【CSO】建行潘旭乐：技术之于安全的重要性正在凸显

安在 · 公众号 · 互联网安全 · 2016-11-11 10:25

正文

请到「今天看啥」查看全文

目前建行上海市分行的信息安全投入，占信息科技投入的20%到30%。对于安全投入，每个管理者心中都应该有一笔账，不是说投入越多越好，而是要寻找安全投入和利益最大化的平衡点。

Q：您是怎样探索符合企业发展的信息安全实践？

A：最初是制定一系列的规章制度，但是仅有管理要求，没有技术手段是不行的。比如十几年前要求密码口令的定期修改，但现在通过强制口令更改，这个管理要求就不需要了。

后来，我们布置了大量防火墙、VPN、网关等信息安全产品，最终才意识到企业的信息安全管理要求是不能和信息安全技术保障体系割裂的，于是我们根据ITIL、ISO27001等国际标准进一步完善了信息安全管理体系，并紧密结合自身的信息安全管理要求，规划建设了统一认证授权平台、终端安全系统、数据安全系统、运维控制与审计系统、安全监控系统和安全策略管理中心等信息安全系统，信息安全技术与信息安全管理形成了比较完美的融合。当然，这也是建行总行和各个分行协同布局。

有人说安全是“七分技术、三分管理”，但是现在管理的比重还比较高，技术的重要性正越来越凸显和提升。

Q：在探索过程中，碰到的最大困难是什么？如何克服？

A：最大的困难是业务人员的安全意识比较薄弱，认为信息安全只是信息技术部门的工作。但是，一些员工的随意行为，就可能给企业带来很大的威胁。比如有人违规将内网外联，利用公开邮箱发送敏感信息等。

现在有了技术过滤，监测到敏感信息后，邮件就无法发送。我们也在做信息安全培训，每年都会有信息安全课件，要求在线学习。此外，我们也会和信息安全行业协会合作，开展相关信息安全培训。