银行安全评估

1•项目概述•实施方案•时间及人员安排提纲2项目概述背景•电子银行带来的发展机遇与挑战。–服务触角向客户延伸，拓展了业务渠道，极大地方便了客户。–新技术的运用增加了一些传统风险，同时带来了另外一些新的风险。•战略风险•信用风险•流动性、利率、价格/市场风险•交易或操作风险•符合性/法律风险•声誉风险•为管理电子银行安全风险，一系列行业规章制度标准指南出台。–巴塞尔银行监管委员会。–中国银监会。•我行初步完成了电子银行系统开发与建设，需要了解系统安全状态。–安全所处的位置。–与相关行业规章制度标准指南的符合性。3•掌握电子银行系统的应用及安全状况；•按照银监会相关要求完成电子银行系统的安全评估；•提出改进建议或方案。项目概述目标4项目概述评估参考依据•国家标准–《信息安全风险评估指南》–《信息安全风险管理指南》•银监会规章制度指南–《商业银行内部控制评价办法》–《银行业金融机构信息系统风险管理指引》–《银行业金融机构内部审计指引》–《电子银行业务管理办法》–《电子银行安全评估指引》•其它相关–《电子银行风险管理原则》（巴塞尔银行监管委员会）–BS7799/ISO27000系列5•组织范围–总部•IT部门、业务部门？风险管理部门？审计部门？–分支机构？•系统范围–网上银行•信息网站•交易网站–ATM？–手机银行?–自助银行–电话银行？•工作范围–电子银行安全评估–电子银行安全及风险控制体系建议项目概述范围6•项目概述•实施方案•时间及人员安排提纲7实施方案评估总体思路•业务层面（业务流程建设、业务操作）–业务流程建设（流程基本评估）–业务应用控制（与业务有关的IT控制，需要分解流程步骤，针对每一步进行）–业务控制（需要分解流程步骤，针对每一步进行）•系统平台层面（与电子银行相关的系统平台，即IT基础设施）–应用支撑平台（如果物理、网络、系统平台、数据库等）–应用系统•与电子银行相关的总体层面（IT管理层面，这个层面是为所有IT业务应用系统服务的，因此会影响到电子银行系统）–IT治理环境（含组织架构）–风险管理或控制框架（控制环境、风险评估、信息沟通、监控等）–系统规划与建设（生命周期管理，主要是开发与获取）–日常运维管理（日常的事件管理、变更/发布管理、巡检、及其它操作如：备份、监控，定期报告等）–业务持续性计划（BCP）–外包管理–信息安全管理作为机构IT业务应用系统之一，电子银行系统需要与其它业务应用系统一起纳入机构全面的风险管理体系中。电子银行风险评估涉及三个层面：8•安全管理评估（策略、组织架构、制度）–安全策略（电子银行系统整个生命周期的策略建设）；–组织架构与人员安排（与电子银行系统相关组织建设与人员安排）；–管理制度建设（与风险管理、开发与获取、安全管理、运营管理、内部控制、应急响应、业务连续性、外包等）。•IT基础设施安全评估–支撑平台•物理环境（物理环境、机房环境、介质与设备安全）；•网络平台（网络结构、网络管理、网络安全）；•系统平台（业务主机、操作系统安全、数据库安全等）。–应用系统安全•身份鉴别与访问控制；•交易安全；•数据安全（传输、处理、存储）；•密钥安全；•输入输出合法性/异常处理/日志与审计；•系统可用性。•业务风险评估–业务流程建设；–业务应用控制；–业务控制。实施方案评估内容9实施方案安全管理评估•目标–评估当前电子银行相关安全方针与策略是否完备，已有的策略是否得到了有效的执行。•评估要点–安全策略制定的流程与合理性；–与电子银行相关的总体（战略）规划；–与电子银行系统相关的风险管理策略；–与电子银行系统相关的开发与获取策略；–与电子银行系统安全管理及内部控制相关的策略；–与电子银行系统相关的运维管理策略；–与电子银行系统相关的业务持续性与应急安全策略；–与电子银行有关的外包管理策略；–客户信息安全策略。•评估方法–安全策略文档审阅；–安全策略部署检查。安全策略评估10实施方案安全管理评估（续）•目标–评估与电子银行管理相关的机构与人员设置是否合理。•评估要点–组织机构设置的合理性与协调性（包括系统管理/风险管理/审计部门）；–人员配备（体现制约关系）；–人员技能与培训。•评估方法–岗位职责审阅；–安全意识/技能/培训访谈；–对工作人员资格情况的检查。组织架构与人员安排评估11实施方案安全管理评估（续）•目标–检查电子银行是否建立和实施了一套完整的对运行中涉及的各类风险进行识别、监测、衡量和控制的风险管理制度。•评估要点–电子银行风险管理部门主要负责人对电子银行风险的熟知程度；–电子银行风险管理的规章制度与操作规定、程序等。包括：•风险模型定义；•相关职责划分/人员安排；•与目标设定、风险识别、风险评估、风险控制以及风险监测相关的流程及操作程序。–电子银行业务风险管理状况。•评估方法–对所建立的电子银行风险管理模型及框架进行检查；–与电子银行有关的风险管理制度及执行情况检查；–对其他方面的检查。风险管理评估12实施方案安全管理评估（续）•目标–检查电子银行系统的开发与获取过程是否得到适当的控制。•评估要点–与开发及获取相关的职责安排，组织架构是否合理；–开发及获取的标准、方法论及实践；–电子银行系统质量保证过程；–开发及获取变更控制过程；–电子银行系统补丁与发布管理；–与电子银行相关文档的管理与控制。•评估方法–审查开发与获取流程；–审阅与电子银行相关的资料文档。开发与获取评估13实施方案安全管理评估（续）•目标–检查电子银行日常安全管理制度是否完善，各项安全制度是否得以落实。•评估要点–与电子银行系统安全管理有关的制度建立及其执行情况，包括：•物理安全；•数据通讯安全；•应用系统安全；•密钥管理；•客户信息认证与保密；•入侵监测机制和报告反应机制。•评估方法–对电子银行安全管理框架进行检查；–电子银行安全管理制度及执行情况检查。信息安全管理评估14实施方案安全管理评估（续）•目标–检查电子银行日常运营制度及流程是否完善，各项运营制度及流程是否得以落实。•评估要点–事件管理流程；–问题管理流程；–变更管理/发布管理流程；–配置管理流程；–能力管理流程；–用户支持；–其它日常操作流程，如：巡检、备份、监控，定期报告等。•评估方法–对电子银行运营架构进行检查；–电子银行运营制度及执行情况检查。运营管理评估15实施方案安全管理评估（续）•目标–检查电子银行针对所具有风险是否建立和实施了完整内部控制体系，把风险控制到组织可以接受的范围内。•评估要点–内控管理层对电子银行内部控制的认知能力与水平；–控制环境建设情况；–控制机制执行情况；–沟通与监控机制的建设与运行情况；–内部审计制度的建设与运行情况。•评估方法–通过访谈、文档查阅、观察等方法进行控制设计有效性评估；–通过符合性检查/测试评价电子银行内部控制的运作情况，是否如描叙一致。内部控制评估16实施方案安全管理评估（续）•目标–检查电子银行业务的应急响应及业务连续性计划或制度是否完善。•评估要点–业务影响分析情况；–风险分析情况；–BCP相关计划与制度制定情况；–定期演练情况。•评估方法–BCP文档审查；–演练记录核查。业务连续性及应急响应评估17实施方案安全管理评估（续）•目标–评估机构的信息系统与技术服务外包风险管理过程的有效性。•评估要点–电子银行外包需求定义流程；–TSP尽责调查程序；–服务合约是否完善有效；–服务监控是否有效。•评估方法–相关流程查阅；–服务合约查阅；–审查与电子银行外包需求定义、TSP尽责调查、服务监控有关的记录文档。外包管理评估18实施方案IT基础设施安全评估•目标–分析电子银行系统主要信息资产面临的威胁、存在的弱点、并结合资产价值，综合评价安全风险。•评估要点–资产分析；–威胁分析；–弱点分析；–已有控制分析；–风险分析。•评估方法–访谈；–自动扫描；–手工检测；–渗透测试；–安全分析。19实施方案IT基础设施安全评估（续）•识别信息资产：搜集电子银行系统信息资产信息，确定信息资产的所有者、管理者和使用者；•确定信息资产价值：通过对信息资产的机密性、完整性和可用性进行赋值获得信息资产的价值；•威胁评估：识别信息资产可能面临的威胁来源和威胁类型，从列表中进行选择，并对这两项内容进行赋值；•脆弱性评估：对应信息资产已经识别出来的威胁选择信息资产本身具有的脆弱性，并对脆弱性进行赋值；•获得信息资产风险值：当信息资产的价值、威胁值和脆弱性值都赋值结束后，风险评估表自动计算出该信息资产的风险值。针对关键信息资产的风险评估20•目标–根据电子银行的业务特征，建立相关业务模型，深入分析评估业务流程中存在的风险环节。•评估要点–业务流程建设；–业务应用控制；–业务控制。•评估方法–通过人员访谈、文档查阅或现场观测收集业务流程相关信息；–按照评估要点对现有业务流程进行分析；–通过综合分析评价业务流程的风险。实施方案业务风险评估21•调查–主要用于评估对象现状信息收集。调查包括问卷、远程访谈与现场访谈。•检查–主要用于信息收集及弱点分析。包括文档检查、记录核查、配置检查等。•测试–主要用于弱点分析，包括手工测试、自动工具测试以及综合性的渗透测试。•人工分析–主要用于资产分析、威胁分析、安全措施分析及安全评价。实施方案评估手段22实施方案评估流程与活动渗透测试手工检测IT基础设施安全评估安全访谈自动工具扫描安全管理评估文档审核符合性检查业务风险评估业务控制访谈业务流程建模管理访谈改进建议技术改进管理改进综合评价资产安全评价业务风险评价安全管理评价信息收集访谈资料收集问卷调查了解电子银行系统的基本信息风险管理体系的健全性、符合性与有效性实际的IT安全状态业务层面风险控制状态业务控制核查23•调查问卷•现场访谈表•评估表或Checklist•自动化测试工具•评价工具实施方案评估工具24实施方案项目阶段划分按照项目执行的先后顺序以及主要的工作内容，项目实施过程可划分为以下五个阶段：第一步第二步第三步第四步第五步25•阶段目标–完成项目实施前期工作•主要工作内容–确定项目任务、目标–确定评估范围与内容–成立项目组–制定项目实施计划–收集整理开发各种评估工具–项目背景知识培训•主要阶段成果–《安全评估计划》–《安全评估调查问卷》–《安全评估访谈表》–各种评估表或Checklist–《安全评价表》第一阶段：项目准备26•阶段目标–通过调研，收集并整理分析评估对象信息，收集内容涵盖电子银行业务类别，以及各种类别业务从规划、建设、运营到终止整个生命周期的相关信息，重点收集整理分析电子银行应用状况与业务流程信息。(业务及IT应用现状)•主要工作内容–填写调查问卷–文档收集与查阅–现场访谈–配置信息/状态信息收集–分析整理与电子银行相关的组织架构、IT基础设施及以及业务类别业务流程–撰写现状报告•主要阶段成果–《电子银行现状报告》第二阶段：现状调研与分析27•阶段目标–从安全管理、系统安全以及业务风险三个方面对电子银行系统进行全面评估。•主要工作内容–安全管理•安全策略评估•组织架构与人员评估•管理制度评估–IT基础设施安全评估•支撑平台评估•应用系统安全评估–业务风险分析•业务流程要素分析•业务风险评价•阶段成果–《电子银行安全评估报告》(提交银监会)–《电子银行安全管理评估报告》–《电子银行IT基础设施安全评估报告》–《电子银行业务流程风险评估报告》–各种访谈/检测报告第三阶段：实施评估28•阶段目标–根据前面评估的结果，确定完善电子银行安全管理需要进行的主要工作，对具体实施内容进行综合分析，提出改进建议与实施规划。•主要工作内容–根据评估发现的安全问题，制定相应的安全建议措施，并进行分类与合并，转换为可以实施的任务和项目；–根据需要编制安全管理和技术方案建议书•阶段成果–《安全加固建议书》–《技术方案建议书》–《安全管理与风险管理建议书》（包含各种制度文档模板）第四阶段：安全建议与方案操