银行科技外包厂商信息安全培训课件

合集下载

银行信息安全意识培训课件(1)

银行信息安全意识培训课件(1)
在数字时代，银行信息安全意识至关重要。本课程将讨论信息安全的重要性、银行信息安全的威胁、常见的信息安全攻击方式以及保护银行信息安全的措施。
信息安全的重要性
了解信息安全的重要性对保护银行和客户的财务安全至关重要。数据泄露和黑客攻击可能导致资金损失和声誉风险。
银行信息安全的威胁
银行面临各种信息安全威胁，包括网络钓鱼、恶意软件、数据泄露和内部威胁。了解这些威胁可以提高我们对潜在风险的认知。
常见的信息安全攻击方式
黑客使用各种攻击方式来入侵银行系统，如网络钓鱼、恶意软件、网络攻击和社交工程等。学会识别这些攻击方式是至关重要的。
保护银行信息安全的措施
保护银行信息安全的措施包括强密码的使用、定期更新软件、安全的网络连接、数据备份以及培训员工保护信息安全等。
信息安全责任与义务
每个银行员工都有责任和义务保护客户的信息安全。了解信息安全的责任和义务对于减少风险和保护银行声誉至关重要。
ቤተ መጻሕፍቲ ባይዱ
信息安全培训与教育
通过信息安全培训和教育，可以提高员工对信息安全的认识和技能，减少内部安全漏洞，并建立一个安全的工作环境。
信息安全意识培训课件总结
通过本课件，我们了解了信息安全的重要性、银行信息安全的威胁、常见的信息安全攻击方式以及保护银行信息安全的措施。

银行信息安全意识培训课件.

绝对的安全是不存在的！
21
关键点：信息安全管理
技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动
现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的
2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄

漏，导致美国多家军工企业信息系统受到严重威胁； 3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索尼等多家机构，引起国际社会广泛关注； 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗； 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站； 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失； 7、美联合航空电脑故障，全国服务大乱； 8、腾讯网大面积访问异常； 9、新浪微博病毒大范围传播； 10、Comodo等多家证书机构遭到攻击，攻击者得以伪造 google等多家知名网站证书，使互联网安全遭遇严重威胁；
具有价值的信息资产面临诸多威胁，需要妥善保护
14
什么是信息安全
采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。
15
信息安全基本目标
C I A
Onfidentiality（机密性） Ntegrity（完整性） Vailability（可用性）
理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实

银行保险行业信息安全培训课件

路电？两路电是否一定是两个输电站？有没有UPS？ UPS能维持多久？有没有备用发电机组？
备用发电机是否有充足的油料储备？
另一个与物理安全相关的案例
25
安全事件（1）
26
安全事件（2）
27
安全事件（3）
28
安全事件（4）
29
安全事件（5）
30
安全事件（6）
用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中 exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
物理环境中需要信息安全
ATM诈骗三部曲
在自助银行入口刷卡器下方粘上一个黑色小方块，叫“读卡器”，罩上一个加长的“壳”，把银行的刷卡器和读卡器一起藏在里面，一般人很难发现。取款人在刷卡进门时，银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。
在取款机窗口内侧顶部，粘上一个贴着“ATM”字样的“发光灯”。这个 “发光灯”是经过特殊改造的，里面用一块手机电池做电源，连接两个灯泡，核心部分则是一个MP4。取款人取款时的全过程被犯罪分子装的“针孔摄像机”进行了“实况录像”。
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示，中国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企业44%的信息安全事件与数据失窃有关，而全球的平均水平只有16%。普华永道的调查显示，中国内地企业在改善信息安全机制上仍有待努力，从近年安全事件结果看，中国每年大约98万美元的财务损失，而亚洲国家平均约为75万美元，印度大约为30.8万美元。此外，42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。

银行业信息安全解决方案-PPT课件

8
广东省电子商务认证中心 2021/7/22
信息传递的平安解决方案
对于物理层，主要通过制定物理层面的管理标准和措施来提供平安解决方案对于网络接口层，主要通过线路加密机对数据加密保护。它对所有用户数据一起加密，加密后的数据通过通信线路送到另一节点后解密对于网际层，主要通过IP密码机来保证网络层数据传输的平安性对于传输层，主要通过SSL协议和VPN技术来保证传输层平安对于应用层，可以采用节点式密码机来保证应用数据的保密性
广东省电子商务认证中心 2021/7/22
银行业信息平安解决方案
主要内容
银行业目前存在的平安隐患银行业信息平安解决方案成功案例
2
广东省电子商务认证中心 2021/7/22
信息网络平安体系示意图
客体＿被管理的对象(组织、人、事、文件等)规管理主体领导文秘财务业务业务 …… 则
5
广东省电子商务认证中心 2021/7/22
业务系统的平安隐患
据ICSA统计，来自计算机系统内部的安全威胁高达60％
非法用户进入系统及合法用户对系统资源的非法使用
被非法用户截获敏感数据非法用户对业务数据进行恶意的修
改或插入数据发送方在发出数据后加以否认
或接收方在收到数据后篡改数据
银行内部无纸化办公，客户账单电子签收等
24
广东省电子商务认证中心 2021/7/22
广东省电子商务认证中心 2021/7/22
应用文档电子签名与加密
25
平安电子邮件
功能：确认电子邮件发送者身份确保电子邮件内容真实性确保电子邮件内容完整性确保电子邮件内容机密性确保电子邮件内容不可抵赖
网上银行平安解决方案说明

【建设银行内部培训】信息技术与信息安全培训课件

黑客攻击
计算机病毒网络钓鱼
木马
社会工程学
拒绝服务攻击
企业信息系统/数据
机密性完整性可用性
信息安全事件分析
信息安全事件-外部攻击案例分析
案例分析： 2011年1月，中国银行遭受短信+网络钓鱼攻击，多达5万客户网银账号、密码、动态口令等关键信息被钓，导致许多客户资金被转走，总计损失达几千万。
目录
1
1 2
2
1 2 3
信息技术
分行部实门施简协介调组
总行
负责全行信息技术规划编制、政策标准制定、计划审核、基础设施建
设和管理、应用开发、信息系统运行管理、信息安全管理的职能部门。信
息技术管理部负责管理总行6个开发中心（北京、上海、厦门、广州、成
都、深圳）、两地三中心（北京、武汉）及香港支持中心等10个中心。
二识差：意识+常识
目录
1
1 2
2
1 2 3
信息安全事件分析
信息安全事件分类
外部攻击事件
– 信息泄露：利用系统漏洞获取信息、冒充合法机构骗取信息； – 信息篡改：利用账号非法篡改信息、利用系统漏洞篡改信息、利用木马
篡改信息、攻击Web网站篡改网页信息； – 破坏系统可用性：拒绝服务攻击、病毒蠕虫攻击等；
真网址： boc
假网址： boczha
信息安全事件分析
信息安全事件-外部攻击案例分析案例分析：假冒我行网银的网络钓鱼攻击
黑客群发短信诱骗客户登录钓鱼网站： “尊敬的建行客户，我行网银盾全面升级，请及时登陆 ccbkb 进行升级”。
只要客户访问，网站即弹出提示“我行个人网银系统即日起至 26日升级，系统将自动下载网银盾升级安全组件，请双击运行按提示完成升级”。

信息安全意识培训ppt课件

04
信息安全风险
内部威胁
内部人员泄密
由于内部人员疏忽或故意泄露敏感信息，导致企业面临重大风险。
误操作
员工不慎操作失误可能导致数据丢失或系统损坏。
滥用权限
员工滥用权限进行非法操作，如未经授权访问敏感数据或系统。
外部威胁
网络攻击
黑客利用漏洞或恶意软件对企业网络进行攻击，窃取数据或破坏
系统。
此外，信息安全还面临着合规性要求、人员安全意识薄弱等挑战。
02
信息安全意识
信息安全意识的概念
信息安全意识是指对信息安全的认识和理解，以及在日常生活和工作中对信息安全的关注和重视。
信息安全意识包括对个人信息保护、网络威胁、数据安全等方面的了解，以及在实际操作中采取安全措施来保护信息的机密性、完整性和可用性。
定期进行安全审计
安全审计
01
定期对计算机系统进行安全审计，检查潜在的安全隐患和漏洞
。
安全日志
02
收集和分析安全日志，了解系统遭受的攻击和异常行为。
安全漏洞修复
03
及时修复安全漏洞，提高系统的安全性。
安全培训与意识提升
安全培训
组织定期的安全培训，提高员工的安全意识和技能。
安全意识宣传
通过海报、宣传册等方式宣传信息安全知识，提高员工的安全意识。
安装安全软件
安装防病毒软件、防火墙等安全软件，及时更新软件版本和病毒库。
THANKS
感谢您的观看
定期更新
及时更新防病毒软件的病毒库，以便快速识别和清除新出现的威胁。
实时防护
启用实时防护功能，对计算机上的文件进行实时监控，防止病毒的传播。
数据备份与恢复计划

银行从业-外包风险管理、信息科技风险管理

第40讲外包风险管理、信息科技风险管理第六节外包风险管理一、外包的定义及原则1.外包的定义•外包是指商业银行将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为•服务提供商包括独立第三方，商业银行母公司或其所属集团设立子公司、关联公司或附属机构。

•外包不能消灭风险，但通过将该业务的管理置于经验和技能更丰富的第三方手中，可以降低商业银行原有风险2.外包应遵循的原则•董事会和高级管理层承担外包活动的最终责任•制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系•根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围•对于战略管理、核心管理以及内部审计等职能不宜外包★★二、外包风险管理主要框架★★二、外包风险管理主要框架（一）商业银行外包管理组织结构1.董事会•审议批准外包的战略发展规划•审议批准外包的风险管理制度•审议批准本机构的外包范围及相关安排•定期审阅本机构外包活动相关报告•定期安排内部审计，确保审计范围涵盖所有的外包安排应用分析【真题演练·多选】下列关于董事会的说法正确的是（）。

A．审议批准外包的战略发展规划B．审议批准外包的风险管理制度C．制定外包风险管理的政策、操作流程和内控制度D．审议批准本机构的外包范围及相关安排E．确定外包业务的范围及相关安排【答案】ABD【解析】董事会负责审议批准外包的战略发展规划；审议批准外包的风险管理制度；审议批准本机构的外包范围及相关安排；定期审阅本机构外包活动相关报告；定期安排内部审计，确保审计范围涵盖所有的外包安排。

2.高级管理层•负责制定外包战略发展规划•制定外包风险管理的政策、操作流程和内控制度•确定外包业务的范围及相关安排•确定外包管理团队职责，并对其行为进行有效监督3.外包管理团队••向高级管理层提出有关外包活动发展和风险管控的意见和建议•在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施应用分析【真题演练·多选】商业银行外包管理的组织架构包括（　）。

信息安全(培训课件)

恶意软件的威胁
恶意软件定义：指故意在用户电脑上安装后门、收集用户信息的软件
威胁行为：窃取用户个人信息、破坏系统安全、干扰用户操作等
常见类型：木马、蠕虫、间谍软件等
防范措施：安装杀毒软件、定期更新系统补丁、不随意下载未知来源的文件等
钓鱼攻击的危害
攻击者通过伪造电子邮件、网站等手段，诱骗用户点击链接或下载恶意附件，进而窃取个人信息或安装恶意软件
定期进行安全审计与风险评估
强化员工安全意识教育与培训
制定应急预案以应对信息安全事件
确定应急预案的目标和原则
分析潜在的安全风险和威胁
制定应急响应流程和措施
定期进行演练和评估
THANK YOU
汇报人：
最佳实践：定期审查和更新访问控制策略，确保其与组织的业务需求和安全要求保持一致；实施多层次的安全控制，降低安全风险。
备份数据的必要性
数据备份是防止数据丢失和保障信息安全的重要措施。
定期备份数据可以确保数据的完整性和可恢复性，避免因意外情况导致数据丢失或损坏。
数据备份可以帮助用户快速恢复数据，减少因数据丢失造成的损失和影响。
美国国家标准与技术研究院（NIST）发布的关键基础设施网络安全框架（CNCF）
欧洲联盟（EU）发布的一般数据保护条例（GDPR）
国际电信联盟（ITU）发布的信息安全管理体系（ISMS）
信息安全合规性的实施与监管
信息安全法规的制定与实施
企业信息安全合规性要求
监管机构对信息安全的监管职责
定期进行信息安全培训与演练
培训内容：包括网络安全、数据保护、密码学等
培训对象：全体员工，特别是管理层和技术人员

银行网络安全与信息保护措施培训课件

加密存储
采用数据库加密、文件加密等技术，确保敏感信息在存储过
程中的保密性。
数据脱敏
对敏感信息进行脱敏处理，如替换、扰动、匿名化等，以降
低数据泄露的风险。
泄露检测与响应
建立泄露检测机制，及时发现和处理数据泄露事件，减轻泄
露造成的影响。
04
网络安全风险评估与应对
风险评估方法论述
01
02
03
定量评估法
入侵检测与防御系统（IDS/IPS）
01
IDS/IPS定义
入侵检测系统（IDS）和入侵防御系统（IPS）都是用于监控网络或系统
活动的安全设备，它们能够识别并防御各种网络攻击和恶意行为。
02
IDS/IPS作用
IDS和IPS可以实时监测网络流量和系统事件，发现异常行为并及时报警
或采取防御措施，从而保护网络和系统的安全。
运用数学方法，将网络系统的风险进行量化分析，通过计算风险指标来评估网络的安全性。
定性评估法
根据专家经验、历史数据等信息，对网络系统的风险进行主观判断和分析。
综合评估法
将定量评估和定性评估相结合，综合考虑多种因素，形成全面、客观的风险评估结果。
常见网络攻击手段剖析
钓鱼攻击
恶意软件攻击
03
IDS/IPS类型
根据检测原理和应用场景，IDS可以分为基于签名的IDS和基于异常的
IDS；IPS可以分为基于主机的IPS、基于网络的IPS和混合型IPS等。
加密技术与数据传输安全
加密技术定义
加密技术是一种将明文信息转换为密文信息的技术，以保护数据在传输和存储过程中的机密性和完整性。
加密技术作用
重要性

银行信息科技简介-新员工培训幻灯片PPT

信息化职能
信息化
管理
职能
信息科技治理的目标：确保必要的资源投入，使信息科技战略与银行战略一致。
职能
职能
应用架构各应用系统之间的相互配合关系，由业务流程驱动。技术架构技术标准、技术体系、根底软件、灾难备份根底架构主机、网络、存储、云数据架构数据的分布、集中、传输、备份、使用、管控平安架构包括平安技术与平安管理两个方面，其中平安技
风险
信息科技风险三个因素、八个源头
自然灾害
系统故障设计缺陷
内部管理运营效劳日常维护更新用户使用外来入侵与破坏
风险
特征
破坏性强
影响面广
隐蔽性高
专业性强基于上述风险来源及特点，银行必须建立风险事前防范、事中控制、事后监视和纠正的机制，才能有效防范各类风险、降低损失。
Page 9
风险
风险
指定PC平安标准来配置，必须符合补丁和防病毒管理规定
信息平安
➢ 6、防范病毒和恶意代码 ➢ 病毒：传统的计算机病毒，具有自我繁殖能力，寄生于其他可
执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进展扩散和感染
➢ 蠕虫：网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散
信息平安
➢ 8、介质平安管理 ➢ 重要信息备份，确保介质平安。 ➢ 9、警觉社会工程学 ➢ 人是最薄弱的环节,如果没有戒心，很容易被人利用。不能保
守秘密，口无遮拦，上当受骗，泄漏敏感信息 ➢ 10、应急响应和业务连续性方案 ➢ 认真学习掌握业务系统的应急流程，遇到突发事件能快速有效
的进展处置。 ➢ 11、法律法规 ➢ 刑法 ➢ 计算机信息系统平安保护条例 ➢ 计算机病毒防治管理方法 ➢ 计算机信息网络国际联网平安保护管理方法 ➢ 保守国家秘密法 ➢ 国家平安法

《信息安全培训》PPT课件

定义：确保信息的完整性和未经授权不能篡改
防止非法篡改：加强系统安全性，使用防火墙、入侵检测系统等
添加标题
添加标题
添加标题
添加标题
防护措施：加密技术、数字签名等
完整性检查：对数据进行完整性检查，确保数据未被篡改
确保信息在需要时是可用的
防止未经授权的访问和篡改
保护信息的安全性和完整性
确保信息在正确的时间和地点可用
成本效益分析：对培训的成本和效益进行比较分析，评估培训的投入产出比。
培训后进行知识测试，确保学员掌握所学内容
定期对学员进行回访，了解他们在工作中应用所学的情况
根据测试和回访结果，对培训课程进行改进和优化
鼓励学员提出建议和意见，以改进培训课程
培训课程：定期组织信息安全培训课程，提高员工的安全意识和技能。
备份数据：定期备份数据，防止数据丢失
加密数据：对重要数据进行加密，防止数据被窃取或篡改
访问控制：设置访问控制，限制用户对系统的访问权限
信息安全培训的内容
什么是计算机安全计算机安全使用的重要性常见的计算机安全威胁如何保护计算机安全
网络安全法：了解网络安全法相关法律法规，提高员工法律意识。网络安全意识：培养员工对网络安全的重视程度，提高防范意识。网络安全技术：教授员工如何使用网络安全技术，保护企业信息安全。网络安全管理：介绍网络安全管理体系，确保企业信息安全。
挑战：网络攻击不断升级，威胁企业信息安全应对策略：加强员工安全意识培训，提高安全防范能力挑战：信息安全培训成本高昂，部分企业难以承受应对策略：采用低成本、高效率的培训方式，如在线培训、模
拟演练等挑战：信息安全培训内容更新缓慢，难以跟上技术发展步伐

《银行信息安全培训》课件

总结和建议
1 定期评估
不断评估和改进公司的信息安全策略和措施。
2 紧急响应计划
建立完善的安全事件响应计划，以迅速应对突发事件。
3 保持更新
关注最新的安全威胁和防御技术，保持安全意识。
1 网络防火墙
过滤恶意流量和保护内部网络，阻止未经授权的访问。
2 安全更新
定期更新操作系统和软件，修复已知的安全漏洞。
3 培训员工
教育员工如何识别和应对网络攻击和欺诈行为。
员工培训和意识提升
定期培训
为员工提供信息安全培训，增强其识别和应对威胁的能力。
钓鱼攻击意识
提高员工对钓鱼攻击的认知，减少泄露敏感信息的风险。
止数据泄露。
3
严格访问控制
采用身份验证和权限管理，限制对敏感信息的访问。
实时监测
部署安全监控系统，及时发现并应对安全事件。
密码和身份验证
密码强度
创建强密码并定期更换，以防止破解和盗用。
双重身份验证
使用双重认证用指纹或面部识别等生物特征进行身份验证。
网络安全和防御
银行信息安全培训
保护银行和客户的信息安全是至关重要的。了解信息安全的重要性、常见的威胁，以及保护措施，将有助于我们避免风险和降低损失。
信息安全的重要性
1 保护客户数据
确保客户的个人和财务信息得到妥善保护，增强客户的信任和忠诚度。
2 防止金钱损失
避免遭受欺诈、侵入和黑客攻击等威胁，从而减少金钱损失。
3 维护声誉
信息泄露或安全漏洞可能导致糟糕的公共形象和声誉损失。
常见的信息安全威胁
网络钓鱼
骗取客户的个人信息和登录凭证，以获取非法利益。
恶意软件
病毒、间谍软件和勒索软件等威胁，可能导致数据丢失和系统瘫痪。

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

➢ 外包人员安全管理
在签订外包服务合同后，对外包服务团队人员进行安全培训，外包服务团队人员必须了解信息安全的涵义和信息安全领域的基本概念，以及银行的外包安全管理规定，减少人为的操作风险。
➢外包访问控制管理项目资源访问权限申请
外包管理团队（项目经理或负责相关外包活动的负责人）应明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，由外包管理团队对外包人员进行访问授权申请，填写项目资源访问控制清单后提交银行相关部门安全评估。评估通过后由项目经理按照此清单向相关部门申请资源。
➢信息保密管理
银行保密信息指所有与业务和经营管理相关的信息，包括但不限于经营管理、业务信息、业务流程、客户信息、技术、财务、统计、商业和人员等所有文件、数据、合同、资料或口头披露的相关信息以及形成的所有文件、数据和资料等信息、以及规格说明、图纸、文件及专有技术等。
服务提供商只能在合同允许范围内使用上述保密信息，防止保密信息被非授权使用。
四、信息安全控制措施
➢信息系统获取、开发和维护
• 信息系统的安全要求：确保安全是信息系统的一个有机组成部分
• 应用中的正确处理：防止应用系统中信息的错误、遗失、非授权修改及误用
• 密码控制：通过密码方法保护信息的保密性、真实性或完整性
• 系统文件的安全：确保系统文件的安全
• 开发和支持过程中的安全：维护应用系统软件和信息的安全
服务提供商接触本行信息时，需履行合同中安全和保密相关职责。
Thanks!
➢信息安全的目标
保证信息的一系列安全属性得到保持、不被破坏，从而达到对组织业务运营能力的支撑作用。
➢信息安全问题根源
内因是信息系统自身存在脆弱性。外因是信息系统面临着众多的威胁
三、信息安全风险
➢ 信息安全风险
风险，指事态的概率及其结果的组合（—— GB/Z 24364-2009《信息安全风险管理指南》）
三、信息安全风险
➢ 风险管理
GB/Z 24364《信息安全风险管理指南》：四个阶段，两个贯穿
背景建立
监
Байду номын сангаас
风险评估
沟
控
通
审查
风险处理
咨询
批准监督
四、信息安全控制措施
➢信息安全控制措施
控制措施是管理风险的具体方法和手段
➢ 控制目标
内部组织：实现对组织内部的信息安全管理外部各方：保持组织被外面各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
➢信息的基本安全属性
• 保密性(Confidentiality)：信息不泄露给未授权的访问者、实体、和进程，或被其利用；
• 完整性(Integrity)：信息在存储或者传输过程中保持未经授权不能改变的特性，即对抗主动攻击，保持数据一致，防止数据被非法用户修改和破坏；
• 可用性(Availability)：信息可被授权者访问并按需求使用的特性，即保证合法用户对信息和资源的使用不会被不合理地拒绝。
➢资产管理
对资产负责：实现和保持对组织资产的适当保护信息分类：确保信息受到适当级别的保护
四、信息安全控制措施
➢ 人力资源安全
任用前：确保雇员、承包方人员和第三方人员理解其工作职责并适合预期角色，以降低设施被窃、欺诈和误用的风险
任用中：确保所有雇员、承包方和第三方人员了解信息安全威胁和危害，明确其工作应承担的安全职责和义务，如果违反安全规定将会受到的纪律处理，通过安全培训使其掌握信息处理设施的安全正确使用方法，以减少人为过失造成的风险
银行科技外包厂商信息安全培训
科技运维部安全管理处
一、培训目的
银监会2013年颁布的《银行业金融机构信息科技外包风险监管指引》第三十八条在外包服务安全管理方面有明确要求，要求对外包人员进行信息安全培训，提高外包人员风险管理意识，确保信息安全管控措施在外包服务过程中有效落实。
二、信息安全基础知识
项目资源访问权限的回收和关闭
外包服务项目结束或外包服务团队人员变更时，外包服务团队人员离开银行前应办理相应的手续，包含如下几个方面，外包服务团队人员应予以配合。 1、及时回收和关闭外包服务团队人员对银行系统资源的访问权限，包含门禁等物理访问权限、网络访问权限、信息系统用户账户及访问权限等。 2、外包服务团队人员变更时需要进行新旧人员的工作交接。
任用的终止或变化：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系，包括调换岗位或岗位职责发生变化
➢ 物理和环境安全
安全区域：防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护
设备安全：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断
四、信息安全控制措施
➢ 访问控制
• 访问控制的业务要求：基于业务目标和业务原则来控制对信息的访问 • 用户访问管理：确保授权用户能够访问信息系统，防止非授权的访问 • 用户职责：防止未授权用户对信息和信息处理设施的访问、危害或窃取 • 网络访问控制：防止对网络服务的未授权访问 • 操作系统访问控制：防止对操作系统的未授权访问 • 应用和信息访问控制：防止对应用系统中信息的未授权访问 • 移动计算和远程工作：确保使用移动计算和远程工作设施时的信息安全
➢ 外包厂商安全评估
在开展外包服务尽职调查过程中，外包厂商应向银行提供安全评估报告，项目经理对外包厂商所提供安全评估报告进行审查。若外包厂商没有银监会外包联合现场检查报告或第三方安全评估报告，则应提供安全自评估报告（应涵盖外包厂商公司信息安全管理概述、信息安全组织架构、人员管理、信息安全管理制度建设情况、信息安全技术保障情况和应急管理等方面的内容）。
信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（—— GB/T 20984-2007《信息安全风险评估规范》）
信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性
➢ 信息安全风险构成：
风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）
➢ 应用安全管理
信息系统项目安全测试阶段，外包厂商人员应向项目组提交项目的源代码，由项目组通过银行代码安全扫描工具检测系统代码安全漏洞，在自动化检查结果的基础上，安全管理处、项目组、代码安全厂商共同进行漏洞影响分析，提出漏洞修复整改建议，项目组应组织外包厂商人员开展整改，安全管理处跟进项目组整改工作的落实，提高软件代码安全性。
• 技术脆弱性管理：降低利用公布的技术脆弱性导致的风险
四、信息安全控制措施
➢符合性
• 符合法律要求：避免违反任何法律、法令、法规或合同义务，以及任何安全要求
• 符合安全策略和标准以及技术符合性：确保系统和业务活动符合组织的安全策略及标准
• 信息系统审核考虑：将信息系统审核过程的有效性最大化，干扰最小化
五、银行外包信息安全管控措施
银行在外包服务项目中将严格执行物理和环境安全管理、人员安全管理、访问控制管理、应用安全管理、外包厂商安全评估管理、信息保密管理等信息安全管控措施，外包厂商必须予以配合，以便信息安全管控措施能够有效落实。
➢ 物理和环境安全管理
外包服务提供商进入安全区域，如确需进入应按照相关制度得到批准，在进入安全区域后其活动应受到监控，对于从事敏感性技术相关工作的人员，应严格审查，包含身份验证和背景调查。