《金融行业安全服务方案 (1).docx》由会员分享,可在线阅读,更多相关《金融行业安全服务方案 (1).docx(70页珍藏版)》请在第一文库网上搜索。
1、启明星辰金融事业部安全服务解决方案北京启明星辰信息技术股份有限公司VenusInformationtechnoIogy安全服务解决方案错误!未定义书签。第1章概述错误!未定义书签。需求分析错误!未定义书签。项目建设目标错误!未定义书签。第2章方案内容错误!未定义书签。安全管理咨询顾问服务错误!未定义书签。进行信息安全管理体系咨询错误!未定义书签。协助进行信息安全应急响应演练错误!未定义书签。提供定制化的信息安全培训错误!未定义书签。提供互联网安全事件应急响应服务错误!未定义书签。国内外安全事件技术分析和趋势跟踪错误!未定义书签。安全建设及安全监控外包服务错误!未定义书签。风险评估错误!未定义书
2、签。提供安全改造咨询错误!未定义书签。提供加固技术支持错误!未定义书签。提供监控服务错误!未定义书签。第3章评估理论、方法及模型错误!未定义书签。相关标准与规范错误!未定义书签。评估咨询项目的标准性原则错误!未定义书签。方案中标准的体现对照错误!未定义书签。相关标准规范介绍错误!未定义书签。ITI1IT基础架构库错误!未定义书签。IS027001信息安全管理规范错误!未定义书签。银监会63号文银行业金融机构信息系统风险管理指引错误!未定义书签。Cobit、IS017799与63号文控制目标对应表错误!未定义书签。安全风险评估策略错误!未定义书签。风险管理原则错误!未定义书签。建模策略错误!未定
3、义书签。信息安全管理错误!未定义书签。标准遵循错误!未定义书签。安全风险评估理论模型错误!未定义书签。安全风险过程模型错误!未定义书签。安全风险关系模型错误!未定义书签。安全风险计算模型错误!未定义书签。安全风险管理过程模型错误!未定义书签。第4章风险评估错误!未定义书签。资产管理评估错误!未定义书签。资产分类调查错误!未定义书签。资产安全管理错误!未定义书签。威胁评估错误!未定义书筌。安全隐患分析错误!未定义书签。网络架构威胁分析错误!未定义书签。弱点与漏洞评估错误!未定义书筌。大规模漏洞检测评估错误!未定义书签。渗透性测试错误!未定义书签。网络性能与业务负载分析错误!未定义书签。访问控制策
4、略与措施分析错误!未定义书签。网络设备策略与配置评估错误!未定义书签。安全设备策略与配置评估错误!未定义书签。安全控制评估错误!未定义书签。安全管理评估错误!未定义书签。安全管理体系评估错误!未定义书签。常规安全管理错误!未定义书签。应急安全管理错误!未定义书签。业务与应用评估错误!未定义书签。业务流程分析错误!未定义书签。应用服务与应用系统分析错误!未定义书签。典型安全评估咨询输出错误!未定义书签。信息安全现状报告错误!未定义书签。信息安全风险评估报告错误!未定义书签。信息安全策略建议错误!未定义书签。信息安全解决方案建议错误!未定义书签。安全培训方案建议书错误!未定义书签。第1章概述1.1
5、需求分析随着金融业务的高速发展,对信息系统的要求越来越高。在信息系统建设的同时,也非常注重信息安全的建设,为了进一步提高信息系统的安全性,依据长期发展战略,提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求,具体包括如下几个方面:完善信息科技部门信息安全管理体系;提高信息安全应急响应能力;提高信息安全人员意识及技术能力;提高银行自身合规性的能力;加强对国内外安全事件技术分析和趋势跟踪;清楚认识网上银行存在的风险,提高网上银行的安全性。1.2项目建设目标通过项目建设,达到如下目标:根据中国银行业监督管理委员会下发的相关信息科技风险管理指引,以及国际流行的信息安全风险管理规范,结合信息
6、科技发展的实际情况,进一步完善和细化信息科技风险管理制度和流程;提高对信息安全的应急能力;通过培训等手段提高信息科技部技术队伍人员的信息安全意识和技能水平;提高符合监管部门监管要求、法律法规的能力;通过评估网上银行的现状,提出网银安全建设和整改方案,并监控来自互联网针对网银的攻击行为。第2章方案内容为了满足安全需求,达到预定目标,项目建设的内容如下:2.1安全管理咨询顾问服务2.1.1 进行信息安全管理体系咨询在已有信息安全管理制度、规范的基础上,进一步制定可落实、可执行的信息安全管理体系,涵盖策略、规范、流程等各个层面。通过多年的积累,结合BS7799及CoB1T最佳实践,形成了自己的一套管
7、理制度体系,这套管理体系可以根据客户的实际情况进行裁剪。在本项目中,我们将会对XXXXX现有制度进行梳理,结合公司的管理体系框架,形成一套适合XXXXX的管理制度体系及流程,具体如下步骤:本活动由以下步骤组成:步骤1:分析已获信息策略规划小组对已收集的各种文档信息进行分析,鉴别已有的信息安全策略,并进行相应的记录。步骤2:设计框架结构根据已获得的信息,策略规划小组设计信息安全策略框架。步骤3:沟通框架结构针对已创建的信息安全策略框架,策略规划小组与相关人员进行沟通。步骤4:制定安全策略在确定了信息安全策略的框架之后,策略规划小组为制定信息安全策略。步骤5:分析评估报告策略规划小组分析已完成的评
8、估报告,鉴别评估过程中发现的问题。步骤6:完善安全策略根据评估报告中所发现的问题,策略规划小组完善信息安全策略。2.1.2 协助进行信息安全应急响应演练协助信息科技部门制定网络安全应急响应流程,并参与XXXXX组织的应急响应演练,评估应急响应演练效果并提供改进建议。在制定XXXXX信息科技部门制定网络安全应急响应流程中将结合现有信息系统情况,制定可实施的应急预案,将按照应急预案进行演练,并制定详细的恢复计划,保证最小化影响业务系统。制定好应急预案后,将根据应急预案协助XXXXX进行应急响应演练,检验应急预赛的可行性,评估应急响应演练效果并提供改进建议。在应急演练过程中,将检睑如下的各个环节:建
9、立应急组织应急准备应急演练应急启动与处理应急恢复与重建应急结束应急总结应急汇报与信息披露2.1.3 提供定制化的信息安全培训针对普通员工、科技干部、管理层提供不同类型的信息安全培训I,包括管理培训和网络安全技术。将根据XXXXX的实际情况,提供客户化的培训,具体计划如下:对管理人员进行管理培训,提供2人次的BS7799培训;对技术人员进行4人次的C1SP培训;对普通员工进行现场的安全意识培训。2.1.4 提供互联网安全事件应急响应服务针对来自互联网的入侵、蠕虫爆发提供应急响应服务。将分级别为XXXXX提供互联网安全事件的应急响应服务,具体计划如下:分类说明响应方式高级事件由攻击行为直接引起的相
10、关事件,正在危害,或者即将危害到系统的业务连续性。非攻击行为造成,但是影响到目标系统业务持续性的事件。现场为主,远程中级事件由非攻击行为直接引起的其他事件,而且这种事件没有直接影响到当前业务的持续性。例如一般性安全咨询,产品升级,病毒库升级等等。远程为主(电话,邮件,传真等),必要时进行现场支持低级事件攻击或者非法事件并没有对系统造成伤害,但有人侵企图,可能会造成损害。远程为主(电话,邮件,传真等)2.1.5 国内外安全事件技术分析和趋势跟踪关注安全业内动态、与国、内外安全机构有密切的联系,密切跟踪安全事件及安全发展趋势,将为XXXXX以月为周期提供趋势跟踪分析报告,在出现重大安全漏洞和事件时
11、提供预警服务,使XXXXX防患于未然。以月为周期提供趋势跟踪分析报告,在出现重大安全漏洞和事件时提供预警服务。2.1.6 2安全建设及安全监控外包服务2.2.1风险评估针对XXXXX网银进行风险评估,提出网银的改进方案,并结合XXXXX业务提出网银的发展规划。2.2.2提供安全改造咨询为XXXXX安全改造提供技术咨询。2.2.3提供加固技术支持为XXXXX系统加固提供技术支持。2.2.4提供监控服务提供7X24小时安全监控服务,在出现异常攻击行为时进行及时的应急响应处理。第3章评估理论、方法及模型通过风险评估服务,可以提高客户关键业务系统的可用性和可靠性、降低信息安全管理成本,提高金融企业对行
12、业监管、国家政策的合规性,同时也可为其他外部系统提供安全基准,进一步增强客户的竞争优势。在设计过程和方案的实施中,结合客户网络的特点,遵循和参照最新、最权威、最具有代表性的国家和国际信息安全标准与建议。下面给出了相关标准和法规、政策在方案中的体现。3.1 相关标准与规范3.1.1 评估咨询项目的标准性原则启明星辰提供的本次安全评估咨询服务,将依据2006年度银行业金融机构信息科技风险评价审计要点、银行业金融机构信息系统风险管理指引、电子银行安全评估指引(征求意见稿)、商业银行内部控制评价试行办法中的相关要求进行评估,同时为保证本次评估的全面性,还将参考相关的国际标准、国内标准和电信行业的相关规
13、范,并有选择性地采纳优秀的风险评估理论。国际标准包括$017799:2005信息技术一信息安全管理业务规范、GA0AIMD-00-33x信息安全风险评估、ISOISO/TR13569银行和相关金融服务一信息安全指南、AS/NZS4360:1999,IS015408等;国家标准包括GB17859,GB18336等。同时我们将参考COSO/ERM企业风险管理一整体框架、CObitVITI1xPrince2等IT治理模型;这些标准和操作指南目前已经被金融行业风险评估项目和IT治理项目中进行了实践,并得到了用户的认可和好评。除对标准的遵循外,启明星辰的风险评估过程还紧密结合金融行业的各种业务特征,依据
14、XXXXX的业务特点,系统地制定了XXXXX信息安全风险评估方案。3.1.2 方案中标准的体现对照评估过程参照标准调查表和问题的2006年度银行业金融机构信息科技风险评价审计要点设计银行业金融机构信息系统风险管理指引电子银行安全评估指引(征求意见稿)商业银行内部控制评价试行办法ISOIS0/TR13569银行和相关金融服务-信息安全指南Cobit加拿大威胁和风险评估工作指南美国国防部彩虹系列NCSC-TG-OI9IS017799/BS7799资产评估IS017799/BS7799加拿大威胁和风险评估工作指南风险分析方法IS013335风险分析模型AS/NZS4360:1999风险管理标准风险计算模型AS/NZS4360:1999风险管理标准GA0/AIMD-00-33信息安全风险评估安全管理评估2006年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引(征求意见稿)评估过程参照标准商业银行内部控制评价试行办法ISOIS0/TR13569银行和相关金融服务-信息安全指南CobitIS017799/BS7799IS013335物理安全评估银行业金融机构信息系统风险管理指引IS017799/BS7799ISOIS0/TR13569银行和相关金融服务-信息安全指南网络设备安全性IS