众网威盾始终致力于无线网络安全研究,通过同众多银行业金融机构的沟通,及服务过程中,对当前银行业金融机构,尤其是中小银行业金融机构的——无线网络安全风险的整体管理现状,有了一定的了解。无线网络安全-
本文将围绕,中国银保监会印发的办《关于加强无线网络安全管理的通知》,以下简称《通知》,对其中的几个关键的监管要求,对中小银行业进行现状观察,以及分享一些行业内的优秀实践。无线网络安全管理具体技术实操等现状,我们将在下期文章继续分享!
一:明确对无线网络安全管理的职能部门,“谁主管谁负责、谁运营谁负责”无线网络安全-
但从我们的观察来看,部分中小银行业,由负责安全管理的部门,来承担无线网络安全管理的职责,这种管理机制的弊端,是无线网络安全管理工作的开展会或多或少缺乏一定的独立自主性。
并且这样的管理者,绝大数并不具备无线网络安全的专业背景,对人才的培训和培养也缺乏相应机制,这些都侧面反映了部分管理者,对无线网络安全仍旧没有引起足够的重视。
人才的积累和培养,依赖于金融机构的决策者和高层管理者的高度重视,仍旧有部分优秀的中小银行金融机构,已经针对性地采取一些措施。
例如,成立专项小组管理无线网络安全风险,小组人员参加职业认证考试,促进一线技术部门的技术交流,了解当前的技术演进和具体风险管控机制,参加外部机构组织的行业研讨和交流,加入行业协会获取相关培训和资源等。
基于国内的无线网络安全领域仍在起步阶段,所以,无线网络安全管理部门的岗位设置,及人员配备,对于中小银行业金融机构是个较大的挑战,需要精通无线网络安全风险管理体系等等,这样的人才在行业内比较紧缺,需要金融机构通过时间去培养和积累或者从外部引入。无线网络安全-
二:建立无线网络管理制度,及技术安全规范
"无规矩,不成方圆”,在监管的推动下,大部分中小银行金融机构,基本都制定了无线网络管理制度,及技术安全规范。但从实施内容来看,多数却落进了“大而空”的圈子,缺乏具体可执行细则,停留在表面。
例如:员工违反管理制度,没有明确的惩罚机制,没有明确的负责人去处理跟进;对于合作方,也缺乏完善的无线网络管理制度等等...
技术规范不完善,缺乏监管机制,很难落到执行层面,例如:禁止员工的手机连接隔壁办公室的WiFi,但却缺乏有效的技术手段去监管,让规范只能成为空谈。
好的无线网络管理制度,会对工作进行具体划分,每一项工作活动明确主责部门、配合部门以及汇报和知会路线等等。无线网络安全-
三:关于实施无线网络安全检查和评估
《通知》要求:“银行保险机构应将无线网络安全管理纳入日常信息科技风险评估,检查及审计范围,检查和评估各级部门无线网络使用的合规性、安全性、管理有效性。”
当前,银行业金融机构的日常信息科技风险评估,大多是通过组织自行评估,或者聘请第三方评估机构评估等方式开展,评估专题较多,对于“无线网络安全管理”的评估可能会被不同的评估项目组反复评估和测试,评估过程成果不能复用,增加了沟通成本和降低了效率。
其次,大部分中小银行的评估过程缺乏管控,对于“无线网络安全管理”只能依赖评估人的判断和结论,缺乏标准化的评估方法和执行标准,不同的评估人员,评估的风险点的范围,及差距分析的尺度也都各不相同,这也体现了专业的”无线网络安全管理”评估人员的缺乏。无线网络安全-
部分银行已经意识到,信息科技风险评估所面临的这些挑战,具体措施包括:
“无线网络安全管理”的评估工作通过流程管控,由风险评估牵头部门,将风险评估点分发给对应部门的相关人员开展风险评估,提供现状描述和差距分析;无线网络安全-
风险评估任务的具体接收人,自行评估收到的风险点,或在部门内部进行评估任务的转派。风险评估牵头部门根据各部门反馈的评估结果,识别风险点,形成问题列表;经流程确认后,问题自动进入问题库,后续开展问题的整改跟踪。
四:关于问题整改
《通知》要求:“各银行保险机构应迅对本机构的无线网络进行全面梳理,建立无线网络台账,按要求开展无线网络安全风险评估,重点就无线网络的规划建设、运行监控、漏洞管理、安全审计等领域进行自查、评估,对发现的问题立即进行整改,确保无线网络安全。”
目前大部分中小银行业金融机构,对无线网络台账的管理,一般通过各种文档进行保存,以人工线下的方式,按月或者每季度,开展一次风险问题的整改跟踪活动,普遍存在风险问题是:不能统一归口管理、风险问题管理不闭环、查询和统计分析难度大等。
领先的银行机构,通常采取信息化的手段,来建立和管理无线网络安全风险问题台账,对问题进行持续的查询、跟踪、整改、关闭以及统计分析,实现风险问题全生命周期闭环管理。
具体落实为:为风险问题在系统中指定整改责任部门和岗位,定期或者按照问题整改计划时间,智能的开展问题整改跟踪,收集整改过程信息和整改进度;通过建立流程管控,对于满足关闭条件的风险问题进行审批、关闭和归档;
为每一次的风险问题清单建立历史记录,积累数据源,按照年度、风险问题领域、风险问题来源、风险问题所属部门、风险问题整改状态、风险问题严重程度等不同维度,开展风险问题分析。无线网络安全-