教育行業(yè)等級保護建設解決方案
一、行業(yè)概述
教育行業(yè)由于其自身行業(yè)特點(diǎn),承擔著(zhù)國計民生的重任,對信息化建設要求比較高,其信息化建設走在整個(gè)社會(huì )信息化建設的前沿,對信息化技術(shù)和管理有著(zhù)較高的要求,也是信息安全防護的重點(diǎn)行業(yè)之一。而銀行又是金融行業(yè)中信息化建設最為先進(jìn)、最為前沿的細分行業(yè),本文以下描述,將以銀行業(yè)作為主要對象,闡述金融行業(yè)等級保護建設的思路。
二、政策背景
中國人民銀行組織信息安全等級保護領(lǐng)域專(zhuān)家和相關(guān)技術(shù)人員,根據國家關(guān)于信息安全等級保護工作的相關(guān)制度和標準,編制了符合金融行業(yè)特點(diǎn)的、切實(shí)可行的金融行業(yè)信息系統信息安全等級保護系列標準,并于2012年正式對外發(fā)布,包括:金融行業(yè)等保建設定級指南、金融行業(yè)等保建設實(shí)施指引、金融行業(yè)等保測評指南和金融行業(yè)等保測評服務(wù)安全指引等文件。
這些文件的發(fā)布,為金融行業(yè)等級保護建設提供了具體的參考依據,推動(dòng)了金融行業(yè)積極參與等級保護建設,從而有效提升了金融行業(yè)信息安全的建設。
三、建設思路
金融行業(yè)的信息系統眾多、復雜,而且每個(gè)系統的使用部門(mén)、運維部門(mén)和開(kāi)發(fā)部門(mén)也往往不同,這給等級保護建設帶來(lái)的難度,主要問(wèn)題包括:
1)等級保護只是參照標準,但有很多細項并未具體措施,如何執行?
2)與銀監會(huì )的相關(guān)要求有何關(guān)系,是否存在沖突,如何執行?
3)這么多信息系統該從哪些系統開(kāi)始做起?
4)等級建設的主要由哪些部門(mén)參與,哪個(gè)部門(mén)牽頭等等?
結合多年金融行業(yè)等級保護建設經(jīng)驗,建議金融行業(yè)等級保護建設需要兼顧合規和自身業(yè)務(wù)安全的要求進(jìn)行建設,具體如下:
1)合規:是指以人民銀行等級保護建設的標準為主要依據,結合人民銀行以及銀監會(huì )關(guān)于信息系統安全建設的其他相關(guān)要求和通知,建立較為全面的合規基線(xiàn),從而全面開(kāi)展等級保護建設,滿(mǎn)足各個(gè)監管單位對金融行業(yè)信息安全建設的要求。
2)自身業(yè)務(wù)安全需求:金融行業(yè)作為特定的行業(yè),有著(zhù)自身一些特殊的需求,這些特殊的需求難以在等級保護建設標準中全部涵蓋。此外,國有銀行和股份制銀行、股份制銀行和城市商業(yè)銀行、城市商業(yè)銀行和農商行等之間也存在差異。因此,在滿(mǎn)足合規要求的同時(shí),也必須結合自身的業(yè)務(wù)特點(diǎn),建立起符合自身業(yè)務(wù)安全需求的信息安全管理和技術(shù)體系,而非為了等保而等保。