日前,国家金融监督管理总局网站公布行政处罚信息,认定某银行存在多项违规并对其进行罚款。其中,国家金融监督管理总局认定该银行主要违规内容包括:
一、部分重要信息系统识别不全面,灾备建设和灾难恢复能力不符合监管要求
二、重要信息系统投产及变更未向监管部门报告,且投产及变更长期不规范引发重要信息系统较大及以上突发事件
三、信息系统运行风险识别不到位、处置不及时,引发重要信息系统重大突发事件
四、监管意见整改落实不到位,引发重要信息系统重大突发事件
五、信息科技外包管理不审慎
六、网络安全域未开展安全评估,网络架构重大变更未开展风险评估且未向监管部门报告
七、信息系统突发事件定级不准确,导致未按监管要求上报
八、迟报重要信息系统重大突发事件
九、错报漏报监管标准化(EAST)数据
以看到,在公布的违法违规事实认定中,有一部分涉及到管理问题,如相关上报报告不及时、整改不到位等;另一部分则是客观上的信息系统相关的技术问题,如部分重要信息系统识别不全面、信息系统运行风险识别不到位等。
之于信息化系统建设,在信创国产化加速推进的大背景下,金融机构要做到面面俱到并不是一件容易的事,但也并非不能作为。
以信息系统识别为例,信息系统识别是运维系统的工作内容,它主要依赖于监控系统,难点在于信息系统五花八门,不同品牌、不同资源型号都有可能影响识别效果,很难做到一款监控覆盖所有信息系统;在另一个层面上,统一运维和智能化运维成为时代发展趋势,金融机构普遍致力于建设集中统一的运维监控体系。
01乐维监控:全面识别信息系统,协议可达可解析,即可监控乐维监控一直致力于不断提升监控的广度、深度、及时性、准确性等,近年来更是一直紧跟信创进程,不断推动信创产品兼容适配,业已实现对市面上主流IT产品------包括信创产品与非信创产品的统一监控。基于多年运维产品实践的技术沉淀与不断创新,乐维监控实现对数十种协议的支持,协议可达可解析,即可监控,能够满足银行等金融机构对信息系统识别的合规要求。
02快速识别业务系统与业务关系,保障业务系统连续性
面对日益严重的网络安全问题,有关部门颁布了一系列旨在加强信息基础设施安全保护,特别是关键信息基础设施安全保护的政策。如,2023年5月1日正式实施的《信息安全技术 关健信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关保要求》)。《关保要求》对业务依赖性识别、关键资产识别、风险识别等提出了要求。
其中,业务识别要求包括:
a) 应识别本组织的关键业务和与其相关联的外部业务;
b) 应分析本组织关键业务对外部业务的依赖性;
c) 应分析本组织关键业务对外部业务的重要性;
d) 应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
资产识别要求包括:
a) 应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产的资产清单;
b) 应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级;
c) 应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。对此,乐维提供了强大的智能业务拓扑功能。智能业务拓扑支持业务拓扑的自动发现及自动生成拓扑图,并直接关联告警信息,通过业务拓扑可以直观的看到业务系统发生的故障以及故障对业务系统的影响范围。一定意义上来说,智能业务拓扑将运维保障系统从中后台推到推到中前台,运维人员可以快速识别业务系统与业务关系,有效提升故障响应时间,对于保障业务系统连续性大有裨益。
此外,借助资产探测技术与基因技术,乐维能够实现对各类IT资源的自动发现及一键纳管,快速进行资产识别并生成资源列表信息。通过对探测与识别规则的配置,可将关键业务链所依赖的资产分离出来,进而确定资产防护的优先级。