划重点：金融业这样搭建网络安全管理标准框架

风险管理是金融业发展的永恒主题，对国家安全和经济安全具有重要意义，也是影响未来银行业发展最为重要的管理主线。在8月28日《金融电子化》杂志社举办的“第二届中国银行业风险管理研讨会”上，监管部门和业界专家齐聚，探讨在复杂多变的国内外经济金融环境下提升银行业风险治理水平的思路和方法，以及重塑金融生态的实战经验。中国金融认证中心（CFCA）信息安全服务部副总经理谢宗晓博士受邀出席，以“基于全面风险管理视角的金融网络安全管理标准框架”为题进行了分享。

CFCA信息安全服务部副总经理谢宗晓博士在现场演讲

谢博士指出：“金融领域虽然非常注重网络安全，但是到目前为止并没有发展出自身的框架或理论，这在标准制定方面非常明显。”他通过分析国际主流的标准框架设计体系，其中包括信息安全管理国际标准的框架设计、美国国家标准与技术研究院（NIST）关于网络安全的标准框架以及新加坡金融管理局（MAS）的相关标准，同时也讨论信息安全国家标准的框架设计，最后提出了一个可行且优化的金融网络安全管理标准的框架。

框架基于全面风险管理视角，采纳了NIST SP 800-39 所描述的风险纵向分层，以更好地区分不同的管理者应该关注的重点，以及更好地进行责任分割。基于全面风险管理视角的金融网络安全管理标准框架将风险自上而下依次梳理为治理层的架构风险、管理层的过程风险和控制层的系统风险。框架考虑了金融网络空间的特点，强调金融网络安全的“最佳实践”，而不是照搬信息安全时代的最佳实践。框架同时紧密结合金融行业的特点，充分考虑与巴塞尔协议等主流监管标准的兼容，并且将“公司治理”等作为重点关注的内容。

谢博士还结合在CFCA多年的工作实践经验进行了分享，获参会嘉宾高度关注和认可。CFCA信息安全团队具有金融业网络安全管理、数据安全治理等方面的咨询、评估服务经验与案例，能够提供完整的服务框架和解决方案，促进银行业风险治理水平进一步提升。