金融行业安全服务解决方案

《金融行业安全服务解决方案》由会员分享，可在线阅读，更多相关《金融行业安全服务解决方案（58页珍藏版）》请在装配图网上搜索。

1、启明星辰金融事业部启明星辰金融事业部安全服安全服务务解决方案解决方案Ver 1.0北京启明星辰信息技术股份有限公司北京启明星辰信息技术股份有限公司Venus Information technology安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司1目目 录录安全服务解决方案安全服务解决方案.4第第 1 章章概述概述.41.1需求分析.41.2项目建设目标.4第第 2 章章方案内容方案内容.52.1安全管理咨询顾问服务.52.1.1进行信息安全管理体系咨询 .52.1.2协助进行信息安全应急响应演练 .62.1.3提供定制化的信息安全培训 .62.1.4提供互联网安全事件应

2、急响应服务 .62.1.5国内外安全事件技术分析和趋势跟踪 .72.2安全建设及安全监控外包服务.72.2.1风险评估 .72.2.2提供安全改造咨询 .72.2.3提供加固技术支持 .72.2.4提供监控服务 .7第第 3 章章评估理论、方法及模型评估理论、方法及模型.83.1相关标准与规范.83.1.1评估咨询项目的标准性原则 .83.1.2方案中标准的体现对照 .83.1.3相关标准规范介绍 .103.1.3.1COSO 报告内部控制整体框架与 ERM企业风险管理一整体框架.103.1.3.2COBIT信息及相关技术的控制目标 .123.1.3.3ITILIT 基础架构库.143.1.3

3、.4ISO27001信息安全管理规范.163.1.3.5银监会 63 号文银行业金融机构信息系统风险管理指引 .183.1.3.6Cobit、ISO17799 与 63 号文控制目标对应表.193.2安全风险评估策略.323.2.1风险管理原则 .323.2.2建模策略 .333.2.3信息安全管理 .343.2.4标准遵循 .343.3安全风险评估理论模型.343.3.1安全风险过程模型 .343.3.2安全风险关系模型 .363.3.3安全风险计算模型 .363.3.4安全风险管理过程模型 .38安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司2第第 4 章章风险评估风险

4、评估.404.1资产管理评估.404.1.1资产分类调查 .404.1.2资产安全管理 .414.2威胁评估.424.2.1安全隐患分析 .424.2.2网络架构威胁分析 .434.3弱点与漏洞评估.444.3.1大规模漏洞检测评估 .444.3.2渗透性测试 .444.3.3控制台人工审计 .454.4网络架构评估.464.4.1网络性能与业务负载分析 .464.4.2访问控制策略与措施分析 .474.4.3网络设备策略与配置评估 .484.4.4安全设备策略与配置评估 .484.5安全控制评估.494.6安全管理评估.504.6.1安全管理体系评估 .504.6.2常规安全管理 .514.

5、6.3应急安全管理 .514.7业务与应用评估.524.7.1业务流程分析 .524.7.2应用服务与应用系统分析 .534.8典型安全评估咨询输出.544.8.1信息安全现状报告 .544.8.2信息安全风险评估报告 .544.8.3信息安全策略建议 .554.8.4信息安全解决方案建议 .564.8.5安全培训方案建议书 .56安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司3第第 1 章章 概述概述1.11.1 需求分析需求分析随着金融业务的高速发展，对信息系统的要求越来越高。在信息系统建设的同时，也非常注重信息安全的建设，为了进一步提高信息系统的安全性，依据长期发展战

6、略，提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求，具体包括如下几个方面：完善信息科技部门信息安全管理体系；提高信息安全应急响应能力；提高信息安全人员意识及技术能力；提高银行自身合规性的能力；加强对国内外安全事件技术分析和趋势跟踪；清楚认识网上银行存在的风险，提高网上银行的安全性。1.21.2 项目建设目标项目建设目标通过项目建设，达到如下目标：根据中国银行业监督管理委员会下发的相关信息科技风险管理指引，以及国际流行的信息安全风险管理规范，结合信息科技发展的实际情况，进一步完善和细化信息科技风险管理制度和流程；提高对信息安全的应急能力；通过培训等手段提高信息科技部技术队伍人员的

7、信息安全意识和技能水平；提高符合监管部门监管要求、法律法规的能力；通过评估网上银行的现状，提出网银安全建设和整改方案，并监控来自互联网针对网银的攻击行为。安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司4第第 2 章章 方案内容方案内容为了满足安全需求，达到预定目标，项目建设的内容如下：2.12.1 安全管理咨询顾问服务安全管理咨询顾问服务2.1.12.1.1 进行信息安全管理体系咨询进行信息安全管理体系咨询在已有信息安全管理制度、规范的基础上，进一步制定可落实、可执行的信息安全管理体系，涵盖策略、规范、流程等各个层面。通过多年的积累，结合 BS7799 及 COBIT 最佳

8、实践，形成了自己的一套管理制度体系，这套管理体系可以根据客户的实际情况进行裁剪。在本项目中，我们将会对 XXXXX 现有制度进行梳理，结合公司的管理体系框架，形成一套适合 XXXXX 的管理制度体系及流程，具体如下步骤：本活动由以下步骤组成：步骤 1：分析已获信息策略规划小组对已收集的各种文档信息进行分析，鉴别已有的信息安全策略，并进行相应的记录。步骤 2：设计框架结构根据已获得的信息，策略规划小组设计信息安全策略框架。步骤 3：沟通框架结构针对已创建的信息安全策略框架，策略规划小组与相关人员进行沟通。步骤 4：制定安全策略在确定了信息安全策略的框架之后，策略规划小组为制定信息安全策略。步骤

9、5：分析评估报告策略规划小组分析已完成的评估报告，鉴别评估过程中发现的问题。步骤 6：完善安全策略根据评估报告中所发现的问题，策略规划小组完善信息安全策略。2.1.22.1.2 协助进行信息安全应急响应演练协助进行信息安全应急响应演练协助信息科技部门制定网络安全应急响应流程,并参与 XXXXX 组织的应急响应演练,评估应急响应演练效果并提供改进建议。安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司5在制定 XXXXX 信息科技部门制定网络安全应急响应流程中将结合现有信息系统情况，制定可实施的应急预案，将按照应急预案进行演练，并制定详细的恢复计划，保证最小化影响业务系统。制定好

10、应急预案后，将根据应急预案协助 XXXXX 进行应急响应演练,检验应急预赛的可行性，评估应急响应演练效果并提供改进建议。在应急演练过程中，将检验如下的各个环节：建立应急组织应急准备应急演练应急启动与处理应急恢复与重建应急结束应急总结应急汇报与信息披露2.1.32.1.3 提供定制化的信息安全培训提供定制化的信息安全培训针对普通员工、科技干部、管理层提供不同类型的信息安全培训，包括管理培训和网络安全技术。将根据 XXXXX 的实际情况，提供客户化的培训，具体计划如下：对管理人员进行管理培训，提供 2 人次的 BS7799 培训；对技术人员进行 4 人次的 CISP 培训；对普通员工进行现场的安全

11、意识培训。2.1.42.1.4 提供互联网安全事件应急响应服务提供互联网安全事件应急响应服务针对来自互联网的入侵、蠕虫爆发提供应急响应服务。将分级别为 XXXXX 提供互联网安全事件的应急响应服务，具体计划如下：分类分类说说 明明响应方式响应方式安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司6高级事件由攻击行为直接引起的相关事件，正在危害，或者即将危害到系统的业务连续性。非攻击行为造成，但是影响到目标系统业务持续性的事件。 现场为主，远程中级事件由非攻击行为直接引起的其他事件， 而且这种事件没有直接影响到当前业务的持续性。例如一般性安全咨询，产品升级，病毒库升级等等。远程为

12、主（电话，邮件，传真等） ，必要时进行现场支持低级事件攻击或者非法事件并没有对系统造成伤害，但有入侵企图，可能会造成损害。远程为主（电话，邮件，传真等）2.1.52.1.5 国内外安全事件技术分析和趋势跟踪国内外安全事件技术分析和趋势跟踪关注安全业内动态、与国、内外安全机构有密切的联系，密切跟踪安全事件及安全发展趋势，将为 XXXXX 以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务，使 XXXXX 防患于未然。以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务。2.22.2 安全建设及安全监控外包服务安全建设及安全监控外包服务2.2.12.2.1 风

13、险评估风险评估针对 XXXXX 网银进行风险评估，提出网银的改进方案，并结合 XXXXX业务提出网银的发展规划。2.2.22.2.2 提供安全改造咨询提供安全改造咨询为 XXXXX 安全改造提供技术咨询。2.2.32.2.3 提供加固技术支持提供加固技术支持为 XXXXX 系统加固提供技术支持。2.2.42.2.4 提供监控服务提供监控服务提供 7X24 小时安全监控服务，在出现异常攻击行为时进行及时的应急响应处理。安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司7第第 3 章章 评估理论、方法及模型评估理论、方法及模型通过风险评估服务，可以提高客户关键业务系统的可用性和可靠

14、性、降低信息安全管理成本，提高金融企业对行业监管、国家政策的合规性，同时也可为其他外部系统提供安全基准，进一步增强客户的竞争优势。在设计过程和方案的实施中，结合客户网络的特点，遵循和参照最新、最权威、最具有代表性的国家和国际信息安全标准与建议。下面给出了相关标准和法规、政策在方案中的体现。3.13.1 相关标准与规范相关标准与规范3.1.13.1.1 评估咨询项目的标准性原则评估咨询项目的标准性原则启明星辰提供的本次安全评估咨询服务，将依据2006 年度银行业金融机构信息科技风险评价审计要点 、 银行业金融机构信息系统风险管理指引 、电子银行安全评估指引（征求意见稿） 、 商业银行内部控制评价

15、试行办法中的相关要求进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳优秀的风险评估理论。国际标准包括 ISO17799:2005信息技术信息安全管理业务规范 、 GAO/AIMD-00-33、 信息安全风险评估 、ISO ISO/TR 13569银行和相关金融服务一信息安全指南 、AS/NZS 4360: 1999 , ISO15408 等；国家标准包括GB17859，GB18336 等。同时我们将参考 COSO/ERM企业风险管理一整体框架 、Cobit 4.0、ITIL 3.0、Prince2 等 IT 治理模型；这些标准和操作指

16、南目前已经被金融行业风险评估项目和 IT 治理项目中进行了实践，并得到了用户的认可和好评。除对标准的遵循外，启明星辰的风险评估过程还紧密结合金融行业的各种业务特征，依据 XXXXX 的业务特点，系统地制定了 XXXXX 信息安全风险评估方案。3.1.23.1.2 方案中标准的体现对照方案中标准的体现对照评估过程评估过程参照标准参照标准安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司8评估过程评估过程参照标准参照标准调查表和问题的设计2006 年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引（征求意见稿）商业银行内部控制评价试行办

17、法ISO ISO/TR 13569银行和相关金融服务-信息安全指南Cobit 4.0加拿大威胁和风险评估工作指南美国国防部彩虹系列 NCSC-TG-019ISO17799/BS7799资产评估ISO17799/BS7799加拿大威胁和风险评估工作指南风险分析方法ISO13335风险分析模型AS/NZS 4360: 1999 风险管理标准风险计算模型AS/NZS 4360: 1999 风险管理标准GAO/AIMD-00-33信息安全风险评估安全管理评估2006 年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引（征求意见稿）商业银行内部控制评价试行办

18、法ISO ISO/TR 13569银行和相关金融服务-信息安全指南Cobit 4.0ISO17799/BS7799ISO13335物理安全评估银行业金融机构信息系统风险管理指引ISO17799/BS7799ISO ISO/TR 13569银行和相关金融服务-信息安全指南网络设备安全性ISO15408（CC）GB17859安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司9评估过程评估过程参照标准参照标准解决方案咨询2006 年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引（征求意见稿）商业银行内部控制评价试行办法ISO ISO/T

19、R 13569银行和相关金融服务-信息安全指南Cobit 4.0ISO17799/BS77993.1.33.1.3 相关标准规范介绍相关标准规范介绍3.1.3.13.1.3.1COSOCOSO 报告报告内部控制整体框架内部控制整体框架与与 ERMERM企业风险管理一整体框架企业风险管理一整体框架美国全美反舞弊性财务报告委员会（又称 COSO 委员会）于 1992 年发布了内部控制整体框架 （以下称 COSO 报告） 。COSO 报告为企事业单位构建起一个三维立体的全面风险防范体系。 安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司10COSO 报告提出，COSO 整体框架包括

20、 3 大运营目标和 5 大控制要素。内部控制 3 大运营目标：1、运营的效果和效率；2、财务报告的可靠性；3、遵守适用的法律和法规（合规性）内部控制由 5 个要素：即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚

21、在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。2004 年 COSO 又发布了 ERM企业风险管理一整体框架 ，如下图所示：安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司11说明：COSO 通用内控框架与 ERM 虽是同一个机构所发布，但是 ERM 不是 COSO总体内控框架的替代品。3.1.3.23.1.3.2COBITCOBIT信息及相关技术的控制目标信息及相关技术的控制目标1996 年，作为一项 IT 安全与控制的实践标准，COBIT 由信息系统审计与控制组织和 IT 管理协会共

22、同开发。它为 IT、安全、审计经理和用户提供了一套完整的参考框架。目前，COBIT 已经发布了第四版，它正在成为控制数据、系统和相关风险的优秀实践法则，并逐渐被越来越多的用户所接受。它将帮助企业部署对系统和网络的有效管理。 COBIT 框架具有以业务为关注焦点、以过程为导向、基于控制和测量驱动的特点。为实现业务目标，COBIT 定义了七个独立但又有所重叠的信息准则:有效性：应以及时、正确、一致和可用的方式来交付与业务过程有关的信息；效率 2：通过优化（生产率最高且经济合理）资源使用来交付信息；保密性：保护敏感信息免受未授权泄漏；完整性：信息的正确和完整，并根据业务价值和期望进行验证；可用性：若

23、业务过程现在或将来需要时，信息是可用的。可关注于保护所需的资源及相关的能力；安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司12符合性：符合业务过程必须遵循的法律法规要求和合同约定，即外部的强制性要求和内部策略；可靠性：为管理者提供适当的信息，以管理组织并检验其可信和治理职责。COBIT 将 IT 资源定义为：应用系统：用户处理信息的自动化用户系统及手册程序；信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式所使用；基础设施：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环境）；人员：策划

24、、组织、采购、实施、交付、支持、监视和评价信息系统和服务所需的人员。COBIT 在四个域内采用过程模型的方式定义 IT 活动，四个域分别是：策划与组织、获取与实施、交付与支持、监视与评价。这些域映射到传统的 IT 职责域：计划、建设、运营和监视。即 PDCA 管理模型。管理指导方针的部件由衡量企业在 34 种 IT 流程中能力的工具所组成。这些工具包括了性能测量组件、为每种 IT 流程提供最佳实践的关键成功因素清单，以及帮助进行基准测试的成熟度模型。Cobit 的三维模型如下图所示：安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司13Cobit 整体架构如下图所示：3.1.3

25、.33.1.3.3ITILITITILIT 基础架构库基础架构库80 年代中期，英国政府部门发现提供给其的 IT 服务质量不佳，于是要求当安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司14时的政府计算机和电信局（CCTA） （后来并入英国政府商务部（OGC） ） ，启动一个项目对此进行调查，并开发一套有效的和可进行财务计量的 IT 资源使用方法以供本国的政府部门和私有部门使用。同时，这种方法还应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。这个项目的最终成果是一套公开出版的 IT 管理指南，这就是 ITIL（Information Technology I

26、nfrastructure Library） 。到 90 年代中期，ITIL 成为了事实上的欧洲 IT 服务管理标准。90 年代后期，ITIL 又被引入到美国、南非和澳大利亚等国家和地区。2001 年英国标准协会（BSI）在国际 IT 服务管理论坛（itSMF）年会上正式发布了以 ITIL 为基础的IT 服务管理英国国家标准 BS15000。2002 年 BS15000 被提交给国际标准化组织（ISO） ，申请成为了 IT 服务管理国际标准 ISO 20000。ITIL 是有关 IT 服务管理流程的最佳实践，事实上，经过近 20 多年的发展，以流程为主线，进行了全面的扩充，最终形成了如图 1

27、所示的框架。这个框架现在成为了事实上的 IT 服务管理知识框架体系。上图显示了引入模块所处的整体环境和结构。它显示了每个模块同业务和技术的关系。从图中可见，业务视野模块是如何更紧密地同业务相联系而信息和通信技术（ICT）基础设施管理模块是如何更紧密地同技术本身相联系。服务提供和服务支持模块提供了过程框架和核心。安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司15这七个模块组成了 ITIL 的核心。下面将对其中各个模块的新的范围、内容及其关系进行介绍。服务提供：服务提供：覆盖了规划和提供高质量 IT 服务所需的过程，并且着眼于改进所提供的 IT 服务的质量相关的长期过程。服务支

28、持：服务支持：服务支持描述了同所提供的 IT 服务日常支持和维护活动相关的过程。信息和通信技术基础设施管理（信息和通信技术基础设施管理（ICTICT IM)IM)：信息和通信技术基础设施管理覆盖了从标识业务需求到招投标过程、到信息和通信技术组件和 IT 服务的测试、安装、部署以及后续运行和优化的信息和通信技术基础设施管理的所有方面。规划实施服务管理：规划实施服务管理：检查组织机构内规划、实施和改进服务管理过程中所涉及的问题和任务。它也考虑同解决文化和组织机构变更、开发远景和战略以及方案的最合适方法等相关的问题。应用管理：应用管理：描述了如何管理应用从最初的业务需求直至和包括应用废弃的应用生命周

29、期的所有阶段。它将重点放在在应用的整个生命周期内确保 IT 项目和战略同业务建立紧密的联系，以确保业务从其投资中获得最佳价值。业务视野：业务视野：提供了建议和指南，以帮助 IT 人员理解他们如何才能为业务目标作出贡献以及如何更好地联系和挖掘其角色和服务以最大化其贡献。安全管理：安全管理：详细描述了规划和管理用于信息和 IT 服务的给定级别安全的过程，包括同响应安全事故相关的所有方面。它也包括了风险和脆弱性的评估和管理，以及成本有效的对策的实施ITIL 的 IT 服务流程可供我们在做安全咨询及安全解决方案设计时作参考。3.1.3.43.1.3.4ISO27001ISO27001信息安全管理规范信

30、息安全管理规范ISO 27001:2005 由 11 个大的控制方面、39 个控制目标、133 个控制措施构成。ISO/IEC 27001:2005 要求组织应根据整体业务活动及其面临的风险通过制定信息安全方针、制定体系范围、明确管理职责，通过风险评估确定控制目标与控制措施等活动建立信息安全管理体系（ISMS） ；体系一旦建立组织应按体安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司16系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，如方针、适用性声明文件和实施安全控制所必须的程序文件。通过建立、实施、运作、监视、评审、保持并改进文件化的信息安全

31、管理体系，使组织拥有持续改进的信息安全保障能力，为实现业务目标提供支撑。ISO/IEC 27001:2005 规定了建立、实施和文件化信息安全管理体系得要求。它规定了组织根据其需求实施安全控制的要求。体系规范的结构如下图所示：图. ISO/IEC 27001:2005 结构信息安全管理体系作为一个管理标准，也遵循了 PDCA（Plan-Do-Check-Action，策划-实施-检查-行动）的持续改进的管理模式，这也反映在整个标准的架构上，整个标准的重心在建立 ISMS 系统，如下图所示：图. ISMS 框架规划（建立 ISMS）根据组织的整体策略和目标，建立安全策略、目标以安全源自未雨绸缪，

32、诚信贵在风雨同舟北京启明星辰信息技术股份有限公司17及与管理风险和改进信息安全相关的过程和程序，以获得结果。执行（实施和运作ISMS）实施和运作安全策略、控制、过程和程序。控制（监视和评审ISMS）适用时，根据 ISMS 策略、目标和惯有经验评估行，并向管理层报告结果，进行评审。改进（保持和改进 ISMS）根据内部 ISMS 审计和管理评审或其他信息施，以实现 ISMS 的持续改进。ISO/IEC 27001:2005 采用 PDCA“规划-执行-控制-改进” （PDCA）过程模式。该模型适用于建立 ISMS 的所有过程。ISMS 框架图描述了 ISMS 如何输入相关方的信息安全要求和期望，经

33、过必需的活动和过程，产生满足这些需求和期望的信息安全输出。采用 PDCA 模型也反应了 OECD 指南（2002） 信息系统和网络的安全治理中所陈述的准则。ISO/IEC 27001:2005 为在风险评估、安全设计和实施、安全管理和再评估方面实施这些指南中的准则提供了强健模型。3.1.3.53.1.3.5银监会银监会 6363 号文号文银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引随着银行业金融机构的经营活动日益综合化和国际化，业务和产品越来越复杂，合规失效的事件不断暴露，银行业金融机构经营活动的合规性面临严峻的挑战，原有合规管理框架的有效性受到质疑，合规风险管理的理念

34、和方法需要与时俱进。近年来，全球银行业的合规风险管理技术得到了快速的发展，普遍实施风险为本的合规管理做法，并把合规管理作为银行业金融机构一项核心的风险管理活动。2005 年 4 月 29 日,巴塞尔银行监管委员会发布了合规与银行内部合规部门文件，提出了合规管理十项原则，向各国银行业金融机构及其监管当局推荐有效管理合规风险的最佳做法。加强合规风险管理是银行业金融机构自身努力追求的目标。银监会根据中华人民共和国银行业监督管理法和中华人民共和国商业银行法 ，在广泛吸收和借鉴国内外银行业金融机构合规风险管理的良好做法，以及国外银行业监管机构相关规定的基础上，制定了指引 。安全源自未雨绸缪，诚信贵在风雨

35、同舟北京启明星辰信息技术股份有限公司18指引重点强调了三个方面：一是建设强有力的合规文化。合规管理是商业银行一项核心的风险管理活动，合规必须从高层做起，董事会和高级管理层应确定合规基调，确立正确的合规理念，提高全体员工的诚信意识与合规意识，形成良好的合规文化，这对于银行业金融机构有效管理包括合规风险在内的各类风险至关重要。二是建立有效的合规风险管理体系。董事会应监督合规政策的有效实施，以使合规缺陷得到及时有效的解决。高级管理层应贯彻执行合规政策，建立合规管理部门的组织结构，并配备充分和适当的资源，确保发现违规事件时及时采取适当的纠正措施。合规管理部门应在合规负责人的管理下，协助高级管理层有效管

36、理合规风险，制定并执行风险为本的合规管理计划，实施合规风险识别和管理流程，开展员工的合规培训与教育。三是建立有利于合规风险管理的三项基本制度，即合规绩效考核制度、合规问责制度和诚信举报制度，加强对管理人员的合规绩效考核，惩罚合规管理失效的人员，追究违规责任人的相应责任，对举报有功者给予适当的奖励，并对举报者给予充分的保护。指引共五章三十一条，基本涵盖了商业银行董事会及其下设委员会、监事会、高级管理层、合规负责人、合规管理部门的合规管理职责以及合规风险识别和管理流程的各个环节，对合规文化建设、合规风险管理体系建设以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出了规定。 指

37、引还规定了商业银行合规政策、合规管理程序和合规指南等内部制度的报备要求、合规风险管理计划和合规风险评估报告的报送要求以及重大违规事件的报告要求，明确了监管部门对商业银行合规风险管理进行非现场监管和现场检查的重点。3.1.3.63.1.3.6CobitCobit、ISO17799ISO17799 与与 6363 号文控制目标对应表号文控制目标对应表下表我们将 Cobit 4.0、ISO 17799:2005 与银监会发布的 63 号文中的相关管理控制要求做一对比，以便于评估咨询中参考使用。Cobit、ISO 17799:2005与 63 号文控制目标对应表如下：CobitCobit 4.04.0

38、ISOISO 17799:200517799:20056363 号文号文安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司19域域过程过程控制目标控制目标控制目标控制目标条文条文PO1.1 IT 价值管理7.1 资产责任7.2 信息分类第一条PO1.2商业-IT 结盟6.1.1 信息安全管理承诺 第五条PO1.3现有性能评估第十五条PO1.4IT 战略计划6.1.1 信息安全管理承诺 第五条PO1.5IT 战术计划6.1.1 信息安全管理承诺 PO1定义战略性的信息技术规划PO1.6IT 投资组合管理PO2.1企业信息结构模型6.1.1 信息安全管理承诺 第六条PO2.2企业数

39、据字典和数据语法规则PO2.3数据分类方案7.2 信息分类P02定义信息体系结构PO2.4完整性管理10.5.1 信息备份PO3.1技术方向计划PO3.2技术基础设施计划5.1.2 信息安全方针评审PO3.3监测未来的趋势和法规6.1.1 信息安全管理承诺 PO3.4技术标准PO3决定技术方向PO3.5IT 架构委员会6.1.1 信息安全管理承诺 PO4.1IT 流程框架PO4.2IT 战略委员会6.1.1 信息安全管理承诺第六条第七条（二）第八条第九条PO4.3IT 指导委员会6.1.1 信息安全管理承诺 第六条第七条（二）第八条第九条PO4.4IT 职能的机构设置6.1.1 信息安全管理承

40、诺 至 6.1.5 保密协议第六条第七条（二）第八条第九条第四十四条POPO4定义信息技术相关的过程,机构及其互相的关系PO4.5IT 组织的结构6.1.1 信息安全管理承诺 第六条第七条（二）第十条安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司20PO4.6角色和责任6.1.3 信息安全职责分配 8.1.1 角色和职责第六条第七条（二）第八条第九条PO4.7IT 质量保证的责任8.2.1 管理职责第六条第七条（二）PO4.8风险,安全和依从的责任6.1.1 信息安全管理承诺 6.1.2 信息安全协调 6.1.3 信息安全职责分配 8.1.1 角色和职责 15.1.4 个人

41、信息的数据保护和隐私第六条第七条（二）第八条PO4.9数据和系统的拥有者6.1.3 信息安全职责分配7.1.2 资产所有者关系8.3.3 撤销访问权限第六条第七条（二）PO4.10监督6.1.2 信息安全协调 6.1.3 信息安全职责分配第七条（三）PO4.11职责分离10.1.3 职责分离10.1.4 开发、测试与运营设施的分离第十七条第十条第十一条PO4.12IT 人员配备第十条第十一条PO4.13关键 IT 人员第十条第十一条第十二条PO4.1与员工签约的政策和程序6.2.3 在第三方协议中强调安全 8.1.3 雇佣条款和条件PO4.15关系6.1 内部组织第七条（四）PO5.1财务管理

42、框架PO5.2IT 预算优先PO5.3编制 IT 预算过程PO5.4成本管理5.1.2 信息安全方针评审PO5管理信息技术投资PO5.5收益管理5.1.2 信息安全方针评审 PO6沟通管理的目标和方向PO6.1IT 策略和控制环境5.1 信息安全方针,6.1 内部组织 8.18.2.2 信息安全意识、教安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司21育和培训8.2.313.1PO6.2企业 IT 风险和内部控制框架5.1 信息安全方针 5.1.1 信息安全策略文档, PO6.3IT 策略管理5.1 信息安全方针6.1 内部组织 第十五条PO64策略的首次展出PO6.5IT

43、 目标和方向的交流PO7.1员工招聘和维持8.1.2 选拔8.1.3 雇佣条款和条件PO7.2员工能力6.1 内部组织8.1 雇佣前第七条（八）PO7.3员工角色安排6.1 内部组织6.1.3 信息安全职责分配8.1 雇佣前8.1.1 角色和职责8.1.3 雇佣条款和条件13.1 报告信息安全事故和弱点PO7.4人员培训6.2.3 在第三方协议中强调安全第七条（八）PO7.5对个别人员的依赖第四十四条PO7.6人员清除程序8.1.2 选拔PO7.7员工工作绩效考评8.1.2 选拔8.1.3 雇佣条款和条件管理人力资源PO7.8工作变化和终止8.1.1 角色和职责8.1.3 雇佣条款和条件 8.

44、3.1 终止职责 8.3.2 归还资产 8.3.3 撤销访问权限PO8.1质量管理系统PO8.2IT 标准和质量实践PO8.3发展和获取标准 ALCPO8.4客户的关注点PO8.5连续性的改进确认符合外部的要求PO8.6质量管理,监视和检查第七条（五）PO9评估风PO9.1IT 和业务风险管安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司22理结盟PO9.2风险关系的建立PO9.3事件鉴定6.2.1 识别与外部组织相关的风险9.1 安全区域 9.2.6 设备的安全处置或重用第二十条PO9.4风险评估6.1.2 信息安全协调6.2.1 识别与外部组织相关的风险14.1.2 业务

45、连续性和风险评估第二十条第七条（九）PO9.5风险响应第二十条险PO9.6一个风险行动计划的维护和监视PO10.1项目管理构架第三十三条PO10.2项目管理框架PO10.3项目管理方法PO10.4利益相关者许诺第三十四条PO10.5项目范围声明第三十四条PO10.6项目阶段开始PO10.7整合的项目计划PO10.8项目资源PO10.9项目风险管理PO10.10项目质量计划PO10.11项目变化控制PO10.12项目计划的担保方法PO10.13项目性能检测,报告和监视管理项目PO10.14项目结束AI1.1企业功能及技术需求的定义及维护第三十六条AI1.2风险分析报告第三十五条AI1.3作用的选

46、择过程的可行性研究和公式化AI1识别自动化的解决方案AI1.4需求和可行性的决定和认同AI2.1概要设计 第三十七条AIAI2获得和维护应用软件AI2.2详细设计第二十二条第二十一条安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司23AI2.3应用控制和可审计性12.4 系统文件安全第二十五条第二十六条AI2.4应用安全和可用性11.6 应用系统和信息访问控制12.2.3 消息完整性9.2.4 设备维护10.4 防范恶意和移动代码10.5 备份10.8 信息交换10.9 电子商务服务第二十六条第二十五条第二十四条第二十三条AI2.5所需应用软件的配置与实施12.4.1 操作软

47、件控制第二十四条AI2.6现有系统的重要升级10.3.2 系统验收12.4.1 操作软件控制12.5.3 软件包的变更限制14.1.5BCP 的测试、保持和再评估第二十条AI2.7应用软件改进12.5.3 软件包的变更限制AI2.8软件质量保证12.5.2 操作系统变更后的应用系统技术评审第二十三条AI2.9应用需求管理12.5.3 软件包的变更限制AI2.10应用软件维护12.5.1 变更控制程序2.5.3 软件包的变更限制第二十七条AI3.1技术基础设施采购计划AI3.2基础设施资源保护和可用性9.2.4 设备维护第十六条AI3.3基础设施维护9.2.4 设备维护10.5 备份AI3获得和

48、维护技术基础设施AI3.4可行性测试环境第三十八条第二十八条第二十七条AI4.1对可操作性解决方案的设计AI4发展和维护流程AI4.2面向企业管理层的知识转移8.2.2 信息安全意识、教育和培训10.3.2 系统验收10.4.1 防范恶意代码12.4.1 操作软件控制ADO安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司24AI4.3面向终端用户的知识转移8.2.2 信息安全意识、教育和培训10.3.2 系统验收10.4.1 防范恶意代码12.4.1 操作软件控制ADOAI4.4面向操作人员和技术支持人员的知识转移8.2.2 信息安全意识、教育和培训10.3.2 系统验收10

49、.4.1 防范恶意代码12.4.1 操作软件控制ADOAI5.1获取控制 ATEAI5.2供应合同管理 6.2.1 识别与外部组织相关的风险6.2.3 在第三方协议中强调安全12.1.1 安全要求分析和规范12.5.5 软件委外开发14.1.5BCP 的测试、保持和再评估15.1 与法律法规要求的符合性第五十九条AI5.3供应商的选择第五十三条AI5.4软件的获取ADOAI5.5可开发资源的获取12.1 信息系统的安全要求AI5安装和授权系统AI5.6基础设施、设备以及相关服务的获取AI6.1变更的标准和规程6.1.4 信息处理设施的授权问题6.2.3 在第三方协议中强调安全10.1.2 变更

50、管理12.5 开发和支持过程安全12.5.1 变更控制程序12.5.3 软件包的变更限制13.1.2 报告安全弱点第三十九条AI6管理变更AI6.2影响的评定、优先化与授权安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司25AI6.3紧急变更6.2.3 在第三方协议中强调安全9.2.2 支持性设施14.1.4 业务连续性计划框架第三十九条AI6.4 变更情况的跟踪报道 第三十九条AI6.5变更结束与归档第三十九条AI7.1培训8.2.2 信息安全意识、教育和培训10.3.2 系统验收10.4.1 防范恶意代码12.4.1 操作软件控制AI7.2测试计划10.1 操作程序和职责

51、12.4 系统文件安全14.1.5BCP 的测试、保持和再评估第四十条AI7.3实施计划第四十条AI7.4测试环境10.1.4 开发、测试与运营设施的分离第二十八条AI7.5系统与数据转换第二十八条AI7.6测试变更12.1.1 安全要求分析和规范12.5.1 变更控制程序2.5.3 软件包的变更限制第四十条AI7.7最终验收测试10.3.2 系统验收12.1.1 安全要求分析和规范15.2.2 技术符合性检查 ATEAI7.8产品推出 ATEAI7.9软件发布第二十条AI7.10系统布署ADOAI7.11变更的记录与追踪第四十一条AI7安装和获取解决方案及变更AI7.12实施后评审10.3.

52、2 系统验收第四十二条DS1.1服务水平管理框架的建立第二十九条DS1.2定义服务第三十一条DS1.3确定相关的服务水平协议第五十二条DS1.4执行服务水平协议第五十二条DSDS1定义和管理服务水平DS1.5监控并汇报服务第五十二条安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司26水平管理的成果DS1.6回顾并更新服务水平管理协议第五十二条DS2.1识别所有的供应商关系6.2第五十三条DS2.2供应商关系管理6.2 外部组织第五十四条DS2.3供应商风险管理6.2 外部组织第五十六条第五十七条DS2管理第三方的服务DS2.4供应商绩效考核6.2 外部组织第五十八条DS3.1

53、IT 系统性能和容量规划10.3.1 容量管理第二十三条DS3.2评估现有 IT 系统的容量和性能10.3.1 容量管理第二十三条DS3.3预测未来的容量和性能10.3.1 容量管理第二十三条DS3.4IT 资源的可用性；10.6.1 网络控制第二十三条DS3管理 IT系统的性能和容量DS3.5持续监控及报告对应的 IT 系统性能和容量。10.3.1 容量管理10.5.1 信息备份第二十三条DS4.1建立 IT 持续性运营框架14.1.1 在业务连续性管理过程中包含信息安全14.1.2 业务连续性和风险评估第七条（四）DS4.2建立 IT 持续性运营规划14.1 业务连续性管理的信息安全方面D

54、S4.3关注重要 IT 资源DS4.4维护 IT 持续性运营计划14.1.5BCP 的测试、保持和再评估DS4.5测试和演练 IT持续性运营计划14.1.5BCP 的测试、保持和再评估第二十九条DS4.6IT 持续性运营计划的培训14.1.4 业务连续性计划框架DS4.7IT 持续性运营计划的分发14.1.3 开发并实施包括信息安全的连续性计划DS4保证服务的持续性DS4.8定义 IT 服务灾难恢复阶段的操作指南10.5 备份第二十九条安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司27DS4.9异地灾备系统9.2 设备安全10.5 备份14.1.3 开发并实施包括信息安全的

55、连续性计划DS4.10IT 服务恢复后的检查10.5 备份DS5.1IT 系统安全的管理（在公司层面进行 IT 系统安全管理，从而保证安全管理的活动与企业业务要求保持一致）7.1 资产责任9.1 安全区域9.1.5 在安全区域工作10.1.1 文件化的操作程序 10.7.1 移动介质的管理11.1.1 访问控制策略11.4.1 网络服务使用策略 11.6.1 信息访问限制12.3.1 使用加密控制的策略 FMTDS5.2IT 系统安全的规划5.1 信息安全方针DS5.3用户标识的管理11.1 访问控制的业务要求11.2 用户访问管理DS5保证系统的安全性DS5.4用户帐号及相关系统权限的管理6

56、.1.3 信息安全职责分配6.1.4 信息处理设施的授权问题6.2.1 识别与外部组织相关的风险8.1.2 选拔9.1.2 物理进入控制10.7.3 信息处置程序11.1.1 访问控制策略11.2.1 用户注册11.2.2 特权管理11.6.1 信息访问限制12.4.2 系统测试数据的保护第四十四条第五十五条安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司28DS5.5IT 系统的安全测试，审计及监控10.1.4 开发、测试与运营设施的分离10.3.2 系统验收12.1.1 安全要求分析和规范12.4.2 系统测试数据的保护12.5.2 操作系统变更后的应用系统技术评审 AT

57、EDS5.6安全事件的定义13.1.1 报告信息安全事件DS5.7安全技术的保护6.1.5 保密协议8.1.3 雇佣条款和条件10.1.1 文件化的操作程序 11.2.3 用户口令管理15.1.6 密码控制的法律法规 DS5.8加密密钥的管理10.9.1 电子商务12.3.2 密钥管理15.1.3 组织记录的保护DS5.9恶意软件的防范、 检测及纠正10.4.1 防范恶意代码DS5.10网络安全10.6 网络安全管理DS5.11敏感数据交换、传输的安全保护10.8 信息交换DS6.1识别所有的 IT成本或开销，并对应到 IT 服务DS6.2IT 开销的审计（包括对 IT 预算和实际开销差距的分

58、析和报告）DS6.3费用模型及付款定义并分配成本DS6.4费用模型的维护DS7.1识别用户教育和培训的需求5.1.1 信息安全策略文档8.2.2 信息安全意识、教育和培训11.3 用户责任DS7.2教育和培训的实施8.2.2 信息安全意识、教育和培训10.3.2 系统验收DS7使用者的有效培训DS7.3评估培训效果安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司29DS8.1服务台,10.6.1 网络控制访问控制DS8.2 登记用户的询问10.6.1 网络控制访问控制DS8.3 事件升级8.1.1 角色和职责13.1.1 报告信息安全事件 第五十条DS8.4 事件关闭DS8管

59、理服务台及事件DS8.5 趋势分析13.2 信息安全事故管理和改进DS9.1 配置信息的存储和基线7.1.1 资产清单 10.1.2 变更管理DS9.2 配置项的标识和维护10.1.2 变更管理DS9配置管理DS9.3配置的完整性审查DS10.1问题的确定和分类DS10.2问题的跟踪和解决第五十条DS10.3 终止问题DS10问题管理DS10.4 对变更,配置和问题管理的整合10.1.2 变更管理第四十七条DS11.1业务对数据管理的需求DS11.2存储和保持的安排DS11.3媒体库管理系统DS11.4处理6.1.4 信息处理设施的授权问题7.2.29.2.1 设备选址与保护9.2.710.7

60、10.7.3 信息处置程序11.7.1DS11管理数据资产DS11.5备份与恢复10.5 备份安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司30DS11.6数据管理的安全需求5.1.1 信息安全策略文档8.1.3 雇佣条款和条件9.1.2 物理进入控制9.2.4 设备维护9.2.6 设备的安全处置或重用10.7.2 介质的销毁10.7.4 系统文档安全 DS12.地点的选择与规划9.1.1 物理安全边界9.2.1 设备选址与保护DS12.2物理安全措施9.1 安全区域第四十五条DS12.3物理访问9.1.2 物理进入控制第四十六条DS12.4环境因素防护9.1 安全区域9.

61、2 设备安全第四十五条DS12设备管理DS12.5物理设施管理9.2 设备安全DS13.1操作流程和说明10.1 操作程序和职责第四十六条DS13.2工作计划10.1 操作程序和职责DS13.3基础体系管理第四十九条DS13.4敏感文档和输出设备10.7.4 系统文档安全 第四十六条DS13操作管理DS13.5对硬件的预防性维护10.1 操作程序和职责第四十六条ME1.1 监督办法第六十条ME1.2 收集确定监测数据13.2.3 收集证据第六十一条ME1.3 监测方法第六十二条ME1.4 绩效考评第七十条ME1.5 执行委员会和主管报告第七十一条ME1监测和评估 IT绩效ME1.6 补救14.

62、1.3 开发并实施包括信息安全的连续性计划第七十条ME2 .1 监督和评估内部控制框架第六十四条第六十六条ME2.2 监督审查第六十九条ME2.3 例外控制13.1.1 报告信息安全事件第六十七条ME2.4 控制自我评估ME2.5 内部控制的保证MEME2监测和评估内部控制ME2.6 第三方的内部控制6.2.1 识别与外部组织相关的风险6.2.3 在第三方协议中强调安全,第五十五条安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司31ME2.7 补救14.1.3 开发并实施包括信息安全的连续性计划第七十条ME3.1 法律和规则的确认带给资讯潜在的影响15.1.1 信息安全策略文

63、档第十九条第十三条ME3.2对管理的需求回应的最佳化ME3.3 评估符合监管要求15.1 与法律法规要求的符合性15.2 与安全策略和标准的符合性，以及技术符合性 第十三条第七条（七）ME3.4 积极履行保证15.1 与法律法规要求的符合性15.2 与安全策略和标准的符合性，以及技术符合性第七条第十三条ME3保证法律法规的符合性ME3.5 综合报告第七条（六）ME4.1 建立 IT 管理架构5.1.1 信息安全策略文档ME4.2 战略调整第七十条ME4.3 提供价值ME4.4资源管理7.1 资产责任7.2 信息分类第四十八条ME4.5 风险管理5.1.1 信息安全策略文档ME4.4 考绩8.2

64、 雇佣中ME4执行治理 ME4.7独立保证6.2 外部组织第六十八条3.23.2 安全风险评估策略安全风险评估策略3.2.13.2.1 风险管理原则风险管理原则为了有效地控制信息安全风险，需要确立风险管理的原则如下：1. 评估风险，决定需求；2. 建立风险管理中心；3. 实施相应的策略和相关的控制；4. 提高客户关注程度；5. 监控和评估策略以及控制效力。安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司32一个成功的组织应该应用这些原则，将自己融入一个关注风险的持续的循环处理中。信息保障程序的成功取决于信息系统受风险的影响程度以及这些风险对交易操作的影响。在评估交易操作的风险

65、之后，组织机构还应该：1. 制订策略，选择控制；2. 增加对策略和控制的关注程度；3. 监控策略和控制的效力；4. 根据结果来决定是否应该对策略和控制进行修改。所有组织说风险认识和相关的代价利益的折衷是他们信息保障相关程序的主要关注点。信息保障不是终点，但是整合到交易处理过程中，例如，设立为支持交易操作而设计的策略和控制。3.2.23.2.2 建模策略建模策略ISO/IEC13335 中指出了四种风险评估方法：基线方法、非正式方法、详细的风险评估方法、复合的方法。基线方法主要是使用一套标准的安全措施集合作用于信息系统，从而获得最基本的保护级别；非正式方法挖掘安全专家的知识和经验，推导出一套实际

66、可操作的风险分析方法；详细的风险评估方法主要是详细描述系统中资产的类型和价值，评估与资产相关的威胁和风险；复合方法综合了基线方法（运用于一般的信息系统）和详细方法（运用于重要的信息系统）。AS/NZS 4360: 2001 风险管理标准中又提出了 FMECA (Failure Mode, Effects and Criticality Analysis)方法，利用这种方法可以用可能性和结果的乘积建立风险级别矩阵。我们拟综合 ISO/IEC13335 和 AS/NZS 4360 的几种方法，依据银行业金融机构信息系统风险管理指引的要求，根据提出的评估原则，建立本项安全工程的风险模型：风险评估过程模型、风险管理模型、关系模型与计算模型。安全源自未雨绸缪，诚信贵在风雨同舟北京启明星辰信息技术股份有限公司333.2.33.2.3 信息安全管理信息安全管理安全风险评估必须严格按照统一、高效的规范来操作，这就要求建立一个以评估结果为内容，提供符合多种标准的报表、报告，并可以灵活定制输入/输出格式的安全信息数据库，将我们的审计、检测以及手工采集的数据导入其中。这样，既可以为评估工作快速地提供素材，实