新形勢下金融科技信息安全管理體系分析

高杰豪

摘? 要：隨著信息革命的快速發展，人們的生活方式發生了翻天覆地的變化。金融科技在服務社會的同時，也帶來了潛在的風險。 國內外信息安全事件屢見不鮮，千億級網絡黑產對金融安全構成嚴重威脅，金融業網絡安全防控壓力巨大。金融科技業務面臨更嚴格和更系統的監管要求，違規可能導致業務停止。本文從完善信息安全管理體系的角度，結合國內外對信息安全的監管要求，審視新時代背景下金融領域信息安全的安全風險防控。

關鍵詞：新形勢;金融科技;信息安全;管理體系

引言

為保障金融業平穩發展，國家出臺多項監管政策，不斷完善監管體系。可以預見，金融科技業務將面臨更嚴格、更系統的監管要求，違規可能導致停業。近期，由于信息安全漏洞，一批互聯網應用被下架，都表明需要不斷加強信息安全管理，嚴格落實管控責任，遵守合規原則是企業可持續發展的必要前提。

一 構建“技防+人防”體系

構建“技防+人防”的信息安全生態系統，嚴格遵守合規原則，外部防范來自網絡威脅的攻擊，內部防止機密數據泄露。

從管理體系看，通過組織、制度、技術、運營、監督五項主要管理體系建設，完善管理體系。通過依法建設數據中心、管理和維護信息系統和數據，嚴格落實客戶財務數據保護，加強合規保障。通過內部信息安全審計、信息系統外包給公安機關和其他安全評估、ISO標準和管理體系認證、互聯網應用測試和認證等方式進行持續的管理和監控。

從技術體系來看，通過多層監視攔截系統，縱深防御，包括抗DDoS拒絕服務攻擊防護、APT高級持續威脅防護、WAF應用入侵防護、密網攻擊誘補防御等措施，加強網絡邊界管控。通過實施全方位的端點控制措施，包括計算機殺毒、磁盤加密、屏幕水印、打印水印、DLP 電子郵件攔截、HDLP 桌面行為管控等，加強內部風險管理，防止數據泄露和敏感信息被濫用。借助智能信息安全風險管理系統，實時監控和智能分析，對信息安全事件及時預警和閉環響應，減少影響和發現，持續優化及時預警和信息安全事件解決閉環，減少影響，舉一反三、持續優化。

在聯動機制上，信息安全、風險控制與合規、審計與監控、人力資源之間的緊密聯系，避免了客戶數據泄露事件的發生。 組建安全、合規、審計人員聯合工作組，打造信息安全一、二、三道防線統一戰線，主動防控，加強管理。通過層層強化管控職責，明確各部門信息安全責任，確保信息安全管理體系自上而下連通，信息安全管控要求得到溝通和落實。

二 夯實“五大”管理基礎

建立組織、制度、技術、運行、控制五項基本信息安全管理體系，強化安全管理和安全管控基礎。

2.1 組織體系

壓實責任—堅持“三道防線”原則，明確各部門職責，堅持一把手負責制。

決策層面—成立信息安全領導工作組，協調管控工作，以單位負責人為主導，各單位負責人作為成員參與任務的執行。 高水平設計促進了信息安全工作的“一把手工程”和信息安全管理與信息安全控制的有效性。

管理層面—根據當前信息安全管控工作的技術特點，由信息技術部牽頭，前、中、后臺各部門協同配合。信息安全、風險合規、審計監督是防控信息安全風險的三道防線，也是防控企業信息安全的基礎。

將信息安全事件與部門和個人的業績貢獻掛鉤，將信息安全充分融入到企業的血液中，以保障企業穩健前行和可持續發展。

執行層面—為確保信息安全管控措施的有效實施，各部門設有信息安全聯系人，與信息安全管理部門協同工作。通過層層梳理管控職責，將信息安全事件與對部門和個人生產力的貢獻掛鉤，將信息安全充分融入公司血液，確保公司不斷進步和可持續發展。

監管層面—通過二級和三級風險防控，以及風險合規監測審計，監測審計環節，確保信息安全體系的持續優化和有效運行。

2.2 制度體系

堅守底線—遵守法律法規、監管要求、國家標準、行業自律公約等要求，從宏觀政策制定層面到微觀運營規范的制定和實施，一個信息安全體系主要包括安全策略、實施策略、流程和標準、形式和工具。

信息安全策略—明確組織日常運營和管理流程的要求，包括安全組織的建立、人員配備、資產管理、物理環境控制、通信運營安全、系統開發活動、訪問控制限制、共同管理、第三方和安全培訓、進行安全審計、事件響應和安全解決、確保業務連續性、預防和控制合規風險等。

信息安全程序和標準—明確信息安全政策的要求，通過建立基本的安全標準、規范和程序來確保安全，將制度融入公司的日常工作中。

信息安全工具和表單—僅僅依靠公司員工的自覺自律來實施信息安全政策的要求是不夠的，為了實現智能信息安全生態系統，有必要在流程上建立制度，在系統上構建流程。

2.3 技術體系

逐步進階—具備信息安全的技術特點，對各級安全管控實施深度管理。在縱深防御方面：一是建立網絡管控分區體系，通過外網交互區、內網交互區、內網辦公區、生產環境區創建網絡分區，確保網絡邊界管理;二是完善網絡威脅防護體系，通過防火墻攔截、密集網絡攔截、攻擊攔截、主機安全加固、權限控制、加密隔離等措施防范攻擊和入侵者;三是通過權限最小化、訪問控制、出局攔截、水印檢測、行為監測分析等加強終端安全管控體系，防止數據泄露。

結束語

信息安全管理不是一朝一夕的工程。 為了保持信息安全體系的有效性，必須堅持PDCA原則，通過先管控、后優化，不斷適應要求，不斷完善信息安全管控策略。網絡安全環境應由企業安全生態、產業安全生態、社會安全生態共同保障。 只有全社會共同防控、共同制定標準、共同設定門檻，才能確保網絡環境清晰，實現共贏未來。

目前，國家層面的工作正在進行中，通過不斷立法完善網絡安全生態，加強企業內控管理，保障群眾權益。為保障行業健康穩定發展，企業必須通過不斷的研究、實踐和積極創新，壯大自身，夯實信息安全基礎，輸出經驗。行業需要自律，加強自律是行業可持續發展的保障。監督要引導，通過積極引導，搭建平臺，對接各種資源，打造網絡安全生態系統。

參考文獻

[1]劉進，李江波，葉兵. 新形勢下金融科技信息安全管理體系研究[J]. 網絡空間安全，2021，12（3）：1-6. DOI：10.3969/j.issn.1674-9456.2021.03.001.

[2]宮哲，張建毅. 新形勢下商業銀行網絡安全威脅環境分析及信息安全體系轉型研究[J]. 現代管理科學，2015（10）：46-48. DOI：10.3969/j.issn.1007-368X.2015.10.015.

[3]楊群安. 數據集中模式下商業銀行信息化建設研究——以中國工商銀行為案例[D]. 北京：中國人民大學，2006.