银行安全评估共30页

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 巴塞尔银行监管委员会。 – 中国银监会 。
• 我行初步完成了电子银行系统开发与建设,需要了解系统安全状态。
– 安全所处的位置。 – 与相关行业规章制度标准指南的符合性。
1
项目概述>>>目标
• 掌握电子银行系统的应用及安全状况; • 按照银监会相关要求完成电子银行系统的安全评估; • 提出改进建议或方案。
5
实施方案>>>评估总体思路
作为机构IT业务应用系统之一,电子银行系统需要与其它业务应用系统一 起纳入机构全面的风险管理体系中。电子银行风险评估涉及三个层面:
• 业务层面(业务流程建设、业务操作)
– 业务流程建设(流程基本评估) – 业务应用控制(与业务有关的IT控制,需要分解流程步骤,针对每一步进行) – 业务控制(需要分解流程步骤,针对每一步进行)
• 评估方法
– 审查开发与获取流程; – 审阅与电子银行相关的资料文档。
11
实施方案>>>安全管理评估(续)
信息安全管理评估
• 目标 – 检查电子银行日常安全管理制度是否完善,各项安全制度是否 得以落实。
• 系统平台层面(与电子银行相关的系统平台,即IT基础设施)
– 应用支撑平台(如果物理、网络、系统平台、数据库等) – 应用系统
• 与电子银行相关的总体层面(IT管理层面,这个层面是为所有IT业务应用系统服 务的,因此会影响到电子银行系统)
– IT治理环境(含组织架构) – 风险管理或控制框架(控制环境、风险评估、信息沟通、监控等) – 系统规划与建设(生命周期管理,主要是开发与获取) – 日常运维管理(日常的事件管理、变更/发布管理、巡检、及其它操作如:备份、监控,定期报告等) – 业务持续性计划(BCP) – 外包管理 – 信息安全管理
– 支撑平台
• 物理环境(物理环境、机房环境、介质与设备安全); • 网络平台(网络结构、网络管理、网络安全); • 系统平台(业务主机、操作系统安全、数据库安全等)。
– 应用系统安全
• 身份鉴别与访问控制; • 交易安全; • 数据安全(传输、处理、存储); • 密钥安全; • 输入输出合法性/异常处理/日志与审计; • 系统可用性。
• 业务风险评估
– 业务流程建设; – 业务应用控制; – 业务控制。
7
实施方案>>>安全管理评估
安全策略评估 • 目标
– 评估当前电子银行相关安全方针与策略是否完备,已有的策略是否得到了 有效的执行。
• 评估要点
– 安全策略制定的流程与合理性; – 与电子银行相关的总体(战略)规划;
– 与电子银行系统相关的风险管理策略;
– 与电子银行系统相关的开发与获取策略;
– 与电子银行系统安全管理及内部控制相关的策略; – 与电子银行系统相关的运维管理策略;
– 与电子银行系统相关的业务持续性与应急安全策略;
– 与电子银行有关的外包管理策略;
– 客户信息安全策略。
• 评估方法
– 安全策略文档审阅;
– 安全策略部署检查。
8
实施方案>>>安全管理评估(续)
9
实施方案>>>安全管理评估(续)
风险管理评估
• 目标
– 检查电子银行是否建立和实施了一套完整的对运行中涉及的各类风险进行识 别、监测、衡量和控制的风险管理制度。
• 评估要点
– 电子银行风险管理部门主要负责人对电子银行风险的熟知程度; – 电子银行风险管理的规章制度与操作规定、程序等。包括:
• 风险模型定义; • 相关职责划分/人员安排; • 与目标设定、风险识别、风险评估、风险控制以及风险监测相关的流程及操作程序。
项目概述>>>背景
• 电子银行带来的发展机遇与挑战。
– 服务触角向客户延伸,拓展了业务渠道,极大地方便了客户。 – 新技术的运用增加了一些传统风险,同时带来了另外一些新的风险。
• 战略风险 • 信用风险 • 流动性、利率、价格/市场风险 • 交易或操作风险 • 符合性/法律风险 • 声誉风险
• 为管理电子银行安全风险,一系列行业规章制度标准指南出台。
6
实施方案>>>评估内容
• 安全管理评估(策略、组织架构、制度)
– 安全策略(电子银行系统整个生命周期的策略建设); – 组织架构与人员安排(与电子银行系统相关组织建设与人员安排); – 管理制度建设(与风险管理、开发与获取、安全管理、运营管理、内部控制、应
急响应、业务连续性、外包等)。
• IT基础设施安全评估
– 电子银行业务风险管理状况。
• 评估方法
– 对所建立的电子银行风险管理模型及框架进行检查; – 与电子银行有关的风险管理制度及执行情况检查; – 对其他方面的检查。
10
实施方案>>>安全管理评估(续)
开发与获取评估 • 目标
– 检查电子银行系统的开发与获取过程是否得到适当的控制。
• 评Hale Waihona Puke Baidu要点
– 与开发及获取相关的职责安排,组织架构是否合理; – 开发及获取的标准、方法论及实践; – 电子银行系统质量保证过程; – 开发及获取变更控制过程; – 电子银行系统补丁与发布管理; – 与电子银行相关文档的管理与控制。
2
项目概述>>>评估参考依据
• 国家标准 – 《信息安全风险评估指南》 – 《信息安全风险管理指南》
• 银监会规章制度指南 – 《商业银行内部控制评价办法》 – 《银行业金融机构信息系统风险管理指引》 – 《银行业金融机构内部审计指引》 – 《电子银行业务管理办法》 – 《电子银行安全评估指引》
• 其它相关 – 《电子银行风险管理原则》 (巴塞尔银行监管委员会) – BS7799/ISO27000系列
组织架构与人员安排评估 • 目标
– 评估与电子银行管理相关的机构与人员设置是否合理。
• 评估要点
– 组织机构设置的合理性与协调性(包括系统管理/风险管理 /审计部门);
– 人员配备(体现制约关系); – 人员技能与培训。
• 评估方法
– 岗位职责审阅; – 安全意识/技能/培训访谈; – 对工作人员资格情况的检查。
3
项目概述>>>范围
• 组织范围
– 总部
• IT部门、业务部门?风险管理部门?审计部门?
– 分支机构?
• 系统范围
– 网上银行
• 信息网站 • 交易网站
– ATM? – 手机银行? – 自助银行 – 电话银行?
• 工作范围
– 电子银行安全评估 – 电子银行安全及风险控制体系建议
4
提纲
• 项目概述 • 实施方案 • 时间及人员安排
相关文档
最新文档