金融行业等级保护建设解决方案

一、行业概述

金融行业由于其自身行业特点，承担着国计民生的重任，对信息化建设要求比较高，其信息化建设走在整个社会信息化建设的前沿，对信息化技术和管理有着较高的要求，也是信息安全防护的重点行业之一。而银行又是金融行业中信息化建设最为先进、最为前沿的细分行业，本文以下描述，将以银行业作为主要对象，阐述金融行业等级保护建设的思路。

二、政策背景

中国人民银行组织信息安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，编制了符合金融行业特点的、切实可行的金融行业信息系统信息安全等级保护系列标准，并于2012年正式对外发布，包括：金融行业等保建设定级指南、金融行业等保建设实施指引、金融行业等保测评指南和金融行业等保测评服务安全指引等文件。

这些文件的发布，为金融行业等级保护建设提供了具体的参考依据，推动了金融行业积极参与等级保护建设，从而有效提升了金融行业信息安全的建设。

三、建设思路

金融行业的信息系统众多、复杂，而且每个系统的使用部门、运维部门和开发部门也往往不同，这给等级保护建设带来的难度，主要问题包括：

1）等级保护只是参照标准，但有很多细项并未具体措施，如何执行？

2）与银监会的相关要求有何关系，是否存在冲突，如何执行？

3）这么多信息系统该从哪些系统开始做起？

4）等级建设的主要由哪些部门参与，哪个部门牵头等等？

卓网信息结合多年金融行业等级保护建设经验，建议金融行业等级保护建设需要兼顾合规和自身业务安全的要求进行建设，具体如下：

1）合规：是指以人民银行等级保护建设的标准为主要依据，结合人民银行以及银监会关于信息系统安全建设的其他相关要求和通知，建立较为全面的合规基线，从而全面开展等级保护建设，满足各个监管单位对金融行业信息安全建设的要求。

2）自身业务安全需求：金融行业作为特定的行业，有着自身一些特殊的需求，这些特殊的需求难以在等级保护建设标准中全部涵盖。此外，国有银行和股份制银行、股份制银行和城市商业银行、城市商业银行和农商行等之间也存在差异。因此，在满足合规要求的同时，也必须结合自身的业务特点，建立起符合自身业务安全需求的信息安全管理和技术体系，而非为了等保而等保。

 

更多详情，请联系我们！