| 当前,金融服务与信息技术深度融合,国内外网络安全形势错综复杂,全面落实银行业网络安全责任制,构建全方位、多维度,集技术、管理于一体的有效的网络安全纵深防御体系,成为金融机构面临的一项重要课题。中行陕西省分行认真贯彻落实习近平总书记关于网络安全和信息化工作重要指示精神,以陕西银保监局组织开展的“网络安全提升年”活动为契机,深入推进落实网络安全责任制,提升网络安全和信息化工作水平,全力确保关键信息基础设施平稳运行。
一、认清形势、提高站位,高度重视网络安全工作
随着网络技术的高速发展和广泛应用,网络已成为继陆、海、空、天后的第五大主权空间,网络安全成为国家安全的重要组成部分,网络空间成为各国争相抢夺的新领域、军事角逐的新战场。与此同时,必须清醒认识到,当前网络安全威胁无处不在,数据泄露事件层出不穷,网络诈骗案件屡禁不止,关键基础设施频遭攻击,我国面临的外部网络安全形势复杂严峻,主要表现为“四个没有变”:一是西方国家谋求网络空间霸权的行径没有改变;二是网络空间争夺中敌强我弱的态势没有改变;三是敌对势力利用网络颠覆中国的图谋没有改变;四是网络核心技术受制于人的局面没有改变。
十八大以来,党中央高度重视网络安全工作,习近平总书记发表一系列重要讲话、作出一系列重要指示,强调要切实加强党的领导,牵住责任制这个“牛鼻子”,推动责任层层传递、压力层层传导、任务层层落实;强调要注重网络安全与发展的辩证关系,安全是发展的前提,发展是安全的保障,必须统筹兼顾,同步推进;强调要深入开展网络安全知识技能宣传普及,提高广大人民群众网络安全意识和防护技能。习总书记的重要指示,思想深邃、内涵丰富,是做好新时代网安工作的根本遵循和行动指南。
金融领域的关键信息基础设施是经济社会运行的神经中枢,金融业务高度依赖金融网络和信息系统,金融机构作为关键信息基础设施的运营者,必须切实担负起金融系统安全运营及信息安全保护的责任和义务。
二、加强培训、提升能力,压实网络安全工作责任
习近平总书记深刻指出:“网络安全和信息化是一体之两翼、是驱动之双轮”。金融行业信息化起步较早,信息技术在促进金融市场和业务快速发展的同时,也给网络与信息安全保护工作带来了很大的挑战。监管机构近年来陆续出台了多项关于信息安全的法律法规,明确了银行在客户信息保护方面的责任,要求银行加强网络安全和数据治理,防范侵犯公民个人信息案件发生的风险。长期以来,中行陕西省分行高度重视网络安全工作,持续提升网络和信息系统安全水平,切实提高全行员工的安全意识,着力构筑客户信息和重要数据保护的铜墙铁壁。
今年5月份以来,中行陕西省分行认真贯彻落实陕西银保监局监管要求,结合本单位实际,扎实做好“网络安全提升年”活动的安排部署、组织推动工作。牢牢抓住学习培训这个重点,组织全辖中高级管理层积极参加“金融云大讲堂”视频培训,积极参与系统内和监管机构组织的安全交流培训活动,印发人手一册的《网络安全提升年宣讲制度汇编》,让各级管理者和一线从业人员了解掌握国家网络安全政策、法律法规和相关监管要求。牢牢抓住宣传引导这个关键,综合运用微信、微博、短信、营业场所LED屏等线上线下宣传渠道,加强网络安全知识、网络安全文化理念的推送和传导,积极营造网络安全人人参与的良好氛围。牢牢抓住务求实效这个落脚点,严格对照监管要求,查漏补缺,明确各级管理人员网络安全工作责任,持续提升网络安全管理及机制建设的规范性和有效性。
三、健全组织、加强协同,优化网络安全工作机制
完善网络安全管理的组织架构,完善融合科技和业务、覆盖辖内分支机构的网络安全应急组织架构。陕西省分行网络安全领导小组是以科技管理委员会成员为基本架构组成,包括所有条线管理部门。网络安全工作小组是以信息科技部骨干人员组成。网络安全工作基本仅由信息科技部门组织开展,没有形成跨机构、跨部门、跨条线的完整组织架构和应急流程,难以抵御和有效应对网络攻击行为和突发事件。目前,面对网络攻击时,各业务部门、各分支行等各级机构都可能成为网络攻击者的突破口。因此,需要将业务连续性和网络安全管理有效结合起来,进一步完善融合科技和业务、覆盖辖内分支机构的网络安全应急组织架构,进一步完善网络安全事件业务连续性应急流程,牢牢守住不发生较大及以上事故和社会影响较大事故底线,进一步强化责任担当,加强日常监督和检查,严格倒逼问责,层层落实网络安全责任。要进一步强化组织推进,完善“主要领导带头抓、分管领导具体抓、其他成员承担重要引导责任”的工作机制,各负其责、紧密配合,努力形成加强网络安全管理的工作合力,做到风险防控多点联防、协同发力。责任责任,有问责才能确保人人尽责,负起重任。要严格落实问责追责相关制度规定,对各类安全事故全面开展责任倒查,做到“问事必问人、问人必问责、问责问到底”,严厉查处失职渎职、违法违规行为,真正打真正打到痛处,惩到关键处,形成强大震慑作用,倒逼安全责任真正落到实处。
四、多措并举、久久为功,持续提升网络安全防护能力
客户信息是银行的核心资产,网络安全和数据保护是银行经营发展的基本前提。金融科技还原服务金融本性,系统的安全生产应放在首位,为此应该做好以下几点。第一,持续完善安全技术防护体系。以安全运营中心建设为核心,建立以主动防御为目标,纵深防御为基础的一体化网络安全保障体系,实现网络安全风险预警、实时监控、关联分析与快速处置的全流程管控。总行已经初步建成安全运营中心(SOC),省行也在进行以安全态势感知平台为基础、其它安全管理设备为辅助的安全管理平台项目建设,从网络安全设备、系统、应用、中间价、数据库等信息资产中,集中收集各类安全日志信息,结合网络流量数据进行关联分析,实现安全威胁监测的一体化集中管理。通过引入安全威胁情报、大数据分析、机器学习等新兴技术,强化实时发现各种网络攻击和威胁事件能力。同时,结合总分行、海内外联动的信息安全事件响应机制,落实跨机构、跨部门的职责分工和协同工作机制,加强业务部门、信息科技部和第三方的联动,全面提升省行的网络安全事件处置能力。第二,继续加强基础设施保障、应用系统安全开发、生产系统运维和灾备中心建设,建立健全业务不间断保障体系,充分发挥同城、异地备份机制对确保业务连续性的关键作用。总行已经建立了“两地三中心”的灾备体系,省行也在网络级灾备的基础上,升级系统级灾备能力。同时,继续加强科技投入,完善基础设施保障能力,加强应用系统的安全开发和运维,坚持安全生产根本,结合业务连续性演练,不断完善灾难恢复计划和业务连续性计划的有效衔接,充分提升系统和业务的灾难恢复能力。第三,定期开展应急演练。应急演练不“走过场”、不“装样子”,注重实效,体现演练的价值,不断完善应急预案,提升应急响应水平。在传统应急演练的场景下,增加网络安全事件和第三方联动演练计划,提升事件处置能力。还要加强与金融行业监管机构的合作,全面提升省行的网络安全运营能力。
网络安全不是一个单纯管理或技术层面的战术问题,而是一个关系到企业生存的战略问题。网络安全需要高管们对其有清晰、正确和全面的认识,通过主动和积极方式将其作为组织治理、风险管理和业务连续性框架的必不可少的一部分。随着网络安全形势的日益严峻,国家和行业网络安全监管的日益严厉,中行陕西分行高管层将加强对网络安全的工作协同、改善工作机制、保持持续有效的建设投入、以灵活和恰当的方式构建和形成具有弹性的企业网络安全体系。 (供稿:中行陕西省分行 姚正鹏 撰稿:中行陕西省分行 王利锋) 【编审:荆东;编辑:张波】
|
