【正文】 ，包括管理培訓(xùn)和網(wǎng)絡(luò)安全技術(shù)。 步驟 6：完善安全策略 根據(jù)評(píng)估報(bào)告中所發(fā)現(xiàn)的問題， 策略規(guī)劃小組完善信息安全策略 。 步驟 2：設(shè)計(jì)框架結(jié)構(gòu) 根據(jù)已獲得的信息， 策略規(guī)劃小組 設(shè)計(jì)信息安全策略框架。 項(xiàng)目建設(shè)目標(biāo) 通過項(xiàng)目建設(shè)，達(dá)到如下目標(biāo)： ? 根據(jù)中國銀行業(yè)監(jiān)督管理委員會(huì)下發(fā)的相關(guān)信息科技風(fēng)險(xiǎn)管理指引，以及國際流行的信息安全風(fēng)險(xiǎn)管理規(guī)范，結(jié)合信息科技發(fā)展 的實(shí)際情況，進(jìn)一步完善和細(xì)化信息科技風(fēng)險(xiǎn)管理制度和流程； ? 提高對(duì)信息安全的應(yīng)急能力； ? 通 過培訓(xùn)等手段提高信息科技部技術(shù)隊(duì)伍人員的信息安全意識(shí)和技能水平； ? 提 高 符合 監(jiān)管部門監(jiān)管要求、法律法規(guī)的 能力； ? 通過評(píng)估網(wǎng)上銀行的現(xiàn)狀，提出網(wǎng)銀安全建設(shè)和整改方案，并監(jiān)控來自互聯(lián)網(wǎng)針對(duì)網(wǎng)銀的攻擊行為。 啟明星辰 金融事業(yè)部 安全 服務(wù) 解決方案 Ver 北京 啟明星辰信息技術(shù) 股份 有限公司 Venus Information technology 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 1 目 錄 安全服務(wù)解決方案 ........................................................................................................ 錯(cuò)誤 !未定義書簽。 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 4 第 2章 方案內(nèi)容 為了滿足安全需求，達(dá)到預(yù)定目標(biāo)，項(xiàng)目建設(shè)的內(nèi)容如下： 安全管理咨詢顧問服務(wù) 進(jìn)行信息安全管理體系咨詢 在已有信息安全管理制度、規(guī)范的基礎(chǔ)上，進(jìn)一步制定可落實(shí)、可執(zhí)行的信息安全管理體系，涵蓋策略、規(guī)范、流程等各個(gè)層面。 步驟 3：溝通框架結(jié)構(gòu) 針對(duì)已創(chuàng)建的信息安全策略框架， 策略規(guī)劃小組與相關(guān)人員進(jìn)行溝通。 協(xié)助進(jìn)行信息安全應(yīng)急響應(yīng)演練 協(xié)助信息科技部門制定網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程 ,并參與 XXXXX 組織的應(yīng)急響應(yīng)演練 ,評(píng)估應(yīng)急響應(yīng)演練效果并提供改進(jìn)建議。 將根據(jù) XXXXX 的實(shí)際情況，提供客戶化的培訓(xùn)，具體計(jì)劃如下： 對(duì)管理人員進(jìn)行管理培訓(xùn)，提供 2 人次的 BS7799 培訓(xùn)； 對(duì)技術(shù)人員進(jìn)行 4 人次的 CISP 培訓(xùn)； 對(duì)普通員工進(jìn)行現(xiàn)場(chǎng)的安全意識(shí)培訓(xùn)。 現(xiàn)場(chǎng)為主，遠(yuǎn)程 中級(jí) 事件 由非攻擊行為直接引起的其他事件， 而且這種事件沒有直接影響到當(dāng)前業(yè)務(wù)的持續(xù)性。 以月為周期提供趨勢(shì)跟蹤分析報(bào)告，在出現(xiàn)重大安全漏洞和事件時(shí)提供預(yù)警服務(wù)。 提供監(jiān)控服務(wù) 提供 7X24 小時(shí)安全監(jiān)控服務(wù)，在出現(xiàn)異常攻擊行為時(shí)進(jìn)行及時(shí)的應(yīng)急響應(yīng)處理。 相關(guān)標(biāo)準(zhǔn)與 規(guī)范 評(píng)估咨詢項(xiàng)目的標(biāo)準(zhǔn)性原則 啟明星辰提供的本次安全評(píng)估咨詢服務(wù)，將依據(jù)《 2021 年度銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)評(píng)價(jià)審計(jì)要點(diǎn)》、《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引 》、《電子銀行安全評(píng)估指引（征求意見稿）》、《 商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法 》中的相關(guān)要求進(jìn)行評(píng)估，同時(shí)為保證本次評(píng)估的全面性，還將參考相關(guān)的國際標(biāo)準(zhǔn)、國內(nèi)標(biāo)準(zhǔn)和電信行業(yè)的相關(guān)規(guī)范，并有選擇性地采納優(yōu)秀的風(fēng)險(xiǎn)評(píng)估理論。 方案中標(biāo)準(zhǔn)的體現(xiàn)對(duì)照 評(píng)估過程 參照標(biāo)準(zhǔn) 調(diào)查表和問題的設(shè)計(jì) 《 2021 年度銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)評(píng)價(jià)審計(jì)要點(diǎn)》 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引 》 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 8 評(píng)估過程 參照標(biāo)準(zhǔn) 《電子銀行安全評(píng)估指引（征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 Cobit 加拿大《威脅和風(fēng)險(xiǎn)評(píng)估工作指南》 美國國防部彩虹系列 NCSCTG019 ISO17799/BS7799 資產(chǎn)評(píng)估 ISO17799/BS7799 加拿大《威脅和風(fēng)險(xiǎn)評(píng)估工作指南》 風(fēng)險(xiǎn)分析方法 ISO13335 風(fēng)險(xiǎn)分析模型 《 AS/NZS 4360: 1999 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》 風(fēng)險(xiǎn)計(jì)算模型 《 AS/NZS 4360: 1999 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》 GAO/AIMD0033《信息安全風(fēng)險(xiǎn)評(píng)估》 安全管理評(píng)估 《 2021 年度銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)評(píng)價(jià)審計(jì)要點(diǎn)》 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引 》 《電子銀行安全評(píng)估指引 （征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 Cobit ISO17799/BS7799 ISO13335 物理安全評(píng)估 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引 》 ISO17799/BS7799 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 網(wǎng)絡(luò)設(shè)備安全性 ISO15408（ CC） GB17859 解決方案咨詢 《 2021 年度銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)評(píng)價(jià)審計(jì)要點(diǎn)》 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管 理指引 》 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 9 評(píng)估過程 參照標(biāo)準(zhǔn) 《電子銀行安全評(píng)估指引（征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 Cobit ISO17799/BS7799 相關(guān)標(biāo)準(zhǔn)規(guī)范介紹 COSO報(bào)告《內(nèi)部控制整體框架》與 ERM《企業(yè)風(fēng)險(xiǎn)管理一整體框架》 美國全美反舞弊性財(cái)務(wù)報(bào)告委員會(huì)（又稱 COSO 委員會(huì)）于 1992 年發(fā)布了《內(nèi)部控制 —— 整體框架》（以下稱 COSO 報(bào)告）。五要素中，各個(gè)要素有其不同的功能，內(nèi)部控制并非五個(gè)要素的簡單相加，而是由這些相互聯(lián)系、相互制約、相輔相成的要素，按照一定的結(jié)構(gòu)組成的完整的、能對(duì)變化的環(huán)境做出反應(yīng)的系統(tǒng)。它為 IT、安全、審計(jì)經(jīng)理和用戶提供了一套完整的參考框架。為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)， COBIT 定義了七個(gè)獨(dú)立但又有所重疊的信息準(zhǔn)則 : ? 有效性：應(yīng)以及時(shí)、正確、一致和可用的方式來交付與業(yè)務(wù)過程有關(guān)的信息； ? 效率 2：通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟(jì)合理）資 源使用來交付信息； ? 保密性：保護(hù)敏感信息免受未授權(quán)泄漏； ? 完整性：信息的正確和完整，并根據(jù)業(yè)務(wù)價(jià)值和期望進(jìn)行驗(yàn)證； ? 可用性：若業(yè)務(wù)過程現(xiàn)在或?qū)硇枰獣r(shí)，信息是可用的。這些域映射到傳統(tǒng)的 IT 職責(zé)域：計(jì)劃、建設(shè)、運(yùn)營和監(jiān)視。 Cobit 的三維模型如下圖所示： Cobit 整體架構(gòu)如下圖所示： 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 13 ITIL《 IT 基礎(chǔ)架構(gòu)庫》 80 年代中期，英國政府部門發(fā)現(xiàn)提供給其的 IT 服務(wù)質(zhì)量不佳，于是要求當(dāng)時(shí)的政府計(jì)算機(jī)和電信局（ CCTA）（后來并入英國政府商務(wù)部（ OGC）），啟動(dòng)一個(gè) 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 14 項(xiàng)目對(duì)此進(jìn)行調(diào)查，并開發(fā)一套有效的和可進(jìn)行財(cái)務(wù)計(jì)量的 IT 資源使用方法以供本國的政府部門和私有部門使用。 90年代后期，ITIL 又被引入到美國、南非和澳大利亞等國家和地區(qū)。這個(gè)框架現(xiàn)在成為了事實(shí)上的 IT服務(wù)管理知識(shí)框架體系。服務(wù)提供 和服務(wù)支持模塊提供了過程框架和核心。 ? 服務(wù)支持： 服務(wù)支持描述了同所提供的 IT 服務(wù)日常支持和維護(hù)活動(dòng)相關(guān)的過程。 ? 應(yīng)用管理： 描述了如何管理應(yīng)用從最初的業(yè)務(wù)需求直至和包括應(yīng)用廢棄的應(yīng)用生命周期的所有階段。它也包括了風(fēng)險(xiǎn)和脆弱性的評(píng)估和管理，以及成本有效的對(duì)策的實(shí)施 ITIL 的 IT 服務(wù)流程可供我們?cè)谧霭踩稍兗鞍踩鉀Q方案設(shè)計(jì)時(shí)作參考。 ISO/IEC 27001:2021 規(guī)定了建立、實(shí)施和文件化信息安全管理體系得要求。 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 17 ISMS） 控制（監(jiān)視和評(píng)審ISMS） 適用時(shí)，根據(jù) ISMS 策略、目標(biāo)和慣有經(jīng)驗(yàn)評(píng)估行，并向管理層報(bào)告結(jié)果，進(jìn)行評(píng)審。 ISMS 框架圖描述了 ISMS 如何輸入相關(guān)方的信息安全要求和期望，經(jīng)過必需的活動(dòng)和過程，產(chǎn)生滿足這些需求和期望的信息安全輸出。近年來，全球銀行業(yè)的合規(guī)風(fēng)險(xiǎn)管理技術(shù)得到了快速的發(fā)展，普遍實(shí)施風(fēng)險(xiǎn)為本的合規(guī)管理做法，并把合規(guī)管理作為銀行業(yè)金融機(jī)構(gòu)一項(xiàng)核心的風(fēng)險(xiǎn)管理活動(dòng)。 《指引》重點(diǎn)強(qiáng)調(diào)了三個(gè)方面：一是建設(shè)強(qiáng)有力的合規(guī)文化。高級(jí)管理層應(yīng)貫徹執(zhí)行合規(guī)政策，建立合規(guī)管理部門的組織結(jié)構(gòu)，并配備充分和適當(dāng)?shù)馁Y源，確保發(fā)現(xiàn)違規(guī)事件時(shí)及時(shí)采取適當(dāng)?shù)募m正措施。《指引》還規(guī)定了商業(yè)銀行合規(guī)政策、合規(guī)管理程序和合規(guī)指南等內(nèi)部制度的報(bào)備要求、合規(guī)風(fēng)險(xiǎn)管理計(jì)劃和合規(guī)風(fēng)險(xiǎn)評(píng)估報(bào)告的報(bào)送要求以及重大違規(guī)事件的報(bào)告要求，明確了監(jiān)管部門對(duì)商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理進(jìn)行非現(xiàn)場(chǎng)監(jiān)管和現(xiàn)場(chǎng)檢查的重點(diǎn)。 一個(gè)成功的組織應(yīng)該應(yīng)用這些原則，將自己融入一個(gè)關(guān)注風(fēng)險(xiǎn)的持續(xù)的循環(huán)處理中。信息保障不是終點(diǎn)，但是整合到交易處理過程中，例如，設(shè)立為支持交易操作而設(shè)計(jì)的策略和控制。 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 33 我們擬綜合 ISO/IEC13335 和 AS/NZS 4360 的幾種方法，依據(jù)《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引 》的要求，根據(jù)提出的評(píng)估原則，建立本項(xiàng)安全工程的風(fēng)險(xiǎn)模型：風(fēng)險(xiǎn)評(píng)估 過程模型、風(fēng)險(xiǎn)管理模型、關(guān)系模型與計(jì)算模型。因此，需要對(duì)其中的數(shù)據(jù)進(jìn)行自動(dòng)處理與分析，以減輕人工分析的負(fù)擔(dān)，改 善分析的速度與質(zhì)量。 安全風(fēng)險(xiǎn)評(píng)估理論模型 安全風(fēng)險(xiǎn)過程模型 本文中提供的安全風(fēng)險(xiǎn)模型主要依據(jù) ASNZS 4360:2021 標(biāo)準(zhǔn)、國際風(fēng)險(xiǎn)評(píng)估標(biāo) 準(zhǔn) ISO 17799， ISO/IEC 13335。結(jié)合我國的國情和金融行業(yè)特征，對(duì)這些規(guī)范作必要的取舍和擴(kuò)充。這樣，既可以為評(píng)估工作快速地提供素材，實(shí)現(xiàn)高效率，按照客戶定義的接口快速、完整地提供原始數(shù)據(jù)。 ? 基線方法主要是使用一套標(biāo)準(zhǔn)的安全措施集合作用于信息系統(tǒng)，從而獲得最基本的保護(hù)級(jí)別； ? 非正式方法挖掘安全專家的知識(shí)和經(jīng)驗(yàn)，推導(dǎo)出一套實(shí)際可操作的風(fēng)險(xiǎn)分析方法； ? 詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法主要是詳細(xì)描述系統(tǒng)中資產(chǎn)的類型和價(jià)值，評(píng)估與資產(chǎn)相關(guān)的威脅和風(fēng)險(xiǎn)； ? 復(fù)合方法綜合了基線方法（運(yùn)用于一般的信息系統(tǒng)）和詳細(xì)方法（運(yùn)用于重要的信息系統(tǒng)）。在評(píng)估交易操作的風(fēng)險(xiǎn)之后，組織機(jī)構(gòu)還應(yīng)該： 1. 制訂策略，選擇控制； 2. 增加對(duì)策略和控制的關(guān)注程度； 3. 監(jiān)控策略和控制的效力； 4. 根據(jù)結(jié)果來決定是否應(yīng)該對(duì)策略和控制進(jìn)行修 改。 Cobit、 ISO 17799:2021與 63 號(hào)文控制目標(biāo)對(duì)應(yīng)表如下： Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 PO PO1 定義戰(zhàn)略性的信息技術(shù)規(guī)劃 IT價(jià)值管理 第一條 商業(yè) IT結(jié)盟 信息安全管理承諾 第五條 現(xiàn)有性能評(píng)估 第十五條 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 19 Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 IT 戰(zhàn)略計(jì)劃 信息安全管理承諾 第五條 IT 戰(zhàn)術(shù)計(jì)劃 信息安全管理承諾 IT投資組合管理 P02 定義信息體系結(jié)構(gòu) 企業(yè)信息結(jié)構(gòu)模型 信息安全管理承諾 第六條 企業(yè)數(shù)據(jù)字典和數(shù)據(jù)語法規(guī)則 數(shù)據(jù)分類方案 完整性管理 PO3 決定技術(shù)方向 技術(shù)方向計(jì)劃 技術(shù)基礎(chǔ)設(shè)施計(jì)劃 監(jiān)測(cè)未來的趨勢(shì)和法規(guī) 信息安全管理承諾 技術(shù)標(biāo)準(zhǔn) IT架構(gòu)委員會(huì) 信息安全管理承諾 PO4 定義信息技術(shù)相關(guān)的過程 ,機(jī)構(gòu)及其互相的關(guān)系 IT 流程框架 IT戰(zhàn)略委員會(huì) 信息安全管理承諾 第六條 第七條（二） 第八條 第九條 IT指導(dǎo)委員會(huì) 信息安全管理承諾 第六條 第七條（二） 第八條 第九條 IT 職能的機(jī)構(gòu)設(shè)置 信息安全管理承諾 至 第六條 第七條（二） 第八條 第九條 第 四十四條 IT組織的結(jié)構(gòu) 信息安全管理承諾 第六條 第七條（二） 第十條 角色和責(zé)任 第六條 第七條（二） 第八條 第九條 IT 質(zhì)量保證的責(zé)任 第六條 第七條（二） 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟