2.4　信息安全與監管的關系：約束與保護

長期以來，金融行業的信息安全工作都是在較強的監管形勢下開展。很多金融企業的信息安全工作框架，就是遵循著監管的要求一步步搭建起來的。而金融行業的監管要求，也往往會根據金融行業發生的風險事件而不斷補充完善。

金融企業需要正確認識監管要求對工作的推動作用，認真學習和理解監管要求，深入領會監管要求的實質，從而建立起科學合理的信息安全管理和技術框架。

1.信息安全監管的約束

金融行業信息安全相關監管要求，對于金融企業首先是約束。

所有信息安全工作需要在監管要求的框架下開展，需要遵循各個方面監管要求的細節規定，需要針對監管要求和風險提示展開對標、風險排查和整改，需要隨時接受監管機構現場和非現場的檢查，需要認真落實監管下達的風險監測報表、自查報告等各項要求。

對于監管規定的重點工作、例行工作等，必須落實到金融企業內部工作計劃中；對于監管規定的管理要求，必須落實到金融企業的組織機構、制度建設、團隊建設等各項工作任務中，建立長效工作機制；對于監管下達的技術標準，必須落實到金融企業的信息系統建設、運維監控建設或者信息安全技術防控工作中。

金融企業內部要成立專門的信息安全工作團隊，負責確保監管要求在金融企業嚴格落實到位，確保信息安全工作“治標又治本”，確保信息安全管理和技術防控的實際效果，確保日常的信息安全檢查、評估和整改機制能有效地發揮風險控制作用。

2.信息安全監管的保護

同時，金融企業必須認識到監管要求對自己的保護作用。

信息安全監管要求是監管機構基于國家信息安全防控總體策略、國內外信息安全形勢、監管機構自身的前瞻眼光和管理思路、金融行業已經發生的風險事件相關經驗教訓，經過歸納、總結、提煉出的綱領性、全局性要求，從戰略高度和戰術細度，提出了諸多具有很高實操性、實用價值的條款，從某種意義上說，對于金融企業形成了保護。

首先，對于很多金融企業特別是信息安全建設處于初級階段的金融企業來說，學透了監管要求，就能把握最關鍵的信息安全風險，搭建起基本的信息安全防控框架，建立起組織架構和制度，使技術安全防控有章可循，也就有更好的風險防控效果。

其次，監管要求中隱含了很多其他金融企業貢獻的知識和技能，實際上是一種行業經驗的積累、沉淀和傳承。對于信息安全基礎薄弱的金融機構來說，這是一種快速獲取同業經驗的方式。例如，監管機構歷次發布的信息安全風險提示和風險事件案例，實際上就是很好的“教科書”，讓風險處置經驗不足的金融企業可以提前排查類似風險隱患，防患于未然；而當實際發生風險事件時，這些內容又可以成為“知識庫”，從中先去搜索類似案例，尋求最快的解決方案。

最后，當風險和收益發生沖突時，遵循監管要求的底線，是信息安全人員判斷是否可以給業務“讓步”的重要參照，也是信息安全人員有底氣說“不”的有力支撐。