文丨中国光大银行金融科技部 王婕 薛涛 张嘉伟

  根据《中华人民共和国网络安全法》的要求，我国实行网络安全等级保护(以下简称“等保”)制度。网络运营者应履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。金融行业等保工作是落实等保制度的重点领域，近年来相关机构以《信息安全等级保护管理办法》、《信息安全技术网络安全等级保护基本要求》(GB / T 22239-2019)(以下简称“国标”)、《金融行业网络安全等级保护实施指引》(JR/T 0071-2020)(以下简称“金标”)等国家、行业规范为基础积极开展各项工作。2022 年3 月，公安部发布《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见》，提出落实网络安全保护的总体要求、工作目标和34 项重点措施，指导各单位各部门深入实施等保制度。同年9 月，人民银行、原银保监会先后发布加强开展等级保护工作的通知，要求各单位严格落实定级备案制度，依法开展等保各项工作。

  等保实施对象包括信息系统、云平台、大数据平台、移动互联、物联网、工业控制系统等。网络运营者应按照等保要求，对辖内系统进行定级、备案、建设、测评，并接受网络安全执法检查。根据等保定级要求，等保对象按照系统的重要程度及受到破坏后的危害程度，由低到高划分为五个安全保护等级。不同级别的保护对象应按照相应的保护等级要求，在软件设计、开发、运维等各生命周期严格执行。国标及金标等保从安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十类技术和管理要求出发，提出共计400 余条具体防护要求。根据要求，网络运营者应对辖内所有系统进行等保定级，且定级合理;邀请专家对初步定级为等保二级及以上的系统进行定级评审，评审通过后向属地公安机关备案;每年对等保三级及以上的系统开展一次等保测评，未上线的三级系统应在等保测评通过后方可上线;对于等保测评问题及监管检查相关问题应制定整改计划并落实整改。

  目前，金融行业大部分总部机构能够按照上述要求有效开展各项等保工作，但对等保定级、等保测评、问题跟踪整改等工作细节的把握程度各有不同。本文以光大银行为例，通过研究金融行业等保工作的开展情况，分析了等保工作中存在的问题，并提出相关对策建议。

  一、制度为纲、标准为基、检查为尺，以高规格完成规定动作

  等保工作步骤严格，包括定级、备案、建设、测评、监督检查;等保技术、管理条款多，涉及设计、开发、运维等生命周期各阶段;等保工作涉及的角色多，由安全岗牵头，涉及开发、运维过程中的项目经理，机房、系统、网络、应用、数据库、安全、数据、灾备、介质、外包管理员;等保测评环节固定，包括前期调研、现场访谈、核查、问题沟通确认等。等保测评是必须邀请第三方资质单位开展的重要安全评估，是各级监管检查及内外部审计、风险防控的重要抓手，相关机构每年必须完成一次三级及以上系统的等保测评，并获得测评报告。等保要求适用于科技条线的各级分支机构，各分支机构也应根据属地公安机关的要求开展具体工作。

  针对上述情况，光大银行总结经验，通过发布管理制度、制定技术规范、确定角色职责、增加分支机构考核评价指标、提早制定年度计划等方法逐一落实各项等保要求。

  1. 标准化工作流程压实责任

  光大银行通过制定、发布并逐年重检机构内部等保制度，普及等保概念，明确工作流程，按部门、角色确定工作职责。在定级流程方面，新建和重构系统需在架构评审前完成等保定级，并且每年根据最新监管要求及系统业务信息和服务变化情况重检定级结果。相关各方具体工作职责如下。

  (1)安全管理部门

  负责制定等保制度和规范;组织对总部机构的等保对象开展定级、备案、测评工作，对测评问题进行跟踪、验证。

  (2)开发、运维部门

  按照等保制度、技术规范分别负责系统开发、运维过程中的安全建设;配合安全管理部门组织完成部门内部等保测评工作，在等保测评过程中组织并接受调研、访谈、核查、问题确认，测评完成后对问题进行整改并及时将整改计划和方法反馈给安全管理部门。

  (3)分支机构或外部托管应用主管方

  组织对辖内等保对象或托管应用进行定级、备案和测评，对测评问题进行跟踪、验证，并及时将系统最新定级备案信息、测评报告报送总部机构;按照等保制度和技术规范完成等保对象开发、运维过程中的安全建设工作。

  (4)项目经理

  在定级阶段，在架构评审前负责发起新上线系统或重构系统的等保定级申请;在备案阶段，编写定级报告、备案表、系统安全保护设施设计实施方案或改建实施方案。

  (5)项目经理和机房、系统、网络、应用、数据库、安全、数据、灾备、介质、外包管理员

  在定级重检阶段，负责完成重检材料填写;在系统建设阶段，参照等保定级结果，按照等保技术规范开展系统建设;在测评阶段，填写调研表，参加等保测评访谈、核查，确认测评问题并反馈问题整改计划和方法。

  (6)主管领导

  负责等保管理审批，包括等保定级结果、专家评审、测评问题整改等审批。

  2. 分级分层明确技术要求

  等保制度对系统开发建设、运维过程等按等级提出多项技术要求，涉及机房、网络、系统、应用、数据库、数据安全等。为了进一步落实等保技术要求，强化等保标准在机构内部的实施作用，光大银行引用国标、金标技术条款，制定机构内部技术规范，并将其作为开发和运维过程中分等级建设、运维的重要规范。

  同时，机构内部的等保规范明确了等保一级、二级、三级、四级系统的技术要求，整合国标、金标基本要求和扩展要求，兼顾容器安全、大数据安全等团体标准。安全通用和容器安全等保三级技术要求概况见表1。

表1 安全通用和容器安全等保三级技术要求概括(节选)

  3. 制定分支机构考核指标

  (1)关键细节管理

  针对工作步骤严格、测评环节固定、测评执行力要求高的情况，总部机构等保管理岗应在年初制定年度工作计划，提早规划当年需要调整的备案级别、备案信息系统，提出费用预算，并发起专家评审费用申请;评审通过后，尽快向公安机关备案;取得备案证书后，按照三级及以上系统最新备案情况启动当年等保测评工作。如果涉及测评机构的重新招采、续签合同等商务环节，还将至少提前半年发起相关商务流程。

  在等保测评时，测评机构会对被测评单位的所有测评系统同时开展测评，一般现场测评时间为2 ～ 3 周。测评师分为网络、系统、应用、管理等专业，需与各系统对应的项目经理及各管理员进行访谈、核查。总部机构内部等保三级系统数量一般大于20 个，短时间内需要进行大量多对多的沟通、协调，所以开发、运维部门均配备等保接口人，由接口人负责与相关专业测评师和各管理员的现场访谈、核查等沟通协调工作，沟通遇到困难时则由等保管理岗及时跟进。

  等保管理岗需清楚地了解测评细节和问题，为测评双方做好解释、沟通工作，以保障现场测评工作不留“尾巴”。在问题初稿沟通阶段，等保管理岗需了解每个问题的整改点，并与相关负责人探讨寻找共性问题的统一解决方案。对于测评问题的跟踪整改，等保管理岗负责组织相关人员、测评师进行充分沟通，制定明确的整改计划，并通过建立问题工单进行跟踪整改。责任部门负责落实整改任务，等保管理岗负责跟踪整改，并对整改结果和及时性建立常态化检查和评价机制，实现问题管理闭环。

  (2)分支机构管理

  分行、子公司等分支机构的等保落地执行情况需要总部机构督促执行，如按季度了解分支机构等保工作开展情况，收集分支机构辖内所有系统的等保定级清单、等保测评情况表、等保测评问题跟踪表等，并以分支机构信息安全考核指标为抓手，对等保要求落实不到位的分支机构予以扣分处理，对完成质量高且问题整改彻底的分支机构进行加分奖励。对于分支机构难以整改的共性问题，总部机构负责牵头统一整改或给出整改意见。

  另外，总部机构在分支机构科技巡检、安全飞行检查等工作中增加等保检查项，检查内容包括分支机构是否对辖内所有系统均完成等保定级、等保二级及以上系统是否完成专家评审并向公安机关备案、等保三级及以上系统每年是否完成一次等保测评以及结果是否通过、等保测评报告中的问题是否进行了有效的跟踪整改等。

  二、细化金融行业定级指标，量化测算系统定级分数

  《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》对银行业金融机构总部、分支机构的核心业务、网上银行、生产网络、前置系统和重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及敏感信息的重要信息系统提出了定级指导意见。

  根据该指导意见，金融行业单位应将核心业务等重要系统确定为等保三级及以上系统，但对于目前种类繁多、形式多样的业务系统，主要通过行业内相互对标确保定级的一致性，缺少定级测算过程依据。根据国家、行业相关定级要求，综合考虑金融行业系统服务特点、业务信息情况、网络互联情况和监管机构关注点，光大银行研究制定了27 项金融行业等保定级指标，包括6 项定性指标和21 项定量指标。参照分数、权重系数及各等级的分数区间，在完善各指标参数的基础上，可基本实现通过定量指标直接测算定级结果。金融行业等保定级指标示例见表2。

表2 金融行业等保定级指标示例(节选)

  三、金融机构等保工作存在的问题分析

  通过研究发现，金融机构按照等保要求完成各项规定动作的同时，在定级和问题整改方面仍有一定的改进空间。

  在等保定级方面，不同行业存在较大差异。而金融行业内各机构的业务规模、业务侧重点也存在差异，不同机构对于特定系统的定级不能形成统一意见。在等保测评方面，在等级保护2.0 标准体系实施后，对可信技术、双因素认证(对操作系统、网络设备和安全设备直接访问的双因素认证)、重要个人信息和业务信息的加密存储等方面提出了更高的要求。金融机构对于上述问题的整改均存在一定困难。

  针对上述情况，光大银行将积极与主管部门及同业机构开展行业内等保定级意见讨论，共同推进行业系统相关等保定级指导意见的进一步落地实施，并持续开展技术攻关和研究，根据金融行业的服务特点，寻求行之有效的安全运营方案。