金融業(yè)的歷史源遠(yuǎn)流長(zhǎng)，早在在信息技術(shù)還未誕生的時(shí)候，金融業(yè)的安全管理體系早就已經(jīng)形成，它由傳統(tǒng)管理模式演變發(fā)展而來。隨著互聯(lián)網(wǎng)+時(shí)代的來臨，高速發(fā)展的互聯(lián)網(wǎng)技術(shù)給客戶和金融機(jī)構(gòu)帶來了便捷和利益。但與此同時(shí)，它也給我們帶來了一些金融信息安全的隱患。金融管理的模式也隨著互聯(lián)網(wǎng)的興起出現(xiàn)了不同。現(xiàn)在的很多信息安全管理問題的產(chǎn)生也與之息息相關(guān)。一些不法分子趁機(jī)謀取不正當(dāng)?shù)睦妗＝鹑谠谏钪幸舱紦?jù)著較主要的地位。哲學(xué)里，經(jīng)濟(jì)基礎(chǔ)決定上層建筑。這里的金融就如同經(jīng)濟(jì)基礎(chǔ)了，只是范圍沒有那么廣。為此，專門有數(shù)據(jù)人員對(duì)數(shù)據(jù)中心的信息安全管理狀況進(jìn)行了調(diào)研，具體情況如下：

金融數(shù)據(jù)中心信息安全管理現(xiàn)狀與特點(diǎn)

(一)金融業(yè)信息安全管理特點(diǎn)

金融數(shù)據(jù)中心對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行的連續(xù)性、可靠性要求較高，交易數(shù)據(jù)不能出現(xiàn)差錯(cuò)，各類數(shù)據(jù)加密與數(shù)字簽名技術(shù)應(yīng)用廣泛。在管理模式方面的突破相對(duì)較小，其信息安全管理往往結(jié)合了傳統(tǒng)管理模式，以柔性管理為特點(diǎn)，原則性、靈活性相結(jié)合，注重用多種方法解決問題，但對(duì)解決問題的原則和方法并不十分關(guān)注。這種方式的不足：主要是容易造成做法不規(guī)范、不能把成功經(jīng)驗(yàn)形成組織過程資產(chǎn)。經(jīng)驗(yàn)實(shí)例很多，但很難總結(jié)提升。其次是管理依賴權(quán)威，領(lǐng)導(dǎo)的作用和地位得到充分重視，領(lǐng)導(dǎo)的管理理念和水平直接影響安全管理的水平和效果。再次人際關(guān)系講的多，很多風(fēng)險(xiǎn)無法得到控制。

(二)金融數(shù)據(jù)中心信息安全管理常見的問題

隨著金融業(yè)務(wù)的拓展，互聯(lián)網(wǎng)金融的崛起，金融公司數(shù)據(jù)中心的規(guī)模在不斷擴(kuò)大，而其安全管理模式的特點(diǎn)使它在信息安全管理方面的問題逐漸顯現(xiàn)出來，體現(xiàn)在以下幾個(gè)方面：

1.信息安全方針和策略不明確。金融機(jī)構(gòu)，常以金融業(yè)務(wù)為主，信息技術(shù)為輔，在管理上更注重于業(yè)務(wù)發(fā)展和業(yè)務(wù)連續(xù)性的管理，對(duì)業(yè)務(wù)系統(tǒng)的開發(fā)和建設(shè)普遍重視，但往往忽視了業(yè)務(wù)系統(tǒng)建設(shè)中的網(wǎng)絡(luò)安全問題。有時(shí)因?yàn)樽⒅叵到y(tǒng)的應(yīng)用效果，忽視了信息系統(tǒng)技術(shù)脆弱性可能造成的影響，不能采取適當(dāng)?shù)拇胧﹣砜刂骑L(fēng)險(xiǎn)。多數(shù)金融機(jī)構(gòu)的CIO不具備IT類職業(yè)背景，在高級(jí)管理層對(duì)信息安全管理的重視、熟悉程度都還不夠，不能給予信息安全管理工作直接的支持。這種狀況將導(dǎo)致機(jī)構(gòu)缺乏明確的信息安全方針和策略，信息安全管理工作沒有指導(dǎo)依據(jù)。

2.安全管理缺乏系統(tǒng)的管理思想。多數(shù)金融機(jī)構(gòu)的安全管理模式仍是基于傳統(tǒng)靜態(tài)管理的方法，面向發(fā)生的問題，欠缺信息安全管理的體系，在安全管理方面不全面，缺乏必要的信息安全評(píng)估、信息安全風(fēng)險(xiǎn)意識(shí)的培訓(xùn)，由于不能形成全機(jī)構(gòu)人員對(duì)信息安全意識(shí)的共識(shí)，導(dǎo)致信息安全規(guī)章制度難以嚴(yán)格落實(shí)。而現(xiàn)代的信息安全管理體系應(yīng)建立在安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上，并持續(xù)不斷的改進(jìn)。

3.重視安全設(shè)備和技術(shù),輕視安全管理和培訓(xùn)。金融業(yè)中普遍采用網(wǎng)絡(luò)技術(shù)構(gòu)建業(yè)務(wù)信息系統(tǒng)，提高了工作效率和業(yè)務(wù)競(jìng)爭(zhēng)力，應(yīng)用的安全防護(hù)設(shè)備往往比較全面。而信息安全不應(yīng)僅從技術(shù)方面防護(hù)，更多的是應(yīng)落實(shí)信息安全管理體系的建設(shè)，加強(qiáng)規(guī)范化管理。如人員錄用的時(shí)候有審查、簽有保密協(xié)議，人員在終止任用時(shí)也要有審查，如人員對(duì)信息系統(tǒng)的訪問權(quán)在任用終止時(shí)及時(shí)撤銷、調(diào)整。在金融數(shù)據(jù)中心中有上千的各種重要程度的信息系統(tǒng)，幾十個(gè)系統(tǒng)由一個(gè)管理員管理的情況時(shí)有發(fā)生，口令管理策略難以嚴(yán)格落實(shí)。有時(shí)管理人員身兼數(shù)職，常常忽視一些維護(hù)操作后期的審計(jì)工作。

規(guī)范金融數(shù)據(jù)中心的信息安全管理體系

傳統(tǒng)安全管理常常存在諸多缺陷，如受高層領(lǐng)導(dǎo)層重視程度影響大、安全方針不明確、管理不夠系統(tǒng)化、重技術(shù)輕管理等。為改善數(shù)據(jù)中心的信息安全管理現(xiàn)狀，可以引入國際化、標(biāo)準(zhǔn)化的信息安全管理體系，如ISO27001等。系統(tǒng)化的信息安全管理體系，可以減少管理對(duì)人主觀意識(shí)的依賴，通過對(duì)管理體系不斷完善，使管理體系越來越全面、精細(xì)，從而更加符合金融數(shù)據(jù)中心的特點(diǎn)。

(一)信息安全管理的體系化

信息安全管理的體系，首先是要樹立信息安全方針和目標(biāo)，并建立達(dá)成這些目標(biāo)所需的制度規(guī)范。標(biāo)準(zhǔn)化的信息安全管理標(biāo)準(zhǔn)，可以指導(dǎo)數(shù)據(jù)中心做好信息安全管理，提高控制信息安全風(fēng)險(xiǎn)的能力。

標(biāo)準(zhǔn)化的信息安全管理體系規(guī)定了建立信息安全管理體系的要求，規(guī)定了實(shí)施安全控制的要求。按照標(biāo)準(zhǔn)規(guī)范的要求建立信息安全管理體系，可以更好地保障金融業(yè)務(wù)連續(xù)性。標(biāo)準(zhǔn)化組織認(rèn)可的信息安全管理體系融合了西方管理理論，以剛性管理為特點(diǎn)。通過制定完善的制度，并嚴(yán)格遵守制度，達(dá)到管理的目標(biāo)。這種管理模式注重有計(jì)劃地、按照制度和規(guī)定解決問題，有助于數(shù)據(jù)中心提高管理效率，增強(qiáng)業(yè)務(wù)競(jìng)爭(zhēng)力。

(二)應(yīng)用信息安全管理體系的預(yù)期

通過建立信息安全管理體系，完善各類安全管理制度，可以規(guī)范信息系統(tǒng)相關(guān)的各種操作行為。信息安全管理體系體現(xiàn)了風(fēng)險(xiǎn)管理思想，工作思路是事先防范、事中控制和事后總結(jié)改進(jìn)，一改傳統(tǒng)“問題驅(qū)動(dòng)”的管理模式，著重整體、系統(tǒng)的分析、解決問題。管理體系按照PDCA的循環(huán)管理信息安全風(fēng)險(xiǎn)，信息安全管理從被動(dòng)的問題補(bǔ)救，變?yōu)橄到y(tǒng)化、主動(dòng)的風(fēng)險(xiǎn)管理狀態(tài)。信息安全風(fēng)險(xiǎn)管理的目的是保障業(yè)務(wù)系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，形成安全管理體系使安全管理可以協(xié)調(diào)各個(gè)方面、各個(gè)層次資源，管理更為有效，制度規(guī)章得以充分落實(shí)。

建立健全信息安全管理體系對(duì)金融數(shù)據(jù)中心的安全管理工作和數(shù)據(jù)中心的發(fā)展意義重大。金融機(jī)構(gòu)在制度建設(shè)過程中，除了根據(jù)國家的各種標(biāo)準(zhǔn)和行業(yè)規(guī)范，而且應(yīng)盡力參考國際化、標(biāo)準(zhǔn)化的信息安全管理體系(如ISO 27001等)，建立數(shù)據(jù)中心的管理體系，明確信息安全工作的方針。

金融數(shù)據(jù)中心信息安全管理體系的構(gòu)建

信息安全工作是以信息科技部門為主導(dǎo)，全員參與的活動(dòng),通過信息安全管理體現(xiàn)的建立可以促進(jìn)企業(yè)所有部門對(duì)信息安全的共識(shí)。開展信息安全管理體系建設(shè)，可以做一些使信息安全管理體系的構(gòu)建更順利準(zhǔn)備工作，如建立垂直管理的信息安全管理機(jī)構(gòu)、設(shè)立網(wǎng)絡(luò)安全監(jiān)控中心、組建風(fēng)險(xiǎn)評(píng)估和監(jiān)控專業(yè)團(tuán)隊(duì)等。

參考國際標(biāo)準(zhǔn)，結(jié)合金融數(shù)據(jù)中心的信息安全管理需求與現(xiàn)狀，構(gòu)建管理體系的思路大致如下。

確定管理范圍

信息安全管理體系的范圍就是需要重點(diǎn)進(jìn)行管理的安全領(lǐng)域。在本階段，應(yīng)劃分不同的信息安全控制領(lǐng)域，便于對(duì)有不同安全需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼６x范圍，應(yīng)考慮環(huán)境、人員、信息系統(tǒng)、信息資產(chǎn)及它們之間相互關(guān)系等。 金融數(shù)據(jù)中心中我們主要關(guān)注物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全和管理安全，包括了線路、設(shè)備、機(jī)房、身份認(rèn)證、訪問控制、保密與完整性、入侵檢測(cè)手段、防病毒等諸多方面。一方面要解決系統(tǒng)本身的缺陷帶來的不安全因素，如身份認(rèn)證、系統(tǒng)漏洞等，另一方面要妥善管理系統(tǒng)的安全配置問題。部門間要?jiǎng)澐置鞔_的安全職責(zé)，嚴(yán)格落實(shí)安全管理制度。

管理體系應(yīng)涵蓋安全管理、技術(shù)平臺(tái)等多個(gè)層面，安全管理應(yīng)統(tǒng)一管理其他各層面，安全問題首先是管理問題和人的問題，其次才是技術(shù)問題。

信息安全的調(diào)研與風(fēng)險(xiǎn)評(píng)估

依據(jù)信息安全技術(shù)與管理的標(biāo)準(zhǔn)，應(yīng)對(duì)數(shù)據(jù)中心信息系統(tǒng)及數(shù)據(jù)的機(jī)密性、完整性和可用性等安全屬性進(jìn)行調(diào)研，評(píng)估信息資產(chǎn)價(jià)值，結(jié)合信息資產(chǎn)面臨的威脅和安全事件發(fā)生的概率來判斷風(fēng)險(xiǎn)造成的影響。

一些常見的安全管理問題由于其影響較大往往被列為高風(fēng)險(xiǎn)等級(jí)。如：信息安全管理規(guī)定中未明確定義信息安全策略;所有雇員、外部人員對(duì)信息和信息處理設(shè)施的訪問權(quán)未在任用協(xié)議變化時(shí)調(diào)整;口令管理不嚴(yán)格的情況，不能確保優(yōu)質(zhì)的口令，常使用一些簡(jiǎn)單密碼;未采取有效措施限制訪問程序源代碼;未保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞;記錄日志的設(shè)施和日志信息未加以保護(hù)，以防止篡改和未授權(quán)的訪問;系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)記錄不完全，未對(duì)其進(jìn)行保護(hù)和定期審計(jì)。信息安全風(fēng)險(xiǎn)評(píng)估可以判斷當(dāng)前的信息安全狀況，幫助我們選取適當(dāng)?shù)墓芾矸椒帮L(fēng)險(xiǎn)防范控制措施。

建立管理體系框架、編寫管理制度

建立信息安全管理體系要規(guī)劃一個(gè)合理的管理框架，從全局的視角進(jìn)行整體安全建設(shè)規(guī)劃，根據(jù)業(yè)務(wù)性質(zhì)、信息資產(chǎn)狀況等，建立數(shù)據(jù)中心信息資產(chǎn)清單，然后通過風(fēng)險(xiǎn)分析、安全需求分析，選擇安全控制措施，從而建立安全管理體系。

一般遵從如下步驟構(gòu)建信息安全管理體系框架：首先要確定總體的安全方針，制定具體的安全策略。然后根據(jù)系統(tǒng)的資產(chǎn)價(jià)值和影響等確定信息安全管理體系的管理范圍。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全的需求，選擇控制風(fēng)險(xiǎn)的目標(biāo)與控制方式，通過降低、避免和轉(zhuǎn)移的方法來控制風(fēng)險(xiǎn)。

信息安全管理體系制度文件與數(shù)據(jù)中心的環(huán)境結(jié)合緊密，制度的執(zhí)行過程中,信息安全管理水平不斷地提高、保障了業(yè)務(wù)的連續(xù)性。建立規(guī)范的制度文件對(duì)信息安全管理有重要的作用。編寫信息安全管理體系制度文件是建立信息安全管理體系的基礎(chǔ)工作，也是數(shù)據(jù)中心實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)管理體系、實(shí)現(xiàn)自我改進(jìn)的依據(jù)。在制度文件中應(yīng)包含安全方針、風(fēng)險(xiǎn)評(píng)估、實(shí)施與控制等方面。信息安全體系文件按控制級(jí)別可以分為四級(jí),一級(jí)為信息安全方針、策略，二級(jí)為制度性文件，三級(jí)為具體規(guī)范、操作程序，四級(jí)為各類操作記錄、表單等。

管理體系的改進(jìn)

信息安全管理體系文件編制完成以后，進(jìn)入正式運(yùn)行階段。在此期間，應(yīng)通過各種監(jiān)督、審計(jì)手段確保體系制度能夠落實(shí)到位。在各種制度執(zhí)行和實(shí)踐的過程中，根據(jù)數(shù)據(jù)中心自身的特點(diǎn)，逐步修訂各級(jí)管理制度，使標(biāo)準(zhǔn)化的制度能夠更加適應(yīng)金融數(shù)據(jù)中心的特點(diǎn)和安全控制要求。依照管理體系的要求，針對(duì)執(zhí)行中、評(píng)估中發(fā)現(xiàn)的安全問題和威脅，要定期更新修訂管理體系的各項(xiàng)制度，這樣動(dòng)態(tài)的持續(xù)改進(jìn)以實(shí)現(xiàn)管理體系主動(dòng)的安全防范效果。

通過引入這種國際化、標(biāo)準(zhǔn)化的信息安全管理體系改變傳統(tǒng)的安全管理存在受領(lǐng)導(dǎo)層重視程度影響大、安全方針不明確、缺乏系統(tǒng)的管理思想、重技術(shù),輕管理等諸多弊端。為改善數(shù)據(jù)中心的信息安全管理現(xiàn)狀，制度要適時(shí)地進(jìn)行動(dòng)態(tài)地修改，以信息安全風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)和導(dǎo)向，避免了領(lǐng)導(dǎo)重視程度的因素和人為觀念，持續(xù)改進(jìn)管理制度，構(gòu)建符合數(shù)據(jù)中心現(xiàn)階段情況與未來發(fā)展的信息安全管理體系。

總結(jié)與預(yù)期

信息安全管理體系是一個(gè)系統(tǒng)化、程序化的管理體系，體系的建立基于全面和科學(xué)的風(fēng)險(xiǎn)評(píng)估，而不是領(lǐng)導(dǎo)或其他個(gè)人的意見，避免了主觀判斷，體現(xiàn)了客觀、預(yù)防為主的思想。該管理體系可以幫助數(shù)據(jù)中心在運(yùn)維方面符合國家有關(guān)信息安全的法律法規(guī)，同時(shí)重視全過程和動(dòng)態(tài)控制，本著控制防護(hù)成本與平衡安全風(fēng)險(xiǎn)的原則，合理地選擇控制方式保護(hù)金融關(guān)鍵信息數(shù)據(jù)資產(chǎn)，確保數(shù)據(jù)的保密性、完整性和可用性，從而保障金融業(yè)務(wù)的連續(xù)性。通過建立信息安全管理體系，可以使得數(shù)據(jù)中心在以下方面得到改進(jìn)：

通過信息安全管理體系明確了信息安全方針和策略。信息安全問題不是一個(gè)數(shù)據(jù)中心的問題，事關(guān)全公司乃至全行業(yè)，一定要堅(jiān)持高層領(lǐng)導(dǎo)負(fù)責(zé)制，全局統(tǒng)籌，給予信息安全管理工作最直接的支持。信息安全管理需要協(xié)調(diào)所有部門，通過對(duì)金融機(jī)構(gòu)的高級(jí)管理層及全金融機(jī)構(gòu)的人員進(jìn)行信息安全培訓(xùn)，強(qiáng)化對(duì)信息安全管理目標(biāo)的共識(shí)。突破傳統(tǒng)信息技術(shù)為輔的觀念，金融領(lǐng)域的信息技術(shù)即金融業(yè)務(wù)，技術(shù)服務(wù)及金融服務(wù)。該體系的信息安全策略要求在業(yè)務(wù)系統(tǒng)的開發(fā)和建設(shè)的同時(shí)，注重業(yè)務(wù)系統(tǒng)建設(shè)中的網(wǎng)絡(luò)安全問題，對(duì)金融領(lǐng)域系統(tǒng)的安全問題進(jìn)行產(chǎn)品全生命周期的管理。這種管理體系為數(shù)據(jù)中心乃至全公司明確了的信息安全方針和策略，信息安全管理工作有了指導(dǎo)依據(jù)，為金融業(yè)務(wù)持續(xù)、健康發(fā)展提供基礎(chǔ)保障。

信息安全管理體系樹立了系統(tǒng)的信息安全管理思想。使得金融數(shù)據(jù)中心的安全管理模式突破傳統(tǒng)靜態(tài)管理的局限，通過全面、系統(tǒng)、周期性的信息安全評(píng)估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，采取恰當(dāng)?shù)姆婪洞胧掷m(xù)不斷的改進(jìn)信息安全現(xiàn)狀。管理體系促成了全公司人員對(duì)信息安全方針的共識(shí)，信息安全規(guī)章制度的落實(shí)將會(huì)更加順利。信息安全管理體系可以幫助數(shù)據(jù)中心實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的全面管控，管理體系各項(xiàng)制度標(biāo)準(zhǔn)的持續(xù)改進(jìn)，進(jìn)行主動(dòng)性的積極防御，持續(xù)地改善數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)水平，改變以往信息安全管理被動(dòng)的局面。

信息安全管理體系強(qiáng)調(diào)數(shù)據(jù)中心信息安全不應(yīng)僅從技術(shù)方面防護(hù)，更應(yīng)落實(shí)信息安全管理體系的建設(shè)，全方位加強(qiáng)規(guī)范化管理。管理體系要求保證人員管理流程的各個(gè)方面，如審查、保密協(xié)議和人員權(quán)限等各個(gè)方面，同時(shí)對(duì)金融數(shù)據(jù)中心口令管理策略、操作審計(jì)工作等工作有明確的規(guī)范。通過對(duì)管理體系各項(xiàng)制度的落實(shí)執(zhí)行，可以促使數(shù)據(jù)中心在安全管理上更加全面化。

因此，逐漸完善相關(guān)的管理體系，以及做到妥善處理好兩者的關(guān)系有助于社會(huì)的發(fā)展。真正做到管理到位、簡(jiǎn)潔、便民不容易。它需要我們國民共同努力和維持。想要了解更多網(wǎng)絡(luò)信息安全與金融信息安全的交互的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。