ISO27001认证体系建设提升银行系统的信息安全保障能力

 随着交通银行“两化一行”战略（strategy）的实施，全行业务运营对信息技术的依赖程度越来越高。相关信息系统的安全性(security)、可靠性和有效性直接关系到客户权益的保护、全行服务质量的提升和百年品牌的美誉度，甚至会影响(influence)整个银行业的安全和国家金融的稳定。

    运用ISO27001 国际标准
    如何应对日趋庞大的信息系统(system)规模和日益严峻(strict)的信息安全形势，如何界定信息安全工作边界，如何掌握信息安全管理突出点，如何落实信息安全控制措施，这些问题曾一度困扰着我行。军工认证承担武器装备科研生产任务的单位，一般应取得武器装备质量管理体系证书、武器装备科研生产保密资格证书、武器装备科研生产许可证书和装备承制单位资格证书，简称“四证”。根据交通银行经营战略要求，我们选择(xuanze)了国际上通用的信息安全管理体系标准——ISO27001 作为行动指南，建立、运行并维护适合自身特点的信息安全管理体系。
    ISO27001 是英国标准协会（BSI）针对信息安全管理而制定的一个标准，最早始于1995 年，前身为BS7799，后几经改版，成为了目前被一般应用的信息安全管理标准。ISO27001认证信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失。最新版本是2013 年10 月发布的ISO/IEC2700
　　1:2013 及配套的ISO/IEC2700
　　2:2013。ISO/IEC27001 是信息安全管理体系要求，详细说明建立、实施和维护信息安全管理体系的要求，用来指导相关人员建立适合企业需要的信息安全管理体系（ISMS）。
    ISO/IEC 27002 是信息安全管理体系实践规范，详细说明信息安全管理的领域、控制目标(cause)和控制措施（指针对问题的解决办法)。
    开展信息安全管理(guǎn lǐ)体系建设工作
    作为企业整个管理体系的一个重要组成部分，信息安全管理体系是企业围绕其特定的信息安全方针和目标而建立的一系列管理活动。为定义这一系列管理活动，交通银行做了以下工作。
    1. 明确信息安全工作定位。交通银行根据自身业务特点和信息分布情况，确立了以IT 为试点，针对总分行I
　　T、业务及保障部门进行整体设计的建设范围(fàn wéi)；根据客户对金融服务的期望值和我行参与国际竞争的需要，确立了以“防范（解释:防备、戒备)于未然”为信息安全管理活动的目标；最终，交通银行将“统筹规划、预防为主、标本兼治、稳健（prudent)合规”作为自己的信息安全方针和行动指南，从而在战略层面明确了信息安全工作的定位。
    2. 梳理并确定信息资产。信息资产是由企业拥有并能够为企业带来价值的重要资源。对信息资产的保护也是信息安全管理(guǎn lǐ)体系中的核心网站内容。交通银行对内部信息资产进行了分类分级，对不同级别信息资产的保护提出不同的要求，有针对性地实施对信息资产的识别、登记(registration)、评估与保护，确保重要信息资产的保密性、完整性和可用性。
    交通银行将信息资产分为5 大类，即固定资产、软件资产、数据资产、人员资产和服务(fú wù)资产，每类资产又可分为5 个安全性(security)等级，从而明确了信息安全管理对象和管控重点(zhòng diǎn)。HACCP认证危害的含义是指生物的、化学的或物理的代理或条件所引起潜在的健康的负面影响。食品生产过程的危害案例包括金属屑（物理的）、杀虫剂（化学的）和微生物污染，如病菌等（生物的）。今天的食品工业所面临的主要危害是微生物污染，例如沙门氏菌、生态氧157：H7、防腐剂、胚芽菌、峻菌、肉菌等。接着，根据业务性质对信息资产进行全面梳理和风险识别，查找潜在隐患，通过(tōng guò)科学的风险评估手段分析隐患的大小及成因。在此基础上，对重点管控对象所面临的风险进行分析，确定了高、中、低三个风险等级。
    本着控制成本和风险(risk)平衡的原则，定义了一系列高效、可行的信息安全管理(guǎn lǐ)活动。如，对人员资产，重要岗位人员在入职、转岗、离职过程中严格把关。包括：在人员入职前进行背景调查，签订保密协议等；在人员转岗或离职时对相关物品进行交接和权限回收，执行脱密期等；同时，针对各类人员岗位性质，开展(kāi zhǎn)信息安全教育，加强信息安全员履职能力培养，提升全员信息安全意识，有效防止信息安全风险在人员资源安全这个领域发生。对各个业务部门，我们明确了专、兼职信息安全管理员岗位的配备与培养，以协助部门负责人承担信息安全第一责任(zé rèn)人的职责。
    3. 加强信息安全管理(guǎn lǐ)。在现行的组织架构基础上，交通银行成立了以一把手或主管信息科技工作的行领导为组长、相关部门负责人为组员的各级信息安全保障领导小组。领导小组的职能是定期召开工作会议，研究安全形势，执行上级决议、布置工作任务，解决相关问题(Emerson)，全面指导、协调本级信息安全相关工作。
    总行信息安全保障(起保障作用的事物)领导小组是全行信息安全工作的决策机构，指挥总行条线管理部门及各分行信息安全保障领导小组开展工作，各级信息技术管理部门作为信息安全保障领导小组办公室，全面组织落实相关工作，明确各单位负责人是信息安全第一责任人，确保信息安全管理延伸到银行的各个条线、各个层面，做到“横向到边，纵向到底”。