如何保障金融信息系统安全?从等级保护工作开始

字号:

如何保障金融信息系统安全?从等级保护工作开始

  在前不久闭幕的“4.29首都网络安全日”活动中,值得关注的是,“关键信息基础设施等级保护研讨会”作为唯一一场专题研讨会在首日即迎来业内专家的热烈讨论。

  关键信息基础设施安全是国家安全战略的重要组成部分,而保障关键信息基础设施安全,等级保护是基础抓手。

  那么,什么是等级保护?什么是关键信息基础设施?关键信息基础设施与等级保护之间又有什么关联?

  网络安全等级保护制度由来已久

  网络安全等级保护制度是国家网络安全保障工作的基本制度和方法,是保障我国信息化健康发展、维护国家安全、社会秩序和公共利益的根本保障。

  我国开展等级保护制度由来已久,1994年国务院颁布《计算机信息系统安全保护条例》,其中要求“计算机信息系统实行安全等级保护”。

  二十多年来,等级保护与我国信息化发展相生相伴,从初期探索到成熟、从质疑到达成广泛共识,如今我国已经建立起一套较为完善的等级保护政策、标准规范体系,等级保护成为我国信息安全领域影响最为深远的保障制度。

  2017年6月1日起实施的《网络安全法》更是将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。

  网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络安全等级保护广义上涉及到信息系统、产品、安全事件等需依据等级保护思想开展的安全工作,狭义上指信息系统的安全等级保护。

  根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,等级保护可分为五个级别,从低到高分别为一级到五级。不同级别的信息系统应采取不同的安全防护措施,级别越高,安全防护要求越高。

如何保障金融信息系统安全?从等级保护工作开始

  “关键信息基础设施” 实行重点保护

  《网络安全法》第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

  由此可见,网络安全等级保护制度是关键信息基础设施安全的基础抓手,关键信息基础设施是等级制度保护的实施重点对象,二者相辅相成,不能分割。对关键信息基础设施开展等级保护工作是要保护国家关键信息基础设施安全、维护国家安全的重要手段。

  金融行业信息化发展早、信息化程度高,现代金融服务更离不开强大的信息系统支撑,金融信息系统的安全是国家金融安全的重要组成,金融行业信息系统是国家关键信息基础设施,要求在网络安全等级保护制度的基础上实行重点保护。所以,保障金融信息系统安全首先要从等级保护工作入手。

  CFCA具有多年金融信息系统的安全评估与测评经验,具有等级保护测评资质,CFCA协助客户落实监管部门的安全要求,为国内多家国有银行、商业银行和第三方支付机构提供过专业的安全评估与等保测评工作,全力保障国家关键信息基础设施的安全稳定运行。  

  作者:许定航