1、银行科技外包厂商信息安全培训科技运维部 安全管理处 一、培训目的 银监会2013年颁布的银行业金融机构信息科技外包风险监管指引第三十八条在外包服务安全管理方面有明确要求,要求对外包人员进行信息安全培训,提高外包人员风险管理意识,确保信息安全管控措施在外包服务过程中有效落实。二、信息安全基础知识信息的基本安全属性保密性(Confidentiality):信息不泄露给未授权的访问者、实体、和进程,或被其利用;完整性(Integrity):信息在存储或者传输过程中保持未经授权不能改变的特性,即对抗主动攻击,保持数据一致,防止数据被非法用户修改和破坏;可用性(Availability):信息可被授权者
2、访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。信息安全的目标保证信息的一系列安全属性得到保持、不被破坏,从而达到对组织业务运营能力的支撑作用。信息安全问题根源内因是信息系统自身存在脆弱性。外因是信息系统面临着众多的威胁三、信息安全风险 信息安全风险风险,指事态的概率及其结果的组合(GB/Z 24364-2009信息安全风险管理指南)信息安全风险,指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响(GB/T 20984-2007信息安全风险评估规范)信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性 信息安全风险
3、构成:风险的构成包括五个方面:起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)和后果(影响)三、信息安全风险 风险管理GB/Z 24364信息安全风险管理指南:四个阶段,两个贯穿 监控审查沟通咨询四、信息安全控制措施信息安全控制措施 控制措施是管理风险的具体方法和手段 控制目标内部组织:实现对组织内部的信息安全管理外部各方:保持组织被外面各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。资产管理对资产负责:实现和保持对组织资产的适当保护信息分类:确保信息受到适当级别的保护 四、信息安全控制措施 人力资源安全任用前:确保雇员、承包方人员和第三方人员理解其工作职责并适合
4、预期角色,以降低设施被窃、欺诈和误用的风险任用中:确保所有雇员、承包方和第三方人员了解信息安全威胁和危害,明确其工作应承担的安全职责和义务,如果违反安全规定将会受到的纪律处理,通过安全培训使其掌握信息处理设施的安全正确使用方法,以减少人为过失造成的风险任用的终止或变化:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系,包括调换岗位或岗位职责发生变化 物理和环境安全 安全区域:防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护设备安全:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 四、信息安全
5、控制措施 访问控制访问控制的业务要求:基于业务目标和业务原则来控制对信息的访问用户访问管理:确保授权用户能够访问信息系统,防止非授权的访问用户职责:防止未授权用户对信息和信息处理设施的访问、危害或窃取网络访问控制:防止对网络服务的未授权访问操作系统访问控制:防止对操作系统的未授权访问应用和信息访问控制:防止对应用系统中信息的未授权访问移动计算和远程工作:确保使用移动计算和远程工作设施时的信息安全四、信息安全控制措施信息系统获取、开发和维护信息系统的安全要求:确保安全是信息系统的一个有机组成部分应用中的正确处理:防止应用系统中信息的错误、遗失、非授权修改及误用密码控制:通过密码方法保护信息的保密
6、性、真实性或完整性系统文件的安全:确保系统文件的安全开发和支持过程中的安全:维护应用系统软件和信息的安全技术脆弱性管理:降低利用公布的技术脆弱性导致的风险 四、信息安全控制措施符合性符合法律要求:避免违反任何法律、法令、法规或合同义务,以及任何安全要求符合安全策略和标准以及技术符合性:确保系统和业务活动符合组织的安全策略及标准信息系统审核考虑:将信息系统审核过程的有效性最大化,干扰最小化 五、银行外包信息安全管控措施 银行在外包服务项目中将严格执行物理和环境安全管理、人员安全管理、访问控制管理、应用安全管理、外包厂商安全评估管理、信息保密管理等信息安全管控措施,外包厂商必须予以配合,以便信息安
7、全管控措施能够有效落实。物理和环境安全管理 外包服务提供商进入安全区域,如确需进入应按照相关制度得到批准,在进入安全区域后其活动应受到监控,对于从事敏感性技术相关工作的人员,应严格审查,包含身份验证和背景调查。外包人员安全管理 在签订外包服务合同后,对外包服务团队人员进行安全培训,外包服务团队人员必须了解信息安全的涵义和信息安全领域的基本概念,以及银行的外包安全管理规定,减少人为的操作风险。外包访问控制管理u项目资源访问权限申请 外包管理团队(项目经理或负责相关外包活动的负责人)应明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号
8、、网络宽带、网络端口等,由外包管理团队对外包人员进行访问授权申请,填写项目资源访问控制清单后提交银行相关部门安全评估。评估通过后由项目经理按照此清单向相关部门申请资源。u项目资源访问权限的回收和关闭 外包服务项目结束或外包服务团队人员变更时,外包服务团队人员离开银行前应办理相应的手续,包含如下几个方面,外包服务团队人员应予以配合。1、及时回收和关闭外包服务团队人员对银行系统资源的访问权限,包含门禁等物理访问权限、网络访问权限、信息系统用户账户及访问权限等。2、外包服务团队人员变更时需要进行新旧人员的工作交接。应用安全管理信息系统项目安全测试阶段,外包厂商人员应向项目组提交项目的源代码,由项目组
9、通过银行代码安全扫描工具检测系统代码安全漏洞,在自动化检查结果的基础上,安全管理处、项目组、代码安全厂商共同进行漏洞影响分析,提出漏洞修复整改建议,项目组应组织外包厂商人员开展整改,安全管理处跟进项目组整改工作的落实,提高软件代码安全性。外包厂商安全评估在开展外包服务尽职调查过程中,外包厂商应向银行提供安全评估报告,项目经理对外包厂商所提供安全评估报告进行审查。若外包厂商没有银监会外包联合现场检查报告或第三方安全评估报告,则应提供安全自评估报告(应涵盖外包厂商公司信息安全管理概述、信息安全组织架构、人员管理、信息安全管理制度建设情况、信息安全技术保障情况和应急管理等方面的内容)。信息保密管理 银行保密信息指所有与业务和经营管理相关的信息,包括但不限于经营管理、业务信息、业务流程、客户信息、技术、财务、统计、商业和人员等所有文件、数据、合同、资料或口头披露的相关信息以及形成的所有文件、数据和资料等信息、以及规格说明、图纸、文件及专有技术等。服务提供商只能在合同允许范围内使用上述保密信息,防止保密信息被非授权使用。服务提供商接触本行信息时,需履行合同中安全和保密相关职责。Thanks!
