论文部分内容阅读
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据中国证券监督管理委员会颁布的《证券期货业信息安全保障管理暂行办法》,制定《证券期货业信息安全保障管理体系框架》。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据中国证券监督管理委员会颁布的《证券期货业信息安全保障管理暂行办法》,制定《证券期货业信息安全保障管理体系框架》。
在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
参照 ISO/IEC 27001:2005中提出的证券期货业信息安全保障管理模型(简称模型),采用立方体架构。顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构,侧面是各个机构为实现信息安全保障目标所采取的措施和方式(组织、管理及技术体系)。
本管理体系框架遵循如下基本原则:责任制原则,依据“谁主管,谁负责”、“谁运营,谁负责”的基本原则,明确行业内各主体单位信息安全保障的管理责任;系统性原则,以动态保障的安全观为指导,体现安全与发展并进、管理与技术并重、长效机制与应急防御相结合的综合保障体系;适用性原则,在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
信息安全目标
证券期货业信息安全保障管理体系的目标是保障网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。机密性是数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性是保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。可用性是数据或资源的特性,被授权实体按要求能访问和使用数据或资源。真实性即信息接收者能够通过有效的手段来识别信息是否是声称者所发送。可审计性即每个经授权用户的活动都是唯一标识和监控的,以便对其所做的操作内容进行审计和跟踪。抗抵赖性即保证发送信息的行为人不能否认自己的行为,使发送行为具有可信度。可靠性即保证合法用户对信息能够进行读取和修改,防止非法用户对信息进行恶意篡改和破坏。
行业组织结构
证券期货业安全保障管理组织结构采用 “统一组织、分层管理、交叉协调”的管理结构,划分为三层:决策层、管理层、执行层。
决策层
决策层由证券期货业网络与信息安全保障协调小组(以下简称协调小组)构成,协调小组由中国证券监督管理委员会及“5(交易所) 1(登记结算公司) 2(行业协会)”组成,是证券期货行业信息安全的最高决策机构,以建立安全的信息系统、保障投资者利益为目标,制定框架性的信息系统安全指导方针,明确信息安全保障工作的基本方向和主要内容,颁布信息安全保障工作的行业条例与规定。
协调小组还将根据证券期货行业信息系统发展趋势和信息安全发展趋势,定期对指导方针做出调整,研究和分析信息安全建设对证券期货行业发展的价值和影响,确定信息安全保障工作的发展方向和基本工作节奏。审定并颁布行业信息安全保障工作的规定和制度,协调行业内部及外部资源,具体包括,信息安全保障工作指导方针、信息安全保障工作管理体系、信息安全保障工作管理流程、信息安全保障工作监督规定。审定并颁布信息安全保障工作的监督机制,并颁布相关监督制度和管理流程。
管理层
管理层由行业主管职能部门、行业自律组织和行业相关的管理与促进机构构成。行业主管职能部门包括中国证监会信息安全管理职能部门及其派出机构(各地的证监局、证管办),行业自律组织包括中国证券业协会、中国期货业协会、技术标准委员会,相关的管理与促进机构成员包括证券交易所(上海证券交易所、深圳证券交易所)、期货交易所(上海期货交易所、郑州商品交易所、大连商品交易所)、登记结算公司。
行业主管职能部门负责起草并报批行业信息安全保障工作的规章和制度,协调专家顾问、行业成员等各方面的资源,对协调小组颁发的信息安全指导方针做技术与标准的支持,为其他成员执行指导性方针提供支持,并及时了解业务发展对信息安全的新需求,反映给协调小组,并根据证监会的信息安全保障工作相关规定,提出技术标准与实施细则。协调专家、顾问和行业标杆企业为各个安全主体进行信息安全保障工作的咨询。
行业自律组织针对行业特性制订信息安全保障相关自律性公约、标准、规范与指引等,并要求其会员单位严格遵守自律公约,并对违反公约的行为进行处理。相关的管理与促进机构作为市场网络与信息系统的核心,其信息系统运行状态很大程度上依赖于会员单位的信息安全级别,应对其会员单位进行严格要求,依据行业信息安全保障管理相关管理规范,制定相应的管理细则和技术标准,督促其会员单位落实,并对安全边界进行严格管理。
执行层
执行层指市场各个参与主体,包括交易所、登记结算公司、通信公司、证券公司、期货公司、基金管理公司、投资咨询机构等。
安全保障领导小组是各主体单位信息安全最高领导机构,对协调小组关于信息安全建设的指导方针进行目标分解,结合本单位业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并授权执行机构进行信息系统安全建设与运维。主要工作内容包括制定符合监管机构规定的信息安全保障方针政策,根据企业自身信息安全保障工作的方针政策建立信息安全保障工作的策略体系,监督并指导企业自身的信息安全组织、管理、技术体系建设。
安全保障工作小组是各主体单位执行信息安全保障的具体机构,根据安全保障领导小组制定的信息安全建设策略、计划、流程执行信息安全保障工作。主体单位对自身信息安全现状的评估,建设信息安全组织、管理、技术体系,完善信息安全组织、管理、技术体系,对出现的安全事件进行处理。
在组织体系上,决策层进行法规颁布,对管理层和执行层进行工作指导,管理层对决策层制定的相关法规进行细化,执行层根据行业规则进行信息安全保障体系建设,并将组织信息上报管理层和决策层。在管理体系上,决策层对管理层进行监督管理,管理层对执行层进行评估检查,执行层将信息进行上报给决策层和管理层。在技术体系上,由执行层将技术实现方案和实施结果上报给管理层,管理层对成功经验在执行层进行推广。
信息安全保障实现方式
证券期货业信息安全保障的决策层、管理层、执行层应根据各自工作职责,通过建立健全完整的组织体系、管理体系和技术体系,实现行业网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。
任何安全管理或者技术手段都离不开人员的实施和组织,因此组织体系是核心;而安全管理是组织体系进行技术体系实施和管理的具体操作,缺乏良好的安全管理结构体系,即使构建了优秀的技术结构,仍然会面对无法有效管理使用的窘境,从而造成大量的资源浪费,也达不到既定的安全目标;技术结构是具体的各种安全功能和需求的技术实现。主体单位应建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,保持3个体系稳定、均衡发展。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据中国证券监督管理委员会颁布的《证券期货业信息安全保障管理暂行办法》,制定《证券期货业信息安全保障管理体系框架》。
在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
参照 ISO/IEC 27001:2005中提出的证券期货业信息安全保障管理模型(简称模型),采用立方体架构。顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构,侧面是各个机构为实现信息安全保障目标所采取的措施和方式(组织、管理及技术体系)。
本管理体系框架遵循如下基本原则:责任制原则,依据“谁主管,谁负责”、“谁运营,谁负责”的基本原则,明确行业内各主体单位信息安全保障的管理责任;系统性原则,以动态保障的安全观为指导,体现安全与发展并进、管理与技术并重、长效机制与应急防御相结合的综合保障体系;适用性原则,在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
信息安全目标
证券期货业信息安全保障管理体系的目标是保障网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。机密性是数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性是保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。可用性是数据或资源的特性,被授权实体按要求能访问和使用数据或资源。真实性即信息接收者能够通过有效的手段来识别信息是否是声称者所发送。可审计性即每个经授权用户的活动都是唯一标识和监控的,以便对其所做的操作内容进行审计和跟踪。抗抵赖性即保证发送信息的行为人不能否认自己的行为,使发送行为具有可信度。可靠性即保证合法用户对信息能够进行读取和修改,防止非法用户对信息进行恶意篡改和破坏。
行业组织结构
证券期货业安全保障管理组织结构采用 “统一组织、分层管理、交叉协调”的管理结构,划分为三层:决策层、管理层、执行层。
决策层
决策层由证券期货业网络与信息安全保障协调小组(以下简称协调小组)构成,协调小组由中国证券监督管理委员会及“5(交易所) 1(登记结算公司) 2(行业协会)”组成,是证券期货行业信息安全的最高决策机构,以建立安全的信息系统、保障投资者利益为目标,制定框架性的信息系统安全指导方针,明确信息安全保障工作的基本方向和主要内容,颁布信息安全保障工作的行业条例与规定。
协调小组还将根据证券期货行业信息系统发展趋势和信息安全发展趋势,定期对指导方针做出调整,研究和分析信息安全建设对证券期货行业发展的价值和影响,确定信息安全保障工作的发展方向和基本工作节奏。审定并颁布行业信息安全保障工作的规定和制度,协调行业内部及外部资源,具体包括,信息安全保障工作指导方针、信息安全保障工作管理体系、信息安全保障工作管理流程、信息安全保障工作监督规定。审定并颁布信息安全保障工作的监督机制,并颁布相关监督制度和管理流程。
管理层
管理层由行业主管职能部门、行业自律组织和行业相关的管理与促进机构构成。行业主管职能部门包括中国证监会信息安全管理职能部门及其派出机构(各地的证监局、证管办),行业自律组织包括中国证券业协会、中国期货业协会、技术标准委员会,相关的管理与促进机构成员包括证券交易所(上海证券交易所、深圳证券交易所)、期货交易所(上海期货交易所、郑州商品交易所、大连商品交易所)、登记结算公司。
行业主管职能部门负责起草并报批行业信息安全保障工作的规章和制度,协调专家顾问、行业成员等各方面的资源,对协调小组颁发的信息安全指导方针做技术与标准的支持,为其他成员执行指导性方针提供支持,并及时了解业务发展对信息安全的新需求,反映给协调小组,并根据证监会的信息安全保障工作相关规定,提出技术标准与实施细则。协调专家、顾问和行业标杆企业为各个安全主体进行信息安全保障工作的咨询。
行业自律组织针对行业特性制订信息安全保障相关自律性公约、标准、规范与指引等,并要求其会员单位严格遵守自律公约,并对违反公约的行为进行处理。相关的管理与促进机构作为市场网络与信息系统的核心,其信息系统运行状态很大程度上依赖于会员单位的信息安全级别,应对其会员单位进行严格要求,依据行业信息安全保障管理相关管理规范,制定相应的管理细则和技术标准,督促其会员单位落实,并对安全边界进行严格管理。
执行层
执行层指市场各个参与主体,包括交易所、登记结算公司、通信公司、证券公司、期货公司、基金管理公司、投资咨询机构等。
安全保障领导小组是各主体单位信息安全最高领导机构,对协调小组关于信息安全建设的指导方针进行目标分解,结合本单位业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并授权执行机构进行信息系统安全建设与运维。主要工作内容包括制定符合监管机构规定的信息安全保障方针政策,根据企业自身信息安全保障工作的方针政策建立信息安全保障工作的策略体系,监督并指导企业自身的信息安全组织、管理、技术体系建设。
安全保障工作小组是各主体单位执行信息安全保障的具体机构,根据安全保障领导小组制定的信息安全建设策略、计划、流程执行信息安全保障工作。主体单位对自身信息安全现状的评估,建设信息安全组织、管理、技术体系,完善信息安全组织、管理、技术体系,对出现的安全事件进行处理。
在组织体系上,决策层进行法规颁布,对管理层和执行层进行工作指导,管理层对决策层制定的相关法规进行细化,执行层根据行业规则进行信息安全保障体系建设,并将组织信息上报管理层和决策层。在管理体系上,决策层对管理层进行监督管理,管理层对执行层进行评估检查,执行层将信息进行上报给决策层和管理层。在技术体系上,由执行层将技术实现方案和实施结果上报给管理层,管理层对成功经验在执行层进行推广。
信息安全保障实现方式
证券期货业信息安全保障的决策层、管理层、执行层应根据各自工作职责,通过建立健全完整的组织体系、管理体系和技术体系,实现行业网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。
任何安全管理或者技术手段都离不开人员的实施和组织,因此组织体系是核心;而安全管理是组织体系进行技术体系实施和管理的具体操作,缺乏良好的安全管理结构体系,即使构建了优秀的技术结构,仍然会面对无法有效管理使用的窘境,从而造成大量的资源浪费,也达不到既定的安全目标;技术结构是具体的各种安全功能和需求的技术实现。主体单位应建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,保持3个体系稳定、均衡发展。