《信息科技风险自评估表(共36页).doc》由会员分享,可在线阅读,更多相关《信息科技风险自评估表(共36页).doc(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上信息科技风险自评估表一、 信息科技治理序号风险类别风险点控制目标风险分析参考依据1董事会或高级管理层职责对信息科技战略的审查批准并审查信息科技战略;保证信息科技战略与银行总体业务战略和重大策略相一致;定期评估信息科技及其风险管理工作的总体效力和效率。信息风险管理缺乏长期规划,无法指导信息安全工作开展。ISO27001:2005 管理层职责:建立信息安全方针,确保信息安全目标和计划的建立,进行信息安全管理体系的评审;ISO27001:2005信息安全方针文档:信息安全方针文档应经过管理层的批准,并向所有员工和外部相关方公布和沟通;ISO27001:2005信息安全方针评
2、审:应按策划的时间间隔或当发生重大变化时,对信息安全方针文档进行评审,以确保其持续的适宜性、充分性和有效性。2对本行信息科技风险管理现状的掌握情况定期听取信息科技风险管理部门报告;组织进行独立有效的信息科技风险审计;对审计报告和监管意见的整改情况进行监督。无法掌握现有风险,对存在的信息安全风险针对性的改进无法得到有力的推进。Corbit信息技术审计指南-决定技术方向:IT管理层理解并使用技术基础设施计划;技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中;IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中;IT管理层
3、要理解系统评估技术计划意外的过程。3对信息科技建设的支持建立合理的人才激励体制;确保为信息科技风险管理工作拨付所需资金;建立规范的职业道德行为和廉政标准。对信息安全风险的改进缺乏有效资源Corbit信息技术审计指南-管理信息技术投资:高级管理层应执行预算编制过程,按照机构的长期和短期计划以及IT的长期和短期计划,保证年度IT运作预算的建立和批准。应调查资金的选择。4组织架构组织信息科技管理委员会的建立由来自高级管理层、信息科技部分和主要业务部分的代表组成;定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能;对信息科技建设及管理情况进行有效的协调。信息
4、安全工作缺乏统一组织进行协调。等级保护-安全管理机构-岗位设置c) 应成立指导和管理信息安全工作的委员会或领导小组。5首席信息官的设置直接参与本银行与信息科技运用有关的业务发展决策;建立切实有效的信息科技部分;确保信息科技风险管理的有效性。信息安全工作缺乏统一有效的领导和责任人。等级保护-安全管理机构-岗位设置c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。6信息科技部门的职责岗位设置完整合理;人员具有相应的技能和专业知识,制定有合理的培训计划;重要岗位制定详细完整的工作说明。缺乏具有专业知识和技能的专职人员;信息安全工作无法有效的协调。等级保护-安全管理机构-岗位设置a
5、) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b) 应配备专职安全管理员,不可兼任;d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。7信息科技风险管理部分的职责可直接向CIO或CRO汇报;实施持续的信息科技风险评估;协调有关信息科技风险管理策略的制定。8信息科技内部审计岗位在内审部门内部设立;配备足够的专业人员;制定完整的信息科技审计策略和流程;制定信息科技内审计划并落实。信息安全工作缺乏有效的监督和评价,信息安全风险管理无法有效的落实和改进。等级保护-安全管理机构-审核和检查a) 安全管理员应负责定期进行安全检查
6、,检查内容包括系统日常运行、系统漏洞和数据备份等情况;b) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。9制度建设制度建设流程完善的规章制度和管理办法的制定、审批和修订流程。信息安全管理制度混乱,无法形成完整体系,缺乏可操作性且得不到有效改进。ISO27001:2005 总要求组织应根据整体业务活动和风险
7、,建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。10制度体系涵盖运行、安全、开发等各重要部分;对关键部分应有详细的管理规定和操作细则。关键工作缺乏规范性,工作流程混乱,直接导致信息安全事件。ISO27001:2005-控制目标:1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、符合性。二、 信息科技风险管理序号风险类别风险点控制目标风险分析参考依据11信息科技风险管理信息科技风险管理策略策略内容应包括:1、信息分级与保护;
8、2、应用系统开发、测试和维护;3、信息科技运行和维护;4、访问控制;5、物理安全;6、人员安全;7、业务连续性与应急处置安全策略考虑不完善,没有完整包含信息安全各方面,制定的安全策略内容存在疏漏。等级保护-控制项:1、物理安全;2、网络安全;3、主机安全;4、应用安全;5、数据安全;6、安全管理制度;7、安全管理机构;8、人员安全管理;9、系统运维管理;10、系统建设管理。ISO27001:2005-控制目标:1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务
9、连续性管理;11、符合性。12风险识别和评估流程准确定位存在隐患的区域;评价风险对其业务的潜在影响;对风险进行分类排序;确定风险防范活动及必备资源的优先级。无法了解现有系统存在的风险,无法有效的指导信息安全的改进,提高信息系统安全性。计算机等级保护制度;ISO27001:2005信息安全管理体系要求。13风险防范措施1、明确的信息科技风险管理策略、技术标准和操作规程等,并定期公示;2、识别潜在风险区域,对这些区域进行详细的独立监控,并建立适当的控制结构。14风险计量和监测机制范围涵盖所有的重要部分,包含项目实施、系统性能、事故与投诉、问题整改、外包服务水平、运行操作、外包项目等。三、 信息安全
10、序号风险类别风险点控制目标风险分析参考依据15用户认证和访问控制授权机制完整的审批流程;以“必需知道”和“最小授权”为原则;权限收回流程。用户获得不当权限,有意或者无意的造成系统破坏或信息泄露。ISO27001 访问控制-控制策略:应建立文件化的访问控制策略,并根据对访问的业务和安全要求进行评审;ISO27001 访问控制-用户注册:应建立正式的用户注册和解除注册程序,以允许和撤销对于所有信息系统和服务的访问;ISO27001 访问控制-特权管理:应限制和控制特权的使用和分配。16用户审查定期对系统所有用户进行审查;每个系统的所有用户使用唯一ID;用户变化时应及时检查和更新。用户获得不当权限,
11、有意或者无意的造成系统破坏或信息泄露。ISO27001 访问控制-用户访问权限的评审:管理者应按照策划的时间间隔通过正式的流程对用户的访问权限进行评审。17认证机制与信息访问级别相匹配的用户认证机制;高风险交易和活动使用增强的认证方法。用户获得不当权限,有意或者无意的造成系统破坏或信息泄露。等级保护-应用安全-身份鉴别:a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别c) 应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用d) 应提供登录失败处理功能,可采取结
12、束会话、限制非法登录次数和自动退出等措施e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数18信息安全管理信息安全管理完善的信息安全管理流程、组织架构和职责分配。管理混乱信息安全策略无法正确及时的实施;信息安全责任无法明确。等级保护-安全管理机构-岗位设置a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责b) 应设立系统管理员、网络管理员、安全管理员岗位,并定义各个工作岗位的职责c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权d)
13、 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求19信息安全策略信息安全策略包含完整的内容:1、组织信息安全;2、资产管理;3、人员安全;4、物理和环境安全;5、通信和操作安全;6、访问控制;7、身份认证;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、合规性。安全策略考虑不完善,没有完整包含信息安全各方面,制定的安全策略内容存在疏漏。ISO27001:2005-控制目标:1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理
14、;10、业务连续性管理;11、符合性。20安全培训提供必要的培训,使所有员工都了解信息安全的重要性,并让员工充分了解其职责范围内的信息保护流程。普通员工缺乏信息安全意识,造成有意或无意的信息泄露或者破坏。等级保护-人员安全管理-安全意识教育和培训:a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;d) 应对安全教育和培训的情况和结果进行记录并归档保存。21物理安全数
15、据中心的地理位置远离自然灾害地区、危险或有害设施、或繁忙/主要公路;采取有效的物理或环境控制措施,监控对信息处理设备运行构成威胁的环境物理设施受到台风、地震、火灾、震动、灰尘等威胁。ISO27001:2005-物理与环境安全:应设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。等级保护-物理安全-物理位置的选择:a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。22数据中心的安全保卫出口数量应严格控制;出入通道的锁具安全可靠;配备有录像监控和报警系统;关键位置配备警卫人员;敏
16、感设施及场所的标识隐匿非法访问者对物理设施进行有意或者无意的破坏。等级保护-物理安全-物理访问控制:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。等级保护-物理安全-防盗窃和防破坏:a) 应将主要设备放置在机房内b) 应对设备或主要部件进行固定,并设置明显的不易除去的标记c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中d)应对介质分类标识,存储
17、在介质库或档案室中e) 应利用光、电等技术设置机房防盗报警系统f) 应对机房设置监控报警系统23数据中心的运行环境使用全面的环境控制措施保障系统安全运行,如:不间断电源保护、温湿度控制、防水防火设施等。物理设施受到潮湿、断电、火灾等威胁。等级保护-物理安全-防雷击:a) 机房建筑应设置避雷装置b) 应设置防雷保安器,防止感应雷c) 机房应设置交流电源地线等级保护-物理安全-防火:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。等级保护-物理安全-
18、防水和防潮:a) 水管安装,不得穿过屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警;等级保护-物理安全-防静电:a) 主要设备应采用必要的接地等防静电措施;b) 机房应采用防静电地板;等级保护-物理安全-温湿度控制:a) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内a) 应在机房供电线路上配置稳压器和过电压防护设备b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求c) 应设置冗余或并行的电力
19、电缆线路为计算机系统供电d) 应建立备用供电系统等级保护-物理安全-电磁防护:a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;b) 电源线和通信线缆应隔离,避免互相干扰c) 应对关键设备和磁介质实施电磁屏蔽24门禁管理制度第三方人员进入安全区域应得到适当的批准,并受到密切监控;对外聘人员和承包商有严格的审查程序,包括身份验证和背景调查,并签署安全、保密协议。非法访问者对物理设施进行有意或者无意的破坏。等级保护-物理安全-物理访问控制:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。ISO27001:20
20、05 信息安全组织-外部组织:应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制;与第三方签订的协议中应覆盖所有相关的安全要求。这些协议可能涉及对组织的喜讯你或信息处理设施的访问、处理、沟通或管理,或增加信息处理设施的产品和服务。25网络安全逻辑分区按照不同的安全级别,将网络划分为不同的逻辑安全域。重要系统得不到应有的安全保护,非法用户对系统进行非法访问,造成系统破坏或数据中断。等级保护-网络安全-结构安全:e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。26网络边
21、界防护不同的网络域之间应采取有效的分隔和访问控制措施,如部署防火墙和入侵检测设备;对网络的特殊敏感域,应采用物理隔离方式。扁平化的网络使网络管理更加困难,非法访问者更加容易针对重要设备并进行攻击。等级保护-网络安全-结构安全:f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。等级保护-网络安全-访问控制:a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP
22、3等协议命令级的控制;d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;e) 应限制网络最大流量数及网络连接数;f) 重要网段应采取技术手段防止地址欺骗g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h) 应限制具有拨号访问权限的用户数量。等级保护-网络安全-边界完整性检查:a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b) 应能够对内部网络用户私自联到外部网络的行为进行检测,准确定出位置,并对其进行有效阻断。等级保护-网络安全-入侵防范:a) 应在网络边界处监视以下攻击行为:端口扫描、强
23、力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警27传输加密敏感数据在网络传输过程中应加密。数据被非法窃听,导致重要数据泄露。等级保护-数据安全-数据保密性a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。28网络监控依据事先定义的性能目标对网络进行持续地监测,以确认任何潜在的瓶颈制约或超负荷运行等任何异常的活动;高强度网络分析工具的使用应有适当的授权或审批流程。无法及时发现网络异常,导致网络故障或系统宕机。等级保护-系统运维管理
24、-监控管理:a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。29网络配置更改定期审查网络配置;配置更改或设备调整应作为网络变更流程进行操作。网络配置不当导致出现安全弱点;错误的配置操作导致网络安全弱点或网络故障出现。等级保护-系统运维管理-网络安全管理:a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析
25、和处理工作;b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份;f) 应保证所有与外部系统的连接均得到授权和批准;g) 应依据安全策略允许或拒绝便携式和移动式设备的网络接入;h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。30操作系统安全安全标准制定每种类型操作系统的基本安全要求,确保所有系统满足
26、基本安全要求。操作系统配置不当导致出现安全弱点。等级保护-系统运维管理-系统安全管理:a) 应根据业务需求和系统安全分析确定系统的访问控制策略;b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。31访问权限明确定义不同用户组的访问权限,包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等。管理员获得不当权限,系统关键配置被非法修改。
27、等级保护-系统运维管理-系统安全管理:e) 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。32最高权限账户管理制定针对使用最高权限系统帐户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。高权限帐号的错误或非法操作造成严重的故障或损失;无法对故障或损失的原因进行追溯。等级保护-安全管理机构-授权和审批:a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度c) 应定期审查审批事项,及
28、时更新需授权和审批的项目、审批部门和审批人等信息d) 应记录审批过程并保存审批文档等级保护-主机安全-安全审计:a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;e) 应保护审计进程,避免受到未预期的中断;f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。33安全补丁定期监察可用的安全补丁,经评估和测试后进行安装。对已发现系统漏洞无法及时修补,导致黑客入侵,木马、病毒植入;不当的安全补丁安装影响系统稳定性或者系统宕机。等级保护-系统运维管理-系统安全管理:c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施
29、系统补丁程序的安装;34重要事项审核操作人员应对操作系统运行的重要事项进行检查和说明,如系统日志中记录的未成功登录,重要系统文件的访问,对用户帐号进行修改等信息,以及系统出现的任何异常事件。对操作系统的非法或错误操作无法记录,对信息安全事件或系统故障无法进行追溯和分析。等级保护-主机安全-安全审计:a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等d) 应能够根据记录数据进行分析,并生成审计报表e) 应保护
30、审计进程,避免受到未预期的中断f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等35应用系统安全岗位职责明确定义终端用户和信息科技技术人员在应用安全中的岗位和职责;对关键或敏感职能进行双重控制。知识、技能不够造成误操作;重要岗位缺乏监管造成有意的非法操作。ISO27001:2005 人力资源安全-角色和职责:应根据组织的信息安全方针,规定员工、合同方和第三方用户的安全角色和职责并形成文件。ISO27001:2005访问控制-特权管理:应限制和控制特权的使用和分配36身份验证针对应用系统的重要程序和敏感程度,采取有效的身份验证方法。非法用户获得访问权限。等级保护-应用安全-身份鉴别:a)
31、应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c) 应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。37信息输入和输出在关键的接合点进行输入验证或输出核对;采取安全的方式处理保密信息的输入和输出,防止信息被盗、篡改、故意或无意泄露。关键数据被盗、篡改、故意或
32、无意泄露。ISO27001:2005电子商务服务-电子商务:应保护电子商务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改;ISO27001:2005电子商务服务-在线交易:应保护在线交易中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。38运行情况审核系统能以书面或电子格式保存审计痕迹;能够以预先定义的方式处理例外情况,并向用户提供有意义的信息;管理人员对系统重要事项进行管理和审核。对应用系统的非法或错误操作无法记录,对信息安全事件或系统故障无法进行追溯和分析。等级保护-应用安全-安全审计:a) 应覆盖到每个用户的安全审计功
33、能,对应用系统重要安全事件进行审计;b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c) 审计记录的内容至少应包括日期、时间、发起者信息、类型、描述和结果等;d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。39日志安全策略和流程制定了相关策略和流程,控制所有生产系统的活动日志,以支持有效的审核、安全论证分析和预防欺诈;设置了日志监控和管理岗位;制定了日志资料的安全保护和调阅管理制度。无法及时发现信息安全事件,无法对信息安全事件进行分析和预防;日志被篡改或者无意丢失,无法对历史事件进行追溯。等级保护-系统运维-监控管理:a) 应对通信线路、主机、网络设备和应用
34、软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。40交易日志交易日志由应用软件和数据库管理系统产生,包括身份尝试、数据修改、错误信息等;交易日志按照国家会计政策要求予以保存。对系统问题,非法操作无法进行记录,对出现问题的原因无法进行追溯。等级保护-主机安全-安全审计;等级保护-应用安全-安全审计;等级保护-网络安全-安全审计;等级保护-系统运维管理-网络安全管理;a) 应指
35、定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定等级保护-系统运维管理-系统安全管理:d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定;g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。41系统日志系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,包括身份认证尝试、系统事件、网络事件、错误信息等;系统和网络日志保存期限按事先的风险定级确定,但不能少。不完整的日志无法对现
36、有的系统运行情况进行监控,无法对出现的各类事件的原因进行追溯;历史记录不进行合理的保留导致在出现问题后对以前的操作或者问题进行查找分析。42保存和复查银行应保证在日志中包含足够的项目,以便有效地完成内部控制、系统故障解决和审计,同时应采取适当措施保证所有日志的计时同步,并确保其完整性,有任何的例外情况发生都应当复查系统日志。交易日志或数据库日志的复查频率和保留周期应由信息科技部门和有关业务部分共同决定,并报信息科技管理委员会批准。不完善的日志记录无法对审计提供足够的参考;缺乏日志审核对隐藏的操作问题无法及时发现。43信息安全信息分类制定信息分类操作指南和信息保护工作流程;信息依据敏感程度进行分
37、类,并指定所有人。对重要信息无法提供足够有效的保护,造成重要信息被破坏、篡改、泄露。ISO27001:2005 资产管理-分类指南:应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类;ISO27001:2005 资产管理-信息标识和处置:应制定一套与组织所采用的分类方案一致的信息标识和处置的程序,并实施。44信息加密对不同类别信息采用相应的加密技术或密码设备;建立密码设备管理规范制度;管理使用密码系统设备的员工经过专业培训和严格审核。没有加密的信息容易被泄露、破坏、篡改。等级保护-数据安全-数据完整性:a) 应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏,并
38、在检测到完整性错误时采取必要的恢复措施b) 应能够监测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在监测到完整性错误时采取必要的恢复措施等级保护-数据安全-数据保密性:a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性等级保护-系统运维管理-密码管理:a) 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。45密钥管理实施有效的密钥管理流程,尤其是密钥生命周期管理和证书周期管理。密钥泄露,造成严重信息安全事件。等级保护-系统运维管理-密码管理:a
39、) 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。46机密信息安全机密信息的加密使用符合国家密码管理局要求的加密技术和加密设备,加密强度和加密效率满足信息机密性和可用性要求。机密信息泄露,造成严重信息安全事件。等级保护-数据安全-数据完整性;等级保护-数据安全-数据保密性;等级保护-系统运维管理-密码管理:a) 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。47客户敏感信息安全制定相关策略和程序,管理客户信息的采集、处理、存贮、传输、传播、备份、恢复、清理和销毁。客户数据被泄露,破坏和篡改,直接造成经济损失。ISO27001:2005电子商务服务-电子商
40、务:应保护电子商务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改;ISO27001:2005电子商务服务-在线交易:应保护在线交易中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。四、 应用系统开发、测试和维护序号风险类别风险点控制目标风险分析参考依据48项目管理制度建设应制定策略和流程,治理信息科技项目的立项、优先排序、审批和控制;重大项目必须建立项目管理框架和工作方案,包括:职责的划分、时间进度、财务预算管理、质量检测、风险评估等。项目管理混乱,项目成本无法控制,进度无法掌握,项目质量无法度量,导致项目失败。等级保护-安
41、全管理制度-管理制度:b) 应对安全管理活动中的各类管理内容建立安全管理制度;d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。49进度报告定期向信息科技管理委员会提交重大信息科技项目的进度报告;进度报告包括更改时间计划、关键人员或供应商的决策以及主要费用项目缺乏统一的计划和安排等级保护-系统建设管理-工程实施:b) 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;c) 应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。50系统开发方法根据信息科技项目的规模、性质和复杂性采用适当的系统开发方法,控制信息系统的生
42、命周期;典型的系统生命周期包括系统分析、设计、开发或采购、测试、试运行、部署、维护或报废。信息科技项目缺乏有效的过程管理和控制等级保护-系统建设管理-自行软件开发:b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。ISO27001-通讯及操作管理-操作程序及职责-开发、测试和运营设施的分离:应分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险;ISO27001-通讯及操作管理-系统规划与验收-系统验收:应建立新的信息系统、 系统升级和新版本的验收准则, 并在开发过程中及接收前进行适当的系统测试。51风险管理或者内部审计的参与商业银行在进行大规模和大范围的系统
43、开发时,应要求内部审计部门或信息科技风险管理部分的参与,保证系统开发符合商业银行信息科技风险标准。不严格的开发过程使应用系统存在安全弱点,应用系统问题无法在项目建设过程中及时发现,直接导致系统运行失败、系统中重要数据被破坏、丢失。等级保护-系统建设管理-自行软件开发:a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则c) 应制定代码编写安全规范,要求开发人员参照规范编写代码d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管e) 应确保对程序资源库的修改、更新、发布进行授
44、权和批准等级保护-系统建设管理-测试验收:b) 在测试验收前根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;c) 应对系统测试验收的控制方法和人员行为准则进行书面规定。52文档管理格式标准规范并明确项目资料文档的管理职责、资料文档的起草和审批职责、资料文档格式标准化规范。软件质量无法保证,对软件质量的改进等无法有效实施。等级保护-系统建设管理-自行软件开发:b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。53程序文档完整性程序文档内容包括:程序设计和代码标
45、准、程序描述、程序设计资料、代码清单、源代码命名规则、系统操作指南等。项目程序文档的缺失,可能会致使整个项目维护困难、升级困难等问题 等级保护-系统建设管理-自行软件开发:d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。等级保护-系统建设管理-外包软件开发:c) 应要求开发单位提供软件设计的相关文档和使用指南。等级保护-系统建设管理-系统交付:a) 应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。54项目文档完整性项目文档内容包括:项目需求、可行性分析、阶段实施记录(启动、计划、
46、设计、开发、测试、实施、后评价等)。项目文档的不完善,增加了项目失败的可能性等级保护-系统建设管理-工程实施:b) 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程。等级保护-系统建设管理-外包软件开发:a) 应根据开发需求检测软件质量;c) 应要求开发单位提供软件设计的相关文档和使用指南。55系统测试开发环境与测试环境的分离保证生产系统与开发系统、测试系统相分离;生产系统与开发系统、测试系统的管理职能相分离。影响生产系统的稳定性,导致数据泄漏等安全事件的发生。等级保护-系统建设管理-自行软件开发:a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制。ISO27001-通讯及操作管理-操作程序及职责-开发、测试和运营设施的分离:应分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险。56测试数据敏感的生产数据应该降低或消除敏感性,在运用到测试环境前必须得到预先的批准。生产数据