《企业安全建设指南:金融行业安全架构与技术实践》 —2.4 信息安全与监管的关系:约束与保护

举报
华章计算机 发表于 2019/12/20 21:36:36 2019/12/20
【摘要】 本节书摘来自华章计算机《企业安全建设指南:金融行业安全架构与技术实践》 一书中第2章,第2.4节,作者是聂 君 李 燕 何扬军  。

2.4 信息安全与监管的关系:约束与保护

长期以来,金融行业的信息安全工作都是在较强的监管形势下开展。很多金融企业的信息安全工作框架,就是遵循着监管的要求一步步搭建起来的。而金融行业的监管要求,也往往会根据金融行业发生的风险事件而不断补充完善。

金融企业需要正确认识监管要求对工作的推动作用,认真学习和理解监管要求,深入领会监管要求的实质,从而建立起科学合理的信息安全管理和技术框架。

1.信息安全监管的约束

金融行业信息安全相关监管要求,对于金融企业首先是约束。

所有信息安全工作需要在监管要求的框架下开展,需要遵循各个方面监管要求的细节规定,需要针对监管要求和风险提示展开对标、风险排查和整改,需要随时接受监管机构现场和非现场的检查,需要认真落实监管下达的风险监测报表、自查报告等各项要求。

对于监管规定的重点工作、例行工作等,必须落实到金融企业内部工作计划中;对于监管规定的管理要求,必须落实到金融企业的组织机构、制度建设、团队建设等各项工作任务中,建立长效工作机制;对于监管下达的技术标准,必须落实到金融企业的信息系统建设、运维监控建设或者信息安全技术防控工作中。

金融企业内部要成立专门的信息安全工作团队,负责确保监管要求在金融企业严格落实到位,确保信息安全工作“治标又治本”,确保信息安全管理和技术防控的实际效果,确保日常的信息安全检查、评估和整改机制能有效地发挥风险控制作用。

2.信息安全监管的保护

同时,金融企业必须认识到监管要求对自己的保护作用。

信息安全监管要求是监管机构基于国家信息安全防控总体策略、国内外信息安全形势、监管机构自身的前瞻眼光和管理思路、金融行业已经发生的风险事件相关经验教训,经过归纳、总结、提炼出的纲领性、全局性要求,从战略高度和战术细度,提出了诸多具有很高实操性、实用价值的条款,从某种意义上说,对于金融企业形成了保护。

首先,对于很多金融企业特别是信息安全建设处于初级阶段的金融企业来说,学透了监管要求,就能把握最关键的信息安全风险,搭建起基本的信息安全防控框架,建立起组织架构和制度,使技术安全防控有章可循,也就有更好的风险防控效果。

其次,监管要求中隐含了很多其他金融企业贡献的知识和技能,实际上是一种行业经验的积累、沉淀和传承。对于信息安全基础薄弱的金融机构来说,这是一种快速获取同业经验的方式。例如,监管机构历次发布的信息安全风险提示和风险事件案例,实际上就是很好的“教科书”,让风险处置经验不足的金融企业可以提前排查类似风险隐患,防患于未然;而当实际发生风险事件时,这些内容又可以成为“知识库”,从中先去搜索类似案例,寻求最快的解决方案。

最后,当风险和收益发生冲突时,遵循监管要求的底线,是信息安全人员判断是否可以给业务“让步”的重要参照,也是信息安全人员有底气说“不”的有力支撑。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。