线”的全面信息安全组织体系。董事会层、高管层、业务部门和各级分支机构层这3个层面各司其职,从制定战略、明确管理职责和规范体制到具体落实执行,网络风险管理逐步融入全面风险管理体系。以信息科技部门、信息科技风险管理部门、信息科技审计部门为主体的“三道防线”的作用日益显著。网络安全保障队伍初具规模,大中型金融机构普遍建立了信息安全专业部门和专职安全管理团队。
2) 完善和丰富网络安全管理制度 。银行业以监管指引为依据,建立起较为全面的网络安全制度体系,涉及物理安全、网络安全、系统安全、终端安全、数据安全、开发安全、运行安全、外包管理、风险评估、应急管理等多个方面,网络安全管理基础进一步夯实。例如,中国民生银行参考业界标准不断优化制度框架,华夏银行建立了5大类50项相关管理制度。
3) 持续提升网络安全技术防护水平 。银行业建立健全网络安全风险监测预警、信息通报和应急响应机制,不断完善从互联网到内部系统的纵深防御安全架构。一方面积极开展防攻击、防病毒、防篡改、防瘫痪、防泄密的检测及处置,另一方面主动针对不法分子活动的重点领域,开展舆情收集、暴力猜解监控、钓鱼网站后台数据分析等工作,挖掘潜在受害客户。例如,中国建设银行阻断暴力猜解攻击,已累计保护214万客户免受密码泄露损失。
4) 不断增强数据安全防护手段 。金融业积极构建数据安全保护机制。首先,建立较完备的数据治理制度,通过定义规范数据标准、实行数据质量管理要求、建立企业级数据模型,提高业务数据的准确性和一致性。其次,强化数据信息全生命周期控制,做到操作有记录、权限有审批、事后可审计,确保各类数据在生产、使用、传输、存储、销毁这整个生命周期中的信息安全。
5) 提升关键信息基础设施业务连续性水平 。银行业持续加强对关键基础设施的业务连续性和灾备建设,大中型金融机构建立“两地三中心”的灾备架构,同时积极开展“双活”应用系统建设,在此基础上积极开展真实切换演练和应急演练,充分验证应急处置能力。