金融行业等级保护建设案例研究推荐-金融证券解决方案.doc
金融行业等级保护建设案例研究推荐 -金融证券解决方案 一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度 (以下简称“等级保护” )作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》 (公通字 [2004]66号 )、《信息安全等级保护管理办法 (试行 )》 (公通字 [2006]7 号 ),公安部颁布的《公安部信息系统安全保护等级实施指南 (试行稿 )(2005 年 )》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》 (市政府第 163 号令 )等。 中国长城资产管理公司 (以下简称“公司” ),作为国有独 资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 “老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息 系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,将保护级别定为 3 级,并形成了等级保护定级报告,这在资产管理公司里属于首家。 三、建设目标 在今年的《信息系统安全等级保护基本要求 (报批稿 )》中的 3 级基本要求中明确规定需要建立“监控管理和安全管理中心”,这说明公司的等级保护平台建设走在 了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。 1、总体目标 建设的总体目标是实现国家对信息系统实行等级保护的政策要求,利用