银行业为适应业务需要,会每隔8至10年做一次信息系统的迭代更换,在此更换迭代过程中往往会打破现有组织架构管理模式,采用更科学的项目集合管理模式推进信息系统的更换。在此场景和模式下,“新一代”信息系统更换过程中如何做好信息安全管理,同时提供必要的安全服务就成为信息安全管理部门面临的难题。
“新一代”的主要特点表现如下:
领导高层极度重视
在”新一代”的建设过程中,行方领导高度重视整体的项目进度和质量,领导会关注安全在此过程中起到的管理和支持作用。
组织管理的变化
组织管理由常规的单部门组织独立项目管理转变为依项目维度借用外部资源及行内PMO统一管理;由原先单部门独立项目管理扩展为多部门联合项目组合管理。
涉及信息系统范围广
”新一代”信息系统建设主要由新建信息系统和配套改造信息系统组成,其中新建和配套改造信息系统的数量较多,涉及业务系统范围较广。
安全制约因素更大
单系统的业务逻辑往往是有边界的,而”新一代”多个业务系统的业务逻辑往往打破所谓边界,信息系统边界模糊业务交互紧密,常规的安全管理策略约束能力已不适用于”新一代”。
指标化更突出
为更好的管理”新一代”实施过程,进度和质量指标需严格执行,单个系统的进度和质量必须适应”新一代”的整体规划进度和目标,安全如何提出对应的安全指标尤为关键。
在“新一代”实施过程中以上问题是信息系统建设的主要特点,在此过程中安全部门如何保障整体安全也面临了很大的挑战,主要表现如下:
安全资源不足
支撑整个”新一代”信息系统过程需要投入较大的安全人员以满足整体的安全要求。
原有安全体系不适用
原有的体系无法满足专题的”新一代”,信息安全部门面临现有体系如何适用于”新一代”问题,老的安全管理体系推行较难。
横向纵向管理难度提高
在”新一代”信息系统建设过程中,安全管理的维度横向面临几十个新建和配套改造系统管理,多个信息系统从需求开始至系统投产上线后,纵向深入也相应增加比如:身份认证、数据安全、场景安全等。
未知的安全风险
在”新一代”信息系统建设过程中,面临众多的未知风险,比如:不明信息资产增加,特权帐号管理,开发账号平移生产环境,数据脱敏等。
国舜积累了多个银行业用户”新一代”系统上线的经验,配套建设了成熟的安全管理体系和服务,解决了安全部门在”新一代”信息系统建设过程中面临的挑战。国舜能力主要体现在以下几个方面:
新一代体系的建设和设计能力
国舜积累了整套”新一代”建设过程中的安全管理体系,以适应”新一代”特殊的场景,并设计了一套管理体系适用“新一代”信息系统安全介入的环节和输入输出标准。
提供安全服务能力
国舜提供专业的安全服务人员保障”新一代”信息系统建设过程中安全的参与度和安全标准得以落实,其中包括安全需求的评审、安全设计评审、安全需求测试、渗透测试及源代码审计服务等。
成熟的配套产品
国舜提供安全配套产品覆盖”新一代”整个开发过程(立项、需求、设计、编码、测试、投产演练、投产、投产后),其中包括安全需求管理平台、安全培训平台、源代码安全检测、漏洞扫描及配置核查等。
拓展阅读●●
原文始发于微信公众号(国舜股份):银行业“新一代”系统建设过程中安全该何去何从?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论