教育行業(yè)等級保護(hù)建設(shè)解決方案
一、行業(yè)概述
教育行業(yè)由于其自身行業(yè)特點(diǎn),承擔(dān)著國計(jì)民生的重任,對信息化建設(shè)要求比較高,其信息化建設(shè)走在整個社會信息化建設(shè)的前沿,對信息化技術(shù)和管理有著較高的要求,也是信息安全防護(hù)的重點(diǎn)行業(yè)之一。而銀行又是金融行業(yè)中信息化建設(shè)最為先進(jìn)、最為前沿的細(xì)分行業(yè),本文以下描述,將以銀行業(yè)作為主要對象,闡述金融行業(yè)等級保護(hù)建設(shè)的思路。
二、政策背景
中國人民銀行組織信息安全等級保護(hù)領(lǐng)域?qū)<液拖嚓P(guān)技術(shù)人員,根據(jù)國家關(guān)于信息安全等級保護(hù)工作的相關(guān)制度和標(biāo)準(zhǔn),編制了符合金融行業(yè)特點(diǎn)的、切實(shí)可行的金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)系列標(biāo)準(zhǔn),并于2012年正式對外發(fā)布,包括:金融行業(yè)等保建設(shè)定級指南、金融行業(yè)等保建設(shè)實(shí)施指引、金融行業(yè)等保測評指南和金融行業(yè)等保測評服務(wù)安全指引等文件。
這些文件的發(fā)布,為金融行業(yè)等級保護(hù)建設(shè)提供了具體的參考依據(jù),推動了金融行業(yè)積極參與等級保護(hù)建設(shè),從而有效提升了金融行業(yè)信息安全的建設(shè)。
三、建設(shè)思路
金融行業(yè)的信息系統(tǒng)眾多、復(fù)雜,而且每個系統(tǒng)的使用部門、運(yùn)維部門和開發(fā)部門也往往不同,這給等級保護(hù)建設(shè)帶來的難度,主要問題包括:
1)等級保護(hù)只是參照標(biāo)準(zhǔn),但有很多細(xì)項(xiàng)并未具體措施,如何執(zhí)行?
2)與銀監(jiān)會的相關(guān)要求有何關(guān)系,是否存在沖突,如何執(zhí)行?
3)這么多信息系統(tǒng)該從哪些系統(tǒng)開始做起?
4)等級建設(shè)的主要由哪些部門參與,哪個部門牽頭等等?
結(jié)合多年金融行業(yè)等級保護(hù)建設(shè)經(jīng)驗(yàn),建議金融行業(yè)等級保護(hù)建設(shè)需要兼顧合規(guī)和自身業(yè)務(wù)安全的要求進(jìn)行建設(shè),具體如下:
1)合規(guī):是指以人民銀行等級保護(hù)建設(shè)的標(biāo)準(zhǔn)為主要依據(jù),結(jié)合人民銀行以及銀監(jiān)會關(guān)于信息系統(tǒng)安全建設(shè)的其他相關(guān)要求和通知,建立較為全面的合規(guī)基線,從而全面開展等級保護(hù)建設(shè),滿足各個監(jiān)管單位對金融行業(yè)信息安全建設(shè)的要求。
2)自身業(yè)務(wù)安全需求:金融行業(yè)作為特定的行業(yè),有著自身一些特殊的需求,這些特殊的需求難以在等級保護(hù)建設(shè)標(biāo)準(zhǔn)中全部涵蓋。此外,國有銀行和股份制銀行、股份制銀行和城市商業(yè)銀行、城市商業(yè)銀行和農(nóng)商行等之間也存在差異。因此,在滿足合規(guī)要求的同時(shí),也必須結(jié)合自身的業(yè)務(wù)特點(diǎn),建立起符合自身業(yè)務(wù)安全需求的信息安全管理和技術(shù)體系,而非為了等保而等保。