GB/T27910—2011金融服务信息安全指南Financialservices--Informationsecurityguidelines金融信息化研究所赵义斌2018-3主要内容前言主流标准信息安全体系目标本标准内容前言本标准是2008年全国金融标准化技术委员会的7项金融国际标准采标项目之一,采标“ISO/TR13569:2005”。本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案,同时它也为金融机构服务提供商提供了指南,对于面向金融业的培训机构和出版商,本标准也可作为原始文档。主流标准简介国际标准:27000系列国内标准:等级保护系列27000系列标准◦ISO/IEC27001的前身为英国的BS7799标准◦2005年,BS7799-2:2002被ISO组织所采纳,推出ISO/IEC27001:2005.◦ISO27000—27036,涉及术语、体系、实践规范、实施指南、指标与测量、风险管理……等,最核心标准是27001,◦ISO/IEC27001被采为国家标准GB/T22080-2008/ISO/IEC27001:2005◦提出了完整的信息安全管理体系(ISMS),11个主题,39个控制目标,133个控制措施。11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务连续性管理及符合性。◦将机构作为标准实施的一个主体等级保护安全技术◦物理、网络、主机、系统、应用、数据等安全管理◦制度、机构、人员、建设、运维针对具体的信息系统提出从技术到管理的安全要求信息安全目标信息安全体系确保信息资产的机密性、完整性、可用性(真实性、可靠性、不可抵赖性等),达成这些目标是一项跨专业部门的工作。本标准内容公司信息安全策略信息安全管理—信息安全方案信息安全机构风险分析和评估安全控制实施和选择IT系统控制实施特定控制措施辅助项信息安全策略—信息分类按照信息资产价值、重要性进行信息分类不同类别的信息实施不同要求的信息安全防护策略体现适度安全的理念信息安全策略—文档层次安全文档分为以下三个层次:策略文档◦一般由上层管理者发布的安全要求。实践文档◦支持和分解一般安全原则,该原则提供清楚的方法以达到安全策略要求。规程文档◦在一定技术水平上的对实践的归纳,提供实施所要求规程的指南。规程策略实践信息安全策略—策略文档特点信息安全策略应成为机构管理体系的有机组成部分。内容简明扼要、明确保护的信息资产、通用范式。全机构范围发布、对信息资产的全覆盖等。由上层管理者发布的安全要求,例如首席执行官(CEO)和首席信息官(CIO)签署、授权,才能生效。公开发布内容是稳定的广泛的代表性安全实践文档特点衍生于策略文档,满足实践需求,比策略文档更具有可变性。范围上比策略文档狭窄,适用于具体的业务、部门,有明确的使用范围和边界,有严格限制的读者对象,文档大小是变化的和依赖主题的,所以实践文档是不公开的。技术上中立,根据保护信息类别确定使用的技术方法。实践文档的数量应保持最少。示例:“对公司信息资产的访问应以与资产敏感性相对应的方式鉴别。双因素鉴别(基于生物特征识别和基于口令)是可接受的最低鉴别级别。在访问被资产所有者分类为“机密”的资产时仅应采用三因素”鉴别。双因素鉴别(基于生物特征识别和基于口令)的访问控制系统应遵守如下规则⋯⋯”安全规程文档特点衍生于一个或多个安全实践文档,长度随规程的主题和复杂性而不同,具有可操作性。在三个层次的文档中范围最狭窄。制定文档时应保证文档是完整的、准确的和恰当的,并且不能与其他实践或策略冲突,并应对法规限制、外部生产标准和其他规程文档予以考虑。规程文档应包括:先前的包含任何残余风险标识的安全风险分析和管理审查结果、随后行动的结果(诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动监控和审查列表以及安全相关事故的报告。它们是策略如何实施的专业技术性描述。如“使用‘pwadmin’命令确保用户口令满足公司访问控制和鉴别实践文档中建立的标准。接下来的命令是⋯⋯”信息安全管理——信息安全方案体系的建立安全意识审查事故管理监控符合性维护灾难恢复信息安全管理体系信息安全体系的建立实施信息安全策略需要建立信息安全体系,信息安全体系的建立、维护、改进和监控需要机构内多个专业部门的协同参与,全员支持信息安全体系的建立和实施。本标准最重要的建议是机构应建立一个信息安全管理体系。在公司管理的最高层次上,体系应遵循机构建立的策略,形成覆盖整个机构的建立和维护机制。制定一个详细的信息安全过程和规程可能要求机构内不同业务职能角色的合作,包括审计、风险、符合性、保险、负责法律法规符合性的官员以及合伙人和客户。安全意识安全意识包括安全教育和安全意识培训。确保所有雇员了解与他们和他们周围人的活动相联系的安全问题并保持警觉。体系的结构应能使雇员知道他们的安全职责,应给对安全方面有兴趣的雇员提供资源并鼓励他们扩充知识(培训)。信息安全审查安全视角的准入(大到国家、行业、机构、部门等)已有安全体系的维护信息安全审查从安全的视角建立准入规则(大到国家、行业、机构、部门等)应指派一个或更多的机构高级管理者承担对信息安全体系的责任,及时审查和更新体系,同时当新的威胁和技术出现时,确保必要的防护资金投入。体系应包括建立履行信息安全体系所需要职责的详细过程和规程,以检查和报告信息安全体系的合理性及符合性。各个层次的管理者,包括执行层,可得到所有的监控和审查报告。应明确对任何策略例外或偏差进行考虑的规程并形成文档。还应有对产品必要的审计、符合性记录和监控安全审计日志信息的规程。应引起特别关注的是:识别审计日志信息的风险、为减少这些风险制定的要求,以及那些为确保信息安全资产得到充分保护所规定的要求。事故管理所有信息安全事件应迅速报告、文档化并根据机构实践予以解决。当未预期到的信息安全事件很可能破坏业务运营和威胁信息安全时,它们就成为必须说明的信息安全事故。安全专家在重新评估风险和选择实施安全控制中都使用事故和事件。进行信息安全体系改进时也使用事件和事故。监控应建立正式的机制报告入侵、系统故障和其他安全事故。应在审查过程中使用安全事故论证结果和事故管理文档结论,以影响防护措施投资和保护资产的控制措施,使其在过期后能得到重新评价和变更。体系维护和符合性体系维护◦已制定的控制措施,如防火墙和病毒扫描软件应定期更新以便有效防护新威胁。符合性◦应由独立的审查确保实践符合已建立的策略并且有充分和有效的控制措施。◦任何被许可免除的审查应及时文档化并限定时间以便可定期重新评估。灾难恢复表明事关业务连续性的关键信息资产。制定灾难恢复计划。在制定计划时,应考虑掌握关键技能的员工、法律协定、信息备份系统以及可用作替代的支持关键业务活动的处理资源和场所等方面灾难恢复计划应定期检查和评估。云架构的多活,灾备将逐步趋向安全生产信息安全机构承诺机构结构角色和责任管理者审计委员会风险管理委员会法律部门执行官业务经理雇员外围安全角色首席信息安全官官(CISO)信息安全官(ISO)安全操作者承诺(声明)机构范围内信息安全体系目标的承诺,应基于机构对信息安全需要的理解。机构应通过愿意为信息安全活动投入资源和说明其信息安全需要来证明履行其承诺。机构最高层应关注信息安全对机构的意义,以及信息安全的范围和程度。信息安全目标应在整个机构发布,每个雇员和承包商应知道他们的角色、责任和他们对信息安全的贡献,应赋予他们适当的权力去完成这些目标。机构结构—角色和责任应适当划分责任并分配给相应角色。机构结构—管理者、审计委员会、法律部门管理者◦管理者应传达信息安全是机构的重要目标的观念,并支持信息安全体系。审计委员会◦金融机构审计委员会在监管中协助董事会,作为一个独立的部门负责目标检查、平衡内部控制和财务报告。◦信息安全体系中的监督和检查是审计委员会的一部分职责,通常通过机构内部审计部门或外部审计师进行。法律部门◦法律部门应参与信息安全管理体系的实施,出率有关法律事务:如审查涉及雇员、客户、服务提供商、承包商和供货商的合同,涉及法律的取证等,机构结构—执行官CEO应授权建立符合公认标准的信息安全体系并对其提供支持,监管主要风险评估决策,参与宣传信息安全的重要性。很多机构设有类似的首席执行官、首席财务官(CFO)、首席技术官(CTO)和首席运营官(COO)等角色。许多机构开始在机构高层引入另外的角色,例如首席信息官(CIO)和首席信息安全官(CISO)。CTO、CIO和CISO角色有很多其他变化,但每个金融机构应有一位资深官员或首席信息安全官最终向CTO或CIO汇报工作。机构结构—业务经理、雇员业务经理◦专门的业务经理和机构内的其他经理,监督和管理机构雇员和代理商,这使得他们成为信息安全体系的参与者。◦每个经理应理解、支持和遵守机构的策略、实践和规程,并确保雇员、供货商和承包商也这样做。◦业务经理应创造积极的氛围鼓励雇员、供货商和承包商报告信息安全相关问题。雇员◦安全体系的要求应包含在雇员雇佣合同中。◦所有员工都应知道自身活动和周边活动的安全含义,以便他们能够主动报告任何可疑的信息安全事件。机构结构—外围应在供货商服务协议和承包商协议中包含安全方案要求。供货商和承包商应理解、支持、遵守机构和业务部门的信息安全实践和规程,他们应遵守公司信息安全策略。当机构因经济或其他业务原因选择外包银行业务时,风险管理不可能外包,其责任仍属于机构。信息安全角色—首席信息安全官(CISO)首席信息安全官(CISO)负责设计、实施和管理信息安全体系,在信息安全方面对董事和执行官负有最终责任的人。CISO职责◦向执行官提出预算并说明信息安全方案的合理性;◦设计符合业务战略的安全架构;◦管理实施安全架构和履行信息安全职责的其他级别的人员;◦完成使安全架构生效的风险评估并弥补需要关注的缺陷;◦发布安全策略、实践和规程并管理一个安全意识方案;◦保持对目前的威胁和脆弱性的了解,掌握解决它们的最新安全技术;◦确保本机构被恰当地纳入该机构业务所开展的国家的重要基础设施保护的工作中。信息安全角色—信息安全官(ISO)信息安全官(ISO)是机构中按CISO指示,肩负制定、实施和维护信息安全体系职责。ISO可以是CISO的助手,也可在机构业务部门控制之下,即专职、兼职都可。ISO职责◦理解安全架构、实践和规程;◦制定本地实践,发布并在合适的时候更新实践;◦从事风险评估;◦监控和审计安全实践;◦帮助IT系统从攻击中恢复;◦给出改进实践和规程的建议;◦跟踪最新的安全威胁、技术和方法◦提高信息安全意识。信息安全角色—安全操作者安全操作者执行最详细的、重复活动以完成信息安全方案的目标。安全操作者可能是CISO的助手,也可能属于机构其他部门,应熟悉所在业务部门的硬件、软件和所需的安全规程。典型的职责描述如下:◦安装和维护网络设备的安全设置;安装操作系统安全补丁;维护和更新正确的访问控制文件;收集安全信息、审计信息、监控系统和网络活动发现安全问题。安全操作者负责◦理解如何支持安全架构和方案.◦实施和维护安全实践和规程.◦监督安全规程并在合适的时候报告它们的状态.◦纠正安全错误和对抗攻击◦.在一个错误或攻击后重建与业务恢复有关的适当的安全规程◦对改进实践和规程提出建议。风险评估风险评估内容安全建议和风险接受风险评估内容通过风险分析机构的对安全态势以及特定项目、系统和产品的安全进行评估。一个风险评估过程应给出降低机构安全风险到可接受级别的建议,指导选择合适的控制措施。一般用于风险评估的机构资产包括:设施和设备、软件应用、公司数据库、通信系统和计算机操作系统。通过定性、定量的信息资产、脆弱性及威胁评估,给出风险评估结论