金融机构ICT供应链信息安全风险分析及应对措施研究.pdf
《金融机构ICT供应链信息安全风险分析及应对措施研究.pdf》由会员分享,可在线阅读,更多相关《金融机构ICT供应链信息安全风险分析及应对措施研究.pdf(6页珍藏版)》请在咨信网上搜索。
1、学术论文DOl:10.12379/j.issn.2096-1057.2024.01.09ResearchPapers金融机构ICT供应链信息安全风险分析及应对措施研究丁丽媛(银联数据服务有限公司上海2 0 12 0 1)()Research on Risk Analysis and Countermeasures of FinancialInstitution ICT Supply Chain Information SecurityDing Liyuan(China UnionPay Data Services Co.,Ltd.,Shanghai 201201)Abstract Supply
2、 chain is an increasingly complex global network composed of a large and growingnumber of third-party partners.For financial institutions,supply chain information security isparticularly important for ensuring the security of user funds and personal information.Therefore,it is necessary to plan and
3、build a secure and controllable supply chain information security systemin advance.This paper mainly analyzes the information and communication technology(ICT)supply chain information security risks of financial institutions,and proposes a comprehensiveprevention and control system framework for ICT
4、 supply chain information security based on theentire lifecycle.Through the closed-loop management process and technical measures of thisframework,precise prevention and control of ICT supply chain information security in financialinstitutions can be achieved,thereby ensuring the safe and stable ope
5、ration and development offinancial business.Key words supply chain;information security;third-party management;data security;Fintech摘要供应链是一个日益复杂的全球网络,由大量且不断增加的第三方合作伙伴组成.对于金融机构来说供应链信息安全对于保障用户资金安全、保障用户个人信息安全尤为重要,所以必须提前谋划、构建安全可控的供应链信息安全体系.针对金融机构的信息通信技术(information andcommunications technology,I CT)供应链信
6、息安全风险进行分析,提出了基于全生命周期的ICT供应链信息安全综合防控体系框架.通过该框架的闭环管理流程和技术措施可以实现金融机构ICT供应链信息安全的精准防控,从而保障金融业务安全稳定运行和发展.关键词供应链;信息安全;第三方管理;数据安全;金融科技中图法分类号TP309.2收稿日期:2 0 2 3-0 4-0 5引用格式:丁丽媛。金融机构ICT供应链信息安全风险分析及应对措施研究 JI.信息安全研究,2 0 2 4,10(1):55-6 0网址http:/155信息安全研究第10 卷第1期2 0 2 4年1月Journalotinformatien Security ResearchVol
7、.10No.1Jan.2024安全问题都会引发信息安全风险,因此金融机构1金融机构ICT供应链信息安全现状及相关政策要求随着金融机构数字化转型的快速推进,更多的金融业务借助互联网平台来实现,为了给消费者提供更便捷的服务,多家机构合作开展线上业务,从而形成了复杂的ICT供应链条,但是衍生出来的安全问题也逐渐凸显.作为国家重要行业的金融机构必须在网络安全工作中重视和探索加强供应链信息安全管理,有效防控金融风险.随着网络安全3大法及配套法规标准的颁布实施,国家对供应链信息安全管理作出系列相关规定(如表1所示).此外2 0 2 1年12 月发布的银行保险机构信息科技外包风险监管办法(银保监办发【2 0
8、 2 1】141号),要求银行保险机构要建立外包商管理体系,其中规范了全生命周期的外包商管理动作,是金融行业建立自身外包商管理体系的重要指导文件.2 0 2 1年9 月发布的关于规范金融业开源技术应用与发展的意见(银办发【2 0 2 1】146号),对开源技术在金融业各领域的应用作了全面具体的规定.金融机构要首先保证法律法规方面的合规,然后结合实际情况建立适合企业发展的供应链信息安全管理框架。表1ICT供应链信息安全相关标准发展脉络1发布年份标准名称信息安全技术ICT供2018应链安全风险管理指南(GB/T366372018)信息安全技术网络安在通用要求和云计算扩展2019全等级保护基本要求要
9、求中提出了供应链安全(GB/T222392019)管控要求信息安全技术信息技规定了信息技术产品供应2020术产品供应链安全要求(征求意见稿)信息安全技术软件供对软件供应链所涉及的相2022应链安全要求(征求意见稿)2金融机构ICT供应链信息安全风险分析在金融数字化业务中,金融机构作为业务需求方,在供应链条中属于下游,上游任何环节发生561除了要做好自身的信息安全保障外,还要对上游供应链带来的安全风险予以识别和控制 2 .金融机构ICT供应链信息安全风险主要如下:1)信息泄露风险.金融机构保存的数据都是与客户个人身份、财务状况等息息相关的关键数据,数据在供应链之间流转的各个环节如果控制不严都可能
10、引发信息泄露,而对于信息泄露的结果,客户并不关心数据泄露是谁的责任,他们认为自己的数据保存在金融机构就是金融机构的责任.所以防控信息泄露风险是供应链安全防控的重点。2)数据篡改风险.金融机构的数据直接关系到个人身份信息和钱袋子,一旦发生交易数据篡改的事件,产生的将是直接的财务损失.而数据在供应链之间流转过程中涉及多层数据校验,通常是各自负责各自节点的校验,下游节点会默认信任上游节点的数据,所以每个节点都要层层把关,做好数据校验,才能防范数据篡改风险。3)业务中断或不可用风险.服务和业务的连续性对企业来说至关重要,尤其是金融机构,现在网上支付占据了支付行业的主导地位,如果因为供应链条发生问题或中
11、断而引发的服务不可用、产品不可用,将会直接影响用户体验,引发舆情风险,也影响客户对企业的信任度.综上所述,金融机构供应链面临诸多风险,呕供应链相关规定需一套较完善的供应链信息安全防护体系进行管控。规定了ICT供应链安全风险管理过程和控制措施方和需求方应满足的供应链基本安全要求关方应满足的安全要求进行了规定3基于全生命周期的供应链信息安全综合防控体系设计与实现金融机构供应链信息安全与企业信息安全管理相同,它不是纯粹的IT问题,而是涉及上下游企业、组织、人员、流程以及操作问题的综合治理,所以要建立全方位的供应链信息安全管控体系,就要从攻击者的角度去思考,建立整体的安全防御体系,从供应链的整个生命周
12、期出发设计和建设供应链信息安全防控体系(如图1所示).3.1#供应商进场的安全风险管控3.1.1组织、人员及制度管理1)供应链信息安全管控要有完备的组织体系作支撑.金融是强监管行业,内部组织体系较为完学术论文.ResearchPapers供应商进场阶段产品及服务运行阶段:供应商合作结束阶段资质组织、审核、信息人员安全采购及及制度风险合同管理评估管理安全持续的供应安全工具商管理威胁检测监测访间数据数据权限保密迁移及策略及脱和删除关闭敏期“管理”与“技术”手段相结合图1基于全生命周期的供应链信息安全综合防控体系框架善,可以在现有架构基础上成立供应链信息安全管理机构,牵头各相关单位进行全生命周期的供
13、应链信息安全管控,明确相关方的管理职责,制定相关制度和要求,定期评估供应链信息安全风险及管控措施的落实情况.2)人员管理.金融机构外包人员管理一直是重点关注的对象,金融机构要对服务提供商和外包人员进行定期的信息安全培训并签订安全保密协议.而对于内部供应链安全管理人员来说,也需要具备相应的能力和资质 3,明确相关方的职责定位和权限级别,建立操作规范并具备完善的操作日志记录,以备后续风险排查、漏洞分析以及攻击溯源使用.3)制度管理.金融机构要在现有制度体系基础上建立供应链信息安全风险管理体系,基于供应链全生命周期,针对自主研发软件、外购商业软件、第三方组件、外部云平台等相关供应关系制定风险管理制度
14、、流程和机制,当发生安全事件时能及时报告并进行应急处置 4,3.1.2供应商资质审核、采购和合同管理供应商进场前需要作准人审核,明确供应商的准入标准并进行充分地风险评估,主要的评估标准包括以下方面:1)供应商的服务资质、金融行业服务经验、所提供的产品和服务是否能够满足金融数字化发展要求以及知识产权归属和产品授权情况.2)供应商的网络和信息安全保障能力是否能保障金融交易产品及服务的安全性和连续性,在断供、停服等情况下能够提供可操作且安全的替代方案,如果发生安全事件能够及时响应处置。3)供应商的风险和合规性评估是否满足法律法规和金融监管的合规及风险管理要求.强化采购渠道安全,在产品性能及服务能力大
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融机构 ICT 供应 信息 安全 风险 分析 应对 措施 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。