金融業的歷史源遠流長，早在在信息技術還未誕生的時候，金融業的安全管理體系早就已經形成，它由傳統管理模式演變發展而來。隨著互聯網+時代的來臨，高速發展的互聯網技術給客戶和金融機構帶來了便捷和利益。但與此同時，它也給我們帶來了一些金融信息安全的隱患。金融管理的模式也隨著互聯網的興起出現了不同。現在的很多信息安全管理問題的產生也與之息息相關。一些不法分子趁機謀取不正當的利益。金融在生活中也占據著較主要的地位。哲學里，經濟基礎決定上層建筑。這里的金融就如同經濟基礎了，只是范圍沒有那么廣。為此，專門有數據人員對數據中心的信息安全管理狀況進行了調研，具體情況如下：

金融數據中心信息安全管理現狀與特點

(一)金融業信息安全管理特點

金融數據中心對業務系統運行的連續性、可靠性要求較高，交易數據不能出現差錯，各類數據加密與數字簽名技術應用廣泛。在管理模式方面的突破相對較小，其信息安全管理往往結合了傳統管理模式，以柔性管理為特點，原則性、靈活性相結合，注重用多種方法解決問題，但對解決問題的原則和方法并不十分關注。這種方式的不足：主要是容易造成做法不規范、不能把成功經驗形成組織過程資產。經驗實例很多，但很難總結提升。其次是管理依賴權威，領導的作用和地位得到充分重視，領導的管理理念和水平直接影響安全管理的水平和效果。再次人際關系講的多，很多風險無法得到控制。

(二)金融數據中心信息安全管理常見的問題

隨著金融業務的拓展，互聯網金融的崛起，金融公司數據中心的規模在不斷擴大，而其安全管理模式的特點使它在信息安全管理方面的問題逐漸顯現出來，體現在以下幾個方面：

1.信息安全方針和策略不明確。金融機構，常以金融業務為主，信息技術為輔，在管理上更注重于業務發展和業務連續性的管理，對業務系統的開發和建設普遍重視，但往往忽視了業務系統建設中的網絡安全問題。有時因為注重系統的應用效果，忽視了信息系統技術脆弱性可能造成的影響，不能采取適當的措施來控制風險。多數金融機構的CIO不具備IT類職業背景，在高級管理層對信息安全管理的重視、熟悉程度都還不夠，不能給予信息安全管理工作直接的支持。這種狀況將導致機構缺乏明確的信息安全方針和策略，信息安全管理工作沒有指導依據。

2.安全管理缺乏系統的管理思想。多數金融機構的安全管理模式仍是基于傳統靜態管理的方法，面向發生的問題，欠缺信息安全管理的體系，在安全管理方面不全面，缺乏必要的信息安全評估、信息安全風險意識的培訓，由于不能形成全機構人員對信息安全意識的共識，導致信息安全規章制度難以嚴格落實。而現代的信息安全管理體系應建立在安全風險評估基礎上，并持續不斷的改進。

3.重視安全設備和技術,輕視安全管理和培訓。金融業中普遍采用網絡技術構建業務信息系統，提高了工作效率和業務競爭力，應用的安全防護設備往往比較全面。而信息安全不應僅從技術方面防護，更多的是應落實信息安全管理體系的建設，加強規范化管理。如人員錄用的時候有審查、簽有保密協議，人員在終止任用時也要有審查，如人員對信息系統的訪問權在任用終止時及時撤銷、調整。在金融數據中心中有上千的各種重要程度的信息系統，幾十個系統由一個管理員管理的情況時有發生，口令管理策略難以嚴格落實。有時管理人員身兼數職，常常忽視一些維護操作后期的審計工作。

規范金融數據中心的信息安全管理體系

傳統安全管理常常存在諸多缺陷，如受高層領導層重視程度影響大、安全方針不明確、管理不夠系統化、重技術輕管理等。為改善數據中心的信息安全管理現狀，可以引入國際化、標準化的信息安全管理體系，如ISO27001等。系統化的信息安全管理體系，可以減少管理對人主觀意識的依賴，通過對管理體系不斷完善，使管理體系越來越全面、精細，從而更加符合金融數據中心的特點。

(一)信息安全管理的體系化

信息安全管理的體系，首先是要樹立信息安全方針和目標，并建立達成這些目標所需的制度規范。標準化的信息安全管理標準，可以指導數據中心做好信息安全管理，提高控制信息安全風險的能力。

標準化的信息安全管理體系規定了建立信息安全管理體系的要求，規定了實施安全控制的要求。按照標準規范的要求建立信息安全管理體系，可以更好地保障金融業務連續性。標準化組織認可的信息安全管理體系融合了西方管理理論，以剛性管理為特點。通過制定完善的制度，并嚴格遵守制度，達到管理的目標。這種管理模式注重有計劃地、按照制度和規定解決問題，有助于數據中心提高管理效率，增強業務競爭力。

(二)應用信息安全管理體系的預期

通過建立信息安全管理體系，完善各類安全管理制度，可以規范信息系統相關的各種操作行為。信息安全管理體系體現了風險管理思想，工作思路是事先防范、事中控制和事后總結改進，一改傳統“問題驅動”的管理模式，著重整體、系統的分析、解決問題。管理體系按照PDCA的循環管理信息安全風險，信息安全管理從被動的問題補救，變為系統化、主動的風險管理狀態。信息安全風險管理的目的是保障業務系統的連續、穩定運行，形成安全管理體系使安全管理可以協調各個方面、各個層次資源，管理更為有效，制度規章得以充分落實。

建立健全信息安全管理體系對金融數據中心的安全管理工作和數據中心的發展意義重大。金融機構在制度建設過程中，除了根據國家的各種標準和行業規范，而且應盡力參考國際化、標準化的信息安全管理體系(如ISO 27001等)，建立數據中心的管理體系，明確信息安全工作的方針。

金融數據中心信息安全管理體系的構建

信息安全工作是以信息科技部門為主導，全員參與的活動,通過信息安全管理體現的建立可以促進企業所有部門對信息安全的共識。開展信息安全管理體系建設，可以做一些使信息安全管理體系的構建更順利準備工作，如建立垂直管理的信息安全管理機構、設立網絡安全監控中心、組建風險評估和監控專業團隊等。

參考國際標準，結合金融數據中心的信息安全管理需求與現狀，構建管理體系的思路大致如下。

確定管理范圍

信息安全管理體系的范圍就是需要重點進行管理的安全領域。在本階段，應劃分不同的信息安全控制領域，便于對有不同安全需求的領域進行適當的信息安全管理。定義范圍，應考慮環境、人員、信息系統、信息資產及它們之間相互關系等。 金融數據中心中我們主要關注物理安全、網絡安全、應用系統安全和管理安全，包括了線路、設備、機房、身份認證、訪問控制、保密與完整性、入侵檢測手段、防病毒等諸多方面。一方面要解決系統本身的缺陷帶來的不安全因素，如身份認證、系統漏洞等，另一方面要妥善管理系統的安全配置問題。部門間要劃分明確的安全職責，嚴格落實安全管理制度。

管理體系應涵蓋安全管理、技術平臺等多個層面，安全管理應統一管理其他各層面，安全問題首先是管理問題和人的問題，其次才是技術問題。

信息安全的調研與風險評估

依據信息安全技術與管理的標準，應對數據中心信息系統及數據的機密性、完整性和可用性等安全屬性進行調研，評估信息資產價值，結合信息資產面臨的威脅和安全事件發生的概率來判斷風險造成的影響。

一些常見的安全管理問題由于其影響較大往往被列為高風險等級。如：信息安全管理規定中未明確定義信息安全策略;所有雇員、外部人員對信息和信息處理設施的訪問權未在任用協議變化時調整;口令管理不嚴格的情況，不能確保優質的口令，常使用一些簡單密碼;未采取有效措施限制訪問程序源代碼;未保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或損壞;記錄日志的設施和日志信息未加以保護，以防止篡改和未授權的訪問;系統管理員和系統操作員活動記錄不完全，未對其進行保護和定期審計。信息安全風險評估可以判斷當前的信息安全狀況，幫助我們選取適當的管理方法及風險防范控制措施。

建立管理體系框架、編寫管理制度

建立信息安全管理體系要規劃一個合理的管理框架，從全局的視角進行整體安全建設規劃，根據業務性質、信息資產狀況等，建立數據中心信息資產清單，然后通過風險分析、安全需求分析，選擇安全控制措施，從而建立安全管理體系。

一般遵從如下步驟構建信息安全管理體系框架：首先要確定總體的安全方針，制定具體的安全策略。然后根據系統的資產價值和影響等確定信息安全管理體系的管理范圍。根據風險評估結果和安全的需求，選擇控制風險的目標與控制方式，通過降低、避免和轉移的方法來控制風險。

信息安全管理體系制度文件與數據中心的環境結合緊密，制度的執行過程中,信息安全管理水平不斷地提高、保障了業務的連續性。建立規范的制度文件對信息安全管理有重要的作用。編寫信息安全管理體系制度文件是建立信息安全管理體系的基礎工作，也是數據中心實現風險控制、評價管理體系、實現自我改進的依據。在制度文件中應包含安全方針、風險評估、實施與控制等方面。信息安全體系文件按控制級別可以分為四級,一級為信息安全方針、策略，二級為制度性文件，三級為具體規范、操作程序，四級為各類操作記錄、表單等。

管理體系的改進

信息安全管理體系文件編制完成以后，進入正式運行階段。在此期間，應通過各種監督、審計手段確保體系制度能夠落實到位。在各種制度執行和實踐的過程中，根據數據中心自身的特點，逐步修訂各級管理制度，使標準化的制度能夠更加適應金融數據中心的特點和安全控制要求。依照管理體系的要求，針對執行中、評估中發現的安全問題和威脅，要定期更新修訂管理體系的各項制度，這樣動態的持續改進以實現管理體系主動的安全防范效果。

通過引入這種國際化、標準化的信息安全管理體系改變傳統的安全管理存在受領導層重視程度影響大、安全方針不明確、缺乏系統的管理思想、重技術,輕管理等諸多弊端。為改善數據中心的信息安全管理現狀，制度要適時地進行動態地修改，以信息安全風險評估為基礎和導向，避免了領導重視程度的因素和人為觀念，持續改進管理制度，構建符合數據中心現階段情況與未來發展的信息安全管理體系。

總結與預期

信息安全管理體系是一個系統化、程序化的管理體系，體系的建立基于全面和科學的風險評估，而不是領導或其他個人的意見，避免了主觀判斷，體現了客觀、預防為主的思想。該管理體系可以幫助數據中心在運維方面符合國家有關信息安全的法律法規，同時重視全過程和動態控制，本著控制防護成本與平衡安全風險的原則，合理地選擇控制方式保護金融關鍵信息數據資產，確保數據的保密性、完整性和可用性，從而保障金融業務的連續性。通過建立信息安全管理體系，可以使得數據中心在以下方面得到改進：

通過信息安全管理體系明確了信息安全方針和策略。信息安全問題不是一個數據中心的問題，事關全公司乃至全行業，一定要堅持高層領導負責制，全局統籌，給予信息安全管理工作最直接的支持。信息安全管理需要協調所有部門，通過對金融機構的高級管理層及全金融機構的人員進行信息安全培訓，強化對信息安全管理目標的共識。突破傳統信息技術為輔的觀念，金融領域的信息技術即金融業務，技術服務及金融服務。該體系的信息安全策略要求在業務系統的開發和建設的同時，注重業務系統建設中的網絡安全問題，對金融領域系統的安全問題進行產品全生命周期的管理。這種管理體系為數據中心乃至全公司明確了的信息安全方針和策略，信息安全管理工作有了指導依據，為金融業務持續、健康發展提供基礎保障。

信息安全管理體系樹立了系統的信息安全管理思想。使得金融數據中心的安全管理模式突破傳統靜態管理的局限，通過全面、系統、周期性的信息安全評估，及時發現風險，采取恰當的防范措施，持續不斷的改進信息安全現狀。管理體系促成了全公司人員對信息安全方針的共識，信息安全規章制度的落實將會更加順利。信息安全管理體系可以幫助數據中心實現對信息安全風險的全面管控，管理體系各項制度標準的持續改進，進行主動性的積極防御，持續地改善數據中心網絡安全防護水平，改變以往信息安全管理被動的局面。

信息安全管理體系強調數據中心信息安全不應僅從技術方面防護，更應落實信息安全管理體系的建設，全方位加強規范化管理。管理體系要求保證人員管理流程的各個方面，如審查、保密協議和人員權限等各個方面，同時對金融數據中心口令管理策略、操作審計工作等工作有明確的規范。通過對管理體系各項制度的落實執行，可以促使數據中心在安全管理上更加全面化。

因此，逐漸完善相關的管理體系，以及做到妥善處理好兩者的關系有助于社會的發展。真正做到管理到位、簡潔、便民不容易。它需要我們國民共同努力和維持。想要了解更多網絡信息安全與金融信息安全的交互的信息，請繼續關注中培偉業。