随着信息技术的快速发展,网络和信息应用涉及的领域越来越多。由于系统本身的脆弱性、外部环境和人为因素,信息安全事件频发,信息安全已成为国家发展的重要工作。信息安全等级保护是根据信息及其载体的重要性进行分级保护的工作。等级保护标准是等级保护工作中信息系统分级的主要依据。金融业作为信息产业的重要组成部分,其信息系统的安全稳定和公共利益有关。金融业等级保护标准由中国人民银行根据国家标准结合金融业现状制定。2017年6月1日,《中华人民共和国网络安全法》“网络安全法”)开始实施是我国第一部全面规范网络空间安全管理的基本法,为信息安全领域的发展提供了法律保障。在网络安全法实施的新形势下,为配合网络安全法的实施,提高等级保护标准的及时性,等级保护标准也在不断发展和完善。
一、国家等级保护标准
我国信息安全等级保护工作始于20世纪90年代,先后颁布了多个等级保护标准,可分为基本标准、分级标准、施工标准、评价标准和管理标准。基本标准包括《计算机信息系统安全等级保护划分标准》(GB17859-1999)(GB25058-2010)、《信息安全等级保护管理办法》(公通字[2007]43号)等。(GB/T22240-2008等。(GB/T22239-2008),《信息系统通用安全技术要求》(GB/T20271-2006)和《信息系统等级保护安全设计技术要求》(GB/T25070-2010)等。(GB/T2848-2012(GB/T2849-2012)等。(GB/T20269-2006)、信息系统安全工程管理要求(GB/T20282-2006)等。对于单位普通信息安全人员,涉及的标准较多,主要包括定级标准《信息系统安全等级保护定级指南》(GB/T22240-2008建设标准《信息系统安全等级保护基本要求》(GB/T22239-2008)等。对于单位普通信息安全人员,涉及的标准较多,主要包括定级标准《信息系统安全等级保护定级指南》(GB/T22240-2008建设标准《信息系统安全等级保护基本要求》(GB/T22239-2008)等。《信息系统安全等级保护等级指南》主要用于指导信息系统的等级划分和评价,将信息系统的安全保护等级划分为五个等级,分级要素有两个:等级保护对象受损时受损的对象和对象受损程度。定级要素与信息系统安全保护等级的关系见表1。从表1可以看出,三级以上系统可能会影响国家安全,而一级和二级系统只会影响社会秩序或个人权益。在系统分级的实际过程中,要从信息安全和服务连续性两个维度对系统进行分级,最后按照高原则对系统进行分级。《信息系统安全等级保护基本要求》是针对不同安全等级信息系统应具备的基本安全保护能力提出的安全要求。根据实施方式的不同,基本安全要求分为基本技术要求和基本管理要求。保护基本要求共10部分,技术要求和管理要求各5部分。其中,技术安全要求又细分为三类。信息安全类(S类别):保护数据在存储、传输和处理过程中不被泄露、破坏和免受未经授权修改的信息安全要求。服务保证类(A类):保护系统连续正常运行,免受系统未经授权修改和损坏导致系统不可用的服务保障要求。一般安全保护要求(G类):既考虑信息安全,又考虑服务保障,最后选择高原则。
二、金融业信息安全等级保护标准及必要性分析
1.行业标准金融业作为信息产业的重要组成部分,与国家安全、社会稳定和公民利益直接相关。为落实国家对金融业信息系统信息安全等级保护的要求,加强金融业信息安全管理和技术风险防范,确保金融业信息系统信息安全等级保护建设、评估和整改工作顺利开展,中国人民银行于2012年对金融业信息安全问题进行了三项行业标准:《金融业信息系统信息安全等级保护实施指引》、《金融业信息系统信息安全等级保护评价指南》和《金融业信息安全等级保护评价服务安全指引》。2.必要性分析网络安全法明确规定,国家实行网络安全等级保护制度,开展等级保护工作是为了满足国家法律法规的合规需要。金融业开展信息安全等级保护工作的必要性三点。(1)明确安全等级,实现金融业各种业务系统的分级保护,系统用途和服务对象差异大,根据系统可用性和数据重要性分级要求,可有效梳理分析现有信息系统,识别重要信息系统,不同系统按不同重要等级分级,按等级进行适当的安全保护,有效确保有限资源充分发挥作用。(2)明确保护标准,规范金融业信息系统保护标准,有效解决金融业信息系统保护不规范的问题。在信息系统的整个生命周期中,注重实施等级保护的相关标准和规范要求,参照信息系统的要求、信息系统的建设和信息系统的维护,基本实现信息系统安全技术措施的同步规划、建设和使用,确保重要信息系统能够抵抗网络攻击而不造成重大损失或影响。(3)定期进行评价,按照等级保护要求实现有效保护,每年对三级以上信息系统进行评价,使重要信息系统能够定期回顾系统安全,有效评价,有效发现信息系统的安全问题。通过年度等级保护评价,不断优化金融业重要信息系统的安全防护措施,有效提高重要信息系统的安全能力,加强信息系统的安全管理水平,确保信息系统的安全稳定运行和外部业务服务的正常发展。
