当前证券业务发展特点
证券业作为我国金融行业的重要的组成部分,承担着帮助上市公司融资的重要作用,当前全球经济处于企稳回升阶段,国家出台多项经济刺激计划,促进内需、力图保证经济增长达到8%,在这种大环境下,资本市场理所当然的成为经济发展的助推器。
为了实现建立多层次资本市场的目标,管理层也推出了创业板。深交所也之前也加紧组织各证券公司进行创业板交易系统的集中测试工作。由此可见,当前证券业发展迅速,各种新业务层出不穷。
证券行业的信息安全管理
新业务的发展离不开IT的支持,在强调维稳的大环境下,IT系统是否安全可靠直接影响到业务能否平稳运行。为了保证证券业务安全、稳定运行,管理层非常重视证券行业的信息安全建设,发布了多项信息安全方面的规章制度,并定期组织对各证券公司和基金公司进行信息安全检查。在今年***的证券公司分类监管规定中,***将证券公司的信息安全管理水平作为评价证券公司级别的重要指标,也就是说如果某家证券公司的信息安全工作做的不好,会直接影响到它的评级,进而影响到其业务的发展,由此可见,管理层对于证券行业的信息安全管理的重视程度。那么如何增强证券公司的信息安全保障能力呢?我觉得包括以下几个方面:
一、严格落实管理层发布的信息安全方面的规章制度
管理层发布的信息安全相关的规章制度是参考了众多信息安全专家的意见并结合证券业务特点制定的,这些规章制度内容非常详细,操作性强,具有很好的指导意义,可以说是非常好的信息安全管理操作指南。各证券公司如能真正落实相关规定,一定会在很大程度上增强其信息安全保障能力。但前提是证券公司真正意识到信息安全的重要性,并采取措施落实相关工作,而不是为了应付上级的信息安全检查,随便敷衍了事。
二、公司管理层对信息安全工作的支持
谷安天下在以往的信息安全咨询过程中发现个别公司的管理层仅对公司产生直接盈利的业务比较重视,对不直接产生经济效益的信息安全工作关注较少,仅仅是口头说重视,但又不采取具体行动对信息安全工作给予支持。这样即使下面的员工对信息安全工作有再大的热情,也很难有所作为。只有管理层明确对信息安全工作表示重视并给予实际的支持,下面的员工才有足够的信心和动力做好信息安全工作。
三、采取科学的信息安全管理方法全面有效的管理信息安全风险
风险无处不在,我们应当将主要精力和资源集中在控制可能产生严重后果的重大风险上,如交易通道的安全、稳定、高效运行,客户资料的安全保护,门户网站的安全等重要方面,而不是试图控制所有风险。信息安全风险管理的方法很多,国际国内都有很多相关的标准和指南。在证券行业目前推荐的两个比较重要的标准是公安部的等级保护指南和ISO27001信息安全管理体系(ISMS)。很多公司参考这两个标准来管理其信息安全工作,谷安天下在证券行业也积累了多个在这两方面咨询的案例。证券公司在咨询公司以及相关安全厂商的配合下,通过管理与技术手段相结合完全可以有效控制其所面临的主要的信息安全风险。
四、增加对信息安全管理方面人员和资金的投入
任何一项工作的有效开展都离不开资金和人员的有效投入,一些重大信息安全事件的发生与企业缺乏对信息安全的投入有直接的关系。2009年3月2日,国际著名调查机构IT Policy Compliance Group发布了题为《加强管理信息安全与审计可改善业绩》的***基准研究报告。该报告在对全球2600多家企业进行调查后得出结论,由于当前全球经济危机所带来的负面影响,68%的企业在信息安全方面投入明显不足。该报告同时指出,对大多数公司来说,若在信息安全与审计管理***实践方面持续增加投入可使其获得超过200%的经济回报。
五、加强培训,增强各级员工信息安全意识
谷安天下在咨询过程中也发现证券公司很多员工对信息安全没有概念,大部分人认为信息安全是IT部门主要负责的工作,与自己无关。其实不然,很多重要的业务部门的工作都是与信息安全直接相关的,比如自营部门的投资组合、固定收益部门的数量模型、人力资源部门的高管薪酬等敏感信息都是公司非常重要而且隐私的数据,对这些数据的保护都是信息安全管理的范畴,由此可见,信息安全不是某个部门的事情,而是整个公司的事情,需要各部门共同协作才可以做好。
ISO/IEC 27001简介
简单介绍一下目前国际公认的比较成熟的信息安全管理体系标准。ISO/IEC27001标准是国际标准化组织(ISO)根据英国标准协会(BSI)制定的BS7799标准演变而来。ISO27001的信息安全管理体系采用PDCA循环强调持续改进的过程。
ISO27001规范了从组织到个人,从操作运营到信息系统管理,从事件到连续性管理等十一的领域的133个控制措施:
#p#建立ISO27001信息安全管理体系的好处有以下几个方面;
引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
通过认证能保证和证明组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感。
获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。
建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
结束语
2009年9月16日申银万国交易系统中断半个小时,全国所有营业部无法进行交易,对股民造成的损失无法估计,导致众多股民情绪激动。而这家公司2009年9月9日刚刚参加了上海证监局组织的网络与信息安全应急演练上海辖区应急演练。这次应急演练对当日的故障应急预案启动起到了重要的作用,技术部门在接到故障报告后,随即启动了应急预案。但无论如何正值维稳期间出这种事情,无论对于该公司还是对于管理层都是很难堪的事情。这个刚刚发生的真实案例表明信息安全是一个平时可能看不见,但一旦出事就会造成重大损失的事情。我相信申银万国这种大型证券公司对信息安全应该是比较重视的,也进行了大量投入,做了很多工作。但是依然无法完全避免重大信息安全事件的发生。由此可见信息安全管理不是一朝一夕的事情,是一个需要持续改进,不断优化的过程,而且需要经验丰富的安全专家进行全面的指导,谷安天下咨询在证券行业信息安全咨询方面积累的多个成功案例,在信息安全管理乃至整个IT风险管理、IT治理领域是可以信赖的专家。
【编辑推荐】
