首页新闻生活娱乐文化购物美食旅游交通汽车房产教育财经区县人物黄页
您所在的位置: 首页>财经>正文

信托公司信息安全管理建设研究(三)-第5页

来源:魅力葫芦岛网编辑:发布时间:2020/4/27 16:19:00
(4)信息安全监督机构。负责对企业内部信息安全工作的开展情况进行独立的审查和监督,它可以是企业内部审计部门,也可以是独立的外部第三方审计机构。
相比国有商业银行及股份制商业银行,目前绝大部分信托公司信息化建设仍处于初级阶段,大部分系统仍以采购为主,仅少数几家比较领先的信托公司正在进行合作开发或自研。各家信托公司在对信息系统建设的财力和人力投入上也有较大差别,信托公司信息科技部门人数从几个人到过百人不等,差异较为明显。鉴于以上情况,在参照成熟的银行信息安全组织架构的同时,信托公司可立足于行业及公司现状,规划对应的信息安全组织架构,但不论何种配置,必须满足以信息科技部门、风险管理部门、稽核检查部门为主体的“三道防线”基本要求,不同规模信托公司的信息安全部门设计建议如下。
信托公司信息安全管理建设研究(三)-第5页
信托公司信息安全管理建设研究(三)-第5页

信托公司信息安全管理建设研究(三)-第16页

信托公司信息安全管理建设研究(三)-第16页
6. 信息安全监督体系

信托公司信息安全管理建设研究(三)-第15页

(4)物理安全,包括环境安全,设备安全和媒体安全三个方面:环境安全包括受灾防护和区域防护,设备安全包括设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰和电源保护等,媒体安全是媒体数据和媒体本身的安全。
(5)基础架构安全,包括主机(包括云主机)安全、网络安全,保证主机在数据存储和处理的保密性、完整性和可用性,它包括硬件、固件及系统软件的自身安全。
各信托公司应结合自身预算、等级保护合规要求设计适当的信息安全技术架构。以下列示了常见的安全技术平台,其中“必要性”栏目包括“基础项”“可选项”两类建议,“基础项”表明对于所有公司最基本的安全技术手段,“可选项”表明对防护要求更高的安全技术手段。
信托公司信息安全管理建设研究(三)-第15页

信托公司信息安全管理建设研究(三)-第14页

信息安全技术体系是利用各种安全技术、产品以及工具作为安全管理和运行落实的重要手段,最终支撑信息安全管理体系的落地。信息安全技术体系应实现访问控制(可控性)、数据加密(保密性)、内容安全(完整性)、监控审计(不可抵赖性)、灾备恢复(可用性)以及检测发现、响应和修复。
信息安全技术架构需要遵循纵深防御原则,由外到内分层次地采取安全防御措施,通过多道防线保证网络安全。第一道防线是侧重于网络边界,抵御外界入侵的第一道闸口;第二道防线是内部建设的端到端的访问控制、内容安全、备份恢复的事前防御机制;第三道防线是事中的全面监控和事后的及时响应防线。信息安全技术体系覆盖以下方面:
(1)终端安全。构建终端风险体系并对终端风险进行终端安全管理,从而避免终端安全风险事件的发生。
(2)数据安全。一是数据本身的安全,是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性和双向强身份认证等,数据本身的安全必须基于可靠的加密算法,例如对称算法与公开密钥密码。二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份和异地容灾等手段保证数据的安全。
(3)应用安全。保障应用程序使用过程和结果的安全。应用程序或工具在使用过程中可能出现的计算、传输数据的泄露和失窃。应用系统应针对敏感数据实现加密 /解密、签名 / 验签和完整性保护等安全功能。
相关标签:

评论 0条评论

期待你的神评论~
剩余200

全部评论(0

    还没有评论,快来抢沙发~

    点击加载更多

    删除操作

    确认删除此条评论?
    删除
    取消