【51CTO.com 綜合消息】證券業(yè)作為我國金融行業(yè)的重要的組成部分，承擔著幫助上市公司融資的重要作用，當前全球經濟處于企穩(wěn)回升階段，國家出臺多項經濟刺激計劃，促進內需、力圖保證經濟增長達到8%，在這種大環(huán)境下，資本市場理所當然的成為經濟發(fā)展的助推器。

為了實現(xiàn)建立多層次資本市場的目標，管理層也推出了創(chuàng)業(yè)板。深交所也之前也加緊組織各證券公司進行創(chuàng)業(yè)板交易系統(tǒng)的集中測試工作。由此可見，當前證券業(yè)發(fā)展迅速，各種新業(yè)務層出不窮。

證券行業(yè)的信息安全管理
新業(yè)務的發(fā)展離不開IT的支持，在強調維穩(wěn)的大環(huán)境下，IT系統(tǒng)是否安全可靠直接影響到業(yè)務能否平穩(wěn)運行。為了保證證券業(yè)務安全、穩(wěn)定運行，管理層非常重視證券行業(yè)的信息安全建設，發(fā)布了多項信息安全方面的規(guī)章制度，并定期組織對各證券公司和基金公司進行信息安全檢查。

在今年***的證券公司分類監(jiān)管規(guī)定中，***將證券公司的信息安全管理水平作為評價證券公司級別的重要指標，也就是說如果某家證券公司的信息安全工作做的不好，會直接影響到它的評級，進而影響到其業(yè)務的發(fā)展，由此可見，管理層對于證券行業(yè)的信息安全管理的重視程度。那么如何增強證券公司的信息安全保障能力呢？應該包括以下幾個方面：

一、嚴格落實管理層發(fā)布的信息安全方面的規(guī)章制度
管理層發(fā)布的信息安全相關的規(guī)章制度是參考了眾多信息安全專家的意見并結合證券業(yè)務特點制定的，這些規(guī)章制度內容非常詳細，操作性強，具有很好的指導意義，可以說是非常好的信息安全管理操作指南。各證券公司如能真正落實相關規(guī)定，一定會在很大程度上增強其信息安全保障能力。但前提是證券公司真正意識到信息安全的重要性，并采取措施落實相關工作，而不是為了應付上級的信息安全檢查，隨便敷衍了事。

二、公司管理層對信息安全工作的支持
谷安天下在以往的信息安全咨詢過程中發(fā)現(xiàn)個別公司的管理層僅對公司產生直接盈利的業(yè)務比較重視，對不直接產生經濟效益的信息安全工作關注較少，僅僅是口頭說重視，但又不采取具體行動對信息安全工作給予支持。這樣即使下面的員工對信息安全工作有再大的熱情，也很難有所作為。只有管理層明確對信息安全工作表示重視并給予實際的支持，下面的員工才有足夠的信心和動力做好信息安全工作。

三、采取科學的信息安全管理方法全面有效的管理信息安全風險
風險無處不在，我們應當將主要精力和資源集中在控制可能產生嚴重后果的重大風險上，如交易通道的安全、穩(wěn)定、高效運行，客戶資料的安全保護，門戶網站的安全等重要方面，而不是試圖控制所有風險。信息安全風險管理的方法很多，國際國內都有很多相關的標準和指南。在證券行業(yè)目前推薦的兩個比較重要的標準是公安部的等級保護指南和ISO27001信息安全管理體系(ISMS)。很多公司參考這兩個標準來管理其信息安全工作，谷安天下在證券行業(yè)也積累了多個在這兩方面咨詢的案例。證券公司在咨詢公司以及相關安全廠商的配合下，通過管理與技術手段相結合完全可以有效控制其所面臨的主要的信息安全風險。

四、增加對信息安全管理方面人員和資金的投入
任何一項工作的有效開展都離不開資金和人員的有效投入，一些重大信息安全事件的發(fā)生與企業(yè)缺乏對信息安全的投入有直接的關系。2009年3月2日，國際著名調查機構IT Policy Compliance Group發(fā)布了題為《加強管理信息安全與審計可改善業(yè)績》的***基準研究報告。該報告在對全球2600多家企業(yè)進行調查后得出結論，由于當前全球經濟危機所帶來的負面影響，68%的企業(yè)在信息安全方面投入明顯不足。該報告同時指出，對大多數(shù)公司來說，若在信息安全與審計管理***實踐方面持續(xù)增加投入可使其獲得超過200%的經濟回報。

五、加強培訓，增強各級員工信息安全意識
谷安天下在咨詢過程中也發(fā)現(xiàn)證券公司很多員工對信息安全沒有概念，大部分人認為信息安全是IT部門主要負責的工作，與自己無關。其實不然，很多重要的業(yè)務部門的工作都是與信息安全直接相關的，比如自營部門的投資組合、固定收益部門的數(shù)量模型、人力資源部門的高管薪酬等敏感信息都是公司非常重要而且隱私的數(shù)據(jù)，對這些數(shù)據(jù)的保護都是信息安全管理的范疇，由此可見，信息安全不是某個部門的事情，而是整個公司的事情，需要各部門共同協(xié)作才可以做好。

ISO/IEC 27001簡介
簡單介紹一下目前國際公認的比較成熟的信息安全管理體系標準。ISO/IEC27001標準是國際標準化組織（ISO）根據(jù)英國標準協(xié)會（BSI）制定的BS7799標準演變而來。ISO27001的信息安全管理體系采用PDCA循環(huán)強調持續(xù)改進的過程。

圖1

ISO27001規(guī)范了從組織到個人，從操作運營到信息系統(tǒng)管理，從事件到連續(xù)性管理等十一的領域的133個控制措施：

圖1

引入信息安全管理體系就可以協(xié)調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。
通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網站和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創(chuàng)造更大收益。
通過認證能保證和證明組織所有的部門對信息安全的承諾。
通過認證可改善全體的業(yè)績、消除不信任感。
獲得國際認可的機構的認證證書，可得到國際上的承認，拓展您的業(yè)務。
建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。
組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。企業(yè)通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。
通過認證能夠向政府及行業(yè)主管部門證明組織對相關法律法規(guī)的符合性。

2009年9月16日申銀萬國交易系統(tǒng)中斷半個小時，全國所有營業(yè)部無法進行交易，對股民造成的損失無法估計，導致眾多股民情緒激動。而這家公司2009年9月9日剛剛參加了上海證監(jiān)局組織的網絡與信息安全應急演練上海轄區(qū)應急演練。這次應急演練對當日的故障應急預案啟動起到了重要的作用，技術部門在接到故障報告后，隨即啟動了應急預案。但無論如何正值維穩(wěn)期間出這種事情，無論對于該公司還是對于管理層都是很難堪的事情。

這個剛剛發(fā)生的真實案例表明信息安全是一個平時可能看不見，但一旦出事就會造成重大損失的事情。我相信申銀萬國這種大型證券公司對信息安全應該是比較重視的，也進行了大量投入，做了很多工作。但是依然無法完全避免重大信息安全事件的發(fā)生。由此可見信息安全管理不是一朝一夕的事情，是一個需要持續(xù)改進，不斷優(yōu)化的過程，而且需要經驗豐富的安全專家進行全面的指導，谷安天下咨詢在證券行業(yè)信息安全咨詢方面積累的多個成功案例，在信息安全管理乃至整個IT風險管理、IT治理領域是可以信賴的專家。