Page 35 - 金融科技视界2022-10期
P. 35
Technical Tracking
技术追踪
发生重大变化,针对重大变更情
形,动态掌握变化信息。
(二)设计安全防护能力,确
保业务稳定持续运行
1、标准的内容与要求
主要包括第五章“5 主要内
容及活动”的内容,即安全防护:
根据已识别的关键业务、资产、安
全风险,在安全管理制度、安全管
理机构、安全管理人员、安全通信
网络、安全计算环境、安全建设管
理、安全运维管理等方面实施安
全管理和技术保护措施,确保关
键信息基础设施的运行安全,同
时包括第七章“7 安全防护”的具
体要求。
2、构建 安 全 防 护 的“弹性
能力”
本标准重点突出了数据安全
和供应链安全要求,为提升安全
防护能力,提升业务持续稳定运
行的安全弹性,可以从管理和技 安全防护能力的构建,需要采用 务发展中采用的云平台、移动互
术措施两个方面开展工作: 系列技术手段和措施,实现相关 连、物联网、5G等新技术的有效
一是明确开展安全防护工作 技 术 措 施 的有 效 聚合 和一 体化 安全防护;建立数据安全管理责
的管理和要求。建立针对关键信 管 理,包括:采用技术措施 对具 任和评价考核制度,编制数据安
息基础设施指导和管理网络安全 有不同安全保护等级的系统、不 全保护计划,实施数据安全技术
工作的委员会或领导小组,明确领 同业务系统、不同区域及与其他 防护,开展数据安全风险评估,
导班子成员专职管理或分管关键 运营者之间的互操作、数据交换 制定数据安全事件应急预案,及
信息基础设施安全保护工作;设 进行严格控制,建立或完善安全 时处置安全事件;构建供应链安
置安全管理机构,建立健全网络 互联安全策略;采用鉴别与授权 全保护系统,绘制供应链安全管
安全保护工作制度和责任制;将 技术措施,实现重要业务操作、 理动态图谱,建立供应方目录,加
网络安全等级保护制度与关键信 重 要 用户 操 作 或 异 常用户 操 作 强通用、开源功能组件模块分析
息基础设施保护制度、数据安全 行为的安全管控;采用网络入侵 梳理,加强供应安全风险分析识
保护制度有机衔接,统筹落实。 检测、大数据分析检测等技术手 别,对关键业务链开展安全风险
二 是 增 强 安 全防 护技 术 措 段,发现潜在的未知威胁,并作出 分析,分析主要安全风险点,当发
施,强化数据安全和供应链安全。 响应;采用新的技术措施实现业 生安全风险时,及时采取措施消
2022.10 金融科技视界 33
