金控體系下信息安全防護網構建

前言：尋找寫作靈感？中文期刊網用心挑選的金控體系下信息安全防護網構建，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：近兩年金控行業發展迅速，混業經營模式下如何有效構建企業的信息安全防護網，是企業經營者需要面對和思考的問題。本文介紹了金控的定義與歷史機遇，分析了金控體系下信息建設的重要性和安全需求，最后闡述了金控體系下信息安全體系規劃和實踐。

關鍵詞：混業經營；金融牌照；信息安全；管理體系

一、金控的定義與歷史機遇

（一）金控的定義

金控是金融控股的簡稱，是指在同一控制權下，完全或主要在銀行業、證券業、保險業中至少兩個不同的行業提供服務的金融集團。從定義上可以直接反映出金控公司的特點：多金融牌照混業經營，由一家集團母公司控股，通過子公司獨立運作各項金融業務。

（二）金控的歷史機遇

金控公司出現之初，集團母公司多是扮演財務投資的角色，不參與具體業務的運營。隨著國家“十三五”工作的推進，金融改革不斷深化和多元化，單一業務的聚集效應在減弱，而以多業務構建“客戶-平臺-資產”供應鏈閉環生態系統的金控平臺則迎來其歷史發展機遇。其通過資源協同、渠道整合、交叉銷售等運營模式，促進供應鏈上各項金融業務的聯動發展，最大程度地發揮了產品互補優勢，提高效能，享受高額市場回報。

二、金控體系下信息化建設的重要性和安全需求

（一）信息化建設的重要性

打造金控體系下多牌照的閉環生態系統，離不開信息化平臺的建設。換個角度，信息系統是多牌照業務融合、產品創新和效能提升的一種有效手段。如通過信息化建設金控體系下統一的客戶系統、全面風險管理系統、產品銷售系統、大數據分析平臺等，可助力金控集團建立品牌效應，快速響應多元化的市場需求，從而實現業務的爆發式增長?；谛畔⒒闹匾裕C觀目前市場上的各類金控公司，都在大力發展信息化建設，尋找業務創新點，引領行業升級和搶占市場。

（二）信息安全需求分析

對于互聯網時代的金融企業來說，數據是核心，安全是生命線。隨著《網絡安全法》的實施，信息安全已上升到國家戰略層面，構建金融企業的信息安全防護網勢在必行。對于金控公司來說，由于是混業經營模式，旗下不同牌照的子公司，因其監管部門不同以及對信息安全要求不一樣，在規劃其信息安全時，必須將多牌照的特點融入到安全體系內，同時滿足信息安全和業務發展的平衡需求，以免顧此失彼，得不償失。

三、金控體系下信息安全體系規劃

建立一套金控公司的安全體系，必須同時從管理和技術角度進行規劃，管理是運營措施，而技術是操作手段，相輔相成，缺一不可。

（一）信息安全管理體系的規劃

1.對標的選擇。建立一套信息安全體系，目前可對標的標準和規范包括國際標準ISO27001、國家安全標準、各監管機構的安全指引、信息安全等級保護管理辦法，以及行業的最佳實踐等。對于金控信息安全管理體系的規劃，應該以ISO27001為基礎，結合監管的合規要求進行編制。2.設計原則。通常情況下混業經營企業在制定企業管理體系標準時要照顧到各方的使用需求，其標準具有通用性和廣泛性。具體使用部門或子公司可再結合自身業務特點，制定更具體的操作規范。但對于金控行業來說，由于旗下各子公司經營的都是金融業務，對信息安全的要求比普通企業更嚴格，信息安全是其不可逾越的紅線。因此在為其設計信息安全管理體系時，應反其道而行，從嚴要求，以最嚴格的標準進行編制，做好頂層設計，然后根據各子公司的業務特點，對制度或規范做適當的裁減或降低等級要求。3.管理體系模型。信息安全管理體系是一個多層次的模型，如圖1所示。在該模型中，第一層是企業信息安全方針政策，說明企業信息安全總體目標、范圍、原則和安全框架等；第二層是企業安全管理制度和規范，說明體系運行所需要的通用管理要求；第三層屬于安全管理活動中，用于約束安全行為的具體方法；第四層是配套的表單和記錄，用于輔助制度和管理辦法的執行。4.安全目標和方針的設計。雖然是混業經營，但對于金控集團及旗下各子公司來說，信息安全的目標應該是一致的，本質都是追求企業數據的保密性、完整性和可用性，所以安全方針可以基于集團統一考慮，設計為：安全、合規、協同、務實。安全：以風險管控為核心，主動識別、管控并重，為用戶提供安全、可靠的信息技術服務。合規：按照國家法律法規及行業監管要求，建立滿足集團業務發展需求，并具有專業能力的信息安全管理機制。協同：全員參與，對全體員工進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力。務實：以經濟適用為準則，選擇適應公司發展變化的業務架構和穩定靈活的技術架構，滿足各業務條線的管理和決策需要。5.組織架構的設計。信息安全方針的貫徹，安全制度的執行，安全技術的部署，都需要通過安全管理組織來推行。各個模塊相互之間的關系如圖2所示。對于金控行業公司而言，由于多數子公司都是獨立法人，無法完全成立一個實體安全組織，而是一個橫跨集團和各子公司的虛擬安全組織。為保證安全組織的有效性和執行力，應具有分工合理、職責明確、相互制衡、報告關系清晰的特點。6.管理制度及規范的設計。管理制度和規范是屬于企業運營措施，根據ISO27001標準模型，安全管理制度劃分了14個控制域，涵蓋的內容如圖3所示。根據各控制域的關聯關系，結合金融企業的安全需求，企業的安全管理制度通用全景圖設計如圖4所示。

（二）信息安全技術體系規劃

技術體系屬于信息安全操作層面的內容，應該是圍繞整個數據生命周期展開規劃的。根據數據的運動軌跡，經歷“生產-傳輸-計算-存儲-消亡”等階段，所以信息安全技術體系的范圍，應該涵蓋物理環境、基礎架構（含虛擬化層）、應用、數據和訪問控制等。一般通用的安全技術體系全景如圖5所示。由于安全技術需要部署大量的專業設備，對于混業經營的金控公司而言，可以發揮集團總部的先天優勢，對于一些共性的安全技術方案，由集團統一規劃和部署，然后為各子公司提供相應的安全服務，減少投入，節約成本。例如防病毒系統，由集團總部部署服務端，各子公司部署客戶端即可，類似的安全技術服務還有漏洞掃描系統、身份認證系統、終端準入系統、APT檢測系統、安全滲透服務、安全培訓服務等。

四、金控體系下信息安全的實踐

由于是混業經營，在組建了橫跨集團和各子公司的安全組織后，還需要不斷地進行實踐以達到最佳效果，以下是一些具有特色的實踐場景。

（一）信息安全事件的統一管理

信息安全事件的管理是安全制度之一，有效的事件管理可以積極發揮安全效能，提升全集團的安全能力。1.情報共享，協同防護。在管理層面，原各業務子公司只會向其外部監管部門報送安全信息，相互獨立，不能有效共享相關的安全情報。新的模式下要求子公司同時將安全信息上報集團總部，總部通過分析后形成統一報告，再發放到各個子公司。通過這種方式，一方面可以實現情報共享，另一方面可以實現信息安全的統一管控，協調防護。2.統一監控，快速反應。在技術層面，可通過在子公司部署探針，建立集團的統一安全監控平臺，對集團內所有的安全日志進行采集、分析、響應，同時結合集團和各子公司的安全保護措施對事件進行快速處理，合縱連橫，從而保證整個集團和各子公司信息系統的安全穩定運行。

（二）子公司信息安全建設的管理

對于多牌照的金控公司來說，旗下各子公司業務種類不同，規模也有區別。在信息安全的建設方面，應該有區分對待。對于規模較大的子公司，依靠自身力量建設了數據中心及安全體系的，除一些共性的安全技術方案可由集團提供以外，其他的安全措施由子公司執行，集團主要是發揮標準制定和監管的角色。對于規模較小的子公司，由于IT力量較弱，數據中心體量有限，很難依靠自身建設完整的信息安全保護體系。在監管許可的情況下，可以將子公司的信息系統托管在集團數據中心，由集團進行信息安全的統一規劃、建設和運維。

（三）交叉檢查，取長補短

由于同屬于一個集團，各子公司之間具有天然的信任感，通過集團的統一組織和管理，可以促進各子公司之間進行信息安全的交叉檢查，在兄弟公司之間充分展示本單位的優勢，取長補短，相互學習，共同進步。

參考文獻：

[1]ISO27001：2013.信息安全管理體系標準[S].2013.

[2]中國銀行業監督管理委員會.商業銀行信息科技風險管理指引[Z].2009.

[3]中國銀行業監督管理委員會.商業銀行業務連續性監管指引[Z].2011.

作者:廖均龍 單位:廣州越秀金融科技有限公司