2.4 信息安全与监管的关系:约束与保护
长期以来,金融行业的信息安全工作都是在较强的监管形势下开展。很多金融企业的信息安全工作框架,就是遵循着监管的要求一步步搭建起来的。而金融行业的监管要求,也往往会根据金融行业发生的风险事件而不断补充完善。
金融企业需要正确认识监管要求对工作的推动作用,认真学习和理解监管要求,深入领会监管要求的实质,从而建立起科学合理的信息安全管理和技术框架。
1.信息安全监管的约束
金融行业信息安全相关监管要求,对于金融企业首先是约束。
所有信息安全工作需要在监管要求的框架下开展,需要遵循各个方面监管要求的细节规定,需要针对监管要求和风险提示展开对标、风险排查和整改,需要随时接受监管机构现场和非现场的检查,需要认真落实监管下达的风险监测报表、自查报告等各项要求。
对于监管规定的重点工作、例行工作等,必须落实到金融企业内部工作计划中;对于监管规定的管理要求,必须落实到金融企业的组织机构、制度建设、团队建设等各项工作任务中,建立长效工作机制;对于监管下达的技术标准,必须落实到金融企业的信息系统建设、运维监控建设或者信息安全技术防控工作中。
金融企业内部要成立专门的信息安全工作团队,负责确保监管要求在金融企业严格落实到位,确保信息安全工作“治标又治本”,确保信息安全管理和技术防控的实际效果,确保日常的信息安全检查、评估和整改机制能有效地发挥风险控制作用。
2.信息安全监管的保护
同时,金融企业必须认识到监管要求对自己的保护作用。
信息安全监管要求是监管机构基于国家信息安全防控总体策略、国内外信息安全形势、监管机构自身的前瞻眼光和管理思路、金融行业已经发生的风险事件相关经验教训,经过归纳、总结、提炼出的纲领性、全局性要求,从战略高度和战术细度,提出了诸多具有很高实操性、实用价值的条款,从某种意义上说,对于金融企业形成了保护。
首先,对于很多金融企业特别是信息安全建设处于初级阶段的金融企业来说,学透了监管要求,就能把握最关键的信息安全风险,搭建起基本的信息安全防控框架,建立起组织架构和制度,使技术安全防控有章可循,也就有更好的风险防控效果。
其次,监管要求中隐含了很多其他金融企业贡献的知识和技能,实际上是一种行业经验的积累、沉淀和传承。对于信息安全基础薄弱的金融机构来说,这是一种快速获取同业经验的方式。例如,监管机构历次发布的信息安全风险提示和风险事件案例,实际上就是很好的“教科书”,让风险处置经验不足的金融企业可以提前排查类似风险隐患,防患于未然;而当实际发生风险事件时,这些内容又可以成为“知识库”,从中先去搜索类似案例,寻求最快的解决方案。
最后,当风险和收益发生冲突时,遵循监管要求的底线,是信息安全人员判断是否可以给业务“让步”的重要参照,也是信息安全人员有底气说“不”的有力支撑。