淺談金融業(yè)信息系統(tǒng)等級(jí)保護(hù)工作的常態(tài)化

徐 銳

（中國(guó)人民銀行上?？偛?上海 200120）

0 引言

近年來(lái)，隨著網(wǎng)絡(luò)和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)與信息安全問(wèn)題日益突顯，已成為我國(guó)信息化進(jìn)程中的重大戰(zhàn)略問(wèn)題，2007年，公安部等多個(gè)部委聯(lián)合出臺(tái)了《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等文件，推動(dòng)了我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)和備案工作的快速開(kāi)展。金融行業(yè)重要的信息系統(tǒng)關(guān)系到國(guó)計(jì)民生，是國(guó)家信息安全重點(diǎn)保護(hù)對(duì)象，也是實(shí)施信息安全等級(jí)保護(hù)的重要對(duì)象。2010年以來(lái)，中國(guó)人民銀行多次發(fā)文，高度重視人民銀行各分支行和銀行業(yè)金融機(jī)構(gòu)的信息系統(tǒng)等級(jí)保護(hù)工作的開(kāi)展，在相關(guān)部門(mén)的積極配合下，人民銀行和金融機(jī)構(gòu)陸續(xù)開(kāi)展了本單位信息系統(tǒng)等級(jí)備案、等級(jí)測(cè)評(píng)和建設(shè)整改工作，但是不容諱言，部分單位仍然沒(méi)有充分認(rèn)識(shí)到持續(xù)開(kāi)展信息安全等級(jí)保護(hù)工作的重要性，而是將等級(jí)保護(hù)作為一個(gè)階段性工作，將信息系統(tǒng)的等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)的完成，看成工作的順利結(jié)束，而不是將等級(jí)保護(hù)工作納入常態(tài)化管理機(jī)制，本文主要就如何實(shí)現(xiàn)信息系統(tǒng)等級(jí)保護(hù)工作常態(tài)化進(jìn)行了探討。

1 金融業(yè)信息系統(tǒng)等級(jí)保護(hù)工作的現(xiàn)狀

2010年以來(lái)，人民銀行及金融機(jī)構(gòu)就開(kāi)始了風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)的相關(guān)工作。截至目前，人行上海總部、絕大部分上海中資銀行及部分外資銀行法人行已陸續(xù)完成了重要信息系統(tǒng)的定級(jí)、備案和測(cè)評(píng)整改工作。等級(jí)保護(hù)定級(jí)工作使信息系統(tǒng)安全運(yùn)維保障工作更加有針對(duì)性，風(fēng)險(xiǎn)評(píng)估和第三方測(cè)評(píng)工作也發(fā)現(xiàn)了一些長(zhǎng)期容易忽視或隱藏較深的安全隱患?？偟膩?lái)說(shuō)，等保工作的開(kāi)展進(jìn)一步提升了機(jī)構(gòu)的信息安全保障能力，但是在等保工作的執(zhí)行中也存在著一些問(wèn)題。

（1）信息系統(tǒng)的定級(jí)工作尚未制度化和常態(tài)化。部分機(jī)構(gòu)在2011、2012年批量化完成信息系統(tǒng)的定級(jí)、備案工作以后，并未遵循“動(dòng)態(tài)調(diào)整原則”，未及時(shí)跟蹤信息系統(tǒng)的變化情況，審核系統(tǒng)的原有定級(jí)是否需要調(diào)整，另外，也存在對(duì)新建信息系統(tǒng)的定級(jí)工作未及時(shí)開(kāi)展的情況。

（2）存在定級(jí)模糊的問(wèn)題，部分機(jī)構(gòu)定級(jí)采取了“寧低勿高”的思路。國(guó)家制定的等級(jí)保護(hù)標(biāo)準(zhǔn)非常原則化，在與行業(yè)自建系統(tǒng)的實(shí)際情況相結(jié)合的過(guò)程中，一定程度上存在定級(jí)模糊的問(wèn)題。此外，為了避免因適應(yīng)相應(yīng)等級(jí)所產(chǎn)生的升級(jí)改造等大量后續(xù)工作，部分機(jī)構(gòu)在自建信息系統(tǒng)的定級(jí)備案方面，可能將系統(tǒng)定為等級(jí)保護(hù)較低級(jí)別，這與信息系統(tǒng)等級(jí)保護(hù)工作的本身意義相背離。

（3）部分信息安全從業(yè)人員意識(shí)不足，對(duì)信息系統(tǒng)等級(jí)保護(hù)工作開(kāi)展的意義不能深刻理解，將信息系統(tǒng)等級(jí)保護(hù)工作流于形式。部分人員存在“完成測(cè)評(píng)備案即是完成等保工作”的思路，使得等級(jí)保護(hù)工作在信息系統(tǒng)運(yùn)維方面未能真正地發(fā)揮作用。

（4）基于等保級(jí)別的運(yùn)維保障體系尚不完善，尚未體系化。部分機(jī)構(gòu)對(duì)已完成等級(jí)保護(hù)定級(jí)備案的信息系統(tǒng)的后續(xù)相關(guān)工作尚無(wú)明確規(guī)劃。根據(jù)國(guó)家有關(guān)文件可以看出，信息安全等級(jí)保護(hù)工作可以分為三個(gè)方面，一是對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)；二是信息安全產(chǎn)品實(shí)行按等級(jí)管理；三是對(duì)發(fā)生的事情分等級(jí)并進(jìn)行相應(yīng)處置。部分機(jī)構(gòu)在完成信息系統(tǒng)的定級(jí)、備案及測(cè)評(píng)工作后，就如何對(duì)現(xiàn)有信息系統(tǒng)按照等保要求進(jìn)行運(yùn)維管理和應(yīng)急處置等多方面，尚沒(méi)有明確的制度和體系。

2 信息安全等級(jí)保護(hù)工作常態(tài)化的幾點(diǎn)想法

從上面所述的信息安全等級(jí)保護(hù)工作開(kāi)展過(guò)程中出現(xiàn)的一些現(xiàn)象和問(wèn)題中可以看到，雖然部分機(jī)構(gòu)已經(jīng)開(kāi)展了信息安全等級(jí)保護(hù)的定級(jí)、備案和測(cè)評(píng)工作，但是信息系統(tǒng)等級(jí)保護(hù)工作尚未成為信息系統(tǒng)日常管理運(yùn)維的有效組成部分，并未能真正得融入到信息系統(tǒng)的全周期的管理中，要真正的讓等級(jí)保護(hù)工作發(fā)揮作用，我們需要立足自身實(shí)際情況，將信息安全等級(jí)保護(hù)工作與日常信息管理工作相結(jié)合，將等級(jí)保護(hù)工作常態(tài)化和制度化。下面就如何實(shí)現(xiàn)等級(jí)保護(hù)工作常態(tài)化提出幾點(diǎn)想法：

（1）將信息系統(tǒng)安全等級(jí)保護(hù)制度與單位的信息安全運(yùn)維管理制度相融合，不斷修訂完善信息安全管理制度，將信息系統(tǒng)的定級(jí)、備案、測(cè)評(píng)、整改等工作納入流程管理機(jī)制，確保等保工作成為日常信息安全管理工作的重要組成部分。

（2）加強(qiáng)信息安全從業(yè)人員的教育，增強(qiáng)從業(yè)人員的信息安全等級(jí)保護(hù)意識(shí)。通過(guò)定期組織培訓(xùn)、業(yè)務(wù)交流等多種方式，不斷強(qiáng)化各類人員信息安全和風(fēng)險(xiǎn)防范的觀念，樹(shù)立信息安全等級(jí)保護(hù)的意識(shí)。確保在日常運(yùn)行維護(hù)和應(yīng)急處置過(guò)程中，能夠?qū)⒏黝愘Y源優(yōu)先集中在等級(jí)保護(hù)級(jí)別更高的系統(tǒng)。

（3）積極推進(jìn)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作的時(shí)限管理，堅(jiān)持“同步”原則，在規(guī)劃新建、改建、擴(kuò)建信息系統(tǒng)時(shí)應(yīng)當(dāng)同步完成對(duì)系統(tǒng)的等級(jí)保護(hù)定級(jí)工作，同時(shí)按照預(yù)定的等保級(jí)別規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。

（4）將信息系統(tǒng)安全等級(jí)保護(hù)工作與單位的信息安全基線工作相結(jié)合，把信息系統(tǒng)等級(jí)保護(hù)工作中發(fā)現(xiàn)的安全隱患和需整改的問(wèn)題，納入信息安全基線的范圍，通過(guò)本單位信息安全基線的定期評(píng)估和整改，逐步提升重要信息系統(tǒng)的安全保障能力水平。

（5）將信息系統(tǒng)等級(jí)保護(hù)工作與信息系統(tǒng)全生命周期的安全管理相結(jié)合，在業(yè)務(wù)系統(tǒng)開(kāi)發(fā)實(shí)施的同時(shí)就強(qiáng)調(diào)做好相關(guān)定級(jí)工作，并配套相應(yīng)的安全措施，在系統(tǒng)上線運(yùn)行后，根據(jù)“重點(diǎn)保護(hù)原則”，按照等保級(jí)別，建立相應(yīng)權(quán)重的監(jiān)控體系，提高重要業(yè)務(wù)的可持續(xù)性。同時(shí)，基于信息系統(tǒng)的等保級(jí)別，不斷梳理完善系統(tǒng)的運(yùn)維監(jiān)控體系和應(yīng)急處置方案，確保各類信息安全資源能夠按照信息系統(tǒng)的等保級(jí)別合理分配，優(yōu)先監(jiān)控和保障級(jí)別高的信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

3 結(jié)語(yǔ)

自信息技術(shù)誕生以來(lái)，信息安全就如同影子一般伴隨左右，要在新形勢(shì)下做好信息安全工作，我們應(yīng)當(dāng)將信息系統(tǒng)等級(jí)保護(hù)工作納入信息系統(tǒng)日常管理運(yùn)維之中，通過(guò)等級(jí)保護(hù)制度，不斷完善優(yōu)化運(yùn)維管理機(jī)制，通過(guò)實(shí)現(xiàn)等級(jí)保護(hù)工作常態(tài)化，來(lái)不斷優(yōu)化運(yùn)維監(jiān)控體系和保障體系，保障信息安全資源的最優(yōu)利用，確保能夠盡最大可能實(shí)現(xiàn)重要業(yè)務(wù)的可連續(xù)性。