金融業(yè)的歷史源遠流長，早在在信息技術還未誕生的時候，金融業(yè)的安全管理體系早就已經形成，它由傳統(tǒng)管理模式演變發(fā)展而來。隨著互聯(lián)網(wǎng)+時代的來臨，高速發(fā)展的互聯(lián)網(wǎng)技術給客戶和金融機構帶來了便捷和利益。但與此同時，它也給我們帶來了一些金融信息安全的隱患。金融管理的模式也隨著互聯(lián)網(wǎng)的興起出現(xiàn)了不同。現(xiàn)在的很多信息安全管理問題的產生也與之息息相關。一些不法分子趁機謀取不正當?shù)睦妗＝鹑谠谏钪幸舱紦?jù)著較主要的地位。哲學里，經濟基礎決定上層建筑。這里的金融就如同經濟基礎了，只是范圍沒有那么廣。為此，專門有數(shù)據(jù)人員對數(shù)據(jù)中心的信息安全管理狀況進行了調研，具體情況如下：

金融數(shù)據(jù)中心信息安全管理現(xiàn)狀與特點

(一)金融業(yè)信息安全管理特點

金融數(shù)據(jù)中心對業(yè)務系統(tǒng)運行的連續(xù)性、可靠性要求較高，交易數(shù)據(jù)不能出現(xiàn)差錯，各類數(shù)據(jù)加密與數(shù)字簽名技術應用廣泛。在管理模式方面的突破相對較小，其信息安全管理往往結合了傳統(tǒng)管理模式，以柔性管理為特點，原則性、靈活性相結合，注重用多種方法解決問題，但對解決問題的原則和方法并不十分關注。這種方式的不足：主要是容易造成做法不規(guī)范、不能把成功經驗形成組織過程資產。經驗實例很多，但很難總結提升。其次是管理依賴權威，領導的作用和地位得到充分重視，領導的管理理念和水平直接影響安全管理的水平和效果。再次人際關系講的多，很多風險無法得到控制。

(二)金融數(shù)據(jù)中心信息安全管理常見的問題

隨著金融業(yè)務的拓展，互聯(lián)網(wǎng)金融的崛起，金融公司數(shù)據(jù)中心的規(guī)模在不斷擴大，而其安全管理模式的特點使它在信息安全管理方面的問題逐漸顯現(xiàn)出來，體現(xiàn)在以下幾個方面：

1.信息安全方針和策略不明確。金融機構，常以金融業(yè)務為主，信息技術為輔，在管理上更注重于業(yè)務發(fā)展和業(yè)務連續(xù)性的管理，對業(yè)務系統(tǒng)的開發(fā)和建設普遍重視，但往往忽視了業(yè)務系統(tǒng)建設中的網(wǎng)絡安全問題。有時因為注重系統(tǒng)的應用效果，忽視了信息系統(tǒng)技術脆弱性可能造成的影響，不能采取適當?shù)拇胧﹣砜刂骑L險。多數(shù)金融機構的CIO不具備IT類職業(yè)背景，在高級管理層對信息安全管理的重視、熟悉程度都還不夠，不能給予信息安全管理工作直接的支持。這種狀況將導致機構缺乏明確的信息安全方針和策略，信息安全管理工作沒有指導依據(jù)。

2.安全管理缺乏系統(tǒng)的管理思想。多數(shù)金融機構的安全管理模式仍是基于傳統(tǒng)靜態(tài)管理的方法，面向發(fā)生的問題，欠缺信息安全管理的體系，在安全管理方面不全面，缺乏必要的信息安全評估、信息安全風險意識的培訓，由于不能形成全機構人員對信息安全意識的共識，導致信息安全規(guī)章制度難以嚴格落實。而現(xiàn)代的信息安全管理體系應建立在安全風險評估基礎上，并持續(xù)不斷的改進。

3.重視安全設備和技術,輕視安全管理和培訓。金融業(yè)中普遍采用網(wǎng)絡技術構建業(yè)務信息系統(tǒng)，提高了工作效率和業(yè)務競爭力，應用的安全防護設備往往比較全面。而信息安全不應僅從技術方面防護，更多的是應落實信息安全管理體系的建設，加強規(guī)范化管理。如人員錄用的時候有審查、簽有保密協(xié)議，人員在終止任用時也要有審查，如人員對信息系統(tǒng)的訪問權在任用終止時及時撤銷、調整。在金融數(shù)據(jù)中心中有上千的各種重要程度的信息系統(tǒng)，幾十個系統(tǒng)由一個管理員管理的情況時有發(fā)生，口令管理策略難以嚴格落實。有時管理人員身兼數(shù)職，常常忽視一些維護操作后期的審計工作。

規(guī)范金融數(shù)據(jù)中心的信息安全管理體系

傳統(tǒng)安全管理常常存在諸多缺陷，如受高層領導層重視程度影響大、安全方針不明確、管理不夠系統(tǒng)化、重技術輕管理等。為改善數(shù)據(jù)中心的信息安全管理現(xiàn)狀，可以引入國際化、標準化的信息安全管理體系，如ISO27001等。系統(tǒng)化的信息安全管理體系，可以減少管理對人主觀意識的依賴，通過對管理體系不斷完善，使管理體系越來越全面、精細，從而更加符合金融數(shù)據(jù)中心的特點。

(一)信息安全管理的體系化

信息安全管理的體系，首先是要樹立信息安全方針和目標，并建立達成這些目標所需的制度規(guī)范。標準化的信息安全管理標準，可以指導數(shù)據(jù)中心做好信息安全管理，提高控制信息安全風險的能力。

標準化的信息安全管理體系規(guī)定了建立信息安全管理體系的要求，規(guī)定了實施安全控制的要求。按照標準規(guī)范的要求建立信息安全管理體系，可以更好地保障金融業(yè)務連續(xù)性。標準化組織認可的信息安全管理體系融合了西方管理理論，以剛性管理為特點。通過制定完善的制度，并嚴格遵守制度，達到管理的目標。這種管理模式注重有計劃地、按照制度和規(guī)定解決問題，有助于數(shù)據(jù)中心提高管理效率，增強業(yè)務競爭力。

(二)應用信息安全管理體系的預期

通過建立信息安全管理體系，完善各類安全管理制度，可以規(guī)范信息系統(tǒng)相關的各種操作行為。信息安全管理體系體現(xiàn)了風險管理思想，工作思路是事先防范、事中控制和事后總結改進，一改傳統(tǒng)“問題驅動”的管理模式，著重整體、系統(tǒng)的分析、解決問題。管理體系按照PDCA的循環(huán)管理信息安全風險，信息安全管理從被動的問題補救，變?yōu)橄到y(tǒng)化、主動的風險管理狀態(tài)。信息安全風險管理的目的是保障業(yè)務系統(tǒng)的連續(xù)、穩(wěn)定運行，形成安全管理體系使安全管理可以協(xié)調各個方面、各個層次資源，管理更為有效，制度規(guī)章得以充分落實。

建立健全信息安全管理體系對金融數(shù)據(jù)中心的安全管理工作和數(shù)據(jù)中心的發(fā)展意義重大。金融機構在制度建設過程中，除了根據(jù)國家的各種標準和行業(yè)規(guī)范，而且應盡力參考國際化、標準化的信息安全管理體系(如ISO 27001等)，建立數(shù)據(jù)中心的管理體系，明確信息安全工作的方針。

金融數(shù)據(jù)中心信息安全管理體系的構建

信息安全工作是以信息科技部門為主導，全員參與的活動,通過信息安全管理體現(xiàn)的建立可以促進企業(yè)所有部門對信息安全的共識。開展信息安全管理體系建設，可以做一些使信息安全管理體系的構建更順利準備工作，如建立垂直管理的信息安全管理機構、設立網(wǎng)絡安全監(jiān)控中心、組建風險評估和監(jiān)控專業(yè)團隊等。

參考國際標準，結合金融數(shù)據(jù)中心的信息安全管理需求與現(xiàn)狀，構建管理體系的思路大致如下。

確定管理范圍

信息安全管理體系的范圍就是需要重點進行管理的安全領域。在本階段，應劃分不同的信息安全控制領域，便于對有不同安全需求的領域進行適當?shù)男畔踩芾怼６x范圍，應考慮環(huán)境、人員、信息系統(tǒng)、信息資產及它們之間相互關系等。 金融數(shù)據(jù)中心中我們主要關注物理安全、網(wǎng)絡安全、應用系統(tǒng)安全和管理安全，包括了線路、設備、機房、身份認證、訪問控制、保密與完整性、入侵檢測手段、防病毒等諸多方面。一方面要解決系統(tǒng)本身的缺陷帶來的不安全因素，如身份認證、系統(tǒng)漏洞等，另一方面要妥善管理系統(tǒng)的安全配置問題。部門間要劃分明確的安全職責，嚴格落實安全管理制度。

管理體系應涵蓋安全管理、技術平臺等多個層面，安全管理應統(tǒng)一管理其他各層面，安全問題首先是管理問題和人的問題，其次才是技術問題。

信息安全的調研與風險評估

依據(jù)信息安全技術與管理的標準，應對數(shù)據(jù)中心信息系統(tǒng)及數(shù)據(jù)的機密性、完整性和可用性等安全屬性進行調研，評估信息資產價值，結合信息資產面臨的威脅和安全事件發(fā)生的概率來判斷風險造成的影響。

一些常見的安全管理問題由于其影響較大往往被列為高風險等級。如：信息安全管理規(guī)定中未明確定義信息安全策略;所有雇員、外部人員對信息和信息處理設施的訪問權未在任用協(xié)議變化時調整;口令管理不嚴格的情況，不能確保優(yōu)質的口令，常使用一些簡單密碼;未采取有效措施限制訪問程序源代碼;未保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或損壞;記錄日志的設施和日志信息未加以保護，以防止篡改和未授權的訪問;系統(tǒng)管理員和系統(tǒng)操作員活動記錄不完全，未對其進行保護和定期審計。信息安全風險評估可以判斷當前的信息安全狀況，幫助我們選取適當?shù)墓芾矸椒帮L險防范控制措施。

建立管理體系框架、編寫管理制度

建立信息安全管理體系要規(guī)劃一個合理的管理框架，從全局的視角進行整體安全建設規(guī)劃，根據(jù)業(yè)務性質、信息資產狀況等，建立數(shù)據(jù)中心信息資產清單，然后通過風險分析、安全需求分析，選擇安全控制措施，從而建立安全管理體系。

一般遵從如下步驟構建信息安全管理體系框架：首先要確定總體的安全方針，制定具體的安全策略。然后根據(jù)系統(tǒng)的資產價值和影響等確定信息安全管理體系的管理范圍。根據(jù)風險評估結果和安全的需求，選擇控制風險的目標與控制方式，通過降低、避免和轉移的方法來控制風險。

信息安全管理體系制度文件與數(shù)據(jù)中心的環(huán)境結合緊密，制度的執(zhí)行過程中,信息安全管理水平不斷地提高、保障了業(yè)務的連續(xù)性。建立規(guī)范的制度文件對信息安全管理有重要的作用。編寫信息安全管理體系制度文件是建立信息安全管理體系的基礎工作，也是數(shù)據(jù)中心實現(xiàn)風險控制、評價管理體系、實現(xiàn)自我改進的依據(jù)。在制度文件中應包含安全方針、風險評估、實施與控制等方面。信息安全體系文件按控制級別可以分為四級,一級為信息安全方針、策略，二級為制度性文件，三級為具體規(guī)范、操作程序，四級為各類操作記錄、表單等。

管理體系的改進

信息安全管理體系文件編制完成以后，進入正式運行階段。在此期間，應通過各種監(jiān)督、審計手段確保體系制度能夠落實到位。在各種制度執(zhí)行和實踐的過程中，根據(jù)數(shù)據(jù)中心自身的特點，逐步修訂各級管理制度，使標準化的制度能夠更加適應金融數(shù)據(jù)中心的特點和安全控制要求。依照管理體系的要求，針對執(zhí)行中、評估中發(fā)現(xiàn)的安全問題和威脅，要定期更新修訂管理體系的各項制度，這樣動態(tài)的持續(xù)改進以實現(xiàn)管理體系主動的安全防范效果。

通過引入這種國際化、標準化的信息安全管理體系改變傳統(tǒng)的安全管理存在受領導層重視程度影響大、安全方針不明確、缺乏系統(tǒng)的管理思想、重技術,輕管理等諸多弊端。為改善數(shù)據(jù)中心的信息安全管理現(xiàn)狀，制度要適時地進行動態(tài)地修改，以信息安全風險評估為基礎和導向，避免了領導重視程度的因素和人為觀念，持續(xù)改進管理制度，構建符合數(shù)據(jù)中心現(xiàn)階段情況與未來發(fā)展的信息安全管理體系。

總結與預期

信息安全管理體系是一個系統(tǒng)化、程序化的管理體系，體系的建立基于全面和科學的風險評估，而不是領導或其他個人的意見，避免了主觀判斷，體現(xiàn)了客觀、預防為主的思想。該管理體系可以幫助數(shù)據(jù)中心在運維方面符合國家有關信息安全的法律法規(guī)，同時重視全過程和動態(tài)控制，本著控制防護成本與平衡安全風險的原則，合理地選擇控制方式保護金融關鍵信息數(shù)據(jù)資產，確保數(shù)據(jù)的保密性、完整性和可用性，從而保障金融業(yè)務的連續(xù)性。通過建立信息安全管理體系，可以使得數(shù)據(jù)中心在以下方面得到改進：

通過信息安全管理體系明確了信息安全方針和策略。信息安全問題不是一個數(shù)據(jù)中心的問題，事關全公司乃至全行業(yè)，一定要堅持高層領導負責制，全局統(tǒng)籌，給予信息安全管理工作最直接的支持。信息安全管理需要協(xié)調所有部門，通過對金融機構的高級管理層及全金融機構的人員進行信息安全培訓，強化對信息安全管理目標的共識。突破傳統(tǒng)信息技術為輔的觀念，金融領域的信息技術即金融業(yè)務，技術服務及金融服務。該體系的信息安全策略要求在業(yè)務系統(tǒng)的開發(fā)和建設的同時，注重業(yè)務系統(tǒng)建設中的網(wǎng)絡安全問題，對金融領域系統(tǒng)的安全問題進行產品全生命周期的管理。這種管理體系為數(shù)據(jù)中心乃至全公司明確了的信息安全方針和策略，信息安全管理工作有了指導依據(jù)，為金融業(yè)務持續(xù)、健康發(fā)展提供基礎保障。

信息安全管理體系樹立了系統(tǒng)的信息安全管理思想。使得金融數(shù)據(jù)中心的安全管理模式突破傳統(tǒng)靜態(tài)管理的局限，通過全面、系統(tǒng)、周期性的信息安全評估，及時發(fā)現(xiàn)風險，采取恰當?shù)姆婪洞胧掷m(xù)不斷的改進信息安全現(xiàn)狀。管理體系促成了全公司人員對信息安全方針的共識，信息安全規(guī)章制度的落實將會更加順利。信息安全管理體系可以幫助數(shù)據(jù)中心實現(xiàn)對信息安全風險的全面管控，管理體系各項制度標準的持續(xù)改進，進行主動性的積極防御，持續(xù)地改善數(shù)據(jù)中心網(wǎng)絡安全防護水平，改變以往信息安全管理被動的局面。

信息安全管理體系強調數(shù)據(jù)中心信息安全不應僅從技術方面防護，更應落實信息安全管理體系的建設，全方位加強規(guī)范化管理。管理體系要求保證人員管理流程的各個方面，如審查、保密協(xié)議和人員權限等各個方面，同時對金融數(shù)據(jù)中心口令管理策略、操作審計工作等工作有明確的規(guī)范。通過對管理體系各項制度的落實執(zhí)行，可以促使數(shù)據(jù)中心在安全管理上更加全面化。

因此，逐漸完善相關的管理體系，以及做到妥善處理好兩者的關系有助于社會的發(fā)展。真正做到管理到位、簡潔、便民不容易。它需要我們國民共同努力和維持。想要了解更多網(wǎng)絡信息安全與金融信息安全的交互的信息，請繼續(xù)關注中培偉業(yè)。