农商行的信息安全整体规划

　　面对信息安全的问题，农商行提出了对于信息安全总体规划思路。

　　首先，规划的出发点是以信息为核心。以信息核心，但信息的管理包括哪些？包括信息的分类、分级、归档、审计、内容安全、保密等等，是以信息为核心的，下面IT的基础架构以及上面的业务。

　　1）规划的原则

　　首先、就是整体规划应该能够应对变化，整个信息安全建设规划要有相对完整全面的框架，以应对当前安全威胁的变化趋势。因为我们在变化，其次整个信息安全的安全威胁也在变化，动态的。

　　其次，立足于现有能力的提升，在现有的信息安全基础上来完善IT基础架构的安全建设，优化、调整和挖掘潜力，提升整体信息安全的保障能力。

　　第三、着重信息重点防范，以信息安全治理为工作目标，防范有意无意的数据泄露，作为今后的工作重点，已经加强了信息安全防范的意识。

　　2）信息安全总体规划的目标

　　第一、以安全治理为方针，安全工作的目标是什么？就是对信息安全环境的不断治理和完善，注重不断治理发展的长期性。

　　第二、以信息安全为核心，因为我们银行最终保障的是银行的业务，业务的关键内容是什么？围绕业务的各种数据和信息，因此我们认为信息安全是核心。

　　第三、可管理的IT架构为基础，不可管理的本身就是一个不安全的隐患，因对IT架构首先基于可管理性。其次支撑IT系统的基础架构和设施应该以可量化管理，可流程化的管理和目标，来提升我们安全支撑和保障的能力，因此我们规划了基于一个方针、一个核心为基础来做。

　　二、信息安全体系的建设

　　农商行的信息安全框架是建立在三大支柱上的，运维体系、管理体系和基础安全。信息安全的风险的管控，法规遵从落实，相关的法律法规从2005年开始完善，更加细化。

　　因此整个信息安全工作的内容，以信息安全为核心，目的就是安全的治理，基础是IT的基础架构。包括哪些内容呢？最上层是安全治理，包含了安全的监控、合规管理、审计管理、IT资产服务管理等内容，这是一个长期持续性的工作目标，依赖于三大支柱技术体系的支撑作用。最当中一个是最核心的，就是信息安全，数据内容、数据安全、操作的安全，还涉及数据传输的保护、内容安全、泄露防护等技术手段，这是整个规划有关工作目标的核心的重点。

　　基础架构安全是整个设计核心的基础，包括在整个IT系统中承载信息和软硬件系统设备的管理，其次范围要涵盖各方面的专业性、结构性和管理性各方面的内容，是我们整个安全建设关键和基础。

　　三、农商行信息安全的实施的路线图

　　农商行阶段性实施是以安全治理为方针，信息安全为核心，可管理的IT基础架构为基础，分为三个阶段。

　　首先、打基础，基础设施的专业性安全建设在推广，结构性安全的优化提升，包括前期现在数据中心从原有的数据中心建了自己新的数据中心，建立自己的灾备中心。

　　第二、主要初步实现对安全风险集中的管控和分析。

　　第三、数据和内容安全建设为重点，完善和提升基础设施的可管理性、安全建设。

　　第四、以合规管理为重点，加大对信息安全风险全面的把控，完善基础设施全面的自动化、标准化的流程。

　　农商行体现安全建设的现状，我们安全管理建设起步相对有点早，大概05年、06年启动的，有一定的基础。我们特地参加了安全等级保护的第一家试点的银行，对人员安全的管理制度，包括流程化管理、安全技术产品等等一些日常的维护工作流程基本上能满足等级保护的要求。

　　在技术上，也采用一些比较全面的，多种技术，提供稳定、安全的防护作用。已经建设了在IT架构基础的安全上，对服务器安全和网络安全做的基础工作相对比较多，在信息安全这一块，数字权限管理等做了一定的工作。在安全治理方面以前设立的比较少，因此下一阶段要提升的主要是安全技术架构这一块，有关终端的安全等有待于进一步的提升。在信息安全方面，有关内容审计、数据加密等在今后第二、第三阶段将要完成这项工作。在安全治理方面，安全的监控，集中化监控，审计的管理，IT资产的服务等等，我们也将完善。