头部资产管理公司的网络安全规划实践分享

客户作为头部资产管理公司之一，在业务安全与数据安全上每年投入了大量的人力和物力，但仍存在以下安全问题：

一是网络安全防控多为专项服务，日常网络安全监测手段不足，工作不成体系。

二是网络安全方面的风险评估与审计检查能力不足，难以发现系统性、专业性的网络安全隐患问题。

三是网络安全防控的覆盖率不足。

针对上述安全问题，结合银保监会发布的《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》中要求各金融机构加强系统安全漏洞管理，开展应用系统安全检测；以及《网络安全法》针对漏洞管理、入侵防范、安全监测等有关要求。

以保障公司网络安全、业务安全、数据安全为重点，此次规划以切实提升信息安全保障能力为目标，结合现有安全体系和安全能力，建立起防护全面覆盖、风险提前处置、威胁主动防御、技术安全可控的信息安全保障体系，为业务发展提供有力保障。

网络安全是客户信息安全管理工作的重要组成部分，也是科技管理工作的主要短板。由于信息安全管理是一项覆盖面广，各专项领域关系密切的复杂工程，不可能一蹴而就，我司认为立足于客户当前信息安全管理的实际需要，首先应抓重点、补短板，急用先行，优先筑牢网络安全防御基础后，再分步骤持续加强整体信息安全工作。2022年拟开展的网络安全规划服务内容包括：

根据网络安全风险评估结果，完善相关网络安全工作制度，将安全管理要求落实到日常管控流程中，提升整体网络安全管理水平，分析合理的网络安全技术发展方向。

通过应急响应、漏洞扫描、渗透测试、代码审计等工作检查全面检查应用系统可能存在的安全隐患；

本次项目主要以咨询规划为主要交付点，成果如下：

交付清单如下：

• 第一部分：风险评估工作

• 客户网络安全风险评估知识库

• 客户网络安全现状描述报告

第二部分：网络安全机制优化工作

• 网络安全开发与测试规范、

• 网络安全需求设计与评审要求、

• 网络安全配置基线及配套的审计工作流程

• 网络安全应急机制及相关的网络安全应急响应预案

第三部分：安全检查工作

• 安全检查报告

• 应急响应报告

第四部分：审计监控工作

• 安全审计报告

• 安全监控报告（内）

• 安全监控报告（外）
  

本项目完善了客户网络安全防御机制，压实了网络安全职责，为客户建立起可靠的网络安全监测与防控体系，可以不留死角的处理和解决各类来自于互联网以及公司内网的各类网络攻击风险，做到网络安全早预防、早发现、早处置、早提高。实现了抓重点、补短板，急用先行的战略规划目标。本项目也是绿盟科技在头部资产公司落地的咨询规划服务项目，为其他非银机构的整体咨询规划项目垫定良好基础。此外，本项目也推动了其他头部资产管理公司的安全建设规划进度，提高了资管行业的网络安全水平。