2.2　金融行業信息安全目標

正如“一千個人心中有一千個哈姆雷特”，金融行業的信息安全從業人員，對于金融企業信息安全工作目標的理解也都是不盡相同的。因為金融企業的信息安全工作是保障性工作，是為金融企業的戰略、業務、科技開發和運維等工作服務的，所以信息安全目標也與本企業上述工作的目標和定位高度相關。

但是，對于所有金融企業來說，必須建立和保證信息安全的核心目標和安全基線，在此基礎上，可以根據金融企業的戰略方向、風險偏好、管理要求進行量體裁衣，做出選擇和調整。

1.確立信息安全的核心目標

從務虛的角度來說，金融企業信息安全工作的核心目標是，通過信息安全建設和管理，有效控制和防范信息安全風險，提高信息安全保障能力和水平，確保金融企業及客戶的信息及資金安全。從務實的角度來說，金融企業信息安全工作的核心目標是兩個“兩手抓”：一是“一手抓安全合規，一手抓風險控制”；二是“一手抓安全管理，一手抓安全技術”。

2.明確信息安全基線

要實現金融企業信息安全工作的核心目標，從具體操作層面上來說，必須明確信息安全工作的范圍，在信息安全工作的各個領域建立信息安全工作基線，同時采取措施確保安全基線的達成。

所謂信息安全基線，就是信息系統最基本要滿足的安全要求，是最小限度的安全保證。安全基線主要分為安全管理基線和安全技術基線。

安全管理基線主要包括安全組織、安全制度、人力資源安全等：

·安全組織方面包括確定金融企業的安全組織架構（決策層、管理層和執行層，以及合規、風險、審計等機構）、匯報路線、職責分工、日常工作機制等。

·安全制度方面包括確定制度的體系框架和制度層級等，制度必須完整覆蓋信息科技工作的全生命周期和科技管理等保障工作，制度必須與法律法規、行業標準和監管要求等保持一致，制度之間必須滿足“MECE（相互獨立、完全窮盡）”法則等。

·人力資源安全方面包括在人員任用前、中、后的基本安全管理要求，例如，任用前的篩選、背景調查、安全職責確定和崗前培訓等，任用中的各項權限分配、安全檢查和獎罰制度等，以及任用終止前的權限凍結或取消等。

安全技術基線主要包括機房、網絡、系統、應用、終端、數據的安全：

·機房安全基線主要規定機房物理選址、基礎設施相關設備、風火水電、環境監控、訪問控制等方面的基本要求。

·網絡安全基線主要規定網絡結構安全、邊界安全、網絡設備安全、入侵防范、訪問控制、安全審計等方面的基本要求。

·系統安全基線主要規定系統配置、服務安全、操作系統訪問權限、協議管理、系統日志審計等方面的基本要求。

·應用安全基線主要規定身份鑒別、抗抵賴性、資源控制、應用系統訪問控制、應用日志審計等方面的基本要求。

·終端安全基線主要規定設備管理、軟件管理、用戶管理、終端網絡隔離、自助終端管理等方面的基本要求。

·數據安全基線主要規定數據保密性、數據完整性、數據可用性、數據訪問安全、數據備份和恢復等方面的基本要求。