【小彬说数据化监管】监管信息系统的安全性问题需要尽早谋划
时间:2020-07-07 来源:北京结算
我在以前的文章里说了很多地方金融监管信息系统数据采集的事,数据一旦收集到,监管信息系统的安全性问题就会成为各方的关注点。但我想强调的是,安全不是有了数据以后才要关注的事情,它应该在系统规划设计之初统筹考虑,即安全建设要跟信息化建设同步规划、部署和实施。可能很多人会认为,在系统建设之初就开始在安全建设上投入,会导致系统的建设成本过高,不如等系统建成后再逐步完善。其实担心成本太高,可以分步实施,保障程度也可以逐步加深,但是需要提前做好总体规划。信息系统的安全措施主要包括三部分:系统安全措施,在系统整个生命周期过程中,通过设计安全、传输安全、存储安全、网络安全、环境安全、代码安全、安全工具与团队等手段来保障整个系统的安全性。制度安全措施,通过建立完善一系列合规风控制度、业务制度、技术制度、安全培训制度等提高安全意识、提供制度保障,确保安全工作得以有效的实施。数据安全措施,通过数据分级分类及权限控制、数据加密脱敏、数据备份、防抵赖、防篡改等手段来保障数据管理的安全性。具体的信息系统安全性设计可以参考《信息安全技术 网络安全等级保护基本要求》,在这里就不细说了,我只想强调容易被忽视但却非常关键的两个“软”条件。信息安全的核心问题是人的安全意识。任何的安全管理体系、安全技术、安全产品或服务,都离不开人的参与。只有参与系统建设的各岗位、各层级、内外部干系人脑子里始终绷着“安全第一”的意识,才能在系统建设的需求设计、开发测试、运营运维各个阶段充分考虑安全需求,把安全工作做到实处。如果安全意识薄弱,将导致管理流于形式、设备形同虚设,那信息系统安全事件很难完全避免。意识到位之后,需要机制来保障。系统的建设单位和使用单位都需要考虑涉及到数据管理、系统运行、人员管理等方方面面的安全相关制度和流程。只有做到安全技术与安全管理有机结合、“技防”与“人防”和谐一致,才能达到综合化、一体化、纵深化的防御效果。
