金融行业安全服务解决方案Word文档下载推荐.doc

金融行业安全服务解决方案Word文档下载推荐.doc

《金融行业安全服务解决方案Word文档下载推荐.doc》由会员分享，可在线阅读，更多相关《金融行业安全服务解决方案Word文档下载推荐.doc（58页珍藏版）》请在冰豆网上搜索。

2.2.2 提供安全改造咨询 7

2.2.3 提供加固技术支持 7

2.2.4 提供监控服务 7

第3章 评估理论、方法及模型 8

3.1 相关标准与规范 8

3.1.1 评估咨询项目的标准性原则 8

3.1.2 方案中标准的体现对照 8

3.1.3 相关标准规范介绍 10

3.1.3.1 COSO报告《内部控制整体框架》与ERM《企业风险管理一整体框架》 10

3.1.3.2 COBIT《信息及相关技术的控制目标》 12

3.1.3.3 ITIL《IT基础架构库》 14

3.1.3.4 ISO27001《信息安全管理规范》 16

3.1.3.5 银监会63号文《银行业金融机构信息系统风险管理指引》 18

3.1.3.6 Cobit、ISO17799与63号文控制目标对应表 19

3.2 安全风险评估策略 32

3.2.1 风险管理原则 32

3.2.2 建模策略 33

3.2.3 信息安全管理 34

3.2.4 标准遵循 34

3.3 安全风险评估理论模型 34

3.3.1 安全风险过程模型 34

3.3.2 安全风险关系模型 36

3.3.3 安全风险计算模型 36

3.3.4 安全风险管理过程模型 38

第4章 风险评估 40

4.1 资产管理评估 40

4.1.1 资产分类调查 40

4.1.2 资产安全管理 41

4.2 威胁评估 42

4.2.1 安全隐患分析 42

4.2.2 网络架构威胁分析 43

4.3 弱点与漏洞评估 44

4.3.1 大规模漏洞检测评估 44

4.3.2 渗透性测试 44

4.3.3 控制台人工审计 45

4.4 网络架构评估 46

4.4.1 网络性能与业务负载分析 46

4.4.2 访问控制策略与措施分析 47

4.4.3 网络设备策略与配置评估 48

4.4.4 安全设备策略与配置评估 48

4.5 安全控制评估 49

4.6 安全管理评估 50

4.6.1 安全管理体系评估 50

4.6.2 常规安全管理 51

4.6.3 应急安全管理 51

4.7 业务与应用评估 52

4.7.1 业务流程分析 52

4.7.2 应用服务与应用系统分析 53

4.8 典型安全评估咨询输出 54

4.8.1 信息安全现状报告 54

4.8.2 信息安全风险评估报告 54

4.8.3 信息安全策略建议 55

4.8.4 信息安全解决方案建议 56

4.8.5 安全培训方案建议书 56

第1章概述

1.1需求分析

随着金融业务的高速发展，对信息系统的要求越来越高。

在信息系统建设的同时，也非常注重信息安全的建设，为了进一步提高信息系统的安全性，依据长期发展战略，提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求，具体包括如下几个方面：

Ø

完善信息科技部门信息安全管理体系；

提高信息安全应急响应能力；

提高信息安全人员意识及技术能力；

提高银行自身合规性的能力；

加强对国内外安全事件技术分析和趋势跟踪；

清楚认识网上银行存在的风险，提高网上银行的安全性。

1.2项目建设目标

通过项目建设，达到如下目标：

根据中国银行业监督管理委员会下发的相关信息科技风险管理指引，以及国际流行的信息安全风险管理规范，结合信息科技发展的实际情况，进一步完善和细化信息科技风险管理制度和流程；

提高对信息安全的应急能力；

通过培训等手段提高信息科技部技术队伍人员的信息安全意识和技能水平；

提高符合监管部门监管要求、法律法规的能力；

通过评估网上银行的现状，提出网银安全建设和整改方案，并监控来自互联网针对网银的攻击行为。

第2章方案内容

为了满足安全需求，达到预定目标，项目建设的内容如下：

2.1安全管理咨询顾问服务

2.1.1进行信息安全管理体系咨询

在已有信息安全管理制度、规范的基础上，进一步制定可落实、可执行的信息安全管理体系，涵盖策略、规范、流程等各个层面。

通过多年的积累，结合BS7799及COBIT最佳实践，形成了自己的一套管理制度体系，这套管理体系可以根据客户的实际情况进行裁剪。

在本项目中，我们将会对XXXXX现有制度进行梳理，结合公司的管理体系框架，形成一套适合XXXXX的管理制度体系及流程，具体如下步骤：

本活动由以下步骤组成：

步骤1：

分析已获信息

策略规划小组对已收集的各种文档信息进行分析，鉴别已有的信息安全策略，并进行相应的记录。

步骤2：

设计框架结构

根据已获得的信息，策略规划小组设计信息安全策略框架。

步骤3：

沟通框架结构

针对已创建的信息安全策略框架，策略规划小组与相关人员进行沟通。

步骤4：

制定安全策略

在确定了信息安全策略的框架之后，策略规划小组为制定信息安全策略。

步骤5：

分析评估报告

策略规划小组分析已完成的评估报告，鉴别评估过程中发现的问题。

步骤6：

完善安全策略

根据评估报告中所发现的问题，策略规划小组完善信息安全策略。

2.1.2协助进行信息安全应急响应演练

协助信息科技部门制定网络安全应急响应流程,并参与XXXXX组织的应急响应演练,评估应急响应演练效果并提供改进建议。

在制定XXXXX信息科技部门制定网络安全应急响应流程中将结合现有信息系统情况，制定可实施的应急预案，将按照应急预案进行演练，并制定详细的恢复计划，保证最小化影响业务系统。

制定好应急预案后，将根据应急预案协助XXXXX进行应急响应演练,检验应急预赛的可行性，评估应急响应演练效果并提供改进建议。

在应急演练过程中，将检验如下的各个环节：

建立应急组织

应急准备

应急演练

应急启动与处理

应急恢复与重建

应急结束

应急总结

应急汇报与信息披露

2.1.3提供定制化的信息安全培训

针对普通员工、科技干部、管理层提供不同类型的信息安全培训，包括管理培训和网络安全技术。

将根据XXXXX的实际情况，提供客户化的培训，具体计划如下：

对管理人员进行管理培训，提供2人次的BS7799培训；

对技术人员进行4人次的CISP培训；

对普通员工进行现场的安全意识培训。

2.1.4提供互联网安全事件应急响应服务

针对来自互联网的入侵、蠕虫爆发提供应急响应服务。

将分级别为XXXXX提供互联网安全事件的应急响应服务，具体计划如下：

分类

说明

响应方式

高级事件

由攻击行为直接引起的相关事件，正在危害，或者即将危害到系统的业务连续性。

非攻击行为造成，但是影响到目标系统业务持续性的事件。

现场为主，远程

中级事件

由非攻击行为直接引起的其他事件，而且这种事件没有直接影响到当前业务的持续性。

例如一般性安全咨询，产品升级，病毒库升级等等。

远程为主（电话，邮件，传真等），必要时进行现场支持

低级事件

攻击或者非法事件并没有对系统造成伤害，但有入侵企图，可能会造成损害。

远程为主（电话，邮件，传真等）

2.1.5国内外安全事件技术分析和趋势跟踪

关注安全业内动态、与国、内外安全机构有密切的联系，密切跟踪安全事件及安全发展趋势，将为XXXXX以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务，使XXXXX防患于未然。

以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务。

2.2安全建设及安全监控外包服务

2.2.1风险评估

针对XXXXX网银进行风险评估，提出网银的改进方案，并结合XXXXX业务提出网银的发展规划。

2.2.2提供安全改造咨询

为XXXXX安全改造提供技术咨询。

2.2.3提供加固技术支持

为XXXXX系统加固提供技术支持。

2.2.4提供监控服务

提供7X24小时安全监控服务，在出现异常攻击行为时进行及时的应急响应处理。

第3章评估理论、方法及模型

通过风险评估服务，可以提高客户关键业务系统的可用性和可靠性、降低信息安全管理成本，提高金融企业对行业监管、国家政策的合规性，同时也可为其他外部系统提供安全基准，进一步增强客户的竞争优势。

在设计过程和方案的实施中，结合客户网络的特点，遵循和参照最新、最权威、最具有代表性的国家和国际信息安全标准与建议。

下面给出了相关标准和法规、政策在方案中的体现。

3.1相关标准与规范

3.1.1评估咨询项目的标准性原则

启明星辰提供的本次安全评估咨询服务，将依据《2006年度银行业金融机构信息科技风险评价审计要点》、《银行业金融机构信息系统风险管理指引》、《电子银行安全评估指引（征求意见稿）》、《商业银行内部控制评价试行办法》中的相关要求进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳优秀的风险评估理论。

国际标准包括ISO17799:

2005《信息技术－信息安全管理业务规范》、GAO/AIMD-00-33、《信息安全风险评估》、ISOISO/TR13569《银行和相关金融服务一信息安全指南》、AS/NZS4360:

1999,ISO15408等；

国家标准包括GB17859，GB18336等。

同时我们将参考COSO/ERM《企业风险管理一整体框架》、Cobit4.0、ITIL3.0、Prince2等IT治理模型；

这些标准和操作指南目前已经被金融行业风险评估项目和IT治理项目中进行了实践，并得到了用户的认可和好评。

除对标准的遵循外，启明星辰的风险评估过程还紧密结合金融行业的各种业务特征，依据XXXXX的业务特点，系统地制定了XXXXX信息安全风险评估方案。

3.1.2方案中标准的体现对照

评估过程

参照标准

调查表和问题的设计

《2006年度银行业金融机构信息科技风险评价审计要点》

《银行业金融机构信息系统风险管理指引》

《电子银行安全评估指引（征求意见稿）》

《商业银行内部控制评价试行办法》

ISOISO/TR13569《银行和相关金融服务-信息安全指南》

Cobit4.0

加拿大《威胁和风险评估工作指南》

美国国防部彩虹系列NCSC-TG-019

ISO17799/BS7799

资产评估

风险分析方法

ISO13335

风险分析模型

《AS/NZS4360:

1999风险管理标准》

风险计算模型

GAO/AIMD-00-33《信息安全风险评估》

安全管理评估

I