金融企业信息安全范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇金融企业信息安全范例，将为您的写作提供有力的支持和灵感！

篇1

[关键词] 信息安全；信息化建设；安全策略

在经济全球化的今天，企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议，建立防火墙，以及安全管理中心等措施，但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。企业提高计算机与信息管理的水平可以防范由信息安全所造成的各项损失，完善企业信息安全管理体系是很多企业都会面临到的一个主要问题，而作为我国国民经济支柱产业的石油石化企业更应该加强信息安全的管理。

一、企业信息安全定义

近年来，经济全球化呈现加速发展的趋势，越来越多的发展中国家融入到经济全球化的大潮之中。世界政治、经济形势的深刻变化使国家安全的内涵出现了新的变化，国家经济利益和国家经济竞争力随即上升至国家安全的优先位置，国家经济安全开始成为国家安全的核心。跨国并购是经济全球化时代的重要特，尤其是近几年来，经济全球化的日益发展使资本的全球扩张进一步加强，企业兼并活动达到有史以来的最高峰。在各跨国企业扩大占有其他国家市场、资源和技术时，往往使被收购企业所在国受到很大冲击，甚至威胁到他国的经济安全。

企业信息安全是一个复杂的、多维的动态体系，受到诸多外界因素的影响，因而需要从系统的高度进行综合性的概括。企业信息安全有两种解释：一种是从具体的信息安全技术系统的角度着手，来管理企业信息，提高安全性；另一种是建立某些被指定的安全信息体系，例如：银行指挥系统等，从而加强企业信息的安全。企业信息安全的基础内容主要有：实体和运行，以及信息资产与人员安全。实体安全也是指硬件安全，既保护计算机网络硬件和存储媒体的安全，又防止计算机硬件、设备等因湿度过大、温度过高、摩擦等因素而出现的物理损坏。同时，维护硬件运行环境的稳定也是实体安全的范畴。运行安全是保障信息处理过程的安全运行，避免出现程序性故障、死机等现象，保障系统功能的安全。信息资产安全则是确保信息的控制权在企业本身手里，不被恶意篡改或破坏，不被非法操作、误操作、复制，功能稳定等。人员安全主要是指信息系统使用人员能够有明确保护信息安全的意识，遵纪守法，拥有保障企业相关信息安全的技能和能力。

二、石油石化企业的信息化建设

在国际金融危机的冲击下，我国石油石化企业受到种种压力，但同时也遇到不少发展的机遇。金融危机背景下，提升企业竞争能力和抗风险能力更显得重要，石化企业需坚持并加强信息化应用，不断地深化和优化应用。

石油石化企业是我国最早开展信息化建设的行业之一。经过多年的建设，加之逐年增加投入，石化行业整体信息化应用水平在不断提高，并取得了较高的成绩。据中国石油和化学工业协会调研显示，勘探与生产技术数据管理系统、管道生产管理系统、ERP系统等目前在大部分石油石化企业中得到应用并发挥了重要作用，集成与深化应用已经成为石油石化企业信息化建设的主流。在当前国际金融危机冲击之下，信息化在优化资源配置、强化过程管控、支持管理创新、提高经营管理水平和劳动生产率等方面的支撑作用越来越显著。

三、石油石化企业信息安全的意义

石油石化企业在国民经济中扮演者重要的角色，是其重要的支柱产业，担负着保障国家油气供应安全的重要责任。国家形象、安全及国民经济也可能要受石油石化企业安全的影响。近几十年石油石化企业的发展主要得益于信息技术的发展。石油石化企业运营绝大多数工序，从地震、钻井到化工作业、生产工艺，甚至是管理手段、战略决策等都是依靠信息系统来实现的。信息系统一旦瘫痪，企业的运营就要中断。

前不久，互联网一度让人望而却步，CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网公司以及多家银行深陷“泄密门”。这使得本来就对互联网不放心的广大消费者更加远离了网络购物，一些网络消费者也纷纷降低了购物频率。

四、中海油的企业信息安全策略

信息化是中海油科学管理的重要手段，也是企业的核心竞争力之一。多年来中海油一直坚持业务驱动应用，技术引领创新，着力打造数字海油，加强工业化与信息化的融合，提升中海油信息化水平。多年来建设了MPLS云网络，实现了物理统一、逻辑共享的网络链路；构建了以LotusNotes为基础的OA办公平台；打造了以SAP为核心的ERP系统平台；建设了勘探、开发、生产、钻完井等生产管理信息系统和Scada、DCS、MES生产信息管理系统。这些系统的建立为提高石油的产量，加速企业的运行效率奠定了基础，使得中海油各生产运行业务系统建设稳步推进，实现了整体项目生产数据的完整、有序化管理，便于生产经营决策。

随着国际化的进程，中海油和国外公司的合作联系越来越密切，如果不加强信息安全，轻则出现宕机、数据缺失、系统停止服务等信息服务事件，重则会影响我国的石油产业和我国的国民经济。目前在对网络安全方面主要从以下几点展开的：

（1）物理安全风险

在物理安全方面，企业建立合格的机房环境，设置合理的网络构架，购置高性能的硬件设施，同时安装高效的、实时的预警系统等。在这些系统的和人员管理的情况下，防止设备因水灾、火灾、系统故障等导致的计算机硬件方面的安全问题。

（2）网络管理体系方面的安全

加强网络管理体系，可以减少企业中责权不明、管理混乱等方面的安全隐患，提高员工的安全意识。同时，还可以及时发现一些外来的网络攻击和恶意的破坏。对内部终端进行管理，通过流量限制计算机上传下载速度也是有效的网络管理体系的一部分。

（3）网络拓扑结构的风险

拓扑结构形象的描述了企业网络的组织结构以及各个元件之间的相互关系，对企业的网络安全系统有着重要的影响力。假如外部和内部进行联系，内部网络系统受到威胁，就会通过这个网络拓扑结构一层一层的影响其他的系统，进而可能使整个网路拓扑结构瘫痪，影响企业的正常运行。

同时，面对日益高速化发展的今天，工作人员容易受到外界的蛊惑，因此企业应该加强对企业人员网络安全维护的教育，提高人员安全性。

五、技术展望

云计算的发展为未来企业网络安全提供了又一个技术平台。云计算是通过网络把成千上万的计算机硬件资源和软件资源聚合成一个具有强大计算能力的系统，并借助各种服务模式把强大的计算能力提供给终端用户，使人们能够像使用电、水那样使用信息资源。

在经济全球化的今天，企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议，建立防火墙，以及安全管理中心等措施，但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。云技术网页威胁管理部署和操作简单，不仅有效且高效的防护，而且支持远程办公室和移动工作，“网络效应”和“众包”的作用更是提高了信息的安全性，因此特别适合分布式企业。而大型企业则需要一种集中化的管理和分布式、以云端为中心的智能、紧密集成等于一体的网络威胁管理构架，才能满足其庞大的网络拓扑架构的安全需要，改善远程工作者的安全性，提供全局可见性和控制能力，创建一个云迁移路径。

综上所述，中海油信息化的建设大幅提升了生产运行效率和精细化管理水平，达到了国际化先进水平，为中海油在国际的长远发展提供了坚实的基础。面对经济的全球化，各行各业，每一个企业都要建立健全、不断完善信息安全管理工作，提升企业信息安全管理水平。

参考文献

篇2

[中图分类号] F208 [文献标识码] A [文章编号] 1673 - 0194（2013）04- 0084- 02

现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护，使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理，能够保护企业信息的机密性和完整性，保护企业的生产运营安全，是企业发展的必不可少的环节。

1 网络环境下现代企业信息安全存在的问题

1.1 人为因素造成的安全问题

现代企业之间的竞争十分激烈，企业管理者把精神都集中在企业的生产和经营上，对计算机的管理不够重视，加上网络属于新生事物的一种，人们会利用网络进行娱乐活动，却忽视了网络的安全性，缺乏网络安全意识，企业员工在工作时间利用网络进行娱乐活动的行为十分普遍，由于自身的安全意识匮乏，不但浪费了企业的网络资源，也加大了病毒侵害的可能性，威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来，现实中，企业对信息安全的管理投入很少，安全防范做得不好，管理者对信息安全管理的认识不足，下面的员工安全意识也淡薄，规章制度不完善，信息安全管理无据可依，管理者也没有对信息安全进行有效的监督，没有在第一时间发现网络存在的问题，甚至在网络不能正常运行了才去解决问题，给公司发展带来不利影响。

1.2 网络技术自身存在的安全问题

随着网络技术的发展，各种软件也不断更新换代，现在Windows 7正在大规模地进军国内市场，微软不断推出新的产品，各种操作系统的漏洞也一直存在，为病毒的滋生提供了机会，很多网络软件存在后门，这些后门原本是编程人员为了软件的扩展和维护设置的，如果被不法分子发现，对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击，黑客攻击也分为主动攻击和被动攻击两种，主动攻击直接为企业的信息完整性、机密性造成破坏，被动攻击虽然能够保证公司电脑的正常运行，但企业的重要信息可能会被截获、窃取，都严重影响了企业信息安全。

1.3 设备环境造成的安全问题

从网络环境来说，外部环境对企业信息安全也构成威胁，企业的计算机房的位置不能是随便设置的，需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏，或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏，并且自然环境的影响是不可预测的，一旦出现问题，会给企业的信息造成直接的破坏，影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意，计算机设备的防盗等都是问题，企业员工在工作过程中往往会拷数据回家，或者加班后在用U盘等移动设备把资料拷贝到公司电脑中，增加了企业计算机中毒的危险。

2 解决企业信息安全问题的对策研究

2.1 重视信息安全管理，加强制度建设

首先，企业管理者应该认识到企业信息安全的重要性，认识到网络保护的重要性，提高信息安全意识，这样才能加强制度建设，做好信息安全管理与监督工作。计算机房是重要场所，它的设置也需要一定的隐蔽性，一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度，帮助员工树立信息安全意识，明确信息安全保护的对象和目标，保证各项管理制度的落实执行，制订明确科学的操作流程，规范员工的日常操作行为，制订应急预案和网络维护制度，计算机管理人员应该每天对计算机系统进行检查或者更新，及时发现网络运行中出现的问题，防止病毒的产生，在发生问题后把损失降到最低。

2.2 加强企业信息安全的网络技术控制

依靠网络技术来保护现代企业信息安全是十分有效的方式，网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一，它通过设置屏障阻止黑客的访问，能够有效防止病毒的侵入，企业应该按照质量可靠的防火墙，并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一，企业可以设置专门的访问密码，仅供本公司员工使用，或者每个员工都有自己的上网编号，输入之后才能访问公司网络，公司也可以根据浏览记录查看哪些员工上网，能够有效防止企业人员泄密行为，对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代，提高防毒、杀毒的效率，保证系统的安全。电脑一旦中毒，一些文件就可能丢失或者被更改，企业需要对重要文件进行备份，这样在发生中毒之后能够将损失降到最低。

2.3 加强法制建设，运用法律武器保护企业信息安全

现代企业的信息安全应该受到法律的保护，公司的机密文件关系到公司的生死存亡，关系到社会公平竞争，关系到个人隐私，应该受到法律的保护。国家应该完善企业信息安全的法律法规，为企业保护自己的权益提供法律武器，企业也应该具有法律意识，在公司的信息恶意遭到破坏和侵害时，不是采用同样的方法对待竞争企业，而是应该拿起法律武器保护自己，用国家法律来抵制侵犯，保护自己企业的信息安全与完整。

3 结 语

网络的发展是一把双刃剑，在给社会进步和发展带来巨大益处的同时，也带来了一些负面影响，企业应该辩证对待网络时代的发展，充分利用网络环境带来了优势，通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全，为企业的发展创造安全的环境。

主要参考文献

[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息，2010（11）.

[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察，2010（11）.

篇3

A企业是某欧洲跨国金融公司在广东的IT服务外包公司，主要对母公司在亚太地区的业务提供软件开发和维护工作，企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的IT外包公司，提升A企业的信息安全管理水平也成为企业内部和外部的紧迫要求。

ISO27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准，此标准采用了PDCA循环管理的方法，以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段，而整个项目的出发点就是完善资产管理。

A企业正是选择了通过ISO27000架构构建信息安全体系。在ISO27000的管理框架下，资产是指任何对组织有价值的信息或资源，根据表现形式的不同，与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。

本项目之前，A企业有来自总部的一些信息安全方面的基本要求，但要求较为抽象、概括，并没有在本地形成有效的管理体系。在信息资产管理方面，A企业就信息资产进行了一些定义，制定了部分规章，但不够系统和完整。对于信息资产的管理更多地限于IT部门管理的硬件及软件等有形资产的管理上，没有从数据的角度出发，也没有把服务、人员以及其他非IT资产视为信息资产的一部分纳入信息资产保护的范畴。

因此，在构建新信息安全管理体系项目中，A公司在进行资产识别时，将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为：

1、将原有的信息资产清单依照上述六类进行划分。在此基础上，依照公司的组织架构和业务范围与各部门负责人进行访谈，了解业务流程，以识别所有的信息资产。

2、对于每一项信息资产，根据“谁使用，谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定 “维护人”，由“责任人”将具体的安全职责委派给“维护人”，但“责任人”仍须承担资产安全的最终责任。

3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素：机密性、完整性、可用性，对资产分三个要素进行赋值（如表1示）：

4、基于对每一项信息资产的在机密性、完整性、可用性三方面的赋值，通过矩阵计算出信息资产的总价值（如表2示）。

篇4

报告显示，本季度亚信安全客户终端检测并拦截恶意程序约 12128 万次，与前几个季度相比，恶意程序数量相对稳定。但是，这并不意味着企业在威胁防御方面可以掉以轻心。事实上，恶意程序正在变得更具隐蔽性、针对性，这也是APT攻击的常用手法。在Rotten Tomato APT 组织的攻击中，攻击者主要利用微软Office漏洞来将恶意程序附带到Office文件中。之后，不法分子会以清单、通知、快递等信息为幌子，精心编造邮件以诱使企业员工点击。一旦点击，恶意程序就可能通过内网感染企业系统，继而导致企业机密信息外泄。

亚信安全发现，虽然该 APT 利用的是Office 的已知漏洞，但由于大量企业用户并没有及时升级版本或修复漏洞，所以他们处于APT攻击的威胁之中。加上企业内部人员安全意识参差不齐，防病毒和入侵检测系统部署不到位，鱼叉式钓鱼邮件往往可轻松直达内网，严重威胁企业信息安全。

亚信安全技术总经理蔡N钦指出：“要更好地防范APT攻击，企业信息安全要着眼于构建多层防护体制，定期更新系统和应用软件补丁、升级安全软件特征库。同时也要加强员工信息安全培训，教育员工养成良好的安全意识，不随意打开陌生来源的邮件附件。”

金融安全再敲警钟

在第三季度，金融行业再次爆出严重的网络安全事件。7月份，台湾发生 ATM 机自动吐钱事件，总计 41 台 ATM 机被盗，被盗金额达 8327 余万元；无独有偶，一个月后，泰国 ATM 机被盗，总计 21 台 ATM 机受影响，损失达 1200万泰铢。在这两起事件中，入侵者都是通过仿冒更新软件程序在ATM 机中植入恶意程序，并通过ATM远程控制服务（Telnet Service）来控制ATM 机吐钞。

蔡N钦表示：“ATM自动吐钱事件再度证明了金融安全的脆弱性，近年来不仅与银行有关的网络钓鱼网站数量出现激增，针对金融行业的移动安全威胁、高级持续性攻击也迅速增长。要防范此类攻击，不仅要及时更新系统和安全软件，在防御构建上也要做到整体的关联与对应，这对隔离网络犯罪者的定点攻击有着关键作用。”

移动及物联网设备风险剧增

在近几年，移动及物联网设备数量出现爆发式增长，这正吸引着大量不法分子的入侵。第三季度报告显示，安卓平台的恶意程序仍然呈现快速增长的趋势，亚信安全对 APK 文件的处理数量已经累计达到 3595 万个，比去年同期增长将近一倍。

篇5

一、金控的定义与历史机遇

（一）金控的定义

金控是金融控股的简称，是指在同一控制权下，完全或主要在银行业、证券业、保险业中至少两个不同的行业提供服务的金融集团。从定义上可以直接反映出金控公司的特点：多金融牌照混业经营，由一家集团母公司控股，通过子公司独立运作各项金融业务。

（二）金控的历史机遇

金控公司出现之初，集团母公司多是扮演财务投资的角色，不参与具体业务的运营。随着国家“十三五”工作的推进，金融改革不断深化和多元化，单一业务的聚集效应在减弱，而以多业务构建“客户-平台-资产”供应链闭环生态系统的金控平台则迎来其历史发展机遇。其通过资源协同、渠道整合、交叉销售等运营模式，促进供应链上各项金融业务的联动发展，最大程度地发挥了产品互补优势，提高效能，享受高额市场回报。

二、金控体系下信息化建设的重要性和安全需求

（一）信息化建设的重要性

打造金控体系下多牌照的闭环生态系统，离不开信息化平台的建设。换个角度，信息系统是多牌照业务融合、产品创新和效能提升的一种有效手段。如通过信息化建设金控体系下统一的客户系统、全面风险管理系统、产品销售系统、大数据分析平台等，可助力金控集团建立品牌效应，快速响应多元化的市场需求，从而实现业务的爆发式增长。基于信息化的重要性，综观目前市场上的各类金控公司，都在大力发展信息化建设，寻找业务创新点，引领行业升级和抢占市场。

（二）信息安全需求分析

对于互联网时代的金融企业来说，数据是核心，安全是生命线。随着《网络安全法》的实施，信息安全已上升到国家战略层面，构建金融企业的信息安全防护网势在必行。对于金控公司来说，由于是混业经营模式，旗下不同牌照的子公司，因其监管部门不同以及对信息安全要求不一样，在规划其信息安全时，必须将多牌照的特点融入到安全体系内，同时满足信息安全和业务发展的平衡需求，以免顾此失彼，得不偿失。

三、金控体系下信息安全体系规划

建立一套金控公司的安全体系，必须同时从管理和技术角度进行规划，管理是运营措施，而技术是操作手段，相辅相成，缺一不可。

（一）信息安全管理体系的规划

1.对标的选择。建立一套信息安全体系，目前可对标的标准和规范包括国际标准ISO27001、国家安全标准、各监管机构的安全指引、信息安全等级保护管理办法，以及行业的最佳实践等。对于金控信息安全管理体系的规划，应该以ISO27001为基础，结合监管的合规要求进行编制。2.设计原则。通常情况下混业经营企业在制定企业管理体系标准时要照顾到各方的使用需求，其标准具有通用性和广泛性。具体使用部门或子公司可再结合自身业务特点，制定更具体的操作规范。但对于金控行业来说，由于旗下各子公司经营的都是金融业务，对信息安全的要求比普通企业更严格，信息安全是其不可逾越的红线。因此在为其设计信息安全管理体系时，应反其道而行，从严要求，以最严格的标准进行编制，做好顶层设计，然后根据各子公司的业务特点，对制度或规范做适当的裁减或降低等级要求。3.管理体系模型。信息安全管理体系是一个多层次的模型，如图1所示。在该模型中，第一层是企业信息安全方针政策，说明企业信息安全总体目标、范围、原则和安全框架等；第二层是企业安全管理制度和规范，说明体系运行所需要的通用管理要求；第三层属于安全管理活动中，用于约束安全行为的具体方法；第四层是配套的表单和记录，用于辅助制度和管理办法的执行。4.安全目标和方针的设计。虽然是混业经营，但对于金控集团及旗下各子公司来说，信息安全的目标应该是一致的，本质都是追求企业数据的保密性、完整性和可用性，所以安全方针可以基于集团统一考虑，设计为：安全、合规、协同、务实。安全：以风险管控为核心，主动识别、管控并重，为用户提供安全、可靠的信息技术服务。合规：按照国家法律法规及行业监管要求，建立满足集团业务发展需求，并具有专业能力的信息安全管理机制。协同：全员参与，对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力。务实：以经济适用为准则，选择适应公司发展变化的业务架构和稳定灵活的技术架构，满足各业务条线的管理和决策需要。5.组织架构的设计。信息安全方针的贯彻，安全制度的执行，安全技术的部署，都需要通过安全管理组织来推行。各个模块相互之间的关系如图2所示。对于金控行业公司而言，由于多数子公司都是独立法人，无法完全成立一个实体安全组织，而是一个横跨集团和各子公司的虚拟安全组织。为保证安全组织的有效性和执行力，应具有分工合理、职责明确、相互制衡、报告关系清晰的特点。6.管理制度及规范的设计。管理制度和规范是属于企业运营措施，根据ISO27001标准模型，安全管理制度划分了14个控制域，涵盖的内容如图3所示。根据各控制域的关联关系，结合金融企业的安全需求，企业的安全管理制度通用全景图设计如图4所示。

（二）信息安全技术体系规划

技术体系属于信息安全操作层面的内容，应该是围绕整个数据生命周期展开规划的。根据数据的运动轨迹，经历“生产-传输-计算-存储-消亡”等阶段，所以信息安全技术体系的范围，应该涵盖物理环境、基础架构（含虚拟化层）、应用、数据和访问控制等。一般通用的安全技术体系全景如图5所示。由于安全技术需要部署大量的专业设备，对于混业经营的金控公司而言，可以发挥集团总部的先天优势，对于一些共性的安全技术方案，由集团统一规划和部署，然后为各子公司提供相应的安全服务，减少投入，节约成本。例如防病毒系统，由集团总部部署服务端，各子公司部署客户端即可，类似的安全技术服务还有漏洞扫描系统、身份认证系统、终端准入系统、APT检测系统、安全渗透服务、安全培训服务等。

四、金控体系下信息安全的实践

由于是混业经营，在组建了横跨集团和各子公司的安全组织后，还需要不断地进行实践以达到最佳效果，以下是一些具有特色的实践场景。

（一）信息安全事件的统一管理

信息安全事件的管理是安全制度之一，有效的事件管理可以积极发挥安全效能，提升全集团的安全能力。1.情报共享，协同防护。在管理层面，原各业务子公司只会向其外部监管部门报送安全信息，相互独立，不能有效共享相关的安全情报。新的模式下要求子公司同时将安全信息上报集团总部，总部通过分析后形成统一报告，再发放到各个子公司。通过这种方式，一方面可以实现情报共享，另一方面可以实现信息安全的统一管控，协调防护。2.统一监控，快速反应。在技术层面，可通过在子公司部署探针，建立集团的统一安全监控平台，对集团内所有的安全日志进行采集、分析、响应，同时结合集团和各子公司的安全保护措施对事件进行快速处理，合纵连横，从而保证整个集团和各子公司信息系统的安全稳定运行。

（二）子公司信息安全建设的管理

对于多牌照的金控公司来说，旗下各子公司业务种类不同，规模也有区别。在信息安全的建设方面，应该有区分对待。对于规模较大的子公司，依靠自身力量建设了数据中心及安全体系的，除一些共性的安全技术方案可由集团提供以外，其他的安全措施由子公司执行，集团主要是发挥标准制定和监管的角色。对于规模较小的子公司，由于IT力量较弱，数据中心体量有限，很难依靠自身建设完整的信息安全保护体系。在监管许可的情况下，可以将子公司的信息系统托管在集团数据中心，由集团进行信息安全的统一规划、建设和运维。

（三）交叉检查，取长补短

由于同属于一个集团，各子公司之间具有天然的信任感，通过集团的统一组织和管理，可以促进各子公司之间进行信息安全的交叉检查，在兄弟公司之间充分展示本单位的优势，取长补短，相互学习，共同进步。

参考文献：

[1]ISO27001：2013.信息安全管理体系标准[S].2013.