中国华融：构建全面科技风险管理体系，确保网络安全

中国华融：构建全面科技风险管理体系，确保网络安全

中国华融资产管理股份有限公司（以下简称“中国华融”）高度重视网络安全管理工作，结合资产管理业务特点，扎扎实实推进了网络安全建设，在科技风险体系建设方面取得了显著的成效。多年来，从“抓治理、建规范、防风险、强管理、增技术、筑基础、保运行”等方面，积极构建全面科技风险管理体系，确保网络安全。

抓治理，建立网络安全风险管理“三道防线”

通过网络安全治理机制建设，中国华融不断完善网络安全治理架构，落实网络安全职责，强化网络安全管理。一是加强顶层设计，推动集团网络安全的规划与实施。在《中国华融信息化规划》中，对构建全集团的网络安全机制、覆盖全集团的网络安全风险管理，以及实现全流程的科技风险管控等内容进行了具体的规划与设计，并通过保障措施积极推动规划的落地实施。二是建立强有力的网络安全的领导机构。明确了公司董事会、高级管理层的网络安全重要职责。公司信息科技管理委员会作为网络安全领导机构，负责强化公司信息安全工作，制定信息科技风险管理策略，形成了强有力的决策、领导和管理机制。三是建立网络安全风险管理的“三道防线”。由信息科技部门、风险管理部门和审计部门分工协作，落实科技风险监控、处置、评估和检查职能，维护网络安全。信息科技部负责贯彻网络安全要求，制定网络安全的规章制度，组织开展网络安全工作，识别和处置网络安全风险，监控网络安全事件，定期开展网络安全检查等。风险管理部门负责为网络安全风险管理提供指导，跟踪网络安全风险问题。审计部门负责对网络安全工作情况开展审计检查。

建规范，实现网络安全制度化管理

中国华融遵循《网络安全法》和银监会《加强非银行金融机构信息科技建设和管理的指导意见（银监办发[2016]188号）》等监管指引，以及公安部对信息系统安全等级保护有关要求。一是制定了全面的信息科技制度体系，为网络安全筑起了制度防线。中国华融的制度体系涵盖了“软件开发管理”、“运行维护管理”、“网络安全管理”、“连续性管理”、“机房基础设施管理”等多个领域，将网络安全的控制点覆盖到“数据”、“软件”、“硬件”、“服务”、“人员”等多个层面，形成对网络安全的全面制度化管理。二是开展了管理体系认证。公司于2010年获得了中国信息安全认证中心（ISCCC）颁发的ISO 27001 信息安全管理体系认证证书，2014年获得了同一机构颁发的ISO 20000信息科技服务体系认证证书。通过定期开展管理体系内外部审计和认证，及时发现制度体系中存在的问题。通过持续的改进完善，提升了网络安全风险管理水平。

防风险，落实网络安全风险的识别与处置

中国华融依据风险评估国家标准《信息安全技术 信息安全风险评估规范》（ GB20984-2007-T），建立了信息科技风险评估的工作规范，每年组织开展大规模的信息科技风险评估。实现了定量化分析与定型化评估相结合的信息科技风险评估管理，科学识别信息科技资产、科技风险级别、科技威胁和脆弱性，归纳总结需要重点处置的网络安全风险。基于银监会的外包管理要求，制定了信息科技外包风险的识别和处置方法，强化科技外包过程中尽职调查、供应商风险、外包人员风险管理等方面的风险评估与风险处置。中国华融还将网络安全风险识别和处置情况纳入到公司整体的风险管理工作中。

强管理，促进网络安全管理控制点与日常科技管理工作流程有机结合

中国华融通过管理体系建设工作，将网络安全管理的控制要求有机融入到日常信息科技管理工作流程当中，实现网络安全管理要求的流程化管控。在事件管理、变更管理、问题管理、容量管理、配置管理、可用性管理等信息科技工作流程中加入了包括安全性审查、安全评估、安全确认等网络安全控制点要求，使得流程负责人、流程执行者以及安全负责人都能够有效参与到科技管理和网络安全管理工作当中，避免了网络安全工作与日常科技管理工作的分割与脱节，实现对科技工作“可识别、可控制、可化解、可持续”的全流程网络安全管理。

增技术，不断运用新型安全技术保证网络安全

中国华融将网络安全技术和管理工作相结合，通过应用网络安全技术控制手段，不断提升网络安全管理工作的效率和有效性。一是通过部署防火墙、入侵检测、企业防病毒等网络安全设备与软件，做好安全保护。中国华融在所有网络边界部署了防火墙、代理服务器等安全防护设备，实现对于外部网络流程的过滤与防护；部署了垃圾邮件过滤系统和企业级防病毒系统，防止计算机病毒、蠕虫以及钓鱼邮件等安全威胁；通过部署入侵检测设备，对内部网路进行入侵行为监控，防范企业内网的网络入侵风险。二是聘请信息安全专业公司开展信息安全技术检测，防范安全技术风险。中国华融聘请网络安全专家，定期开展包括漏洞扫描、安全配置审计、渗透性测试、代码安全审计等安全技术检测工作，及时发现信息系统存在的漏洞和隐患技术风险，根据安全专家的技术检测建议，组织开展安全风险加固，提升信息系统的网络安全水平。

筑基础，建设安全稳固的信息科技基础设施

中国华融信息科技基础设施建设严格依据银监会相关规定实施，通过构建先进的基础设施体系，有力的保障了科技工作的开展，降低了基础设施网络安全风险事故出现的几率。一是建设了符合专业技术标准的数据中心、灾备中心和开发测试中心。数据中心符合国家新颁布的电子信息系统机房设计规范中A级机房标准，达到了银监会监管的要求，为公司信息系统持续、稳定运行提供了扎实的基础保障。实现了开发、测试、仿真、生产环境的相互隔离，提升了科技风险防范能力。二是建设了冗余备份的通讯网络，有效防范网络中断风险。建成了以总部为核心，将分公司、营业部、子公司、移动用户连成一体的数据、语音、图像三网合一的通信网络，网络全面覆盖公司总部、32家分公司（营业部）和41家子公司。网络通讯线路均采取双运行商冗余线路备份的模式建立，有效防范了网络单点故障，确保了网络线路的连续性，防范了网络中断风险。三是强化了信息系统的高可用性建设。我公司关键业务系统以及数据库均采用了群集、负载均衡等技术，有效保证了信息系统的持续稳定运行。

保运行，健全运行监控与保障措施，确保信息系统的安全稳定运行

中国华融注重运行监控与灾难恢复，精心打造信息科技运行保障能力，防范网络安全隐患。一是强化信息系统的运维监控和应急演练。建立了覆盖网络、硬件、操作系统、应用等方面的全方位监控系统，一旦出现故障可以及时报警。同时，定期开展信息系统应急恢复演练，确保备份数据有效、可用，防范网络安全造成的系统中断和数据方面的风险。二是做好信息科技外包管理。坚持“安全管理责任不能外包、安全标准不能降低”的外包管理底线，防范外包带来的各类网络安全风险，加强对外包的日常管理和指导，确保其服务及风控能力符合监管政策要求。通过与所有外包人员签署保密协议、在外包合同约定保密要求等方式，对外包可能涉及的信息保密风险进行防范，防止外包可能造成的泄密风险。三是严格做好信息数据的网络安全管理。通过严格的信息系统授权、日志审计、加密等访问控制手段，对于中国华融各信息系统存储的信息数据，其机密性、完整性和可用性得到了有效控制，防范信息数据的泄露、丢失以及篡改风险。

（文章来源：金融电子化杂志）