信息科技风险自评估表

信息科技风险自评估表一、 信息科技治理序号风险类别风险点控制目的风险分析参照根据1董事会或高档管理层职责对信息科技战略的审查批准并审查信息科技战略；保证信息科技战略与银行总体业务战略和重大方略相一致；定期评估信息科技及其风险管理工作的总体效力和效率。信息风险管理缺少长期规划，无法指引信息安全工作开展。ISO27001： 管理层职责：建立信息安全方针，保证信息安全目的和筹划的建立，进行信息安全管理体系的评审；ISO27001：信息安全方针文档：信息安全方针文档应通过管理层的批准，并向所有员工和外部有关方发布和沟通；ISO27001：信息安全方针评审：应按筹划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以保证其持续的合适性、充足性和有效性。2对本行信息科技风险管理现状的掌握状况定期听取信息科技风险管理部门报告；组织进行独立有效的信息科技风险审计；对审计报告和监管意见的整治状况进行监督。无法掌握既有风险，对存在的信息安全风险针对性的改善无法得到有力的推动。Corbit信息技术审计指南-决定技术方向：IT管理层理解并使用技术基本设施筹划；技术基本设施筹划上的变化，以拟定有关的成本和风险，这些变化要反映在IT长短期筹划的变化中；IT管理层要理解监控和评估正在浮现技术的过程，并要将合适的技术合并到目前的IT基本设施之中；IT管理层要理解系统评估技术筹划意外的过程。3对信息科技建设的支持建立合理的人才鼓励体制；保证为信息科技风险管理工作拨付所需资金；建立规范的职业道德行为和廉政原则。对信息安全风险的改善缺少有效资源Corbit信息技术审计指南-管理信息技术投资：高档管理层应执行预算编制过程，按照机构的长期和短期筹划以及IT的长期和短期筹划，保证年度IT运作预算的建立和批准。应调查资金的选择。4组织架构组织信息科技管理委员会的建立由来自高档管理层、信息科技部分和重要业务部分的代表构成；定期向董事会和高档管理层报告信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能；对信息科技建设及管理状况进行有效的协调。信息安全工作缺少统一组织进行协调。级别保护-安全管理机构-岗位设立c) 应成立指引和管理信息安全工作的委员会或领导小组。5首席信息官的设立直接参与本银行与信息科技运用有关的业务发展决策；建立切实有效的信息科技部分；保证信息科技风险管理的有效性。信息安全工作缺少统一有效的领导和负责人。级别保护-安全管理机构-岗位设立c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。6信息科技部门的职责岗位设立完整合理；人员具有相应的技能和专业知识，制定有合理的培训筹划；重要岗位制定具体完整的工作阐明。缺少具有专业知识和技能的专职人员；信息安全工作无法有效的协调。级别保护-安全管理机构-岗位设立a) 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；b) 应配备专职安全管理员，不可兼任；d) 应制定文献明确安全管理机构各个部门和岗位的职责、分工和技能规定。7信息科技风险管理部分的职责可直接向CIO或CRO报告；实行持续的信息科技风险评估；协调有关信息科技风险管理方略的制定。8信息科技内部审计岗位在内审部门内部设立；配备足够的专业人员；制定完整的信息科技审计方略和流程；制定信息科技内审筹划并贯彻。信息安全工作缺少有效的监督和评价，信息安全风险管理无法有效的贯彻和改善。级别保护-安全管理机构-审核和检查a) 安全管理员应负责定期进行安全检查，检查内容涉及系统平常运营、系统漏洞和数据备份等状况；b) 应由内部人员或上级单位定期进行全面安全检查，检查内容涉及既有安全技术措施的有效性、安全配备与安全方略的一致性、安全管理制度的执行状况等；c) 应制定安全检查表格实行安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查成果进行通报；d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。9制度建设制度建设流程完善的规章制度和管理措施的制定、审批和修订流程。信息安全管理制度混乱，无法形成完整体系，缺少可操作性且得不到有效改善。ISO27001： 总规定组织应根据整体业务活动和风险，建立、实行、运营、监视、评审、保持并改善文献化的信息安全管理体系。10制度体系涵盖运营、安全、开发等各重要部分；对核心部分应有具体的管理规定和操作细则。核心工作缺少规范性，工作流程混乱，直接导致信息安全事件。ISO27001：-控制目的：1、信息安全方针；2、信息安全组织；3、资产管理；4、人力资源安全；5、物理与环境安全；6、通讯及操作管理；7、访问控制；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务持续性管理；11、符合性。二、 信息科技风险管理序号风险类别风险点控制目的风险分析参照根据11信息科技风险管理信息科技风险管理方略方略内容应涉及：1、信息分级与保护；2、应用系统开发、测试和维护；3、信息科技运营和维护；4、访问控制；5、物理安全；6、人员安全；7、业务持续性与应急处置安全方略考虑不完善，没有完整涉及信息安全各方面，制定的安全方略内容存在疏漏。级别保护-控制项：1、物理安全；2、网络安全；3、主机安全；4、应用安全；5、数据安全；6、安全管理制度；7、安全管理机构；8、人员安全管理；9、系统运维管理；10、系统建设管理。ISO27001：-控制目的：1、信息安全方针；2、信息安全组织；3、资产管理；4、人力资源安全；5、物理与环境安全；6、通讯及操作管理；7、访问控制；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务持续性管理；11、符合性。12风险辨认和评估流程精拟定位存在隐患的区域；评价风险对其业务的潜在影响；对风险进行分类排序；拟定风险防备活动及必备资源的优先级。无法理解既有系统存在的风险，无法有效的指引信息安全的改善，提高信息系统安全性。计算机级别保护制度；ISO27001：信息安全管理体系规定。13风险防备措施1、明确的信息科技风险管理方略、技术原则和操作规程等，并定期公示；2、辨认潜在风险区域，对这些区域进行具体的独立监控，并建立合适的控制构造。14风险计量和监测机制范畴涵盖所有的重要部分，涉及项目实行、系统性能、事故与投诉、问题整治、外包服务水平、运营操作、外包项目等。三、 信息安全序号风险类别风险点控制目的风险分析参照根据15顾客认证和访问控制授权机制完整的审批流程；以“必需懂得”和“最小授权”为原则；权限收回流程。顾客获得不当权限，故意或者无意的导致系统破坏或信息泄露。ISO27001 访问控制-控制方略：应建立文献化的访问控制方略，并根据对访问的业务和安全规定进行评审；ISO27001 访问控制-顾客注册：应建立正式的顾客注册和解除注册程序，以容许和撤销对于所有信息系统和服务的访问；ISO27001 访问控制-特权管理：应限制和控制特权的使用和分派。16顾客审查定期对系统所有顾客进行审查；每个系统的所有顾客使用唯一ID；顾客变化时应及时检查和更新。顾客获得不当权限，故意或者无意的导致系统破坏或信息泄露。ISO27001 访问控制-顾客访问权限的评审：管理者应按照筹划的时间间隔通过正式的流程对顾客的访问权限进行评审。17认证机制与信息访问级别相匹配的顾客认证机制；高风险交易和活动使用增强的认证措施。顾客获得不当权限，故意或者无意的导致系统破坏或信息泄露。级别保护-应用安全-身份鉴别：a) 应提供专用的登录控制模块对登录顾客进行身份标记和鉴别b) 应对同一顾客采用两种或两种以上组合的鉴别技术实现顾客身份鉴别c) 应提供顾客身份标记唯一性和鉴别信息复杂度检查功能，保证应用系统中不存在反复顾客身份标记，身份鉴别信息不易被冒用d) 应提供登录失败解决功能，可采用结束会话、限制非法登录次数和自动退出等措施e) 应启用身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查以及登录失败解决功能，并根据安全方略配备有关参数18信息安全管理信息安全管理完善的信息安全管理流程、组织架构和职责分派。管理混乱信息安全方略无法对的及时的实行；信息安全责任无法明确。级别保护-安全管理机构-岗位设立a) 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责b) 应设立系统管理员、网络管理员、安全管理员岗位，并定义各个工作岗位的职责c) 应成立指引和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权d) 应制定文献明确安全管理机构各个部门和岗位的职责、分工和技能规定19信息安全方略信息安全方略涉及完整的内容：1、组织信息安全；2、资产管理；3、人员安全；4、物理和环境安全；5、通信和操作安全；6、访问控制；7、身份认证；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务持续性管理；11、合规性。安全方略考虑不完善，没有完整涉及信息安全各方面，制定的安全方略内容存在疏漏。ISO27001：-控制目的：1、信息安全方针；2、信息安全组织；3、资产管理；4、人力资源安全；5、物理与环境安全；6、通讯及操作管理；7、访问控制；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务持续性管理；11、符合性。20安全培训提供必要的培训，使所有员工都理解信息安全的重要性，并让员工充足理解其职责范畴内的信息保护流程。一般员工缺少信息安全意识，导致故意或无意的信息泄露或者破坏。级别保护-人员安全管理-安全意识教育和培训：a) 应对各类人员进行安全意识教育、岗位技能培训和有关安全技术培训；b) 应对安全责任和惩戒措施进行书面规定并告知有关人员，对违背违背安全方略和规定的人员进行惩戒；c) 应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训筹划，对信息安全基本知识、岗位操作规程等进行培训；d) 应对安全教育和培训的状况和成果进行记录并归档保存。21物理安全数据中心的地理位置远离自然灾害地区、危险或有害设施、或繁忙/重要公路；采用有效的物理或环境控制措施，监控对信息解决设备运营构成威胁的环境物理设施受到台风、地震、火灾、震动、灰尘等威胁。ISO27001：-物理与环境安全：应设计并实行针对火灾、水灾、地震、爆炸、骚乱和其她形式的自然或人为劫难的物理保护措施。级别保护-物理安全-物理位置的选择：a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。22数据中心的安全保卫出口数量应严格控制；出入通道的锁具安全可靠；配备有录像监控和报警系统；核心位置配备警卫人员；敏感设施及场合的标记隐匿非法访问者对物理设施进行故意或者无意的破坏。级别保护-物理安全-物理访问控制：a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b) 需进入机房的来访人员应通过申请和审批流程，并限制和监控其活动范畴；c) 应对机房划分区域进行管理，区域和区域之间设立物理隔离装置，在重要区域前设立交付或安装等过渡区域；d) 重要区域应配备电子门禁系统，控制、鉴别和记录进入的人员。级别保护-物理安全-防盗窃和防破坏：a) 应将重要设备放置在机房内b) 应对设备或重要部件进行固定，并设立明显的不易除去的标记c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中d)应对介质分类标记，存储在介质库或档案室中e) 应运用光、电等技术设立机房防盗报警系统f) 应对机房设立监控报警系统23数据中心的运营环境使用全面的环境控制措施保障系统安全运营，如：不间断电源保护、温湿度控制、防水防火设施等。物理设施受到潮湿、断电、火灾等威胁。级别保护-物理安全-防雷击：a) 机房建筑应设立避雷装置b) 应设立防雷保安器，避免感应雷c) 机房应设立交流电源地线级别保护-物理安全-防火：a)机房应设立火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；b) 机房及有关的工作房间和辅助房应采用品有耐火级别的建筑材料；c) 机房应采用区域隔离防火措施，将重要设备与其她设备隔离开。级别保护-物理安全-防水和防潮：a) 水管安装，不得穿过屋顶和活动地板下；b) 应采用措施避免雨水通过机房窗户、屋顶和墙壁渗入；c) 应采用措施避免机房内水蒸气结露和地下积水的转移与渗入；d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警；级别保护-物理安全-防静电：a) 重要设备应采用必要的接地等防静电措施；b) 机房应采用防静电地板；级别保护-物理安全-温湿度控制：a) 机房应设立温、湿度自动调节设施，使机房温、湿度的变化在设备运营所容许的范畴之内a) 应在机房供电线路上配备稳压器和过电压防护设备b) 应提供短期的备用电力供应，至少满足核心设备在断电状况下的正常运营规定c) 应设立冗余或并行的电力电缆线路为计算机系统供电d) 应建立备用供电系统级别保护-物理安全-电磁防护：a) 应采用接地方式避免外界电磁干扰和设备寄生耦合干扰；b) 电源线和通信线缆应隔离，避免互相干扰c) 应对核心设备和磁介质实行电磁屏蔽24门禁管理制度第三方人员进入安全区域应得到合适的批准，并受到密切监控；对外聘人员和承包商有严格的审查程序，涉及身份验证和背景调查，并签订安全、保密合同。非法访问者对物理设施进行故意或者无意的破坏。级别保护-物理安全-物理访问控制：a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b) 需进入机房的来访人员应通过申请和审批流程，并限制和监控其活动范畴。ISO27001： 信息安全组织-外部组织：应辨认来自波及外部组织的业务过程的信息和信息解决设施的风险，并在容许访问前实行合适的控制；与第三方签订的合同中应覆盖所有有关的安全规定。这些合同也许波及对组织的喜讯你或信息解决设施的访问、解决、沟通或管理，或增长信息解决设施的产品和服务。25网络安全逻辑分区按照不同的安全级别，将网络划分为不同的逻辑安全域。重要系统得不到应有的安全保护，非法顾客对系统进行非法访问，导致系统破坏或数据中断。级别保护-网络安全-构造安全：e) 应根据各部门的工作职能、重要性和所波及信息的重要限度等因素，划分不同的子网或网段，并按照以便管理和控制的原则为各子网、网段分派地址段。26网络边界防护不同的网络域之间应采用有效的分隔和访问控制措施，如部署防火墙和入侵检测设备；对网络的特殊敏感域，应采用物理隔离方式。扁平化的网络使网络管理更加困难，非法访问者更加容易针对重要设备并进行袭击。级别保护-网络安全-构造安全：f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其她网段之间采用可靠的技术隔离手段。级别保护-网络安全-访问控制：a) 应在网络边界部署访问控制设备，启用访问控制功能；b) 应能根据会话状态信息为数据流提供明确的容许/回绝访问的能力，控制粒度为端口级；c) 应对进出网络的信息内容进行过滤，实现相应用层HTTP、FTP、TELNET、SMTP、POP3等合同命令级的控制；d) 应在会话处在非活跃一定期间或会话结束后终结网络连接；e) 应限制网络最大流量数及网络连接数；f) 重要网段应采用技术手段避免地址欺骗g) 应按顾客和系统之间的容许访问规则，决定容许或回绝顾客对受控系统进行资源访问，控制粒度为单个顾客；h) 应限制具有拨号访问权限的顾客数量。级别保护-网络安全-边界完整性检查：a) 应可以对非授权设备擅自联到内部网络的行为进行检查，精拟定出位置，并对其进行有效阻断；b) 应可以对内部网络顾客擅自联到外部网络的行为进行检测，精拟定出位置，并对其进行有效阻断。级别保护-网络安全-入侵防备：a) 应在网络边界处监视如下袭击行为：端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等b) 当检测到袭击行为时，记录袭击源IP、袭击类型、袭击目的、袭击时间，在发生严重入侵事件时应提供报警27传播加密敏感数据在网络传播过程中应加密。数据被非法窃听，导致重要数据泄露。级别保护-数据安全-数据保密性a) 应采用加密或其她有效措施实现系统管理数据、鉴别信息和重要业务数据传播保密性。28网络监控根据事先定义的性能目的对网络进行持续地监测，以确认任何潜在的瓶颈制约或超负荷运营等任何异常的活动；高强度网络分析工具的使用应有合适的授权或审批流程。无法及时发现网络异常，导致网络故障或系统宕机。级别保护-系统运维管理-监控管理：a) 应对通信线路、主机、网络设备和应用软件的运营状况、网络流量、顾客行为等进行监测和报警，形成记录并妥善保存；b) 应组织有关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采用必要的应对措施；a) 应指定专人对网络进行管理，负责运营日记、网络监控记录的平常维护和报警信息分析和解决工作。29网络配备更改定期审查网络配备；配备更改或设备调节应作为网络变更流程进行操作。网络配备不当导致浮现安全弱点；错误的配备操作导致网络安全弱点或网络故障浮现。级别保护-系统运维管理-网络安全管理：a) 应指定专人对网络进行管理，负责运营日记、网络监控记录的平常维护和报警信息分析和解决工作；b) 应建立网络安全管理制度，对网络安全配备、日记保存时间、安全方略、升级与打补丁、口令更新周期等方面作出规定；c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对既有的重要文献进行备份；d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；e) 应实现设备的最小服务配备，并对配备文献进行定期离线备份；f) 应保证所有与外部系统的连接均得到授权和批准；g) 应根据安全方略容许或回绝便携式和移动式设备的网络接入；h) 应定期检查违背规定拨号上网或其她违背网络安全方略的行为。30操作系统安全安全原则制定每种类型操作系统的基本安全规定，保证所有系统满足基本安全规定。操作系统配备不当导致浮现安全弱点。级别保护-系统运维管理-系统安全管理：a) 应根据业务需求和系统安全分析拟定系统的访问控制方略；b) 应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；c) 应安装系统的最新补丁程序，在安装系统补丁前，一方面在测试环境中测试通过，并对重要文献进行备份后，方可实行系统补丁程序的安装；d) 应建立系统安全管理制度，对系统安全方略、安全配备、日记管理和平常操作流程等方面作出具体规定。31访问权限明拟定义不同顾客组的访问权限，涉及终端顾客、系统开发人员、系统测试人员、计算机操作人员、系统管理员和顾客管理员等。管理员获得不当权限，系统核心配备被非法修改。级别保护-系统运维管理-系统安全管理：e) 应指定专人对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则。32最高权限账户管理制定针对使用最高权限系统帐户的审批、验证和监控流程，并保证最高权限顾客的操作日记被记录和监察。高权限帐号的错误或非法操作导致严重的故障或损失；无法对故障或损失的因素进行追溯。级别保护-安全管理机构-授权和审批：a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度c) 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息d) 应记录审批过程并保存审批文档级别保护-主机安全-安全审计：a) 审计范畴应覆盖到服务器和重要客户端上的每个操作系统顾客和数据库顾客；e) 应保护审计进程，避免受到未预期的中断；f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。33安全补丁定期监察可用的安全补丁，经评估和测试后进行安装。对已发现系统漏洞无法及时修补，导致黑客入侵，木马、病毒植入；不当的安全补丁安装影响系统稳定性或者系统宕机。级别保护-系统运维管理-系统安全管理：c) 应安装系统的最新补丁程序，在安装系统补丁前，一方面在测试环境中测试通过，并对重要文献进行备份后，方可实行系统补丁程序的安装；34重要事项审核操作人员应对操作系统运营的重要事项进行检查和阐明，如系统日记中记录的未成功登录，重要系统文献的访问，对顾客帐号进行修改等信息，以及系统浮现的任何异常事件。对操作系统的非法或错误操作无法记录，对信息安全事件或系统故障无法进行追溯和分析。级别保护-主机安全-安全审计：a) 审计范畴应覆盖到服务器和重要客户端上的每个操作系统顾客和数据库顾客b) 审计内容应涉及重要顾客行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全有关事件c) 审计记录应涉及事件的日期、时间、类型、主体标记、客体标记和成果等d) 应可以根据记录数据进行分析，并生成审计报表e) 应保护审计进程，避免受到未预期的中断f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等35应用系统安全岗位职责明拟定义终端顾客和信息科技技术人员在应用安全中的岗位和职责；对核心或敏感职能进行双重控制。知识、技能不够导致误操作；重要岗位缺少监管导致故意的非法操作。ISO27001： 人力资源安全-角色和职责：应根据组织的信息安全方针，规定员工、合同方和第三方顾客的安全角色和职责并形成文献。ISO27001：访问控制-特权管理：应限制和控制特权的使用和分派36身份验证针相应用系统的重要程序和敏感限度，采用有效的身份验证措施。非法顾客获得访问权限。级别保护-应用安全-身份鉴别：a) 应提供专用的登录控制模块对登录顾客进行身份标记和鉴别；b) 应对同一顾客采用两种或两种以上组合的鉴别技术实现顾客身份鉴别；c) 应提供顾客身份标记唯一性和鉴别信息复杂度检查功能，保证应用系统中不存在反复顾客身份标记，身份鉴别信息不易被冒用；d) 应提供登录失败解决功能，可采用结束会话、限制非法登录次数和自动退出等措施；e) 应启用身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查以及登录失败解决功能，并根据安全方略配备有关参数。37信息输入和输出在核心的接合点进行输入验证或输出核对；采用安全的方式解决保密信息的输入和输出，避免信息被盗、篡改、故意或无意泄露。核心数据被盗、篡改、故意或无意泄露。ISO27001：电子商务服务-电子商务：应保护电子商务中通过公共网络传播的信息，以避免欺诈、合同争议、未授权的泄漏和修改；ISO27001：电子商务服务-在线交易：应保护在线交易中的信息，以避免不完整的传播、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或答复。38运营状况审核系统能以书面或电子格式保存审计痕迹；可以以预先定义的方式解决例外状况，并向顾客提供故意义的信息；管理人员对系统重要事项进行管理和审核。相应用系统的非法或错误操作无法记录，对信息安全事件或系统故障无法进行追溯和分析。级别保护-应用安全-安全审计：a) 应覆盖到每个顾客的安全审计功能，相应用系统重要安全事件进行审计；b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c) 审计记录的内容至少应涉及日期、时间、发起者信息、类型、描述和成果等；d) 应提供对审计记录数据进行记录、查询、分析及生成审计报表的功能。39日记安全方略和流程制定了有关方略和流程，控制所有生产系统的活动日记，以支持有效的审核、安全论证分析和避免欺诈；设立了日记监控和管理岗位；制定了日记资料的安全保护和调阅管理制度。无法及时发现信息安全事件，无法对信息安全事件进行分析和避免；日记被篡改或者无意丢失，无法对历史事件进行追溯。级别保护-系统运维-监控管理：a) 应对通信线路、主机、网络设备和应用软件的运营状况、网络流量、顾客行为等进行监测和报警，形成记录并妥善保存；b) 应组织有关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采用必要的应对措施；c) 应建立安全管理中心，对设备状态、歹意代码、补丁升级、安全审计等安全有关事项进行集中管理。40交易日记交易日记由应用软件和数据库管理系统产生，涉及身份尝试、数据修改、错误信息等；交易日记按照国家会计政策规定予以保存。对系统问题，非法操作无法进行记录，对浮现问题的因素无法进行追溯。级别保护-主机安全-安全审计；级别保护-应用安全-安全审计；级别保护-网络安全-安全审计；级别保护-系统运维管理-网络安全管理；a) 应指定专人对网络进行管理，负责运营日记、网络监控记录的平常维护和报警信息分析和解决工作b) 应建立网络安全管理制度，对网络安全配备、日记保存时间、安全方略、升级与打补丁、口令更新周期等方面作出规定级别保护-系统运维管理-系统安全管理：d) 应建立系统安全管理制度，对系统安全方略、安全配备、日记管理和平常操作流程等方面作出具体规定；g) 应定期对运营日记和审计数据进行分析，以便及时发现异常行为。41系统日记系统日记由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，涉及身份认证尝试、系统事件、网络事件、错误信息等；系统和网络日记保存期限按事先的风险定级拟定，但不能少。不完整的日记无法对既有的系统运营状况进行监控，无法对浮现的各类事件的因素进行追溯；历史记录不进行合理的保存导致在浮现问题后对此前的操作或者问题进行查找分析。42保存和复查银行应保证在日记中涉及足够的项目，以便有效地完毕内部控制、系统故障解决和审计，同步应采用合适措施保证所有日记的计时同步，并保证其完整性，有任何的例外状况发生都应当复查系统日记。交易日记或数据库日记的复查频率和保存周期应由信息科技部门和有关业务部分共同决定，并报信息科技管理委员会批准。不完善的日记记录无法对审计提供足够的参照；缺少日记审核对隐藏的操作问题无法及时发现。43信息安全信息分类制定信息分类操作指南和信息保护工作流程；信息根据敏感限度进行分类，并指定所有人。对重要信息无法提供足够有效的保护，导致重要信息被破坏、篡改、泄露。ISO27001： 资产管理-分类指南：应按照信息的价值、法律规定及对组织的敏感限度和核心限度进行分类；ISO27001： 资产管理-信息标记和处置：应制定一套与组织所采用的分类方案一致的信息标记和处置的程序，并实行。44信息加密对不同类别信息采用相应的加密技术或密码设备；建立密码设备管理规范制度；管理使用密码系统设备的员工通过专业培训和严格审核。没有加密的信息容易被泄露、破坏、篡改。级别保护-数据安全-数据完整性：a) 应可以检测到系统管理数据、鉴别信息和顾客数据在传播过程中完整性受到破坏，并在检测到完整性错误时采用必要的恢复措施b) 应可以监测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在监测到完整性错误时采用必要的恢复措施级别保护-数据安全-数据保密性：a) 应采用加密或其她有效措施实现系统管理数据、鉴别信息和重要业务数据传播保密性b) 应采用加密或其她保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性级别保护-系统运维管理-密码管理：a) 应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。45密钥管理实行有效的密钥管理流程，特别是密钥生命周期管理和证书周期管理。密钥泄露，导致严重信息安全事件。级别保护-系统运维管理-密码管理：a) 应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。46机密信息安全机密信息的加密使用符合国家密码管理局规定的加密技术和加密设备，加密强度和加密效率满足信息机密性和可用性规定。机密信息泄露，导致严重信息安全事件。级别保护-数据安全-数据完整性；级别保护-数据安全-数据保密性；级别保护-系统运维管理-密码管理：a) 应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。47客户敏感信息安全制定有关方略和程序，管理客户信息的采集、解决、存贮、传播、传播、备份、恢复、清理和销毁。客户数据被泄露，破坏和篡改，直接导致经济损失。ISO27001：电子商务服务-电子商务：应保护电子商务中通过公共网络传播的信息，以避免欺诈、合同争议、未授权的泄漏和修改；ISO27001：电子商务服务-在线交易：应保护在线交易中的信息，以避免不完整的传播、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或答复。四、 应用系统开发、测试和维护序号风险类别风险点控制目的风险分析参照根据48项目管理制度建设应制定方略和流程，治理信息科技项目的立项、优先排序、审批和控制；重大项目必须建立项目管理框架和工作方案，涉及：职责的划分、时间进度、财务预算管理、质量检测、风险评估等。项目管理混乱，项目成本无法控制，进度无法掌握，项目质量无法度量，导致项目失败。级别保护-安全管理制度-管理制度：b) 应对安全管理活动中的各类管理内容建立安全管理制度；d) 应形成由安全方略、管理制度、操作规程等构成的全面的信息安全管理制度体系。49进度报告定期向信息科技管理委员会提交重大信息科技项目的进度报告；进度报告涉及更改时间筹划、核心人员或供应商的决策以及重要费用项目缺少统一的筹划和安排级别保护-系统建设管理-工程实行：b) 应制定具体的工程实行方案控制实行过程，并规定工程实行单位能正式地执行安全工程过程；c) 应制定工程实行方面的管理制度，明确阐明实行过程的控制措施和人员行为准则。50系统开发措施根据信息科技项目的规模、性质和复杂性采用合适的系统开发措施，控制信息系统的生命周期；典型的系统生命周期涉及系统分析、设计、开发或采购、测试、试运营、部署、维护或报废。信息科技项目缺少有效的过程管理和控制级别保护-系统建设管理-自行软件开发：b) 应制定软件开发管理制度，明确阐明开发过程的控制措施和人员行为准则。ISO27001-通讯及操作管理-操作程序及职责-开发、测试和运营设施的分离：应分离开发、测试和运营设施，以减少未授权访问或对操作系统变更的风险；ISO27001-通讯及操作管理-系统规划与验收-系统验收：应建立新的信息系统、 系统升级和新版本的验收准则， 并在开发过程中及接受迈进行合适的系统测试。51风险管理或者内部审计的参与商业银行在进行大规模和大范畴的系统开发时，应规定内部审计部门或信息科技风险管理部分的参与，保证系统开发符合商业银行信息科技风险原则。不严格的开发过程使应用系统存在安全弱点，应用系统问题无法在项目建设过程中及时发现，直接导致系统运营失败、系统中重要数据被破坏、丢失。级别保护-系统建设管理-自行软件开发：a) 应保证开发环境与实际运营环境物理分开，开发人员和测试人员分离，测试数据和测试成果受到控制b) 应制定软件开发管理制度，明确阐明开发过程的控制措施和人员行为准则c) 应制定代码编写安全规范，规定开发人员参照规范编写代码d) 应保证提供软件设计的有关文档和使用指南，并由专人负责保管e) 应保证对程序资源库的修改、更新、发布进行授权和批准级别保护-系统建设管理-测实验收：b) 在测实验收前根据设计方案或合同规定等制定测实验收方案，在测实验收过程中应具体记录测实验收成果，并形成测实验收报告；c) 应对系统测实验收的控制措施和人员行为准则进行书面规定。52文档管理格式原则规范并明确项目资料文档的管理职责、资料文档的起草和审批职责、资料文档格式原则化规范。软件质量无法保证，对软件质量的改善等无法有效实行。级别保护-系统建设管理-自行软件开发：b) 应制定软件开发管理制度，明确阐明开发过程的控制措施和人员行为准则d) 应保证提供软件设计的有关文档和使用指南，并由专人负责保管。53程序文档完整性程序文档内容涉及：程序设计和代码原则、程序描述、程序设计资料、代码清单、源代码命名规则、系统操作指南等。项目程序文档的缺失，也许会致使整个项目维护困难、升级困难等问题 级别保护-系统建设管理-自行软件开发：d) 应保证提供软件设计的有关文档和使用指南，并由专人负责保管。级别保护-系统建设管理-外包软件开发：c) 应规定开发单位提供软件设计的有关文档和使用指南。级别保护-系统建设管理-系统交付：a) 应制定具体的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；c) 应保证提供系统建设过程中的文档和指引顾客进行系统运营维护的文档。54项目文档完整性项目文档内容涉及：项目需求、可行性分析、阶段实行记录（启动、筹划、设计、开发、测试、实行、后评价等）。项目文档的不完善，增长了项目失败的也许性级别保护-系统建设管理-工程实行：b) 应制定具体的工程实行方案控制实行过程，并规定工程实行单位能正式地执行安全工程过程。级别保护-系统建设管理-外包软件开发：a) 应根据开发需求检测软件质量；c) 应规定开发单位提供软件设计的有关文档和使用指南。55系统测试开发环境与测试环境的分离保证生产系统与开发系统、测试系统相分离；生产系统与开发系统、测试系统的管理职能相分离。影响生产系统的稳定性，导致数据泄漏等安全事件的发生。级别保护-系统建设管理-自行软件开发：a) 应保证开发环境与实际运营环境物理分开，开发人员和测试人员分离，测试数据和测试成果受到控制。ISO27001-通讯及操作管理-操作程序及职责-开发、测试和运营设施的分离：应分离开发、测试和运营设施，以减少未授权访问或对操作系统变更的风险。56测试数据敏感的生产数据应当减少或消除敏感性，在运用到测试环境前必须得到预先的批准。生产数据丢失或泄漏级别保护-系统建设管理-测实验收：b) 在测实验收前根据设计方案或合同规定等制定测实验收方案，在测实验收过程中应具体记录测实验收成果，并形成测实验收报告。ISO27001-信息系统的获取、开发和维护-系统文档安全-系统测试数据的保护：应谨慎选择测试数据，并加以保护和控制。57系统验收独立方验收较大的与技术有关项目应当由独立的一方实行质量品质审查。系统的质量无法得到有效的验证和度量级别保护-系统建设管理-测实验收：a) 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告。ISO27001-通讯及操作管理-系统规划与验收-系统验收：应建立新的信息系统、 系统升级和新版本的验收准则， 并在开发过程中及接受迈进行合适的系统测试。58系统维护系统变更应用程序开发和维护人员经管理层授权才干进入生产系统；所有的紧急修复活动立即进行记录和审核。核心操作缺少监管和控制，导致浮既故意或无意的非法操作。级别保护-系统运维管理-变更管理：b) 应建立变更管理制度，系统变更前，向主管领导申请，变更方案通过评审、审批后方可实行变更，并在实行后将变更状况向有关人员告示；c) 应建立变更控制的申报和审批文献化程序，变更影响分析应文档化，记录变更实行过程，并妥善保存所有文档和记录。ISO27001-通讯及操作管理-操作程序及职责-变更管理：应控制信息解决设施及系统的变更；ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-变更控制程序：应通过正式的变更控制程序，控制变更的实行。59系统升级制定有关方略和流程，控制系统升级过程；系统升级应被视为项目看待，接受所有有关项目管理控制，涉及顾客验收测试。升级过程中错误操作导致系统错误或者崩溃。级别保护-系统运维管理-网络安全管理：c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对既有的重要文献进行备份。级别保护-系统运维管理-系统安全管理：c) 应安装系统的最新补丁程序，在安装系统补丁前，一方面在测试环境中测试通过，并对重要文献进行备份后，方可实行系统补丁程序的安装。ISO27001-信息系统的获取、开发和维护-信息系统安全规定-安全规定分析和规范：新的信息系统或对既有信息系统的更新的业务规定声明中应规定安全控制的规定。60问题管理建立并完善有效的问题管理流程；建立问题知识库，进行记录、分类和编制索引；重要责任和指令集，应进行清晰地描述阐明，并告知所有有关人员。对发现的问题无法迅速有效进行判断和解决，导致问题影响时间延长，问题范畴扩大。级别保护-系统运维管理-安全事件处置：b) 应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场解决、事件报告和后期恢复的管理职责。级别保护-人员安全管理-安全意识教育和培训：b) 应对安全责任和惩戒措施进行书面规定并告知有关人员，对违背违背安全方略和规定的人员进行惩戒。ISO27001-信息安全事故管理-信息安全事故的管理和改善-从信息安全事故中学习：应建立可以量化和监控信息安全事故的类型、数量、成本的机制。五、 信息科技运营序号风险类别风险点控制目的风险分析参照根据61运营体系建设岗位设立合理的岗位设立；明确的岗位职责；不相容岗位的分离设立，如系统运营与系统开发维护分离；岗位职权的中断。岗位设立不合理，权限缺少制约，容易引起越权操作。级别保护-主机安全-访问控制：b) 应根据管理顾客的角色分派权限，实现管理顾客的权限分离，仅授予管理顾客所需的最小权限。级别保护-应用安全-访问控制：d) 应授予不同帐户为完毕各自承当任务所需的最小权限，并在它们之间形成互相制约的关系。ISO27001-信息安全组织-内部组织-信息安全管理委员会：管理者应通过清晰的方向、可见的承诺、明确的任务分派、 信息安全职责沟通在组织内积极支持安全。62管理制度信息系统运营体系的总体规划、管理措施、技术原则和信息系统运营体系各构成部分的管理细则。管理制度不完善，操作缺少有效的指引和约束，易导致非法操作。级别保护-安全管理制度-管理制度：a) 应制定信息安全工作的总体方针和安全方略，阐明机构安全工作的总体目的、范畴、原则和安全框架等；d) 应形成由安全方略、管理制度、操作规程等构成的全面的信息安全管理制度体系。63交易记录按照有关法律法规规定的年限保存交易记录；采用必要的程序和技术保证存档数据的完整性，满足安全保存和恢复规定。重要生产数据丢失或泄漏，破坏数据的完整性和可用性。级别保护-系统运维管理-备份与恢复管理：c) 应根据数据的重要性和数据对系统运营的影响，制定数据的备份方略和恢复方略，备份方略须指明备份数据的放置场合、文献命名规则、介质替代频率和将数据离站运送的措施；d) 应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文献和记录应妥善保存；e) 应定期执行恢复程序，检查和测试备份介质的有效性，保证可以在恢复程序规定的时间内完毕备份的恢复。ISO27001-通讯及操作管理-备份-信息备份：应根据既定的备份方略对信息和软件进行备份并定期测试。64操作规程运营管理各部分制定有具体的操作规程，涉及操作人员的任务、工作日程安排和执行过程；信息科技运营手册涉及生产和开发环境中数据和软件的现场及非现场备份（即备份的频率、范畴和保存周期）的程序和规定。操作失误，维护错误，导致业务中断。级别保护-系统运维管理-备份与恢复管理：b) 应建立备份与恢复管理有关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范；c) 应根据数据的重要性和数据对系统运营的影响，制定数据的备份方略和恢复方略，备份方略须指明备份数据的放置场合、文献命名规则、介质替代频率和将数据离站运送的措施。ISO27001-访问控制-访问控制的业务规定-访问控制方略：应建立文献化的访问控制方略， 并根据对访问的业务和安全规定进行评审。65事件管理事件管理系统建立事件管理系统及解决机制，及时响应信息系统运营事故，逐级向有关的信息科技管理人员报告事故的发生，记录、分析和跟踪所有事件，直到对事件进行彻底的改正并完毕主线因素的分析。无法及时有效解决安全事件；对安全隐患无法根除。级别保护-系统运维管理-安全事件处置：b) 应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场解决、事件报告和后期恢复的管理职责；e) 应在安全事件报告和响应解决过程中，分析和鉴定事件产生的因素，收集证据，记录解决过程，总结经验教训，制定避免再次发生的补救措施，过程形成的所有文献和记录均应妥善保存。ISO27001-信息安全事故管理-报告信息安全事件和弱点：报告信息安全事件，应通过合适的管理途径尽快报告信息安全事件；报告信息安全弱点，应规定所有的员工、合同方和第三方顾客注意并报告系统或服务中已发现或疑似的安全弱点。ISO27001-信息安全事故管理-信息安全事故的管理和改善：职责和程序，应建立管理职责和程序，以迅速、有效和有序的响应信息安全事故；从信息安全事故中学习，应建立可以量化和监控信息安全事故的类型、数量、成本的机制；收集证据，事故发生后，应根据有关法律的规定（无论是民法还是刑法）跟踪个人或组织的行动，应收集、保存证据，并以符合法律规定的形式提交。66服务支持系统为顾客提供所有技术有关事件的前线支持，并将事件提交给有关信息科技职能部分进行调查和解决。故障后无法及时响应各类安全事件，导致业务中断。级别保护-系统运维管理-安全事件处置：d) 应制定安全事件报告和响应解决程序，拟定事件的报告流程，响应和处置的范畴、限度，以及解决措施等。ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全：变更控制程序，应通过正式的变更控制程序，控制变更的实行；操作系统变更后的技术评审，当操作系统变更后， 应评审并测试核心的业务应用系统， 以保证变更不会对组织的运营或安全产生负面影响；软件包变更限制，不鼓励对软件包进行变更， 对必要的更改严格控制；信息泄漏，避免信息泄漏的机会；软件委外开发，组织应对软件委外开发进行监控。67系统监控核心业务系统监控对核心业务系统的持续性或阶段性监测，涉及响应时间和解决量、系统承载能力、任务解决失败的次数、比例、类型和因素、系统使用的峰值和均值，系统使用趋向和容量等。对安全事件无法事前避免，系统可用性得不到保障。级别保护-主机安全-资源控制：c) 应对重要服务器进行监视，涉及监视服务器的CPU、硬盘、内存、网络等资源的使用状况。ISO27001-通讯及操作管理-监督-监视系统的使用：应建立监视信息解决系统使用的程序， 并定期评审监视活动的成果。68监控程序贯彻监控程序，保证应用系统的性能受到持续监控，及时完整地报告例外状况；性能监控程序提供预警功能，在问题对系统性能导致影响前对其进行辨认和修正。安全事件无法及时遏制，导致系统可用性下降，甚至中断。 级别保护-主机安全-资源控制：e) 应可以对系统的服务水平减少到预先规定的最小值进行检测和报警。ISO27001-通讯及操作管理-监督-监视系统的使用：应建立监视信息解决系统使用的程序， 并定期评审监视活动的成果。ISO27001-通讯及操作管理-监督-审计日记：应产生记录顾客活动、以外和信息安全事件的日记，并按照商定的期限进行保存，以支持将来的调查和访问控制监视。69容量规划覆盖范畴建立容量规划以适应由于经济金融环境变化产生的业务发展和交易量非筹划性增长；容量规划应涵盖与生产环境有关的备份系统。系统性能无法满足业务需求。ISO27001-通讯及操作管理-系统规划与验收-容量管理：应监督、调节资源的使用状况，并反映将来容量的规定，以保证系统的性能。70变更管理管理规程已制定并实行了书面的变更管理规程，涉及过程记录、变更优先级的拟定、程序的版本控制和审计跟踪、筹划和实行变更、在必要时变更的恢复和实行的后评价。错误的变更直接导致业务系统中断，重要数据被篡改、泄露和破坏。级别保护-系统运维管理-变更管理：b) 应建立变更管理制度，系统变更前，向主管领导申请，变更方案通过评审、审批后方可实行变更，并在实行后将变更状况向有关人员告示；c) 应建立变更控制的申报和审批文献化程序，变更影响分析应文档化，记录变更实行过程，并妥善保存所有文档和记录。ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-变更控制程序：应通过正式的变更控制程序，控制变更的实行。71授权机制系统变更应建立合理的审批流程；波及业务系统或数据的变更应由科技部门和业务部门共同签准。未经审批的操作导致越权，直接对系统安全导致威胁。级别保护-系统运维管理-变更管理：c) 应建立变更控制的申报和审批文献化程序，变更影响分析应文档化，记录变更实行过程，并妥善保存所有文档和记录。ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-操作系统变更后的技术评审：当操作系统变更后， 应评审并测试核心的业务应用系统， 以保证变更不会对组织的运营或安全产生负面影响。72实行过程变更前对变更程序进行测试；变更前对系统进行备份；变更实行后进行验收测试。没有通过测试的变更也许导致系统中断；缺少验证的变更无法精确的评估其有效性和安全性。ISO27001-信息系统的获取、开发和维护-开发和支持过程的安全-变更控制程序：应通过正式的变更控制程序，控制变更的实行。73回滚筹划所有变更都应建立失败后的恢复筹划。变更前的系统状态无法及时恢复。级别保护-