根据国家密码管理相关规定,合理运用密码技术和产品,规范和加强以身份认证、授权管理、跟踪审计等为主要内容的网络信任体系建设。对重要信息的传输、存储要采取一定强度的加密措施,规范和强化密钥管理。通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施,防范来源于内部和外部的网络威胁。严格网络安全配置管理,制订合理的网络服务策略和强制路径策略,强化外部连接用户认证,加强远程诊断接口的保护,优化网络结构,划分网络安全域,利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离,加强网络边界防护,保证重要信息不被泄露、篡改或非法利用,保证交易双方的身份真实性并防止抵赖行为的发生。
六、合理引入服务外包机制,加强服务外包风险控制
统筹兼顾,综合考虑自我能力、价值成本和风险控制等因素,合理引入服务外包机制。借助规模经营的专业机构或团体,选择非核心服务内容定制外包,集中主要力量提高自身核心业务能力,增强竞争优势。加强服务外包风险管理与防范,涉及国计民生、银行关键业务的核心系统不得外包。要加强服务外包全过程的跟踪管理,适时对外包服务的实施过程风险和完成情况进行评估,确保预期工作目标与效益,根据国家和行业监管部门信息安全相关规定,审慎选择外包服务商,明确服务等级责任(SLA),签订数据保密协议。
七、积极推进信息安全风险评估,实施等级保护
根据国家风险评估有关标准,采取以自评估为主,委托评估和检查评估为辅的方式,在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估,加强对信息系统投产运行和重大应用变更前的风险评估。要综合运用评估工具,在常规评估内容的基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。要适时、有效开展风险评估,重要信息系统至少每2年进行一次评估,根据评估结果,及时研究整改存在的问题,实施安全加固。要严格控制风险评估过程,规避评估风险,采取预防性应对措施,确保生产系统安全生产。要审慎选择外部商业评估队伍,同时做好评估全过程的安全保密工作。
根据信息资产重要程度,合理定级,实施信息安全等级保护。对于新建信息系统,应按照国家等级保护的管理规范和技术标准,进行规划设计、建设施工;对于已有信息系统,应采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改;对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,按照信息系统内各子系统的不同重要程度,分别确定安全保护等级;对于跨地域的大系统,实行纵向保护和属地保护相结合的方式。
