1、1项目概述实施方案时间及人员安排提纲2项目概述背景电子银行带来的发展机遇与挑战。 服务触角向客户延伸,拓展了业务渠道,极大地方便了客户。 新技术的运用增加了一些传统风险,同时带来了另外一些新的风险。 战略风险战略风险 信用风险 流动性流动性、利率、价格价格/ /市场风险市场风险 交易或操作风险交易或操作风险 符合性符合性/ /法律风险法律风险 声誉风险声誉风险为管理电子银行安全风险,一系列行业规章制度标准指南出台。 巴塞尔银行监管委员会。 中国银监会 。我行初步完成了电子银行系统开发与建设,需要了解系统安全状态。 安全所处的位置。 与相关行业规章制度标准指南的符合性。3 掌握电子银行系统的应用
2、及安全状况; 按照银监会相关要求完成电子银行系统的安全评估; 提出改进建议或方案。项目概述目标4项目概述评估参考依据国家标准信息安全风险评估指南信息安全风险管理指南银监会规章制度指南商业银行内部控制评价办法银行业金融机构信息系统风险管理指引银行业金融机构内部审计指引电子银行业务管理办法电子银行安全评估指引其它相关电子银行风险管理原则 (巴塞尔银行监管委员会) BS7799/ISO27000系列5 组织范围 总部IT部门、业务部门?风险管理部门?审计部门? 分支机构? 系统范围 网上银行信息网站交易网站 ATM? 手机银行? 自助银行 电话银行? 工作范围 电子银行安全评估 电子银行安全及风险控
3、制体系建议项目概述范围6项目概述实施方案时间及人员安排提纲7实施方案评估总体思路业务层面业务层面(业务流程建设、业务操作) 业务流程建设(流程基本评估) 业务应用控制(与业务有关的IT控制,需要分解流程步骤,针对每一步进行) 业务控制(需要分解流程步骤,针对每一步进行)系统平台层面系统平台层面(与电子银行相关的系统平台,即IT基础设施) 应用支撑平台(如果物理、网络、系统平台、数据库等) 应用系统与电子银行相关的总体层面与电子银行相关的总体层面(IT管理层面,这个层面是为所有IT业务应用系统服务的,因此会影响到电子银行系统) IT治理环境(含组织架构) 风险管理或控制框架(控制环境、风险评估、
4、信息沟通、监控等) 系统规划与建设(生命周期管理,主要是开发与获取) 日常运维管理(日常的事件管理、变更/发布管理、巡检、及其它操作如:备份、监控,定期报告等) 业务持续性计划(BCP) 外包管理 信息安全管理作为机构IT业务应用系统之一,电子银行系统需要与其它业务应用系统一起纳入机构全面的风险管理体系中。电子银行风险评估涉及三个层面:8安全管理评估(策略、组织架构、制度) 安全策略(电子银行系统整个生命周期的策略建设); 组织架构与人员安排(与电子银行系统相关组织建设与人员安排); 管理制度建设(与风险管理、开发与获取、安全管理、运营管理、内部控制、应急响应、业务连续性、外包等)。IT基础设
5、施安全评估 支撑平台物理环境(物理环境、机房环境、介质与设备安全);网络平台(网络结构、网络管理、网络安全);系统平台(业务主机、操作系统安全、数据库安全等)。 应用系统安全身份鉴别与访问控制;交易安全;数据安全(传输、处理、存储);密钥安全;输入输出合法性/异常处理/日志与审计;系统可用性。业务风险评估 业务流程建设; 业务应用控制; 业务控制。实施方案评估内容9实施方案安全管理评估目标评估当前电子银行相关安全方针与策略是否完备,已有的策略是否得到了有效的执行。评估要点安全策略制定的流程与合理性;与电子银行相关的总体(战略)规划;与电子银行系统相关的风险管理策略;与电子银行系统相关的开发与获
6、取策略;与电子银行系统安全管理及内部控制相关的策略;与电子银行系统相关的运维管理策略;与电子银行系统相关的业务持续性与应急安全策略;与电子银行有关的外包管理策略;客户信息安全策略。评估方法安全策略文档审阅;安全策略部署检查。n安全策略评估安全策略评估10实施方案安全管理评估(续)目标 评估与电子银行管理相关的机构与人员设置是否合理。评估要点 组织机构设置的合理性与协调性(包括系统管理/风险管理/审计部门); 人员配备(体现制约关系); 人员技能与培训。评估方法 岗位职责审阅; 安全意识/技能/培训访谈;对工作人员资格情况的检查。n组织架构与人员安排评估组织架构与人员安排评估11实施方案安全管理
7、评估(续)目标检查电子银行是否建立和实施了一套完整的对运行中涉及的各类风险进行识别、监测、衡量和控制的风险管理制度。评估要点电子银行风险管理部门主要负责人对电子银行风险的熟知程度;电子银行风险管理的规章制度与操作规定、程序等。包括:风险模型定义;相关职责划分/人员安排;与目标设定、风险识别、风险评估、风险控制以及风险监测相关的流程及操作程序。电子银行业务风险管理状况。评估方法对所建立的电子银行风险管理模型及框架进行检查;与电子银行有关的风险管理制度及执行情况检查;对其他方面的检查。n风险管理评估风险管理评估12实施方案安全管理评估(续)目标检查电子银行系统的开发与获取过程是否得到适当的控制。评
8、估要点与开发及获取相关的职责安排,组织架构是否合理;开发及获取的标准、方法论及实践;电子银行系统质量保证过程;开发及获取变更控制过程;电子银行系统补丁与发布管理;与电子银行相关文档的管理与控制。评估方法审查开发与获取流程;审阅与电子银行相关的资料文档。n开发与获取评估开发与获取评估13实施方案安全管理评估(续)目标检查电子银行日常安全管理制度是否完善,各项安全制度是否得以落实。评估要点与电子银行系统安全管理有关的制度建立及其执行情况,包括:物理安全;数据通讯安全;应用系统安全;密钥管理;客户信息认证与保密;入侵监测机制和报告反应机制。评估方法 对电子银行安全管理框架进行检查; 电子银行安全管理
9、制度及执行情况检查。n信息安全管理评估信息安全管理评估14实施方案安全管理评估(续)目标检查电子银行日常运营制度及流程是否完善,各项运营制度及流程是否得以落实。评估要点事件管理流程;问题管理流程;变更管理/发布管理流程;配置管理流程;能力管理流程;用户支持;其它日常操作流程,如:巡检、备份、监控,定期报告等。评估方法对电子银行运营架构进行检查;电子银行运营制度及执行情况检查。n运营管理评估运营管理评估15实施方案安全管理评估(续)目标 检查电子银行针对所具有风险是否建立和实施了完整内部控制体系,把风险控制到组织可以接受的范围内。 评估要点 内控管理层对电子银行内部控制的认知能力与水平; 控制环
10、境建设情况; 控制机制执行情况; 沟通与监控机制的建设与运行情况; 内部审计制度的建设与运行情况。评估方法 通过访谈、文档查阅、观察等方法进行控制设计有效性评估; 通过符合性检查/测试评价电子银行内部控制的运作情况,是否如描叙一致。n内部控制评估内部控制评估16实施方案安全管理评估(续)目标 检查电子银行业务的应急响应及业务连续性计划或制度是否完善。评估要点 业务影响分析情况; 风险分析情况; BCP相关计划与制度制定情况; 定期演练情况。评估方法 BCP文档审查; 演练记录核查。n业务连续性及业务连续性及应急响应应急响应评估评估17实施方案安全管理评估(续)目标 评估机构的信息系统与技术服务
11、外包风险管理过程的有效性。评估要点 电子银行外包需求定义流程; TSP尽责调查程序; 服务合约是否完善有效; 服务监控是否有效。评估方法 相关流程查阅; 服务合约查阅; 审查与电子银行外包需求定义、TSP尽责调查、服务监控有关的记录文档。n外包管理评估外包管理评估18实施方案IT基础设施安全评估目标分析电子银行系统主要信息资产面临的威胁、存在的弱点、并结合资产价值,综合评价安全风险。评估要点资产分析;威胁分析;弱点分析;已有控制分析;风险分析。评估方法访谈;自动扫描;手工检测;渗透测试;安全分析。19实施方案IT基础设施安全评估(续)识别信息资产:搜集电子银行系统信息资产信息,确定信息资产的所
12、有者、管理者和使用者;确定信息资产价值:通过对信息资产的机密性、完整性和可用性进行赋值获得信息资产的价值;威胁评估:识别信息资产可能面临的威胁来源和威胁类型,从列表中进行选择,并对这两项内容进行赋值;脆弱性评估:对应信息资产已经识别出来的威胁选择信息资产本身具有的脆弱性,并对脆弱性进行赋值;获得信息资产风险值:当信息资产的价值、威胁值和脆弱性值都赋值结束后,风险评估表自动计算出该信息资产的风险值。n针对关键信息资产的风险评估针对关键信息资产的风险评估20目标根据电子银行的业务特征,建立相关业务模型,深入分析评估业务流程中存在的风险环节。评估要点 业务流程建设; 业务应用控制; 业务控制。 评估
13、方法通过人员访谈、文档查阅或现场观测收集业务流程相关信息;按照评估要点对现有业务流程进行分析;通过综合分析评价业务流程的风险。实施方案业务风险评估21 调查主要用于评估对象现状信息收集。调查包括问卷、远程访谈与现场访谈。 检查主要用于信息收集及弱点分析。包括文档检查、记录核查、配置检查等。 测试主要用于弱点分析,包括手工测试、自动工具测试以及综合性的渗透测试。 人工分析主要用于资产分析、威胁分析、安全措施分析及安全评价。 实施方案评估手段22实施方案评估流程与活动渗透测试手工检测IT基础设施安全评估基础设施安全评估安全访谈自动工具扫描安全管理评估安全管理评估文档审核符合性检查业务风险评估业务风
14、险评估业务控制访谈业务流程建模管理访谈改进建议改进建议技术改进管理改进综合评价综合评价资产安全评价业务风险评价安全管理评价信息收集信息收集访谈资料收集问卷调查了解电子银行系统的基本信息风险管理体系的健全性、符合性与有效性实际的IT安全状态业务层面风险控制状态业务控制核查23调查问卷 现场访谈表评估表或Checklist自动化测试工具 评价工具 实施方案评估工具24实施方案项目阶段划分按照项目执行的先后顺序以及主要的工作内容,项目实施过程可划分为以下五个阶段:项目准备项目准备第一步第一步现状调研与分析现状调研与分析第二步第二步实施评估实施评估第三步第三步安全建议与方案安全建议与方案第四步第四步项
15、目总结项目总结第五步第五步25 阶段目标完成项目实施前期工作 主要工作内容确定项目任务、目标确定评估范围与内容成立项目组制定项目实施计划收集整理开发各种评估工具 项目背景知识培训 主要阶段成果安全评估计划安全评估调查问卷安全评估访谈表各种评估表或Checklist安全评价表 第一阶段:项目准备26阶段目标 通过调研,收集并整理分析评估对象信息,收集内容涵盖电子银行业务类别,以及各种类别业务从规划、建设、运营到终止整个生命周期的相关信息,重点收集整理分析电子银行应用状况与业务流程信息。(业务及IT应用现状)主要工作内容 填写调查问卷 文档收集与查阅 现场访谈 配置信息/状态信息收集 分析整理与电
16、子银行相关的组织架构、IT基础设施及以及业务类别业务流程 撰写现状报告主要阶段成果 电子银行现状报告第二阶段:现状调研与分析27阶段目标从安全管理、系统安全以及业务风险三个方面对电子银行系统进行全面评估。 主要工作内容安全管理安全策略评估组织架构与人员评估管理制度评估IT基础设施安全评估支撑平台评估应用系统安全评估业务风险分析业务流程要素分析业务风险评价阶段成果电子银行安全评估报告 (提交银监会)电子银行安全管理评估报告 电子银行IT基础设施安全评估报告电子银行业务流程风险评估报告 各种访谈/检测报告第三阶段:实施评估28 阶段目标 根据前面评估的结果,确定完善电子银行安全管理需要进行的主要工作,对具体实施内容进行综合分析,提出改进建议与实施规划。 主要工作内容 根据评估发现的安全问题,制定相应的安全建议措施,并进行分类与合并,转换为可以实施的任务和项目; 根据需要编制安全管理和技术方案建议书 阶段成果 安全加固建议书 技术方案建议书 安全管理与风险管理建议书(包含各种制度文档模板)第四阶段:安全建议与方案操作指南、模板操作指南、模板流程、标准、规范流程、标准、规范策略策略/ /制度制度29 阶段目标 完善评估成果、进行项目总结。 主要工作内容 完善成果 项目总结 项目汇报 阶段成果 汇报材料第五阶段:项目总结