新形势下金融科技信息安全管理体系分析

高杰豪

摘  要：随着信息革命的快速发展，人们的生活方式发生了翻天覆地的变化。金融科技在服务社会的同时，也带来了潜在的风险。 国内外信息安全事件屡见不鲜，千亿级网络黑产对金融安全构成严重威胁，金融业网络安全防控压力巨大。金融科技业务面临更严格和更系统的监管要求，违规可能导致业务停止。本文从完善信息安全管理体系的角度，结合国内外对信息安全的监管要求，审视新时代背景下金融领域信息安全的安全风险防控。

关键词：新形势;金融科技;信息安全;管理体系

引言

为保障金融业平稳发展，国家出台多项监管政策，不断完善监管体系。可以预见，金融科技业务将面临更严格、更系统的监管要求，违规可能导致停业。近期，由于信息安全漏洞，一批互联网应用被下架，都表明需要不断加强信息安全管理，严格落实管控责任，遵守合规原则是企业可持续发展的必要前提。

一 构建“技防+人防”体系

构建“技防+人防”的信息安全生态系统，严格遵守合规原则，外部防范来自网络威胁的攻击，内部防止机密数据泄露。

从管理体系看，通过组织、制度、技术、运营、监督五项主要管理体系建设，完善管理体系。通过依法建设数据中心、管理和维护信息系统和数据，严格落实客户财务数据保护，加强合规保障。通过内部信息安全审计、信息系统外包给公安机关和其他安全评估、ISO标准和管理体系认证、互联网应用测试和认证等方式进行持续的管理和监控。

从技术体系来看，通过多层监视拦截系统，纵深防御，包括抗DDoS拒绝服务攻击防护、APT高级持续威胁防护、WAF应用入侵防护、密网攻击诱补防御等措施，加强网络边界管控。通过实施全方位的端点控制措施，包括计算机杀毒、磁盘加密、屏幕水印、打印水印、DLP 电子邮件拦截、HDLP 桌面行为管控等，加强内部风险管理，防止数据泄露和敏感信息被滥用。借助智能信息安全风险管理系统，实时监控和智能分析，对信息安全事件及时预警和闭环响应，减少影响和发现，持续优化及时预警和信息安全事件解决闭环，减少影响，举一反三、持续优化。

在联动机制上，信息安全、风险控制与合规、审计与监控、人力资源之间的紧密联系，避免了客户数据泄露事件的发生。 组建安全、合规、审计人员联合工作组，打造信息安全一、二、三道防线统一战线，主动防控，加强管理。通过层层强化管控职责，明确各部门信息安全责任，确保信息安全管理体系自上而下连通，信息安全管控要求得到沟通和落实。

二 夯实“五大”管理基础

建立组织、制度、技术、运行、控制五项基本信息安全管理体系，强化安全管理和安全管控基础。

2.1 组织体系

压实责任—坚持“三道防线”原则，明确各部门职责，坚持一把手负责制。

决策层面—成立信息安全领导工作组，协调管控工作，以单位负责人为主导，各单位负责人作为成员参与任务的执行。 高水平设计促进了信息安全工作的“一把手工程”和信息安全管理与信息安全控制的有效性。

管理层面—根据当前信息安全管控工作的技術特点，由信息技术部牵头，前、中、后台各部门协同配合。信息安全、风险合规、审计监督是防控信息安全风险的三道防线，也是防控企业信息安全的基础。

将信息安全事件与部门和个人的业绩贡献挂钩，将信息安全充分融入到企业的血液中，以保障企业稳健前行和可持续发展。

执行层面—为确保信息安全管控措施的有效实施，各部门设有信息安全联系人，与信息安全管理部门协同工作。通过层层梳理管控职责，将信息安全事件与对部门和个人生产力的贡献挂钩，将信息安全充分融入公司血液，确保公司不断进步和可持续发展。

监管层面—通过二级和三级风险防控，以及风险合规监测审计，监测审计环节，确保信息安全体系的持续优化和有效运行。

2.2 制度体系

坚守底线—遵守法律法规、监管要求、国家标准、行业自律公约等要求，从宏观政策制定层面到微观运营规范的制定和实施，一个信息安全体系主要包括安全策略、实施策略、流程和标准、形式和工具。

信息安全策略—明确组织日常运营和管理流程的要求，包括安全组织的建立、人员配备、资产管理、物理环境控制、通信运营安全、系统开发活动、访问控制限制、共同管理、第三方和安全培训、进行安全审计、事件响应和安全解决、确保业务连续性、预防和控制合规风险等。

信息安全程序和标准—明确信息安全政策的要求，通过建立基本的安全标准、规范和程序来确保安全，将制度融入公司的日常工作中。

信息安全工具和表单—仅仅依靠公司员工的自觉自律来实施信息安全政策的要求是不够的，为了实现智能信息安全生态系统，有必要在流程上建立制度，在系统上构建流程。

2.3 技术体系

逐步进阶—具备信息安全的技术特点，对各级安全管控实施深度管理。在纵深防御方面：一是建立网络管控分区体系，通过外网交互区、内网交互区、内网办公区、生产环境区创建网络分区，确保网络边界管理;二是完善网络威胁防护体系，通过防火墙拦截、密集网络拦截、攻击拦截、主机安全加固、权限控制、加密隔离等措施防范攻击和入侵者;三是通过权限最小化、访问控制、出局拦截、水印检测、行为监测分析等加强终端安全管控体系，防止数据泄露。

结束语

信息安全管理不是一朝一夕的工程。 为了保持信息安全体系的有效性，必须坚持PDCA原则，通过先管控、后优化，不断适应要求，不断完善信息安全管控策略。网络安全环境应由企业安全生态、产业安全生态、社会安全生态共同保障。 只有全社会共同防控、共同制定标准、共同设定门槛，才能确保网络环境清晰，实现共赢未来。

目前，国家层面的工作正在进行中，通过不断立法完善网络安全生态，加强企业内控管理，保障群众权益。为保障行业健康稳定发展，企业必须通过不断的研究、实践和积极创新，壮大自身，夯实信息安全基础，输出经验。行业需要自律，加强自律是行业可持续发展的保障。监督要引导，通过积极引导，搭建平台，对接各种资源，打造网络安全生态系统。

参考文献

[1]刘进，李江波，叶兵. 新形势下金融科技信息安全管理体系研究[J]. 网络空间安全，2021，12（3）：1-6. DOI：10.3969/j.issn.1674-9456.2021.03.001.

[2]宫哲，张建毅. 新形势下商业银行网络安全威胁环境分析及信息安全体系转型研究[J]. 现代管理科学，2015（10）：46-48. DOI：10.3969/j.issn.1007-368X.2015.10.015.

[3]杨群安. 数据集中模式下商业银行信息化建设研究——以中国工商银行为案例[D]. 北京：中国人民大学，2006.