银行安全沟通

,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Unit of measure,*,Source:,*,XX,银行,信息安全体系建设思路汇报,ITIL EXPERT,、,CISSP,、,CISA,1,国内安全服务现状,大约,50%,的,安全,服务合同不能以让客户满意的方式提交,。,千万不要成为这个统计数字中的一个,!,2,信息安全占IT总投资的份额,占,GDP,的百分比,3,IT运营十大问题,20,的原因是技术方面的，,80,的原因是管理方面的,病毒攻击（,57.1%,）,缺乏有效的监控制度和手段（,51.7%,）,IT,设备本身的性能问题（,41.1%,）,应用系统,/,数据库本身存在,Bugs,（,39.2%,）,员工缺少技能培训（,37.5%,）,维护不及时或缺乏有计划的维护（,35.7%,）,缺少总体规划,/,重复建设（,33.9%,）,不同部门的,IT,人员之间缺乏协调（,32.1%,）,缺少运营管理方法论的指导（,30.4%,）,员工不按规定,/,流程操作（,28.6%,）,数据来源：翰纬,IT,管理研究咨询中心，,2004,4,信息安全的三个发展阶段,5,按需定制可,管理,可衡量,：,交付,特定,的结果,有效（,Effective,）,有效率的（,Efficient,）：用最小的努力和,成本,法律法规的遵从,ROI,（投资回报率）：保证回报能保证投资的增益。,ROI=,（,避免风险节省下的费用,+,节省下的重复投资）,/,成本,信息安全的目标与价值,6,信息安全威胁带来的损失,分析和结论：,和,2009,年,的情况相似，病毒和恶意软件是去年导致中断最主要原因，第二位的是系统失败和数据中断,大型企业业务中断平均是,2-5,天，平均每次中断恢复总成本是,200,000-380,000,，平均的直接财务损失是,25,000-40,000,，平均间接损失是,15,000-20,000,。被调查的最严重的间接损失高达,500,000,。最大的损失是来自企业声誉的损失。尤其媒体对大型企业的安全事件非常关注，一旦发生事件，很容易被媒体进行宣传报道，造成恶劣的企业声誉影响，这是用财务成本无法估算的。,事件导致业务中断的程度,非常严重中断,中断,小中断,微小中断,没有,少于一天,一天到一周,一天到一月,超过一个月,33%,4%,4%,0%,1%,9%,8%,1%,1%,13%,10%,3%,2%,11%,1%,1%,0%,恢复事件花费的成本,1000,英镑,2010,年大企业,2010,年小企业,2008,年总体,2006,年总体,10,000,英镑,50,000,英镑,100,000,英镑,250,000,英镑,500,000,英镑,超过,500,000,英镑,直接财务损失,2010,年大企业,2010,年小企业,2008,年总体,2006,年总体,1000,英镑,10,000,英镑,50,000,英镑,100,000,英镑,250,000,英镑,500,000,英镑,超过,500,000,英镑,间接财务损失,2010,年大企业,2010,年小企业,1000,英镑,10,000,英镑,50,000,英镑,100,000,英镑,250,000,英镑,500,000,英镑,超过,500,000,英镑,信息安全对企业声誉破坏,2010,年大企业,2010,年小企业,2008,年总体,2006,年总体,没有媒体报道，但客户抱怨,一些媒体报道，影响声誉,媒体扩散报道，产生负面声誉,7,信息安全实施思路,信息安全治理与组织,信息安全技术体系,信息安全管理体系,信息安全运营,商业银行信息科技风险管理指引,ISO27001,业务风险,法律风险,财务风险,市场风险,8,信息安全与服务管理的结合,持续性管理,用户,客户,应用管理,服务级别管理,财务管理,能力管理,可用性管理,配置管理,变更管理,安全管理,事件管理,问题管理,服务台,网络管理,CRM,服务支持,服务提供,发布管理,9,安全和业务流的结合,10,CSF,的,RACI,模型进行控制,11,安全管理是不是一个孤立的过程。它始终是,IT,和业务管理的一部分,。,尽可能通过,ITSM,的流程是执行安全管理任务,。,每个,ITSM,过程中的任务，都应兼顾安全方面。但对这些任务的控制,，,应有集中式,的安全管理程序。,许多与安全有关的问题源于执行较差流程。,日常业务运作没有,妥善规划。这可能降低整体安全性。,安全常被视为功,能性的任务。,ITSM,包含所有必要的最佳做法流程，涵盖所有日常业务活动。这使得与,ITSM,成为维持较安全的环境的基础。,ITIL,的允许,IT,运营团队在,IT,服务的整个生命周期，评价,IT,服务解决方案的绩效和变化。,ITIL,以人、流程、技术为基础的生命周期，来看待,IT,服务。,结构化过程,质量关注,业务关注,isms,和流程的结合,12,服务水平管理,ITSM目标,安全控制,提供与业务的接口，使得,IT,组织提供的,IT,解决方案，是否符合规定的业务要求，并在可接受的成本内。,定义、商定、记录和管理服务水平,组织的信息安全方针，包括一般的安全性原则。,容量,管理,ITSM目标,安全控制,确保,IT,基础设施的容量满现在和将来的业务需求。,尽量避免因无计划的载荷导,致系统发生故障。,确保所有的负载都是正常的。,控制及预防非预期的容量消,耗。,isms,和流程的结合,13,可用性,管理,ITSM目标,安全控制,确保商定的,IT,服务满足业务的可用性要求。,找出可用性相关的风险，如单点故障。,设计和实施控制措施，已尽,量减少可用性风险。,配合事件处理流程，管理信,息安全相关的事件。,IT,服务连续性管理,ITSM目标,安全控制,负责管理一个组织的持续提,供已商定的,IT,服务的能力。,确定和优先关键业务流程以及相关的威胁和脆弱性（风险管理）。,测试，维护和重新评估业务,持续性计划。,isms,和流程的结合,14,配置,管理,ITSM目标,安全控制,定义和控制,IT,服务和基础设,施的组件，并保持信息的准,确。,维护对组织资产的适当保护,识别不同类型的资产,标识和处理信息资产,变更,管理,ITSM目标,安全控制,确保标准化方法和程序用于,高效率和迅速处理所有的变,更，以尽量减少变更的影响。,通过风险评估，估计变更的,潜在影响。,防止因变更带来的数据丢失、,损坏或业务的中断。,isms,和流程的结合,15,事件,管理,ITSM目标,安全控制,尽可能快的恢复正常服务运,作。,尽量减少因信息安全事件带,来的损失，并监测和了解,这类事件。,建立正式的流程报告和处理,事件。,问题,管理,ITSM目标,安全控制,通过识别和分析事件和事故,的根本原因，并进行相应的,格离，以尽量降低对业务的,影响。,尽量减少因信息安全事件带来的损失，并监测和了解这类事件。,isms,和流程的结合,16,发布,管理,ITSM目标,安全控制,提交、分发和跟踪一个或多,个针对运行环境的变更。,新的信息服务和系统进行风险评估。,为新的信息系统和服务，确定安全要求并概述安全体系结构和详细规格。,确定变更的影响边界。,为新信息系统的运营定义控制措施，以确保系统的完整性。,定义验收新服务的准则。,isms,和流程的结合,17,安全实施的要点：,信息安全不是一蹴而就,18,实施步骤,19,组织建立,ISO27001,信息安全方针,信息安全组织,资产管理,人力资源安全,物理和环境安全,通讯和运营管理,信息系统获得、开发和维护,信息安全事件管理,业务连续性管理,法律法规遵从,风险导向（主动）,信息安全由,CSO,直接负责,首先建立和优化信息安全体系,由业务和,IT,共管,有与风险平衡的安全预算,基于风险而整合的基础设施,使用,主动性安全技术,国际主流管理模式,最佳实践,商业银行信息科技风险管理指引,落实,IT,、风险管理部门和各级业务信息安全管理责任制，督导、检查各业务单元的信息安全管理工作。,华润信息安全管理组织,设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。,确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。,20,华润银行信息安全委会,主任：副行长,成员：副行长、各业务单元、企管、风险管理、人力、信息部负责人,责任：负责整个银行信息安全的领导和决策工作,华润银行信息安全委员会秘书处,成员：信息部安全组、各功能部门、各业务单元信息部经理,责任：负责华润银行的信息安全工作的协调，保障华润信息安全组织体系的日常运转。,各支行信息安全管理委员会,主任：支行主管领导,成员：支行信息安全负责人、支行各业务部门信息安全责任人,责任：负责在本支行推动、落实集华润银行的信息安全工作,总行各功能部门信息安全专员,成员：各功能部门信息安全负责人,责任：负责在本功能推动安全制度落实、安全培训、安全系统建设等工作。,核心文件,配套附件,1.,华润银行人员信息安全职责说明,2.,*,*,年度华润银行信息安全指标,3,1.,华润银行信息安全管理组织结构和人员责任管理办法,2.,华润银行责任矩阵,示例,21,文档落地,业务目标,1,2,参照,ISO27001,信息安全方针,信息安全组织,资产管理,人力资源安全,物理和环境安全,访问控制,通讯和运营管理,信息系统获得、开发和维护,信息安全事件管理,业务连续性管理,法律法规遵从,最佳实践,责任分解,3,4,形成责任制度文件,华润信息安全责任制度文件,22,流程分解到控制项,23,控制项分解到部门,1.,由业务目标进行分解,2.,识别业务风险控制点,3.,风险管控手段,4.,各业务部门应该承担的责任,5.,支持部门应该,承担的责任,示例,24,落地到技术工具细节,防火墙,IDS,主机,身份管理,扫描器,防毒,异常流量,业务安全需求,安全风险评估策略,人员安全管理,需求,/,架构,/,研发,/,测试安全控制,外包管理,安全事故处理流程,问题管理流程,业务连续性管理,安全技术产品及管理规定,信息安全组织,ITIL,25,落地到人员管理（举例）,人员职责分离,物理主机和机房管理人员与其他职能之间职责分离,梳理数据备份流程，涉及备份操作的各类人员之间适当做到职责分离,网络管理人员与服务器管理人员职责分离,操作系统和数据库管理员职责分离,访问方式优化,划分网络安全区域,建立物理上和网络上相对独立的管控中心操作中心,充分利用代理机堡机提升安全水平,对安全配置进行整体性监控和管理,安全培训,26,落地到供应商支持（举例）,外包开发,在场外包开发,1,、外包方人员控制。非本项目员工，包括外包方高层都不允许进入工作区；,2,、工作区的所有物理出口均被有效封闭；,3,、,CCTV,不间断监视；,4,、工作区网络的路由器、交换机设备，均由银行提供提供，并仅与银行的网络互连，物理上切断了与其他网络的连接；,5,、监控网络流量；,6,、设备和外设控制，例如外包方员工的私人电脑、,U,盘、照相机、手机,27,建立健全监控和事后审计平台与机制,所有系统的授权必须审计，包括操作系统层次、数据库层次、应用层次,所有层次的特权用户的操作必须审计,重要业务应用系统的用户操作必须审计,建立和优化统一的日志审计平台,落地到审计（举例）,28,谢谢！,29,