《金融服务 信息安全指南》标准解读
金融行业信息系统灾备监管要求解读
金融行业相关监管要求/标准解读
行业
主要标准及政策
2006年:《关于进一步加强银行金融机构信息安全保障工作的指导意 见》
2008年:《银行业信息系统灾难恢复管理规范》
2011年:《商业银行业务连续性监管指引》
银行
2012 年 : 《 金 融 行 业 信 息 系 统 信 息 安 全 等 级 保 护 实 施 指 引 》 《金融行业信息系统信息安全等级保护测评指南》 《金融行业信息安全等级保护测评服务安全指引》
银保监会
/
主要职责
(五)对银行业和保险业机构的公司治理、风险管理、内部控制、资本充足状况、偿付能力、经营行为和信息披露等实施监管。 (八)建立银行业和保险业风险监控、评价和预警体系,跟踪分析、监测、预测银行业和保险业运行状况。
证监会
/
金融行业标准要求
/
序号
标准号
是否采标
标准名称
1 GB/T 27910-2011 采
金融服务 信息安全指南
2 GB/T 30146-2013 采
公共安全 业务连续性管理体系 要求
3 GB/T 31595-2015 采
公共安全 业务连续性管理体系 指南
4 GB/T 35625-2017 采
RTO<24小时,RPO<120分钟
第三类 —— 短时间中断将影响单位非关键业务功能并造成一定经济损失的系统; —— 业务功能容许一段时间中断的系统。
RTO<7天
信息系统根据灾难恢复需求等级,最低应达到以下灾难恢复能力等级:
a) 第一类:5级; b)
灾难恢复能力等级 1 2 3 4 5 6
第二类:3级; c)
8 JR/T 0071-2012
网络安全(cybersecurity)国际标准进展与解读
标准咨询CHINA QUALITY AND STANDARDS REVIEW网络安全(cybersecurity)国际标准进展与解读谢宗晓 (中国金融认证中心)甄杰(重庆工商大学商务策划学院)董坤祥(山东财经大学管理科学与工程学院)标 准 解 读1 概述与概念ISO/IEC 27100于2018年10月立项,目前正在开发中,状态为工作组草案。
计划在2021年11月发布。
该标准提供了网络安全的概述,以及相关的术语和定义。
网络安全已成为一个重要话题。
虽然它看起来与信息安全相似,并且许多信息安全控制、方法和技术可以用于管理网络安全风险,但网络安全与信息安全还是存在诸多不同。
尤其之前存在的狭义的网络安全(network security),这与网络安全术语的使用方式不一致[1,2]。
需要一个标准来定义网络安全,建立其情境,并描述相关概念,包括网络安全与信息安全的关系和区别。
需要注意的是,在目前可以获取的版本中,对于网络空间(cyberspace)的定义并没有强调其虚拟性,而是强调基础设施,其中认为:网络空间是一个全球互联的空间,包括互联网和其他网络、数字设备、系统、服务和流程,为个人、企业和政府的广泛活动和互动提供了全球性的基础设施。
当然,注:WD——Work Draft,工作组草案;DIS——Draft International Standard,国际标准草案;TR——Technical Report,技术报告;TS——Technical Specification,技术规范。
网络安全(cybersecurity)已经成为ISO/IEC JTC 1/SC27(信息安全、网络安全与隐私保护分技术委员会)的重要方向之一,在最新公布的SD11中1),信息安全管理体系工作组(WG1)会承担相应的工作。
截至2019年5月,开发中的或发布的相关标准共有4项,如表1所示。
编号状态标题ISO/IEC 27100WD TS 信息技术 安全技术 网络安全 概述与概念2)(Information technology—Security techniques—Cybersecurity—Overview and concepts) ISO/IEC 27101WD TS 信息技术 安全技术 网络安全 框架开发指南(Information technology—Security techniques—Cybersecurity—Framework development guidelines)ISO/IEC 27102DIS 信息技术 安全技术 网络保险 信息安全管理指南3)(Information technology—Security techniques—Information security management guidelines for cyber insurance)ISO/IEC 2710TR信息技术 安全技术 ISO与IEC关于网络安全的标准(Information technology—Security techniques—Cybersecurity and ISO and IEC Standards)表1 网络安全相关国际标准1) SC27 SD11 Overview of Work of SC27, (SC 27工作概述)原文在,https://www.din.de/en/meta/jtc1sc27。
征信业管理条例解读业务规则与监管3.1
第十七条 信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。 知情权。 企业没有免费查询的权利。 两次以外的收费: 社会征信机构,自行确定 金融信用信息基础数据库 ,发改委确定
《条例》第18条
第十八条 向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。 征信机构不得违反前款规定提供个人信息。 知情权。 信息主体本人书面授权。 一个查询主体对应一份授权书,不能再一份授权书中让多个独立的主体获得查询授权。 约定用途:主营业务;主合同目的;控制风险;不能用兜底条款。 约定使用期限。 征信机构有审查义务。
《条例》第15条
第十五条 信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规公开的不良信息除外。 知情权。 提前告知的作用:异议权;更正权;督促履约;提高数据质量。
《条例》第15条
第十五条 信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规公开的不良信息除外。 事先:不良信息产生后,报送到征信机构前。 按项告知:发生一项,告知一项。 告知的方式:信函、短信、 、邮件等。 不要求“告知到”,要留下履职记录。 在授权书中约定:“客户发生不良信息以后,商业银行有权报送到征信机构”,不能免除告知义务。 事先告知与报数规则之间的冲突。
《条例》第23条
第二十三条 征信机构应当采取合理措施,保障其提供信息的准确性。 征信机构提供的信息供信息使用者参考。 保障信息准确性的义务。 信息产品仅供参考。 不要把拒贷的原因都推给信用报告。
《条例》第24条
第二十四条 征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。 征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。 信息跨境流动。 向境外提供信息要审慎。
金融数据安全解决方案
2021年4月
01
规范解读
02
数据安全治理实施介绍
03
业界数据安全最佳实践
目录
04
公司信息简介
遵循数据安全原则, 以数据安全分级为基础, 建立覆盖数据生命周期全过程的安全防护体系, 并通过建立健全数据安全组织架构和明确信息系统运维环节中的数据安全需求, 全面加强金融业机构数据安全保护能力。
b) 应部署以数据为中心的数据流量分析系统,识别并分析高安全等级数据流动情况,包括流动类型、流动范围、数据载体、日均量级、数据账号访问情况、数据流向等信息,并对异常流量、行为等进行告警。
c) 应对比分析流量中数据流动异常情况如不安全的采集设备与采集内容、非授权时段访问高安全等级数据、未授权访问、频繁访问、超量数据传输、多次尝试、批量下载等,及时发现风险问题并进行处置。
技术控制策略
运用技术手段对数据资产进行安全监控。如建立数据传输、处理、存储过程中的数据加密技术; 建立有效的用户身份认证和访问控制的流程; 定期审查或实时监控系统和数据访问日志机制等。
生命周期安全管理基本要求
根据管理和技术安全控制策略, 对数据资产在其生命周期各个阶段的运转流程, 提出基本的安全管理要求。
金融数据安全管理制度体系
建立管理框架, 优化管控流程, 落实管控策略
数据访问基本权限
数据安全管理办法
数据安全职责矩阵
数据安全控制基线
业务数据使用规则
生产数据提取要求
划分权限厘清职责
确定控制领域制定控制手段和周期
高阶策略生命周期安全管理
制定职责事项确定职责边界
梳理提数渠道确定使用安全要求
优化审批流程确定提取过程安全规则
企业级数据安全管控标准尚未建立或不完善数据安全治理目标、管控领域
《PBOC3.0标准解读》须知
增补(4)
第14 非接 触式 IC卡 小额 支付 扩展 应用 规范 部分: 电子 现金 双币 支付 应用 规范
第2 部分: 第9 电子 钱包 /电 子存 折应 用规 范 电子 钱包 扩展 应用 指南
部分: 部分: 第15
第17 第16 部分: 部分: 借记 IC卡 互联 网终 端规 范 /贷 记应 用安 全增 强规 范
原版 13部分
第14部 分:非接 小额扩 展应用 规范
第15部 分:电子 现金双 币应用 规范
新增规范,解决我国持 卡人在港澳地区使用金 融IC卡进行支付的问题
第16部 分: IC 卡互联 网终端 规范
第17部 分:借贷 记安全 增强规 范
新增规范,更好的满足金融 IC卡在高铁、公交、地铁等 公共服务领域的应用
标准借贷记(含小额支付)交易流程串讲
应用选择
卡片初始化应用 读必要的数据
应用初始化 读应用记录
目录选择和直接 AID选择 持卡人选择和持卡 人确认
检查交易是否 被允许 终端通过若干 项风险检查确 认交易是否需 要联机处理
脱机数据认证 处理限制 持卡人认证 终端风险管理
脱机数据认证包括 三种认证方法: SDA DDA CDA 终端选择双方均支 持的持卡人认证方 法进行持卡人身份 验证: 签名 脱机PIN 联机PIN
5 | Presentation Title | Client Name | XX Month Year
PBOC3.0规范
编制背景
6 | Presentation Title | Client Name | XX Month Year
PBOC3.0规范
组成部分
共17部分
废止(3)
第1 部分: 电子 钱包 /电 子存 折应 用卡 片规 范 第3 部分: 与应 用无 关的 IC卡 与终 端接 口规 范 第4 部分: 借记 /贷 记应 用规 范 第5 借记 /贷 记应 用卡 片规 范
iso9001_2015版本标准解读
2、组织环境、风险、相 关方(组织环境、风险在 2008版中也有)
14
FDIS标准核心内容解析(对照2008版)
FDIS标准内容
本国际标准中的所有要求均是通用的,但应用这些要求 的方式可以根据组织的不同而异。因此,统一不同的质量管 理体系的结构,或统一文件使其与本国际标准的条款结构保 持一致,再或是限制组织使用特定术语并不是本国际标准的 目的。
5
标准现状-展望
•
ISO9001:2015
• •
ISO/TC 176/SC 2 的愿景是希望以ISO9001 和 ISO 9004 为主的各项标准能 在“世界范围内被认识和关注,希望这些标准能成为组织主动实现持 续发展的组成部分”。 ISO 9001 标准在过去、现在、甚至将来都会是组织实施任意一个管理体 系的切入点,也是实施第三方认证的驱动力。 展望质量标准的发展,可以确定质量管理活动已经不仅仅是通过ISO 9001的认证,而是能切实帮助组织获得长期成功的工具。从广义上讲 ,这意味着推进质量不只是组织寻求对一系列要求的符合性,而是作 为组织使用ISO 9004 或其他ISO 管理体系标准的一个桥梁。
ISO9001:Βιβλιοθήκη 015对比点评19
FDIS标准核心内容解析(对照2008版)
FDIS标准内容 对比点评
模型图不一样了
ISO9001:2015
图1:基于过程的质量管理体系模型,体现与本标准条款之间的联系
20
FDIS标准核心内容解析(对照2008版)
FDIS标准内容
0.4 “计划-实施-检查-处置”循环
ISO9001:2015
•
因此,ISO9001变化应
1.与质量管理体系要求和上述战略意图有关 2.增加对组织提供合格产品和服务的能力的 信任 3.加强组织满足顾客的能力 4.加强顾客对基于ISO9001的质量管理体系的 信任
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
业务连续性管理体系(bcms)相关标准介绍
标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系(BCMS)相关标准介绍张旭刚(中国金融认证中心)韩少伟(内蒙古自治区公安厅)谢宗晓(中国金融认证中心)标 准 解 读1 概述随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视,尤其是银行业,一旦发生核心业务中断,且在规定时间内1)未完成恢复,不仅会给银行的声誉和利益带来严重影响和损失,而且会影响社会稳定。
鉴于此,2011年12月,银保监会2)发布了《商业银行业务连续性监管指引》(银监发〔2011〕104号),正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
其中第三十三条规定,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。
进一步又明确了重要系统的业务连续性在我国的法律地位。
通常容易将业务连续性管理(BCM)与灾难恢复(Disaster Recovery,DR)混淆。
在ISO 22301:2012《公共安全 业务持续性管理体系 要求》中,业务连续性管理(BCM)定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
”所以,严格地说,灾难恢复是恢复数据的能力,解决信息系统灾难恢复的问题。
而业务连续性强调的是组织业务不间断的能力,范围更大。
《指南》解读之四:准确把握“十三五”我国信息产业发展的主要目标
《信息产业发展指南》解读之四:准确把握“十三五”我国信息产业发展的主要目标《信息产业发展指南》发展目标是引导和促进规划实施的重要手段,是推动规划努力落实的重要方向。
为明确“十三五”期间我国信息产业发展的主要任务和重点领域,《信息产业发展指南》全面总结“十二五”发展成效和问题,准确认识“十三五”发展面临形势,深刻理解“十三五”发展总体要求,提出了“十三五”期间的若干发展目标,以加快建立具有国际竞争力、安全可控的信息产业生态体系,进一步提升我国信息产业的全球价值链地位。
一、目标设定的总体考虑《信息产业发展指南》目标的设定,综合考虑了以下几方面因素:第一,能够体现网络强国和制造强国战略要求。
信息产业既是网络强国实施主体,又是制造强国支撑主体。
目标的设定,要能够体现网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的网络强国战略要求,同时体现信息技术支撑制造业高端化、智能化、绿色化、服务化发展的制造强国战略要求。
第二,紧扣《国民经济和社会发展第十三个五年规划纲要》的总体安排。
国家“十三”五规划《纲要》是面向信息产业在内的全国经济、社会发展的总体指导性文件。
目标的设定,要根据《纲要》在经济发展、创新驱动、民生福祉和资源环境方面的目标要求,结合信息产业特点进行细化。
第三,指标数据具有可量化和可比较性。
指标的设定,借鉴参考了国外的评价指标,考虑了历史数据的可获得和可量化性,形成了包括信息产业收入规模、世界500强企业情况、R&D投入、专利、能耗等指标在内的指标体系,能够实现与历史数据和国外数据的对比。
第四,体现系统性和全面性相结合。
指标的设立要能够满足系统评价信息产业发展水平的需要,同时还要体现信息产业当前发展情况、国际竞争力、发展潜力等各方面的综合实力,体现系统性和全面性的良好结合。
综合考虑上述因素,《信息产业发展指南》设定了技术创新、产业规模、产业结构、服务水平、绿色发展5大类目标,共13项量化指标。
数据安全风险与治理的实践指南解读
数据安全风险与治理的实践指南解读摘要:随着数字经济时代来临,中国高度重视数据安全和个人信息保护、数字隐私,在已有《网络安全法》基础上,今年制定了《数据安全法》《个人信息保护法》并加紧出台。
此外,还要求及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度,抓紧补齐短板,以良法善治保障新业态新模式健康发展。
本文就数据安全风险与治理的实践的重点内容进行相关阐述。
关键词:数据安全风险;治理;指南解读《网络安全法》、《数据安全法》、《个人信息保护法》等一系列规范和促进数字经济发展而制定的法律法规以及政策,构成了中国数字规则体系,主要是满足数字经济快速发展的需要,在数字经济时代必须有完善的法律法规才能促进数字经济健康发展。
数据已经成为“21世纪的石油”,作为一种新的生产要素,也是企业、社会和国家安全的重要战略资源。
这些数据在推动人工智能技术发展方面也具有巨大的战略价值,而中国则是全球生产数据最多的国家,必须加以保护并巩固优势。
一、数据安全治理研究现状数据安全问题由来已久,尤其在数据上升为新型生产要素后,面临的挑战越来越大。
一方面,各类数据泄露事件频发,为组织和企业的数据安全状况敲响警钟;另一方面,数据和隐私相关法律规范陆续颁布,监管力度不断加强,监管要求不断提升。
然而,当前的行业数据安全治理处于发展初期,与监管的要求存在较大差距。
(一)数据安全治理保障体系不完善数据安全治理能力建设涉及多个部门,沟通成本高,协同难度大,需要建立统一的数据安全治理组织框架,分层次切实履行数据安全管理职责。
然而,当前大多数企业缺乏相应的治理组织,难以对数据安全治理进行统一的战略规划和资源协调。
(二)数据安全治理技术体系不成熟数据应用技术的复杂性、数据海量汇聚的风险性、数据的深度挖掘及隐私保护等问题都对传统数据安全保障能力提出了新挑战。
如何解决多样化场景下面临的数据安全威胁和潜在风险,需要加强数据安全核心技术的创新研究与深化应用。
GBT36637—2018《信息安全技术ICT供应链安全风险管理指南》浅析
标准咨询CHINA QUALITY AND STANDARDS REVIEWGB/T 36637—2018《信息安全技术 ICT供应链安全风险管理指南》浅析谢宗晓(中国金融认证中心)甄杰(重庆工商大学商务策划学院)ISO/IEC 27001:2013与ISO/IEC 27001:2005相比较,一个显著的变化是,在附录A的安全域中加入了“A.15 Supplier relationships”(供应商关系)[1-2]。
基于此,后续在ISO/IEC 27000标准中发布了ISO/IEC 27036,该标准在下文中有介绍。
随着ICT(Information and Communication Technology,信息通信技术)的普及应用,加强其供应链安全可控保障的重要性是显而易见的。
因此,在国家标准中,GB/T 36637—2018在2018年10月10日公布,将在2019年5月1日正式实施。
1 ICT供应链的概念对于“ICT供应链”的概念,在GB/T 36637—2018中,不仅在3.4中给出了定义,而且在附录A 中还做了详细的介绍。
ICT供应链的具体定义如下:ICT产品和服务的供应链,是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将ICT的产品和服务提供给需方。
其中将ICT供应链定义为由多个上游与下游组织相互连接形成的“网链结构”,在这其中,通常包括需方和供方(供应商)两种基本的角色,需方和供方之间存在供应关系,供应关系是错综复杂的,一个组织对上游而言是需方,对下游而言是供方。
值得注意的是,在ISO/IEC 27036中,4个部分的通用标题命名为“供应商关系”,可能是因为ISO/IEC 27001:2013的A.15包括了2个条款,分别为:“A.15.1 Information security in supplier relationships”(供应商关系中的信息安全)和“A.15.2 Supplier service delivery management”(供应商服务交付管理),ISO/IEC 27036主要对应A.15.1。
银行及相关金融服务信息安全标准体系
汇报人: 日期:
目录
• 引言 • 银行及相关金融服务信息安全标准概述 • 银行及相关金融服务信息安全标准的核心内容 • 银行及相关金融服务信息安全标准的实施和应用
目录
• 银行及相关金融服务信息安全标准的挑战和机遇 • 银行及相关金融服务信息安全标准的案例分析
01
强调银行及相关金融服务机构应建立完善的信息安全风险管理制度,明确信息安全风险的分 类、评估、监测、报告和处置流程,确保其业务系统的安全性和稳定性。
04
银行及相关金融服务信息安全标 准的实施和应用
标准的实施步骤和方法
制定计划
根据目标,制定详细的实施计 划,包括时间表、任务分配和 预期成果。
引入工具
全性和稳定性。
强调银行及相关金融服务机构应建立完 善的信息安全事件应急预案,做好信息
安全事件的预防和应对工作。
信息安全风险评估和管理
规定银行及相关金融服务机构应定期进行信息安全风险评估,识别和分析其业务系统中存在 的潜在安全隐患和风险点。
要求银行及相关金融服务机构应采用科学的方法和技术手段,对识别出的信息安全风险进行 评估和测量,并提出相应的风险应对措施。
意义:通过推广标准体系,可降低金融行业信息安全风险, 维护国家经济安全和社会稳定。
02
银行及相关金融服务信息安全标 准概述
标准的定义和重要性
定义
银行及相关金融服务信息安全标准是指由权威机构或组织制定,用于指导银行 及相关金融服务机构信息安全实践的规范和准则。
重要性
随着银行及相关金融服务行业信息化的深入发展,信息安全问题日益突出。安 全标准体系对于保障银行业信息安全、防范金融风险、维护社会稳定具有重要 意义。
解读《个人金融信息保护技术规范》之信息分级管理
解读《个人金融信息保护技术规范》之信息分级管理詹昊、宋迎、韦飞2020年2月20日,全国金融标准化技术委员会公布了《个人金融信息保护技术规范》(JR/T 0171——2020)(以下简称“《规范》”)。
《规范》是中国人民银行发布的金融行业推荐性标准(并非强制性标准),是在《信息安全技术个人信息安全规范》(GB/T 35273——2017,以下简称“《个人信息安全规范》”)等国家标准基础上对个人金融信息的保护作出的细化规定,基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。
《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式,本文主要就此进行研讨。
一、个人金融信息的范围根据《规范》第4.1条,个人金融信息具体指以下信息:二、个人金融信息分级管理机制《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,即采用了分级管理机制:三、个人金融信息全生命周期中分级管理的特别规定《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度,对个人金融信息提出了具体合规性要求,其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。
四、《规范》与其他标准性文件信息分级管理的衔接数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。
实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。
目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外,没有进一步分级的细化要求。
2018年底金融标准化技术委员会公布的《支付信息保护技术规范》(送审稿)则采取了与本《规范》类似的信息分级机制。
《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别,具体指:•C4类别主要为于金融交易的用户鉴别与授权信息。
《商业银行信息科技风险管理指引》解读
《商业银行信息科技风险管理指引》解读在当今数字化时代,信息科技已经成为商业银行运营和风险管理的重要组成部分。
为了规范商业银行对信息科技风险的管理,我国银监会发布了《商业银行信息科技风险管理指引》,以指导商业银行科学有效地管理信息科技风险。
本文将对该指引进行解读,并结合个人观点和理解进行探讨。
一、指引的背景和意义1.1 指引的制定背景《商业银行信息科技风险管理指引》的制定背景源于信息科技在商业银行业务中的广泛应用和风险管理问题的日益突出。
随着金融科技的发展和创新,传统风险监管和管理手段已不能满足信息科技风险管理的需要,因此需要有一套系统的指引来规范商业银行的信息科技风险管理工作。
1.2 指引的意义和作用该指引的发布,对于规范和加强商业银行信息科技风险管理具有重要意义。
指引明确了商业银行信息科技风险管理的基本原则和要求,为商业银行提供了明确的管理标准和方法。
指引强调了信息科技风险管理的全面性和系统性,从技术、业务、管理等多个方面要求商业银行全面防范和控制信息科技风险。
指引的发布将推动商业银行提升信息科技风险管理水平,从而提高整个金融体系的稳定性和安全性。
二、指引内容解读2.1 风险管理框架《商业银行信息科技风险管理指引》从整体上构建了信息科技风险管理的框架,包括风险管理原则、组织架构、风险管理流程等内容。
指引要求商业银行建立健全的信息科技风险管理框架,确保风险管理工作有序进行。
2.2 风险识别和评估指引强调了风险识别和评估的重要性,要求商业银行对信息科技风险进行全面而系统的识别和评估,包括对技术风险、业务风险、市场风险等多方面的风险进行评估,以建立全面的风险防范机制。
2.3 风险防范和控制指引对风险防范和控制提出了明确要求,包括要求商业银行建立健全的内部控制体系、加强信息系统安全管理、加强外部风险防范等方面的要求,以确保信息科技风险得到有效控制。
2.4 风险监测和报告指引要求商业银行建立健全的风险监测和报告机制,及时发现和报告信息科技风险,同时强调了监管部门对信息科技风险监测和报告的重要性,以便监管部门能够及时介入并协助商业银行解决风险。
数据安全分级指南 解读
数据安全分级指南解读全文共四篇示例,供读者参考第一篇示例:数据安全一直是企业和个人日常生活中不可忽视的重要问题。
随着信息技术的飞速发展,数据安全问题也越来越受到关注。
为了更好地保护数据安全,许多国家和组织都提出了一些数据安全分级指南,其中比较著名的有我国《信息安全等级保护制度》以及美国NIST发布的数据保护框架。
本文将重点介绍我国《信息安全等级保护制度》的相关内容,并进行解读。
信息安全等级保护制度是我国政府依法建立的数据安全管理机制,旨在对不同级别的信息进行分类管理和保护,保障国家机密信息的安全。
根据《信息安全等级保护制度》,我国将信息安全等级划分为四个级别,分别是一级、二级、三级和四级。
一级信息是最高级别的国家秘密信息,包括领导机关工作文件、重要会议记录、重要指示文件等。
对一级信息的保护要求最为严格,必须采取最高级别的安全措施,确保信息的绝对安全。
二级信息是重要机构的经济、科技、文化等方面的机密信息,包括财务报表、技术研究报告、文化创作等。
对二级信息的保护要求也比较严格,需要采取有效的安全措施,确保信息的保密性和完整性。
四级信息是公开信息,包括一般的公告、新闻稿件等。
对四级信息的保护要求最低,只需遵守相关法律法规,确保信息不违反法律规定即可。
在实际应用中,企业和个人也可以根据自身情况制定类似的数据安全分级指南,合理划分和管理自己的信息资产,保护数据安全。
有一些关键的措施可以帮助企业和个人更好地保护数据安全,包括:1. 制定数据安全策略:根据自身情况和需求,制定数据安全策略,明确数据安全目标和措施。
2. 加强员工培训:定期对员工进行数据安全培训,提高员工的安全意识和技能。
3. 部署安全设备和软件:部署防火墙、入侵检测系统、数据加密等安全设备和软件,保护数据不受攻击。
4. 数据备份和恢复:定期备份重要数据,并建立完善的数据备份和恢复机制,以应对意外情况。
5. 定期漏洞扫描和修复:定期对系统进行漏洞扫描,并及时修复发现的漏洞,保障系统的安全性。
证信办-证券期货经营机构信息系统备份能力标准解读
该标准与其他金融行业标准如《银行业金融机构信息系统备份能力标准》等相互补充,共同推动金融行 业信息系统安全水平的提升。
03 证券期货经营机构信息系 统备份现状与挑战
备份现状及存在的问题
备份方式单一
目前大部分证券期货经营机构主 要依赖传统的磁带、硬盘等物理 备份方式,缺乏多样性。
01
分析该证券公司信息系统故障的原因、影响及应对措施,总结
经验教训。
某期货公司数据泄露案例
02
探讨该期货公司数据泄露的原因、后果及处置方式,强调数据
安全和隐私保护的重要性。
某证券经营机构业务连续性保障实践
03
分享该证券经营机构在业务连续性保障方面的实践经验,包括
业务影响分析、应急预案制定和实施等。
05 证券期货经营机构如何提 升信息系统备份能力
对备份恢复流程进行持续优化,减少恢复时 间和提高恢组织备份恢复演练,检验备份数据的可 用性和恢复流程的可行性。
采用先进的数据恢复技术
采用如瞬时恢复、虚拟机恢复等先进技术, 提高数据恢复效率。
加强培训和意识提升
加强员工培训和意识提升
定期组织员工参加信息安全和备份恢复相关培训,提高员工的安 全意识和操作技能。
加强备份设施建设和运维管理
建设专业备份设施
建立专业的备份中心或灾备中心,配备高性能 的备份设备和专业的运维团队。
确保备份设施可用性
对备份设施进行定期巡检和维护,确保其稳定 性和可用性。
加强备份数据安全管理
采用加密、去重、压缩等技术手段,确保备份数据的安全性和完整性。
提升备份恢复效率和可靠性
优化备份恢复流程
与其他相关法规的关系
与《证券法》的关系
《金融领域信息系统国产密码改造基线要求》
金融领域信息系统国产密码改造基线要求随着金融科技的迅猛发展,金融领域信息系统的安全性问题日益凸显。
密码作为信息系统安全的基础,其安全性对整个金融体系具有重要意义。
为了进一步加强金融领域信息系统密码的安全性,我国金融监管部门提出了国产密码改造基线要求。
本文将对金融领域信息系统国产密码改造基线要求进行详细解读,以帮助金融机构全面了解和落实相关要求。
一、背景随着互联网金融的快速发展,金融行业信息系统的安全风险不断增加。
密码作为信息系统最基本的安全防护手段,其重要性不言而喻。
然而,由于我国金融领域信息系统的复杂性和多样性,导致密码管理存在诸多问题,如使用过于简单的密码、密码存储不安全等。
为了解决这些问题,金融监管部门出台了国产密码改造基线要求,旨在推动金融行业信息系统密码管理工作的规范化和标准化,提升整个金融体系的信息安全水平。
二、国产密码改造基线要求的主要内容1. 密码长度要求国产密码改造基线要求明确规定了密码的长度要求,要求金融机构的信息系统密码长度不得少于8位,且必须包含数字、字母和特殊字符等组成元素。
这一要求的提出,旨在防止金融信息系统密码过于简单,易受到黑客攻击。
2. 密码存储要求国产密码改造基线要求对密码的存储进行了明确规定,要求金融机构必须采用加密算法对密码进行加密存储,并确保存储的密码不可逆。
还要求金融机构加强对密码存储的访问控制,防止未授权的人员获取密码信息。
这一要求的提出,有利于提升金融信息系统密码存储的安全性,防止密码泄露。
3. 密码使用要求国产密码改造基线要求对密码的使用也进行了详细规定,要求金融机构加强对密码的合理使用,禁止使用简单重复的密码,推荐采用密码定期更换的方式,并建议采用多因素认证的方式提升密码的安全性。
还要求金融机构建立健全的密码使用管理制度,加强对密码使用过程中可能存在的安全风险的监控和防范。
4. 密码技术要求国产密码改造基线要求对密码技术进行了详细规定,要求金融机构采用符合国家密码算法标准的密码技术,并建议采用新型密码技术提升密码的安全性。
《金融服务-信息安全指南》标准解读
GB/T 27910—2011
金融服务 信息安全指南
Financial services--Information security guidelines
实施信息安全策略需要建立信息安全体系,信息安全体系的建
立、维护、改进和监控需要机构内多个专业部门的协同参与,
全员支持信息安全体系的建立和实施。
本标准最重要的建议是机构应建立一个信息安全管理体系。
在公司管理的最高层次上,体系应遵循机构建立的策略,形成 覆盖整个机构的建立和维护机制。
制定一个详细的信息安全过程和规程可能要求机构内不同业务 职能角色的合作,包括审计、风险、 符合性、保险、负责法律 法规符合性的官员以及合伙人和客户。
指南,对于面向金融业的培训机构和出版商,本标准也可作为原始 文档。
主流标准简介
国际标准:27000系列 国内标准:等级保护系列
27000系列标准
◦ ISO/IEC27001的前身为英国的BS7799标准
◦ 2005年,BS 7799-2:2002被ISO组织所采纳,推出ISO/IEC 27001:2005.
针对具体的信息系统提出从技术到管理 的安全要求
信息安全目标
信息安全体系确保信息资产的机密性、完整性、可 用性(真实性、可靠性、不可抵赖性等),达成这
些目标是一项跨专业部门 的工作。
本标准内容
公司信息安全策略 信息安全管理—信息
安全方案 信息安全机构 风险分析和评估 安全控制实施和选择
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO职责
◦ 理解安全架构、实践和规程; ◦ 制定本地实践,发布并在合适的时候更新实践;
◦ 从事风险评估;
◦ 监控和审计安全实践; ◦ 帮助IT系统从攻击中恢复; ◦ 给出改进实践和规程的建议; ◦ 跟踪最新的安全威胁、技术和方法
信息安全管理——信息安全方案
信 息 安 全 管 理 体 系
体系的建立 安全意识 审查 事故管理
监控 符合性 维护 灾难恢复
信息安全体系的建立
实施信息安全策略需要建立信息安全体系,信息安全体系的建 立、维护、改进和监控需要机构内多个专业部门的协同参与,
全员支持信息安全体系的建立和实施。
信息安全策略—文档层次
安全文档分为以下三个层次:
策略文档 ◦ 一般由上层管理者发布的安全要求。
策略 实践
实践文档
◦ 支持和分解一般安全原则,该原则提供清楚的方
法以达到安全策略要求。
规程文档 ◦ 在一定技术水平上的对实践的归纳,提供实施所 要求规程的指南。
规程
信息安全策略—策略文档特点
息安全实践和规程,他们应遵守公司信息安全策略。
当机构因经济或其他业务原因选 择外包银行业务时,风险
管理不可能外包,其责任仍属于机构。
信息安全角色—首席信息安全官(CISO)
首席信息安全官(CISO)负责设计、实施和管理信息安全体系,在信息安全方面对董事
和执行官负有最终责任的人。
CISO职责 ◦ 向执行官提出预算并说明信息安全方案的合理性; ◦ 设计符合业务战略的安全架构; ◦ 管理实施安全架构和履行信息安全职责的其他级别的人员;
机构最高层应关注信息安全对机构的 意义,以及信息安全的范围和程
度。
信息安全目标应在整个机构发布,每个雇员和承包商应知道他们的 角色、责任和他们对信息安全 的贡献,应赋予他们适当的权力去完 成这些目标。
机构结构—角色和责任
应适当划分责任并分配给相应角色。
机构结构—管理者、审计委员会、法律部门
控制措施,使其在过期后能得到重新评价和 变
更。
体系维护和符合性
体系维护
◦ 已制定的控制措施,如防火墙和病毒扫描软件应定期更新 以便有效防护新威胁。
符合性
◦ 应由独立的审查确保实践符合已建立的策略并且有充分和
有效的控制措施。
◦ 任何被许可免除的审查应及时文档化并限定时间以便可定
期重新评估。
灾难恢复
安全意识包括安全教育和安全意识培训。
确保所有雇员了解与他们和他们周围人的活动相使雇员知道他们的安全职责,应给 对安全方面有兴趣的雇员提供资源并鼓励他们扩充 知识(培训)。
信息安全审查
安全视角的准入(大到国家、行业、机 构、部门等) 已有安全体系的维护
本标准内容
公司信息安全策略 信息安全管理—信息 安全方案 信息安全机构 风险分析和评估 安全控制实施和选择
IT系统控制 实施特定控制措施 辅助项
信息安全策略—信息分类
按照信息资产价值、重要性进行信息分类 不同类别的信息实施不同要求的信息安全防护 策略
体现适度安全的理念
等级保护
安全技术 ◦ 物理、网络、主机、系统、应用、数 据等 安全管理 ◦ 制度、机构、人员、建设、运维 针对具体的信息系统提出从技术到管理 的安全要求
信息安全目标
信息安全体系确保信息资产的机密性、完整性、 可用性(真实性、可靠性、不可抵赖性等),达
成这些目标是一项跨专业部门 的工作。
问被资产所有者分类为“机密”的资产时仅应采用三因素” 鉴别。双因素 鉴别(基于生物特征识别和基于口令)的访问控制系统应遵守如下规则⋯⋯”
安全规程文档特点
衍生于一个或多个安全实践文档, 长度随规程的主题和复杂性而不同,具有可操作
性。
在三个层次的文档中范围最狭窄。 制定文档时应保证文档是完整的、准确的和恰当的,并且不能与其他实践或策略冲 突,并应对法规限制、外部生产标准和其他规程文档予以考虑。
◦ 完成使安全架构生效的风险评估并弥补需要关注的缺陷;
◦ 发布安全策略、实践和规程并管理一个安全意识方案; ◦ 保持对目前的威胁和脆弱性的了解,掌握解决它们的最新安全技术; ◦ 确保本机构被恰当地纳入该机构业务所开展的国家的重要基础设施保护的工作中。
信息安全角色—信息安全官(ISO)
信息安全官(ISO)是机构中按CISO指示,肩负制定、实施和维护信息安全体系职责。
信息安全审查
从安全的视角建立准入规则(大到国家、行业、机构、部门等) 应指派一个或更多的机构高级管理者承担对信息安全体系的责任,及时审 查和更新体系,同时当新的威胁 和技术出现时,确保必要的防护资金投入。 体系应包括建立履行信息安全体系所需要职责的详细过程和规程,以检查 和报告信息安全体系的合理性及符合性。 各个层次的管理者,包括执行层,可得到所有的监控和审查报告。应明确 对任何策略例外或偏差进行考虑的规程并形成文档。 还应有对产品必要的审计、符合性记录和监控安全审计日志信息的规程。 应引起特别关注的是:识别审计日志信息的风险、为减少这些风险制定的 要求,以及那些为确保信息安 全资产得到充分保护所规定的要求。
边界,有严格限制的读者对象,文档大小是变化的和依赖主题的,所以实
践文档是不公开的。
技术上中立,根据保护信息类别确定使用的技术方法。 实践文档的数量应保持最少。 示例: “对公司信息资产的访问应以与资产敏感性相对应的方式鉴别。双
因素鉴别(基于生物特征识别和 基于口令)是可接受的最低鉴别级别。在访
表明事关业务连续性的关键信息资产。
制定灾难恢复计划。
在制定计划时,应考虑掌握关键技能的员 工、法律协定、信息备份系统以及可用作 替代的支持关键业务活动的处理资源和场 所等方面
灾难恢复计划应定期检查和评估。
云 架 构 的 多 活 , 灾 备 将 逐 步 趋 向 安 全 生 产
信息安全机构
承诺 机构结构
规程文档应包括:先前的包含任何残余风险标识的安全风险分析和管理审查结果、 随后行动的结果 (诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动
监控和审查列表以及安全相关事故 的报告。
它们是策略如何实施的专业技术性描述。如 “使用‘pwadmin’命令确保用户口令 满足公司访问控制和鉴别实践文档中建立的标准。接下来的 命令是⋯⋯”
◦ 提高信息安全意识。
信息安全角色—安全操作者
安全操作者执行最详细的、重复活动以完成信息安全方案的目标。
安全操作者可能是 CISO的助手,也可能属于机构其他部门,应熟悉所在业务部门的硬件、软件和所 需的安全规程。典型的职责描述如下: ◦ 安装和维护网络设备的安全设置;安装操作系统安全补丁;维护和更新正确的访问控制文件;收 集安全 信息、审计信息、监控系统和网络活动发现安全问题。
安全操作者负责 ◦ 理解如何支持安全架构和方案. ◦ 实施和维护安全实践和规程. ◦ 监督安全规程并在合适的时候报告它们的状态. ◦ 纠正安全错误和对抗攻击 ◦ .在一个错误或攻击后重建与业务恢复有关的适当的安全规程 ◦ 对改进实践和规程提出建议。
◦ 业务经理应创造积极的氛围鼓励雇员、供货商和承包商报告信息安全相关问
题。
雇员 ◦ 安全体系的要求应包含在雇员雇佣合同中。
◦ 所有员工都应知道自身活动和周边活动的安全含义, 以便他们能够主动报告 任何可疑的信息安全事件。
机构结构—外围
应在供货商服务协议和承包商协议中包含安全方案要求。
供货商和承包商应理解、支持、遵守机构 和业务部门的信
管理者 ◦ 管理者应传达信息安全是机构的重要目标的观念,并支持信息安全体系。
审计委员会 ◦ 金融机构审计委员会在监管中协助董事会,作为一个独立的部门负责目标检查、 平衡内部控制和财 务报告。 ◦ 信息安全体系中的监督和检查是审计委员会的一部分职责,通常通过机构内部
审计部门或外 部审计师进行。
法律部门 ◦ 法律部门应参与信息安全管理体系的实施,出率有关法律事务:如审查涉及雇员、 客户、服务提供商、承包商和供货商的合同,涉及法律的取证等,
GB/T 27910—2011
金融服务 信息安全指南
Financial services--Information security guidelines
金融信息化研究所
2018-3
赵义斌
主要内容
前言 主流标准 信息安全体系目标 本标准内容
前言
本标准是2008年全国金融标准化技术委员会的7项金融国际标准
信息安全策略应成为机构管理体系的有机组成部分。
内容简明扼要、明确保护的信息资产、通用范式。
全机构范围发布、对信息资产的全覆盖等。
由上层管理者发布的安全要求,例如首席执行官(CEO)和首席信息官(CIO) 签署、授权,才能生效。
公开发布
内容是稳定的
广泛的代表性
安全实践文档特点
衍生于策略文档,满足实践需求,比策略文档更具有可变性。 范围上比策略文档狭窄,适用于具体的业务、部门,有明确的使用范围和
角色和责任 管理者 审计委员会 风险管理委员会 法律部门 执行官
业务经理 雇员 外围 安全角色
首席信息安全官官 (CISO) 信息安全官(ISO) 安全操作者
承诺(声明)