一、信息科技治理 序号 1 风险类别 风险点 控制目标 风险分析 参考依据 ISO27001:2005 管理层职责: 建立信息安全方针,确保信息安全目标和计划的建立,进行信息安全管理体系的评审; ISO27001:2005信息安全方针文档: 信息安全方针文档应经过管理层的批准,并向所有员工和外部相关方公布和沟通; ISO27001:2005信息安全方针评审: 应按策划的时间间隔或当发生重大变化时,对信息安全方针文档进行评审,以确保其持续的适宜性、充分性和有效性。 Corbit信息技术审计指南-决定技术方向: IT管理层理解并使用技术基础设施计划; 技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中; IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中; IT管理层要理解系统评估技术计划意外的过程。 对信息科技战略的审查 董事会或高级管理层职责 2 对本行信息科技风险管理现状的掌握情况 批准并审查信息科技战略;保证信息科技战略与银行总体业务战略和重大策略相一致;定期评估信息科技及其风险管理工作的总体效力和效率。 信息风险管理缺乏长期规划,无法指导信息安全工作开展。 定期听取信息科技风险管理部门报告;组织进行独立有效的信息科技风险审计;对审计报告和监管意见的整改情况进行监督。 无法掌握现有风险,对存在的信息安全风险针对性的改进无法得到有力的推进。 序号 3 风险类别 风险点 对信息科技建设的支持 控制目标 建立合理的人才激励体制;确保为信息科技风险管理工作拨付所需资金;建立规范的职业道德行为和廉政标准。 风险分析 对信息安全风险的改进缺乏有效资源 参考依据 Corbit信息技术审计指南-管理信息技术投资: 高级管理层应执行预算编制过程,按照机构的长期和短期计划以及IT的长期和短期计划,保证年度IT运作预算的建立和批准。应调查资金的选择。 等级保护-安全管理机构-岗位设置 c) 应成立指导和管理信息安全工作的委员会或领导小组。 4 组织信息科技管理委员会的建立 由来自高级管理层、信息科技部分和主要业务部分的代表组成;定期向董事会和高级管理信息安全工作缺层汇报信息科技战略规划的效乏统一组织进行力、信息科技预算和实际支出、协调。 信息科技的整体性能;对信息科技建设及管理情况进行有效的协调。 直接参与本银行与信息科技运用有关的业务发展决策;建立切实有效的信息科技部分;确保信息科技风险管理的有效性。 岗位设置完整合理;人员具有相应的技能和专业知识,制定有合理的培训计划;重要岗位制定详细完整的工作说明。 可直接向CIO或CRO汇报;实施持续的信息科技风险评估;协调有关信息科技风险管理策略的制定。 信息安全工作缺乏统一有效的领导和责任人。 5 组织架构 首席信息官的设置 等级保护-安全管理机构-岗位设置 c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。 6 信息科技部门的职责 7 信息科技风险管理部分的职责 缺乏具有专业知识和技能的专职人员;信息安全工作无法有效的协调。 等级保护-安全管理机构-岗位设置 a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; b) 应配备专职安全管理员,不可兼任; d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 序号 8 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-安全管理机构-审核和检查 a) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; b) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报; d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。 ISO27001:2005 总要求 组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。 信息科技内部审计岗位 在内审部门内部设立;配备足够的专业人员;制定完整的信息科技审计策略和流程;制定信息科技内审计划并落实。 信息安全工作缺乏有效的监督和评价,信息安全风险管理无法有效的落实和改进。 9 制度建设流程 完善的规章制度和管理办法的制定、审批和修订流程。 10 制度建设 涵盖运行、安全、开发等各重要部分;对关键部分应有详细的管理规定和操作细则。 信息安全管理制度混乱,无法形成完整体系,缺乏可操作性且得不到有效改进。 关键工作缺乏规范性,工作流程混乱,直接导致信息安全事件。 制度体系 ISO27001:2005-控制目标: 1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、符合性。 参考依据 二、信息科技风险管理 序号 风险类别 风险点 控制目标 风险分析 序号 11 风险类别 风险点 控制目标 策略内容应包括:1、信息分级与保护;2、应用系统开发、测试和维护;3、信息科技运行和维护;4、访问控制;5、物理安全;6、人员安全;7、业务连续性与应急处置 风险分析 参考依据 信息科技风险管理策略 等级保护-控制项: 1、物理安全;2、网络安全;3、主机安全;4、应用安全;安全策略考虑不5、数据安全;6、安全管理制度;7、安全管理机构;8、完善,没有完整包人员安全管理;9、系统运维管理;10、系统建设管理。 含信息安全各方ISO27001:2005-控制目标: 面,制定的安全策1、信息安全方针;2、信息安全组织;3、资产管理;4、略内容存在疏漏。 人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、符合性。 计算机等级保护制度; ISO27001:2005信息安全管理体系要求。 12 信息科技风险管理 13 风险识别和评估流程 准确定位存在隐患的区域;评价风险对其业务的潜在影响;对风险进行分类排序;确定风险防范活动及必备资源的优先级。 1、明确的信息科技风险管理策略、技术标准和操作规程等,并定期公示;2、识别潜在风险区域,对这些区域进行详细的独立监控,并建立适当的控制结构。 范围涵盖所有的重要部分,包含项目实施、系统性能、事故与投诉、问题整改、外包服务水平、运行操作、外包项目等。 风险防范措施 无法了解现有系统存在的风险,无法有效的指导信息安全的改进,提高信息系统安全性。 14 风险计量和监测机制 三、信息安全 序号 15 风险类别 风险点 控制目标 风险分析 参考依据 ISO27001 访问控制-控制策略: 应建立文件化的访问控制策略,并根据对访问的业务和安全要求进行评审; ISO27001 访问控制-用户注册: 应建立正式的用户注册和解除注册程序,以允许和撤销对于所有信息系统和服务的访问; ISO27001 访问控制-特权管理: 应限制和控制特权的使用和分配。 ISO27001 访问控制-用户访问权限的评审: 管理者应按照策划的时间间隔通过正式的流程对用户的访问权限进行评审。 等级保护-应用安全-身份鉴别: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别 b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别 c) 应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用 d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数 授权机制 完整的审批流程;以“必需知道”和“最小授权”为原则;权限收回流程。 用户获得不当权限,有意或者无意的造成系统破坏或信息泄露。 16 用户审查 用户认证和访问控制 定期对系统所有用户进行审查;每个系统的所有用户使用唯一ID;用户变化时应及时检查和更新。 用户获得不当权限,有意或者无意的造成系统破坏或信息泄露。 17 认证机制 与信息访问级别相匹配的用户认证机制;高风险交易和活动使用增强的认证方法。 用户获得不当权限,有意或者无意的造成系统破坏或信息泄露。 序号 18 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-安全管理机构-岗位设置 a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责 b) 应设立系统管理员、网络管理员、安全管理员岗位,并定义各个工作岗位的职责 c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权 d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求 ISO27001:2005-控制目标: 1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、符合性。 信息安全管理 完善的信息安全管理流程、组织架构和职责分配。 管理混乱信息安全策略无法正确及时的实施;信息安全责任无法明确。 19 信息安全管理 信息安全策略 信息安全策略包含完整的内容:1、组织信息安全;2、资产管理;3、人员安全;4、物理和环境安全;5、通信和操作安全;6、访问控制;7、身份认证;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、合规性。 安全策略考虑不完善,没有完整包含信息安全各方面,制定的安全策略内容存在疏漏。 20 提供必要的培训,使所有员工都了解信息安全的重要性,并让员工充分了解其职责范围内的信息保护流程。 安全培训 等级保护-人员安全管理-安全意识教育和培训: a) 应对各类人员进行安全意识教育、岗位技能培训和相关普通员工缺乏信安全技术培训; 息安全意识,造成b) 应对安全责任和惩戒措施进行书面规定并告知相关人有意或无意的信员,对违反违背安全策略和规定的人员进行惩戒; 息泄露或者破坏。 c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规序号 风险类别 风险点 控制目标 风险分析 参考依据 程等进行培训; d) 应对安全教育和培训的情况和结果进行记录并归档保存。 21 远离自然灾害地区、危险或有害设施、或繁忙/主要公路;采取有效的物理或环境控制措施,监控对信息处理设备运行构成威胁的环境 数据中心的地理位置 ISO27001:2005-物理与环境安全: 应设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他物理设施受到台形式的自然或人为灾难的物理保护措施。 风、地震、火灾、等级保护-物理安全-物理位置的选择: 震动、灰尘等威a) 机房和办公场地应选择在具有防震、防风和防雨等能力胁。 的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 等级保护-物理安全-物理访问控制: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理非法访问者对物隔离装置,在重要区域前设置交付或安装等过渡区域; 理设施进行有意d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入或者无意的破坏。 的人员。 等级保护-物理安全-防盗窃和防破坏: a) 应将主要设备放置在机房内 b) 应对设备或主要部件进行固定,并设置明显的不易除去的标记 c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 22 物理安全 出口数量应严格控制;出入通道的锁具安全可靠;配备有录像监控和报警系统;关键位置配备警卫人员;敏感设施及场所的标识隐匿 数据中心的安全保卫 序号 风险类别 风险点 控制目标 风险分析 参考依据 d)应对介质分类标识,存储在介质库或档案室中 e) 应利用光、电等技术设置机房防盗报警系统 f) 应对机房设置监控报警系统 23 数据中心的运行环境 使用全面的环境控制措施保障系统安全运行,如:不间断电源保护、温湿度控制、防水防火设施等。 物理设施受到潮湿、断电、火灾等威胁。 等级保护-物理安全-防雷击: a) 机房建筑应设置避雷装置 b) 应设置防雷保安器,防止感应雷 c) 机房应设置交流电源地线 等级保护-物理安全-防火: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 等级保护-物理安全-防水和防潮: a) 水管安装,不得穿过屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警; 等级保护-物理安全-防静电: a) 主要设备应采用必要的接地等防静电措施; b) 机房应采用防静电地板; 等级保护-物理安全-温湿度控制: 序号 风险类别 风险点 控制目标 风险分析 参考依据 a) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 a) 应在机房供电线路上配置稳压器和过电压防护设备 b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 c) 应设置冗余或并行的电力电缆线路为计算机系统供电 d) 应建立备用供电系统 等级保护-物理安全-电磁防护: a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; b) 电源线和通信线缆应隔离,避免互相干扰 c) 应对关键设备和磁介质实施电磁屏蔽 24 门禁管理制度 第三方人员进入安全区域应得到适当的批准,并受到密切监控;对外聘人员和承包商有严格的审查程序,包括身份验证和背景调查,并签署安全、保密协议。 等级保护-物理安全-物理访问控制: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制非法访问者对物和监控其活动范围。 理设施进行有意ISO27001:2005 信息安全组织-外部组织: 或者无意的破坏。 应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制;与第三方签订的协议中应覆盖所有相关的安全要求。这些协议可能涉及对组织的喜讯你或信息处理设施的访问、处理、沟通或管理,或增加信息处理设施的产品和服务。 重要系统得不到等级保护-网络安全-结构安全: 应有的安全保护,e) 应根据各部门的工作职能、重要性和所涉及信息的重要25 网络安全 逻辑分区 按照不同的安全级别,将网络划分为不同的逻辑安全域。 序号 风险类别 风险点 控制目标 风险分析 非法用户对系统进行非法访问,造成系统破坏或数据中断。 参考依据 程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。 26 网络边界防护 不同的网络域之间应采取有效的分隔和访问控制措施,如部署防火墙和入侵检测设备;对网络的特殊敏感域,应采用物理隔离方式。 等级保护-网络安全-结构安全: f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。 等级保护-网络安全-访问控制: a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; 扁平化的网络使c) 应对进出网络的信息内容进行过滤,实现对应用层网络管理更加困HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 难,非法访问者更d) 应在会话处于非活跃一定时间或会话结束后终止网络加容易针对重要连接; 设备并进行攻击。 e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗 g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。 等级保护-网络安全-边界完整性检查: a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行序号 风险类别 风险点 控制目标 风险分析 参考依据 检测,准确定出位置,并对其进行有效阻断。 等级保护-网络安全-入侵防范: a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警 27 传输加密 28 敏感数据在网络传输过程中应加密。 数据被非法窃听,等级保护-数据安全-数据保密性 导致重要数据泄a) 应采用加密或其他有效措施实现系统管理数据、鉴别信露。 息和重要业务数据传输保密性。 等级保护-系统运维管理-监控管理: a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善无法及时发现网保存; 络异常,导致网络b) 应组织相关人员定期对监测和报警记录进行分析、评故障或系统宕机。 审,发现可疑行为,形成分析报告,并采取必要的应对措施; a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。 网络配置不当导致出现安全弱点;错误的配置操作导致网络安全弱点或网络故障出现。 等级保护-系统运维管理-网络安全管理: a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作; b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定; 网络监控 依据事先定义的性能目标对网络进行持续地监测,以确认任何潜在的瓶颈制约或超负荷运行等任何异常的活动;高强度网络分析工具的使用应有适当的授权或审批流程。 29 定期审查网络配置;配置更改或设备调整应作为网络变更流程进行操作。 网络配置更改 序号 风险类别 风险点 控制目标 风险分析 参考依据 c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份; d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份; f) 应保证所有与外部系统的连接均得到授权和批准; g) 应依据安全策略允许或拒绝便携式和移动式设备的网络接入; h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。 30 安全标准 操作系统安全 制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。 操作系统配置不当导致出现安全弱点。 等级保护-系统运维管理-系统安全管理: a) 应根据业务需求和系统安全分析确定系统的访问控制策略; b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装; d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。 等级保护-系统运维管理-系统安全管理: e) 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。 31 访问权限 明确定义不同用户组的访问权限,包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员获得不当权限,系统关键配置被非法修改。 序号 32 风险类别 风险点 控制目标 管理员等。 风险分析 参考依据 等级保护-安全管理机构-授权和审批: a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等 b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度 c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息 d) 应记录审批过程并保存审批文档 等级保护-主机安全-安全审计: a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; e) 应保护审计进程,避免受到未预期的中断; f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 等级保护-系统运维管理-系统安全管理: c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装; 最高权限账户管理 制定针对使用最高权限系统帐户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。 高权限帐号的错误或非法操作造成严重的故障或损失;无法对故障或损失的原因进行追溯。 33 安全补丁 定期监察可用的安全补丁,经评估和测试后进行安装。 对已发现系统漏洞无法及时修补,导致黑客入侵,木马、病毒植入;不当的安全补丁安装影响系统稳定性或者系统宕机。 对操作系统的非法或错误操作无34 重要事项审核 操作人员应对操作系统运行的重要事项进行检查和说明,如等级保护-主机安全-安全审计: a) 审计范围应覆盖到服务器和重要客户端上的每个操作序号 风险类别 风险点 控制目标 系统日志中记录的未成功登录,重要系统文件的访问,对用户帐号进行修改等信息,以及系统出现的任何异常事件。 风险分析 法记录,对信息安全事件或系统故障无法进行追溯和分析。 参考依据 系统用户和数据库用户 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 d) 应能够根据记录数据进行分析,并生成审计报表 e) 应保护审计进程,避免受到未预期的中断 f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等 35 岗位职责 明确定义终端用户和信息科技技术人员在应用安全中的岗位和职责;对关键或敏感职能进行双重控制。 ISO27001:2005 人力资源安全-角色和职责: 知识、技能不够造应根据组织的信息安全方针,规定员工、合同方和第三方成误操作;重要岗用户的安全角色和职责并形成文件。 位缺乏监管造成ISO27001:2005访问控制-特权管理: 有意的非法操作。 应限制和控制特权的使用和分配 等级保护-应用安全-身份鉴别: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; c) 应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份36 应用系统安全 身份验证 针对应用系统的重要程序和敏感程度,采取有效的身份验证方法。 非法用户获得访问权限。 序号 风险类别 风险点 控制目标 风险分析 参考依据 鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 37 在关键的接合点进行输入验证或输出核对;采取安全的方式处理保密信息的输入和输出,防止信息被盗、篡改、故意或无意泄露。 关键数据被盗、篡改、故意或无意泄露。 信息输入和输出 ISO27001:2005电子商务服务-电子商务: 应保护电子商务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改; ISO27001:2005电子商务服务-在线交易: 应保护在线交易中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。 等级保护-应用安全-安全审计: a) 应覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; c) 审计记录的内容至少应包括日期、时间、发起者信息、类型、描述和结果等; d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 等级保护-系统运维-监控管理: a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存; b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施; 38 系统能以书面或电子格式保存审计痕迹;能够以预先定义的方式处理例外情况,并向用户提供有意义的信息;管理人员对系统重要事项进行管理和审核。 对应用系统的非法或错误操作无法记录,对信息安全事件或系统故障无法进行追溯和分析。 运行情况审核 39 日志安全 策略和流程 制定了相关策略和流程,控制所有生产系统的活动日志,以支持有效的审核、安全论证分析和预防欺诈;设置了日志监控和管理岗位;制定了日志资料的安全保护和调阅管理制度。 无法及时发现信息安全事件,无法对信息安全事件进行分析和预防;日志被篡改或者无意丢失,无法对历史事件进行追序号 风险类别 风险点 控制目标 风险分析 溯。 参考依据 c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 等级保护-主机安全-安全审计; 等级保护-应用安全-安全审计; 等级保护-网络安全-安全审计; 等级保护-系统运维管理-网络安全管理; a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作 b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定 等级保护-系统运维管理-系统安全管理: d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定; g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。 40 交易日志 交易日志由应用软件和数据库管理系统产生,包括身份尝试、数据修改、错误信息等;交易日志按照国家会计政策要求予以保存。 对系统问题,非法操作无法进行记录,对出现问题的原因无法进行追溯。 不完整的日志无法对现有的系统运行情况进行监控,无法对出现的各类事件的原因进行追溯;历史记录不进行合理的保留导致在出现问题后对以前的操作或者问题进行查找分析。 不完善的日志记录无法对审计提供足够的参考;缺乏日志审核对隐藏的操作问题无法及时发现。 41 系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,包括身份认证尝试、系统事件、网络事件、错误信息等;系统和网络日志保存期限按事先的风险定级确定,但不能少。 系统日志 42 保存和复查 银行应保证在日志中包含足够的项目,以便有效地完成内部控制、系统故障解决和审计,同时应采取适当措施保证所有日志的计时同步,并确保其完整性,有任何的例外情况发生都应当复查系统日志。交易日序号 风险类别 风险点 控制目标 志或数据库日志的复查频率和保留周期应由信息科技部门和有关业务部分共同决定,并报信息科技管理委员会批准。 风险分析 参考依据 43 信息分类 对重要信息无法制定信息分类操作指南和信息提供足够有效的保护工作流程;信息依据敏感保护,造成重要信程度进行分类,并指定所有人。 息被破坏、篡改、泄露。 ISO27001:2005 资产管理-分类指南: 应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类; ISO27001:2005 资产管理-信息标识和处置: 应制定一套与组织所采用的分类方案一致的信息标识和处置的程序,并实施。 等级保护-数据安全-数据完整性: a) 应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施 b) 应能够监测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在监测到完整性错误时采取必要的恢复措施 等级保护-数据安全-数据保密性: a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性 b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性 等级保护-系统运维管理-密码管理: a) 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。 44 信息安全 对不同类别信息采用相应的加密技术或密码设备;建立密码设备管理规范制度;管理使用密码系统设备的员工经过专业培训和严格审核。 没有加密的信息容易被泄露、破坏、篡改。 信息加密 序号 45 风险类别 风险点 密钥管理 控制目标 实施有效的密钥管理流程,尤其是密钥生命周期管理和证书周期管理。 机密信息的加密使用符合国家密码管理局要求的加密技术和加密设备,加密强度和加密效率满足信息机密性和可用性要求。 风险分析 参考依据 等级保护-系统运维管理-密码管理: 密钥泄露,造成严a) 应建立密码使用管理制度,使用符合国家密码管理规定重信息安全事件。 的密码技术和产品。 机密信息泄露,造成严重信息安全事件。 等级保护-数据安全-数据完整性; 等级保护-数据安全-数据保密性; 等级保护-系统运维管理-密码管理: a) 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。 46 机密信息安全 47 制定相关策略和程序,管理客户信息的采集、处理、存贮、传输、传播、备份、恢复、清理和销毁。 客户敏感信息安全 ISO27001:2005电子商务服务-电子商务: 应保护电子商务中通过公共网络传输的信息,以防止欺诈、客户数据被泄露,合同争议、未授权的泄漏和修改; 破坏和篡改,直接ISO27001:2005电子商务服务-在线交易: 造成经济损失。 应保护在线交易中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。 风险分析 参考依据 四、应用系统开发、测试和维护 序号 48 风险类别 风险点 控制目标 应制定策略和流程,治理信息科技项目的立项、优先排序、审批和控制;重大项目必须建立项目管理框架和工作方案,包括:职责的划分、时间进度、财务预算管理、质量检测、风险评估等。 等级保护-安全管理制度-管理制度: 项目管理混乱,项b) 应对安全管理活动中的各类管理内容建立安全管理制目成本无法控制,度; 进度无法掌握,项d) 应形成由安全策略、管理制度、操作规程等构成的全面目质量无法度量,的信息安全管理制度体系。 导致项目失败。 项目管理 制度建设 序号 49 风险类别 风险点 控制目标 定期向信息科技管理委员会提交重大信息科技项目的进度报告;进度报告包括更改时间计划、关键人员或供应商的决策以及主要费用 风险分析 参考依据 等级保护-系统建设管理-工程实施: b) 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程; c) 应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。 等级保护-系统建设管理-自行软件开发: b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 ISO27001-通讯及操作管理-操作程序及职责-开发、测试和运营设施的分离: 应分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险; ISO27001-通讯及操作管理-系统规划与验收-系统验收: 应建立新的信息系统、 系统升级和新版本的验收准则, 并在开发过程中及接收前进行适当的系统测试。 进度报告 项目缺乏统一的计划和安排 50 根据信息科技项目的规模、性质和复杂性采用适当的系统开发方法,控制信息系统的生命周期;典型的系统生命周期包括系统分析、设计、开发或采购、测试、试运行、部署、维护或报废。 系统开发方法 信息科技项目缺乏有效的过程管理和控制 序号 51 风险类别 风险点 控制目标 风险分析 参考依据 风险管理或者内部审计的参与 商业银行在进行大规模和大范围的系统开发时,应要求内部审计部门或信息科技风险管理部分的参与,保证系统开发符合商业银行信息科技风险标准。 等级保护-系统建设管理-自行软件开发: a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制 b) 应制定软件开发管理制度,明确说明开发过程的控制方不严格的开发过法和人员行为准则 程使应用系统存c) 应制定代码编写安全规范,要求开发人员参照规范编写在安全弱点,应用代码 系统问题无法在d) 应确保提供软件设计的相关文档和使用指南,并由专人项目建设过程中负责保管 及时发现,直接导e) 应确保对程序资源库的修改、更新、发布进行授权和批致系统运行失败、准 系统中重要数据等级保护-系统建设管理-测试验收: 被破坏、丢失。 b) 在测试验收前根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告; c) 应对系统测试验收的控制方法和人员行为准则进行书面规定。 软件质量无法保证,对软件质量的改进等无法有效实施。 等级保护-系统建设管理-自行软件开发: b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则 d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。 52 文档管理 格式标准 规范并明确项目资料文档的管理职责、资料文档的起草和审批职责、资料文档格式标准化规范。 序号 53 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-系统建设管理-自行软件开发: d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。 等级保护-系统建设管理-外包软件开发: c) 应要求开发单位提供软件设计的相关文档和使用指南。 等级保护-系统建设管理-系统交付: a) 应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。 等级保护-系统建设管理-工程实施: b) 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程。 等级保护-系统建设管理-外包软件开发: a) 应根据开发需求检测软件质量; c) 应要求开发单位提供软件设计的相关文档和使用指南。 等级保护-系统建设管理-自行软件开发: a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制。 ISO27001-通讯及操作管理-操作程序及职责-开发、测试和运营设施的分离: 应分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险。 程序文档完整性 程序文档内容包括:程序设计和代码标准、程序描述、程序设计资料、代码清单、源代码命名规则、系统操作指南等。 项目程序文档的缺失,可能会致使整个项目维护困难、升级困难等问题 54 项目文档内容包括:项目需求、项目文档的不完可行性分析、阶段实施记录(启善,增加了项目失动、计划、设计、开发、测试、败的可能性 实施、后评价等)。 项目文档完整性 55 保证生产系统与开发系统、测试系统相分离;生产系统与开发系统、测试系统的管理职能相分离。 影响生产系统的稳定性,导致数据泄漏等安全事件的发生。 系统测试 开发环境与测试环境的分离 序号 56 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-系统建设管理-测试验收: b) 在测试验收前根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。 ISO27001-信息系统的获取、开发和维护-系统文档安全-系统测试数据的保护: 应谨慎选择测试数据,并加以保护和控制。 等级保护-系统建设管理-测试验收: a) 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。 ISO27001-通讯及操作管理-系统规划与验收-系统验收: 应建立新的信息系统、 系统升级和新版本的验收准则, 并在开发过程中及接收前进行适当的系统测试。 等级保护-系统运维管理-变更管理: b) 应建立变更管理制度,系统变更前,向主管领导申请,变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告; c) 应建立变更控制的申报和审批文件化程序,变更影响分析应文档化,记录变更实施过程,并妥善保存所有文档和记录。 ISO27001-通讯及操作管理-操作程序及职责-变更管理: 应控制信息处理设施及系统的变更; ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-变更控制程序: 应通过正式的变更控制程序,控制变更的实施。 测试数据 敏感的生产数据应该降低或消除敏感性,在运用到测试环境前必须得到预先的批准。 生产数据丢失或泄漏 57 较大的与技术相关项目应该由独立的一方实施质量品质审查。 系统的质量无法得到有效的验证和度量 系统验收 独立方验收 58 系统维护 系统变更 应用程序开发和维护人员经管理层授权才能进入生产系统;所有的紧急修复活动立即进行记录和审核。 关键操作缺乏监管和控制,导致出现有意或无意的非法操作。 序号 59 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-系统运维管理-网络安全管理: c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。 等级保护-系统运维管理-系统安全管理: c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。 ISO27001-信息系统的获取、开发和维护-信息系统安全要求-安全要求分析和规范: 新的信息系统或对现有信息系统的更新的业务要求声明中应规定安全控制的要求。 等级保护-系统运维管理-安全事件处置: b) 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。 等级保护-人员安全管理-安全意识教育和培训: b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。 ISO27001-信息安全事故管理-信息安全事故的管理和改进-从信息安全事故中学习: 应建立能够量化和监控信息安全事故的类型、数量、成本的机制。 参考依据 系统升级 制定相关策略和流程,控制系统升级过程;系统升级应被视为项目对待,接受所有相关项目管理控制,包括用户验收测试。 升级过程中错误操作导致系统错误或者崩溃。 60 问题管理 建立并完善有效的问题管理流程;建立问题知识库,进行记录、分类和编制索引;重要责任和指令集,应进行清楚地描述说明,并通知所有相关人员。 对发现的问题无法快速有效进行判断和处理,导致问题影响时间延长,问题范围扩大。 五、信息科技运行 序号 风险类别 风险点 控制目标 风险分析 序号 61 风险类别 风险点 控制目标 风险分析 参考依据 岗位设置 运行体系建设 62 管理制度 等级保护-主机安全-访问控制: b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。 合理的岗位设置;明确的岗位岗位设置不合理,等级保护-应用安全-访问控制: 职责;不相容岗位的分离设置,权限缺乏制约,容d) 应授予不同帐户为完成各自承担任务所需的最小权限,如系统运行与系统开发维护分易引起越权操作。 并在它们之间形成相互制约的关系。 离;岗位职权的中止。 ISO27001-信息安全组织-内部组织-信息安全管理委员会: 管理者应通过清晰的方向、可见的承诺、明确的任务分配、 信息安全职责沟通在组织内积极支持安全。 信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则。 等级保护-安全管理制度-管理制度: 管理制度不完善,a) 应制定信息安全工作的总体方针和安全策略,说明机构操作缺乏有效的安全工作的总体目标、范围、原则和安全框架等; 指导和约束,易导d) 应形成由安全策略、管理制度、操作规程等构成的全面致非法操作。 的信息安全管理制度体系。 序号 63 风险类别 风险点 控制目标 风险分析 参考依据 交易记录 等级保护-系统运维管理-备份与恢复管理: c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输按照有关法律法规要求的年限重要生产数据丢的方法; 保存交易记录;采取必要的程失或泄漏,破坏数d) 应建立控制数据备份和恢复过程的程序,对备份过程进序和技术确保存档数据的完整据的完整性和可行记录,所有文件和记录应妥善保存; 性,满足安全保存和恢复要求。 用性。 e) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。 ISO27001-通讯及操作管理-备份-信息备份: 应根据既定的备份策略对信息和软件进行备份并定期测试。 运行管理各部分制定有详细的操作规程,包括操作人员的任务、工作日程安排和执行过程;操作失误,维护错信息科技运行手册包括生产和误,造成业务中开发环境中数据和软件的现场断。 及非现场备份(即备份的频率、范围和保留周期)的程序和要求。 等级保护-系统运维管理-备份与恢复管理: b) 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。 ISO27001-访问控制-访问控制的业务要求-访问控制策略: 应建立文件化的访问控制策略, 并根据对访问的业务和安全要求进行评审。 64 操作规程 序号 65 风险类别 风险点 控制目标 风险分析 参考依据 事件管理 事件管理系统 等级保护-系统运维管理-安全事件处置: b) 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责; e) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存。 建立事件管理系统及处理机ISO27001-信息安全事故管理-报告信息安全事件和弱点: 制,及时响应信息系统运行事报告信息安全事件,应通过适当的管理途径尽快报告信息故,逐级向相关的信息科技管无法及时有效解安全事件;报告信息安全弱点,应要求所有的员工、合同理人员汇报事故的发生,记录、决安全事件;对安方和第三方用户注意并报告系统或服务中已发现或疑似的分析和跟踪所有事件,直到对全隐患无法根除。 安全弱点。 事件进行彻底的改正并完成根ISO27001-信息安全事故管理-信息安全事故的管理和改本原因的分析。 进: 职责和程序,应建立管理职责和程序,以快速、有效和有序的响应信息安全事故; 从信息安全事故中学习,应建立能够量化和监控信息安全事故的类型、数量、成本的机制;收集证据,事故发生后,应根据相关法律的规定(无论是民法还是刑法)跟踪个人或组织的行动,应收集、保留证据,并以符合法律规定的形式提交。 序号 66 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-系统运维管理-安全事件处置: d) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。 ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全: 变更控制程序,应通过正式的变更控制程序,控制变更的实施; 操作系统变更后的技术评审,当操作系统变更后, 应评审并测试关键的业务应用系统, 以确保变更不会对组织的运营或安全产生负面影响; 软件包变更限制,不鼓励对软件包进行变更, 对必要的更改严格控制; 信息泄漏,防止信息泄漏的机会;软件委外开发,组织应对软件委外开发进行监控。 等级保护-主机安全-资源控制: c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 ISO27001-通讯及操作管理-监督-监视系统的使用: 应建立监视信息处理系统使用的程序, 并定期评审监视活动的结果。 服务支持系统 为用户提供所有技术相关事件的前线支持,并将事件提交给相关信息科技职能部分进行调查和解决。 故障后无法及时响应各类安全事件,造成业务中断。 67 核心业务系统监控 系统监控 对核心业务系统的持续性或阶段性监测,包括响应时间和处对安全事件无法理量、系统承载能力、任务处事前预防,系统可理失败的次数、比例、类型和用性得不到保障。 原因、系统使用的峰值和均值,系统使用趋向和容量等。 序号 68 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-主机安全-资源控制: e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 ISO27001-通讯及操作管理-监督-监视系统的使用: 应建立监视信息处理系统使用的程序, 并定期评审监视活动的结果。 ISO27001-通讯及操作管理-监督-审计日志: 应产生记录用户活动、以外和信息安全事件的日志,并按照约定的期限进行保留,以支持将来的调查和访问控制监视。 ISO27001-通讯及操作管理-系统规划与验收-容量管理: 应监督、调整资源的使用情况,并反应将来容量的要求,以确保系统的性能。 监控程序 落实监控程序,确保应用系统的性能受到连续监控,及时完整地报告例外情况;性能监控程序提供预警功能,在问题对系统性能造成影响前对其进行识别和修正。 安全事件无法及时遏制,造成系统可用性下降,甚至中断。 69 容量规划 覆盖范围 建立容量规划以适应由于经济金融环境变化产生的业务发展和交易量非计划性增加;容量规划应涵盖与生产环境有关的备份系统。 系统性能无法满足业务需求。 70 已制定并实施了书面的变更管理规程,包括过程记录、变更优先级的确定、程序的版本控制和审计跟踪、计划和实施变更、在必要时变更的恢复和实施的后评价。 变更管理 管理规程 等级保护-系统运维管理-变更管理: b) 应建立变更管理制度,系统变更前,向主管领导申请,变更方案经过评审、审批后方可实施变更,并在实施后将错误的变更直接变更情况向相关人员通告; 导致业务系统中c) 应建立变更控制的申报和审批文件化程序,变更影响分断,重要数据被篡析应文档化,记录变更实施过程,并妥善保存所有文档和改、泄露和破坏。 记录。 ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-变更控制程序: 应通过正式的变更控制程序,控制变更的实施。 序号 71 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-系统运维管理-变更管理: c) 应建立变更控制的申报和审批文件化程序,变更影响分析应文档化,记录变更实施过程,并妥善保存所有文档和记录。 ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-操作系统变更后的技术评审: 当操作系统变更后, 应评审并测试关键的业务应用系统, 以确保变更不会对组织的运营或安全产生负面影响。 ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-变更控制程序: 应通过正式的变更控制程序,控制变更的实施。 授权机制 系统变更应建立合理的审批流程;涉及业务系统或数据的变更应由科技部门和业务部门共同签准。 未经审批的操作导致越权,直接对系统安全造成威胁。 72 变更前对变更程序进行测试;变更前对系统进行备份;变更实施后进行验收测试。 实施过程 没有经过测试的变更可能导致系统中断;缺乏验证的变更无法准确的评估其有效性和安全性。 73 回滚计划 所有变更都应建立失败后的恢复计划。 等级保护-系统运维管理-变更管理: d) 应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 变更前的系统状ISO27001-业务连续性管理-业务连续性管理的信息安全方态无法及时恢复。 面-开发并实施包括信息安全的连续性计划: 应开发并实施计划, 以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性。 序号 74 风险类别 风险点 控制目标 所有的应急变更都应该记录和备份,包括变更前后的程序版本与数据。应急变更应该由独立的人员立即审核,以确保所有的变更都是适当的。且不会对生产环境产生不良影响。 风险分析 参考依据 等级保护-系统运维管理-变更管理: c) 应建立变更控制的申报和审批文件化程序,变更影响分析应文档化,记录变更实施过程,并妥善保存所有文档和记录。 ISO27001-信息安全组织-内部组织-信息安全的独立评审:应按计划的时间间隔或当发生重大的信息安全变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。 参考依据 ISO27001-业务连续性管理-业务连续性管理的信息安全方面 -在业务连续性管理过程中包含信息安全: 应在组织内开发并保持业务连续性管理过程, 该过程阐明了组织的业务连续性对信息安全的要求。 紧急变更 应急需求得不到及时响应;变更造成系统故障和业务中断问题,且无法及时恢复。 六、业务连续性管理 序号 75 风险类别 风险点 控制目标 风险分析 对重大灾害缺乏足够的准备,导致业务因火灾、台风、地震等不可抗因素造成毁灭性的损失,直接威胁企业的生存。 缺乏有效的组织者和领导者,在业务中断后无法及时的组织业务恢复工作。 业务连续性策略 高管层的管理 76 管理组织 经董事会或高管层批准的业务连续性策略、标准和流程。 明确设立部门负责业务连续性规划的整体流程管理。 ISO27001-信息安全组织-内部组织-信息安全职责分配: 应明确规定所有的信息安全职责。 序号 77 风险类别 风险点 控制目标 独立部门对定期对业务连续性计划进行评估;评估内容包含业务连续性规划的有效性,以及是否与本机构的策略和标准相一致。 意外事件发生的场景和几率;准确评估业务运行中断的可能性及其影响。 重要的业务和后台部门已制定业务连续性规划最低要求,以保证基本的业务和技术服务能力。 风险分析 不当的业务连续性计划无法对业务中断情况下的恢复进行有效指导。 对风险的估计错误,导致投入与保障失衡。 业务中断后,无法快速的构铸业务运行环境,无法快速恢复业务系统运行。 参考依据 ISO27001-业务连续性管理-业务连续性管理的信息安全方面-业务连续性和风险评估: 应识别可能导致业务过程中断的事故, 以及这类中断发射给您的可能性和影响、 中断的信息安全后果。应定期测试并更新BCP,以确保BCP 的更新和有效 ISO27001-业务连续性管理-业务连续性管理的信息安全方面-业务连续性和风险评估: 应识别可能导致业务过程中断的事故, 以及这类中断发射给您的可能性和影响、 中断的信息安全后果。 ISO27001-业务连续性管理-业务连续性管理的信息安全方面-开发并实施包括信息安全的连续性计划: 应开发并实施计划, 以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性。 ISO27001-业务连续性管理-业务连续性管理的信息安全方面-业务连续性计划框架: 应保持一个单一的业务连续性计划框架, 以确保所有计划的一致性, 以维护信息安全要求的一致性并识别测试和保持的优先级。 ISO27002-业务连续性管理: 1)了解机构所面临的风险、风险发生的概率及影响,包括定出哪些是重要的业务进程,并分出先后; 独立的评估机制 78 业务影响分析 79 业务恢复最低要求 规划分析 80 业务恢复的优先级 启动业务连续性计划时不同业务有明确的恢复顺序。 重要业务的恢复的延迟导致更大的损失。 序号 81 风险类别 风险点 控制目标 针对不同类型风险以及影响的期限分别制定不同的处理措施。 人员、系统、财务和后勤等资源的充分保障;有明确的获取资源的渠道和方式,并评估灾难对资源获取环节的影响。 风险分析 对风险的估计错误,导致投入与保障失衡。 参考依据 等级保护-系统运维管理-应急预案管理 a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容。 GBT 20988-2007信息系统灾难恢复规范-资源的获取方式: 数据备份系统; 备用数据处理系统; 备用网络系统; 备用基础设施等。 等级保护-安全管理机构-沟通和合作: a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题 b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通 c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通 d) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息 ISO27001-信息安全组织-内部组织-与监管机构的联系: 应保持与相关监管机构的适当联系。 ISO27001-信息安全组织-内部组织-与特殊利益团体的联系: 应保持与特殊利益团体或其他专业安全协会和行业协会的适当联系。 处理措施分类 82 资源保障 业务恢复计划无法实施。 83 内容完整性 与重要外部机构建立了正式的联络沟通机制(如:监管部门、投资者、客户、交易对手、商业合作伙伴、服务提供商、新闻媒体和其他股东等),对内部机构的沟通联系机制(如:内部员工、母公司、总部、分支结构等)。业务连续性规划应明确指定灾害期间的对外新闻发言人,重要外部机构的电话号码和电子邮件地址应被妥善管理。 联系沟通机制 沟通不畅导致安全事件无法及时协调及处理,无法得到内部和外部的有效支持。 序号 84 风险类别 风险点 控制目标 业务连续性计划应得到高管层认可并正式发布;重要岗位人员应明确了解自身职责和需配合人员的联络方式。 风险分析 参考依据 ISO27001-管理职责-管理承诺: 管理层应通过以下措施对其建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据: a) 建立信息安全方针; b) 确保信息安全目标和计划的建立; c) 为信息安全分配角色和职责。 发布流程 连续性计划无法满业务需要。 85 业务连续性计划的定期演练 演练与更新 建立有效的演练计划,并保障实施。 有明确的制度要求依据演练和评估结果对业务连续性计划进行更新,并确保内部人员、交易对手、客户和服务提供商及时得到更新。 控制目标 考查服务商的设施和能力;财务稳定性和专业经验;有能力满足其履行监管、审计义务;遵守内部规章制度。 ISO27001-业务连续性管理-业务连续性管理的信息安全方计划的有效性得面- BCP 的测试、保持和再评估: 不到验证和保障。 应定期测试并更新 BCP,以确保 BCP的更新和有效。 计划的适用性不能及时有效的完善。 ISO27001-业务连续性管理-业务连续性管理的信息安全方面-BCP 的测试、保持和再评估: 应定期测试并更新 BCP,以确保 BCP的更新和有效。 86 业务连续性计划的更新 七、外包 序号 87 外包管理 外包商的资质 风险类别 风险点 风险分析 外包程序和数据的安全性得不到有效的保障。 参考依据 ISO27001-通讯及操作管理-第三方服务交付管理: 确保第三方实施、运行并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级。 序号 88 风险类别 风险点 控制目标 风险分析 参考依据 等级保护-应用安全-通信完整性: a) 应采用校验码技术保证通信过程中数据的完整性; 等级保护-应用安全-通信保密性: a) 在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验证; b) 应对通信过程中的整个报文或会话过程进行加密。 ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-软件委外开发: 组织应对软件委外开发进行监控; ISO27001-通讯及操作管理-第三方服务交付管理: 应对服务和第三方提交的报告定期进行监视和评审,并定期进行审核。 ISO27001-通讯及操作管理-第三方服务交付管理-管理第三方服务的变更: 应管理服务提供的变更(包括包括保持和改进现有信息安全方针、程序和控制措施),考虑对业务系统的关键程度、涉及的过程和风险的再评估。 参考依据 ISO27001-信息系统审核的考虑因素-信息系统审核控制:应谨慎策划对操作系统检查所涉及的审核要求和活动并获得许可,以最小化对业务过程的影响或风险 外包协议的完整性 完整的技术传送、安全保密规定;质量控制标准;整改升级策略;重要部分分包控制。 重要生产数据有泄漏的风险。 89 对外包商的检测评估 实施前对外包商的独立评估,重要部分向监管部门报告;定期对外包商进行检测评估。 不能及早发现并避免潜在不合规事件的发生。 90 应急管理 制定正式的应急措施和退出管理措施,防范外包商不能提供服务的风险。 导致项目的成本的增加,直接影响工程进度。 八、内部审计和外部审计 序号 91 内部审计 内部审计的责任 风险类别 风险点 控制目标 制定、实施和维护审计计划,执行信息科技的专项审计,提出整改建议并检查是否得到落实。 风险分析 操作失误无法追查责任,操作无法严格执行。 序号 92 风险类别 风险点 控制目标 依据风险高低决定内部审计频率;至少每三年进行一次全面审计。 风险分析 风险不能及时发现并采取适当措施控制。 不能保证审计的客观性和全面性,导致风险不能被准确的评估,影响业务的正常运作。 参考依据 等级保护-安全管理机构-审核和检查: b) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等 Corbit信息技术审计指南-质量保证的责任: 管理层应为IT职能部门的成员分配质量保证职能履行的责任,并确保适当的质量保证、系统、控制和 存在于IT职能质量保证小组中的专家们的交流。IT职能内机构的布置以及质量保证小组的职责和规模应 满足机构的需求。 ISO27001-符合性-信息系统审核的考虑因素: 应谨慎策划对操作系统检查所涉及的审核要求和活动并获得许可, 以最小化对业务过程的影响或风险。 内部审计频率 93 提供必要的数据和材料,保证信息科技审计服务商能够充分、及时而准确地揭示信息科技存在的风险。 与信息科技审计服务商签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。 工作配合 94 外部审计 保密协议 重要数据或安全弱点泄漏,直接导致安全事件的发生。 填报说明:
1、 风险评估等级:I:已完善,完全符合风险控制目标要求。
II:基本完善,某些方面存在遗漏,但风险基本可控。
III:已采取相关措施,但存在较大漏洞,存在风险较大或未进行评估。 IV:未采取风险控制措施。
V:经评估,该风险控制要求不适用于银行实际情况。
2、 具体做法应简要填写风险控制方法、实施步骤,或填写相关文件名称及发布日期。
因篇幅问题不能全部显示,请点此查看更多更全内容