文 / 邯鄲銀行信息科技部? 韓文科

城商行經過近幾年的快速發展，資產規模連續增長，資產質量不斷提高，盈利能力不斷提升，在綜合實力增強的背后，信息科技投入持續增加，基礎設施日趨完善，信息系統建設同比增長。同時，城商行信息科技管理工作也面臨著來自內、外部雙重的挑戰。一是內部存在著對科技期望高，信息技術人才和建設費用少，規劃、自主研發、測試能力弱的“一高、兩少、三弱”的局面;二是外部存在著信息網絡安全形勢嚴峻，監管要求不斷提高，新技術快速應用和發展。如何應對這些挑戰，是當前城商行信息科技管理工作需要認真思考的現實問題。

建設思路

受限于城商行資金及人員限制，利用有限的資源，通過整合相關標準，扎實開展風險評估，提升關鍵領域能力，持續改進和優化，建設一套行之有效的管理體系，提高信息安全管控水平，以適應信息科技不斷發展和變革的需要。

1.整合標準

針對國際、國內信息安全管理發展趨勢，結合監管要求，整合信息安全管理體系建設框架。目前，國際和國內信息安全標準主要包括ISO27001、信息安全等級保護、ISO20000/ITIL，ISO22301等體系，考慮到城商行缺少完整的標準體系指導具體工作實際情況，以ISO27001為基礎，將標準進行整合，統一按照PDCA流程進行實施，基于保障信息資產的可用性，完整性、保密性的要求，完善管理制度、規范處理流程，建設標準化、可量化的管理體系，并具備持續改進能力，構建切實可行的信息安全管理體系。

2.風險評估

信息安全風險評估工作，是度量當前信息安全短板的必要手段，也是建設信息安全管理體系的基礎。通過差距分析，了解優勢和不足，明確信息安全管理體系建設的工作方向和重點，為完善信息安全管理體系文件以及相應的技術控制措施提供輸入。

(1)資產分析法。傳統以信息資產為核心的風險分析方法具有通用性，強調信息資產的風險屬性。按照資產列表、脆弱性及威脅列表，對每項資產面臨的風險進行分析，確定與資產、威脅和脆弱性相關聯的具體風險，根據資產重要性、脆弱性嚴重程度和威脅嚴重程度，進行風險計算，確定風險值。經過“定性”到“定量”的過程，使信息風險按等級進行量化表示，有助于風險偏好的設定和處置。

(2)基線評估法。基于信息安全基線的風險評估方法主要圍繞信息系統規劃、建設、使用過程中的風險進行分析，特別強調標準化和最低控制策略。根據信息系統生命周期的不同階段，通過建立安全基線檢查列表，對相關安全要求標準化、制度化，對應用層和基礎設施層評估，能夠降低對人員的能力要求，更適用于城商行風險評估過程。

信息系統建設過程中每個階段都可能存在信息安全隱患，根據不同階段，采用資產分析法和基線分析法相結合，更有利于信息風險的全面掌控。

3.提升能力

針對城商行信息科技力量相對薄弱、資金投入相對較少的特點，以滿足合規性要求為基礎，加強在信息安全重點控制領域的能力提升。

(1)加強日常運維流程管理。對信息系統運行過程中的關鍵流程進行標準化，包括事件管理、問題管理、變更管理、容量管理等流程。通過統一的運維管理及監控平臺提供工具支撐，實現對日常信息系統運行過程中的安全事件快速響應，提升信息科技服務質量，保障系統可用性的目標。

(2)建立外包服務評價系統。根據城商行信息系統建設項目大量外包的現狀，建立外包服務商績效綜合評估系統。在整體評價中對各單項進行單獨風險評價，覆蓋外包商的準入、實施、事后評價等項目外包的全生命周期范圍。選擇優質的外包服務提供商，以確保信息系統工程質量，降低信息系統的運行風險。

(3)完善業務連續性保障體系。通過管理、應急、支撐三個層面的建設，提升對災難事件的應急處置能力，完善生產中心、同城災備中心、異地災備中心的容災保障體系。城商行應依據監管要求，針對重要的業務系統，制定相應的業務恢復目標、業務連續性計劃，并切實執行演練，驗證業務連續性資源的可用性，驗證應急預案的可操作性、有效性和完整性，實現對災難事件的應急響應，保障信息系統的業務連續性。

(4)筑牢信息科技三道防線。筑牢信息科技三道防線是城商行信息安全風險管理的重要保障。一是強化信息科技部門對信息科技風險的識別、監控、實施管控的職責;二是提升風險管理部門制定信息科技風險管理策略、計量標準，進行風險提示，開展評估，監控重大風險，督促糾正的管控能力;三是深化審計部門對信息科技風險管控情況審計，實現對一、二道防線的獨立鑒證和評價作用。

4.優化改進

信息安全管理是一個不斷完善、持續改進的過程，結合業務發展，明確改進目標，不斷優化提升，樹立一個良好的指標體系。一是意識能力提升，人員的安全意識、安全保障能力等方面，需要加快成長過程;二是加強投入，作為城商行，信息安全方面的投入是一個逐步的過程，需要抓住重點，逐步實施;三是完善信息安全風險評估方法，為信息安全風險評估提供更方便、準確的評估手段;四是針對外包商管理績效評估體系，需要進一步實施落地，完善績效評估指標以及權重設置，降低外包風險。

建設實踐

邯鄲銀行根據自身的特點，提出了“全面規劃、預防為先、基線達標、突出重點、分步實施”的信息安全管理體系實施方針，實現了信息安全有序發展目標，經過充分運行，通過審核，獲得了“信息安全管理體系認證證書”。

1.實現建設目標

以戰略為指導，以管理為基礎，以技術為保障，以工具為手段，采取分級防護、集中管控、持續改進的措施，邯鄲銀行實現了信息安全的“可管、可控、可信”有序發展目標。

(1)可管階段。在“可管”階段，以國際信息安全領域的管理體系標準ISO27001為基礎，充分考慮信息安全的合規性要求，包括信息安全等級保護、以及監管部門發布的相關標準指引，同時結合ISO20000/ITIL、ISO22301等國際標準，從組織、體系文件、流程、人員等方面進行標準體系整合，對信息安全管理體系進行優化，建立信息安全基線，滿足合規性要求。

(2)可控階段。在“可控階段”，實現信息安全管理體系流程基本績效測量，評估流程實施的效果，同時將信息安全管理體系的管理部分固化到日常信息安全管理當中，通過工具支撐，組織全行人員充分理解信息安全管理體系架構及使用。

(3)可信階段。在“可信階段”，隨著規模的擴大和能力的提升，信息安全各領域的管理能力和安全保護措施都已全面完整，流程達到體系建設標準，根據標準的流程進行裁剪以適應不同部門的需要，信息安全管理流程推廣到全行所有部門以及各分支行，達到信息安全管理體系貫徹的效果。

2.獲得認證證書

在2011年取得信息安全管理體系認證證書的基礎上，邯鄲銀行于2019年12月，順利通過中國網絡安全審查技術與認證中心審核，再次獲得認證證書。本次認證是根據新版信息安全管理體系(ISO/IEC27001-2013)國際標準和監管要求，開展了資產識別、風險評估、風險處理、風險控制、持續監控和評審以及信息安全管理體系運行等一系列工作，建立了一套符合最新國際標準和監管要求的信息安全管理體系，全方位涵蓋了安全方針、信息安全組織、人力資源安全等14個領域，極大提升全行信息科技的安全管理和風險防范水平，為業務快速發展提供強有力的信息安全保障。

未來探索

目前信息安全方面的標準、定義、要求眾多，涵蓋了信息安全的各個方面，建議城商行信息科技安全管理工作從多體系融合和流程成熟度模型方向深入探索。

1.多體系融合探索

信息安全相關標準存在很多的共性內容，存在較多的重復工作，甚至出現不一致的內容，組織架構、管理流程、人員、相關工具支撐方面都各自為政，加大了標準的實施難度，多體系融合能夠避免重復工作以及內容沖突。邯鄲銀行在實施標準整合的基礎上，正在積極探索ISO27001和ISO20000/ITIL的深度融合，通過“制度+服務”的理念，進一步提高管理能力，提升服務質量。

2.成熟度模型研究

目前以信息安全治理框架為基礎的信息安全管理流程，有一定的廣泛性，但其理論性強，具體到城商行實踐方面不一定具備通用性。通過管理流程與成熟度模型相結合的思路，研究信息安全管理流程的成熟度模型，城商行可以根據自身的風險偏好和策略，選擇需要達到的信息安全管理流程成熟度水平;對信息安全有效性的度量指標內容進行深入研究,評估相關控制措施是否達到了預期目標，對城商行信息安全管理體系建設更具備指導意義。

信息安全總是相對安全，隨著技術與業務的高度融合，大數據、智能化、移動互聯網等電子化替代手段進一步提高，新的信息科技風險總是不斷出現。城商行應立足自身實際，建設適用的信息安全管理體系，保障信息系統安全、高效、穩定運行。

(欄目編輯 ：韓維蜜)

來源：金融電子化