【正文】 同時，在工程實施過程中需保持整體協(xié)調一致。 安全風險評估中所需處理的信息數(shù)據(jù)量大而且來源廣，實施過程中很大一部分工作繁瑣而且機械。 《 AS/NZS 4360: 2021 風險管理標準》中又提出了 FMECA (Failure Mode, Effects and Criticality Analysis)方法，利用這種方法可以用可能性和結果的乘積建立風險級別矩陣。 所有組織說風險認識和相關的代價利益的折衷是他們信息保障相關程序的主要關注點。 第二十三條 DS4 保證服務的持續(xù)性 建立 IT持續(xù)性運營框架 在業(yè)務連續(xù)性管理過程中包含信息安全 業(yè)務連續(xù)性和風險評估 第七條（四） 建立 IT持續(xù)性運營規(guī)劃 業(yè)務連續(xù)性管理的信息安全方面 關注重要 IT資源 維護 IT持續(xù)性運營計劃 的測試、保持和再評估 測試和演練 IT持續(xù)性運營計劃 的測試、保持和再評估 第二十九條 IT 持續(xù)性運營計劃的培訓 業(yè)務連續(xù)性計劃框架 IT 持續(xù)性運營計劃的分發(fā) 開發(fā)并實施包括信息安全的連續(xù)性計劃 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 27 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 定義 IT服務災難恢復階段的操作指南 第二十九條 異地災備系統(tǒng) 開發(fā)并實施包括信息安全的連續(xù)性計劃 IT 服務恢復后的檢查 DS5 保證系統(tǒng)的安全性 IT 系統(tǒng)安全的管理（在公司層面進行 IT系統(tǒng)安全管理，從而保證安全管理的活動與企業(yè)業(yè)務要求保持一致） 文件化的操作程序 網(wǎng)絡服務使用策略 使用加密控制的策略 FMT IT 系統(tǒng)安全的規(guī)劃 用戶標識的管理 訪問控制的業(yè)務要求 用戶帳號及相關系統(tǒng)權限的管理 信息處理設施的授權問題 識別與外部組織相關的風險 策略 系統(tǒng)測試數(shù)據(jù)的保護 第四十四條第五十五條 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 28 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 IT 系統(tǒng)的安全測試，審計及監(jiān)控 、測試與運營設施的分離 安全要求分析和規(guī)范 系統(tǒng)測試數(shù)據(jù)的保護 操作系統(tǒng)變更后的應用系統(tǒng)技術評審 ATE 安全事件的定義 報告信息安全事件 安全技術的保護 件 文件化的操作程序 密碼控制的法律法規(guī) 加密密鑰的管理 惡意軟 件的防范、 檢測及糾正 網(wǎng)絡安全 敏感數(shù)據(jù)交換、傳輸?shù)陌踩Ｗo 定義并分配成本 識別所有的 IT成本或開銷，并對應到 IT服務 IT 開銷的審計（包括對 IT預算和實際開銷差距的分析和報告） 費用模型及付款 費用模型的維護 DS7 使用者的有效培訓 識別用戶教育和培訓的需求 信息安全意識、教育和培訓 教育和培訓的實施 信息安全意識、教育和培訓 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 29 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 評估培訓效果 DS8 管理服務臺及事件 服務臺 , 網(wǎng)絡控制訪問控制 登記用戶的詢問 網(wǎng)絡控制訪問控制 事件升級 報告信息安全事件 第五十條 事件關閉 趨勢分析 信息安全事故管理和改進 DS9 配置管理 配置信息的存儲和基線 配置項的標識和維護 配置的完整性審查 DS10 問題管理 問題的確定和分類 問題的跟蹤和解決 第五十條 終止問題 對變更 ,配置和問題管理的整合 第四十七條 DS11 管理數(shù)據(jù)資產 業(yè)務對數(shù)據(jù)管理的需求 存儲和保持的安排 媒體庫管理系統(tǒng) 處理 信息處理設施的授權問題 備份與恢復 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 30 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 數(shù)據(jù)管理的安全需求 設備的安全處置或重用 DS12 設備管理 地點的選擇與規(guī)劃 物理安全措施 第四十五條 物理訪問 第四十六條 環(huán)境因素防護 第四十五條 物理設施管理 DS13 操作管理 操作流程和說明 第四十六條 工作計劃 基礎體系管理 第四十九條 敏感文檔和輸出設備 統(tǒng)文檔安全 第四十六條 對硬件的預防性維護 第四十六條 ME ME1 監(jiān)測和評估 IT績效 監(jiān)督辦法 第六十條 收集確定監(jiān)測數(shù)據(jù) 第六十一條 監(jiān)測方法 第六十二條 績效考評 第七十條 執(zhí)行委員會和主管報告 第七十一條 補救 開發(fā)并實施包括信息安全的連續(xù)性計劃 第七十條 ME2 監(jiān) 測和評估內部控制 ME2 .1 監(jiān)督和評估內部控制框架 第六十四條 第六十六條 監(jiān)督審查 第六十九條 例外控制 報告信息安全事件 第六十七條 控制自我評估 內部控制的保證 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 31 Cobit ISO 17799:2021 63號文 域 過程 控制目標 控制目標 條文 第三方的內部控制 識別與外部組織相關的風險 在第三方協(xié)議中強調安全 , 第五十五條 補救 開發(fā)并實施包括信息安全的連續(xù)性計劃 第七十 條 ME3 保證法律法規(guī)的符合性 法律和規(guī)則的確認帶給資訊潛在的影響 信息安全策略文檔 第十九條 第十三條 對管理的需求回應的最佳化 評估符合監(jiān)管要求 與法律法規(guī)要求的符合性 與安全策略和標準的符合性，以及技術符合性 第十三條 第七條（七） 積極履行保證 與法律法規(guī)要求的符合性 與安全策略和標準的符合性，以及技術符合性 第七條 第十三條 綜合報 告 第七條（六） ME4 執(zhí)行ＩＴ治理 建立 IT管理架構 戰(zhàn)略調整 第七十條 提供價值 資源管理 第四十八條 風險管理 考績 獨立保證 第六十八條 安全風險評估策略 風險管理原則 為了有效地控制信息安全風險，需要確 立風險管理的原則如下： 1. 評估風險，決定需求； 2. 建立風險管理中心； 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 32 3. 實施相應的策略和相關的控制； 4. 提高客戶關注程度； 5. 監(jiān)控和評估策略以及控制效力。 《指引》共五章三十一條，基本涵蓋了商業(yè)銀行董事會及其下設委員會、監(jiān)事會、高級管理層、合規(guī)負責人、合規(guī)管理部門的合規(guī)管理職責以及合規(guī)風險識別和管理流程的各個環(huán)節(jié)，對合規(guī)文化建設、合規(guī)風險管理體系建設以及合規(guī)績效考核制度、合規(guī)問責制度和誠信舉報制度等三項基本制度的建 設作出了規(guī)定。董事會應監(jiān)督合規(guī)政策的有效實施，以使合規(guī)缺陷得到及時有效的解決。銀監(jiān)會根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》和《中華人民共和國商業(yè)銀行法》，在廣泛吸收和借鑒國內外銀行業(yè)金融機構合規(guī)風險管理的良好做法，以 及國外銀行業(yè)監(jiān)管機構相關規(guī)定的基礎上，制定了《指引》。 銀監(jiān)會 63 號文《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》 隨著銀行業(yè)金融機構的經(jīng)營活動日益綜合化和國際化，業(yè)務和產品越來越復雜，合規(guī)失效的事件不斷暴露，銀行業(yè)金融機構經(jīng)營活動的合規(guī)性面臨嚴峻的挑戰(zhàn)，原有合規(guī)管理框架的有效性受到質疑，合規(guī)風險管理的理念和方法需要與時俱進。該模型適用于建立 ISMS 的所有過程。 執(zhí)行（實施和運作 實施和運作安全策略、控制、過程和程序。 通過建立、實施、運作、監(jiān)視、評審、保持并改進文件化的信息安全管理體 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 16 系，使組織擁有持續(xù)改進的信息安全保障能力，為實現(xiàn)業(yè)務目標提供支撐。 ? 安全管理： 詳細描述了規(guī)劃和管理用于信息和 IT 服務的給定級別安全的過程，包括同響應安 全事故相關的所有方面。它也考慮同解決文化和組織機構變更、開發(fā)遠景和戰(zhàn)略以及方案的最合適方法等相關的問題。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 15 ? 服務提供： 覆蓋了規(guī)劃和提供高質量 IT 服務所需的過程，并且著眼于改進所提供的 IT 服務的質量相關的長期過程。從圖中可見，業(yè)務視野模塊是如何更緊密地同業(yè)務相聯(lián)系而信息和通 信技術（ ICT）基礎設施管理模塊是如何更緊密地同技術本身相聯(lián)系。 ITIL 是有關 IT 服務管理流程的最佳實踐，事實上，經(jīng)過近 20 多年的發(fā)展，以流程為主線，進行了全面的擴充，最終形成了如圖 1所示的框架。 到 90 年代中期， ITIL 成為了事實上的歐洲 IT服務管理標準。這些工具包括了性能測量組件、為每種 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 12 IT 流程提供最佳實踐的關鍵成功因素清單，以及幫助進行基準測試的成熟度模型。 COBIT 在四個域內采用過程模型的方式定義 IT活動，四個域分別是：策劃與組織、獲取與實施、交付與支持、監(jiān)視與評價。 COBIT 框架具有以業(yè)務為關注焦點、以過程為導向、基于控制和測量驅動的特點。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術 股份 有限公司 11 COBIT《信息及相關技術的控制目標》 1996 年，作為一項 IT 安全與控制的實踐標準， COBIT 由信 息系統(tǒng)審計與控制組織和 IT管理協(xié)會共同開發(fā)。 內部控制 3大運營目標： 運營的效果和效率； 財務報告的可靠性； 遵守適用的法律和法規(guī)（合規(guī)性） 內部控制由 5個要素：即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控。 除對標準的遵循外，啟明星辰的風險評估過程還緊密結合金融行業(yè)的各種業(yè)務特征，依據(jù) XXXXX 的業(yè)務特點，系統(tǒng)地制定了 XXXXX信息安全風險評估方案。 下面給出了相關標準和法規(guī)、政策在方案中的體現(xiàn)。 提供加固技術支持 為 XXXXX 系統(tǒng)加固提供技術支持。 遠程為主（電話，郵件， 傳真等） 國內外安全事件技術分析和趨勢跟蹤 關注安全業(yè)內動態(tài)、與國、內外安全機構有密切的聯(lián)系，密切跟蹤安全事件及安全發(fā)展趨勢，將為 XXXXX 以月 為周期 提供 趨勢跟蹤分析報告，在出現(xiàn)重大安全漏洞和事件時提供預警服務，使 XXXXX 防患于未然。 非攻擊行為造成，但是影響到目標系統(tǒng)業(yè)務持續(xù)性的事件。 在應急演練過程中，將檢驗如下的各個環(huán)節(jié)： ? 建立應急組織 ? 應急準備 ? 應急演練 ? 應急啟動與處理 ? 應急恢復與重建 ? 應急結束 ? 應急總結 ? 應急匯報與信息披露 提供定制化的信息安全培訓 針對普通員工、科技干部、管理層提供不同類型的信息安全培訓