为彻落实国家信息安全等级保护制度，提升整体信息安全管控能力，北京农商银行结合自身业务特点和信息安全现状，以信息系统安全等级保护为契机，全面推进信息安全一体化建设工作，力争通过3～5年的时间，逐步使信息安全的各项工作实现规范化、流程化、平台化和智能化，全面提高信息安全管理水平和抗风险能力，使北京农商银行信息安全水平达到一流银行之列，成为商业银行的标杆。

在落实等级保护的过程中，北京农商银行并不是简单地根据等级保护的规定，比照信息系统现状，被动地实施，而是将国内外先进的信息安全标准、行业要求和信息安全等级化的思路引入信息安全体系建设中，走出了一条具有北京农商银行特色、自主创新的信息安全建设之路——采用先进的信息安全一体化建设框架指导信息安全建设。

北京农商银行的信息安全一体化框架充分考虑了事前、事中、事后有关措施，积极预防和快速响应，并明确体现了总行、支行的相关要求。一体化框架包括一个规划、两条主线、三层防护、四大体系及一个综合管控平台(如图1所示)。

1．一个规划。信息安全规划为北京农商银行开展信息安全建设确立了方向和策略，指导信息安全战略目标的分解和实施。在战略层面，不仅从自身安全角度出发，提高核心竞争力，还要站在金融安全的宏观高度，着眼信息安全未来的发展方向，制定适合我行信息安全建设的战略目标；在战术层面，要调整资源、优化配置，保障网络与信息安全，保证信息系统和信息数据的保密性、完整性和可用性，通过借鉴和引用银行业适用的国内外标准、行业要求和政策文

件，构建北京农商银行信息安全一体化管控体系。

2．二条主线。信息安全一体化建设始终贯穿外部监督管理、内部建设管理这两条主线。外部监督管理主要是指在信息安全工作中，贯彻执行人民银行、银监会等监管机构对我行信息安全工作的各项要求；内部建设管理主要是指按照信息安全一体化建设框架，逐步建立和完善信息安全组织、安全管理、安全技术和安全运维体系。

3．三层防护。信息安全防护应该是综合防护，涉及事前、事中和事后三个层面。第一道防线(事前预防)：对信息系统进行全面的风险辨识、风险评估，针对不同类型和等级的安全风险采取相应的安全防范措施，通过安全管理制度、人员及安全技术等途径，建成对安全事件事前防护的第一道防线，为业务运行安全打下良好的基础。

第二道防线(事中管控)：在信息系统的运行维护过程中，通过安全运维、安全监测预警等构成对安全事件防护第二道防线，做到提前预警、快速发现、快速响应和快速处理，通过灾备、应急演练建立快速恢复机制，减小安全事件带来的损失。

第三道防线(事后审计)：在安全事件处理及业务恢复后，通过对事件进行追踪和事后审计，对安全事件发生的原因进行分析与学习，通过对事件处理过程进千亍综合评价及考核构建信息安全的第三道防线，减少或避免类似安全事件发生。

4．四大体系。信息安全一体化框架覆盖信息安全建没的各个方面，包括四大体系，分别为信息安全组织体系、信息安全管理体系、信息安全技术体系和信息安全运维体系。

5．一个综合管控平台。通过信息安全综合管控平台实现信息安全工作过程规范化、流程化、信息化和智能化，主要覆盖信息安全制度管理、安全运维管理、监控管理、安全事件和应急管理、知识管理等各项工作管理。

信息安全一体化建设情况
为了提升信息安全水平，北京农商银行将信息系统安全等级保护工作有效地融入到了信息安全一体化建设中。

1．标准指引，整体规划，建立健全信息安全建设框架和跨越式发展模式。在制定未来5年信息安全战略目标和建设文施路线时，北京农商银行认真分析了信息系统安令等级保护、信息科技风险管理指引、信息安全管理体系ISO2700l、IT服务管理体系ISO20000、软件开发能力成熟度模型CMMI等相关标准，整体融人信息安全制度框架、组织框架、技术框架和运维框架。

在完善信息安全策略、标准和制度时，不以单独满足等级保护工作要求为目标，而是将一体化框架所涵盖的几大标准整体考虑，避免一个标准一套制度带来的重复建设。在信息系统设计时综合考虑安全等合规要求，明确信息系统的安全等级，从而保证信息系统上线后可以满足等级保护和其他各项安全需求。

2．安全驱动，内外牵引，建立积极的常态化安全检查评估机制。北京农商银行坚持内、外部监督管理行为的指导思想，采用安全检查、等级测评、考核、持续改进的螺旋式上升模式驱动，建立信息安全检查评估常态化机制。为了有效缩短检查周期，扩大检查覆盖面，更好地监督发展，除定期安排的内部审计和外部审计外，还将安全检查工作前移，在信息技术部内部设置独立的信息安全小组，负责对信息系统建设进行指导、监督、检查、评审和整改跟踪。

3．流程建设，安全为纲，建立等级化思想融入系统全生命周期的机制。在信息安全一体化框架下，北京农商银行将信息系统安全定级、安全需求开发、安全设计、安全编写规范、安全测试、安全评审、安全运维、备案与安全测评融入重要信息系统项目立项、需求开发、系统设计、代码编写、软件测试、系统验收、系统上线和运行维护全过程。目前我行对综合业务系统、网银业务系统、中间业务系统、OA系统等已建系统进行了定级、备案、安全建设整改和等级测评等工作。对在建和新建系统按照融入等级化思想的CMMl3进行开发建设。

4．同步建设，同步运行，建立信息安全保障与信息化建设协调发展机制。信息安全保障与信息化建设并重。信息系统在新建、改建、扩建时同步建设信息安全设施，坚持信息安全与信息化建设“三同步”，即同步规划、同步建设、同步投入运行，坚持人防技防并重，从管理体系、组织体系、技术体系和运维体系入手，不断提高信息系统安全防护能力，确保网络与信息系统安全运行，保障信息安全与信息化建设相适应，逐步实现安全常态化。

保障机制建设
北京农商银行依托以下7项有效保障措施，为信息安全工作的顺利开展奠定坚实基础。

政策保障，立足信息安全一体化建设，明确信息安全管理框架；领导保障，建立信息安全领导小组，行长挂帅及各部门领导共同参与；组织保障，组建信息安全工作小组，聘请有经验的外部专家，对信息安全一体化建设各项工作详细分解，责任到岗、落实到人，并纳入年度绩效考核；资金保障，落实信息安全专项资金，优化资源配置，启动支撑信息安全一体化建设的项目；宣传保障，统一认识，全员参与，加强全员信息安全意识和教育培训，开展全方面的立体宣传推广和评优活动；技术保障，借助安全设备、管理平台等技术手段保障安全体系有关流程、控制要点的实施与落地；监督保障，通过内审、外审等措施保障信息安全体系有效执行。

（文章来源：金融电子化）