信息安全监管保护,信息安全管理体系

同时，金融企业必须认识到监管要求对自己的保护作用。信息安全监管要求是监管机构基于国家信息安全防控总体策略、国内外信息安全形势、监管机构自身的前瞻眼光和管理思路、信息安全监管金融行业已经发生的风险事件相关经验教训，信息安全监管经过归纳、总结、提炼出的纲领性、信息安全监管全局性要求，从战略高度和战术细度，信息安全监管提出了诸多具有很高实操性、信息安全监管实用价值的条款，从某种意义上说，对于金融企业形成了保护。

首先，对于很多金融企业特别是信息安全建设处于初级阶段的金融企业来说，学透了监管要求，就能把握最关键的信息安全风险，搭建起基本的信息安全防控框架，信息安全监管建立起组织架构和制度，使技术安全防控有章可循，也就有更好的风险防控效果。其次，监管要求中隐含了很多其他金融企业贡献的知识和技能，实际上是一种行业经验的积累、沉淀和传承。对于信息安全基础薄弱的金融机构来说，这是一种快速获取同业经验的方式。例如，监管机构历次发布的信息安全风险提示和风险事件案例，实际上就是很好的“教科书”，让风险处置经验不足的金融企业可以提前排查类似风险隐患，防患于未然；而当实际发生风险事件时，这些内容又可以成为“知识库”，从中先去搜索类似案例，寻求最快的解决方案。最后，当风险和收益发生冲突时，遵循监管要求的底线，信息安全监管是信息安全人员判断是否可以给业务“让步”的重要参照，也是信息安全人员有底气说“不”的有力支撑。