當(dāng)前證券業(yè)務(wù)發(fā)展特點(diǎn)

證券業(yè)作為我國金融行業(yè)的重要的組成部分，承擔(dān)著幫助上市公司融資的重要作用，當(dāng)前全球經(jīng)濟(jì)處于企穩(wěn)回升階段，國家出臺(tái)多項(xiàng)經(jīng)濟(jì)刺激計(jì)劃，促進(jìn)內(nèi)需、力圖保證經(jīng)濟(jì)增長(zhǎng)達(dá)到8%，在這種大環(huán)境下，資本市場(chǎng)理所當(dāng)然的成為經(jīng)濟(jì)發(fā)展的助推器。

為了實(shí)現(xiàn)建立多層次資本市場(chǎng)的目標(biāo)，管理層也推出了創(chuàng)業(yè)板。深交所也之前也加緊組織各證券公司進(jìn)行創(chuàng)業(yè)板交易系統(tǒng)的集中測(cè)試工作。由此可見，當(dāng)前證券業(yè)發(fā)展迅速，各種新業(yè)務(wù)層出不窮。

證券行業(yè)的信息安全管理

新業(yè)務(wù)的發(fā)展離不開IT的支持，在強(qiáng)調(diào)維穩(wěn)的大環(huán)境下，IT系統(tǒng)是否安全可靠直接影響到業(yè)務(wù)能否平穩(wěn)運(yùn)行。為了保證證券業(yè)務(wù)安全、穩(wěn)定運(yùn)行，管理層非常重視證券行業(yè)的信息安全建設(shè)，發(fā)布了多項(xiàng)信息安全方面的規(guī)章制度，并定期組織對(duì)各證券公司和基金公司進(jìn)行信息安全檢查。在今年***的證券公司分類監(jiān)管規(guī)定中，***將證券公司的信息安全管理水平作為評(píng)價(jià)證券公司級(jí)別的重要指標(biāo)，也就是說如果某家證券公司的信息安全工作做的不好，會(huì)直接影響到它的評(píng)級(jí)，進(jìn)而影響到其業(yè)務(wù)的發(fā)展，由此可見，管理層對(duì)于證券行業(yè)的信息安全管理的重視程度。那么如何增強(qiáng)證券公司的信息安全保障能力呢？我覺得包括以下幾個(gè)方面：

一、嚴(yán)格落實(shí)管理層發(fā)布的信息安全方面的規(guī)章制度

管理層發(fā)布的信息安全相關(guān)的規(guī)章制度是參考了眾多信息安全專家的意見并結(jié)合證券業(yè)務(wù)特點(diǎn)制定的，這些規(guī)章制度內(nèi)容非常詳細(xì)，操作性強(qiáng)，具有很好的指導(dǎo)意義，可以說是非常好的信息安全管理操作指南。各證券公司如能真正落實(shí)相關(guān)規(guī)定，一定會(huì)在很大程度上增強(qiáng)其信息安全保障能力。但前提是證券公司真正意識(shí)到信息安全的重要性，并采取措施落實(shí)相關(guān)工作，而不是為了應(yīng)付上級(jí)的信息安全檢查，隨便敷衍了事。

二、公司管理層對(duì)信息安全工作的支持

谷安天下在以往的信息安全咨詢過程中發(fā)現(xiàn)個(gè)別公司的管理層僅對(duì)公司產(chǎn)生直接盈利的業(yè)務(wù)比較重視，對(duì)不直接產(chǎn)生經(jīng)濟(jì)效益的信息安全工作關(guān)注較少，僅僅是口頭說重視，但又不采取具體行動(dòng)對(duì)信息安全工作給予支持。這樣即使下面的員工對(duì)信息安全工作有再大的熱情，也很難有所作為。只有管理層明確對(duì)信息安全工作表示重視并給予實(shí)際的支持，下面的員工才有足夠的信心和動(dòng)力做好信息安全工作。

三、采取科學(xué)的信息安全管理方法全面有效的管理信息安全風(fēng)險(xiǎn)

風(fēng)險(xiǎn)無處不在，我們應(yīng)當(dāng)將主要精力和資源集中在控制可能產(chǎn)生嚴(yán)重后果的重大風(fēng)險(xiǎn)上，如交易通道的安全、穩(wěn)定、高效運(yùn)行，客戶資料的安全保護(hù)，門戶網(wǎng)站的安全等重要方面，而不是試圖控制所有風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理的方法很多，國際國內(nèi)都有很多相關(guān)的標(biāo)準(zhǔn)和指南。在證券行業(yè)目前推薦的兩個(gè)比較重要的標(biāo)準(zhǔn)是公安部的等級(jí)保護(hù)指南和ISO27001信息安全管理體系(ISMS)。很多公司參考這兩個(gè)標(biāo)準(zhǔn)來管理其信息安全工作，谷安天下在證券行業(yè)也積累了多個(gè)在這兩方面咨詢的案例。證券公司在咨詢公司以及相關(guān)安全廠商的配合下，通過管理與技術(shù)手段相結(jié)合完全可以有效控制其所面臨的主要的信息安全風(fēng)險(xiǎn)。

四、增加對(duì)信息安全管理方面人員和資金的投入

任何一項(xiàng)工作的有效開展都離不開資金和人員的有效投入，一些重大信息安全事件的發(fā)生與企業(yè)缺乏對(duì)信息安全的投入有直接的關(guān)系。2009年3月2日，國際著名調(diào)查機(jī)構(gòu)IT Policy Compliance Group發(fā)布了題為《加強(qiáng)管理信息安全與審計(jì)可改善業(yè)績(jī)》的***基準(zhǔn)研究報(bào)告。該報(bào)告在對(duì)全球2600多家企業(yè)進(jìn)行調(diào)查后得出結(jié)論，由于當(dāng)前全球經(jīng)濟(jì)危機(jī)所帶來的負(fù)面影響，68%的企業(yè)在信息安全方面投入明顯不足。該報(bào)告同時(shí)指出，對(duì)大多數(shù)公司來說，若在信息安全與審計(jì)管理***實(shí)踐方面持續(xù)增加投入可使其獲得超過200%的經(jīng)濟(jì)回報(bào)。

五、加強(qiáng)培訓(xùn)，增強(qiáng)各級(jí)員工信息安全意識(shí)

谷安天下在咨詢過程中也發(fā)現(xiàn)證券公司很多員工對(duì)信息安全沒有概念，大部分人認(rèn)為信息安全是IT部門主要負(fù)責(zé)的工作，與自己無關(guān)。其實(shí)不然，很多重要的業(yè)務(wù)部門的工作都是與信息安全直接相關(guān)的，比如自營部門的投資組合、固定收益部門的數(shù)量模型、人力資源部門的高管薪酬等敏感信息都是公司非常重要而且隱私的數(shù)據(jù)，對(duì)這些數(shù)據(jù)的保護(hù)都是信息安全管理的范疇，由此可見，信息安全不是某個(gè)部門的事情，而是整個(gè)公司的事情，需要各部門共同協(xié)作才可以做好。

ISO/IEC 27001簡(jiǎn)介

簡(jiǎn)單介紹一下目前國際公認(rèn)的比較成熟的信息安全管理體系標(biāo)準(zhǔn)。ISO/IEC27001標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織（ISO）根據(jù)英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的BS7799標(biāo)準(zhǔn)演變而來。ISO27001的信息安全管理體系采用PDCA循環(huán)強(qiáng)調(diào)持續(xù)改進(jìn)的過程。

ISO27001規(guī)范了從組織到個(gè)人，從操作運(yùn)營到信息系統(tǒng)管理，從事件到連續(xù)性管理等十一的領(lǐng)域的133個(gè)控制措施：

#p#建立ISO27001信息安全管理體系的好處有以下幾個(gè)方面；

引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻，或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。
通過進(jìn)行ISO27001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。

通過認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。

通過認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感。

獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國際上的承認(rèn)，拓展您的業(yè)務(wù)。

建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。

組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系，會(huì)有一定的投入，但是若能通過認(rèn)證機(jī)關(guān)的審核，獲得認(rèn)證，將會(huì)獲得有價(jià)值的回報(bào)。企業(yè)通過認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。
通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。

結(jié)束語

2009年9月16日申銀萬國交易系統(tǒng)中斷半個(gè)小時(shí)，全國所有營業(yè)部無法進(jìn)行交易，對(duì)股民造成的損失無法估計(jì)，導(dǎo)致眾多股民情緒激動(dòng)。而這家公司2009年9月9日剛剛參加了上海證監(jiān)局組織的網(wǎng)絡(luò)與信息安全應(yīng)急演練上海轄區(qū)應(yīng)急演練。這次應(yīng)急演練對(duì)當(dāng)日的故障應(yīng)急預(yù)案啟動(dòng)起到了重要的作用，技術(shù)部門在接到故障報(bào)告后，隨即啟動(dòng)了應(yīng)急預(yù)案。但無論如何正值維穩(wěn)期間出這種事情，無論對(duì)于該公司還是對(duì)于管理層都是很難堪的事情。這個(gè)剛剛發(fā)生的真實(shí)案例表明信息安全是一個(gè)平時(shí)可能看不見，但一旦出事就會(huì)造成重大損失的事情。我相信申銀萬國這種大型證券公司對(duì)信息安全應(yīng)該是比較重視的，也進(jìn)行了大量投入，做了很多工作。但是依然無法完全避免重大信息安全事件的發(fā)生。由此可見信息安全管理不是一朝一夕的事情，是一個(gè)需要持續(xù)改進(jìn)，不斷優(yōu)化的過程，而且需要經(jīng)驗(yàn)豐富的安全專家進(jìn)行全面的指導(dǎo)，谷安天下咨詢?cè)谧C券行業(yè)信息安全咨詢方面積累的多個(gè)成功案例，在信息安全管理乃至整個(gè)IT風(fēng)險(xiǎn)管理、IT治理領(lǐng)域是可以信賴的專家。

【編輯推薦】

1. 從證券業(yè)安全大檢查的一點(diǎn)經(jīng)驗(yàn)談起
2. 3G增值業(yè)務(wù)考驗(yàn)信息安全管理
3. 3G與全業(yè)務(wù)運(yùn)營應(yīng)高度重視網(wǎng)絡(luò)信息安全