20、金融与电力行业的ICT安全：挑战与应对策略

金融与电力行业的ICT安全：挑战与应对策略

1. 金融行业的消费者数据与ICT安全

1.1 安全分类

在金融行业，安全分类是保障信息安全的重要基础。采用所谓的AIC代码进行分类，每个类别可能的得分有3、2、1，数字越高表示关键程度越高。确定安全类别的标准主要包括：
- 金融风险或声誉风险
- 监管影响
- 对业务的影响

信息安全基线中的一些安全控制是默认的，有些则与安全分类过程的结果相关。例如，拉博银行集团内的ICT基础设施提供商为业务流程定义了五个标准化的可用性类别，以表明所需的可用性级别和允许的数据丢失情况，具体如下表所示：
| 类别 | 可用性代码 | 业务流程 | 服务窗口 | 维护窗口 | 数据丢失情况 | 可用性 |
| — | — | — | — | — | — | — |
| E | A = 3 | 交易（支付、储蓄、投资等零售业务）、网上银行 | 7*24 | 每周一次0400 - 0500，特殊请求6小时 | 无数据丢失 | 99.99% |
| D | A = 3 | 客户关系管理（CRM）、前台本地分行、呼叫中心、邮件交换 | 固定服务窗口 | - | 无数据丢失 | 99.99% |
| C | A = 2 | 后台办公室、中央数据仓库（CDW） | 固定服务窗口 | - | 当日数据更新 | 99.9% |
| B | A = 2 | 管理信息、控制、财务内务 | 固定服务窗口 | - | 当日数据更新 | 99% |
| A | A = 1 | 静态信息检索（网络）应用程序 | 固定服务窗口 | - | 周末数据更新 | 98% |

<