【正文】 繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 15 ? 服務(wù)提供： 覆蓋了規(guī)劃和提供高質(zhì)量 IT 服務(wù)所需的過程，并且著眼于改進(jìn)所提供的 IT 服務(wù)的質(zhì)量相關(guān)的長期過程。 ? 信息和通信技術(shù)基礎(chǔ)設(shè)施管理（ ICT IM)： 信息和通信技術(shù)基礎(chǔ)設(shè)施管理覆蓋了從標(biāo)識(shí)業(yè)務(wù)需求到招投標(biāo)過程、到信息和通信技術(shù)組件和 IT 服務(wù)的測(cè)試、安裝、部署以及后續(xù)運(yùn)行和優(yōu)化的信息和通信技術(shù)基礎(chǔ)設(shè)施管理的所有方面。它也考慮同解決文化和組織機(jī)構(gòu)變更、開發(fā)遠(yuǎn)景和戰(zhàn)略以及方案的最合適方法等相關(guān)的問題。它將重點(diǎn)放在在應(yīng)用的整個(gè)生命周期內(nèi)確保 IT 項(xiàng)目和戰(zhàn)略同業(yè)務(wù)建立緊密的聯(lián)系，以確保業(yè)務(wù)從其投資中獲得最佳價(jià)值。 ? 安全管理： 詳細(xì)描述了規(guī)劃和管理用于信息和 IT 服務(wù)的給定級(jí)別安全的過程，包括同響應(yīng)安 全事故相關(guān)的所有方面。 ISO27001《信息安全管理規(guī)范》 ISO 27001:2021 由 11 個(gè)大的控制方面、 39 個(gè)控制目標(biāo)、 133 個(gè)控制措施構(gòu)成。 通過建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)文件化的信息安全管理體 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 16 系，使組織擁有持續(xù)改進(jìn)的信息安全保障能力，為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供支撐。它規(guī)定了組織根據(jù)其需求實(shí)施安全控制的要求。 執(zhí)行（實(shí)施和運(yùn)作 實(shí)施和運(yùn)作安全策略、控制、過程和程序。 改進(jìn)（保持和改進(jìn) ISMS） 根據(jù)內(nèi)部 ISMS 審計(jì)和管理評(píng)審或其他信息施，以實(shí)現(xiàn)ISMS 的持續(xù)改進(jìn)。該模型適用于建立 ISMS 的所有過程。 采用 PDCA 模型也反應(yīng)了 OECD 指南（ 2021）《信息系統(tǒng)和網(wǎng)絡(luò)的安全治理》中所陳述的準(zhǔn)則。 銀監(jiān)會(huì) 63 號(hào)文《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》 隨著銀行業(yè)金融機(jī)構(gòu)的經(jīng)營活動(dòng)日益綜合化和國際化，業(yè)務(wù)和產(chǎn)品越來越復(fù)雜，合規(guī)失效的事件不斷暴露，銀行業(yè)金融機(jī)構(gòu)經(jīng)營活動(dòng)的合規(guī)性面臨嚴(yán)峻的挑戰(zhàn)，原有合規(guī)管理框架的有效性受到質(zhì)疑，合規(guī)風(fēng)險(xiǎn)管理的理念和方法需要與時(shí)俱進(jìn)。 2021 年 4 月 29 日 ,巴塞爾銀行 監(jiān)管委員會(huì)發(fā)布了《合規(guī)與銀行內(nèi)部合規(guī)部門》文件，提出了合規(guī)管理十項(xiàng)原則，向各國銀行業(yè)金融機(jī)構(gòu)及其監(jiān)管當(dāng)局推薦有效管理合規(guī)風(fēng)險(xiǎn)的最佳做法。銀監(jiān)會(huì)根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》和《中華人民共和國商業(yè)銀行法》，在廣泛吸收和借鑒國內(nèi)外銀行業(yè)金融機(jī)構(gòu)合規(guī)風(fēng)險(xiǎn)管理的良好做法，以 及國外銀行業(yè)監(jiān)管機(jī)構(gòu)相關(guān)規(guī)定的基礎(chǔ)上，制定了《指引》。合規(guī)管理是商業(yè)銀行一項(xiàng)核心的風(fēng)險(xiǎn)管理活動(dòng)，合規(guī)必須從高層做起，董事會(huì)和高級(jí) 管理層應(yīng)確定合規(guī)基調(diào)，確立正確的合規(guī)理念，提高全體員工的誠信意識(shí)與合規(guī)意識(shí)，形 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 18 成良好的合規(guī)文化，這對(duì)于銀行業(yè)金融機(jī)構(gòu)有效管理包括合規(guī)風(fēng)險(xiǎn)在內(nèi)的各類風(fēng)險(xiǎn)至關(guān)重要。董事會(huì)應(yīng)監(jiān)督合規(guī)政策的有效實(shí)施，以使合規(guī)缺陷得到及時(shí)有效的解決。合規(guī)管理部門應(yīng)在合規(guī)負(fù)責(zé)人的管理下，協(xié)助高級(jí)管理層有效管理合規(guī)風(fēng)險(xiǎn)，制定并執(zhí)行風(fēng)險(xiǎn)為本的合規(guī)管理計(jì)劃，實(shí)施合規(guī)風(fēng)險(xiǎn)識(shí)別和管理流程，開 展員工的合規(guī)培訓(xùn)與教育。 《指引》共五章三十一條，基本涵蓋了商業(yè)銀行董事會(huì)及其下設(shè)委員會(huì)、監(jiān)事會(huì)、高級(jí)管理層、合規(guī)負(fù)責(zé)人、合規(guī)管理部門的合規(guī)管理職責(zé)以及合規(guī)風(fēng)險(xiǎn)識(shí)別和管理流程的各個(gè)環(huán)節(jié)，對(duì)合規(guī)文化建設(shè)、合規(guī)風(fēng)險(xiǎn)管理體系建設(shè)以及合規(guī)績(jī)效考核制度、合規(guī)問責(zé)制度和誠信舉報(bào)制度等三項(xiàng)基本制度的建 設(shè)作出了規(guī)定。 Cobit、 ISO17799 與 63 號(hào)文控制目標(biāo)對(duì)應(yīng)表 下表我們將 Cobit 、 ISO 17799:2021 與銀監(jiān)會(huì)發(fā)布的 63 號(hào)文中的相關(guān)管理控制要求做一對(duì)比，以便于評(píng)估咨詢中參考使用。 第二十三條 DS4 保證服務(wù)的持續(xù)性 建立 IT持續(xù)性運(yùn)營框架 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估 第七條（四） 建立 IT持續(xù)性運(yùn)營規(guī)劃 業(yè)務(wù)連續(xù)性管理的信息安全方面 關(guān)注重要 IT資源 維護(hù) IT持續(xù)性運(yùn)營計(jì)劃 的測(cè)試、保持和再評(píng)估 測(cè)試和演練 IT持續(xù)性運(yùn)營計(jì)劃 的測(cè)試、保持和再評(píng)估 第二十九條 IT 持續(xù)性運(yùn)營計(jì)劃的培訓(xùn) 業(yè)務(wù)連續(xù)性計(jì)劃框架 IT 持續(xù)性運(yùn)營計(jì)劃的分發(fā) 開發(fā)并實(shí)施包括信息安全的連續(xù)性計(jì)劃 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 27 Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 定義 IT服務(wù)災(zāi)難恢復(fù)階段的操作指南 第二十九條 異地災(zāi)備系統(tǒng) 開發(fā)并實(shí)施包括信息安全的連續(xù)性計(jì)劃 IT 服務(wù)恢復(fù)后的檢查 DS5 保證系統(tǒng)的安全性 IT 系統(tǒng)安全的管理（在公司層面進(jìn)行 IT系統(tǒng)安全管理，從而保證安全管理的活動(dòng)與企業(yè)業(yè)務(wù)要求保持一致） 文件化的操作程序 網(wǎng)絡(luò)服務(wù)使用策略 使用加密控制的策略 FMT IT 系統(tǒng)安全的規(guī)劃 用戶標(biāo)識(shí)的管理 訪問控制的業(yè)務(wù)要求 用戶帳號(hào)及相關(guān)系統(tǒng)權(quán)限的管理 信息處理設(shè)施的授權(quán)問題 識(shí)別與外部組織相關(guān)的風(fēng)險(xiǎn) 策略 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù) 第四十四條第五十五條 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 28 Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 IT 系統(tǒng)的安全測(cè)試，審計(jì)及監(jiān)控 、測(cè)試與運(yùn)營設(shè)施的分離 安全要求分析和規(guī)范 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù) 操作系統(tǒng)變更后的應(yīng)用系統(tǒng)技術(shù)評(píng)審 ATE 安全事件的定義 報(bào)告信息安全事件 安全技術(shù)的保護(hù) 件 文件化的操作程序 密碼控制的法律法規(guī) 加密密鑰的管理 惡意軟 件的防范、 檢測(cè)及糾正 網(wǎng)絡(luò)安全 敏感數(shù)據(jù)交換、傳輸?shù)陌踩Ｗo(hù) 定義并分配成本 識(shí)別所有的 IT成本或開銷，并對(duì)應(yīng)到 IT服務(wù) IT 開銷的審計(jì)（包括對(duì) IT預(yù)算和實(shí)際開銷差距的分析和報(bào)告） 費(fèi)用模型及付款 費(fèi)用模型的維護(hù) DS7 使用者的有效培訓(xùn) 識(shí)別用戶教育和培訓(xùn)的需求 信息安全意識(shí)、教育和培訓(xùn) 教育和培訓(xùn)的實(shí)施 信息安全意識(shí)、教育和培訓(xùn) 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 29 Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 評(píng)估培訓(xùn)效果 DS8 管理服務(wù)臺(tái)及事件 服務(wù)臺(tái) , 網(wǎng)絡(luò)控制訪問控制 登記用戶的詢問 網(wǎng)絡(luò)控制訪問控制 事件升級(jí) 報(bào)告信息安全事件 第五十條 事件關(guān)閉 趨勢(shì)分析 信息安全事故管理和改進(jìn) DS9 配置管理 配置信息的存儲(chǔ)和基線 配置項(xiàng)的標(biāo)識(shí)和維護(hù) 配置的完整性審查 DS10 問題管理 問題的確定和分類 問題的跟蹤和解決 第五十條 終止問題 對(duì)變更 ,配置和問題管理的整合 第四十七條 DS11 管理數(shù)據(jù)資產(chǎn) 業(yè)務(wù)對(duì)數(shù)據(jù)管理的需求 存儲(chǔ)和保持的安排 媒體庫管理系統(tǒng) 處理 信息處理設(shè)施的授權(quán)問題 備份與恢復(fù) 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 30 Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 數(shù)據(jù)管理的安全需求 設(shè)備的安全處置或重用 DS12 設(shè)備管理 地點(diǎn)的選擇與規(guī)劃 物理安全措施 第四十五條 物理訪問 第四十六條 環(huán)境因素防護(hù) 第四十五條 物理設(shè)施管理 DS13 操作管理 操作流程和說明 第四十六條 工作計(jì)劃 基礎(chǔ)體系管理 第四十九條 敏感文檔和輸出設(shè)備 統(tǒng)文檔安全 第四十六條 對(duì)硬件的預(yù)防性維護(hù) 第四十六條 ME ME1 監(jiān)測(cè)和評(píng)估 IT績(jī)效 監(jiān)督辦法 第六十條 收集確定監(jiān)測(cè)數(shù)據(jù) 第六十一條 監(jiān)測(cè)方法 第六十二條 績(jī)效考評(píng) 第七十條 執(zhí)行委員會(huì)和主管報(bào)告 第七十一條 補(bǔ)救 開發(fā)并實(shí)施包括信息安全的連續(xù)性計(jì)劃 第七十條 ME2 監(jiān) 測(cè)和評(píng)估內(nèi)部控制 ME2 .1 監(jiān)督和評(píng)估內(nèi)部控制框架 第六十四條 第六十六條 監(jiān)督審查 第六十九條 例外控制 報(bào)告信息安全事件 第六十七條 控制自我評(píng)估 內(nèi)部控制的保證 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 31 Cobit ISO 17799:2021 63號(hào)文 域 過程 控制目標(biāo) 控制目標(biāo) 條文 第三方的內(nèi)部控制 識(shí)別與外部組織相關(guān)的風(fēng)險(xiǎn) 在第三方協(xié)議中強(qiáng)調(diào)安全 , 第五十五條 補(bǔ)救 開發(fā)并實(shí)施包括信息安全的連續(xù)性計(jì)劃 第七十 條 ME3 保證法律法規(guī)的符合性 法律和規(guī)則的確認(rèn)帶給資訊潛在的影響 信息安全策略文檔 第十九條 第十三條 對(duì)管理的需求回應(yīng)的最佳化 評(píng)估符合監(jiān)管要求 與法律法規(guī)要求的符合性 與安全策略和標(biāo)準(zhǔn)的符合性，以及技術(shù)符合性 第十三條 第七條（七） 積極履行保證 與法律法規(guī)要求的符合性 與安全策略和標(biāo)準(zhǔn)的符合性，以及技術(shù)符合性 第七條 第十三條 綜合報(bào) 告 第七條（六） ME4 執(zhí)行ＩＴ治理 建立 IT管理架構(gòu) 戰(zhàn)略調(diào)整 第七十條 提供價(jià)值 資源管理 第四十八條 風(fēng)險(xiǎn)管理 考績(jī) 獨(dú)立保證 第六十八條 安全風(fēng)險(xiǎn)評(píng)估策略 風(fēng)險(xiǎn)管理原則 為了有效地控制信息安全風(fēng)險(xiǎn)，需要確 立風(fēng)險(xiǎn)管理的原則如下： 1. 評(píng)估風(fēng)險(xiǎn)，決定需求； 2. 建立風(fēng)險(xiǎn)管理中心； 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 32 3. 實(shí)施相應(yīng)的策略和相關(guān)的控制； 4. 提高客戶關(guān)注程度； 5. 監(jiān)控和評(píng)估策略以及控制效力。信息保障程序的成功取決于信息系統(tǒng)受風(fēng)險(xiǎn)的影響程度以及這些風(fēng)險(xiǎn)對(duì)交易操作的影響。 所有組織說風(fēng)險(xiǎn)認(rèn)識(shí)和相關(guān)的代價(jià)利益的折衷是他們信息保障相關(guān)程序的主要關(guān)注點(diǎn)。 建模策略 ISO/IEC13335 中指出了四種風(fēng)險(xiǎn)評(píng)估方法：基線方法、非正式方法、詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法、復(fù)合的方法。 《 AS/NZS 4360: 2021 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》中又提出了 FMECA (Failure Mode, Effects and Criticality Analysis)方法，利用這種方法可以用可能性和結(jié)果的乘積建立風(fēng)險(xiǎn)級(jí)別矩陣。 信息安全管理 安全風(fēng)險(xiǎn)評(píng)估必須嚴(yán)格按照統(tǒng)一、高效的規(guī)范來操作，這就要求建立一個(gè)以評(píng)估結(jié)果為內(nèi)容，提供符合多種標(biāo)準(zhǔn)的報(bào)表、報(bào)告，并可以靈活定制輸入 /輸出格式的安全信息數(shù)據(jù)庫，將我們的審計(jì)、檢測(cè)以及手工采集的數(shù)據(jù)導(dǎo)入其中。 安全風(fēng)險(xiǎn)評(píng)估中所需處理的信息數(shù)據(jù)量大而且來源廣，實(shí)施過程中很大一部分工作繁瑣而且機(jī)械。 標(biāo)準(zhǔn)遵循 在風(fēng)險(xiǎn)評(píng)估的過程中，參照廣為業(yè)界所接受的現(xiàn)行標(biāo)準(zhǔn)和規(guī)范，內(nèi)容涉及風(fēng)險(xiǎn)評(píng)估的各個(gè)方面和各個(gè)層次。同時(shí)，在工程實(shí)施過程中需保持整體協(xié)調(diào)