1、1,項目概述 實施方案 時間及人員安排,提綱,2,項目概述背景,電子銀行帶來的發(fā)展機遇與挑戰(zhàn)。 服務(wù)觸角向客戶延伸，拓展了業(yè)務(wù)渠道，極大地方便了客戶。 新技術(shù)的運用增加了一些傳統(tǒng)風(fēng)險，同時帶來了另外一些新的風(fēng)險。 戰(zhàn)略風(fēng)險 信用風(fēng)險 流動性、利率、價格/市場風(fēng)險 交易或操作風(fēng)險 符合性/法律風(fēng)險 聲譽風(fēng)險 為管理電子銀行安全風(fēng)險，一系列行業(yè)規(guī)章制度標(biāo)準(zhǔn)指南出臺。 巴塞爾銀行監(jiān)管委員會。 中國銀監(jiān)會 。 我行初步完成了電子銀行系統(tǒng)開發(fā)與建設(shè)，需要了解系統(tǒng)安全狀態(tài)。 安全所處的位置。 與相關(guān)行業(yè)規(guī)章制度標(biāo)準(zhǔn)指南的符合性。,3,掌握電子銀行系統(tǒng)的應(yīng)用及安全狀況； 按照銀監(jiān)會相關(guān)要求完成電子銀行系統(tǒng)的

2、安全評估； 提出改進(jìn)建議或方案。,項目概述目標(biāo),4,項目概述評估參考依據(jù),國家標(biāo)準(zhǔn) 信息安全風(fēng)險評估指南 信息安全風(fēng)險管理指南 銀監(jiān)會規(guī)章制度指南 商業(yè)銀行內(nèi)部控制評價辦法 銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引 銀行業(yè)金融機構(gòu)內(nèi)部審計指引 電子銀行業(yè)務(wù)管理辦法 電子銀行安全評估指引 其它相關(guān) 電子銀行風(fēng)險管理原則 （巴塞爾銀行監(jiān)管委員會） BS7799/ISO27000系列,5,組織范圍 總部 IT部門、業(yè)務(wù)部門？風(fēng)險管理部門？審計部門？ 分支機構(gòu)？ 系統(tǒng)范圍 網(wǎng)上銀行 信息網(wǎng)站 交易網(wǎng)站 ATM？ 手機銀行? 自助銀行 電話銀行？ 工作范圍 電子銀行安全評估 電子銀行安全及風(fēng)險控制體系建議,項

3、目概述范圍,6,項目概述 實施方案 時間及人員安排,提綱,7,實施方案評估總體思路,業(yè)務(wù)層面（業(yè)務(wù)流程建設(shè)、業(yè)務(wù)操作） 業(yè)務(wù)流程建設(shè)（流程基本評估） 業(yè)務(wù)應(yīng)用控制（與業(yè)務(wù)有關(guān)的IT控制，需要分解流程步驟，針對每一步進(jìn)行） 業(yè)務(wù)控制（需要分解流程步驟，針對每一步進(jìn)行） 系統(tǒng)平臺層面（與電子銀行相關(guān)的系統(tǒng)平臺，即IT基礎(chǔ)設(shè)施） 應(yīng)用支撐平臺（如果物理、網(wǎng)絡(luò)、系統(tǒng)平臺、數(shù)據(jù)庫等） 應(yīng)用系統(tǒng) 與電子銀行相關(guān)的總體層面（IT管理層面，這個層面是為所有IT業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)的，因此會影響到電子銀行系統(tǒng)） IT治理環(huán)境（含組織架構(gòu)） 風(fēng)險管理或控制框架（控制環(huán)境、風(fēng)險評估、信息溝通、監(jiān)控等） 系統(tǒng)規(guī)劃與建設(shè)（

4、生命周期管理，主要是開發(fā)與獲?。?日常運維管理（日常的事件管理、變更/發(fā)布管理、巡檢、及其它操作如：備份、監(jiān)控，定期報告等） 業(yè)務(wù)持續(xù)性計劃（BCP） 外包管理 信息安全管理,作為機構(gòu)IT業(yè)務(wù)應(yīng)用系統(tǒng)之一，電子銀行系統(tǒng)需要與其它業(yè)務(wù)應(yīng)用系統(tǒng)一起納入機構(gòu)全面的風(fēng)險管理體系中。電子銀行風(fēng)險評估涉及三個層面：,8,安全管理評估（策略、組織架構(gòu)、制度） 安全策略（電子銀行系統(tǒng)整個生命周期的策略建設(shè)）； 組織架構(gòu)與人員安排（與電子銀行系統(tǒng)相關(guān)組織建設(shè)與人員安排）； 管理制度建設(shè)（與風(fēng)險管理、開發(fā)與獲取、安全管理、運營管理、內(nèi)部控制、應(yīng)急響應(yīng)、業(yè)務(wù)連續(xù)性、外包等）。 IT基礎(chǔ)設(shè)施安全評估 支撐平臺 物理環(huán)

5、境（物理環(huán)境、機房環(huán)境、介質(zhì)與設(shè)備安全）； 網(wǎng)絡(luò)平臺（網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全）； 系統(tǒng)平臺（業(yè)務(wù)主機、操作系統(tǒng)安全、數(shù)據(jù)庫安全等）。 應(yīng)用系統(tǒng)安全 身份鑒別與訪問控制； 交易安全； 數(shù)據(jù)安全（傳輸、處理、存儲）； 密鑰安全； 輸入輸出合法性/異常處理/日志與審計； 系統(tǒng)可用性。 業(yè)務(wù)風(fēng)險評估 業(yè)務(wù)流程建設(shè)； 業(yè)務(wù)應(yīng)用控制； 業(yè)務(wù)控制。,實施方案評估內(nèi)容,9,實施方案安全管理評估,目標(biāo) 評估當(dāng)前電子銀行相關(guān)安全方針與策略是否完備，已有的策略是否得到了有效的執(zhí)行。 評估要點 安全策略制定的流程與合理性； 與電子銀行相關(guān)的總體（戰(zhàn)略）規(guī)劃； 與電子銀行系統(tǒng)相關(guān)的風(fēng)險管理策略； 與電子銀行系統(tǒng)相

6、關(guān)的開發(fā)與獲取策略； 與電子銀行系統(tǒng)安全管理及內(nèi)部控制相關(guān)的策略； 與電子銀行系統(tǒng)相關(guān)的運維管理策略； 與電子銀行系統(tǒng)相關(guān)的業(yè)務(wù)持續(xù)性與應(yīng)急安全策略； 與電子銀行有關(guān)的外包管理策略； 客戶信息安全策略。 評估方法 安全策略文檔審閱； 安全策略部署檢查。,安全策略評估,10,實施方案安全管理評估（續(xù)）,目標(biāo) 評估與電子銀行管理相關(guān)的機構(gòu)與人員設(shè)置是否合理。 評估要點 組織機構(gòu)設(shè)置的合理性與協(xié)調(diào)性（包括系統(tǒng)管理/風(fēng)險管理/審計部門）； 人員配備（體現(xiàn)制約關(guān)系）； 人員技能與培訓(xùn)。 評估方法 崗位職責(zé)審閱； 安全意識/技能/培訓(xùn)訪談； 對工作人員資格情況的檢查。,組織架構(gòu)與人員安排評估,11,實施方

7、案安全管理評估（續(xù)）,目標(biāo) 檢查電子銀行是否建立和實施了一套完整的對運行中涉及的各類風(fēng)險進(jìn)行識別、監(jiān)測、衡量和控制的風(fēng)險管理制度。 評估要點 電子銀行風(fēng)險管理部門主要負(fù)責(zé)人對電子銀行風(fēng)險的熟知程度； 電子銀行風(fēng)險管理的規(guī)章制度與操作規(guī)定、程序等。包括： 風(fēng)險模型定義； 相關(guān)職責(zé)劃分/人員安排； 與目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險評估、風(fēng)險控制以及風(fēng)險監(jiān)測相關(guān)的流程及操作程序。 電子銀行業(yè)務(wù)風(fēng)險管理狀況。 評估方法 對所建立的電子銀行風(fēng)險管理模型及框架進(jìn)行檢查； 與電子銀行有關(guān)的風(fēng)險管理制度及執(zhí)行情況檢查； 對其他方面的檢查。,風(fēng)險管理評估,12,實施方案安全管理評估（續(xù)）,目標(biāo) 檢查電子銀行系統(tǒng)的開發(fā)

8、與獲取過程是否得到適當(dāng)?shù)目刂啤?評估要點 與開發(fā)及獲取相關(guān)的職責(zé)安排，組織架構(gòu)是否合理； 開發(fā)及獲取的標(biāo)準(zhǔn)、方法論及實踐； 電子銀行系統(tǒng)質(zhì)量保證過程； 開發(fā)及獲取變更控制過程； 電子銀行系統(tǒng)補丁與發(fā)布管理； 與電子銀行相關(guān)文檔的管理與控制。 評估方法 審查開發(fā)與獲取流程； 審閱與電子銀行相關(guān)的資料文檔。,開發(fā)與獲取評估,13,實施方案安全管理評估（續(xù)）,目標(biāo) 檢查電子銀行日常安全管理制度是否完善，各項安全制度是否得以落實。 評估要點 與電子銀行系統(tǒng)安全管理有關(guān)的制度建立及其執(zhí)行情況，包括： 物理安全； 數(shù)據(jù)通訊安全； 應(yīng)用系統(tǒng)安全； 密鑰管理； 客戶信息認(rèn)證與保密； 入侵監(jiān)測機制和報告反應(yīng)機制

9、。 評估方法 對電子銀行安全管理框架進(jìn)行檢查； 電子銀行安全管理制度及執(zhí)行情況檢查。,信息安全管理評估,14,實施方案安全管理評估（續(xù)）,目標(biāo) 檢查電子銀行日常運營制度及流程是否完善，各項運營制度及流程是否得以落實。 評估要點 事件管理流程； 問題管理流程； 變更管理/發(fā)布管理流程； 配置管理流程； 能力管理流程； 用戶支持； 其它日常操作流程，如：巡檢、備份、監(jiān)控，定期報告等。 評估方法 對電子銀行運營架構(gòu)進(jìn)行檢查； 電子銀行運營制度及執(zhí)行情況檢查。,運營管理評估,15,實施方案安全管理評估（續(xù)）,目標(biāo) 檢查電子銀行針對所具有風(fēng)險是否建立和實施了完整內(nèi)部控制體系，把風(fēng)險控制到組織可以接受的范

10、圍內(nèi)。 評估要點 內(nèi)控管理層對電子銀行內(nèi)部控制的認(rèn)知能力與水平； 控制環(huán)境建設(shè)情況； 控制機制執(zhí)行情況； 溝通與監(jiān)控機制的建設(shè)與運行情況； 內(nèi)部審計制度的建設(shè)與運行情況。 評估方法 通過訪談、文檔查閱、觀察等方法進(jìn)行控制設(shè)計有效性評估； 通過符合性檢查/測試評價電子銀行內(nèi)部控制的運作情況，是否如描敘一致。,內(nèi)部控制評估,16,實施方案安全管理評估（續(xù)）,目標(biāo) 檢查電子銀行業(yè)務(wù)的應(yīng)急響應(yīng)及業(yè)務(wù)連續(xù)性計劃或制度是否完善。 評估要點 業(yè)務(wù)影響分析情況； 風(fēng)險分析情況； BCP相關(guān)計劃與制度制定情況； 定期演練情況。 評估方法 BCP文檔審查； 演練記錄核查。,業(yè)務(wù)連續(xù)性及應(yīng)急響應(yīng)評估,17,實施方案

11、安全管理評估（續(xù)）,目標(biāo) 評估機構(gòu)的信息系統(tǒng)與技術(shù)服務(wù)外包風(fēng)險管理過程的有效性。 評估要點 電子銀行外包需求定義流程； TSP盡責(zé)調(diào)查程序； 服務(wù)合約是否完善有效； 服務(wù)監(jiān)控是否有效。 評估方法 相關(guān)流程查閱； 服務(wù)合約查閱； 審查與電子銀行外包需求定義、TSP盡責(zé)調(diào)查、服務(wù)監(jiān)控有關(guān)的記錄文檔。,外包管理評估,18,實施方案IT基礎(chǔ)設(shè)施安全評估,目標(biāo) 分析電子銀行系統(tǒng)主要信息資產(chǎn)面臨的威脅、存在的弱點、并結(jié)合資產(chǎn)價值，綜合評價安全風(fēng)險。 評估要點 資產(chǎn)分析； 威脅分析； 弱點分析； 已有控制分析； 風(fēng)險分析。 評估方法 訪談； 自動掃描； 手工檢測； 滲透測試； 安全分析。,19,實施方案IT

12、基礎(chǔ)設(shè)施安全評估（續(xù)）,識別信息資產(chǎn)：搜集電子銀行系統(tǒng)信息資產(chǎn)信息，確定信息資產(chǎn)的所有者、管理者和使用者； 確定信息資產(chǎn)價值：通過對信息資產(chǎn)的機密性、完整性和可用性進(jìn)行賦值獲得信息資產(chǎn)的價值； 威脅評估：識別信息資產(chǎn)可能面臨的威脅來源和威脅類型，從列表中進(jìn)行選擇，并對這兩項內(nèi)容進(jìn)行賦值； 脆弱性評估：對應(yīng)信息資產(chǎn)已經(jīng)識別出來的威脅選擇信息資產(chǎn)本身具有的脆弱性，并對脆弱性進(jìn)行賦值； 獲得信息資產(chǎn)風(fēng)險值：當(dāng)信息資產(chǎn)的價值、威脅值和脆弱性值都賦值結(jié)束后，風(fēng)險評估表自動計算出該信息資產(chǎn)的風(fēng)險值。,針對關(guān)鍵信息資產(chǎn)的風(fēng)險評估,20,目標(biāo) 根據(jù)電子銀行的業(yè)務(wù)特征，建立相關(guān)業(yè)務(wù)模型，深入分析評估業(yè)務(wù)流程中存

13、在的風(fēng)險環(huán)節(jié)。 評估要點 業(yè)務(wù)流程建設(shè)； 業(yè)務(wù)應(yīng)用控制； 業(yè)務(wù)控制。 評估方法 通過人員訪談、文檔查閱或現(xiàn)場觀測收集業(yè)務(wù)流程相關(guān)信息； 按照評估要點對現(xiàn)有業(yè)務(wù)流程進(jìn)行分析； 通過綜合分析評價業(yè)務(wù)流程的風(fēng)險。,實施方案業(yè)務(wù)風(fēng)險評估,21,調(diào)查 主要用于評估對象現(xiàn)狀信息收集。調(diào)查包括問卷、遠(yuǎn)程訪談與現(xiàn)場訪談。 檢查 主要用于信息收集及弱點分析。包括文檔檢查、記錄核查、配置檢查等。 測試 主要用于弱點分析，包括手工測試、自動工具測試以及綜合性的滲透測試。 人工分析 主要用于資產(chǎn)分析、威脅分析、安全措施分析及安全評價。,實施方案評估手段,22,實施方案評估流程與活動,滲透測試,手工檢測,IT基礎(chǔ)設(shè)施安

14、全評估,安全訪談,自動工具掃描,安全管理評估,文檔審核,符合性檢查,業(yè)務(wù)風(fēng)險評估,業(yè)務(wù)控制訪談,業(yè)務(wù)流程建模,管理訪談,改進(jìn)建議,技術(shù)改進(jìn),管理改進(jìn),綜合評價,資產(chǎn)安全評價,業(yè)務(wù)風(fēng)險評價,安全管理評價,信息收集,訪談,資料收集,問卷調(diào)查,了解電子銀行系統(tǒng)的基本信息,風(fēng)險管理體系的健全性、符合性與有效性,實際的IT安全狀態(tài),業(yè)務(wù)層面風(fēng)險控制狀態(tài),業(yè)務(wù)控制核查,23,調(diào)查問卷 現(xiàn)場訪談表 評估表或Checklist 自動化測試工具 評價工具,實施方案評估工具,24,實施方案項目階段劃分,按照項目執(zhí)行的先后順序以及主要的工作內(nèi)容，項目實施過程可劃分為以下五個階段：,25,階段目標(biāo) 完成項目實施前期工

15、作 主要工作內(nèi)容 確定項目任務(wù)、目標(biāo) 確定評估范圍與內(nèi)容 成立項目組 制定項目實施計劃 收集整理開發(fā)各種評估工具 項目背景知識培訓(xùn) 主要階段成果 安全評估計劃 安全評估調(diào)查問卷 安全評估訪談表 各種評估表或Checklist 安全評價表,第一階段：項目準(zhǔn)備,26,階段目標(biāo) 通過調(diào)研，收集并整理分析評估對象信息，收集內(nèi)容涵蓋電子銀行業(yè)務(wù)類別，以及各種類別業(yè)務(wù)從規(guī)劃、建設(shè)、運營到終止整個生命周期的相關(guān)信息，重點收集整理分析電子銀行應(yīng)用狀況與業(yè)務(wù)流程信息。(業(yè)務(wù)及IT應(yīng)用現(xiàn)狀) 主要工作內(nèi)容 填寫調(diào)查問卷 文檔收集與查閱 現(xiàn)場訪談 配置信息/狀態(tài)信息收集 分析整理與電子銀行相關(guān)的組織架構(gòu)、IT基礎(chǔ)設(shè)

16、施及以及業(yè)務(wù)類別業(yè)務(wù)流程 撰寫現(xiàn)狀報告 主要階段成果 電子銀行現(xiàn)狀報告,第二階段：現(xiàn)狀調(diào)研與分析,27,階段目標(biāo) 從安全管理、系統(tǒng)安全以及業(yè)務(wù)風(fēng)險三個方面對電子銀行系統(tǒng)進(jìn)行全面評估。 主要工作內(nèi)容 安全管理 安全策略評估 組織架構(gòu)與人員評估 管理制度評估 IT基礎(chǔ)設(shè)施安全評估 支撐平臺評估 應(yīng)用系統(tǒng)安全評估 業(yè)務(wù)風(fēng)險分析 業(yè)務(wù)流程要素分析 業(yè)務(wù)風(fēng)險評價 階段成果 電子銀行安全評估報告 (提交銀監(jiān)會) 電子銀行安全管理評估報告 電子銀行IT基礎(chǔ)設(shè)施安全評估報告 電子銀行業(yè)務(wù)流程風(fēng)險評估報告 各種訪談/檢測報告,第三階段：實施評估,28,階段目標(biāo) 根據(jù)前面評估的結(jié)果，確定完善電子銀行安全管理需要進(jìn)行的主