全球化时代银行信息系统建设方法

银行信息安全标准，对银行信息技术安全防护事项进行规范，内容涉及信息安全通用标准规范、设备安全、网络通信安全、系统软件安全、应用研发运行安全、身份认证、敏感信息保护以及业务连续性保护等。

安全策略主要源于两方面的要求，一方面是作为我国金融机构的海外扩展，在数据传输、加密机使用国家要求、另一方面是作为所在国的金融机构，需要满足其当地的安全要求，所以在应用安全策略方面，满足相关各方面的安全要求。

建立IT信息安全需要考虑选择合适技术标准和方法。目前常见的主要有国际上的BS7799标准，ISO 13335标准，国内的《信息安全技术信息系统安全管理要求》（GB/T 20269—2006）、银监会发布的《商业银行信息科技风险管理指引》等。

1.BS7799标准

BS7799标准是英国标准协会于1995年制定的信息安全标准。分为两个部分：

第一部分BS7799-1，是信息安全管理实施细节，主要供负责信息安全系统开发的人员作为参考使用，已纳入ISO/IEC17799：2000标准，并发展为ISO 17799：2005和ISO 27002：2007。

第二部分，是建立信息安全管理体系的一套规范，详细说明建立、实施、维护信息安全管理系统的要求，其中指出了实施机构遵循的风险评估标准。要求基于PDCA管理模型来建立和维护信息安全管理体系。计划阶段通过风险评估了解安全需求、设计解决方案，在实施阶段将解决方案付诸实现，在检查阶段予以监视和检查解决方案是否有效、是否有新的变化，措施阶段对检查发现的问题予以解决和改进。已纳入ISO 27001：2005标准。

该标准目前已经被20多个国家采纳为国家标准，在40多个国家开展了认证业务。

2.ISO13335标准

ISO13335标准是信息安全管理指南，包括5个部分：

1）IT安全的概念和模型。

2）IT安全的管理和计划。

3）IT安全的管理技术。

4）防护的选择。

5）外部连接的防护。

3.ISO27001标准

ISO/IEC 27001：2005即“信息技术—安全技术—信息安全管理体系—要求”，英文全称为：

Information technology—Security techniques—Information security management systems—requirements。

ISO 27001标准（GB/T 22080—2008）对信息安全管理体系（ISMS）并没有一个十分明确的定义，可以将其理解为组织管理体系的一部分。ISMS涉及的内容有用于组织信息资产风险管理、确保组织信息安全、制定、实施、评审和维护信息安全策略所需的组织机构，目标、职责、程序、过程和资源。ISO 27001标准要求的ISMS建立过程：制定信息安全方针策略，明确体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。遵循PDCA体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。ISMS应形成一定的文档，包括方针策略、适用性声明文件和实施安全控制所需的程序文件。一个文档化的ISMS应该阐述要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度。

4.ISO27002标准

ISO 27002已经纳入我国标准（GB/T 22081—2008）。

ISO/IEC 27002：2007即“信息技术—安全技术—信息安全管理实用规则”，英文全称为：

Information technology—Security techniques—Code of practice for information security management。

标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则，为信息安全管理提供了指导。

1）标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。(www.xing528.com)

2）标准可作为建立组织的安全准则和有效安全管理惯例的实用指南，并有利于在组织间的活动中建立信心。

5.中国信息安全标准

2002年4月，为加强信息安全标准的协调工作，中国国家标准委成立信安标委，由国家标准委直接领导，对口ISO/IEC JTC1 SC27；秘书处设在中国电子技术标准化研究所。我国信息安全管理重要标准较多，列举说明如下：

（1）基础类

1）《计算机信息系统安全保护等级划分准则》GB 17859—1999。

2）《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058—2010。

（2）应用类

1）定级：《信息安全技术 信息系统安全保护等级定级指南》GB/T 22240—2008。

2）建设：《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239—2008，《信息安全技术 信息系统通用安全技术要求》GB/T 20271—2006，《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 25070—2010。

3）测评：《信息安全技术 信息系统安全等级保护测评要求》GB/T 28448—2012，《信息安全技术 信息系统安全等级保护测评过程指南》GB/T 28449—2012。

4）管理：《信息系统安全管理要求》GB/T 20269—2006，《信息系统安全工程管理要求》GB/T 20282—2006。

（3）技术类

1）《信息安全技术 信息系统物理安全技术要求》GB/T 21052—2007。

2）《信息安全技术 网络基础安全技术要求》GB/T 20270—2006。

3）《信息安全技术 信息系统通用安全技术要求》GB/T 20271—2006。

4）《信息安全技术 操作系统安全技术要求》GB/T 20272—2006。

5）《信息安全技术 数据库管理系统安全技术要求》GB/T 20273—2006。

6）其他信息产品、信息安全产品等。

（4）其他类

1）《信息安全技术 信息安全风险评估规范》GB/T 20984—2007。

2）《信息安全技术 信息安全风险管理规范》GB/Z 24364—2009。

3）《信息技术安全技术 信息安全事件管理指南》GB/Z 20985—2007。

4）《信息安全技术 信息安全事件分类分级指南》GB/Z 20986—2007。

5）《信息安全技术 信息系统灾难恢复规范》GB/T 20988—2007。