6、中金所---信息安全等级保护工作实施经验介绍

信息安全等级保护工作实施经验介绍中国期货业协会：主要内容一、中金所等保工作情况简介二、等保工作的原则和思路三、等保测评经验分享四、测评关键点注意中国期货业协会：中金所等保工作情况简介基本情况中金所目前申报信息安全等级保护定级备案的系统有三个，其中两个三级系统，一个二级系统。1、交易系统（三级）；2、业务系统（三级）；3、互联网网站系统（二级）。中国期货业协会：中金所等保工作情况简介测评情况2009年申报定级并正式备案。2010年起，三个系统均每年测评一次。2010年的测评情况，两个三级系统测评项符合率均超过88%；一个二级系统测评项符合率超过96%。2011年的测评情况，两个三级系统测评项符合率均超过90%，高于上一年度；一个二级系统测评项符合率超过96%，与上年度基本持平。中国期货业协会：中金所等保工作情况简介系统建设中金所于2006年开始筹备，并于当年开始信息系统建设工作。在系统设计上，遵循国内外通行的信息安全基本原则，严格遵守国家有关法律法规、上级单位的有关规定，吸收借鉴行业内的先进经验。中国期货业协会：中金所等保工作情况简介自查与测评2007年，中金所信息系统建设已经初步完善。在国家正式发布《信息安全等级保护管理办法》之后。我所依据信息安全等级保护已发布的相关标准文件进行了深入自查，并邀请有关单位对我所系统进行了测评，测评结果良好，但也发现了一些需要整改与完善的问题。中国期货业协会：中金所等保工作情况简介整改与提高2008-2009年，我所对测评中发现的问题进行认真分析与讨论，在所领导统一部署下，分阶段完成了问题整改与系统完善工作；2009年，信息系统正式申报定级备案。中国期货业协会：中金所等保工作情况简介定期测评完善2010年起，邀请国家指定的测评机构进行测评；对测评中发现的问题，能立即整改的则进行整改；暂不能整改的，专人进行记录，督促相关岗位择机整改。所领导特别要求总结问题原因，寻根究底，举一反三，确保已发生的问题未来不再重现。中国期货业协会：主要内容一、中金所等保工作情况简介二、等保工作开展的原则和思路三、等保测评经验分享四、测评关键点注意中国期货业协会：等保工作开展的原则和思路领导重视是关键全员意识是核心扎实工作是保证基本原则：中国期货业协会：等保工作开展的原则和思路领导重视是关键我所领导始终重视信息安全工作，将严格遵守国家有关法律法规及上级单位规定，作为不可逾越的红线来抓。信息系统建立初期，就建立起分工明确、协作高效的信息安全组织架构。中国期货业协会：等保工作开展的原则和思路领导重视是关键信息安全组织架构建立本身就是《信息系统安全等级保护基本要求》中的一项重要要求。众多事实和经验证明，领导重视是确保信息系统安全的核心要素之一，也是推进信息系统安全等级保护工作的必备要素。可以想象，领导都不重视的工作，其执行力会是怎样？中国期货业协会：等保工作开展的原则和思路全员意识是核心信息安全工作不是领导和部分人员的工作，需要全员参与、统筹调度，只有全员意识到位，才能把工作做好。我所每年安排多次全员信息安全意识培训，各部门领导、员工对信息安全等级保护工作的重要性均有清晰的认识。反复的培训、宣传是必不可少的！中国期货业协会：等保工作开展的原则和思路扎实工作是保证信息系统安全等级保护工作不是靠口头说教、制定好制度就能做好的，扎扎实实地将标准规定的内容落实、把各项制度落到实处是做好等保工作的保证。技术部门是信息安全等级保护工作的重点部门之一，在信息系统建设、完善中重视每一处细节，才能将等保技术要求落实好。中国期货业协会：等保工作开展的原则和思路扎实工作是保证安全管理不是空泛的口号，要把安全管理制度的内容融入到日常工作中。发现与实际工作不匹配、内容不完善的制度要随着实践的深入不断修订完善。实际去做了，才能发现问题、解决问题！中国期货业协会：等保工作开展的原则和思路新建系统，严格要求，一步到位改建系统，统筹规划，适时完善安全工作融入日常管理关键要求必须符合循序渐进逐步提高主要思路：中国期货业协会：等保工作开展的原则和思路新建系统，严格要求，一步到位新建系统的设计上应该严格要求，采用的标准尽可能靠高不靠低；一次设计、实施后即符合等保要求。我所在新一代系统的设计中，总结以往建设经验，采取更严格的设计，力求不走弯路。设计之初存在的问题，依靠未来完善将困难重重！中国期货业协会：等保工作开展的原则和思路改建系统，统筹规划，适时完善改建系统部分无法完全符合等级保护测评要求的问题，要及早统筹规划，选择合适的时机进行完善。系统改建将可能影响业务的运行，因此不能盲目地变更修改，需要在整体上统筹规划，制定整改时间表，选择合适的时机进行完善。没有统筹规划的变更可能带来更大的安全隐患！中国期货业协会：等保工作开展的原则和思路安全工作融入日常管理把安全工作融入到日常管理中，久而久之，形成习惯，难做的事情就会变得容易做。我所的安全制度、操作规范都具有很强的操作性，制度是靠各岗位共同分析讨论制定且不断完善的。日常工作符合安全规范，就不会觉得安全工作难做！中国期货业协会：等保工作开展的原则和思路关键要求必须符合信息系统安全等级保护工作虽然没有特别说明哪些要求是必须符合的，但是一些属于信息安全基本原则性的要求是必须符合的。例如：可用性要求很高的环境下的单点故障、弱访问控制、设备或系统弱口令、密码明文保存等相关要求，都是严格符合的要求。核心原则与要求不能违背！中国期货业协会：等保工作开展的原则和思路循序渐进逐步提高想要百分之百完全符合信息系统安全等级保护所有要求可能存在困难，而且即使是暂时符合了，随着系统的运行，系统可能遭受的风险并不可能消失，所以必须不断完善与提高，这是一个循序渐进的过程。测评通过不是高枕无忧！中国期货业协会：主要内容一、中金所等保工作情况简介二、等保工作开展的原则和思路三、等保等保经验分享四、测评关键点注意中国期货业协会：等保测评经验分享支持：获得领导的支持意识：不把等保测评当负担自查：测评前要认真自查沟通：与测评机构保持良好沟通测评：实事求是，目的就是要发现问题整改：问题要扎扎实实整改提高：靠日常管理，不靠年年“搞运动”主要经验：中国期货业协会：等保测评经验分享支持：获得领导的支持如果本单位领导都对信息系统安全等级保护工作不重视，那么等保测评工作基本上就可能成为应付差事的表面文章。所以测评前一定要获得单位最高领导、分管领导、部门领导的大力支持。我所领导反复强调等保工作的重要性，对发现的问题都要求反思、整改、汇报结果。中国期货业协会：等保测评经验分享支持：获得领导的支持各部门、员工能切实感到领导的重视及压力，才能顺利开展协调组织工作。领导的支持与重视在等保标准中有明确要求。《信息系统安全等级保护基本要求》7.2.2.1（c）：应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。当压力转化为动力，工作开展就容易了！中国期货业协会：等保测评经验分享意识：不把等保测评当负担要树立等保测评是好事，不是负担的意识。外部测评机构均具有丰富的经验，请他们来帮自己找问题是一个难得的机会。是一个很好的学习、交流、提高的机会。我所历来抱着欢迎测评的态度开展工作。不同的人从不同的角度来检查可能会发现我们忽视了的问题。中国期货业协会：等保测评经验分享意识：不把等保测评当负担在测评前，难免会有部分员工对测评工作不理解，觉得测评就是来“挑毛病”的思想。应该通过反复宣传使所有员工对测评有一个清醒的认识——及早发现问题予以整改，比这些“毛病”在未来酿成大祸好。换个角度去看待测评工作，也许就不再觉得“头疼”了！中国期货业协会：等保测评经验分享自查：测评前要认真自查在测评前，要对信息系统进行自查。一些显而易见的问题要及时整改。违反核心原则的问题如果不整改，系统不可能通过测评。可以对照《证券期货业信息系统安全等级保护三级系统测评（自查）表》《证券期货业信息系统安全等级保护二级系统测评（自查）表》逐条检查。建议把每条内容记录在案，是否符合一目了然。中国期货业协会：等保测评经验分享自查：测评前要认真自查自查绝对不能停留在表面，要对实际情况做梳理和检查，就可以对本系统的符合情况有一个清醒的认识。将查找到的问题汇总、分析、讨论后进行整改。我所自查一般是每季度执行一次。自己都不清楚本单位信息系统中的问题，那一定是问题重重！中国期货业协会：等保测评经验分享沟通：与测评机构保持良好沟通要和当地测评机构保持良好的沟通与协调。较好的办法是在测评前即与拟定的测评机构建立沟通机制，对于测评要求中不能把握的测评项，可以向测评机构的资深人员进行咨询。选择在本行业内做过多次测评的机构可能更有利于测评工作的开展。良好的沟通是测评工作顺利开展的前提条件之一！中国期货业协会：等保测评经验分享测评：实事求是，目的就是要发现问题测评工作中，实事求是，保持开放的态度，不回避问题，测评机构提出的检查点全力配合。“一句谎话要用十句谎话去圆”，抱着与测评机构相同的目的才能真正找到问题，更加有利于整改。一次查到问题要比下一次继续掩盖好得多。对测评机构不怀有抵触情绪，配合检查才能发现潜在问题！中国期货业协会：等保测评经验分享整改：问题要扎扎实实整改测评中发现的问题，要扎扎实实地整改，确保下次不再发生。部分测评项几乎很难满足，可以和测评机构进行沟通、解释、说明，最终是否认可取决于测评机构。除关键问题外，有些问题虽然存在，但如果有合理的补偿控制措施，在整体评估中会被视为符合。及早将问题整改能大大降低信息系统风险！中国期货业协会：等保测评经验分享提高：靠日常管理，不靠年年“搞运动”信息系统安全的提高主要应该依靠日常管理和控制，不能靠年年“搞运动”。风险是随着系统运行不断累加的，仅仅依靠测评来降低系统风险不切实际。日常的信息安全管理才是最重要的。测评是检查手段，不是检查目的。日常工作中加强信息安全管理，测评就变得简单！中国期货业协会：主要内容一、中金所等保工作情况简介二、等保工作开展的原则和思路四、测评关键点注意三、等保测评经验分享中国期货业协会：测评关键点注意测评通过的基本原则原则上测评所有项中，符合率大于60%，不符合率小于15%，且不存在高风险安全问题即可通过。但由于各单位系统规模、重要程度以及对保密性、可用性方面的要求有所不同，很难对高风险问题作一个绝对的判断，一般还是根据实际情况分析确定。所以要向测评机构详细说明业务重要程度等信息。中国期货业协会：测评关键点注意常见高风险安全问题1、网络访问控制措施存在明显不足，甚至无任何访问控制设备，主机所有端口全部暴露在外的。2、主要网络设备、安全设备配置极其不当的