信托公司信息安全管理建设研究（三）

　　信托行业信息安全体系研究

　　银行业信息安全体系建设经验

　　由于金融科技的广泛应用，信息安全历来受到银行业高度重视。银行业通过建立完善信息安全治理体系、加强制度建设、提升自身安全技术和数据保护水平，切实保障银行系统持续稳健运行。经过多年发展，众多大型国有银行、股份制银行、政策性银行、城商行等均已建成信息安全管理体系，持续增强信息安全能力，在信息安全体系建设及持续改进方面积累了丰富的经验。我国银行业信息安全体系整体呈现以下

　　特点：

　　1. 建立和完善了信息安全治理体系

　　银行业普遍构建“三个层面，三道防线”的全面信息安全组织体系。董事会、高管层、业务部门和各级分支机构各司其职，从制定战略、明确管理职责和规范体制机制到具体落实执行，网络风险管理逐步融入全面风险管理体系。以信息科技部门、信息科技风险管理部门、信息科技审计部门为主体的“三道防线”的作用日益显著。网络安全保障队伍初具规模，大中型银行普遍建立了信息安全专业处室和专职安全管理团队。

　　2. 信息安全管理制度不断完善

　　银行业以监管指引为依据，建立起较为全面的网络安全制度体系，涉及物理安全、网络安全、系统安全、终端安全、数据安全、开发安全、运行安全、外包管理、风险评估、应急管理等多方面，网络安全管理基础进一步夯实。例如，民生银行(行情600016,诊股)参考业界标准不断优化制度框架，华夏银行(行情600015,诊股)建立 5 大类 50 项相关管理制度。

　　3. 信息安全技术防护水平持续提升

　　银行业建立健全网络安全风险监测预警、信息通报和应急响应机制，不断完善从互联网到内部系统的纵深防御安全架构。一方面，积极开展防攻击、防病毒、防篡改、防瘫痪、防泄密的检测及处置工作，另一方面，主动针对不法分子活动的重点领域，开展舆情收集、暴力猜解监控、钓鱼网站后台数据分析等工作，挖掘潜在受害客户。例如，建设银行(行情601939,诊股)阻断暴力猜解攻击，已累计使 214 万客户免受密码泄露损失。

　　4. 数据安全防护手段不断增加

　　银行业积极构建数据安全保护机制：首先，建立形成较完备的数据治理制度，通过定义规范数据标准，实行数据质量管理要求，建立企业级数据模型，提高业务数据的准确性和一致性。其次，强化数据信息全生命周期控制，做到操作有记录、权限有审批、事后可审计，确保各类数据在生产、使用、传输、存储、销毁整个生命周期的信息安全。

　　5. 关键信息基础设施业务连续性水平明显提升

　　银行业持续加强对关键基础设施的业务连续性和灾备建设，全国性银行和一些规模较大的中小银行已基本建立“两地三中心”的灾备架构，同时积极开展“双活”应用系统建设。此外，银行业积极开展真实切换演练和应急演练，充分加强应急处置能力。

　　信托业信息安全架构及管理体系设计

　　1. 信息安全架构

　　信息安全体系是保障公司信息系统有序建设并安全投产运行的基础，在对标银行业的同时，信托业信息安全体系建设应着眼于信托行业现状并具有前瞻性，力争满足未来三年发展需求，以下是信息安全总体架构：

　　

　　“一个目标”是指“保障信托业务系统安全，促进信托业务转型”，必须以保证信托业务系统的机密性、完整性和可用性为安全根本出发点。“两项原则”是指坚持“积极预防、统一管控”原则和“动态调整，协同高效”原则。

　　信息安全必须采取主动预防的方式及时发现排除风险隐患，根据最新的威胁形势动态调整安全防控措施，采取集中的安全管理机制统一防范各类威胁。要根据业务发展需求及时调整信息安全控制措施，保证业务运营效率。信托公司通过与中国信托业协会、安全服务商协同配合，充分利用外部资源优势建立信息安全联防联动机制。

　　“三个要素”是指人、流程和技术，依据信息安全领域的“三分技术、七分管理”理念，信息安全工作必须坚持以人为本，强化自身信息安全能力。通过建立信息安全制度体系促进信息安全要求与业务融合，通过各类安全技术手段支撑信息安全体系落地。