文档介绍：1 ?项目概述?实施方案?时间及人员安排提纲 2项目概述>>> 背景?电子银行带来的发展机遇与挑战。–服务触角向客户延伸,拓展了业务渠道,极大地方便了客户。–新技术的运用增加了一些传统风险,同时带来了另外一些新的风险。?战略风险?信用风险?流动性、利率、价格/市场风险?交易或操作风险?符合性/法律风险?声誉风险?为管理电子银行安全风险,一系列行业规章制度标准指南出台。–巴塞尔银行监管委员会。–中国银监会。?我行初步完成了电子银行系统开发与建设,需要了解系统安全状态。–安全所处的位置。–与相关行业规章制度标准指南的符合性。 3 ?掌握电子银行系统的应用及安全状况; ?按照银监会相关要求完成电子银行系统的安全评估; ?提出改进建议或方案。项目概述>>> 目标 4项目概述>>> 评估参考依据?国家标准–《信息安全风险评估指南》–《信息安全风险管理指南》?银监会规章制度指南–《商业银行内部控制评价办法》–《银行业金融机构信息系统风险管理指引》–《银行业金融机构内部审计指引》–《电子银行业务管理办法》–《电子银行安全评估指引》?其它相关–《电子银行风险管理原则》(巴塞尔银行监管委员会) –BS7799/ISO27000 系列 5 ?组织范围–总部?IT部门、业务部门?风险管理部门?审计部门? –分支机构? ?系统范围–网上银行?信息网站?交易网站–ATM ? –手机银行?–自助银行–电话银行? ?工作范围–电子银行安全评估–电子银行安全及风险控制体系建议项目概述>>> 范围 6 ?项目概述?实施方案?时间及人员安排提纲 7实施方案>>> 评估总体思路?业务层面(业务流程建设、业务操作) ?业务流程建设(流程基本评估) ?业务应用控制(与业务有关的 IT控制,需要分解流程步骤,针对每一步进行) ?业务控制(需要分解流程步骤,针对每一步进行) ?系统平台层面(与电子银行相关的系统平台, 即 IT基础设施) ?应用支撑平台(如果物理、网络、系统平台、数据库等) ?应用系统?与电子银行相关的总体层面( IT管理层面,这个层面是为所有 IT业务应用系统服务的,因此会影响到电子银行系统) ? IT治理环境(含组织架构) ?风险管理或控制框架(控制环境、风险评估、信息沟通、监控等) ?系统规划与建设(生命周期管理,主要是开发与获取) ?日常运维管理(日常的事件管理、变更/发布管理、巡检、及其它操作如:备份、监控,定期报告等) ?业务持续性计划( BCP ) ?外包管理?信息安全管理作为机构 IT业务应用系统之一,电子银行系统需要与其它业务应用系统一起纳入机构全面的风险管理体系中。电子银行风险评估涉及三个层面: 8 ?安全管理评估(策略、组织架构、制度) –安全策略(电子银行系统整个生命周期的策略建设); –组织架构与人员安排(与电子银行系统相关组织建设与人员安排); –管理制度建设(与风险管理、开发与获取、安全管理、运营管理、内部控制、应急响应、业务连续性、外包等)。?IT基础设施安全评估–支撑平台?物理环境(物理环境、机房环境、介质与设备安全); ?网络平台(网络结构、网络管理、网络安全); ?系统平台(业务主机、操作系统安全、数据库安全等)。–应用系统安全?身份鉴别与访问控制; ?交易安全; ?数据安全(传输、处理、存储); ?密钥安全; ?输入输出合法性/异常处理/日志与审计; ?系统可用性。?业务风险评估–业务流程建设; –业务应用控制; –业务控制。实施方案>>> 评估内容 9实施方案>>> 安全管理评估?目标?评估当前电子银行相关安全方针与策略是否完备,已有的策略是否得到了有效的执行。?评估要点?安全策略制定的流程与合理性; ?与电子银行相关的总体(战略)规划; ?与电子银行系统相关的风险管理策略; ?与电子银行系统相关的开发与获取策略; ?与电子银行系统安全管理及内部控制相关的策略; ?与电子银行系统相关的运维管理策略; ?与电子银行系统相关的业务持续性与应急安全策略; ?与电子银行有关的外包管理策略; ?客户信息安全策略。?评估方法?安全策略文档审阅; ?安全策略部署检查。安全策略评估 10 实施方案>>> 安全管理评估(续) ?目标?评估与电子银行管理相关的机构与人员设置是否合理。?评估要点?组织机构设置的合理性与协调性(包括系统管理/风险管理/审计部门); ?人员配备(体现制约关系); ?人员技能与培训。?评估方法?岗位职责审阅; ?安全意识/技能/培训访谈; ?对工作人员资格情况的检查。组织架构与人员安排评估