金融行业安全服务解决方案.docx
《金融行业安全服务解决方案.docx》由会员分享,可在线阅读,更多相关《金融行业安全服务解决方案.docx(81页珍藏版)》请在冰豆网上搜索。
金融行业安全服务解决方案
金融行业安全服务解决方案
(此文档为word格式,下载后您可任意修改编辑!
)
第1章概述
1.1需求分析
随着金融业务的高速发展,对信息系统的要求越来越高。
在信息系统建设的同时,也非常注重信息安全的建设,为了进一步提高信息系统的安全性,依据长期发展战略,提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求,具体包括如下几个方面:
Ø完善信息科技部门信息安全管理体系;
Ø提高信息安全应急响应能力;
Ø提高信息安全人员意识及技术能力;
Ø提高银行自身合规性的能力;
Ø加强对国内外安全事件技术分析和趋势跟踪;
Ø清楚认识网上银行存在的风险,提高网上银行的安全性。
1.2项目建设目标
通过项目建设,达到如下目标:
Ø根据中国银行业监督管理委员会下发的相关信息科技风险管理指引,以及国际流行的信息安全风险管理规范,结合信息科技发展的实际情况,进一步完善和细化信息科技风险管理制度和流程;
Ø提高对信息安全的应急能力;
Ø通过培训等手段提高信息科技部技术队伍人员的信息安全意识和技能水平;
Ø提高符合监管部门监管要求、法律法规的能力;
Ø通过评估网上银行的现状,提出网银安全建设和整改方案,并监控来自互联网针对网银的攻击行为。
第2章方案内容
为了满足安全需求,达到预定目标,项目建设的内容如下:
2.1安全管理咨询顾问服务
2.1.1进行信息安全管理体系咨询
在已有信息安全管理制度、规范的基础上,进一步制定可落实、可执行的信息安全管理体系,涵盖策略、规范、流程等各个层面。
通过多年的积累,结合BS7799及COBIT最佳实践,形成了自己的一套管理制度体系,这套管理体系可以根据客户的实际情况进行裁剪。
在本项目中,我们将会对某某现有制度进行梳理,结合公司的管理体系框架,形成一套适合某某的管理制度体系及流程,具体如下步骤:
本活动由以下步骤组成:
步骤1:
分析已获信息
策略规划小组对已收集的各种文档信息进行分析,鉴别已有的信息安全策略,并进行相应的记录。
步骤2:
设计框架结构
根据已获得的信息,策略规划小组设计信息安全策略框架。
步骤3:
沟通框架结构
针对已创建的信息安全策略框架,策略规划小组与相关人员进行沟通。
步骤4:
制定安全策略
在确定了信息安全策略的框架之后,策略规划小组为制定信息安全策略。
步骤5:
分析评估报告
策略规划小组分析已完成的评估报告,鉴别评估过程中发现的问题。
步骤6:
完善安全策略
根据评估报告中所发现的问题,策略规划小组完善信息安全策略。
2.1.2协助进行信息安全应急响应演练
协助信息科技部门制定网络安全应急响应流程,并参与某某组织的应急响应演练,评估应急响应演练效果并提供改进建议。
在制定某某信息科技部门制定网络安全应急响应流程中将结合现有信息系统情况,制定可实施的应急预案,将按照应急预案进行演练,并制定详细的恢复计划,保证最小化影响业务系统。
制定好应急预案后,将根据应急预案协助某某进行应急响应演练,检验应急预赛的可行性,评估应急响应演练效果并提供改进建议。
在应急演练过程中,将检验如下的各个环节:
Ø建立应急组织
Ø应急准备
Ø应急演练
Ø应急启动与处理
Ø应急恢复与重建
Ø应急结束
Ø应急总结
Ø应急汇报与信息披露
2.1.3提供定制化的信息安全培训
针对普通员工、科技干部、管理层提供不同类型的信息安全培训,包括管理培训和网络安全技术。
将根据某某的实际情况,提供客户化的培训,具体计划如下:
对管理人员进行管理培训,提供2人次的BS7799培训;
对技术人员进行4人次的CISP培训;
对普通员工进行现场的安全意识培训。
2.1.4提供互联网安全事件应急响应服务
针对来自互联网的入侵、蠕虫爆发提供应急响应服务。
将分级别为某某提供互联网安全事件的应急响应服务,具体计划如下:
分类
说明
响应方式
高级事件
由攻击行为直接引起的相关事件,正在危害,或者即将危害到系统的业务连续性。
非攻击行为造成,但是影响到目标系统业务持续性的事件。
现场为主,远程
中级事件
由非攻击行为直接引起的其他事件,而且这种事件没有直接影响到当前业务的持续性。
例如一般性安全咨询,产品升级,病毒库升级等等。
远程为主(电话,邮件,传真等),必要时进行现场支持
低级事件
攻击或者非法事件并没有对系统造成伤害,但有入侵企图,可能会造成损害。
远程为主(电话,邮件,传真等)
2.1.5国内外安全事件技术分析和趋势跟踪
关注安全业内动态、与国、内外安全机构有密切的联系,密切跟踪安全事件及安全发展趋势,将为某某以月为周期提供趋势跟踪分析报告,在出现重大安全漏洞和事件时提供预警服务,使某某防患于未然。
以月为周期提供趋势跟踪分析报告,在出现重大安全漏洞和事件时提供预警服务。
2.2安全建设及安全监控外包服务
2.2.1风险评估
针对某某网银进行风险评估,提出网银的改进方案,并结合某某业务提出网银的发展规划。
2.2.2提供安全改造咨询
为某某安全改造提供技术咨询。
2.2.3提供加固技术支持
为某某系统加固提供技术支持。
2.2.4提供监控服务
提供7X24小时安全监控服务,在出现异常攻击行为时进行及时的应急响应处理。
第3章评估理论、方法及模型
通过风险评估服务,可以提高客户关键业务系统的可用性和可靠性、降低信息安全管理成本,提高金融企业对行业监管、国家政策的合规性,同时也可为其他外部系统提供安全基准,进一步增强客户的竞争优势。
在设计过程和方案的实施中,结合客户网络的特点,遵循和参照最新、最权威、最具有代表性的国家和国际信息安全标准与建议。
下面给出了相关标准和法规、政策在方案中的体现。
3.1相关标准与规范
3.1.1评估咨询项目的标准性原则
某某提供的本次安全评估咨询服务,将依据《2006年度银行业金融机构信息科技风险评价审计要点》、《银行业金融机构信息系统风险管理指引》、《电子银行安全评估指引(征求意见稿)》、《商业银行内部控制评价试行办法》中的相关要求进行评估,同时为保证本次评估的全面性,还将参考相关的国际标准、国内标准和电信行业的相关规范,并有选择性地采纳优秀的风险评估理论。
国际标准包括ISO17799:
2005《信息技术-信息安全管理业务规范》、GAO/AIMD-00-33、《信息安全风险评估》、ISOISO/TR13569《银行和相关金融服务一信息安全指南》、AS/NZS4360:
1999,ISO15408等;国家标准包括GB17859,GB18336等。
同时我们将参考COSO/ERM《企业风险管理一整体框架》、Cobit4.0、ITIL3.0、Prince2等IT治理模型;这些标准和操作指南目前已经被金融行业风险评估项目和IT治理项目中进行了实践,并得到了用户的认可和好评。
除对标准的遵循外,某某的风险评估过程还紧密结合金融行业的各种业务特征,依据某某的业务特点,系统地制定了某某信息安全风险评估方案。
3.1.2方案中标准的体现对照
评估过程
参照标准
调查表和问题的设计
《2006年度银行业金融机构信息科技风险评价审计要点》
《银行业金融机构信息系统风险管理指引》
《电子银行安全评估指引(征求意见稿)》
《商业银行内部控制评价试行办法》
ISOISO/TR13569《银行和相关金融服务-信息安全指南》
Cobit4.0
加拿大《威胁和风险评估工作指南》
美国国防部彩虹系列NCSC-TG-019
ISO17799/BS7799
资产评估
ISO17799/BS7799
加拿大《威胁和风险评估工作指南》
风险分析方法
ISO13335
风险分析模型
《AS/NZS4360:
1999风险管理标准》
风险计算模型
《AS/NZS4360:
1999风险管理标准》
GAO/AIMD-00-33《信息安全风险评估》
安全管理评估
《2006年度银行业金融机构信息科技风险评价审计要点》
《银行业金融机构信息系统风险管理指引》
《电子银行安全评估指引(征求意见稿)》
《商业银行内部控制评价试行办法》
ISOISO/TR13569《银行和相关金融服务-信息安全指南》
Cobit4.0
ISO17799/BS7799
ISO13335
物理安全评估
《银行业金融机构信息系统风险管理指引》
ISO17799/BS7799
ISOISO/TR13569《银行和相关金融服务-信息安全指南》
网络设备安全性
ISO15408(CC)
GB17859
解决方案咨询
《2006年度银行业金融机构信息科技风险评价审计要点》
《银行业金融机构信息系统风险管理指引》
《电子银行安全评估指引(征求意见稿)》
《商业银行内部控制评价试行办法》
ISOISO/TR13569《银行和相关金融服务-信息安全指南》
Cobit4.0
ISO17799/BS7799
3.1.3相关标准规范介绍
3.1.3.1COSO报告《内部控制整体框架》与ERM《企业风险管理一整体框架》
美国全美反舞弊性财务报告委员会(又称COSO委员会)于1992年发布了《内部控制——整体框架》(以下称COSO报告)。
COSO报告为企事业单位构建起一个三维立体的全面风险防范体系。
COSO报告提出,COSO整体框架包括3大运营目标和5大控制要素。
内部控制3大运营目标:
1、运营的效果和效率;
2、财务报告的可靠性;
3、遵守适用的法律和法规(合规性)
内部控制由5个要素:
即控制环境、风险评估、控制活动、信息与沟通和监控。
五要素中,各个要素有其不同的功能,内部控制并非五个要素的简单相加,而是由这些相互联系、相互制约、相辅相成的要素,按照一定的结构组成的完整的、能对变化的环境做出反应的系统。
控制环境是整个内控系统的基石,支撑和决定着风险评估、控制活动、信息传递和监督,是建立所有事项的基础;实施风险评估进而管理风险是建立控制活动的重点;控制活动是内部控制的主要组成部分;信息传递贯穿上下,将整个内控结构凝聚在一起,是内部控制的实质;监督位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。
2004年COSO又发布了ERM《企业风险管理一整体框架》,如下图所示:
说明:
COSO通用内控框架与ERM虽是同一个机构所发布,但是ERM不是COSO总体内控框架的替代品。
3.1.3.2COBIT《信息及相关技术的控制目标》
1996年,作为一项IT安全与控制的实践标准,COBIT由信息系统审计与控制组织和IT管理协会共同开发。
它为IT、安全、审计经理和用户提供了一套完整的参考框架。
目前,COBIT已经发布了第四版,它正在成为控制数据、系统和相关风险的优秀实践法则,并逐渐被越来越多的用户所接受。
它将帮助企业部署对系统和网络的有效管理。
COBIT框架具有以业务为关注焦点、以过程为导向、基于控制和测量驱动的特点。
为实现业务目标,COBIT定义了七个独立但又有所重叠的信息准则:
●有效性:
应以及时、正确、一致和可用的方式来交付与业务过程有关的信息;
●效率2:
通过优化(生产率最高且经济合理)资源使用来交付信息;
●保密性:
保护敏感信息免受未授权泄漏;
●完整性:
信息的正确和完整,并根据业务价值和期望进行验证;
●可用性:
若业务过程现在或将来需要时,信息是可用的。
可关注于保护所需的资源及相关的能力;
●符合性:
符合业务过程必须遵循的法律法规要求和合同约定,即外部的强制性要求和内部策略;
●可靠性:
为管理者提供适当的信息,以管理组织并检验其可信和治理职责。
COBIT将IT资源定义为:
●应用系统:
用户处理信息的自动化用户系统及手册程序;
●信息:
信息系统输入、处理和输出的所有形式的数据,可以被业务以任何形式所使用;
●基础设施:
保障应用系统处理信息所需的技术和设施(硬件、操作系统、数据库管理系统、网络、多媒体等,以及放置、支持上述技术和设施的环境);
●人员:
策划、组织、采购、实施、交付、支持、监视和评价信息系统和服务所需的人员。
COBIT在四个域内采用过程模型的方式定义IT活动,四个域分别是:
策划与组织、获取与实施、交付与支持、监视与评价。
这些域映射到传统的IT职责域:
计划、建设、运营和监视。
即PDCA管理模型。
管理指导方针的部件由衡量企业在34种IT流程中能力的工具所组成。
这些工具包括了性能测量组件、为每种IT流程提供最佳实践的关键成功因素清单,以及帮助进行基准测试的成熟度模型。
Cobit的三维模型如下图所示:
Cobit整体架构如下图所示:
3.1.3.3ITIL《IT基础架构库》
80年代中期,英国政府部门发现提供给其的IT服务质量不佳,于是要求当时的政府计算机和电信局(CCTA)(后来并入英国政府商务部(OGC)),启动一个项目对此进行调查,并开发一套有效的和可进行财务计量的IT资源使用方法以供本国的政府部门和私有部门使用。
同时,这种方法还应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。
这个项目的最终成果是一套公开出版的IT管理指南,这就是ITIL(InformationTechnologyInfrastructureLibrary)。
到90年代中期,ITIL成为了事实上的欧洲IT服务管理标准。
90年代后期,ITIL又被引入到美国、南非和澳大利亚等国家和地区。
2001年英国标准协会(BSI)在国际IT服务管理论坛(itSMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。
2002年BS15000被提交给国际标准化组织(ISO),申请成为了IT服务管理国际标准ISO20000。
ITIL是有关IT服务管理流程的最佳实践,事实上,经过近20多年的发展,以流程为主线,进行了全面的扩充,最终形成了如图1所示的框架。
这个框架现在成为了事实上的IT服务管理知识框架体系。
上图显示了引入模块所处的整体环境和结构。
它显示了每个模块同业务和技
术的关系。
从图中可见,业务视野模块是如何更紧密地同业务相联系而信息和通
信技术(ICT)基础设施管理模块是如何更紧密地同技术本身相联系。
服务提供
和服务支持模块提供了过程框架和核心。
这七个模块组成了ITIL的核心。
下面将对其中各个模块的新的范围、内容及其关系进行介绍。
●服务提供:
覆盖了规划和提供高质量IT服务所需的过程,并且着眼于改进所提供的IT服务的质量相关的长期过程。
●服务支持:
服务支持描述了同所提供的IT服务日常支持和维护活动相关的过程。
●信息和通信技术基础设施管理(ICTIM):
信息和通信技术基础设施管理覆盖了从标识业务需求到招投标过程、到信息和通信技术组件和IT服务的测试、安装、部署以及后续运行和优化的信息和通信技术基础设施管理的所有方面。
●规划实施服务管理:
检查组织机构内规划、实施和改进服务管理过程中所涉及的问题和任务。
它也考虑同解决文化和组织机构变更、开发远景和战略以及方案的最合适方法等相关的问题。
●应用管理:
描述了如何管理应用从最初的业务需求直至和包括应用废弃的应用生命周期的所有阶段。
它将重点放在在应用的整个生命周期内确保IT项目和战略同业务建立紧密的联系,以确保业务从其投资中获得最佳价值。
●业务视野:
提供了建议和指南,以帮助IT人员理解他们如何才能为业务目标作出贡献以及如何更好地联系和挖掘其角色和服务以最大化其贡献。
●安全管理:
详细描述了规划和管理用于信息和IT服务的给定级别安全的过程,包括同响应安全事故相关的所有方面。
它也包括了风险和脆弱性的评估和管理,以及成本有效的对策的实施
ITIL的IT服务流程可供我们在做安全咨询及安全解决方案设计时作参考。
3.1.3.4ISO27001《信息安全管理规范》
ISO27001:
2005由11个大的控制方面、39个控制目标、133个控制措施构成。
ISO/IEC27001:
2005要求组织应根据整体业务活动及其面临的风险通过制定信息安全方针、制定体系范围、明确管理职责,通过风险评估确定控制目标与控制措施等活动建立信息安全管理体系(ISMS);体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,如方针、适用性声明文件和实施安全控制所必须的程序文件。
通过建立、实施、运作、监视、评审、保持并改进文件化的信息安全管理体系,使组织拥有持续改进的信息安全保障能力,为实现业务目标提供支撑。
ISO/IEC27001:
2005规定了建立、实施和文件化信息安全管理体系得要求。
它规定了组织根据其需求实施安全控制的要求。
体系规范的结构如下图所示:
图.ISO/IEC27001:
2005结构
信息安全管理体系作为一个管理标准,也遵循了PDCA(Plan-Do-Check-Action,策划-实施-检查-行动)的持续改进的管理模式,这也反映在整个标准的架构上,整个标准的重心在建立ISMS系统,如下图所示:
图.ISMS框架
规划(建立ISMS)
根据组织的整体策略和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果。
执行(实施和运作ISMS)
实施和运作安全策略、控制、过程和程序。
控制(监视和评审ISMS)
适用时,根据ISMS策略、目标和惯有经验评估行,并向管理层报告结果,进行评审。
改进(保持和改进ISMS)
根据内部ISMS审计和管理评审或其他信息施,以实现ISMS的持续改进。
ISO/IEC27001:
2005采用PDCA“规划-执行-控制-改进”(PDCA)过程模式。
该模型适用于建立ISMS的所有过程。
ISMS框架图描述了ISMS如何输入相关方的信息安全要求和期望,经过必需的活动和过程,产生满足这些需求和期望的信息安全输出。
采用PDCA模型也反应了OECD指南(2002)《信息系统和网络的安全治理》中所陈述的准则。
ISO/IEC27001:
2005为在风险评估、安全设计和实施、安全管理和再评估方面实施这些指南中的准则提供了强健模型。
3.1.3.5银监会63号文《银行业金融机构信息系统风险管理指引》
随着银行业金融机构的经营活动日益综合化和国际化,业务和产品越来越复杂,合规失效的事件不断暴露,银行业金融机构经营活动的合规性面临严峻的挑战,原有合规管理框架的有效性受到质疑,合规风险管理的理念和方法需要与时俱进。
近年来,全球银行业的合规风险管理技术得到了快速的发展,普遍实施风险为本的合规管理做法,并把合规管理作为银行业金融机构一项核心的风险管理活动。
2005年4月29日,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》文件,提出了合规管理十项原则,向各国银行业金融机构及其监管当局推荐有效管理合规风险的最佳做法。
加强合规风险管理是银行业金融机构自身努力追求的目标。
银监会根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》,在广泛吸收和借鉴国内外银行业金融机构合规风险管理的良好做法,以及国外银行业监管机构相关规定的基础上,制定了《指引》。
《指引》重点强调了三个方面:
一是建设强有力的合规文化。
合规管理是商业银行一项核心的风险管理活动,合规必须从高层做起,董事会和高级管理层应确定合规基调,确立正确的合规理念,提高全体员工的诚信意识与合规意识,形成良好的合规文化,这对于银行业金融机构有效管理包括合规风险在内的各类风险至关重要。
二是建立有效的合规风险管理体系。
董事会应监督合规政策的有效实施,以使合规缺陷得到及时有效的解决。
高级管理层应贯彻执行合规政策,建立合规管理部门的组织结构,并配备充分和适当的资源,确保发现违规事件时及时采取适当的纠正措施。
合规管理部门应在合规负责人的管理下,协助高级管理层有效管理合规风险,制定并执行风险为本的合规管理计划,实施合规风险识别和管理流程,开展员工的合规培训与教育。
三是建立有利于合规风险管理的三项基本制度,即合规绩效考核制度、合规问责制度和诚信举报制度,加强对管理人员的合规绩效考核,惩罚合规管理失效的人员,追究违规责任人的相应责任,对举报有功者给予适当的奖励,并对举报者给予充分的保护。
《指引》共五章三十一条,基本涵盖了商业银行董事会及其下设委员会、监事会、高级管理层、合规负责人、合规管理部门的合规管理职责以及合规风险识别和管理流程的各个环节,对合规文化建设、合规风险管理体系建设以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出了规定。
《指引》还规定了商业银行合规政策、合规管理程序和合规指南等内部制度的报备要求、合规风险管理计划和合规风险评估报告的报送要求以及重大违规事件的报告要求,明确了监管部门对商业银行合规风险管理进行非现场监管和现场检查的重点。
3.1.3.6Cobit、ISO17799与63号文控制目标对应表
下表我们将Cobit4.0、ISO17799:
2005与银监会发布的63号文中的相关管理控制要求做一对比,以便于评估咨询中参考使用。
Cobit、ISO17799:
2005与63号文控制目标对应表如下:
Cobit4.0
ISO17799:
2005
63号文
域
过程
控制目标
控制目标
条文
PO
PO1
定义战略性的信息技术规划
PO1.1
IT价值管理
7.1资产责任
7.2信息分类
第一条
PO1.2
商业-IT结盟
6.1.1信息安全管理承诺
第五条
PO1.3
现有性能评估
第十五条
PO1.4
IT战略计划
6.1.1信息安全管理承诺
第五条
PO1.5
IT战术计划
6.1.1信息安全管理承诺
PO1.6
IT投资组合管理
P02
定义信息体系结构
PO2.1
企业信息结构模型
6.1.1信息安全管理承诺
第六条
PO2.2
企业数据字典和数据语法规则
PO2.3
数据分类方案
7.2信息分类
PO2.4
完整性管理
10.5.1信息备份
PO3
决定技术方向
PO3.1
技术方向计划
PO3.2
技术基础设施计划
5.1.2信息安全方针评审
PO3.3
监测未来的趋势和法规
6.1.1信息安全管理承诺
PO3.4
技术标准
PO3.5
IT架构委员会
6.1.1信息安全管理承诺
PO4
定义信息技术相关的过程,机构及其互相的关系
PO4.1
IT流程框架
PO4.2
IT战略委员会
6.1.1信息安全管理承诺
第六条
第七条
(二)
第八条
第九条
PO4.3
IT指导委员会
6.1.1信息安全管理承诺
第六条
第七条
(二)
第八条
第九条
PO4.4
IT职能的机构设置
6.1.1信息安全管理承诺
至6.1.5保密协议
第六条
第七条
(二)
第八条
第九条
第四十四条
PO4.5
IT组织的结构
6.1.1信息安全管理承诺
第六条
第七条
(二)
第十条
PO4.6
角色和责任
6.1.3信息安全职责分配
8.1.1角色和职责
第六条
第七条
(二)
第八条
第九条
PO4.7
IT质量保证的责任
8.2.1管理职责
第六条
第七条
(二)
PO4.8
风险,安全和依从的责任
6.1.1信息安全管理承诺
6.1.2信息安全协调
6.1.3
升级会员 