前言：尋找寫(xiě)作靈感？中文期刊網(wǎng)用心挑選的信息安全基線保護(hù)管理應(yīng)用，希望能為您的閱讀和創(chuàng)作帶來(lái)靈感，歡迎大家閱讀并分享。

近年來(lái)，隨著金融業(yè)等級(jí)保護(hù)工作的逐步落實(shí)，銀行業(yè)金融機(jī)構(gòu)陸續(xù)完成了本單位信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案，等級(jí)測(cè)評(píng)及安全建設(shè)整改工作。但由于銀行業(yè)金融機(jī)構(gòu)具有分支機(jī)構(gòu)多、分布廣，信息系統(tǒng)應(yīng)用復(fù)雜、定級(jí)范圍廣以及安全人員管理水平參差不齊等特點(diǎn)，給定級(jí)保護(hù)后續(xù)管理工作增加了難度，如何持續(xù)做好信息系統(tǒng)等級(jí)保護(hù)工作，鞏固等級(jí)保護(hù)工作成效，建立等級(jí)保護(hù)工作長(zhǎng)效管理機(jī)制，已成為金融監(jiān)管機(jī)構(gòu)關(guān)注的問(wèn)題。本文主要結(jié)合安全基線在基層人民銀行等級(jí)保護(hù)中的實(shí)踐，探討安全基線技術(shù)在等級(jí)保護(hù)管理中的應(yīng)用。

一、銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)現(xiàn)狀

人民銀行作為我國(guó)中央銀行，承擔(dān)著指導(dǎo)協(xié)調(diào)我國(guó)金融業(yè)信息安全工作的職責(zé)。2010年以來(lái)，人民銀行為全面落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，制定了《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》、《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》三項(xiàng)行業(yè)標(biāo)準(zhǔn)，建立了金融業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范體系。在此基礎(chǔ)上，人民銀行圍繞定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查等五個(gè)規(guī)定動(dòng)作，在人民銀行及銀行業(yè)全面部署實(shí)施信息安全等級(jí)保護(hù)工作,截至目前，全國(guó)銀行業(yè)金融機(jī)構(gòu)已基本完成重要信息系統(tǒng)的定級(jí)、備案和測(cè)評(píng)整改工作，等級(jí)保護(hù)工作取得了長(zhǎng)足進(jìn)步，信息系統(tǒng)的安全防護(hù)水平得到了全面提升，推動(dòng)了金融業(yè)信息化建設(shè)和業(yè)務(wù)發(fā)展，但在等級(jí)保護(hù)執(zhí)行過(guò)程中也面臨以下一些困難：一是金融機(jī)構(gòu)分支機(jī)構(gòu)多、分布廣，總部對(duì)分支機(jī)構(gòu)等級(jí)保護(hù)工作的可控管理水平有限。二是金融機(jī)構(gòu)信息系統(tǒng)數(shù)量多、運(yùn)行環(huán)境復(fù)雜，定級(jí)范圍廣且標(biāo)準(zhǔn)不統(tǒng)一，加大了等級(jí)保護(hù)的運(yùn)維難度。三是部分銀行分支機(jī)構(gòu)沒(méi)有認(rèn)識(shí)到信息系統(tǒng)等級(jí)保護(hù)工作的重要性，等級(jí)保護(hù)工作流于形式，使等級(jí)保護(hù)工作未能真正落到實(shí)處。四是缺少如何將信息安全等級(jí)保護(hù)工作與信息安全日常保障工作、風(fēng)險(xiǎn)測(cè)評(píng)等安全管理工作相結(jié)合的有效技術(shù)手段。引入安全基線管理機(jī)制，充分利用基線技術(shù)的特點(diǎn)和優(yōu)勢(shì),去化解當(dāng)前金融機(jī)構(gòu)等級(jí)保護(hù)所面臨的問(wèn)題，不失為一種有效的解決辦法。現(xiàn)就安全基線在基層人民銀行等級(jí)保護(hù)中的應(yīng)用實(shí)踐為例，談?wù)劙踩€技術(shù)在加強(qiáng)等級(jí)保護(hù)管理，促進(jìn)長(zhǎng)效管理機(jī)制形成中所發(fā)揮的作用。

二、安全基線在基層人民銀行等級(jí)保護(hù)管理中的應(yīng)用

1.人民銀行信息安全基線概述

人民銀行安全基線建立在《人民銀行信息安全綜合規(guī)范》基礎(chǔ)之上，《人民銀行信息安全綜合規(guī)范》主要吸收了金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)及人民銀行內(nèi)部多類(lèi)制度安全管理要求項(xiàng),涉及總行、省級(jí)行、地市中支、縣支行4級(jí)機(jī)構(gòu)，包含機(jī)房環(huán)境、網(wǎng)絡(luò)安全、應(yīng)用安全、保密技術(shù)管理、信息安全管理、安全運(yùn)維等10個(gè)方面的內(nèi)容，涵蓋了人民銀行所有信息系統(tǒng)等級(jí)保護(hù)定級(jí)管理要求，是人民銀行信息系統(tǒng)需要滿足的安全管理要求。它是由一組安全配置項(xiàng)組成，形成了針對(duì)不同信息系統(tǒng)的詳細(xì)CheckList及操作指南，為人民銀行分支行建立本單位的安全基線提供了統(tǒng)一規(guī)范。人民銀行分支行結(jié)合本單位最佳安全實(shí)踐，通過(guò)對(duì)《人民銀行信息安全綜合規(guī)范》進(jìn)行篩選、檢測(cè)、配平等操作，最終形成符合各單位實(shí)際情況、本地化的安全基線。

2.安全基線在基層人民銀行等級(jí)保護(hù)管理中的應(yīng)用過(guò)程

人民銀行分支行的安全基線包含了本單位已定級(jí)信息系統(tǒng)安全管理的各項(xiàng)要求，通過(guò)對(duì)安全基線進(jìn)行管理，能夠促進(jìn)等級(jí)保護(hù)各項(xiàng)措施的落實(shí)。安全基線在基層人民銀行等級(jí)保護(hù)中的應(yīng)用過(guò)程可分為三部分：建立安全基線、安全基線的檢測(cè)與控制、基線度量與報(bào)告。

（1）建立安全基線。人民銀行分支機(jī)構(gòu)在綜合考慮本單位等級(jí)保護(hù)定級(jí)管理要求及企業(yè)自身安全建設(shè)發(fā)展需求基礎(chǔ)之上，對(duì)IT設(shè)備及業(yè)務(wù)系統(tǒng)的安全目標(biāo)進(jìn)行識(shí)別和梳理，并對(duì)照《人民銀行信息安全綜合規(guī)范》進(jìn)行篩選，分離出不適用項(xiàng)，并對(duì)剩余適用本單位的配置項(xiàng)進(jìn)行安全檢測(cè)、配合平等操作，形成了符合本單位實(shí)際情況的一組安全配置項(xiàng)，即本單位的初始安全基線。初始安全基線被上級(jí)管理部門(mén)批準(zhǔn)確認(rèn)后，形成本單位的安全基線，變?yōu)槭芸貭顟B(tài)，作為當(dāng)前時(shí)期的安全基準(zhǔn)點(diǎn)，不允許隨便更改。

（2）安全基線的檢測(cè)與控制。安全基線建立后，將定期對(duì)目標(biāo)業(yè)務(wù)開(kāi)展合規(guī)性檢測(cè)，找出不符合項(xiàng)，并通過(guò)整改、加固等措施，消除安全風(fēng)險(xiǎn)，逐步達(dá)到安全基線標(biāo)準(zhǔn)要求。隨著業(yè)務(wù)的不斷調(diào)整變化，對(duì)已建立的安全基線進(jìn)行評(píng)估，整理出需要補(bǔ)充、維護(hù)和完善配置項(xiàng)后，提出“變更請(qǐng)求”（checkrequest），在變更請(qǐng)求得到批準(zhǔn)的情況下，允許配置項(xiàng)從安全基線中檢出（實(shí)施check-out），待變更完成，并經(jīng)評(píng)審后，確認(rèn)無(wú)誤，方可重新進(jìn)入安全基線，使其恢復(fù)到受控狀態(tài)，從而實(shí)現(xiàn)安全基線動(dòng)態(tài)更新。對(duì)安全基線的檢測(cè)與控制，可以有效監(jiān)控各單位等級(jí)保護(hù)管理整體安全狀態(tài)，跟蹤信息系統(tǒng)等級(jí)保護(hù)工作中的未達(dá)標(biāo)項(xiàng)，把未達(dá)標(biāo)項(xiàng)納入信息安全基線控制范圍，通過(guò)對(duì)本單位信息安全基線的定期檢測(cè)和整改，可以逐步提升信息系統(tǒng)等級(jí)保護(hù)的安全保障能力。

（3）基線度量與報(bào)告。對(duì)本單位安全基線檢測(cè)后得到的數(shù)據(jù)是安全基線配置項(xiàng)的狀態(tài)表，它反映了本單位在某一時(shí)點(diǎn)上的整體信息安全狀態(tài)，是信息安全總體水平的量化表述，可以度量企業(yè)安全現(xiàn)狀與安全基線之間的差距，為后續(xù)的整改提供依據(jù)。人民銀行分支機(jī)構(gòu)的安全基線是上級(jí)單位管理決策的重要依據(jù)之一，安全基線建立后，實(shí)行季報(bào)制度，每個(gè)季度向上級(jí)行上報(bào)本轄區(qū)的安全基線報(bào)告，人民銀行總行安全管理部門(mén)則可以不定期查看分支機(jī)構(gòu)的安全基線報(bào)告，方便了解分支機(jī)構(gòu)的整體安全狀況及安全變動(dòng)趨勢(shì)。

3.安全基線在基層人民銀行等級(jí)保護(hù)管理中的應(yīng)用效果

（1）實(shí)現(xiàn)了信息安全工作可控、可管、可操作。通過(guò)安全基線技術(shù)，將本單位信息安全管理工作統(tǒng)一轉(zhuǎn)化為一組可操作的配置項(xiàng)，便于數(shù)據(jù)匯總和分析安全變動(dòng)趨勢(shì)，可以有效監(jiān)控本單位的整體信息安全狀態(tài)，跟蹤整改未達(dá)標(biāo)的信息安全要求、消除存在的信息安全隱患。

（2）綜合了多方運(yùn)維管理內(nèi)容。安全基線實(shí)際上已經(jīng)綜合了等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、內(nèi)部管理制度等多方面的管理要求，與人民銀行信息安全保障工作有機(jī)結(jié)合，建立了集中統(tǒng)一的安全運(yùn)維管理體系。

（3）提升等級(jí)保護(hù)測(cè)評(píng)符合率。安全基線管理，通過(guò)采用“填平補(bǔ)齊”的方式，逐步完善各單位安全狀況，較全面地解決各單位（特別是技術(shù)力量比較薄弱的分支機(jī)構(gòu)）中存在的信息安全管理問(wèn)題，能有效提升各單位等級(jí)保護(hù)測(cè)評(píng)符合率。

（4）促進(jìn)了安全長(zhǎng)效機(jī)制形成。安全基線管理過(guò)程遵循“生命環(huán)”管理體系，通過(guò)對(duì)安全基線的定期檢查、更新、報(bào)告及風(fēng)險(xiǎn)跟蹤，周而復(fù)始，持續(xù)改進(jìn)，形成螺旋上升的良性循環(huán)態(tài)勢(shì)，促進(jìn)了安全長(zhǎng)效機(jī)制形成。

綜上所述，通過(guò)引入安全基線技術(shù)，建立一個(gè)涵蓋等級(jí)保護(hù)管理要求的安全基線，并定期對(duì)安全基線進(jìn)行度量和控制，將為我國(guó)金融企業(yè)等級(jí)保護(hù)工作進(jìn)入新常態(tài)，促進(jìn)等級(jí)保護(hù)長(zhǎng)效管理機(jī)制的形成，提供了一種可行的解決思路。

作者：唐先勇 單位：中國(guó)人民銀行黃岡市中心支行