亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

運用ISMS管理模式 實現金融業信息隔離墻
2011-09-14   中國IT運維網

中國針對金融行業頒布「信息隔離墻」的行業治理規范,主要是希冀從法規要求來約束金融證券,避免敏感信息不當泄漏而產生如內線交易等弊病。信息隔離墻,是指通過控制或者隔離內幕信息及其他未公開信息在公司內部的流動,防范公司與客戶之間、不同客戶之間的利益沖突而建立的信息隔離機制,基于法規要求,公司應當進一步完善業務隔離、物理隔離、人員隔離、信息系統隔離、資金與賬戶隔離等內部控制措施。公司應當加強對員工行為的監控,指定部門對信息隔離墻制度執行情況進行檢查,明確對違反信息隔離墻制度行為的責任追究措施,確保各項規定得以落實。

許多金融業已通過或準備認證ISO 27001信息安全管理標準(Information Security Management System; 簡稱ISMS),本文建議從既有的ISO管理文件、作業程序中去融入「信息隔離墻」的合規作為,并運用該標準所采用的Plan-Do-Check-Act管理循環來落實法規要求,才是畢其功于一力的有效規劃。 

下圖:運用ISMS建立企業信息隔離策略的管理模式

1. Plan規劃 (建立合規的管理制度及系統):

本階段包含審視金融證券公司的現有作業流程、信息系統,并盤點本法規要求之利害關系人,以設置限制清單和觀察清單,對投資咨詢、證券自營、資產管理等業務進行必要限制或監控。證券公司應根據公司經營模式、內控水平、風險承受能力等實際情況,對觀察清單予以有效管理。另外盤點出信息流向及相關作業流程,設計出控制關鍵點及有效的控制程序,例如運用窗體審批或是將系統存取紀錄完整留存,做為后續檢查之用。另外制定哪些人員是否適合接觸、處理敏感信息,也是規劃階段的重點工作。公司研擬合規的管理制度后,須將相關要求并入公司的安全政策中,并要求內部員工及相關利害人簽署遵循相關政策的合同,建議盡量融入現有文件內容來增訂要求項目,并做好文件版本控管,才能降低此階段的文件管理復雜性。

2. Do 執行 (實施信息隔離管理制度及系統):

完成信息安全隔離墻的合規性作業程序及相關規畫作業后,則進入實施階段。此時重在員工倡導及教育訓練,讓內部員工明了合規的重要性及如何執行相關作業流程,最重要的是強調相關要求(包含依法進行監控)及若觸法違規之懲罰,讓員工能確實配合相關規定。

3. Check查檢 (監控與審查):

信息隔離墻規范中提到公司應當設立中央控制室,借助信息技術對公司內部流轉的相關信息進行及時、有效的管理,例如設置限制清單和觀察清單,對投資咨詢、證券自營、資產管理等業務進行必要限制或監控;對跨墻人員進行審批、管理。運用信息監控系統將有助于自動化查檢,尤其是針對信息傳輸交換的重要管道中設置監控系統,留存敏感信息的使用紀錄,這些作為都有助于做到事前嚇阻、事中查檢及事后調查等目標。守內安信息科技所提供的電子郵件及網絡使用安全管理方案,就是針對使用度高的網絡通訊管道,做到信息查檢及安全防護的管理工具,目前也被許多金融行業所采用。

4. Act  (維持與改進):

公司實施信息隔離墻管理制度后,無論是經由查檢時發現缺失或不足,或是發生危害事件,都需要針對問題研擬改善對策(包含矯正與預防措施),依對策不同將會對應到不同階段的改善行動。例如公司從網絡使用安全管理系統(如Content SQR)上觀察到某員工運用實時通訊軟件傳文件的頻率異常偏高,便透過該員工的主管進行了解及勸告,請員工務必遵守公司的規定,否則懲罰他禁用相關網絡服務。這就是透過ISMS管理模式來達到預防觸犯信息隔離墻的例子。

熱詞搜索:

上一篇:淺談思科新網絡管理策略:CiscoPrim評析
下一篇:兩招徹底解決Win7預裝版 CPU爆高問題

分享到: 收藏