券商更注重数据安全保障
作者:天磊咨询
发表日期:2020-10-08
来源:天磊咨询
光大证券公司信息技术总部首席安全可靠专家刘高认为,《网络安全法》明确了网络信息安全的主体责任及处罚措施,对增强各行业、各单位网络信息安全意识,贯彻国内网络信息安全建设,强化网络信息安全基本性,都具有重要作用。据他介绍,《网络安全法》施行后,光大证券积极响应相应标准,在全面梳理信息系统安全可靠防务系统的基本性上,按照《网络安全法》关于个人信息保障的相应标准,提升了对数据安全、本人信息安全保障的保障力度。
一是针对态势感知做了一些调研,目前测试方案已经成型,同时针对移动安全态势感知开始立项,也根据了一些测试;
二是按照实行监测、记录网络运行模式、网络信息安全事件的技术措施,并按照明文规定保留相应的网络日志不少于六个月的标准,迅速做出调整,将互联网类应用系统的日志记录保留周期延至六个月;
三是加大了《网络安全法》对信息安全宣传的力度,公司定期组织信息安全专项培训,提高公司全体员工的安全意识。这样的培训上下半年各一次。此外,信息技术专业人员安全培训每季度开展一次。
为保障信息系统的安全可靠运行,光大证券除了做好日常的运维,对信息系统的安全监控频次也大幅提升。安全监控都有详细的日志记录,负责落实到人。同时,光大证券还将企业邮件系统纳入到等级保护测评的工作范围内,以监管标准为准绳全面加强信息安全保障。
大家首先把制度体系做了一些必要的修编和健全,同时相结合这些修编健全的制度体系,优化了内部管理流程,使相应安全制度能够落地执行,并且可以根据电子化的手段去审计和追溯。“中信建投证券公司信息技术总监张建军介绍,“其次是运用沙箱技术构建了安全管理纵深防御体系。
这个体系是基于安全运营构建的一个工作平台,并尝试利用大数据、人工智能技术提高系统发现安全问题的及时性和准确性,提高对未知威胁的感知和处除了制度修编和工作流程的健全之外,中信建投证券公司还提升了一个相对比较重要的环节,即根据人工的方式方法做好定期的安全可靠模式的评估报告和安全事故案例的反应与跟踪,并根据“短中长”相结合的方式方法对其进行贯彻、夯实。
“短”指公司每个月都会对信息系统的整体运行状况做好评估报告,
“中“指公司每年都做好内部的信息安全评审工作;
“长”指力求根据全方位的安全可靠治理措施,持续贯彻安全可靠的常态化建设。
除了制度修编和工作流程的健全之外,中信建投证券公司还提升了一个相对比较重要的环节,即根据人工的方式方法做好定期的安全可靠模式的评估报告和安全事故案例的反应与跟踪,并根据“短中长相结合的方式方法对其进行贯彻、夯实。“短”指公司每个月都会对信息系统的整体运行状况做好评估报告,“中”指公司每年都做好内部的信息安全评审工作,长“指力求根据全方位的安全可靠治理措施,持续贯彻安全可靠的常态化建设。
谈到1年来的变动,张建军总结到:“首先,对于商业服务用户来说,数据防泄密是重中之重。在信息时代,敏感数据也是企业客户最具价值的东西。很多有组织、有预谋的违法犯罪全部都是以盗取企业客户敏感数据为基本性,因而做到盗取企业客户账户资金的目的。因此,加强数据防泄密的保障工作能力,是金融机构义不容辞的法律义务。1年来,大家根据成效显著的工作,如:加大力度贯彻商用密码改造,梳理各业务系统之间的业务逻辑,引入安全可靠情报分析辅助防范新型攻击方式,及时发现安全可靠威胁并作出快速反应。
该公司信息技术副总裁姜明元表示,针对《网络安全法》关于网络攻击入侵检测的标准,公司今年将持续深化安全管理流程优化,加快提高风险事件监测工作能力和应急处置工作能力。这些工作完成后将使公司的数据保护水平迈上新台阶。
呼吁相应实施方案快速施行
针对《网络安全法》实施后的一些具体细节,刘高坦言相对比较关注数据保护的实施方案标准规范,这是贯彻《网络安全法》相应标准中难度系数相对比较大的部分。他举例:“比如OA系统中的个人信息是否属于保障范围还需要进一步明确。而且个人信息保障应当做到什么强度,处罚措施和力度如何界定等,作为责任人都缺乏相应的执行标准。本人建议,对于《网络安全法》应快速推出相应具体标准的实施方案。”
张鸿宇表示:“展望下一步施行的《网络安全法》的工作要求实施方案,大家希望能针对不同的行业领域给予行业性的标准和意见,指导、帮助为数众多的中小商业银行不断加强和健全网络信息安全工作。”
全国人大根据《网络安全法》的重大意义在于,从此以后国内网络信息安全工作得到基本性的法律法规框架结构,得到网络信息安全的“基本法”。作为信息安全重点行业的金融业更应贯彻网络信息安全实践,增强企业信息安全。
收藏
取消收藏