作者: CC, 　出处:IT专家网,　责任编辑: 张帅,　 2008-07-09 00:00

　　本方案从金融行业的实际安全需求出发，在全面体现GB17859-1999的等级化标准，充分吸收安全领域出现的信息系统安全保障理论模型和技术框架等系列标准。

　　随着全球信息技术的快速发展与金融行业IT信息化的不断深入，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查，75%以上的信息安全案件，都是与内部人员有关。在国内的各种信息安全案件中，内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力，金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高，为此国家相关主管部门也在积极促进信息科技审计工作的推进，意在促进国内金融体系建立起信息安全技术保障机制，以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》，要求中央企业加强内控，降低企业风险，并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年，银监会对国内商业银行也提出了强化内部控制与审计的要求(银监会63号文和313号文)，要求不仅仅要加强安全建设，同时也要对IT系统的相关操作进行全面采集和审计。此外，萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性，这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。