金融行业安全服务解决方案.docVIP

启明星辰金融事业部启明星辰金融事业部 安全服安全服务务解决方案解决方案 Ver 1.0 北京启明星辰信息技术股份有限公司北京启明星辰信息技术股份有限公司 Venus Information technology 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 1 目目 录录 安全服务解决方案安全服务解决方案4 第第 1 章章概述概述.4 1.1需求分析.4 1.2项目建设目标.4 第第 2 章章方案内容方案内容.5 2.1安全管理咨询顾问服务.5 2.1.1进行信息安全管理体系咨询 5 2.1.2协助进行信息安全应急响应演练 6 2.1.3提供定制化的信息安全培训 6 2.1.4提供互联网安全事件应急响应服务 6 2.1.5国内外安全事件技术分析和趋势跟踪 7 2.2安全建设及安全监控外包服务.7 2.2.1风险评估 7 2.2.2提供安全改造咨询 7 2.2.3提供加固技术支持 7 2.2.4提供监控服务 7 第第 3 章章评估理论、方法及模型评估理论、方法及模型.8 3.1相关标准与规范.8 3.1.1评估咨询项目的标准性原则 8 3.1.2方案中标准的体现对照 8 3.1.3相关标准规范介绍 10 COSO 报告内部控制整体框架与 ERM企业风险管理一整体框架10 COBIT信息及相关技术的控制目标 .12 ITILIT 基础架构库.14 ISO27001信息安全管理规范.16 银监会 63 号文银行业金融机构信息系统风险管理指引 .18 Cobit、ISO17799 与 63 号文控制目标对应表.19 3.2安全风险评估策略.32 3.2.1风险管理原则 32 3.2.2建模策略 33 3.2.3信息安全管理 34 3.2.4标准遵循 34 3.3安全风险评估理论模型.34 3.3.1安全风险过程模型 34 3.3.2安全风险关系模型 36 3.3.3安全风险计算模型 36 3.3.4安全风险管理过程模型 38 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 2 第第 4 章章风险评估风险评估.40 4.1资产管理评估.40 4.1.1资产分类调查 40 4.1.2资产安全管理 41 4.2威胁评估.42 4.2.1安全隐患分析 42 4.2.2网络架构威胁分析 43 4.3弱点与漏洞评估.44 4.3.1大规模漏洞检测评估 44 4.3.2渗透性测试 44 4.3.3控制台人工审计 45 4.4网络架构评估.46 4.4.1网络性能与业务负载分析 46 4.4.2访问控制策略与措施分析 47 4.4.3网络设备策略与配置评估 48 4.4.4安全设备策略与配置评估 48 4.5安全控制评估.49 4.6安全管理评估.50 4.6.1安全管理体系评估 50 4.6.2常规安全管理 51 4.6.3应急安全管理 51 4.7业务与应用评估.52 4.7.1业务流程分析 52 4.7.2应用服务与应用系统分析 53 4.8典型安全评估咨询输出.54 4.8.1信息安全现状报告 54 4.8.2信息安全风险评估报告 54 4.8.3信息安全策略建议 55 4.8.4信息安全解决方案建议 56 4.8.5安全培训方案建议书 56 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 3 第第 1 章章 概述概述 1.11.1 需求分析需求分析 随着金融业务的高速发展，对信息系统的要求越来越高。在信息系统建设 的同时，也非常注重信息安全的建设，为了进一步提高信息系统的安全性，依 据长期发展战略，提出了管理制度体系建设、到应急、到网上银行等多个层面 的安全需求，具体包括如下几个方面： 完善信息科技部门信息安全管理体系； 提高信息安全应急响应能力； 提高信息安全人员意识及技术能力； 提高银行自身合规性的能力； 加强对国内外安全事件技术分析和趋势跟踪； 清楚认识网上银行存在的风险，提高网上银行的安全性。 1.21.2 项目建设目标项目建设目标 通过项目建设，达到如下目标： 根据中国银行业监督管理委员会下发的相关信息科技风险管理指引，以 及国际流行的信息安全风险管理规范，结合信息科技发展的实际情况， 进一步完善和细化信息科技风险管理制度和流程； 提高对信息安全的应急能力； 通过培训等手段提高信息科技部技术队伍人员的信息安全意识和技能水 平； 提高符合监管部门监管要求、法律法规的能力； 通过评估网上银行的现状，提出网银安全建设和整改方案，并监控来自 互联网针对网银的攻击行为。 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 4 第第 2 章章 方案内容方案内容 为了满足安全需求，达到预定目标，项目建设的内容如下： 2.12.1 安全管理咨询顾问服务安全管理咨询顾问服务 .1 进行信息安全管理体系咨询进行信息安全管理体系咨询 在已有信息安全管理制度、规范的基础上，进一步制定可落实、可执行的 信息安全管理体系，涵盖策略、规范、流程等各个层面。 通过多年的积累，结合 BS7799 及 COBIT 最佳实践，形成了自己的一套管 理制度体系，这套管理体系可以根据客户的实际情况进行裁剪。 在本项目中，我们将会对 XXXXX 现有制度进行梳理，结合公司的管理体 系框架，形成一套适合 XXXXX 的管理制度体系及流程，具体如下步骤： 本活动由以下步骤组成： 步骤 1：分析已获信息 策略规划小组对已收集的各种文档信息进行分析，鉴别已有的信息安全策 略，并进行相应的记录。 步骤 2：设计框架结构 根据已获得的信息，策略规划小组设计信息安全策略框架。 步骤 3：沟通框架结构 针对已创建的信息安全策略框架，策略规划小组与相关人员进行沟通。 步骤 4：制定安全策略 在确定了信息安全策略的框架之后，策略规划小组为制定信息安全策略。 步骤 5：分析评估报告 策略规划小组分析已完成的评估报告，鉴别评估过程中发现的问题。 步骤 6：完善安全策略 根据评估报告中所发现的问题，策略规划小组完善信息安全策略。 .2 协助进行信息安全应急响应演练协助进行信息安全应急响应演练 协助信息科技部门制定网络安全应急响应流程,并参与 XXXXX 组织的应急 响应演练,评估应急响应演练效果并提供改进建议。 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 5 在制定 XXXXX 信息科技部门制定网络安全应急响应流程中将结合现有信 息系统情况，制定可实施的应急预案，将按照应急预案进行演练，并制定详细 的恢复计划，保证最小化影响业务系统。 制定好应急预案后，将根据应急预案协助 XXXXX 进行应急响应演练,检验 应急预赛的可行性，评估应急响应演练效果并提供改进建议。 在应急演练过程中，将检验如下的各个环节： 建立应急组织 应急准备 应急演练 应急启动与处理 应急恢复与重建 应急结束 应急总结 应急汇报与信息披露 .3 提供定制化的信息安全培训提供定制化的信息安全培训 针对普通员工、科技干部、管理层提供不同类型的信息安全培训，包括管 理培训和网络安全技术。 将根据 XXXXX 的实际情况，提供客户化的培训，具体计划如下： 对管理人员进行管理培训，提供 2 人次的 BS7799 培训； 对技术人员进行 4 人次的 CISP 培训； 对普通员工进行现场的安全意识培训。 .4 提供互联网安全事件应急响应服务提供互联网安全事件应急响应服务 针对来自互联网的入侵、蠕虫爆发提供应急响应服务。 将分级别为 XXXXX 提供互联网安全事件的应急响应服务，具体计划如下： 分类分类说说 明明响应方式响应方式 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 6 高级事件 由攻击行为直接引起的相关事件，正在危害，或 者即将危害到系统的业务连续性。 非攻击行为造成，但是影响到目标系统业务持续 性的事件。 现场为主，远程 中级事件 由非攻击行为直接引起的其他事件， 而且这种事 件没有直接影响到当前业务的持续性。 例如一般性安全咨询，产品升级，病毒库升级等 等。 远程为主（电话，邮件， 传真等） ，必要时进行现 场支持 低级事件 攻击或者非法事件并没有对系统造成伤害，但有 入侵企图，可能会造成损害。 远程为主（电话，邮件， 传真等） .5 国内外安全事件技术分析和趋势跟踪国内外安全事件技术分析和趋势跟踪 关注安全业内动态、与国、内外安全机构有密切的联系，密切跟踪安全事 件及安全发展趋势，将为 XXXXX 以月为周期提供趋势跟踪分析报告，在出现 重大安全漏洞和事件时提供预警服务，使 XXXXX 防患于未然。 以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预 警服务。 2.22.2 安全建设及安全监控外包服务安全建设及安全监控外包服务 .1 风险评估风险评估 针对 XXXXX 网银进行风险评估，提出网银的改进方案，并结合 XXXXX 业务提出网银的发展规划。 .2 提供安全改造咨询提供安全改造咨询 为 XXXXX 安全改造提供技术咨询。 .3 提供加固技术支持提供加固技术支持 为 XXXXX 系统加固提供技术支持。 .4 提供监控服务提供监控服务 提供 7X24 小时安全监控服务，在出现异常攻击行为时进行及时的应急响 应处理。 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 7 第第 3 章章 评估理论、方法及模型评估理论、方法及模型 通过风险评估服务，可以提高客户关键业务系统的可用性和可靠性、降低 信息安全管理成本，提高金融企业对行业监管、国家政策的合规性，同时也可 为其他外部系统提供安全基准，进一步增强客户的竞争优势。在设计过程和方 案的实施中，结合客户网络的特点，遵循和参照最新、最权威、最具有代表性 的国家和国际信息安全标准与建议。 下面给出了相关标准和法规、政策在方案中的体现。 3.13.1 相关标准与规范相关标准与规范 .1 评估咨询项目的标准性原则评估咨询项目的标准性原则 启明星辰提供的本次安全评估咨询服务，将依据2006 年度银行业金融机 构信息科技风险评价审计要点 、 银行业金融机构信息系统风险管理指引 、 电子银行安全评估指引（征求意见稿） 、 商业银行内部控制评价试行办法 中的相关要求进行评估，同时为保证本次评估的全面性，还将参考相关的国际 标准、国内标准和电信行业的相关规范，并有选择性地采纳优秀的风险评估理 论。国际标准包括 ISO17799:2005信息技术信息安全管理业务规范 、 GAO/AIMD-00-33、 信息安全风险评估 、ISO ISO/TR 13569银行和相关金融 服务一信息安全指南 、AS/NZS 4360: 1999 , ISO15408 等；国家标准包括 GB17859，GB18336 等。同时我们将参考 COSO/ERM企业风险管理一整体框架 、 Cobit 4.0、ITIL 3.0、Prince2 等 IT 治理模型；这些标准和操作指南目前已 经被金融行业风险评估项目和 IT 治理项目中进行了实践，并得到了用户的认可 和好评。 除对标准的遵循外，启明星辰的风险评估过程还紧密结合金融行业的各种 业务特征，依据 XXXXX 的业务特点，系统地制定了 XXXXX 信息安全风险评估方 案。 .2 方案中标准的体现对照方案中标准的体现对照 评估过程评估过程参照标准参照标准 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 8 评估过程评估过程参照标准参照标准 调查表和问题的 设计 2006 年度银行业金融机构信息科技风险评价审计要点 银行业金融机构信息系统风险管理指引 电子银行安全评估指引（征求意见稿） 商业银行内部控制评价试行办法 ISO ISO/TR 13569银行和相关金融服务-信息安全指南 Cobit 4.0 加拿大威胁和风险评估工作指南 美国国防部彩虹系列 NCSC-TG-019 ISO17799/BS7799 资产评估 ISO17799/BS7799 加拿大威胁和风险评估工作指南 风险分析方法 ISO13335 风险分析模型AS/NZS 4360: 1999 风险管理标准 风险计算模型AS/NZS 4360: 1999 风险管理标准 GAO/AIMD-00-33信息安全风险评估 安全管理评估2006 年度银行业金融机构信息科技风险评价审计要点 银行业金融机构信息系统风险管理指引 电子银行安全评估指引（征求意见稿） 商业银行内部控制评价试行办法 ISO ISO/TR 13569银行和相关金融服务-信息安全指南 Cobit 4.0 ISO17799/BS7799 ISO13335 物理安全评估银行业金融机构信息系统风险管理指引 ISO17799/BS7799 ISO ISO/TR 13569银行和相关金融服务-信息安全指南 网络设备安全性ISO15408（CC） GB17859 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 9 评估过程评估过程参照标准参照标准 解决方案咨询2006 年度银行业金融机构信息科技风险评价审计要点 银行业金融机构信息系统风险管理指引 电子银行安全评估指引（征求意见稿） 商业银行内部控制评价试行办法 ISO ISO/TR 13569银行和相关金融服务-信息安全指南 Cobit 4.0 ISO17799/BS7799 .3 相关标准规范介绍相关标准规范介绍 COSOCOSO 报告报告内部控制整体框架内部控制整体框架与与 ERMERM企业风险管理一整体框架企业风险管理一整体框架 美国全美反舞弊性财务报告委员会（又称 COSO 委员会）于 1992 年发布了 内部控制整体框架 （以下称 COSO 报告） 。COSO 报告为企事业单位构建 起一个三维立体的全面风险防范体系。 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 10 COSO 报告提出，COSO 整体框架包括 3 大运营目标和 5 大控制要素。 内部控制 3 大运营目标： 1、运营的效果和效率； 2、财务报告的可靠性； 3、遵守适用的法律和法规（合规性） 内部控制由 5 个要素：即控制环境、风险评估、控制活动、信息与沟通和 监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相 加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成 的完整的、能对变化的环境做出反应的系统。控制环境是整个内控系统的基石， 支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础； 实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主 要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的 实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项 生产经营活动之外，是对其他内部控制的一种再控制。 2004 年 COSO 又发布了 ERM企业风险管理一整体框架 ，如下图所示： 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 11 说明：COSO 通用内控框架与 ERM 虽是同一个机构所发布，但是 ERM 不是 COSO 总体内控框架的替代品。 COBITCOBIT信息及相关技术的控制目标信息及相关技术的控制目标 1996 年，作为一项 IT 安全与控制的实践标准，COBIT 由信息系统审计与控 制组织和 IT 管理协会共同开发。它为 IT、安全、审计经理和用户提供了一套 完整的参考框架。目前，COBIT 已经发布了第四版，它正在成为控制数据、系 统和相关风险的优秀实践法则，并逐渐被越来越多的用户所接受。它将帮助企 业部署对系统和网络的有效管理。 COBIT 框架具有以业务为关注焦点、以过程为导向、基于控制和测量驱动的 特点。为实现业务目标，COBIT 定义了七个独立但又有所重叠的信息准则: 有效性：应以及时、正确、一致和可用的方式来交付与业务过程有关的信 息； 效率 2：通过优化（生产率最高且经济合理）资源使用来交付信息； 保密性：保护敏感信息免受未授权泄漏； 完整性：信息的正确和完整，并根据业务价值和期望进行验证； 可用性：若业务过程现在或将来需要时，信息是可用的。可关注于保护所 需的资源及相关的能力； 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 12 符合性：符合业务过程必须遵循的法律法规要求和合同约定，即外部的强 制性要求和内部策略； 可靠性：为管理者提供适当的信息，以管理组织并检验其可信和治理职责。 COBIT 将 IT 资源定义为： 应用系统：用户处理信息的自动化用户系统及手册程序； 信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何 形式所使用； 基础设施：保障应用系统处理信息所需的技术和设施（硬件、操作系统、 数据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环 境）； 人员：策划、组织、采购、实施、交付、支持、监视和评价信息系统和服 务所需的人员。 COBIT 在四个域内采用过程模型的方式定义 IT 活动，四个域分别是：策划 与组织、获取与实施、交付与支持、监视与评价。这些域映射到传统的 IT 职责 域：计划、建设、运营和监视。即 PDCA 管理模型。管理指导方针的部件由衡量 企业在 34 种 IT 流程中能力的工具所组成。这些工具包括了性能测量组件、为 每种 IT 流程提供最佳实践的关键成功因素清单，以及帮助进行基准测试的成熟 度模型。Cobit 的三维模型如下图所示： 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 13 Cobit 整体架构如下图所示： ITILITITILIT 基础架构库基础架构库 80 年代中期，英国政府部门发现提供给其的 IT 服务质量不佳，于是要求当 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 14 时的政府计算机和电信局（CCTA） （后来并入英国政府商务部（OGC） ） ，启动一 个项目对此进行调查，并开发一套有效的和可进行财务计量的 IT 资源使用方法 以供本国的政府部门和私有部门使用。同时，这种方法还应该是独立于厂商的 并且可适用于不同规模、不同技术和业务需求的组织。这个项目的最终成果是 一套公开出版的 IT 管理指南，这就是 ITIL（Information Technology Infrastructure Library） 。 到 90 年代中期，ITIL 成为了事实上的欧洲 IT 服务管理标准。90 年代后期， ITIL 又被引入到美国、南非和澳大利亚等国家和地区。2001 年英国标准协会 （BSI）在国际 IT 服务管理论坛（itSMF）年会上正式发布了以 ITIL 为基础的 IT 服务管理英国国家标准 BS15000。2002 年 BS15000 被提交给国际标准化组织 （ISO） ，申请成为了 IT 服务管理国际标准 ISO 20000。 ITIL 是有关 IT 服务管理流程的最佳实践，事实上，经过近 20 多年的发展， 以流程为主线，进行了全面的扩充，最终形成了如图 1 所示的框架。这个框架 现在成为了事实上的 IT 服务管理知识框架体系。 上图显示了引入模块所处的整体环境和结构。它显示了每个模块同业务和 技 术的关系。从图中可见，业务视野模块是如何更紧密地同业务相联系而信息和 通 信技术（ICT）基础设施管理模块是如何更紧密地同技术本身相联系。服务提供 和服务支持模块提供了过程框架和核心。 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 15 这七个模块组成了 ITIL 的核心。下面将对其中各个模块的新的范围、内容 及其关系进行介绍。 服务提供：服务提供：覆盖了规划和提供高质量 IT 服务所需的过程，并且着眼于改进 所提供的 IT 服务的质量相关的长期过程。 服务支持：服务支持：服务支持描述了同所提供的 IT 服务日常支持和维护活动相关的 过程。 信息和通信技术基础设施管理（信息和通信技术基础设施管理（ICTICT IM)IM)：信息和通信技术基础设施管理覆 盖了从标识业务需求到招投标过程、到信息和通信技术组件和 IT 服务的测 试、安装、部署以及后续运行和优化的信息和通信技术基础设施管理的所 有方面。 规划实施服务管理：规划实施服务管理：检查组织机构内规划、实施和改进服务管理过程中所 涉及的问题和任务。它也考虑同解决文化和组织机构变更、开发远景和战 略以及方案的最合适方法等相关的问题。 应用管理：应用管理：描述了如何管理应用从最初的业务需求直至和包括应用废弃的 应用生命周期的所有阶段。它将重点放在在应用的整个生命周期内确保 IT 项目和战略同业务建立紧密的联系，以确保业务从其投资中获得最佳价值。 业务视野：业务视野：提供了建议和指南，以帮助 IT 人员理解他们如何才能为业务目 标作出贡献以及如何更好地联系和挖掘其角色和服务以最大化其贡献。 安全管理：安全管理：详细描述了规划和管理用于信息和 IT 服务的给定级别安全的过 程，包括同响应安全事故相关的所有方面。它也包括了风险和脆弱性的评 估和管理，以及成本有效的对策的实施 ITIL 的 IT 服务流程可供我们在做安全咨询及安全解决方案设计时作参考。 ISO27001ISO27001信息安全管理规范信息安全管理规范 ISO 27001:2005 由 11 个大的控制方面、39 个控制目标、133 个控制措施 构成。ISO/IEC 27001:2005 要求组织应根据整体业务活动及其面临的风险通过 制定信息安全方针、制定体系范围、明确管理职责，通过风险评估确定控制目 标与控制措施等活动建立信息安全管理体系（ISMS） ；体系一旦建立组织应按体 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 16 系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一 定的文件，如方针、适用性声明文件和实施安全控制所必须的程序文件。 通过建立、实施、运作、监视、评审、保持并改进文件化的信息安全管理 体系，使组织拥有持续改进的信息安全保障能力，为实现业务目标提供支撑。 ISO/IEC 27001:2005 规定了建立、实施和文件化信息安全管理体系得要求。 它规定了组织根据其需求实施安全控制的要求。体系规范的结构如下图所示： 图. ISO/IEC 27001:2005 结构 信息安全管理体系作为一个管理标准，也遵循了 PDCA（Plan-Do-Check- Action，策划-实施-检查-行动）的持续改进的管理模式，这也反映在整个标准 的架构上，整个标准的重心在建立 ISMS 系统，如下图所示： 图. ISMS 框架 规划（建立 ISMS）根据组织的整体策略和目标，建立安全策略、目标以 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 17 及与管理风险和改进信息安全相关的过程和程序，以 获得结果。 执行（实施和运作 ISMS） 实施和运作安全策略、控制、过程和程序。 控制（监视和评审 ISMS） 适用时，根据 ISMS 策略、目标和惯有经验评估行，并 向管理层报告结果，进行评审。 改进（保持和改进 ISMS） 根据内部 ISMS 审计和管理评审或其他信息施，以实 现 ISMS 的持续改进。 ISO/IEC 27001:2005 采用 PDCA“规划-执行-控制-改进” （PDCA）过程模式。 该模型适用于建立 ISMS 的所有过程。ISMS 框架图描述了 ISMS 如何输入相关方 的信息安全要求和期望，经过必需的活动和过程，产生满足这些需求和期望的 信息安全输出。 采用 PDCA 模型也反应了 OECD 指南（2002） 信息系统和网络的安全治理 中所陈述的准则。ISO/IEC 27001:2005 为在风险评估、安全设计和实施、安全 管理和再评估方面实施这些指南中的准则提供了强健模型。 银监会银监会 6363 号文号文银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引 随着银行业金融机构的经营活动日益综合化和国际化，业务和产品越来越 复杂，合规失效的事件不断暴露，银行业金融机构经营活动的合规性面临严峻 的挑战，原有合规管理框架的有效性受到质疑，合规风险管理的理念和方法需 要与时俱进。近年来，全球银行业的合规风险管理技术得到了快速的发展，普 遍实施风险为本的合规管理做法，并把合规管理作为银行业金融机构一项核心 的风险管理活动。2005 年 4 月 29 日,巴塞尔银行监管委员会发布了合规与银 行内部合规部门文件，提出了合规管理十项原则，向各国银行业金融机构及 其监管当局推荐有效管理合规风险的最佳做法。 加强合规风险管理是银行业金融机构自身努力追求的目标。银监会根据 中华人民共和国银行业监督管理法和中华人民共和国商业银行法 ，在广 泛吸收和借鉴国内外银行业金融机构合规风险管理的良好做法，以及国外银行 业监管机构相关规定的基础上，制定了指引 。 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 18 指引重点强调了三个方面：一是建设强有力的合规文化。合规管理是 商业银行一项核心的风险管理活动，合规必须从高层做起，董事会和高级管理 层应确定合规基调，确立正确的合规理念，提高全体员工的诚信意识与合规意 识，形成良好的合规文化，这对于银行业金融机构有效管理包括合规风险在内 的各类风险至关重要。二是建立有效的合规风险管理体系。董事会应监督合规 政策的有效实施，以使合规缺陷得到及时有效的解决。高级管理层应贯彻执行 合规政策，建立合规管理部门的组织结构，并配备充分和适当的资源，确保发 现违规事件时及时采取适当的纠正措施。合规管理部门应在合规负责人的管理 下，协助高级管理层有效管理合规风险，制定并执行风险为本的合规管理计划， 实施合规风险识别和管理流程，开展员工的合规培训与教育。三是建立有利于 合规风险管理的三项基本制度，即合规绩效考核制度、合规问责制度和诚信举 报制度，加强对管理人员的合规绩效考核，惩罚合规管理失效的人员，追究违 规责任人的相应责任，对举报有功者给予适当的奖励，并对举报者给予充分的 保护。 指引共五章三十一条，基本涵盖了商业银行董事会及其下设委员会、 监事会、高级管理层、合规负责人、合规管理部门的合规管理职责以及合规风 险识别和管理流程的各个环节，对合规文化建设、合规风险管理体系建设以及 合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出 了规定。 指引还规定了商业银行合规政策、合规管理程序和合规指南等内部 制度的报备要求、合规风险管理计划和合规风险评估报告的报送要求以及重大 违规事件的报告要求，明确了监管部门对商业银行合规风险管理进行非现场监 管和现场检查的重点。 CobitCobit、ISO17799ISO17799 与与 6363 号文控制目标对应表号文控制目标对应表 下表我们将 Cobit 4.0、ISO 17799:2005 与银监会发布的 63 号文中的相关 管理控制要求做一对比，以便于评估咨询中参考使用。Cobit、ISO 17799:2005 与 63 号文控制目标对应表如下： CobitCobit 4.04.0ISOISO 17799:200517799:2005 6363 号文号文 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 19 域域过程过程控制目标控制目标控制目标控制目标条文条文 PO1.1 IT 价值管理7.1 资产责任 7.2 信息分类 第一条 PO1.2 商业-IT 结盟6.1.1 信息安全管理承诺 第五条 PO1.3 现有性能评估 第十五条 PO1.4 IT 战略计划6.1.1 信息安全管理承诺 第五条 PO1.5 IT 战术计划6.1.1 信息安全管理承诺 PO1 定义战 略性的 信息技 术规划 PO1.6 IT 投资组合管理 PO2.1 企业信息结构模 型 6.1.1 信息安全管理承诺 第六条 PO2.2 企业数据字典和 数据语法规则 PO2.3 数据分类方案7.2 信息分类 P02 定义信 息体系 结构 PO2.4 完整性管理10.5.1 信息备份 PO3.1 技术方向计划 PO3.2 技术基础设施计 划 5.1.2 信息安全方针评审 PO3.3 监测未来的趋势 和法规 6.1.1 信息安全管理承诺 PO3.4 技术标准 PO3 决定技 术方向 PO3.5 IT 架构委员会6.1.1 信息安全管理承诺 PO4.1 IT 流程框架 PO4.2 IT 战略委员会6.1.1 信息安全管理承诺第六条 第七条（二） 第八条 第九条 PO4.3 IT 指导委员会6.1.1 信息安全管理承诺 第六条 第七条（二） 第八条 第九条 PO4.4 IT 职能的机构设 置 6.1.1 信息安全管理承诺 至 6.1.5 保密协议 第六条 第七条（二） 第八条 第九条 第四十四条 PO PO4 定义信 息技术 相关的 过程, 机构及 其互相 的关系 PO4.5 IT 组织的结构6.1.1 信息安全管理承诺 第六条 第七条（二） 第十条 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 20 PO4.6 角色和责任6.1.3 信息安全职责分配 8.1.1 角色和职责 第六条 第七条（二） 第八条 第九条 PO4.7 IT 质量保证的责 任 8.2.1 管理职责第六条 第七条（二） PO4.8 风险,安全和依 从的责任 6.1.1 信息安全管理承诺 6.1.2 信息安全协调 6.1.3 信息安全职责分 配 8.1.1 角色和职责 15.1.4 个人信息的数据 保护和隐私 第六条 第七条（二） 第八条 PO4.9 数据和系统的拥 有者 6.1.3 信息安全职责分配 7.1.2 资产所有者关系 8.3.3 撤销访问权限 第六条 第七条（二） PO4.10 监督6.1.2 信息安全协调 6.1.3 信息安全职责分 配 第七条（三） PO4.11 职责分离10.1.3 职责分离 10.1.4 开发、测试与运 营设施的分离 第十七条 第十条 第十一条 PO4.12 IT 人员配备 第十条 第十一条 PO4.13 关键 IT 人员 第十条 第十一条 第十二条 PO4.1与员工签约的政 策和程序 6.2.3 在第三方协议中强 调安全 8.1.3 雇佣条款和条件 PO4.15 关系6.1 内部组织第七条（四） PO5.1 财务管理框架 PO5.2 IT 预算优先 PO5.3 编制 IT 预算过 程 PO5.4 成本管理5.1.2 信息安全方针评审 PO5 管理信 息技术 投资 PO5.5 收益管理5.1.2 信息安全方针评审 PO6 沟通管 理的目 标和方 向 PO6.1 IT 策略和控制环 境 5.1 信息安全方针 ,6.1 内部组织 8.1 8.2.2 信息安全意识、教 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 21 育和培训 8.2.3 13.1 PO6.2 企业 IT 风险和 内部控制框架 5.1 信息安全方针 5.1.1 信息安全策略文 档, PO6.3 IT 策略管理5.1 信息安全方针 6.1 内部组织 第十五条 PO64 策略的首次展出 PO6.5 IT 目标和方向的 交流 PO7.1 员工招聘和维持8.1.2 选拔 8.1.3 雇佣条款和条件 PO7.2 员工能力6.1 内部组织 8.1 雇佣前 第七条（八） PO7.3 员工角色安排6.1 内部组织 6.1.3 信息安全职责分配 8.1 雇佣前 8.1.1 角色和职责 8.1.3 雇佣条款和条件 13.1 报告信息安全事故 和弱点 PO7.4 人员培训6.2.3 在第三方协议中强 调安全 第七条（八） PO7.5 对个别人员的依 赖 第四十四条 PO7.6 人员清除程序8.1.2 选拔 PO7.7 员工工作绩效考 评 8.1.2 选拔 8.1.3 雇佣条款和条件 管理人 力资源 PO7.8 工作变化和终止8.1.1 角色和职责 8.1.3 雇佣条款和条件 8.3.1 终止职责 8.3.2 归还资产 8.3.3 撤销访问权限 PO8.1 质量管理系统 PO8.2 IT 标准和质量实 践 PO8.3 发展和获取标准 ALC PO8.4 客户的关注点 PO8.5 连续性的改进 确认符 合外部 的要求 PO8.6 质量管理,监视 和检查 第七条（五） PO9 评估风 PO9.1 IT 和业务风险管 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 22 理结盟 PO9.2 风险关系的建立 PO9.3 事件鉴定6.2.1 识别与外部组织相 关的风险 9.1 安全区域 9.2.6 设备的安全处置 或重用 第二十条 PO9.4 风险评估6.1.2 信息安全协调 6.2.1 识别与外部组织相 关的风险 14.1.2 业务连续性和风 险评估 第二十条 第七条（九） PO9.5 风险响应 第二十条 险 PO9.6 一个风险行动计 划的维护和监视 PO10.1 项目管理构架 第三十三条 PO10.2 项目管理框架 PO10.3 项目管理方法 PO10.4 利益相关者许诺 第三十四条 PO10.5 项目范围声明 第三十四条 PO10.6 项目阶段开始 PO10.7 整合的项目计划 PO10.8 项目资源 PO10.9 项目风险管理 PO10.10 项目质量计划 PO10.11 项目变化控制 PO10.12 项目计划的担保 方法 PO10.13 项目性能检测, 报告和监视 管理项 目 PO10.14 项目结束 AI1.1 企业功能及技术 需求的定义及维 护 第三十六条 AI1.2 风险分析报告 第三十五条 AI1.3 作用的选择过程 的可行性研究和 公式化 AI1 识别自 动化的 解决方 案 AI1.4 需求和可行性的 决定和认同 AI2.1 概要设计 第三十七条 AI AI2 获得和 维护应 用软件 AI2.2 详细设计 第二十二条 第二十一条 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 23 AI2.3 应用控制和可审 计性 12.4 系统文件安全第二十五条 第二十六条 AI2.4 应用安全和可用 性 11.6 应用系统和信息访 问控制 12.2.3 消息完整性 9.2.4 设备维护 10.4 防范恶意和移动代 码 10.5 备份 10.8 信息交换 10.9 电子商务服务 第二十六条 第二十五条 第二十四条 第二十三条 AI2.5 所需应用软件的 配置与实施 12.4.1 操作软件控制第二十四条 AI2.6 现有系统的重要 升级 10.3.2 系统验收 12.4.1 操作软件控制 12.5.3 软件包的变更限 制 14.1.5BCP 的测试、保持 和再评估 第二十条 AI2.7 应用软件改进12.5.3 软件包的变更限 制 AI2.8 软件质量保证12.5.2 操作系统变更后 的应用系统技术评审 第二十三条 AI2.9 应用需求管理12.5.3 软件包的变更限 制 AI2.10 应用软件维护12.5.1 变更控制程序 2.5.3 软件包的变更限制 第二十七条 AI3.1 技术基础设施采 购计划 AI3.2 基础设施资源保 护和可用性 9.2.4 设备维护第十六条 AI3.3 基础设施维护9.2.4 设备维护 10.5 备份 AI3 获得和 维护技 术基础 设施 AI3.4 可行性测试环境 第三十八条 第二十八条 第二十七条 AI4.1 对可操作性解决 方案的设计 AI4 发展和 维护流 程 AI4.2 面向企业管理层 的知识转移 8.2.2 信息安全意识、教 育和培训 10.3.2 系统验收 10.4.1 防范恶意代码 12.4.1 操作软件控制 ADO 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 24 AI4.3 面向终端用户的 知识转移 8.2.2 信息安全意识、教 育和培训 10.3.2 系统验收 10.4.1 防范恶意代码 12.4.1 操作软件控制 ADO AI4.4 面向操作人员和 技术支持人员的 知识转移 8.2.2 信息安全意识、教 育和培训 10.3.2 系统验收 10.4.1 防范恶意代码 12.4.1 操作软件控制 ADO AI5.1 获取控制 ATE AI5.2 供应合同管理 6.2.1 识别与外部组织相 关的风险 6.2.3 在第三方协议中强 调安全 12.1.1 安全要求分析和 规范 12.5.5 软件委外开发 14.1.5BCP 的测试、保持 和再评估 15.1 与法律法规要求的 符合性 第五十九条 AI5.3 供应商的选择 第五十三条 AI5.4 软件的获取 ADO AI5.5 可开发资源的获 取 12.1 信息系统的安全要 求 AI5 安装和 授权系 统 AI5.6 基础设施、设备 以及相关服务的 获取 AI6.1 变更的标准和规 程 6.1.4 信息处理设施的授 权问题 6.2.3 在第三方协议中强 调安全 10.1.2 变更管理 12.5 开发和支持过程安 全 12.5.1 变更控制程序 12.5.3 软件包的变更限 制 13.1.2 报告安全弱点 第三十九条 AI6 管理变 更 AI6.2 影响的评定、优 先化与授权 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 25 AI6.3 紧急变更6.2.3 在第三方协议中强 调安全 9.2.2 支持性设施 14.1.4 业务连续性计划 框架 第三十九条 AI6.4 变更情况的跟踪 报道 第三十九条 AI6.5 变更结束与归档 第三十九条 AI7.1 培训8.2.2 信息安全意识、教 育和培训 10.3.2 系统验收 10.4.1 防范恶意代码 12.4.1 操作软件控制 AI7.2 测试计划10.1 操作程序和职责 12.4 系统文件安全 14.1.5BCP 的测试、保持 和再评估 第四十条 AI7.3 实施计划 第四十条 AI7.4 测试环境10.1.4 开发、测试与运 营设施的分离 第二十八条 AI7.5 系统与数据转换 第二十八条 AI7.6 测试变更12.1.1 安全要求分析和 规范 12.5.1 变更控制程序 2.5.3 软件包的变更限制 第四十条 AI7.7 最终验收测试10.3.2 系统验收 12.1.1 安全要求分析和 规范 15.2.2 技术符合性检查 ATE AI7.8 产品推出 ATE AI7.9 软件发布 第二十条 AI7.10 系统布署 ADO AI7.11 变更的记录与追 踪 第四十一条 AI7 安装和 获取解 决方案 及变更 AI7.12 实施后评审10.3.2 系统验收第四十二条 DS1.1 服务水平管理框 架的建立 第二十九条 DS1.2 定义服务 第三十一条 DS1.3 确定相关的服务 水平协议 第五十二条 DS1.4 执行服务水平协 议 第五十二条 DSDS1 定义和 管理服 务水平 DS1.5 监控并汇报服务 第五十二条 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 26 水平管理的成果 DS1.6 回顾并更新服务 水平管理协议 第五十二条 DS2.1 识别所有的供应 商关系 6.2 第五十三条 DS2.2 供应商关系管理6.2 外部组织第五十四条 DS2.3 供应商风险管理6.2 外部组织第五十六条 第五十七条 DS2 管理第 三方的 服务 DS2.4 供应商绩效考核6.2 外部组织第五十八条 DS3.1 IT 系统性能和容 量规划 10.3.1 容量管理第二十三条 DS3.2 评估现有 IT 系 统的容量和性能 10.3.1 容量管理第二十三条 DS3.3 预测未来的容量 和性能 10.3.1 容量管理第二十三条 DS3.4 IT 资源的可用性；10.6.1 网络控制第二十三条 DS3 管理 IT 系统的 性能和 容量 DS3.5 持续监控及报告 对应的 IT 系统 性能和容量。 10.3.1 容量管理 10.5.1 信息备份 第二十三条 DS4.1 建立 IT 持续性 运营框架 14.1.1 在业务连续性管 理过程中包含信息安全 14.1.2 业务连续性和风 险评估 第七条（四） DS4.2 建立 IT 持续性 运营规划 14.1 业务连续性管理的 信息安全方面 DS4.3 关注重要 IT 资 源 DS4.4 维护 IT 持续性 运营计划 14.1.5BCP 的测试、保持 和再评估 DS4.5 测试和演练 IT 持续性运营计划 14.1.5BCP 的测试、保持 和再评估 第二十九条 DS4.6 IT 持续性运营计 划的培训 14.1.4 业务连续性计划 框架 DS4.7 IT 持续性运营计 划的分发 14.1.3 开发并实施包括 信息安全的连续性计划 DS4 保证服 务的持 续性 DS4.8 定义 IT 服务灾 难恢复阶段的操 作指南 10.5 备份第二十九条 安全源自未雨绸缪，诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 27 DS4.9 异地灾备