| 7月20日,公安部、国家保密局、国家密码管理局、国信办4部门联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议强调:2007年7月至10月,将在全国范围各省市、各行业组织开展重要信息系统安全等级保护定级工作。目前,国家已经制定了50多个国家标准和行业标准。初步形成了信息安全等级保护标准体系。各部委和行业推进信息安全等级保护的流程包括:自主定级与审批、评审、备案、系统安全建设、等级测评、监督检查。同时,国家信息安全的有关领导部门将统一检查实施情况。公安和保密、密码部门将严格审查信息系统所定级别,对故意将信息系统安全级别定低,逃避监管,造成信息系统出现重大安全事故的,要追究单位和相关人员的责任。
人民银行作为银行业金融机构主管部门,作为涉及国家金融稳定重要信息系统的运行使用单位,为了高效率、高质量完成信息系统安全等级保护定级工作(以下简称“定级工作”),根据人民银行总行、人民银行各分支行以及银行业金融机构的不同实际情况、不同特点,进行统筹安排、周密部署,同步开展“定级工作”。
早准备,早启动,早部署
主管行长对此事高度重视,指示:一要重视等级保护工作;二要抓住机遇,借力等级保护进一步推进人民银行和银行业金融机构的信息安全工作;三要切实落实定级工作的有关要求,做到准确合理定级;四是人民银行的定级工作由科技司牵头负责。
根据人民银行行领导指示,人民银行科技司立即着手启动“定级工作”,拟定工作计划,起草工作部署文件,经与银监会多次沟通,8月29日以人民银行和银监会联合发文的形式向银行业金融机构印发了银发[2007]327号文件,就定级工作的步骤、内容和要求作了详细说明。
克服困难,联系实际,统筹安排
人民银行负责的“定级工作”任务十分繁重,主要包括三大内容:人民银行总行牵头建设的信息系统定级工作、人民银行分支行自主建设的信息系统定级工作(含辖内各城市商业银行、农村商业银行、农村合作银行等单位信息系统定级指导)、银行业金融机构信息系统定级工作。由于此次“定级工作”在全国大规模的开展尚属首次,相关要求和国家标准文件较多,人民银行和银行业金融机构的信息系统种类多、数量大、复杂度高,短时间内要高质量完成定级工作的困难较大。经过深入分析、结合实际,我们认为当前所面临的困难主要有两点。
一是信息系统种类多、数量大。22家全国性银行(含中国银联),信息系统种类有15个左右、正在运行的信息系统为900个左右,人民银行总行正在运行的信息系统为40个左右,36个副省级以上分支行(含辖内各城市商业银行等)和直属单位正在运行的信息系统为1000个左右。
二是复杂度高。人民银行和22家全国性银行中(含中国银联),人民银行、政策性银行、商业性大银行以及商业性中小银行的信息系统服务对象不同(人民银行只对银行,政策性银行只对公,商业银行对公也对私、对境内也对境外)、服务时间不同(有7×24小时,有5×24小时)、系统数据集中模式不同(有总行集中模式,有省级集中模式)等等。
人民银行科技司采取了“分类部署、落实到人、质量控制、齐头并进”的工作策略,提前对人民银行总行建设的信息系统、分支行自行建设的信息系统和金融机构的信息系统三大块工作进行统筹安排,制定了有较强操作性的详细工作计划。同时,针对每项工作具体落实到人,我们针对各项工作列出了各阶段的主要工作内容、执行人、完成时间,确保责任明确。在实施过程中进行了质量管理过程控制,针对每一阶段性成果进行检查、记录、存档。这一系列的举措有力保障了本次定级工作能及时高效地落实。
责任明确,并行作业,综合把关
为定级工作快速有序开展,保障所定级别准确、合理,人民银行从实际出发,采取了一系列有力措施。
明确牵头机构,加强与业务部门、运维部门和保密部门的组织协调,各司其责,有力配合。因为定级是以系统受破坏后对客体的侵害程度为依据,而不是考虑信息系统是否安全可靠,因此,定级工作需要涉及业务、运维、保密等多个部门的联合确定,才能保证系统定级的客观性和合理性。定级工作牵头机构在人员紧张的情况下投入专人全力保障定级工作的顺利进行,并负责协调相关部门的资源,保障了定级工作的有序开展。
加强培训。人民银行根据不同对象,采取不同方式进行同步培训:针对人民银行总行18个业务司局和运维单位,采取制做实例讲解课件、集中培训并现场答疑的方式;针对人民银行分支行采取通过邮件下发培训教材及电话解答的方式;针对银行业金融机构则采取外请公安部专家讲课并现场答疑集中培训、电话指导的方式。通过有针对性的多种方式的宣传培训,收到了良好的效果。很快,各单位定级实施中的问题基本得到解决,定级工作快速高效开展起来。
任务分工,目标明确。对于人民银行总行的“定级工作”,人民银行科技司对总行统一推广建设的近百个信息系统进行了详细调查,列出各业务司局和运维单位的有关信息系统清单(包括业务部门、运维部门、系统目前状态、数据集中方式等要素),拟定了业务司局、运维单位、科技司和保密办在定级工作中的《任务分工》。《任务分工》中明确了各单位要完成的工作目标、工作内容、时间要求等。9月19日人民银行科技司组织召开了18个业务司局和运维单位的相关负责人参加的“人民银行总行定级工作启动会”。由于目标明确,培训有力,短短几天内,业务部门和运维部门就将从各自角度确定的业务信息安全保护等级和系统服务安全保护等级反馈给科技司,科技司对两个安全等级取高作为信息系统安全保护等级。与此同时,人民银行各分支行和银行业金融机构的定级工作也快速展开,为了避免出现定级死角,人民银行总行明确要求人民银行分支行对辖内无上级总行的各城市商业银行、农村商业银行、农村合作银行等单位进行定级工作指导。对银行业金融机构的定级工作,人民银行明确要求各全国性银行的总行负责本行分支行定级工作指导,人民银行鼓励各单位的业务部门和科技部门共同完成信息系统定级工作。对定级实施中的具体问题,人民银行科技司通过电话进行在线指导。
自主定级,综合把关。为尽可能保证人民银行和银行业信息系统安全等级保护定级级别的准确、合理,人民银行于10月11日、16日至18日分别组织了人民银行分支行、人民银行总行和银行业的定级评审会。评审会上,除与定级系统有关的人民银行18个业务司局和运维单位的有关人员以及22个全国性银行代表参加外,人民银行还聘请了公安部、国家信息安全等级保护专家评审委员会、证监会以及国家电网监督管理委员会的专家从政策上进行把关,从实践上进行指导,从行业外的角度对定级工作进行评价,进一步强化了定级工作的客观性。
人民银行作为中央银行,对防范和化解金融风险,维护金融稳定担负重要职责。信息系统安全等级保护定级工作在人民银行和银行业金融机构的顺利开展,对于人民银行、各银行及相关金融机构全面建设信息安全保障体系,促进国家金融秩序稳定具有重大意义。经过以上一系列措施,再加上人民银行各业务部门、各分支机构、各金融机构的大力支持和配合,金融行业的定级工作完成出色,得到了公安部和国信办等信息安全领导机构的高度评价。 |
