根據上述中小銀行所面臨的信息安全風險,我認為中小銀行信息安全體系建設的目標是通過建立完善的信息安全管理制度和智能、深度的安全防禦技術手段,構建壹個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防範體系,來實現信息系統的可靠性、保密性、完整性、有效性、不可否認性,為金融業務的發展提供壹個堅實的信息系統基礎保障。信息安全防範體系的覆蓋範圍是整個信息系統。
中小銀行信息安全建設的主要工作內容有:
1、建立銀行信息安全管理組織架構,專門負責信息系統的安全管理和監督。
2、制訂金融安全策略和安全管理制度。安全管理部門結合銀行信息系統的實際情況,制訂合理的安全策略,對信息資源進行安全分級,劃分不同安全等級的安全域,進行不同等級的保護。制訂並執行各種安全制度和應急恢復方案,保證信息系統的安全運行。這些包括:密碼管理制度、數據加密規範、身份認證規範、區域劃分原則及訪問控制策略、病毒防範制度、安全監控制度、安全審計制度、應急反應機制、安全系統升級制度等。
3、設計並實施技術手段,技術手段要包括外網邊界防護、內網區域劃分與訪問控制、端點準入、內網監控與管理、移動辦公接入、撥號安全控制、病毒防範、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。
4、建立安全運維管理中心,集中監控安全系統的運行情況,集中處理各種安全事件;統壹制訂安全系統升級策略,並及時對安全系統進行升級,以保證提高安全體系防護能力。