《銀行安全評估》PPT課件

1 項目概述實施方案時間及人員安排提 綱 2 項 目 概 述 背 景電子銀行帶來的發(fā)展機遇與挑戰(zhàn)。服務(wù)觸角向客戶延伸，拓展了業(yè)務(wù)渠道，極大地方便了客戶。新技術(shù)的運用增加了一些傳統(tǒng)風險，同時帶來了另外一些新的風險。戰(zhàn)略風險信用風險流動性、利率、價格/市場風險交易或操作風險符合性/法律風險聲譽風險為管理電子銀行安全風險，一系列行業(yè)規(guī)章制度標準指南出臺。巴塞爾銀行監(jiān)管委員會。中國銀監(jiān)會 。我行初步完成了電子銀行系統(tǒng)開發(fā)與建設(shè)，需要了解系統(tǒng)安全狀態(tài)。安全所處的位置。 與相關(guān)行業(yè)規(guī)章制度標準指南的符合性。 3 掌握電子銀行系統(tǒng)的應(yīng)用及安全狀況；按照銀監(jiān)會相關(guān)要求完成電子銀行系統(tǒng)的安全評估；提出改進建議或方案。項 目 概 述 目 標 4 項 目 概 述 評 估 參 考 依 據(jù)國家標準信息安全風險評估指南信息安全風險管理指南銀監(jiān)會規(guī)章制度指南商業(yè)銀行內(nèi)部控制評價辦法銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引銀行業(yè)金融機構(gòu)內(nèi)部審計指引電子銀行業(yè)務(wù)管理辦法電子銀行安全評估指引其它相關(guān)電子銀行風險管理原則 （巴塞爾銀行監(jiān)管委員會） BS7799/ISO27000系列 5 組織范圍總部 IT部門、業(yè)務(wù)部門？風險管理部門？審計部門？分支機構(gòu)？系統(tǒng)范圍網(wǎng)上銀行信息網(wǎng)站交易網(wǎng)站 ATM？手機銀行?自助銀行電話銀行？工作范圍電子銀行安全評估電子銀行安全及風險控制體系建議項 目 概 述 范 圍 6 項目概述實施方案時間及人員安排提 綱 7 實 施 方 案 評 估 總 體 思 路業(yè)務(wù)層面（業(yè)務(wù)流程建設(shè)、業(yè)務(wù)操作）業(yè)務(wù)流程建設(shè)（流程基本評估）業(yè)務(wù)應(yīng)用控制（與業(yè)務(wù)有關(guān)的IT控制，需要分解流程步驟，針對每一步進行）業(yè)務(wù)控制（需要分解流程步驟，針對每一步進行）系統(tǒng)平臺層面（與電子銀行相關(guān)的系統(tǒng)平臺，即IT基礎(chǔ)設(shè)施）應(yīng)用支撐平臺（如果物理、網(wǎng)絡(luò)、系統(tǒng)平臺、數(shù)據(jù)庫等）應(yīng)用系統(tǒng)與電子銀行相關(guān)的總體層面（IT管理層面，這個層面是為所有IT業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)的，因此會影響到電子銀行系統(tǒng)） IT治理環(huán)境（含組織架構(gòu)）風險管理或控制框架（控制環(huán)境、風險評估、信息溝通、監(jiān)控等）系統(tǒng)規(guī)劃與建設(shè)（生命周期管理，主要是開發(fā)與獲?。┤粘＿\維管理（日常的事件管理、變更/發(fā)布管理、巡檢、及其它操作如：備份、監(jiān)控，定期報告等）業(yè)務(wù)持續(xù)性計劃（BCP）外包管理信息安全管理作 為 機 構(gòu) IT業(yè) 務(wù) 應(yīng) 用 系 統(tǒng) 之 一 ， 電 子 銀 行 系 統(tǒng) 需 要 與 其 它 業(yè) 務(wù) 應(yīng) 用 系 統(tǒng) 一起 納 入 機 構(gòu) 全 面 的 風 險 管 理 體 系 中 。 電 子 銀 行 風 險 評 估 涉 及 三 個 層 面 ： 8 安全管理評估（策略、組織架構(gòu)、制度）安全策略（電子銀行系統(tǒng)整個生命周期的策略建設(shè)）；組織架構(gòu)與人員安排（與電子銀行系統(tǒng)相關(guān)組織建設(shè)與人員安排）；管理制度建設(shè)（與風險管理、開發(fā)與獲取、安全管理、運營管理、內(nèi)部控制、應(yīng)急響應(yīng)、業(yè)務(wù)連續(xù)性、外包等）。 IT基礎(chǔ)設(shè)施安全評估支撐平臺物理環(huán)境（物理環(huán)境、機房環(huán)境、介質(zhì)與設(shè)備安全）；網(wǎng)絡(luò)平臺（網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全）；系統(tǒng)平臺（業(yè)務(wù)主機、操作系統(tǒng)安全、數(shù)據(jù)庫安全等）。應(yīng)用系統(tǒng)安全身份鑒別與訪問控制；交易安全；數(shù)據(jù)安全（傳輸、處理、存儲）；密鑰安全； 輸入輸出合法性/異常處理/日志與審計；系統(tǒng)可用性。業(yè)務(wù)風險評估業(yè)務(wù)流程建設(shè)； 業(yè)務(wù)應(yīng)用控制；業(yè)務(wù)控制。 實 施 方 案 評 估 內(nèi) 容 9 實 施 方 案 安 全 管 理 評 估目標評估當前電子銀行相關(guān)安全方針與策略是否完備，已有的策略是否得到了有效的執(zhí)行。評估要點安全策略制定的流程與合理性；與電子銀行相關(guān)的總體（戰(zhàn)略）規(guī)劃；與電子銀行系統(tǒng)相關(guān)的風險管理策略；與電子銀行系統(tǒng)相關(guān)的開發(fā)與獲取策略；與電子銀行系統(tǒng)安全管理及內(nèi)部控制相關(guān)的策略；與電子銀行系統(tǒng)相關(guān)的運維管理策略； 與電子銀行系統(tǒng)相關(guān)的業(yè)務(wù)持續(xù)性與應(yīng)急安全策略；與電子銀行有關(guān)的外包管理策略；客戶信息安全策略。評估方法安全策略文檔審閱；安全策略部署檢查。n安 全 策 略 評 估 10 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標評估與電子銀行管理相關(guān)的機構(gòu)與人員設(shè)置是否合理。評估要點組織機構(gòu)設(shè)置的合理性與協(xié)調(diào)性（包括系統(tǒng)管理/風險管理/審計部門）；人員配備（體現(xiàn)制約關(guān)系）；人員技能與培訓。評估方法崗位職責審閱；安全意識/技能/培訓訪談；對工作人員資格情況的檢查。n組 織 架 構(gòu) 與 人 員 安 排 評 估 11 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標檢查電子銀行是否建立和實施了一套完整的對運行中涉及的各類風險進行識別、監(jiān)測、衡量和控制的風險管理制度。評估要點電子銀行風險管理部門主要負責人對電子銀行風險的熟知程度；電子銀行風險管理的規(guī)章制度與操作規(guī)定、程序等。包括：風險模型定義；相關(guān)職責劃分/人員安排；與目標設(shè)定、風險識別、風險評估、風險控制以及風險監(jiān)測相關(guān)的流程及操作程序。電子銀行業(yè)務(wù)風險管理狀況。評估方法 對所建立的電子銀行風險管理模型及框架進行檢查；與電子銀行有關(guān)的風險管理制度及執(zhí)行情況檢查；對其他方面的檢查。n風 險 管 理 評 估 12 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標檢查電子銀行系統(tǒng)的開發(fā)與獲取過程是否得到適當?shù)目刂?。評估要點與開發(fā)及獲取相關(guān)的職責安排，組織架構(gòu)是否合理；開發(fā)及獲取的標準、方法論及實踐；電子銀行系統(tǒng)質(zhì)量保證過程；開發(fā)及獲取變更控制過程；電子銀行系統(tǒng)補丁與發(fā)布管理；與電子銀行相關(guān)文檔的管理與控制。評估方法 審查開發(fā)與獲取流程；審閱與電子銀行相關(guān)的資料文檔。n開 發(fā) 與 獲 取 評 估 13 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標檢查電子銀行日常安全管理制度是否完善，各項安全制度是否得以落實。評估要點與電子銀行系統(tǒng)安全管理有關(guān)的制度建立及其執(zhí)行情況，包括：物理安全；數(shù)據(jù)通訊安全；應(yīng)用系統(tǒng)安全；密鑰管理； 客戶信息認證與保密；入侵監(jiān)測機制和報告反應(yīng)機制。評估方法對電子銀行安全管理框架進行檢查；電子銀行安全管理制度及執(zhí)行情況檢查。n信 息 安 全 管 理 評 估 14 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標檢查電子銀行日常運營制度及流程是否完善，各項運營制度及流程是否得以落實。評估要點事件管理流程；問題管理流程；變更管理/發(fā)布管理流程；配置管理流程；能力管理流程；用戶支持； 其它日常操作流程，如：巡檢、備份、監(jiān)控，定期報告等。評估方法對電子銀行運營架構(gòu)進行檢查；電子銀行運營制度及執(zhí)行情況檢查。n運 營 管 理 評 估 15 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標檢查電子銀行針對所具有風險是否建立和實施了完整內(nèi)部控制體系，把風險控制到組織可以接受的范圍內(nèi)。 評估要點內(nèi)控管理層對電子銀行內(nèi)部控制的認知能力與水平；控制環(huán)境建設(shè)情況；控制機制執(zhí)行情況；溝通與監(jiān)控機制的建設(shè)與運行情況；內(nèi)部審計制度的建設(shè)與運行情況。評估方法 通過訪談、文檔查閱、觀察等方法進行控制設(shè)計有效性評估；通過符合性檢查/測試評價電子銀行內(nèi)部控制的運作情況，是否如描敘一致。n內(nèi) 部 控 制 評 估 16 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標檢查電子銀行業(yè)務(wù)的應(yīng)急響應(yīng)及業(yè)務(wù)連續(xù)性計劃或制度是否完善。評估要點業(yè)務(wù)影響分析情況；風險分析情況； BCP相關(guān)計劃與制度制定情況；定期演練情況。評估方法 BCP文檔審查； 演練記錄核查。n業(yè) 務(wù) 連 續(xù) 性 及 應(yīng) 急 響 應(yīng) 評 估 17 實 施 方 案 安 全 管 理 評 估 （ 續(xù) ）目標評估機構(gòu)的信息系統(tǒng)與技術(shù)服務(wù)外包風險管理過程的有效性。評估要點電子銀行外包需求定義流程； TSP盡責調(diào)查程序；服務(wù)合約是否完善有效；服務(wù)監(jiān)控是否有效。評估方法相關(guān)流程查閱；服務(wù)合約查閱； 審查與電子銀行外包需求定義、TSP盡責調(diào)查、服務(wù)監(jiān)控有關(guān)的記錄文檔。n外 包 管 理 評 估 18 實 施 方 案 IT基 礎(chǔ) 設(shè) 施 安 全 評 估目標分析電子銀行系統(tǒng)主要信息資產(chǎn)面臨的威脅、存在的弱點、并結(jié)合資產(chǎn)價值，綜合評價安全風險。評估要點資產(chǎn)分析；威脅分析；弱點分析；已有控制分析；風險分析。評估方法訪談； 自動掃描；手工檢測；滲透測試；安全分析。 19 實 施 方 案 IT基 礎(chǔ) 設(shè) 施 安 全 評 估（ 續(xù) ）識別信息資產(chǎn)：搜集電子銀行系統(tǒng)信息資產(chǎn)信息，確定信息資產(chǎn)的所有者、管理者和使用者；確定信息資產(chǎn)價值：通過對信息資產(chǎn)的機密性、完整性和可用性進行賦值獲得信息資產(chǎn)的價值；威脅評估：識別信息資產(chǎn)可能面臨的威脅來源和威脅類型，從列表中進行選擇，并對這兩項內(nèi)容進行賦值；脆弱性評估：對應(yīng)信息資產(chǎn)已經(jīng)識別出來的威脅選擇信息資產(chǎn)本身具有的脆弱性，并對脆弱性進行賦值；獲得信息資產(chǎn)風險值：當信息資產(chǎn)的價值、威脅值和脆弱性值都賦值結(jié)束后，風險評估表自動計算出該信息資產(chǎn)的風險值。n針 對 關(guān) 鍵 信 息 資 產(chǎn) 的 風 險 評 估 20 目標根據(jù)電子銀行的業(yè)務(wù)特征，建立相關(guān)業(yè)務(wù)模型，深入分析評估業(yè)務(wù)流程中存在的風險環(huán)節(jié)。評估要點 業(yè)務(wù)流程建設(shè)； 業(yè)務(wù)應(yīng)用控制；業(yè)務(wù)控制。 評估方法通過人員訪談、文檔查閱或現(xiàn)場觀測收集業(yè)務(wù)流程相關(guān)信息；按照評估要點對現(xiàn)有業(yè)務(wù)流程進行分析；通過綜合分析評價業(yè)務(wù)流程的風險。實 施 方 案 業(yè) 務(wù) 風 險 評 估 21 調(diào)查主要用于評估對象現(xiàn)狀信息收集。調(diào)查包括問卷、遠程訪談與現(xiàn)場訪談。檢查主要用于信息收集及弱點分析。包括文檔檢查、記錄核查、配置檢查等。測試主要用于弱點分析，包括手工測試、自動工具測試以及綜合性的滲透測試。人工分析主要用于資產(chǎn)分析、威脅分析、安全措施分析及安全評價。 實 施 方 案 評 估 手 段 22 實 施 方 案 評 估 流 程 與 活 動滲透測試手工檢測IT基 礎(chǔ) 設(shè) 施 安 全 評 估安全訪談 自動工具掃描安 全 管 理 評 估文檔審核 符合性檢查 業(yè) 務(wù) 風 險 評 估業(yè)務(wù)控制訪談業(yè)務(wù)流程建模管理訪談 改 進 建 議 技術(shù)改進管理改進 綜 合 評 價資產(chǎn)安全評價 業(yè)務(wù)風險評價安全管理評價 信 息 收 集訪談 資料收集問卷調(diào)查 了 解 電 子 銀行 系 統(tǒng) 的 基本 信 息風 險 管 理 體系 的 健 全 性 、 符 合 性 與 有效 性 實 際 的 IT安全 狀 態(tài) 業(yè) 務(wù) 層 面 風險 控 制 狀 態(tài)業(yè)務(wù)控制核查 23 調(diào)查問卷 現(xiàn)場訪談表評估表或Checklist自動化測試工具 評價工具 實 施 方 案 評 估 工 具 24 實 施 方 案 項 目 階 段 劃 分按 照 項 目 執(zhí) 行 的 先 后 順 序 以 及 主 要 的 工 作 內(nèi) 容 ， 項 目 實 施 過 程 可劃 分 為 以 下 五 個 階 段 ：項 目 準 備第 一 步 現(xiàn) 狀 調(diào) 研 與 分 析第 二 步 實 施 評 估第 三 步 安 全 建 議 與 方 案第 四 步 項 目 總 結(jié)第 五 步 25 階段目標完成項目實施前期工作 主要工作內(nèi)容確定項目任務(wù)、目標確定評估范圍與內(nèi)容成立項目組制定項目實施計劃收集整理開發(fā)各種評估工具 項目背景知識培訓主要階段成果安全評估計劃安全評估調(diào)查問卷安全評估訪談表各種評估表或Checklist 安全評價表 第 一 階 段 ： 項 目 準 備 26 階段目標通過調(diào)研，收集并整理分析評估對象信息，收集內(nèi)容涵蓋電子銀行業(yè)務(wù)類別，以及各種類別業(yè)務(wù)從規(guī)劃、建設(shè)、運營到終止整個生命周期的相關(guān)信息，重點收集整理分析電子銀行應(yīng)用狀況與業(yè)務(wù)流程信息。(業(yè)務(wù)及IT應(yīng)用現(xiàn)狀)主要工作內(nèi)容填寫調(diào)查問卷文檔收集與查閱現(xiàn)場訪談配置信息/狀態(tài)信息收集分析整理與電子銀行相關(guān)的組織架構(gòu)、IT基礎(chǔ)設(shè)施及以及業(yè)務(wù)類別業(yè)務(wù)流程 撰寫現(xiàn)狀報告主要階段成果電子銀行現(xiàn)狀報告第 二 階 段 ： 現(xiàn) 狀 調(diào) 研 與 分 析 27 階段目標從安全管理、系統(tǒng)安全以及業(yè)務(wù)風險三個方面對電子銀行系統(tǒng)進行全面評估。 主要工作內(nèi)容安全管理安全策略評估組織架構(gòu)與人員評估管理制度評估 IT基礎(chǔ)設(shè)施安全評估支撐平臺評估應(yīng)用系統(tǒng)安全評估業(yè)務(wù)風險分析業(yè)務(wù)流程要素分析業(yè)務(wù)風險評價階段成果電子銀行安全評估報告 (提交銀監(jiān)會)電子銀行安全管理評估報告 電子銀行IT基礎(chǔ)設(shè)施安全評估報告電子銀行業(yè)務(wù)流程風險評估報告 各種訪談/檢測報告 第 三 階 段 ： 實 施 評 估 28 階段目標根據(jù)前面評估的結(jié)果，確定完善電子銀行安全管理需要進行的主要工作，對具體實施內(nèi)容進行綜合分析，提出改進建議與實施規(guī)劃。 主要工作內(nèi)容根據(jù)評估發(fā)現(xiàn)的安全問題，制定相應(yīng)的安全建議措施，并進行分類與合并，轉(zhuǎn)換為可以實施的任務(wù)和項目；根據(jù)需要編制安全管理和技術(shù)方案建議書 階段成果安全加固建議書技術(shù)方案建議書安全管理與風險管理建議書（包含各種制度文檔模板）第 四 階 段 ： 安 全 建 議 與 方 案 操 作 指 南 、 模 板流 程 、 標 準 、 規(guī) 范策 略 /制 度 29 階段目標完善評估成果、進行項目總結(jié)。主要工作內(nèi)容完善成果項目總結(jié)項目匯報階段成果匯報材料第 五 階 段 ： 項 目 總 結(jié)