3月21-23日，“第十一届中国城市商业银行信息化发展创新座谈会”在合肥召开，多位监管机构领导、商业银行负责人、金融领域专家学者到会并发言，会议结合“十三五”信息技术重点工作、围绕相关行业热点话题展开。

　　中国金融认证中心（CFCA）信息安全服务部助理总经理谢宗晓博士受邀出席，从“信息安全建设规范性”话题引出，发表题为《如何利用“良好实践”提升信息安全管理》的演讲。

谢宗晓博士在会议现场演讲

　　如何规范地进行信息安全建设？谢宗晓博士首先谈到了这样一个基础性的命题，普遍认为，信息安全经过超过六十年的发展，已经发展至从投资测算、整体规划到具体落地，都有标准可以依据的专业领域。因此，在现阶段，信息安全关注的重点已经不再是“摸着石头过河”的问题，而是如何进行规范化，“规范化”则涉及“标准化”和“体系化”两方面。

　　随后，谢宗晓博士又谈到了体系如何建立的问题。以业界两种“良好实践”为代表，即ISO/IEC27000标准族为代表的信息安全管理体系（ISMS）和NIST相关标准为代表的“风险管理框架（RMF）”，谢宗晓博士认为，在金融领域，两者应该进行恰当的整合，形成以全面风险管理为视角，横向分域、纵向分层的架构更有实践意义。

　　谢宗晓博士还讨论了组织如何开发适合自己的“良好实践”，以及如何将新问题与现有的体系进行整合。以最近比较热点的个人信息保护为例：首先，从监管要求开始梳理，然后在此基础上与现有的体系框架进行流程上的校准，最后是信息安全控制层的整合与嵌入。这本身是体系“持续改进”的过程，与纵向分层的逻辑也保持了一致。

　　会上，谢宗晓博士还从信息安全的角度，结合CFCA信息安全服务部的部分业务实践经验，向与会嘉宾进行了精彩的分享，演讲获得参会嘉宾们的高度关注与赞誉。　　

责任编辑：韩希宇