前言
近年来网络入侵、信息泄露以及网络病毒等事件频发,国家层面陆续出台多部数据安全相关法律法规,金融行业作为国家强监管的重点行业,参照上层法律法规起草发布了各类相关行业标准和规范。另外,结合笔者所在公司基础架构和信息系统已建设多年,部分应用系统、管理平台和设备需要进行更新换代和重新梳理。在这种情况下,统筹开展公司的网络安全规划,科学合理的推进网络安全建设具有十分重要的意义。鉴于除了成熟度和科技创新走在行业前沿的头部机构外,大部分金融机构的网络安全建设情况处于与我司同一水位,故将我司这一规划项目抛砖引玉与各位业界同仁一同探讨。
一.项目实施背景
(一)网络安全监管要求日益严格
针对国内外网络安全形势的客观实际和紧迫需要,国内陆续推出了一系列的法律法规及监管要求,如《网络安全法》《网络安全等级保护》系列标准(等保2.0)《数据安全法》《国家关键信息基础设施安全保护条例》《个人信息保护法》等,对网络安全、数据安全和个人信息安全的管理提出了更加全面、严格的新要求。
(二)降本增效落实网络安全建设
当前公司数字化建设已进入快车道,通过专网改造、云管平台搭建、企业服务总线建设等一些系列项目来打通网络、整合资源、交互共享。因此,如何在全方位信息化建设以及等保合规的大背景下,通过统筹规划和集约建设落实网络安全同步建设,提升网络安全管理合规性,避免网络安全过度建设和资源过度投入是迫切需要解决的问题。
二.项目建设内容
(一)总体建设思路
当前公司已经具备了最基本的安全管理基础环境,完成了内网的划分建设和互联网出口的统一,也采用了统筹管理的方式针对所有网络资源和服务器资源进行管理。
图1 总体建设思路框架
在此基础上应当继续遵循网络安全纵深防御原则,首先通过数据资产的分级分类以及现有信息系统的分类分级,明确网络安全的保护对象和后续所需要投入的防护力度。
之后在整体安全规划阶段,需要对现有数据分布、系统分析以及网络安全资源的覆盖情况进行梳理统计,并结合对数据及信息系统的分类分级结果以及所识别出的网络安全技术风险、合规风险,给出最为合理的网络安全规划方案。
最终的规划思路是针对不同级别的保护对象及其面临的安全风险,分阶段分批次投入符合保护对象级别的网络安全资源,在确保重要数据、重要系统得到当下最全面的安全防护的同时,也使得公司现有及未来的资源得到最大化的利用。
(二)规划项目组织架构
规划项目领导小组组长为公司网络安全分管领导,各部门负责人作为项目领导小组成员。
规划项目项目经理为IT部门负责人,项目成员为网络安全专岗、各部门安全员及第三方安服供应商。
(三)各阶段实施内容
1.数据分级分类(数据合规风险评估)
1)数据资产梳理
工作内容:
- 召开项目启动会议(系统调研+数据调研),通知各部门负责人安排并指定各自部门的数据资产梳理负责人参加后续的资产梳理工作;
- 对各部门的数据资产梳理负责人进行数据资产填报工具的使用培训,明确数据统计的范围、类型和当前的数据生命周期管理现状的填报方式;
- 项目组收集并汇总各部门的数据资产统计结果,对于不符合填报要求的统计结果进行退回修正。
工作意义:
- 完成现有数据资产的梳理工作,完成分级分类原则制定的基础工作;
- 完成初步的数据生命周期管理现状的调研。
产出成果:
《数据资产梳理表》《数据生命周期管理现状统计表》
2)分类分级原则制定
工作内容:
- 参照《JRT 0197-2020 金融数据安全 数据安全分级指南》,结合公司现有的数据分类分级原则对各部门汇总的数据进行分级分类;
- 筛选出行业、集团数据分类分级参考标准中适用于公司数据现状的类别;
- 结合行业等级保护的分层分级保护要求,根据现有数据的管理环境进行分类分级原则的重新划分。
工作意义:
- 参照最佳实践并结合自身管理现状完成分类分级工作,为后续的系统分类分级提供依据;
- 初步完成各级别数据安全防护所需要投入资源的分析。
产出成果:
《数据分类分级细则》《数据生命周期评估表》
3)数据风险评估
工作内容:
参照《数据安全法》《个人信息保护法》《GB/T 35273-2017信息安全技术 个人信息安全规范》《金融数据安全数据生命周期安全规范JRT0223-2021》等法规标准要求,结合《数据资产梳理表》《数据生命周期管理现状统计表》统计结果,通过访谈调研、技术核查等方式对数据生命周期各环节进行风险评估。
工作意义:
识别现有数据安全的技术风险及合规风险,作为公司后续安全管理、整体规划部分的重要参考依据和输入。
产出成果:
《数据安全风险评估报告》《数据安全风险处置建议》
2.信息系统分级分类(等级保护全覆盖评估)
1)信息系统现状调研
工作内容:
- 召开项目启动会(系统调研+数据调研)通知各部门负责人安排并指定各自部门的信息系统梳理负责人配合后续的调研工作。
- 参照公司现有的系统分类分级定义对各部门的系统梳理负责人进行培训;
- 项目组收集并汇总各部门的系统统计结果,对于不符合填报要求的统计结果进行退回修正。
工作意义:
- 参照等级保护的分级管理原则对系统进行初步的梳理,作为后续系统分级分类原则调整的参考依据;
- 统计针对现有系统投入的安全资源,作为规划阶段的重要输入。
产出成果:
《信息系统汇总表》(含业务特征描述、关联数据和安全资源投入统计)
2)系统分级分类原则确立
工作内容:
根据信息系统的调研结果,结合行业等级保护要求,进行公司内部系统的分类分级细则的编制。
工作意义:
编制出用于现有信息系统以及未来新建系统的等保定级备案的指导文件。
产出成果:
《信息系统分类分级细则》
3)系统定级备案辅导
工作内容:
对各部门进行《信息系统分类分级细则》和等保定级备案流程的集中宣贯和答疑。
工作意义:
- 建立起实现等保定级备案全覆盖的基础环境;
- 建立系统报备基本工作流程;
- 避免信息系统的过度定级、过度建设。
产出成果:
- 各部门具备系统分类分级与等保定级备案的自主能力;
- 初步完成系统内部备案的流程建设。
3.公司网络安全整体规划(集约建设整合利旧)
1)安全管理资源分析
工作内容:
根据数据和系统调研调研阶段安全资源的统计结果,结合数据和系统分类分级结果,分析当前资源的分配合理性。
工作意义:
作为现有资源整合和未来资源规划的参考依据。
产出成果:
《安全管理资源分析报告》
2)风险控制需求分析
工作内容:
汇总往年的安全检查、风险评估、等保测评结果,结合数据风险评估结果,完成风险控制需求的分析工作。
工作意义:
作为资源整合和规划的参考依据,明确安全资源的重点投入方向。
产出成果:
《风险控制需求清单》
3)网络安全管理资源整合建议
工作内容:
结合风险控制需求与安全资源的分配现状,给出对于现有网络安全管理资源整合建议,并且对于整改内容进行优先级排列。
工作意义:
- 明确现有资源的整合的方向;
- 保证资源投入的必要性和有效性。
产出成果:
《网络安全管理资源整合建议》
4)网络安全资源投入规划
工作内容:
- 项目组针对整合现有资源处置完成后的其他风险项进行安全资源的规划,主要涉及人员组织调整、流程建设优化、技术产品增补以及产品增补后原有产品的利旧规划;
- 综合分析行业和集团的网络安全战略方向,给出适用于公司管理现状与发展的网络安全项目课题。
工作意义:
- 明确三至五年内追加资源的投入方向;
- 给出三至五年内旧资源的利用建议;
- 确保三至五年内网络安全资源分配的合理性。
产出成果:
《网络安全整体规划报告》
三.项目投入
根据项目方案制定的实施计划,估算项目人天共计92人天,具体实施人天估算与实施方式如下:
实施阶段 | 实施内容 | 实施方式 | 人天估算 |
数据分级分类 | 数据资产梳理 | 访谈调研 | 10 |
分类分级原则制定 | 文档编写、现场汇报 | 7 | |
数据风险评估 | 访谈调研、技术评估 | 14 | |
信息系统分级分类 | 信息系统现状调研 | 访谈调研 | 10 |
系统分级分类原则确立 | 文档编写、现场汇报 | 7 | |
系统定级备案辅导 | 文档编写、现场辅导 | 5 | |
网络安全整体规划 | 安全管理资源分析 | 文档编写、现场汇报 | 10 |
风险控制需求分析 | 文档编写、现场汇报 | 5 | |
现有资源整合建议 | 文档编写、现场汇报 | 10 | |
未来资源投入规划 | 文档编写、现场汇报 | 14 | |
总人天 | 92 |
四.项目实施周期及节点
(一)项目建设周期
建设周期:20XX年6月-20XX年12月
(二)项目实施关键节点
序号 | 项目实施进度 | 启始时间 |
1 | 项目启动 | 20XX年6月 |
2 | 数据资产/信息系统梳理培训 | 20XX年6月 |
3 | 数据资产/信息系统梳理 | 20XX年6月-7月 |
4 | 分类分级原则制定 | 20XX年7月-8月 |
5 | 数据风险评估 | 20XX年8月-9月 |
6 | 系统定级备案辅导 | 20XX年9月 |
7 | 安全管理资源/风险控制需求分析 | 20XX年9月-10月 |
8 | 资源整合建议/资源投入规划编制 | 20XX年10月-11月 |
9 | 资源整合建议/资源投入规划评审 | 20XX年11月-12月 |
10 | 项目验收 | 20XX年12月 |