《《銀行安全評估》PPT課件》由會員分享����,可在線閱讀,更多相關(guān)《《銀行安全評估》PPT課件(29頁珍藏版)》請在裝配圖網(wǎng)上搜索���。
1�����、1 項目概述實施方案時間及人員安排提 綱 2 項 目 概 述 背 景電子銀行帶來的發(fā)展機遇與挑戰(zhàn)��。服務(wù)觸角向客戶延伸�����,拓展了業(yè)務(wù)渠道��,極大地方便了客戶����。新技術(shù)的運用增加了一些傳統(tǒng)風(fēng)險,同時帶來了另外一些新的風(fēng)險���。戰(zhàn)略風(fēng)險信用風(fēng)險流動性���、利率、價格/市場風(fēng)險交易或操作風(fēng)險符合性/法律風(fēng)險聲譽風(fēng)險為管理電子銀行安全風(fēng)險��,一系列行業(yè)規(guī)章制度標(biāo)準(zhǔn)指南出臺���。巴塞爾銀行監(jiān)管委員會�。中國銀監(jiān)會 ��。我行初步完成了電子銀行系統(tǒng)開發(fā)與建設(shè)�����,需要了解系統(tǒng)安全狀態(tài)��。安全所處的位置�。 與相關(guān)行業(yè)規(guī)章制度標(biāo)準(zhǔn)指南的符合性。 3 掌握電子銀行系統(tǒng)的應(yīng)用及安全狀況���;按照銀監(jiān)會相關(guān)要求完成電子銀行系統(tǒng)的安全評估����;提出改進(jìn)建議或
2、方案��。項 目 概 述 目 標(biāo) 4 項 目 概 述 評 估 參 考 依 據(jù)國家標(biāo)準(zhǔn)信息安全風(fēng)險評估指南信息安全風(fēng)險管理指南銀監(jiān)會規(guī)章制度指南商業(yè)銀行內(nèi)部控制評價辦法銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引銀行業(yè)金融機構(gòu)內(nèi)部審計指引電子銀行業(yè)務(wù)管理辦法電子銀行安全評估指引其它相關(guān)電子銀行風(fēng)險管理原則 (巴塞爾銀行監(jiān)管委員會) BS7799/ISO27000系列 5 組織范圍總部 IT部門��、業(yè)務(wù)部門��?風(fēng)險管理部門��?審計部門�����?分支機構(gòu)��?系統(tǒng)范圍網(wǎng)上銀行信息網(wǎng)站交易網(wǎng)站 ATM���?手機銀行?自助銀行電話銀行?工作范圍電子銀行安全評估電子銀行安全及風(fēng)險控制體系建議項 目 概 述 范 圍 6 項目概述實施方案時間及
3��、人員安排提 綱 7 實 施 方 案 評 估 總 體 思 路業(yè)務(wù)層面(業(yè)務(wù)流程建設(shè)��、業(yè)務(wù)操作)業(yè)務(wù)流程建設(shè)(流程基本評估)業(yè)務(wù)應(yīng)用控制(與業(yè)務(wù)有關(guān)的IT控制,需要分解流程步驟����,針對每一步進(jìn)行)業(yè)務(wù)控制(需要分解流程步驟,針對每一步進(jìn)行)系統(tǒng)平臺層面(與電子銀行相關(guān)的系統(tǒng)平臺��,即IT基礎(chǔ)設(shè)施)應(yīng)用支撐平臺(如果物理����、網(wǎng)絡(luò)、系統(tǒng)平臺�����、數(shù)據(jù)庫等)應(yīng)用系統(tǒng)與電子銀行相關(guān)的總體層面(IT管理層面����,這個層面是為所有IT業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)的,因此會影響到電子銀行系統(tǒng)) IT治理環(huán)境(含組織架構(gòu))風(fēng)險管理或控制框架(控制環(huán)境�����、風(fēng)險評估���、信息溝通��、監(jiān)控等)系統(tǒng)規(guī)劃與建設(shè)(生命周期管理�,主要是開發(fā)與獲取)日常運維管理
4����、(日常的事件管理、變更/發(fā)布管理���、巡檢、及其它操作如:備份�、監(jiān)控,定期報告等)業(yè)務(wù)持續(xù)性計劃(BCP)外包管理信息安全管理作 為 機 構(gòu) IT業(yè) 務(wù) 應(yīng) 用 系 統(tǒng) 之 一 ����, 電 子 銀 行 系 統(tǒng) 需 要 與 其 它 業(yè) 務(wù) 應(yīng) 用 系 統(tǒng) 一起 納 入 機 構(gòu) 全 面 的 風(fēng) 險 管 理 體 系 中 。 電 子 銀 行 風(fēng) 險 評 估 涉 及 三 個 層 面 : 8 安全管理評估(策略�����、組織架構(gòu)���、制度)安全策略(電子銀行系統(tǒng)整個生命周期的策略建設(shè))����;組織架構(gòu)與人員安排(與電子銀行系統(tǒng)相關(guān)組織建設(shè)與人員安排);管理制度建設(shè)(與風(fēng)險管理���、開發(fā)與獲取����、安全管理����、運營管理、內(nèi)部控制��、應(yīng)急響應(yīng)���、業(yè)
5���、務(wù)連續(xù)性、外包等)����。 IT基礎(chǔ)設(shè)施安全評估支撐平臺物理環(huán)境(物理環(huán)境、機房環(huán)境���、介質(zhì)與設(shè)備安全)�;網(wǎng)絡(luò)平臺(網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)管理�、網(wǎng)絡(luò)安全);系統(tǒng)平臺(業(yè)務(wù)主機�、操作系統(tǒng)安全、數(shù)據(jù)庫安全等)��。應(yīng)用系統(tǒng)安全身份鑒別與訪問控制�;交易安全;數(shù)據(jù)安全(傳輸��、處理����、存儲)���;密鑰安全��; 輸入輸出合法性/異常處理/日志與審計�;系統(tǒng)可用性�����。業(yè)務(wù)風(fēng)險評估業(yè)務(wù)流程建設(shè); 業(yè)務(wù)應(yīng)用控制�����;業(yè)務(wù)控制�����。 實 施 方 案 評 估 內(nèi) 容 9 實 施 方 案 安 全 管 理 評 估目標(biāo)評估當(dāng)前電子銀行相關(guān)安全方針與策略是否完備���,已有的策略是否得到了有效的執(zhí)行���。評估要點安全策略制定的流程與合理性;與電子銀行相關(guān)的總體(戰(zhàn)略)規(guī)劃
6�、;與電子銀行系統(tǒng)相關(guān)的風(fēng)險管理策略�����;與電子銀行系統(tǒng)相關(guān)的開發(fā)與獲取策略�;與電子銀行系統(tǒng)安全管理及內(nèi)部控制相關(guān)的策略;與電子銀行系統(tǒng)相關(guān)的運維管理策略���; 與電子銀行系統(tǒng)相關(guān)的業(yè)務(wù)持續(xù)性與應(yīng)急安全策略���;與電子銀行有關(guān)的外包管理策略���;客戶信息安全策略。評估方法安全策略文檔審閱����;安全策略部署檢查。n安 全 策 略 評 估 10 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)評估與電子銀行管理相關(guān)的機構(gòu)與人員設(shè)置是否合理���。評估要點組織機構(gòu)設(shè)置的合理性與協(xié)調(diào)性(包括系統(tǒng)管理/風(fēng)險管理/審計部門)����;人員配備(體現(xiàn)制約關(guān)系)��;人員技能與培訓(xùn)��。評估方法崗位職責(zé)審閱��;安全意識/技能/培訓(xùn)訪談���;對工作人員資
7、格情況的檢查�。n組 織 架 構(gòu) 與 人 員 安 排 評 估 11 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)檢查電子銀行是否建立和實施了一套完整的對運行中涉及的各類風(fēng)險進(jìn)行識別�、監(jiān)測��、衡量和控制的風(fēng)險管理制度��。評估要點電子銀行風(fēng)險管理部門主要負(fù)責(zé)人對電子銀行風(fēng)險的熟知程度���;電子銀行風(fēng)險管理的規(guī)章制度與操作規(guī)定�、程序等���。包括:風(fēng)險模型定義��;相關(guān)職責(zé)劃分/人員安排���;與目標(biāo)設(shè)定、風(fēng)險識別�、風(fēng)險評估、風(fēng)險控制以及風(fēng)險監(jiān)測相關(guān)的流程及操作程序��。電子銀行業(yè)務(wù)風(fēng)險管理狀況�。評估方法 對所建立的電子銀行風(fēng)險管理模型及框架進(jìn)行檢查;與電子銀行有關(guān)的風(fēng)險管理制度及執(zhí)行情況檢查�;對其他方面的檢查。n風(fēng)
8���、險 管 理 評 估 12 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)檢查電子銀行系統(tǒng)的開發(fā)與獲取過程是否得到適當(dāng)?shù)目刂?��。評估要點與開發(fā)及獲取相關(guān)的職責(zé)安排�,組織架構(gòu)是否合理��;開發(fā)及獲取的標(biāo)準(zhǔn)�����、方法論及實踐�����;電子銀行系統(tǒng)質(zhì)量保證過程�;開發(fā)及獲取變更控制過程;電子銀行系統(tǒng)補丁與發(fā)布管理����;與電子銀行相關(guān)文檔的管理與控制。評估方法 審查開發(fā)與獲取流程����;審閱與電子銀行相關(guān)的資料文檔����。n開 發(fā) 與 獲 取 評 估 13 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)檢查電子銀行日常安全管理制度是否完善���,各項安全制度是否得以落實。評估要點與電子銀行系統(tǒng)安全管理有關(guān)的制度建立及其執(zhí)行情況���,
9�、包括:物理安全�;數(shù)據(jù)通訊安全;應(yīng)用系統(tǒng)安全����;密鑰管理; 客戶信息認(rèn)證與保密��;入侵監(jiān)測機制和報告反應(yīng)機制��。評估方法對電子銀行安全管理框架進(jìn)行檢查�����;電子銀行安全管理制度及執(zhí)行情況檢查����。n信 息 安 全 管 理 評 估 14 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)檢查電子銀行日常運營制度及流程是否完善�,各項運營制度及流程是否得以落實���。評估要點事件管理流程�;問題管理流程��;變更管理/發(fā)布管理流程��;配置管理流程�����;能力管理流程����;用戶支持; 其它日常操作流程�,如:巡檢、備份����、監(jiān)控,定期報告等�。評估方法對電子銀行運營架構(gòu)進(jìn)行檢查;電子銀行運營制度及執(zhí)行情況檢查。n運 營 管 理 評 估 15 實
10�、 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)檢查電子銀行針對所具有風(fēng)險是否建立和實施了完整內(nèi)部控制體系,把風(fēng)險控制到組織可以接受的范圍內(nèi)���。 評估要點內(nèi)控管理層對電子銀行內(nèi)部控制的認(rèn)知能力與水平;控制環(huán)境建設(shè)情況�����;控制機制執(zhí)行情況���;溝通與監(jiān)控機制的建設(shè)與運行情況����;內(nèi)部審計制度的建設(shè)與運行情況���。評估方法 通過訪談����、文檔查閱�、觀察等方法進(jìn)行控制設(shè)計有效性評估;通過符合性檢查/測試評價電子銀行內(nèi)部控制的運作情況�����,是否如描敘一致。n內(nèi) 部 控 制 評 估 16 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)檢查電子銀行業(yè)務(wù)的應(yīng)急響應(yīng)及業(yè)務(wù)連續(xù)性計劃或制度是否完善���。評估要點業(yè)務(wù)影響分析情況
11�����、��;風(fēng)險分析情況�; BCP相關(guān)計劃與制度制定情況�;定期演練情況。評估方法 BCP文檔審查��; 演練記錄核查��。n業(yè) 務(wù) 連 續(xù) 性 及 應(yīng) 急 響 應(yīng) 評 估 17 實 施 方 案 安 全 管 理 評 估 ( 續(xù) )目標(biāo)評估機構(gòu)的信息系統(tǒng)與技術(shù)服務(wù)外包風(fēng)險管理過程的有效性�。評估要點電子銀行外包需求定義流程; TSP盡責(zé)調(diào)查程序�����;服務(wù)合約是否完善有效��;服務(wù)監(jiān)控是否有效。評估方法相關(guān)流程查閱����;服務(wù)合約查閱; 審查與電子銀行外包需求定義�、TSP盡責(zé)調(diào)查、服務(wù)監(jiān)控有關(guān)的記錄文檔��。n外 包 管 理 評 估 18 實 施 方 案 IT基 礎(chǔ) 設(shè) 施 安 全 評 估目標(biāo)分析電子銀行系統(tǒng)主要信息資產(chǎn)面臨的威脅��、存在
12����、的弱點�、并結(jié)合資產(chǎn)價值,綜合評價安全風(fēng)險�。評估要點資產(chǎn)分析;威脅分析�;弱點分析;已有控制分析�;風(fēng)險分析。評估方法訪談����; 自動掃描;手工檢測;滲透測試�����;安全分析���。 19 實 施 方 案 IT基 礎(chǔ) 設(shè) 施 安 全 評 估( 續(xù) )識別信息資產(chǎn):搜集電子銀行系統(tǒng)信息資產(chǎn)信息��,確定信息資產(chǎn)的所有者���、管理者和使用者;確定信息資產(chǎn)價值:通過對信息資產(chǎn)的機密性�、完整性和可用性進(jìn)行賦值獲得信息資產(chǎn)的價值;威脅評估:識別信息資產(chǎn)可能面臨的威脅來源和威脅類型����,從列表中進(jìn)行選擇,并對這兩項內(nèi)容進(jìn)行賦值����;脆弱性評估:對應(yīng)信息資產(chǎn)已經(jīng)識別出來的威脅選擇信息資產(chǎn)本身具有的脆弱性,并對脆弱性進(jìn)行賦值����;獲得信息資產(chǎn)風(fēng)險值:
13�、當(dāng)信息資產(chǎn)的價值����、威脅值和脆弱性值都賦值結(jié)束后,風(fēng)險評估表自動計算出該信息資產(chǎn)的風(fēng)險值�����。n針 對 關(guān) 鍵 信 息 資 產(chǎn) 的 風(fēng) 險 評 估 20 目標(biāo)根據(jù)電子銀行的業(yè)務(wù)特征��,建立相關(guān)業(yè)務(wù)模型���,深入分析評估業(yè)務(wù)流程中存在的風(fēng)險環(huán)節(jié)。評估要點 業(yè)務(wù)流程建設(shè)�����; 業(yè)務(wù)應(yīng)用控制�����;業(yè)務(wù)控制����。 評估方法通過人員訪談���、文檔查閱或現(xiàn)場觀測收集業(yè)務(wù)流程相關(guān)信息;按照評估要點對現(xiàn)有業(yè)務(wù)流程進(jìn)行分析�����;通過綜合分析評價業(yè)務(wù)流程的風(fēng)險�����。實 施 方 案 業(yè) 務(wù) 風(fēng) 險 評 估 21 調(diào)查主要用于評估對象現(xiàn)狀信息收集��。調(diào)查包括問卷��、遠(yuǎn)程訪談與現(xiàn)場訪談��。檢查主要用于信息收集及弱點分析�����。包括文檔檢查��、記錄核查��、配置檢查等���。測試
14��、主要用于弱點分析����,包括手工測試、自動工具測試以及綜合性的滲透測試����。人工分析主要用于資產(chǎn)分析、威脅分析����、安全措施分析及安全評價。 實 施 方 案 評 估 手 段 22 實 施 方 案 評 估 流 程 與 活 動滲透測試手工檢測IT基 礎(chǔ) 設(shè) 施 安 全 評 估安全訪談 自動工具掃描安 全 管 理 評 估文檔審核 符合性檢查 業(yè) 務(wù) 風(fēng) 險 評 估業(yè)務(wù)控制訪談業(yè)務(wù)流程建模管理訪談 改 進(jìn) 建 議 技術(shù)改進(jìn)管理改進(jìn) 綜 合 評 價資產(chǎn)安全評價 業(yè)務(wù)風(fēng)險評價安全管理評價 信 息 收 集訪談 資料收集問卷調(diào)查 了 解 電 子 銀行 系 統(tǒng) 的 基本 信 息風(fēng) 險 管 理 體系 的 健 全 性 �、 符 合
15���、 性 與 有效 性 實 際 的 IT安全 狀 態(tài) 業(yè) 務(wù) 層 面 風(fēng)險 控 制 狀 態(tài)業(yè)務(wù)控制核查 23 調(diào)查問卷 現(xiàn)場訪談表評估表或Checklist自動化測試工具 評價工具 實 施 方 案 評 估 工 具 24 實 施 方 案 項 目 階 段 劃 分按 照 項 目 執(zhí) 行 的 先 后 順 序 以 及 主 要 的 工 作 內(nèi) 容 �, 項 目 實 施 過 程 可劃 分 為 以 下 五 個 階 段 :項 目 準(zhǔn) 備第 一 步 現(xiàn) 狀 調(diào) 研 與 分 析第 二 步 實 施 評 估第 三 步 安 全 建 議 與 方 案第 四 步 項 目 總 結(jié)第 五 步 25 階段目標(biāo)完成項目實施前期工作 主要工作
16��、內(nèi)容確定項目任務(wù)���、目標(biāo)確定評估范圍與內(nèi)容成立項目組制定項目實施計劃收集整理開發(fā)各種評估工具 項目背景知識培訓(xùn)主要階段成果安全評估計劃安全評估調(diào)查問卷安全評估訪談表各種評估表或Checklist 安全評價表 第 一 階 段 : 項 目 準(zhǔn) 備 26 階段目標(biāo)通過調(diào)研�,收集并整理分析評估對象信息,收集內(nèi)容涵蓋電子銀行業(yè)務(wù)類別�,以及各種類別業(yè)務(wù)從規(guī)劃、建設(shè)�����、運營到終止整個生命周期的相關(guān)信息�,重點收集整理分析電子銀行應(yīng)用狀況與業(yè)務(wù)流程信息。(業(yè)務(wù)及IT應(yīng)用現(xiàn)狀)主要工作內(nèi)容填寫調(diào)查問卷文檔收集與查閱現(xiàn)場訪談配置信息/狀態(tài)信息收集分析整理與電子銀行相關(guān)的組織架構(gòu)����、IT基礎(chǔ)設(shè)施及以及業(yè)務(wù)類別業(yè)務(wù)流程 撰寫
17、現(xiàn)狀報告主要階段成果電子銀行現(xiàn)狀報告第 二 階 段 : 現(xiàn) 狀 調(diào) 研 與 分 析 27 階段目標(biāo)從安全管理���、系統(tǒng)安全以及業(yè)務(wù)風(fēng)險三個方面對電子銀行系統(tǒng)進(jìn)行全面評估�。 主要工作內(nèi)容安全管理安全策略評估組織架構(gòu)與人員評估管理制度評估 IT基礎(chǔ)設(shè)施安全評估支撐平臺評估應(yīng)用系統(tǒng)安全評估業(yè)務(wù)風(fēng)險分析業(yè)務(wù)流程要素分析業(yè)務(wù)風(fēng)險評價階段成果電子銀行安全評估報告 (提交銀監(jiān)會)電子銀行安全管理評估報告 電子銀行IT基礎(chǔ)設(shè)施安全評估報告電子銀行業(yè)務(wù)流程風(fēng)險評估報告 各種訪談/檢測報告 第 三 階 段 : 實 施 評 估 28 階段目標(biāo)根據(jù)前面評估的結(jié)果��,確定完善電子銀行安全管理需要進(jìn)行的主要工作�����,對具體實施內(nèi)容進(jìn)行綜合分析�����,提出改進(jìn)建議與實施規(guī)劃。 主要工作內(nèi)容根據(jù)評估發(fā)現(xiàn)的安全問題�,制定相應(yīng)的安全建議措施,并進(jìn)行分類與合并�����,轉(zhuǎn)換為可以實施的任務(wù)和項目����;根據(jù)需要編制安全管理和技術(shù)方案建議書 階段成果安全加固建議書技術(shù)方案建議書安全管理與風(fēng)險管理建議書(包含各種制度文檔模板)第 四 階 段 : 安 全 建 議 與 方 案 操 作 指 南 、 模 板流 程 ����、 標(biāo) 準(zhǔn) 、 規(guī) 范策 略 /制 度 29 階段目標(biāo)完善評估成果���、進(jìn)行項目總結(jié)��。主要工作內(nèi)容完善成果項目總結(jié)項目匯報階段成果匯報材料第 五 階 段 : 項 目 總 結(jié)
《銀行安全評估》PPT課件
