深挖内部风险,保障信息安全——某信托公司安全技术评估案例

前言
信托公司,在中国是指依照《中华人民共和国公司法》和根据《信托投资公司管理办法》规定设立的主要经营信托业务的金融机构。 信托公司以信任委托为基础、以货币资金和实物财产的经营管理为形式,融资和融物相结合的多边信用行为。
 
为满足监管要求,避免业务风险,信托公司需要定期对本机构的信息科技风险开展持续的风险识别、风险评估和问题整改等相关工作;同时,因信托等金融机构从事信息科技风险管理工作的专业技术和管理人员缺乏以及技术手段的不足,信息科技风险管理工作开展效率不高。新型的信息安全攻击又层出不穷,以指数级别增长。在这样的情况下,引入专业网络安全机构对本部的IT信息风险定期做全面的评估和整改,势在必行。
1. 项目需求
本次需求主要针对该信托公司各应用系统及整个信息安全环境提供安全渗透测试服务,站在攻击者和非法恶意用户的角度及时发现存在的信息安全隐患,总结信息安全现状所构成的威胁、提出信息安全工作中技术手段的缺失和不足。
 
2. 解决方案
盛邦安全基于对信托金融机构信息科技风险管理实践和对监管机构监管要求的深刻理解,开发了基于满足监管要求和行业实践的信息科技风险管理系统,旨在为信托机构提供标准化、系统化、自动化的信息科技风险管理解决方案,提升信息科技风险管控效率。本系统主要提供的业务功能包括:
 
信息科技风险识别:
基于监管要求和行业实践,盛邦安全梳理了满足监管指引要求的风险识别库,涵盖信息科技全生命周期中面临的主要风险点;
信息科技风险评估:
根据金融机构实际的管控需要,在风险库中选择某一个领域或者全部领域风险点,开展外网、内网、服务设备的多维度信息风险评估,评估每个风险点的控制机制以及控制机制的执行有效性;风险评估模块支持现场评估的录音和拍照功能;支持通过移动设备,如PAD、智能手机等灵活的开展评估和审计活动。
信息科技风险报告:
通过风险评估,形成风险评估问题发现列表,以及根据机构内部行文要求生成信息科技风险评估报告。
信息科技风险问题整改跟踪
将信息科技风险评估活动中发现的问题建立整改和跟踪机制,跟踪的问题支持外包导入;可以通过信息科技风险管理部门统一下发待整改问题列表给对应的业务部门,由各业务部门设计问题整改的计划和时间节点,由风险管理部门对问题进行持续的跟踪和整改验证,直至问题全部关闭,通过此功能可以开展待整改问题的全生命周期管理。
3. 用户评价
“盛邦安全信息科技风险评估服务,更贴近我公司信息科技风险管理实操,并融合了业界最佳实践,既提升了内部信息科技风险管理的效率,又有效满足监管的现场和非现场监管检查的需要。”——某信托机构客户
 
4. 我们的优势