信息安全管理系列之七十一　金融关键信息基础设施安全治理实践探讨

谢宗晓 　甄杰　董坤祥

信息安全管理系列之七十一

《关键信息基础设施安全保护条例》（中华人民共和国国务院令第745号）自2021年9月1日正式开始实施，这标志着国内的关键信息基础设施保护将进入一个新的阶段。在某些国家，关键基础设施保护战略已经成为网络安全战略的代名词。下文对金融领域的关键信息基础设施安全治理进行了初步的探讨。

谢宗晓（特约编辑）

摘要：从安全治理的角度讨论了金融关键信息基础设施保护的实践。首先，界定了金融关键信息基础设施保护所包括的内容，区分了不同的关键信息基础设施保护;然后，分析了关键信息基础设施保护在网络安全中的重要作用，尤其是对于高度数字化/信息化的金融行业;最后，从“良好实践”的角度探讨了金融关键信息基础设施保护的两个层次。同时，也对“治理”和“管理”异同之处进行了初步的探讨，这也是强调治理重要性的原因所在。

关键词：信息安全治理 關键信息基础设施保护 金融行业

Discussion on Security Governance of Financial Critical Information Infrastructure

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Dong Kunxiang （Shandong University of Finance and Economics）

Abstract： This paper discusses the practice of financial critical information infrastructure protection from the perspective of security governance. First， it defines the contents of financial critical information infrastructure protection， and distinguishes different critical information infrastructure protection. Then， it analyzes the important role of critical information infrastructure protection in network security， especially for the highly digitized / informationized financial industry. Finally， two levels of financial critical information infrastructure protection are discussed from the perspective of "good practice". At the same time， the similarities and differences between "governance" and "management" are preliminarily discussed， which is also the reason for emphasizing the importance of governance.

Key words：  information security governance， critical information infrastructure protection （CIIP）， financial industry

1 金融关键信息基础设施保护的范围

关键信息基础设施不仅具备自身重要性，而且其他关键基础设施的正常运行也常常依赖于此。因此，关键信息基础设施不仅包括关键的信息系统，同时，也包括了关键基础设施的信息技术模块。对于金融关键信息基础设施而言，更重要是强调后者。

《关键信息基础设施安全保护条例》第一章，第二条：本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

以网络（network）为例，相关的金融关键信息基础设施主要分为四类：1）公用网络提供的服务，例如，电子银行，用户通过VPN或SSL/TLS等方式接入，金融机构自己负责安全管理，但是服务能力，包括系统恢复能力等基本依赖于信息技术供应商;2）被提供网络，例如，银行接入SWIFT（环球同业银行金融电讯协会），对于银行而言，基本没有控制能力，只是作为用户接入;3）共享网络，例如，与其他机构进行业务交互的网络，金融机构与提供商可以共同管理安全;4）私有网络，对于银行而言，这类网络一般运行主营业务，例如，从数据中心至分支机构，虽然网络是私有的，但是服务是信息技术供应商提供的，银行自身对于恢复能力等并没有管理能力。

2 网络安全中关键信息基础设施保护的重要性

习近平在中央网络安全和信息化领导小组第一次会议中指出，没有网络安全就没有国家安全。网络安全（cybersecurity）是网络空间安全（cyberspace security）的简称。网络空间是一个由机器、用户及其关系所组成的虚拟世界，网络空间虽然强调“虚拟性”，并不是否认其客观存在性，这个数字世界已经成为人们生活不可或缺的一部分，正源于此，网络空间成为区别于自然空间和社会空间的第三大空间。

从网络空间的定义可以得知，网络空间的存在是建立在软硬件所组成的信息系统的基础上。在ITU-T X.1205《网络安全综述》中描述的网络安全的一般目标为：可用性、完整性和机密性。这个目标的排序与ISO/IEC 27000：2018《信息技术 安全技术 信息安全管理体系 概述与词汇》中对于信息安全的目标描述是有区别的，信息安全是为了保持信息的机密性、完整性和可用性。

可见，可用性在网络安全中具有更重要的意义，这也是金融关键信息基础设施保护在网络安全时代成为核心保护目标的原因。因为只有金融关键信息基础设施正常运行，才能保证网络空间的真实存在。总之，金融关键信息基础设施保护在网络安全中是最重要的一部分，在涉及国家安全时，更是如此。

随着网上支付的迅速发展，金融服务是虚拟化最明显的行业之一。在传统的支付体系中，货币是最常见的媒介，但是在网络空间中，基本已经实现了不需要任何实物作为支付媒介，就可以完成交易。正源于此，金融領域成为网络犯罪（cybercrime）的重灾区，据欧盟网络与信息安全局（ENSIA）发布的报告《2016年影响关键信息基础设施的安全事件损失》，金融关键信息基础设施每年平均损失可达13.50亿美元，且在所有的行业中位列第一，与能源行业一并遥遥领先，排名第三的技术行业损失就下降为8.09亿美元。

3 从治理视角探讨关键信息基础设施保护

严格意义上讲，治理和管理是不同的范畴。治理的拉丁文原意是“引航”的意思，这清晰地指明了治理与管理的不同之处，或者说，治理更偏重方向性问题，管理更关注实际要解决的问题。这种差异导致在越宏观的领域，治理词汇出现得越频繁，例如，社会治理、环境治理、公司治理;在细分领域中出现的就比较少，例如，信息安全治理就少有讨论。这导致在信息安全情境中长期存在“重技术，轻管理”的现象，实际更严重的是“轻治理”。就整个企业环境而言，正如学者李维安所指出：公司治理已远远落后于技术变化[1]。

随着网络安全而凸显出重要性的关键信息基础设施保护应该有不同的思路，至少应该做到治理与管理并重，主要由于关键信息基础设施保护的视角更宏观，与网络安全等级保护一样，关键信息基础设施保护更多地从国家安全和公众利益考虑，虽然具体控制最终会落实到单个组织或机构，但是良好的治理结构是前提。具体到金融关键信息基础设施保护，信息系统分散在不同的金融机构中，作为监管机构的中国人民银行与中国银行保险监督管理委员会，从治理角度可以给出更详细的监管要求，从管理角度可以提供更多的指导，对于信息系统的控制则完全是具体金融机构的责任。

其次，形如ISO/IEC 27014： 2013《信息技术 安全技术 信息安全管理》这样的信息安全治理标准，应用范围是单个组织，并不涉及整体的治理设计，或者说，如果按照李维安的公司治理理论，公司治理是用规则和制度来约束和重塑利益相关者之间的关系，在这个视角而言，关键信息基础设施保护需要监管机构的统一协调，金融关键信息基础设施保护不仅仅是金融基础设施中信息技术模块的保护，还要包括诸多与信息技术关键基础设施的交互。

4 关键信息基础设施保护安全治理架构

4.1 关键信息基础设施保护安全治理的两个层次

关键信息基础设施保护的安全治理分成两个层次：第一个层次是监管机构在统筹的角度对金融关键信息基础设施保护设计治理架构，从而对金融机构各自运维的关键信息基础设施实现有效的监管，从这个角度讲，治理更注重制度的设计和利益的重塑;第二个层次的治理是金融机构的内部治理结构问题，一般而言，在组织内部，治理属于董事会和高管的责任，从这个角度讲，治理是考虑“内外合规”的制度设计，治理是信息安全管理的上层建筑。

4.2 应用“良好实践”的思路探讨治理的架构

从“创新扩散”的角度而言，每一项新生共性事件都应该有对应的“良好实践”。以网络安全事件为例，跨组织的信息共享是有效预防的最重要途径之一，以此理论为基础，美国在1988年成立了CERT（计算机安全应急响应组），这种组织架构在全世界范围内得到了扩散，并导致了各个国家在事件信息共享方面在组织形式上的制度性同形，区域如欧盟成立了欧盟计算机安全应急响应组（CERT-EU），行业如工控系统计算机安全应急响应组（ICS-CERT）等类似的机构。这可以认为是在组织架构方面关于信息安全事件管理的良好实践。

但是，信息安全自20世纪40年代发展到今天，信息安全治理依然没有业界所公认的模型、架构或标准体系。在信息安全管理方面，以ISO/IEC 27000标准族为代表的“良好实践”，则定义了完整的方法论、控制集、标准体系以及安全架构等各个方面。例如，ISO/IEC 27000定义了标准族的术语，并介绍了标准族的架构;ISO/IEC 27001定义了信息安全管理体系（ISMS）的要求，通俗而言就是定义了信息安全管理体系应该是什么样子;ISO/IEC 27002给出了信息安全管理的控制集，其中包括14个控制域，35个控制目标，114项控制;ISO/IEC 27003则是信息安全管理体系如何在一个具体组织内的部署指南，ISO/IEC 27004讨论了信息安全管理体系的监视与测量的细节。以此类推，从ISO/IEC 27000直至ISO/IEC 27059定义了信息安全管理的方方面面。

4.3 金融行业的关键信息基础设施保护治理架构

从跨组织的金融关键信息基础设施保护而言，《关键信息基础设施安全保护条例》第二章，第四条：本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称：保护工作部门）。中国人民银行和中国银行保险监督管理委员会也可以按照“良好实践”的思路进行全行业的指导和监管工作。

首先，可以建立全行业的行业信息共享机制，这类似于事件管理，当然也可以将相关的职能与计算机安全应急响应等功能合并处理。此外，从行业角度，应该建立关键信息基础设施的识别标准及指南，在识别统计金融关键信息基础设施后，从控制和监视的角度建立一个完整的体系，这实际与“戴明环（PDCA）”的逻辑是保持一致的，即计划、实施、监视和改进。该过程与金融机构内部的关键信息基础设施保护治理结构存在一定的差别，在行业角度强调的监管，所以不需要过度考虑响应和恢复等具体的工作。

4.4 金融机构内部的关键信息基础设施保护治理结构

从组织内部的金融关键信息基础设施保护而言，主要考虑识别金融关键信息基础设施以及具体的控制部署等内容。从落地角度来说，组织一般不会抛开现有的体系重新部署金融关键信息基础设施保护，例如，一般需要考虑与现有的网络安全等级保护或者信息安全管理体系等进行整合。从安全治理的角度而言，整合是非常有必要的。

单个组织的整合治理结构的出发点首要考虑的是主营业务，对于金融行业而言尤其如此。现有的治理结构已经存在公司治理、信息技术治理直至信息安全治理等多个体系，在考虑整合的时候，一般而言，治理层都是统一的，即涉及董事会和高管，只是领域不同而已。

目前可以参考的关键信息基础设施保护良好实践，在讨论具体控制的时候大都采用了引用的形式，这主要是由于之前已经发布过诸多类似的标准或规范;由于网络安全与金融关键信息基础设施保护的紧密关系，有时候两者并未做严格的区分，例如，美国国家标准与技术研究院（NIST）发布的网络安全框架全称为《提高关键基础设施网络安全框架》，ISO/IEC TR 27103：2018《信息技术 安全技术 网络安全和ISO、IEC标准》虽然没有明确提出关键信息基础设施保护等概念，但是其框架實际沿用了美国国家标准与技术研究院上述文档的框架，即识别、保护、检测、响应和恢复。这也佐证了关键信息基础设施保护在网络安全中的重要性。

值得强调的是，无论是通用的关键信息基础设施保护框架，还是专门讨论金融行业的标准，都强调了“恢复能力”。Udo Helmbrecht（欧盟网络与信息安全局执行主席）在数字金融年会上提出，恢复力需要内嵌入系统中，并且要将网络安全作为建设“更具恢复能力的欧洲”的推动力。

5 小结

综上所述，对于金融关键信息基础设施保护，从行业全局的角度而言，监管机构应该充分借鉴其他行业或者其他领域的良好实践，例如，制度性同形，设计良好的治理架构;从单个组织的角度而言，金融机构应该在考虑自身业务要求的基础上，在关键信息基础设施保护方面重点提高系统的恢复能力，并根据已有的良好实践，如《NIST网络安全框架V1.1》和ISO/IEC TR 27103：2018等，建立关键信息基础设施保护体系，并积极与现有体系进行整合。

参考文献

[1] 李维安.公司治理学：第4版[M]. 北京：高等教育出版社， 2020.