ISO27001体系认证,如何解决银行信用卡中心的信息安全?
现在,越来越多的银行在线业务已经投产使用,银行信用卡也不例外。这种对于高度依赖于信息系统的金融机构来说,都需要进行风险控制。以ISO27000信息安全管理体系为标准进行信息安全ISO27000风险审核,发现信用卡中心目前存在的不足,并对不足之处采取相对应的防控措施,逐步完善信用卡的信息安全风险管理体系。
近期,浦发银行信用卡中心以“零不符合项”顺利通过了ISO27001信息安全管理体系(ISMS) 的认证审核。为实现对客户信息保管保密、安全、稳妥的承诺,浦发信用卡中心多年来坚守信息安全把控,正式通过ISO27001/GBT22080 体系认证审核,标志着浦发银行信用卡中心的信息安全管控要求已经全面接轨国际水平。
信用卡安全
信用卡信息安全的重要性
随着信息技术的快速发展,信息科技系统在银行的各项工作中得到了越来越多的应用。银行等金融机构为实现经营战略和业务运营以及金融创新纷纷以信息科技技术为重要手段不断更新发展,信息科技技术的运用已经不单单只是支持业务,通过不断发展信息科技技术已经开始融入业务之中,并成为确保银行日常运行稳健以及发展不可或缺的支撑,正因为这个原因,银行业对信息技术的高度依赖,使得信息系统的安全性、可靠性和稳定性直接关系到整个银行的安全,更甚者,会影响整个金融大环境的稳定。
目前信用卡中心正处于信息化建设飞速发展的阶段,随着信息化建设的深入,金融产品种类和用户数量急速增长,对信息系统的依赖程度越来越高,数据规模日益庞大,服务器数量急剧增加,信息安全问题也变得日益突出,从而成为公司经营的主要风险之一,加强对信息安全风险的研究,重视信息安全风险的控制、防范和化解,强化信息安全风险管理,已经成为信用卡中心信息化建设和风险管理工作的当务之急。
信息系统安全保障
ISO27000信息安全管理体系
以ISO27000信息安全管理体系为标准进行信息安全风险审核,发现信用卡中心目前存在的不足,并对不足之处采取相对应的防控措施,逐步完善信用卡中心的信息安全风险管理体系。
现在,越来越多的银行在线业务已经投产使用,包括网上支付、网上银行等等,还有银行内部网络,这些业务都需要使用信息系统,这样,对于高度依赖于信息系统的金融机构来说,都需要进行风险控制。
金融机构、电子通讯等各类商业企业、各级政府机关以及各类公益性组织等所有类型组织都被ISO27000标准体系所覆盖,信息安全管理体系应该根据组织整体业务风险而创建,并通过实施运行,以及后续监控评审,使该体系不断改进更新的文件化的的要求由该标准系列规定,ISO27000标准体系也为实施满足组织相关要求的安全控制规定了要求。
在信息安全管理领域里,人们说的最多的就是“三分靠技术,七分靠管理”、“管理与技术并重”,这些理念在这个标准中得到了很好的体现在这11个方面中。
除了通信和运作管理、访问控制、信息系统获取和开发及维护这几个方面跟技术相关,余下的几个方面则更加注重管理和运营方面。
(1)安全方针
(2)信息安全组织
(3)资产管理
(4)人力资源安全
(5)物理与环境安全
(6)通信和运作管理
(7)访问控制
(8)信息系统的获取、开发及维护
(9)信息安全事故管理
(10)业务连续性管理
(11)法律符合性虽然标准从这11个大的方面列举了133种安全控制措施、500个左右的子控制点,但是值得注意的都是标准只是用以参考的,不是所有组织都可以直接套用,每个组织应该根据组织自身的实际情况选择控制;而且标准中列举的控制也不一定是足够的,组织可以根据需要增加额外的控制。
信息系统安全
综上所述,在计算机技术进入高速发展之后,网络技术得到全方位的应用,随之而来的信息安全问题。信用卡安全不仅在通讯和数据领域得到了十足的发展,更在计算机安全、通讯安全和网络安全等方面涉及广泛。通过ISO27001信息安全管理体系,信用卡部门建立符合业务发展及管理的信息安全体系,完善信息化建设,削减安全漏洞,对银行信用卡的长远发展具有重大意义。