《电子银行安全评估方案(共45页).doc》由会员分享,可在线阅读,更多相关《电子银行安全评估方案(共45页).doc(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上电子银行安全评估方案中国金融认证中心(CFCA)2008-4专心-专注-专业目 录1 概述为掌握电子银行整体业务应用及安全状况,了解当前电子银行风险管理状况与中国银监会(以下简称银监会)相关要求之间的差距,全面加强电子银行风险管理,最终推动电子银行业务的开展,*银行决定针对电子银行开展安全评估,以期发现并弥补电子银行在安全管理、系统平台安全以及业务控制等方面存在的弱点或问题。1.1 评估背景随着国民经济、信息技术以及信息化的发展,银行的业务开展模式发生了巨大的变化,最明显的就是以信息技术为支撑平台的电子银行逐渐成为各家银行的重要业务渠道。与传统银行业务渠道相比,电子银
2、行具有许多优势。一是由于电子银行主要利用公共网络资源,不需设置物理的分支机构或营业网点,大大降低银行经营成本,有效提高银行盈利能力。二是电子银行业务打破了传统银行业务的地域、时间限制,具有能在任何时候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)为客户提供金融服务的特点,这既有利于吸引和保留优质客户,又能主动扩大客户群,开辟新的利润来源。三是电子银行有利于服务创新,向客户提供多种类、个性化服务。但由于其特定的运作方式和网络环境,电子银行在带给人们极大便利的同时,也带来了更多的传统或新的银行风险。通常情况下,电子银行业务的开展可能会给银行带来大量的交易或操作风险、符
3、合性/法律风险以及声誉风险,如:服务中断、客户信息泄露、客户资金被盗等。此外一些传统的风险,如:战略风险、信用风险、流动性/价格/市场等风险也会因电子银行的特点而发生变化,如:由于银行与客户不直接见面、客户分散、业务区域跨度大、市场变化快等原因,银行难以准确判断客户的信誉状况、抵押品价值变化。同时,电子银行业务在许多方面突破了传统的法律框架,这也给电子银行业务运营和监管带来一些体制性障碍。为有效防范风险,确保电子银行的安全,必须加强对电子银行的监督与管理。为此银监会发布了电子银行业务管理办法和电子银行安全评估指引,要求申请和开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,利用外部
4、专业评估机构或内部独立于电子银行业务运营及管理的评估部门,定期对电子银行进行安全评估,安全评估包括对电子银行安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。1.2 目标本次电子银行安全评估工作的目标主要有: 掌握电子银行业务应用及安全状况; 按照银监会相关要求完成电子银行安全评估; 针对评估中发现的问题提出改进建议或方案; 为*银行将来电子银行风险管理积累经验。1.3 评估参考依据本次电子银行安全评估主要参考依据包括:1. 信息安全风险评估指南(GB/T送审稿);2. 商业银行内部控制评价办法(银监会);3. 银行业金融机构内部审计指引(银监会);4
5、. 银行业金融机构信息系统风险管理指引(银监会);5. 电子银行业务管理办法(银监会);6. 电子银行安全评估指引(银监会);7. 电子银行风险管理原则(巴塞尔银行监管委员会); 8. ISO/IEC 27000系列标准。1.4 评估方式本次电子银行安全评估是由中国金融认证中心(以下简称CFCA)按照银监会电子银行业务管理办法以及电子银行安全评估指引要求实施的外部第三方评估,评估过程与评估结果将作为*银行申请电子银行业务的依据材料,上报银监会。2 评估范围依据银监会电子银行业务管理办法、电子银行安全评估指引以及*银行电子银行业务开展状况,本次电子银行安全评估的范围如下:n 组织范围通常来说,与
6、电子银行相关的部门包括: 业务部门(电子银行部):负责电子银行日常业务的开展。 IT部门(科技部):负责电子银行系统平台的开发、获取及日常运维。 风险管理部门:负责与电子银行有关的风险识别、风险评估、风险处置与风险监控等。 内部审计部门(审计部或合规部):负责电子银行业务及风险管理审核。为全面评估电子银行的安全管理状况,本次安全评估涵盖与电子银行风险管理相关的所有部门,包括*银行总部电子银行部、信息科技部、操作及其他风险管理部、组织及生产力促进部、法规监管部、法律事务部等,基于*银行的特点,本次安全评估不涉及下属分行或支行。n 系统范围根据银监会发布的电子银行管理办法,电子银行业务是指商业银行
7、等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。电子银行业务包括利用计算机和互联网开展的银行业务(以下简称网上银行业务),利用电话等声讯设备和电信网络开展的银行业务(以下简称电话银行业务),利用移动电话和无线网络开展的银行业务(以下简称手机银行业务),以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。本次电子银行安全评估的系统范围只包括与网上银行(包括信息网站以及交易网站)相关的网络平台、操作系统/数据库/中间件平台以及应用系统等,下图是*银行网上银行系统网络拓扑图。根据上图所示,
8、本次电子银行安全评估涉及的网络设备、系统/平台大致范围包括如下表:n 业务范围根据服务对象的不同,电子银行业务通常分为: 个人银行; 企业银行; 电子银行内部管理。本次安全评估涉及*银行网上银行的个人银行、企业银行以及相关的网银管理三大类业务。3 评估内容作为机构IT业务应用之一,电子银行需要与其它业务应用一起纳入机构全面的风险管理体系中。电子银行安全评估涉及电子银行业务控制评估、电子银行系统平台安全评估以及与电子银行相关的总体安全管理评估三个层面。3.1 电子银行安全管理评估电子银行安全管理评估的目的是评估电子银行安全管理框架及体系的健全性、符合性和有效性,一般来说电子银行安全管理框架及体系
9、的建设运行涉及电子银行部门、IT部门(科技部)、审计部门以及风险管理部门等。针对这些部门的安全管理评估包括: 风险管理框架建设与运行 各级人员的风险管理意识或认知; 风险模型或框架定义; 相关职责划分/人员安排; 与目标设定、风险识别、风险评估、风险控制以及风险监测相关的流程及操作程序; 风险管理程序执行情况; 董事会及高管对风险管理的监查。 内部控制体系建设与运行 管理层对电子银行内部控制的认知能力与水平; 相关职责划分/人员安排; 控制环境建设情况; 与电子银行整个生命周期(开发、获取、运营、废弃等)相关的控制体系建设情况; 控制机制执行情况; 沟通与监控机制的建设与运行情况; 内部审计制
10、度的建设与运行情况。 开发与获取管理 与开发及获取相关的职责安排,组织架构是否合理; 开发及获取的标准、方法论及实践; 开发质量保证过程; 开发及获取变更控制过程; 电子银行系统补丁与发布管理; 与电子银行相关的开发文档管理与控制。 运营管理 相关职责划分/人员安排; 事件/问题或知识/管理流程; 变更管理/发布管理流程; 配置管理流程; 电子银行监控; 电子银行用户支持; 其它电子银行日常操作流程,如:巡检、备份、定期报告等。 应急响应与业务连续性管理 应急响应与业务连续性管理流程建设; 相关职责划分/人员安排; 电子银行应急预案与业务连续性计划制定情况; 与电子银行相关的灾备及其它技术控制
11、情况; 电子银行应急与业务连续性定期演练情况。 外包管理 外包管理流程建设; 相关职责划分/人员安排; 与电子银行相关的外包管理执行情况。 安全管理 安全管理策略/制度/流程建设; 相关职责划分/人员安排; 安全管理执行情况。3.2 电子银行系统平台安全评估电子银行系统平台安全评估的目的是评估支撑电子银行业务运行的系统平台的安全性,通常情况下,支撑电子银行业务的系统平台包括物理环境、网络设施、主机系统平台以及应用系统等。针对上述对象的具体评估内容如下: 物理环境安全 物理环境安全(机房环境、出入管理、监控措施); 设备安全(设备管理、设备维护等); 介质安全(各种存储介质管理、备份介质管理、应
12、急介质管理)。 网络平台安全 网络及边界安全(网络接入控制、访问控制、边界防护); 网络系统安全设计(网络结构安全、网络服务质量保证); 网络设备安全功能及使用(网络内在安全措施配置管理等); 网络访问控制; 网络安全检测分析; 网络连接; 网络可用性。 操作系统/平台安全 帐号安全; 文件系统安全; 网络服务安全; 系统访问控制; 日志及监控审计; 拒绝服务保护; 补丁管理; 病毒及恶意代码防护; 系统备份与恢复。 数据库安全 数据库帐号安全; 数据库访问控制; 存储过程安全; 补丁管理; 系统备份与恢复; 日志及监控审计。 应用系统安全 身份鉴别; 访问控制; 交易的安全性; 数据的安全性
13、; 密码支持; 异常处理; 输入输出合法性; 备份与故障恢复; 安全审计; 资源利用; 安全管理。3.3 电子银行业务控制评估电子银行业务控制评估的目的是评估电子银行业务开展过程中内部控制措施的健全性、符合性及有效性,评估的对象是所有电子银行业务流程,如:开户、转账、查询、统计等,针对每个业务流程的具体评估内容如下: 业务流程建设状况 流程目的与目标; 流程所有权; 业务流程策略、计划及程序; 角色划分、职责定义与人员安排; 流程活动定义; 流程绩效。 业务应用控制 原始数据准备与授权; 原始数据收集与录入; 交易准确性、完全性、真实性检查; 处理完整性与有效性; 输出的检查、调整与错误处理;
14、 交易鉴别与完整性。 业务控制业务控制是指电子银行业务处理过程中的控制,一般来说主要涉及与IT无关的固有业务控制。 开户; 账户查询; 存/贷款; 支付/转账; 交费; 网上理财; 集团服务/现金管理; 。4 评估方法本次安全评估将结合基于弱点的安全评估和基于资产的风险评估两种方法,通过调查访谈、现场检测、分析研究等手段评估电子银行存在的弱点,并对电子银行涉及的主要信息资产进行基于资产的风险评估,最后从电子银行安全管理、电子银行系统平台安全以及电子银行业务控制三个方面评价电子银行的安全状况,给出整改建议。4.1 评估流程本次安全评估的过程主要包括:业务及IT应用现状调研、现场评估、综合评价三大
15、阶段。如下图:现场评估业务控制评估安全管理评估综合评价资产安全评价业务控制评价安全管理评价业务及IT应用现状调研系统平台安全评估4.1.1 业务及IT应用现状调研业务及IT应用现状调研的目的在于全面掌握电子银行的基本信息,包括电子银行管理组织、电子银行业务类别/业务流程、电子银行系统平台信息等,重点收集整理分析电子银行应用状况与业务流程信息。现状调研完成后需要形成电子银行业务及IT应用现状调研报告。主要工作任务包括: 填写调查问卷; 相关文档收集与查阅; 面对面访谈; 系统平台配置信息/状态信息收集; 上述信息的分析整理。需要调研的详细信息包括: 电子银行管理组织架构; 电子银行业务类别及业务
16、流程; 电子银行用户情况; 电子银行系统网络架构及部署情况; 电子银行应用系统功能; 电子银行主要信息资产(网络设备、系统/平台等)。评估小组将主要采取人工调查(调查问卷、现场面谈、文档检查)的方式收集信息,需要相关主管及操作人员的参与及帮助。4.1.2 现场评估现场评估主要通过访谈、检测以及核查等方式对电子银行安全管理、电子银行系统平台安全以及电子银行业务控制三个方面的内容进行评估,目的在于发掘电子银行存在的弱点或漏洞。现场评估将会形成一系列工作过程文档,包括各种实施计划以及相关的访谈记录,扫描报告、渗透测试报告、人工检测报告等。现场评估的工作任务包括: 安全管理评估 安全管理访谈; 制度文
17、档审阅; 制度符合性/有效性检查。 业务风险分析 业务控制访谈; 业务控制核查。 IT基础设施安全评估 关键资产评估; 威胁评估; 安全访谈; 安全扫描; 人工检测; 渗透测试。现场评估涉及访谈、扫描、人工检测等多种手段,事先应该根据前期了解的电子银行相关信息,分别制定详细实施计划,并在实施过程中需要相关主管及操作人员的参与及帮助。4.1.3 综合评价综合分析现状调研以及现场评估的结果,分别从安全管理、系统平台安全以及业务控制三个方面综合评价电子银行的安全状况,并依据前期收集的信息对电子银行关键资产进行风险评价。综合评价的具体工作任务包括: 电子银行安全综合评价依照电子银行整体安全评价准则(参
18、见),分别从安全管理、系统平台安全以及业务控制三个方面综合评价电子银行的安全状况,形成电子银行安全管理评估报告、电子银行系统平台安全评估报告、电子银行业务控制评估报告。 电子银行系统关键信息资产风险评价依照关键资产安全风险评价准则(参见),对电子银行关键信息资产进行安全风险评价,形成电子银行系统关键信息资产安全风险评估表。4.2 评估手段本次安全评估将主要采用调查、检查、安全测试、分析等手段进行信息收集与安全分析评估。 调查主要用于电子银行业务现状及安全状况信息收集。访谈包括问卷、远程访谈与现场访谈。 检查主要用于电子银行弱点分析,包括文档核查,执行检查等。 测试主要用于弱点分析,包括手工测试
19、、自动工具测试。 人工分析主要用于资产分析、威胁分析、安全措施分析及安全评价。4.2.1 调查调查对象包括各级管理人员、开发人员、部署/配置人员等。 问卷调查发放调查问卷,由调查对象填写并回收。 远程访谈通过电话或邮寄调查表进行。 现场访谈与电子银行用户、管理或开发员工面对面会谈。调查工作需要电子银行相关部门的支持与帮助。4.2.2 检查通过对电子银行系统开发与运行的相关文档的检查,了解该系统的安全态势、风险管理和控制计划及其执行情况、紧急响应能力、信息安全的培训工作等情况,从中找出安全漏洞或弱点。检查的文档包括但不仅限于:1) 系统安全建设文档;2) 系统开发文档:例如系统用户指南、系统管理
20、手册、系统设计和需求分析文档等;3) 系统运行文档:例如系统日志、防火墙、IDS日志等;4) 其它相关文档:例如已往的审计报告、风险管理报告、系统测试结果、系统安全规划、执行记录等。4.2.3 测试 手工测试本次评估将采用手工测试,进一步了解操作系统、数据库系统、应用系统、网络/安全设备的特点和安全状况。并对通过其它方式搜集的信息进行印证和修正,从而保证信息的准确性。 自动工具测试自动工具的使用可快速发现系统的弱点,在短时间内收集大量的脆弱性信息,大大提高评估效率。本次评估将使用自动扫描工具进行弱点探测。4.2.4 人工分析通过安全专业人员的分析来保证评估的有效性。4.3 评估工具评估工具包括
21、文档模板与自动化工具,前者包括调查问卷、现场调查表、Checklist或评估表等,后者包括自动扫描及测试工具、自动分析评价工具等。4.3.1 调查问卷通过调查问卷收集电子银行相关信息,如:管理状况、安全事件等。调查问卷由电子银行相关人员填写并反馈评估人员。调查问卷包括: 威胁/事件调查问卷; 管理调查问卷等。4.3.2 现场调查表利用调查表收集评估对象现状信息,调查表由评估人员在现场访谈时使用,调查表包括: 组织基本信息调查表电子银行组织架构、岗位职责、人员安排、电子银行目标使命等。 网络现状调查表链路状况、网络拓扑、设备产品部署、管理平台/手段、配置状况(IP、端口、服务)、安全措施。 系统
22、现状调查表操作系统版本、补丁状况、口令帐号管理、文件管理、服务管理、备份、安全措施等。 业务及应用现状调查表业务种类、业务路径、应用架构、开发文档、数据库、安全功能。 管理现状调查表组织结构、制度流程、培训。4.3.3 评估表/Checklist利用评估表或Checklist检查系统是否存在弱点,评估表或Checklist由评估人员在安全访谈、检查与测试时使用,本次安全评估使用的评估表或Checklist可能包括: 风险管理框架评估表; 内部控制体系评估表; 开发与获取管理评估表; 运营管理评估表; 应急响应与业务连续性管理评估表; 外包管理评估表; 安全管理评估表; 物理安全评估表; 网络设
23、计安全评估表; 交换机安全评估表; 路由器安全评估表; 防火墙安全评估表; Solaris安全评估表; Linux安全评估表; Apache安全评估表; Weblogic安全评估表; Oracle安全评估表; 应用安全评估表; 桌面安全评估表; 业务流程评估表; 业务应用控制评估表; 业务控制评估表。4.3.4 自动化测试工具自动化测试工具包括扫描工具、口令破解攻击、攻击工具等。用于检测系统可能存在的漏洞或弱点。5 项目阶段与时间估算5.1 项目阶段划分项目准备第一步第二步实施评估第三步改进建议第四步第五步现状调研与分析项目总结本次安全评估分项目准备、现状调研与分析、实施评估、改进建议、及项目
24、总结五个阶段,各个阶段工作定义说明如下:l 项目准备项目实施前期工作,包括成立项目组,确定评估范围,制定项目实施计划,收集整理开发各种评估工具等。l 现状调研与分析通过远程或现场访谈,收集、整理、分析电子银行业务及IT应用信息,形成业务及IT应用现状报告。l 实施评估采用前面描述的评估方法,从安全管理、系统平台安全以及业务控制三个方面实施电子银行安全评估,形成电子银行安全评估报告。l 改进建议根据评估的结果,参照相关标准或最佳实践,确定完善电子银行安全管理需要进行的主要工作,对具体实施内容进行综合分析,提出改进建议与实施规划。l 项目总结完善评估成果、进行项目总结。5.1.1 项目准备1)过程
25、(活动)描述 确定项目任务、目标; 成立项目组; 确定评估范围、内容; 制定评估实施计划; 收集整理开发各种评估工具。2)工作方式与参与人员活动工作方式主要参与人员1.1确定项目任务、目标交流、讨论电子银行相关部门CFCA1.2成立项目组1.3确定评估范围、内容1.4制定评估实施计划计划讨论、文档撰写整理CFCA1.5收集整理开发各种评估工具1.6启动会启动会议电子银行相关部门CFCA1.7项目知识、工具转移与培训3)输入4)输出 安全评估计划(主要是业务及IT应用现状调研实施计划); 安全评估调查问卷; 业务及IT应用信息调查表; 各种评估表或Checklist; 安全评价表。5.1.2 现
26、状调研与分析1)过程(活动)描述 填写调查问卷; 文档收集与查阅; 现场访谈; 配置信息/状态信息收集; 业务及IT信息分析整理; 撰写现状报告; 制定下一阶段实施计划。2)工作方式与参与人员活动工作方式主要参与人员2.1填写调查问卷集中或单个填写电子银行相关部门2.2文档收集与查阅现场查阅或远程查阅CFCA2.3现场访谈面对面访谈CFCA、电子银行相关人员2.4配置信息/状态信息收集手工或远程测试CFCA、电子银行系统相关配合人员2.5业务及IT信息分析整理内部讨论CFCA2.6撰写现状报告文档撰写CFCA2.7制定下一阶段实施计划计划讨论,文档撰写CFCA3)输入 业务及IT应用现状调研实
27、施计划; 业务及IT应用信息调查表。4)输出 调查结果表; 系统配置信息; 电子银行安全访谈实施计划; 电子银行系统安全扫描实施计划; 电子银行系统人工检测实施计划; 电子银行系统渗透测试实施计划; 电子银行业务及IT应用现状报告。5.1.3 实施评估1)过程(活动)描述 安全管理评估l 安全管理访谈;l 制度文档审阅;l 制度符合性/有效性检查。 业务控制评估l 业务控制访谈;l 业务控制核查。 IT基础设施安全评估l 资产评估;l 威胁评估;l 安全访谈;l 安全扫描;l 人工检测;l 渗透测试。 整理/撰写报告; (如果需要)制定下一步工作计划。2)工作方式与参与人员活动工作方式主要参与
28、人员3.1安全管理评估访谈、检查电子银行系统相关人员,CFCA3.2业务控制评估访谈、检查电子银行系统相关人员,CFCA3.3IT基础设施安全评估访谈、检查、手工检测、工具扫描等电子银行系统相关人员,CFCA3.4整理/撰写报告内部讨论,文档撰写CFCA3.5制定下一步工作计划(如果需要)计划讨论,文档撰写CFCA3)输入 自动评估工具; 各种评估表或checklist; 各种实施计划。4)输出 电子银行安全评估报告 (提交银监会); 电子银行安全管理评估报告 ; 电子银行IT基础设施安全评估报告; 电子银行业务流程风险评估报告; 各种访谈/检测报告; 下一步工作计划(如果需要)。5.1.4
29、改进建议1)过程(活动)描述 改进建议(制度/标准/指南/方案); (如果需要)整理制度/标准/指南/方案模板; (如果需要)撰写制度/标准/指南/方案; (如果需要)评审制度/标准/指南/方案。2)工作方式与参与人员活动工作方式主要参与人员4.1改进建议(制度/标准/指南/方案)内部讨论CFCA4.2(如果需要)整理制度/标准/指南/方案模板整理、撰写模板CFCA4.2(如果需要)撰写制度/标准/指南/方案撰写文档CFCA,电子银行相关部门4.4(如果需要)评审制度/标准/指南/方案评审会CFCA,电子银行相关部门3)输入 电子银行业务及IT应用现状报告; 各种测试报告; 各种安全评估报告;
30、 工作计划。4)输出 电子银行安全建议书; 电子银行安全管理相关模板(如果需要); 电子银行安全管理相关制度/标准/指南/方案(如果需要); 电子银行安全规划(如果需要)。5.1.5 项目总结1)过程(活动)描述 成果完善; 撰写汇报材料; 项目汇报。2)工作方式与参与人员活动工作方式主要参与人员5.1成果完善文档整理CFCA5.2撰写汇报材料撰写材料CFCA5.3项目汇报总结会电子银行系统相关人员,CFCA3)输入 前期各种工作过程文档及报告。4)输出 汇报材料。5.2 时间估算实施阶段实施任务实施内容时间安排人员安排1项目准备1.1确定项目任务、目标1个工作日1.2 确定评估范围、内容1.
31、3成立项目组1.4制定评估实施计划3个工作日3人1.5收集整理开发各种评估工具1.6启动会1个工作日3人1.7项目知识、工具转移与培训2业务及IT应用现状调研与分析2.1填写调查问卷2.2文档收集2.3现场访谈4个工作日2人2.4系统配置信息收集1个工作日1人2.5现场检测计划3个工作日1人2.6业务流程分析整理5个工作日3人3实施评估3.1安全管理评估安全管理访谈2个工作日2人制度文档审阅2个工作日制度符合性/有效性检查1个工作日3.2业务控制评估业务控制访谈2个工作日业务控制核查1个工作日3.3IT基础设施安全评估资产评估2个工作日1-2人威胁评估1个工作日安全访谈1个工作日安全扫描4个工
32、作日人工检测渗透测试3.4整理/撰写报告10个工作日3人4项目总结4.1成果及工作过程文档整理1个工作日3人4.2撰写汇报材料1个工作日3人4.3项目汇报1个工作日3人总计34个工作日4.6人月6 项目组织与人员安排6.1 组织机构项目领导小组银行项目小组CFCA项目小组项目经理项目经理资深安全顾问高级安全顾问安全顾问/助理客户经理技术经理IT部门配合成员风险管理部门配合成员内部审计部门配合成员业务部门配合成员项目组成员其它部门配合成员项目领导小组:由*银行和CFCA相关领导组成,对评估项目能够有充分的重视,对项目进行的关键环节作出决策,使项目的发展保持正确的方向。*银行项目小组:由*银行电子
33、银行部、科技部、风险管理部、审计部等电子银行相关单位人员组成,根据需要参与、支持、评审、监督电子银行评估工作。*银行项目经理:*银行项目小组负责人,制定项目计划,落实人员安排,管理项目进度,与CFCA协调评估项目事宜。*银行技术经理:*银行项目小组的电子银行技术负责人。*银行配合人员:由各参与部门相关人员组成,负责评估项目的帮助支持工作,包括资料提供、信息收集,并根据需要参与部分工作。CFCA项目小组:由CFCA相关人员组成,负责实施电子银行安全评估,撰写评估报告及相关改进建议。CFCA项目经理:CFCA项目小组负责人,负责制定项目计划,落实人员安排,管理项目进度,与*银行协调评估项目事宜。C
34、FCA客户经理:CFCA项目小组商务负责人。CFCA资深安全顾问:由CFCA资深安全顾问担当,负责制定评估方案、开发评估工具、指导高级安全顾问及安全顾问/助理实施安全评估,并根据需要参与具体评估工作。CFCA高级安全顾问:由CFCA有丰富实践经验的技术人员组成,负责评估项目的具体实施工作,如:访谈、测试、手工检查等,并撰写评估报告及相关改进建议。CFCA安全顾问/助理:由CFCA相关技术人员组成,参与评估项目的具体实施工作,如:访谈、测试、手工检查等。6.2 主要人员安排CFCA项目组长: CFCA项目经理: CFCA资深安全顾问: CFCA高级安全顾问: CFCA安全顾问/助理:6.3 主要
35、人员介绍7 项目管理7.1 质量保证实施计划评审:在项目实施过程中,对各种评估实施计划的内容进行评审,并形成正规化文件。评估实施:严格按评估实施方案和评估实施计划实施评估。文件管理:对所有的项目文件进行有效的控制和管理,以保证评估的正规化和规范化。这些文件包括评估实施方案、评估实施计划、工具集以及中间文档记录等。7.2 实施过程中的风险控制由于评估过程中会涉及大量电子银行业务及系统相关的敏感信息,同时也会针对电子银行系统使用多种攻击性检测工具,因此评估可能会给电子银行安全带来一定的潜在威胁,对此主要采取以下控制措施。1. 对所有参与电子银行安全评估的员工进行背景调查,并按规定签署保密协议,进行
36、保密教育。2. 评估实施前制定详细实施计划,所有工作计划必须获得领导批准,并严格按照计划执行。3. 对于项目中的任何变更,项目实施人员均要通知项目组长或领导组成员,项目组长或领导组成员需要对是否允许变更做出批示。对于重要的变更,需要书面的变更申请,并更新相关计划。4. 在评估实施前,对电子银行系统的重要数据,如:网络系统关键设备配置、服务器系统配置参数等,根据评估活动可能带来的风险大小,做好相应的备份,保证能够快速恢复系统。5. 根据评估活动可能带来的各种威胁及风险,做好相应的应急预案。6. 挑选具有丰富经验的技术人员参与技术测试,避免因操作失误而造成电子银行系统故障。7. 除非必须,否则尽量
37、不对生产系统进行实际操作,对电子银行系统的技术测试尽量选择在测试环境中进行。7.3 交流与沟通项目过程中的交流与沟通能确保及时、有效地收集、产生、发布、保存和处理项目信息。它是人、思路和信息之间的关系纽带,是成功所必须的。本项目主要采用如下几种沟通方式 会议,包括: 多方参与的项目启动会议; 项目组的周例会,主要由项目组人员参与; 项目阶段工作会议,主要由项目组人员参与; 多方参与的项目总结会议。 日常沟通、记录和备忘录,主要包括: 各种非正式会议; 电话; 传真; 邮件。 报告,包括: 项目计划和进展报告; 项目总结报告; 以及在各个阶段输出的项目成果文本等。8 主要项目文档1. 电子银行安
38、全评估方案;2. 电子银行安全评估实施计划(系列);3. 电子银行安全评估调查问卷(系列);4. 电子银行业务及IT应用现状报告;5. 电子银行系统重要资产清单;6. 电子银行系统重要资产风险评估表;7. 电子银行系统安全扫描报告;8. 电子银行系统手工安全检测报告;9. 电子银行系统渗透测试报告;10. 电子银行安全评估报告。附件1:电子银行整体安全评价准则电子银行的整体安全评价从安全管理、系统平台安全以及业务控制三个方面进行。每个方面包含一系列评价内容描述(可能包含多级描述),针对每个最终评价内容(非中间级)的赋值准则如下:评价赋值L描述0-完全不符合当前状况完全不符合评价内容描述。33-
39、少部分符合当前状况少部分符合评价内容描述。66-基本符合当前状况基本不符合评价内容描述。100-完全符合当前状况完全评价内容描述。每个中间级的评价内容值L由下述公式确定:L=(Wili)/Wi,i0。其中:L是某级评价内容的赋值。Li是该级评价内容的第i个子评价内容赋值。Wi是该级评价内容的第i个子评价内容所占的权重。具体的评价内容描述及权重参考(在实际评价时可能根据具体情况调整)如下: 安全管理评价内容及权重进行如下内容评价:风险管理框架建设与运行(权重10%)各级人员的风险管理意识或认知(权重10%)风险模型或框架定义(权重10%)相关职责划分/人员安排(权重20%)与目标设定、风险识别、
40、风险评估、风险控制以及风险监测相关的流程及操作程序(权重20%)风险管理程序执行情况(权重30%)董事会及高管对风险管理的监察(权重10%)内部控制体系建设与运行(权重20%)管理层对电子银行内部控制的认知能力与水平(权重10%)相关职责划分/人员安排(权重10%)控制环境建设情况(权重10%)与电子银行整个生命周期(开发、获取、运营、废弃等)相关的控制体系建设情况(权重20%)控制机制执行情况(权重30%)沟通与监控机制的建设与运行情况(权重10%)内部审计制度的建设与运行情况(权重10%)开发与获取管理(权重10%)与开发及获取相关的职责安排,组织架构是否合理(权重10%)开发及获取的标准
41、、方法论及实践(权重30%)开发质量保证过程(权重30%)开发及获取变更控制过程(权重10%)电子银行系统补丁与发布管理(权重10%)与电子银行相关的开发文档管理与控制(权重10%)运营管理(权重10%)相关职责划分/人员安排(权重10%)事件/问题或知识/管理流程(权重20%)变更管理/发布管理流程(权重20%)配置管理流程(权重20%)电子银行监控(权重10%)电子银行用户支持(权重10%)其它电子银行日常操作流程,如:巡检、备份、定期报告等(权重10%)应急响应与业务连续性管理(权重10%)应急响应与业务连续性管理流程建设(权重20%)相关职责划分/人员安排(权重10%)电子银行应急预案
42、与业务连续性计划制定情况(权重30%)与电子银行相关的灾备及其它技术控制情况(权重30%)电子银行应急与业务连续性定期演练情况(权重10%)外包管理(权重10%)外包管理流程建设(权重30%)相关职责划分/人员安排(权重30%)与电子银行相关的外包管理执行情况(权重40%)安全管理(权重30%)安全管理策略/制度/流程建设(权重30%)相关职责划分/人员安排(权重30%)安全管理执行情况(权重40%) 系统平台安全评价内容及权重针对物理环境、系统平台架构以及每个网络/系统/设施/设备,进行如下内容评价:物理环境(权重10%)物理环境(权重20%)设备安全(权重40%)介质安全(权重40%)网络平台(权重10%)网络及边界安全(网络接入控制、访问控制、边界防护(权重30%)网络系统安全设计(网络结构安全、网络服务质量保证)(权重10%)网络访问控制(权重10%)网络安全检测分析(权重10%)网络连接(权重10%)网络可用性(权重10%)网络设备的安全管理与配置(权重20%)(本项内容是对电子银行所有(或关键)网络设备安全风险状况的综合考虑)操作系统/平台(权重20%)(本项内容是对电子银行所有(或关键)操作系统/平台安全风险状况的综合考虑)帐号安全(权重20%)