【正文】 理協(xié)議 第五十二條 DS2 管理第三方的服務(wù) 識別所有的供應商關(guān)系 第五十三條 供應商關(guān)系管理 第五十四條 供應商風險管理 第五十六條 第五十七條 供應商績效考核 第五十八條 DS3 管理 IT系統(tǒng)的性能和容量 IT 系統(tǒng)性能和容量規(guī)劃 第二十三條 評估現(xiàn)有 IT系統(tǒng)的容量和性能 第二十三條 預測未來的容量和性能 第二十三條 IT 資源的可用性； 第二十三條 持續(xù)監(jiān)控及報告對應的 IT系統(tǒng)性能和容量?！吨敢愤€規(guī)定了商業(yè)銀行合規(guī)政策、合規(guī)管理程序和合規(guī)指南等內(nèi)部制度的報備要求、合規(guī)風險管理計劃和合規(guī)風險評估報告的報送要求以及重大違規(guī)事件的報告要求，明確了監(jiān)管部門對商業(yè)銀行合規(guī)風險管理進行非現(xiàn)場監(jiān)管和現(xiàn)場檢查的重點。三是建立有利于合規(guī)風險管理的三項基本制度，即合規(guī)績效考核制度、合規(guī)問責制度和誠信舉報制度，加強對管理人員的合規(guī)績效考核，懲罰合規(guī)管理失效的人員，追究違規(guī)責任人的相應責任，對舉報有功者給予適當?shù)莫剟睿εe報者給予充分的保護。高級管理層應貫徹執(zhí)行合規(guī)政策，建立合規(guī)管理部門的組織結(jié)構(gòu)，并配備充分和適當?shù)馁Y源，確保發(fā)現(xiàn)違規(guī)事件時及時采取適當?shù)募m正措施。二是建立有效的合規(guī)風險管理體系。 《指引》重點強調(diào)了三個方面：一是建設(shè)強有力的合規(guī)文化。 加強合規(guī)風險管理是銀行業(yè)金融機構(gòu)自身努力追求的目標。近年來，全球銀行業(yè)的合規(guī)風險管理技術(shù)得到了快速的發(fā)展，普遍實施風險為本的合規(guī)管理做法，并把合規(guī)管理作為銀行業(yè)金融機構(gòu)一項核心的風險管理活動。 ISO/IEC 27001:2021 為在風險評估、安 全設(shè)計和實施、安全管理和再評估方面實施這些指南中的準則提供了強健模型。 ISMS 框架圖描述了 ISMS 如何輸入相關(guān)方的信息安全要求和期望，經(jīng)過必需的活動和過程，產(chǎn)生滿足這些需求和期望的信息安全輸出。 ISO/IEC 27001:2021 采用 PDCA“規(guī)劃 執(zhí)行 控制 改進”（ PDCA）過程模式。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 17 ISMS） 控制（監(jiān)視和評審ISMS） 適用時，根據(jù) ISMS 策略、目標和慣有經(jīng)驗評估行，并向管理層報告結(jié)果，進行評審。體系規(guī)范的結(jié)構(gòu)如下圖所示： 圖 . ISO/IEC 27001:2021 結(jié)構(gòu) 信息安全管理體系作為一個管理標準，也遵 循了 PDCA（ PlanDoCheckAction，策劃 實施 檢查 行動）的持續(xù)改進的管理模式，這也反映在整個標準的架構(gòu)上，整個標準的重心在建立 ISMS 系統(tǒng)，如下圖所示： 圖 . ISMS 框架 規(guī)劃（建立 ISMS） 根據(jù)組織的整體策略和目標，建立安全策略、目標以及與管理風險和改進信息安全相關(guān)的過程和程序，以獲得結(jié)果。 ISO/IEC 27001:2021 規(guī)定了建立、實施和文件化信息安全管理體系得要求。 ISO/IEC 27001:2021 要求組織應根據(jù)整體業(yè)務(wù)活動及其面臨的風險通過制定信息安全方針、制定體系范圍、明確管理職責，通過風險評估確定控制目標與控制措施等活動建立信息安全管理體系（ ISMS）；體系一旦建立組織應按體 系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的文件，如方針、適用性聲明文件和實施安全控制所必須的程序文件。它也包括了風險和脆弱性的評估和管理，以及成本有效的對策的實施 ITIL 的 IT 服務(wù)流程可供我們在做安全咨詢及安全解決方案設(shè)計時作參考。 ? 業(yè)務(wù)視野： 提供了建議和指南，以幫助 IT 人員理解他們?nèi)绾尾拍転闃I(yè)務(wù)目標作出貢獻以及如何更好地聯(lián)系和挖掘其角色和服務(wù)以最大化其貢獻。 ? 應用管理： 描述了如何管理應用從最初的業(yè)務(wù)需求直至和包括應用廢棄的應用生命周期的所有階段。 ? 規(guī)劃實施服務(wù)管理： 檢查組織機構(gòu)內(nèi)規(guī)劃、實施和改進服務(wù)管理過程中所涉及的 問題和任務(wù)。 ? 服務(wù)支持： 服務(wù)支持描述了同所提供的 IT 服務(wù)日常支持和維護活動相關(guān)的過程。下面將對其中各 個模塊的新的范圍、內(nèi)容及其關(guān)系進行介紹。服務(wù)提供 和服務(wù)支持模塊提供了過程框架和核心。它顯示了每個模塊同業(yè)務(wù)和技 術(shù)的關(guān)系。這個框架現(xiàn)在成為了事實上的 IT服務(wù)管理知識框架體系。 2021 年 BS15000 被提交給國際標準化組織（ ISO），申請成為了 IT 服務(wù)管理國際標準 ISO 20210。 90年代后期，ITIL 又被引入到美國、南非和澳大利亞等國家和地區(qū)。這個項 目的最終成果是一套公開出版的 IT管理指南，這就是 ITIL（ Information Technology Infrastructure Library）。 Cobit 的三維模型如下圖所示： Cobit 整體架構(gòu)如下圖所示： 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 13 ITIL《 IT 基礎(chǔ)架構(gòu)庫》 80 年代中期，英國政府部門發(fā)現(xiàn)提供給其的 IT 服務(wù)質(zhì)量不佳，于是要求當時的政府計算機和電信局（ CCTA）（后來并入英國政府商務(wù)部（ OGC）），啟動一個 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 14 項目對此進行調(diào)查，并開發(fā)一套有效的和可進行財務(wù)計量的 IT 資源使用方法以供本國的政府部門和私有部門使用。管理指導方針的部件由衡量企業(yè)在 34 種 IT 流程中能力的工具所組成。這些域映射到傳統(tǒng)的 IT 職責域：計劃、建設(shè)、運營和監(jiān)視。 COBIT 將 IT 資源定義為： ? 應用系統(tǒng)：用戶處理信息的自動化用戶系統(tǒng)及手冊程序； ? 信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務(wù)以任何形式所使 用； ? 基礎(chǔ)設(shè)施：保障應用系統(tǒng)處理信息所需的技術(shù)和設(shè)施（硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等，以及放置、支持上述技術(shù)和設(shè)施的環(huán)境）； ? 人員：策劃、組織、采購、實施、交付、支持、監(jiān)視和評價信息系統(tǒng)和服務(wù)所需的人員。為實現(xiàn)業(yè)務(wù)目標， COBIT 定義了七個獨立但又有所重疊的信息準則 : ? 有效性：應以及時、正確、一致和可用的方式來交付與業(yè)務(wù)過程有關(guān)的信息； ? 效率 2：通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟合理）資 源使用來交付信息； ? 保密性：保護敏感信息免受未授權(quán)泄漏； ? 完整性：信息的正確和完整，并根據(jù)業(yè)務(wù)價值和期望進行驗證； ? 可用性：若業(yè)務(wù)過程現(xiàn)在或?qū)硇枰獣r，信息是可用的。它將幫助企業(yè)部署對系統(tǒng)和網(wǎng)絡(luò)的有效管理。它為 IT、安全、審計經(jīng)理和用戶提供了一套完整的參考框架。 2021 年 COSO 又發(fā)布了 ERM《企業(yè)風險管理一整體框架》，如下圖所示： 說明： COSO 通用內(nèi)控框架與 ERM 雖是同一個機構(gòu)所發(fā)布，但是 ERM 不是 COSO 總體內(nèi)控框架的替代品。五要素中，各個要素有其不同的功能，內(nèi)部控制并非五個要素的簡單相加，而是由這些相互聯(lián)系、相互制約、相輔相成的要素，按照一定的結(jié)構(gòu)組成的完整的、能對變化的環(huán)境做出反應的系統(tǒng)。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 10 COSO 報告提出， COSO 整 體框架包括 3 大運營目標和 5大控制要素。 方案中標準的體現(xiàn)對照 評估過程 參照標準 調(diào)查表和問題的設(shè)計 《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 8 評估過程 參照標準 《電子銀行安全評估指引（征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評價試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 Cobit 加拿大《威脅和風險評估工作指南》 美國國防部彩虹系列 NCSCTG019 ISO17799/BS7799 資產(chǎn)評估 ISO17799/BS7799 加拿大《威脅和風險評估工作指南》 風險分析方法 ISO13335 風險分析模型 《 AS/NZS 4360: 1999 風險管理標準》 風險計算模型 《 AS/NZS 4360: 1999 風險管理標準》 GAO/AIMD0033《信息安全風險評估》 安全管理評估 《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》 《電子銀行安全評估指引 （征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評價試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 Cobit ISO17799/BS7799 ISO13335 物理安全評估 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》 ISO17799/BS7799 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 網(wǎng)絡(luò)設(shè)備安全性 ISO15408（ CC） GB17859 解決方案咨詢 《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》 《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管 理指引 》 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 9 評估過程 參照標準 《電子銀行安全評估指引（征求意見稿）》 《 商業(yè)銀行內(nèi)部控制評價試行辦法 》 ISO ISO/TR 13569《銀行和相關(guān)金融服務(wù) 信息安全指南》 Cobit ISO17799/BS7799 相關(guān)標準規(guī)范介紹 COSO報告《內(nèi)部控制整體框架》與 ERM《企業(yè)風險管理一整體框架》 美國全美反舞弊性財務(wù)報告委員會（又稱 COSO 委員會）于 1992 年發(fā)布了《內(nèi)部控制 —— 整體框架》（以下稱 COSO 報告）。同時我們將參考 COSO/ERM《企業(yè)風險管理一整體框架》、 Cobit 、 ITIL 、Prince2 等 IT 治理模型；這些標準和操作指南目前已經(jīng)被金融行業(yè)風險評估項目和 IT 治理項目中進行了實踐，并得到了用戶的認可和 好評。 相關(guān)標準與 規(guī)范 評估咨詢項目的標準性原則 啟明星辰提供的本次安全評估咨詢服務(wù)，將依據(jù)《 2021 年度銀行業(yè)金融機構(gòu)信息科技風險評價審計要點》、《 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 》、《電子銀行安全評估指引（征求意見稿）》、《 商業(yè)銀行內(nèi)部控制評價試行辦法 》中的相關(guān)要求進行評估，同時為保證本次評估的全面性，還將參考相關(guān)的國際標準、國內(nèi)標準和電信行業(yè)的相關(guān)規(guī)范，并有選擇性地采納優(yōu)秀的風險評估理論。在設(shè)計過程和方案的實施中，結(jié)合客戶網(wǎng)絡(luò)的特點，遵循和參照最 新、最權(quán)威、最具有代表性的國家和國際信息安全標準與建議。 提供監(jiān)控服務(wù) 提供 7X24 小時安全監(jiān)控服務(wù)，在出現(xiàn)異常攻擊行為時進行及時的應急響應處理。 提供安全改造咨詢 為 XXXXX 安全改造提供技術(shù)咨詢。 以月為周期提供趨勢跟蹤分析報告，在出現(xiàn)重大安全漏洞和事件時提供預警服務(wù)。 遠程為主（電話，郵件，傳真等） ，必要時進行現(xiàn)場支 持 低級事件 攻擊或者非法事件并沒有對系統(tǒng)造成傷害，但有入 侵企圖，可能會造成損害。 現(xiàn)場為主，遠程 中級 事件 由非攻擊行為直接引起的其他事件， 而且這種事件沒有直接影響到當前業(yè)務(wù)的持續(xù)性。 將分級別為 XXXXX 提供互聯(lián)網(wǎng)安全事件的應急響應服務(wù)，具體計劃如下： 分類 說 明 響應方式 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 6 高級事 件 由攻擊行為直接引起的相關(guān)事件，正在危害，或者即將危害到系統(tǒng)的業(yè)務(wù) 連 續(xù)性。 將根據(jù) XXXXX 的實際情況，提供客戶化的培訓，具體計劃如下： 對管理人員進行管理培訓，提供 2 人次的 BS7799 培訓； 對技術(shù)人員進行 4 人次的 CISP 培訓； 對普通員工進行現(xiàn)場的安全意識培訓。 制定好應急預案后，將根據(jù)應急預案協(xié)助 XXXXX 進行應急響應演練 ,檢驗應急預賽的可行 性，評估應急響應演練效果并提供改進建議。 協(xié)助進行信息安全應急響應演練 協(xié)助信息科技部門制定網(wǎng)絡(luò)安全應急響應流程 ,并參與 XXXXX 組織的應急響應演練 ,評估應急響應演練效果并提供改進建議。 步驟 5：分析評估報告 策略規(guī)劃小組分析已完成的評估報告， 鑒別評估過程中發(fā)現(xiàn)的問題 。 步驟 3：溝通框架結(jié)構(gòu) 針對已創(chuàng)建的信息安全策略框架， 策略規(guī)劃小組與相關(guān)人員進行溝通。 在本項目中，我們將會對 XXXXX 現(xiàn)有制度進行梳理，結(jié)合公司的管 理體系框架，形成一套適合 XXXXX 的管理制度體系及流程，具體如下步驟： 本活動由以下步驟組成： 步驟 1：分析已獲信息 策略規(guī)劃小組對 已收集的各種文檔信息進行分析，鑒別已有的信息安全策略，并進行相應的記錄。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 4 第 2章 方案內(nèi)容 為了滿足安全需求，達到預定目標，項目