打造金融業(yè)信息安全等級(jí)保護(hù)平臺(tái)

打造金融業(yè)信息安全等級(jí)保護(hù)平臺(tái)
　　
加強(qiáng)信息安全保障工作，實(shí)行信息安全等級(jí)保護(hù)，是從整體上和根本上解決國(guó)家信息安全問(wèn)題的治本之道，是開展信息安全保護(hù)工作的有效辦法及發(fā)展方向。如何打造金融業(yè)自身的信息安全等級(jí)保護(hù)平臺(tái)，成為當(dāng)前的首要課題。

一、實(shí)施信息安全等級(jí)保護(hù)的意義和價(jià)值

信息安全涉及國(guó)家利益、安全和主權(quán)。2007年7月16日，我國(guó)公安部、國(guó)家b_m局、國(guó)家密碼管理局、國(guó)務(wù)院信息化辦公室四部委聯(lián)合發(fā)布“關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知”，隨后在全國(guó)范圍各行業(yè)各省市內(nèi)組織開展了重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。根據(jù)四部委的精神和要求，2007年8月31日，中國(guó)人民銀行聯(lián)合銀監(jiān)會(huì)下發(fā)關(guān)于印發(fā)《開展銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作》的通知，文件要求各單位依照《信息安全等級(jí)保護(hù)管理辦法》和關(guān)于印發(fā)《信息安全技術(shù)信息系統(tǒng)安全
……（新文秘網(wǎng)http://www.120pk.cn省略617字，正式會(huì)員可完整閱讀）……　
來(lái)，檢查應(yīng)用單位是否采取了相應(yīng)的安全措施。國(guó)家制訂推薦性標(biāo)準(zhǔn)為指導(dǎo)各應(yīng)用單位具體落實(shí)提供參考。

行業(yè)需要依據(jù)自身特點(diǎn)，細(xì)化國(guó)家標(biāo)準(zhǔn)。雖然國(guó)家已制訂的等保標(biāo)準(zhǔn)非常細(xì)致，但越細(xì)越存在可操作性的問(wèn)題，各單位會(huì)因?qū)嶋H情況不同而與標(biāo)準(zhǔn)產(chǎn)生沖突。國(guó)家標(biāo)準(zhǔn)是供很多單位共同參考，太細(xì)了反而缺乏可操作性。

目前銀行業(yè)只看到了國(guó)家標(biāo)準(zhǔn)，而不知道行業(yè)具體標(biāo)準(zhǔn)。作為行業(yè)監(jiān)管部門，首先要讓各銀行了解等保的具體依據(jù)，并對(duì)照?qǐng)?zhí)行。在實(shí)施過(guò)程中，不斷積累應(yīng)用單位的反饋意見，根據(jù)國(guó)家要求制訂詳細(xì)的行業(yè)規(guī)范性指導(dǎo)文件，最終匯總形成行業(yè)標(biāo)準(zhǔn)。

三、從構(gòu)建金融業(yè)的測(cè)評(píng)體系切入

通過(guò)對(duì)美國(guó)、英國(guó)、德國(guó)、法國(guó)、澳大利亞、加拿大、荷蘭等國(guó)家信息安全測(cè)評(píng)認(rèn)證體系的研究，可以發(fā)現(xiàn)，國(guó)外的信息安全測(cè)評(píng)認(rèn)證體系由三部分組成：一個(gè)測(cè)評(píng)認(rèn)證管理委員會(huì)，一般由國(guó)家的信息安全主管部門和技術(shù)監(jiān)督及標(biāo)準(zhǔn)化主管部門聯(lián)合組織與管理；一個(gè)測(cè)評(píng)認(rèn)證實(shí)體，即認(rèn)證機(jī)構(gòu)，通常是直屬情報(bào)安全機(jī)關(guān)的職能部門，代表國(guó)家實(shí)行權(quán)威公正的認(rèn)證；多個(gè)技術(shù)測(cè)評(píng)機(jī)構(gòu)，即授權(quán)測(cè)評(píng)機(jī)構(gòu)，具有技術(shù)能力和工程經(jīng)驗(yàn)的企業(yè)、公司或研究機(jī)構(gòu)，其能力需達(dá)到各國(guó)國(guó)家實(shí)驗(yàn)室認(rèn)可準(zhǔn)則的要求。

測(cè)評(píng)認(rèn)證管理委員會(huì)負(fù)責(zé)制訂國(guó)家信息安全評(píng)估認(rèn)證政策，監(jiān)督認(rèn)證機(jī)構(gòu)和仲裁訴訟及爭(zhēng)議，代表國(guó)家對(duì)信息安全測(cè)評(píng)認(rèn)證實(shí)體運(yùn)作的獨(dú)立性和在測(cè)評(píng)認(rèn)證活動(dòng)中的公正性、科學(xué)性以及規(guī)范性，實(shí)施監(jiān)督管理。

認(rèn)證機(jī)構(gòu)即行業(yè)監(jiān)管部門，具體實(shí)施信息安全測(cè)評(píng)認(rèn)證體系的運(yùn)作，負(fù)責(zé)監(jiān)管授權(quán)測(cè)評(píng)機(jī)構(gòu)。
授權(quán)測(cè)評(píng)機(jī)構(gòu)是認(rèn)證實(shí)體授權(quán)并通過(guò)國(guó)家實(shí)驗(yàn)室認(rèn)可機(jī)構(gòu)認(rèn)可的實(shí)驗(yàn)室，是業(yè)務(wù)受認(rèn)證機(jī)構(gòu)監(jiān)督并與認(rèn)證機(jī)構(gòu)簽署相關(guān)合同獲準(zhǔn)開展測(cè)評(píng)工作的公司或組織。授權(quán)測(cè)評(píng)機(jī)構(gòu)作為獨(dú)立于開發(fā)者和出資者的第三方，能夠保證客觀性、公正性和對(duì)評(píng)估信息的b_m。

國(guó)外測(cè)評(píng)認(rèn)證體系中有兩類測(cè)評(píng)機(jī)構(gòu)，一類是商業(yè)性測(cè)評(píng)機(jī)構(gòu)，這類機(jī)構(gòu)向社會(huì)提供評(píng)估服務(wù)，它們必須由認(rèn)證實(shí)體批準(zhǔn)，并具備足夠的技術(shù)實(shí)力，并保證客觀公正和為用戶b_m。另一種是政府的測(cè)評(píng)機(jī)構(gòu)，政府測(cè)評(píng)機(jī)構(gòu)主要實(shí)施面向政府的評(píng)估和與國(guó)j-a全及國(guó)防事務(wù)有關(guān)的評(píng)估。后者更值得我們研究和借鑒。

四、等保測(cè)評(píng)體系組織架構(gòu)及職責(zé)初探

雖然有國(guó)外的經(jīng)驗(yàn)可供借鑒，但建立具有中國(guó)特色的金融行業(yè)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)組織架構(gòu)還需要在實(shí)踐中認(rèn)真探索。鑒于金融行業(yè)在國(guó)民經(jīng)濟(jì)中的重要地位和特殊影響，在進(jìn)行等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)和實(shí)驗(yàn)室的選擇上一定要慎重，考慮安全、b_m等各方面的因素，并在行業(yè)監(jiān)管部門的指導(dǎo)下以非盈利模式開展測(cè)評(píng)活動(dòng)。中國(guó)金融電子化公司測(cè)評(píng)中心經(jīng)過(guò)專門的研究，初步提出了金融業(yè)等級(jí)保護(hù)測(cè)評(píng)體系的組織架構(gòu)模型，如圖所示。
金融行業(yè)等級(jí)保護(hù)管理委員會(huì)是由行業(yè)內(nèi)信息安全專家組成的一個(gè)常設(shè)機(jī)構(gòu)，主要履行以下職責(zé)：組織和協(xié)調(diào)等保測(cè)評(píng)活動(dòng)，建立測(cè)評(píng)體系的規(guī)則、程序和管理頒發(fā)；對(duì)金融行業(yè)信息系統(tǒng)按照國(guó)家等級(jí)保護(hù)規(guī)定進(jìn)行強(qiáng)制實(shí)施，并接收申請(qǐng)者關(guān)于測(cè)評(píng)的上訴。

金融行業(yè)信息安全監(jiān)管機(jī)構(gòu)，主要履行以下職責(zé)：接受信息系統(tǒng)等保測(cè)評(píng)申請(qǐng)；安排部署等保測(cè)評(píng)工作，并在測(cè)評(píng)過(guò)程中與申請(qǐng)者保持聯(lián)系；為每個(gè)生產(chǎn)者指定合格的測(cè)評(píng)機(jī)構(gòu)或?qū)嶒?yàn)室；組織測(cè)評(píng)活動(dòng)；通過(guò)委派合 ……（未完，全文共2726字，當(dāng)前僅顯示1733字，請(qǐng)閱讀下面提示信息。收藏《打造金融業(yè)信息安全等級(jí)保護(hù)平臺(tái)》）