金控體系下信息安全防護(hù)網(wǎng)構(gòu)建論文

　　摘要：近兩年金控行業(yè)發(fā)展迅速，混業(yè)經(jīng)營(yíng)模式下如何有效構(gòu)建企業(yè)的信息安全防護(hù)網(wǎng)，是企業(yè)經(jīng)營(yíng)者需要面對(duì)和思考的問(wèn)題。本文介紹了金控的定義與歷史機(jī)遇，分析了金控體系下信息建設(shè)的重要性和安全需求，最后闡述了金控體系下信息安全體系規(guī)劃和實(shí)踐。

　　關(guān)鍵詞：混業(yè)經(jīng)營(yíng)；金融牌照；信息安全；管理體系

　　一、金控的定義與歷史機(jī)遇

　�。ㄒ唬┙鹂氐亩�義

　　金控是金融控股的簡(jiǎn)稱(chēng)，是指在同一控制權(quán)下，完全或主要在銀行業(yè)、證券業(yè)、保險(xiǎn)業(yè)中至少兩個(gè)不同的行業(yè)提供服務(wù)的金融集團(tuán)。從定義上可以直接反映出金控公司的特點(diǎn)：多金融牌照混業(yè)經(jīng)營(yíng)，由一家集團(tuán)母公司控股，通過(guò)子公司獨(dú)立運(yùn)作各項(xiàng)金融業(yè)務(wù)。

　�。ǘ�）金控的歷史機(jī)遇

　　金控公司出現(xiàn)之初，集團(tuán)母公司多是扮演財(cái)務(wù)投資的角色，不參與具體業(yè)務(wù)的運(yùn)營(yíng)。隨著國(guó)家“十三五”工作的推進(jìn)，金融改革不斷深化和多元化，單一業(yè)務(wù)的聚集效應(yīng)在減弱，而以多業(yè)務(wù)構(gòu)建“客戶(hù)-平臺(tái)-資產(chǎn)”供應(yīng)鏈閉環(huán)生態(tài)系統(tǒng)的金控平臺(tái)則迎來(lái)其歷史發(fā)展機(jī)遇。其通過(guò)資源協(xié)同、渠道整合、交叉銷(xiāo)售等運(yùn)營(yíng)模式，促進(jìn)供應(yīng)鏈上各項(xiàng)金融業(yè)務(wù)的聯(lián)動(dòng)發(fā)展，最大程度地發(fā)揮了產(chǎn)品互補(bǔ)優(yōu)勢(shì)，提高效能，享受高額市場(chǎng)回報(bào)。

　　二、金控體系下信息化建設(shè)的重要性和安全需求

　�。ㄒ唬┬畔⒒�建設(shè)的重要性

　　打造金控體系下多牌照的閉環(huán)生態(tài)系統(tǒng)，離不開(kāi)信息化平臺(tái)的建設(shè)。換個(gè)角度，信息系統(tǒng)是多牌照業(yè)務(wù)融合、產(chǎn)品創(chuàng)新和效能提升的一種有效手段。如通過(guò)信息化建設(shè)金控體系下統(tǒng)一的客戶(hù)系統(tǒng)、全面風(fēng)險(xiǎn)管理系統(tǒng)、產(chǎn)品銷(xiāo)售系統(tǒng)、大數(shù)據(jù)分析平臺(tái)等，可助力金控集團(tuán)建立品牌效應(yīng)，快速響應(yīng)多元化的市場(chǎng)需求，從而實(shí)現(xiàn)業(yè)務(wù)的爆發(fā)式增長(zhǎng)�；�于信息化的重要性，綜觀目前市場(chǎng)上的各類(lèi)金控公司，都在大力發(fā)展信息化建設(shè)，尋找業(yè)務(wù)創(chuàng)新點(diǎn)，引領(lǐng)行業(yè)升級(jí)和搶占市場(chǎng)。

　�。ǘ�）信息安全需求分析

　　對(duì)于互聯(lián)網(wǎng)時(shí)代的金融企業(yè)來(lái)說(shuō)，數(shù)據(jù)是核心，安全是生命線。隨著《網(wǎng)絡(luò)安全法》的實(shí)施，信息安全已上升到國(guó)家戰(zhàn)略層面，構(gòu)建金融企業(yè)的信息安全防護(hù)網(wǎng)勢(shì)在必行。對(duì)于金控公司來(lái)說(shuō)，由于是混業(yè)經(jīng)營(yíng)模式，旗下不同牌照的子公司，因其監(jiān)管部門(mén)不同以及對(duì)信息安全要求不一樣，在規(guī)劃其信息安全時(shí)，必須將多牌照的特點(diǎn)融入到安全體系內(nèi)，同時(shí)滿(mǎn)足信息安全和業(yè)務(wù)發(fā)展的平衡需求，以免顧此失彼，得不償失。

　　三、金控體系下信息安全體系規(guī)劃

　　建立一套金控公司的安全體系，必須同時(shí)從管理和技術(shù)角度進(jìn)行規(guī)劃，管理是運(yùn)營(yíng)措施，而技術(shù)是操作手段，相輔相成，缺一不可。

　�。ㄒ唬┬畔�安全管理體系的規(guī)劃

　　1.對(duì)標(biāo)的選擇。建立一套信息安全體系，目前可對(duì)標(biāo)的標(biāo)準(zhǔn)和規(guī)范包括國(guó)際標(biāo)準(zhǔn)ISO27001、國(guó)家安全標(biāo)準(zhǔn)、各監(jiān)管機(jī)構(gòu)的安全指引、信息安全等級(jí)保護(hù)管理辦法，以及行業(yè)的最佳實(shí)踐等。對(duì)于金控信息安全管理體系的規(guī)劃，應(yīng)該以ISO27001為基礎(chǔ)，結(jié)合監(jiān)管的合規(guī)要求進(jìn)行編制。

　　2.設(shè)計(jì)原則。通常情況下混業(yè)經(jīng)營(yíng)企業(yè)在制定企業(yè)管理體系標(biāo)準(zhǔn)時(shí)要照顧到各方的使用需求，其標(biāo)準(zhǔn)具有通用性和廣泛性。具體使用部門(mén)或子公司可再結(jié)合自身業(yè)務(wù)特點(diǎn)，制定更具體的操作規(guī)范。但對(duì)于金控行業(yè)來(lái)說(shuō)，由于旗下各子公司經(jīng)營(yíng)的都是金融業(yè)務(wù)，對(duì)信息安全的要求比普通企業(yè)更嚴(yán)格，信息安全是其不可逾越的紅線。因此在為其設(shè)計(jì)信息安全管理體系時(shí)，應(yīng)反其道而行，從嚴(yán)要求，以最嚴(yán)格的標(biāo)準(zhǔn)進(jìn)行編制，做好頂層設(shè)計(jì)，然后根據(jù)各子公司的業(yè)務(wù)特點(diǎn)，對(duì)制度或規(guī)范做適當(dāng)?shù)牟脺p或降低等級(jí)要求。

　　3.管理體系模型。信息安全管理體系是一個(gè)多層次的模型，如圖1所示。在該模型中，第一層是企業(yè)信息安全方針政策，說(shuō)明企業(yè)信息安全總體目標(biāo)、范圍、原則和安全框架等；第二層是企業(yè)安全管理制度和規(guī)范，說(shuō)明體系運(yùn)行所需要的通用管理要求；第三層屬于安全管理活動(dòng)中，用于約束安全行為的具體方法；第四層是配套的表單和記錄，用于輔助制度和管理辦法的執(zhí)行。

　　4.安全目標(biāo)和方針的設(shè)計(jì)。雖然是混業(yè)經(jīng)營(yíng)，但對(duì)于金控集團(tuán)及旗下各子公司來(lái)說(shuō)，信息安全的目標(biāo)應(yīng)該是一致的，本質(zhì)都是追求企業(yè)數(shù)據(jù)的保密性、完整性和可用性，所以安全方針可以基于集團(tuán)統(tǒng)一考慮，設(shè)計(jì)為：安全、合規(guī)、協(xié)同、務(wù)實(shí)。安全：以風(fēng)險(xiǎn)管控為核心，主動(dòng)識(shí)別、管控并重，為用戶(hù)提供安全、可靠的信息技術(shù)服務(wù)。合規(guī)：按照國(guó)家法律法規(guī)及行業(yè)監(jiān)管要求，建立滿(mǎn)足集團(tuán)業(yè)務(wù)發(fā)展需求，并具有專(zhuān)業(yè)能力的信息安全管理機(jī)制。協(xié)同：全員參與，對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力。務(wù)實(shí)：以經(jīng)濟(jì)適用為準(zhǔn)則，選擇適應(yīng)公司發(fā)展變化的業(yè)務(wù)架構(gòu)和穩(wěn)定靈活的技術(shù)架構(gòu)，滿(mǎn)足各業(yè)務(wù)條線的管理和決策需要。

　　5.組織架構(gòu)的設(shè)計(jì)。信息安全方針的貫徹，安全制度的執(zhí)行，安全技術(shù)的部署，都需要通過(guò)安全管理組織來(lái)推行。各個(gè)模塊相互之間的關(guān)系如圖2所示。對(duì)于金控行業(yè)公司而言，由于多數(shù)子公司都是獨(dú)立法人，無(wú)法完全成立一個(gè)實(shí)體安全組織，而是一個(gè)橫跨集團(tuán)和各子公司的虛擬安全組織。為保證安全組織的有效性和執(zhí)行力，應(yīng)具有分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的特點(diǎn)。

　　6.管理制度及規(guī)范的設(shè)計(jì)。管理制度和規(guī)范是屬于企業(yè)運(yùn)營(yíng)措施，根據(jù)ISO27001標(biāo)準(zhǔn)模型，安全管理制度劃分了14個(gè)控制域，涵蓋的內(nèi)容如圖3所示。根據(jù)各控制域的關(guān)聯(lián)關(guān)系，結(jié)合金融企業(yè)的安全需求，企業(yè)的安全管理制度通用全景圖設(shè)計(jì)如圖4所示。

　�。ǘ�）信息安全技術(shù)體系規(guī)劃

　　技術(shù)體系屬于信息安全操作層面的內(nèi)容，應(yīng)該是圍繞整個(gè)數(shù)據(jù)生命周期展開(kāi)規(guī)劃的。根據(jù)數(shù)據(jù)的運(yùn)動(dòng)軌跡，經(jīng)歷“生產(chǎn)-傳輸-計(jì)算-存儲(chǔ)-消亡”等階段，所以信息安全技術(shù)體系的范圍，應(yīng)該涵蓋物理環(huán)境、基礎(chǔ)架構(gòu)（含虛擬化層）、應(yīng)用、數(shù)據(jù)和訪問(wèn)控制等。一般通用的安全技術(shù)體系全景如圖5所示。由于安全技術(shù)需要部署大量的專(zhuān)業(yè)設(shè)備，對(duì)于混業(yè)經(jīng)營(yíng)的金控公司而言，可以發(fā)揮集團(tuán)總部的先天優(yōu)勢(shì)，對(duì)于一些共性的安全技術(shù)方案，由集團(tuán)統(tǒng)一規(guī)劃和部署，然后為各子公司提供相應(yīng)的安全服務(wù)，減少投入，節(jié)約成本。例如防病毒系統(tǒng)，由集團(tuán)總部部署服務(wù)端，各子公司部署客戶(hù)端即可，類(lèi)似的安全技術(shù)服務(wù)還有漏洞掃描系統(tǒng)、身份認(rèn)證系統(tǒng)、終端準(zhǔn)入系統(tǒng)、APT檢測(cè)系統(tǒng)、安全滲透服務(wù)、安全培訓(xùn)服務(wù)等。

　　四、金控體系下信息安全的實(shí)踐

　　由于是混業(yè)經(jīng)營(yíng)，在組建了橫跨集團(tuán)和各子公司的安全組織后，還需要不斷地進(jìn)行實(shí)踐以達(dá)到最佳效果，以下是一些具有特色的實(shí)踐場(chǎng)景。

　�。ㄒ唬┬畔�安全事件的統(tǒng)一管理

　　信息安全事件的管理是安全制度之一，有效的事件管理可以積極發(fā)揮安全效能，提升全集團(tuán)的安全能力。

　　1.情報(bào)共享，協(xié)同防護(hù)。在管理層面，原各業(yè)務(wù)子公司只會(huì)向其外部監(jiān)管部門(mén)報(bào)送安全信息，相互獨(dú)立，不能有效共享相關(guān)的安全情報(bào)。新的模式下要求子公司同時(shí)將安全信息上報(bào)集團(tuán)總部，總部通過(guò)分析后形成統(tǒng)一報(bào)告，再發(fā)放到各個(gè)子公司。通過(guò)這種方式，一方面可以實(shí)現(xiàn)情報(bào)共享，另一方面可以實(shí)現(xiàn)信息安全的統(tǒng)一管控，協(xié)調(diào)防護(hù)。

　　2.統(tǒng)一監(jiān)控，快速反應(yīng)。在技術(shù)層面，可通過(guò)在子公司部署探針，建立集團(tuán)的統(tǒng)一安全監(jiān)控平臺(tái)，對(duì)集團(tuán)內(nèi)所有的安全日志進(jìn)行采集、分析、響應(yīng)，同時(shí)結(jié)合集團(tuán)和各子公司的安全保護(hù)措施對(duì)事件進(jìn)行快速處理，合縱連橫，從而保證整個(gè)集團(tuán)和各子公司信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

　　（二）子公司信息安全建設(shè)的管理

　　對(duì)于多牌照的金控公司來(lái)說(shuō)，旗下各子公司業(yè)務(wù)種類(lèi)不同，規(guī)模也有區(qū)別。在信息安全的建設(shè)方面，應(yīng)該有區(qū)分對(duì)待。對(duì)于規(guī)模較大的子公司，依靠自身力量建設(shè)了數(shù)據(jù)中心及安全體系的，除一些共性的安全技術(shù)方案可由集團(tuán)提供以外，其他的安全措施由子公司執(zhí)行，集團(tuán)主要是發(fā)揮標(biāo)準(zhǔn)制定和監(jiān)管的角色。對(duì)于規(guī)模較小的子公司，由于IT力量較弱，數(shù)據(jù)中心體量有限，很難依靠自身建設(shè)完整的信息安全保護(hù)體系。在監(jiān)管許可的情況下，可以將子公司的信息系統(tǒng)托管在集團(tuán)數(shù)據(jù)中心，由集團(tuán)進(jìn)行信息安全的統(tǒng)一規(guī)劃、建設(shè)和運(yùn)維。

　�。ㄈ�）交叉檢查，取長(zhǎng)補(bǔ)短

　　由于同屬于一個(gè)集團(tuán)，各子公司之間具有天然的信任感，通過(guò)集團(tuán)的統(tǒng)一組織和管理，可以促進(jìn)各子公司之間進(jìn)行信息安全的交叉檢查，在兄弟公司之間充分展示本單位的優(yōu)勢(shì)，取長(zhǎng)補(bǔ)短，相互學(xué)習(xí)，共同進(jìn)步。

　　參考文獻(xiàn)：

　　[1]ISO27001：2013.信息安全管理體系標(biāo)準(zhǔn)[S].2013.

　　[2]中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引[Z].2009.

　　[3]中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引[Z].2011.

【金控體系下信息安全防護(hù)網(wǎng)構(gòu)建論文】相關(guān)文章：

電子商務(wù)環(huán)境下財(cái)務(wù)管理信息化體系的構(gòu)建10-26

學(xué)校安全風(fēng)險(xiǎn)防控體系工作建設(shè)方案通用03-31

基于大數(shù)據(jù)理念構(gòu)建經(jīng)濟(jì)金融管理體系的探討經(jīng)濟(jì)論文10-13

計(jì)算機(jī)信息安全論文07-21

信息安全管理論文07-29

政治安全在國(guó)家安全體系中的地位和作用論文10-16

信息安全管理論文(通用)07-20

計(jì)算機(jī)信息安全論文【精華】07-20

商務(wù)英語(yǔ)專(zhuān)業(yè)實(shí)踐課程體系的構(gòu)建10-26

金融體系與無(wú)尺度網(wǎng)絡(luò)論文10-13