2016年招商银行信息科技现场检查项目

招商银行,2016年招商银行信息科技现场检查项目,2,非常感谢招商银行（后简称“贵行”）向普华永道发出的有关信息科技风险暨2016年招商银行信息科技现场检查项目的邀请。我们非常荣幸可以按照贵行的要求提交本建议书。贵行一直对银行信息化工作非常重视，并在国内银行中保持领先地位，确保了银行业务持续发展。贵行投入运行的信息科技生产系统承担着每天数百万笔金融业务的运行。贵行总行内审部期望藉由本项目委托专业机构，联合开展信息科技现场检查工作，将在加强信息科技运维管理，保证信息科技系统的正常运转，降低业务运作风险方面发挥极为重要的作用。作为贵行的合作伙伴，以及全球最大的会计师事务所和专业服务机构，我们期待利用我们在信息科技审计和咨询方面的专业知识，以及与贵行多年的合作经验，协助贵行实现项目目标。本投标书并不构成正式的服务合同。如果贵行同意本投标书，普华永道将根据我们的标准业务条款以及与贵行商定的工作范围和服务费用拟定业务约定书，作为正式的服务合同。我们热切期待与贵行就本项目的实施进行深入讨论。我们诚挚地希望能获得与贵行合作的机会，我们将以普华永道一贯的优质服务、出众品质回馈贵行。我们真诚地期待与贵行携手迎接这个富有重要意义的项目！有关本投标书的任何问题，敬请垂询：合伙人杨丰禹先生（电话：）高级经理郑永先生（电话：）。期待与您的合作！顺颂商祺!杨丰禹(合伙人)2016年3月7日,序言,3,技术商务部分对照表,4,目录第一章：对贵行的需求理解及普华永道的服务理念第二章：项目整体工作计划及思路第三章：项目组织结构和职责分工第四章：具体实施方案阶段1-项目计划第四章：具体实施方案阶段2-项目执行第五章：服务计划与承诺第六章：质量保证计划附录一：核心团队成员简历附录二：普华永道的能力和经验附录三：技术商务部分附表附件一：投标函附件二：经年检的企业法人营业执照及相关证明附件三：法定代表人证明书/法定代表人授权书附件四：服务商参与本项目人员的详细资料及证明附件五：同类产品重点大客户案例附件六：商务条款响应/偏离表合同的期限和终止合同的期限和终止附件七：近年发生的诉讼及仲裁情况附件八：投标人组织架构附件九：资格证明材料详细请见文档附件九：资格证明材料附件十：反商业贿赂承诺书,保密条款此计划书内容包括有关普华永道的商业及财务机密。因此，除非获得普华永道的书面同意，否则所有刋载在此计划书的资料不能透露给任何非有关于评审该项目的人士或公司。此外，此计划书的所有数据絶不能透露给任何普华永道的竞争者。如果接受方不同意以上保密条款，接受方应立即退回此计划书予普华永道。,目录检索需要update,目录,普化永道的服务理念,1,6,1.1项目目标依据总行信息科技管理制度和规范、监管机构要求、国内外最佳实践、同行业的先进经验，结合已有总/分行信息科技风险检查标准，制订一套适用于总/分行的信息科技现场检查标准，建立信息科技现场检查的方法、工作程序和工作模板，全面涵盖信息科技相关的组织人员、管理流程和技术设施，作为招行信息科技工作检查的依据和工具，并具有日常操作的规范指导性。对本年度所选取的42家国内分行（包括北京、上海、广州、沈阳、哈尔滨、西安、乌鲁木齐、天津、济南、武汉、长沙、合肥、南昌、南京、杭州、宁波、成都、重庆、昆明、南宁、福州、深圳、大连、东莞、佛山、贵阳、海口、呼和号特、兰州、青岛、厦门、石家庄、苏州、太原、西宁、银川、长春、郑州、无锡、温州、泉州、唐山）和2家海外分行（包括卢森堡、伦敦）执行信息科技现场检查，全面了解分行信息科技管理流程、技术配置等情况，评估和识别分行信息科技工作的管理漏洞和技术缺陷，并根据招行的情况提供专家整改建议和方案，从而加强分行信息科技管控水平，全面提升招行的整体信息科技风险管理水平。执行总行信息科技风险检查，全面了解开发、测试、运行维护等信息科技管理流程情况，评估总行信息科技工作的漏洞和缺陷，并提出针对性建议。,第一章：对贵行的需求理解及普华永道的服务理念,7,以业务为导向，信息科技和业务相结合普华永道风险和内部控制服务部定位为信息科技管理、业务流程完善和内部控制提升，拥有信息科技、业务流程和内部控制这三者相结合的实践和经验。行业认知和专业方法胜于人海战术我们具备丰富的商业银行及金融机构服务经验，在信息科技风险管理、内部控制的服务项目经验将是本项目成功的最大保障。,行业认知和专业技能并重多技能的专业团队为贵行筹建的项目团队成员包括信息科技风险管理、网银信息安全技术及银行业务专家。质量是我们始终坚持为客户服务的首要宗旨强有力的项目管理能力和质量审阅机制将是保证项目质量高质量交付的最佳保证。持续的知识转移和交流除在项目过程中进行项目计划的知识转移计划、专题培训方案，我们将随时根据行业变动和信息技术风险的趋势，为贵行提供交流性质的建议,促进风险控制理念融入信息化工作根据信息科技管理和科技风险管理的双维度需求，普华永道将信息科技管理和科技风险管理看做不可分割的整体，我们希望通过本次项目促进二者的价值互现，实现双赢的解决方案。,1.2普华永道本次项目服务的理念,整体工作计划及思路,2,9,项目启动计划书总/分行信息科技现场检查标准总/分行风险评估标准、风险框架总/分行信息科技现场检查工作方法、工作程序和工作模板,44家分行信息科技现场检查报告,交付物,时间及具体工作,工作步骤,总行专项检查报告,这样的铺排看起来不好，你帮我想想有什么更好的展示方式呈现文中内容？,2.1项目整体工作计划及思路,10,请根据铺排时间画时间轴，总行总共是8周时间，分行总共是44周时间,项目时间安排,组织架构和职责分工,3,12,3.1项目团队构成根据银监会及贵公司的要求，结合我们以往的经验，信息科技风险检查标准、风险评估、总/分行信息科技现场检查工作均要求经验丰富的专业人员进行。鉴于以上原因，并考虑到这类项目的重要性，我们特别建立了一支拥有丰富风险管理和行业经验的，主要由合伙人、资深经理和高级顾问组成的项目团队。,郑先生在金融行业IT咨询和服务有着丰富经验。郑先生是中国注册一级建造师（通信与广电）、PMP和CertifiedAIXsystemadministrator。,郑永高级经理,周女士在银行、保险、期货等金融行业信息系统审计、内部控制审计等方面拥有约7年的专业经验，曾参与到大型银行和保险集团的信息科技审计项目等服务。,周玲经理,郭雅婷高级顾问,郭女士曾经作为核心成员为多家银行和保险公司提供过信息系统审计、资金业务专项审计、内部控制测试及流程优化等服务,张杨高级顾问,张先生协助项目团队为客户提供一体化的风险管理及内部控制体系建设、内部控制自评价服务，对包括内部环境、经营管理和主要业务在内的各个专项领域进行全面梳理。,汤颖欣高级顾问,汤女士曾经作为核心成员为多家金融机构及央企等提供过信息内部控制审计和咨询等服务。,刘女士在金融集团、互联网金融、银行和保险等行业信息系统审计、合规咨询等方面具有8年的专业经验，曾参与到大型银行和保险集团的内部审计职能建设和优化等服务；刘女士是注册内部审计师(CIA),刘晓丽专家指导,请按照图中模板，添加如下人员的汇报层级和项目人员描述PhilipYang(项目主管合伙人)CimiLeung（项目第二合伙人）wingzheng（项目管理高级经理）LianYang（项目执行高级经理）ashleyliu（项目经理）Jolinzhou（项目经理）Tracywu（项目经理）RachelXiu（项目经理）Amyliu（高级顾问）Winniewang（高级顾问）AndrewYang（高级顾问）,第三章：项目组织结构和职责分工,13,专业资格中国注册一级建造师（通信与广电证书编号：0263417）PMP(ProjectManagementProfessional证书编号：77362)CertifiedAIXsystemadministrator本项目中担任角色项目总监行业经验郑先生是金融业信息系统资深架构师（ITA），拥有20余年金融行业IT咨询及服务经验。专注于提供金融业信息系统整体解决方案，风险管理及内部控制提升服务。涉及的行业主要包括银行、保险、证券等。在金融行业信息系统架构、运维、内部控制、风险评估及管控等方面具有丰富的经验。主要项目及客户招商银行、中国农业银行、建设银行、工商银行、中国银行、交通银行、广发银行、渣打银行、汇丰银行等。,请用这ppt的模板，包括页眉页脚去更新所有其他页面的格式,附件1.团队核心成员简历,14,本项目中担任角色招商银行大客户经理行业经验周女士在金融行业的银行信息系统审计、项目质量管理保证、银行风险管理及内部控制方面的咨询等领域拥有近7年的服务经验。曾为多家不同类型的国有四大银行、国内大型股份制银行、金融证券公司等提供信息系统评估、风险管理、内部控制和业务流程优化等的咨询服务。主要项目及客户平安银行、中国银行、中国建设银行、平安集团、南洋商业银行、广西北部湾银行、厦门国际银行、桂林银行、大新银行、摩根期货、乾坤期货等,附件1.团队核心成员简历,15,专业资格国际注册内审师本项目中担任角色专家指导行业经验刘晓莉女士现任普华永道的风险管理与内部控制服务部经理，具有8年保险及银行业相关工作经验。对银行业内部控制审计、法律政策合规、信息系统审计均有丰富的实践与咨询经验。在普华永道工作期间，刘晓莉女士先后参予过数家大型保险公司及银行的信息系统审计、内部控制审计及咨询服务，及其他风险管理、内部控制相关的咨询服务。主要项目及客户中国银行、农业银行、平安银行、广发银行、平安集团、太平集团、微众银行、广西北部湾银行、桂林银行、大新银行、开泰银行、台湾玉山银行等。,附件1.团队核心成员简历,16,专业资格CISA（国际信息系统审计师）本项目中担任角色高级顾问行业经验郭女士是普华永道风险管理及内部控制服务部门的高级顾问。她拥有5年的IT安全和系统审计、内部审计以及内部控制咨询等服务经验，主要项目及客户深圳发展银行、平安银行、中国银行、中国平安保险(集团),附件1.团队核心成员简历,17,专业资格CISA（国际信息系统审计师）本项目中担任角色顾问行业经验张先生在金融行业的财务审计、内部控制审计、信息系统审计等领域拥有近3年的服务经验。张先生在普华永道工作期间，张扬作为现场工作小组主要成员，为大型国有银行，大型央企、股份制银行、外资商业银行、信托等金融机构提供IT风险评估与信息系统审计服务。主要项目及客户中国华南地区某股份制商业银行FATCA合规咨询项目；某澳门银行FATCA合规咨询项目；数家金融机构的内部控制咨询服务；数家商业银行的信息系统审计服务；大型央企客户关系管理系统内部控制咨询服务；大型物流企业业务目标转型咨询项目。,附件1.团队核心成员简历,18,需更新,3.2项目团队构成主要成员经验及专业认证汇总,具体实施方案阶段1项目计划,4,20,第四章：具体实施方案,21,4.1.2建立项目管理办公室,22,项目管理方法融合到项目实施的阶段普华永道标准的项目管理与变更管理方法，具体项目管理方法论如下图所示,普华永道会在考虑客户需求及最佳实践的基础上为项目定制特有的管理方式,项目管理方法融合到项目实施的阶段,23,服务计划与进度保证,具体实施方案阶段2项目执行,4,25,第四章：具体实施方案阶段2-项目执行4.2.1优化总行/分行的信息科技风险评价体系梳理招行新增制度和信息科技监管指引及人民银行风险提示函，对总/分行现有信息科技检查标准进行优化。总行/分行的信息科技风险评价体系将包括如下主要的三部分工作：优化信息科技风险检查标准优化总/分行信息科技风险评估优化总/分行信息科技现场检查工作方法、程序及模板4.2.2总/分行信息科技风险评估对总分行信息科技风险进行全面的梳理，结合招行风险管理现状以及内外审计要求、监管要求以及行业最佳标准等内容，完善总分行信息科技管理风险清单。同时完善风险评估标准，从专业角度提出评估标准建议，完成风险评估工作。4.2.3执行分行信息科技现场检查信息科技现场检查，全面了解分行信息科技管理流程、技术配置等情况，评估和识别分行信息科技工作的管理漏洞和技术缺陷，并根据招行的情况提供专家整改建议和方案，从而加强分行信息科技管控水平，全面提升招行的整体信息科技风险管理水平。4.2.4.执行总行信息科技现场检查执行总行信息科技风险专项检查，专项检查覆盖：开发与测试、运行维护、信息安全、信息科技外包风险、应急管理等领域，评估总行信息科技工作的漏洞和缺陷，完成15个专项检查工作，并提出针对性建议。,第四章：具体实施方案,26,梳理信息科技风险检查标准我们将应用普华永道信息科技风险管理的体系框架，帮助公司梳理一套适用于总/分行的信息科技风险检查标准。普华永道信息科技风险管理的体系框架，是基于对整个信息化工作生命周期和价值链的最佳实践而建立的。信息科技风险监控、评估和持续改进对于信息化工作整体的持续提升具有重要作用。我们认为一个完整的信息科技风险管理工作应涵盖以下领域：,梳理信息科技风险检查标准,27,明确界定IT活动的风险管理职责,目标:从IT服务全生命周期出发，深入分析各项IT活动流程中涉及风险管理和控制的职责，采用RACI方法将这些职责明确划分到光大银行各职能部门和各相关岗位，并与光大银行的奖惩机制进行对应，以便这些职责能够得到有效落实和执行。工作思路:从三道防线入手，确保IT风险管理采取恰当的职责分工,28,第一道防线关注于识别与评估信息资产相关风险，并采取适当的控制措施来防范风险，该道防线包含下列角色：信息资产所有人业务系统所有人第二道防线确保相关人员对IT风险管理流程的持续性遵循，以及对遵循情况进行定期评估和监督，这道防线包含下列角色：IT风险管理岗各相关IT岗位第三道防线为高级管理层和审计委员会对IT风险管理的持续性关注，这道防线包含下列角色IT风险管理委员会高级管理层审计委员会工作内容:,29,针对上面所述的信息科技风险管理工作的领域，普华永道制定了信息科技风险评估框架，该框架能够协助识别并分析相关信息科技威胁及风险，包含了战略、战术、运营和财务等管理活动。信息科技威胁及相关风险可能会影响企业目标的实现，进行IT风险评估的目的，是识别企业面临的风险，评估潜在风险的影响和可能性，从而定义并实施控制，以有效的降低、去除并管理这些风险的影响。根据普华永道对各个国际标准和最佳实践的深入理解，我们认为IT风险在范围上可以归纳为以下这些类型，这也同时构成了普华针对信息科技风险的评估框架。,英文替换成中文,信息科技风险评估框架-普华方法论介绍,30,一个涵盖各相关业务条线的IT风险管理组织结构矩阵,工作成果样例:,31,2.一个采用RACI方法制定的IT风险管理职责具体分工的样例,32,信息科技风险评估框架具体风险类型,33,3.4信息科技风险评估-来源与遵循依据,根据招行的需求，我们将依据普华永道信息科技风险评估框架，同时参考以下多种规范和国际最佳实践，使得我们的评估工作更适用于监管要求和IT管理需求,34,工作思路,35,工作内容,36,信息科技风险评估,37,工作成果样例,1.IT风险管理流程体系示例以指引中列示的IT管理领域为例，将其对应至Cobit框架的具体流程。,38,工作成果样例,39,2.信息技术风险类别示例,2.信息技术风险类别示例以（三）信息系统开发、测试和维护为例，展示风险类别示例如下：,40,信息科技风险评估-范围根据商业银行信息科技风险管理指引、商业银行信息科技风险-现场检查指南、银行业金融机构重要信息系统投产及变更管理办法、银行业外包风险管理指引等银监局印发的指引和办法进行信息技术风险评估。根据银监会的监管要求，我们建议的评估范围包括但不限于以下领域：,信息科技风险评估范围,41,信息科技风险评估评估模板,42,四月2016,新增,5.风险汇报模板,43,四月2016,新增,RCSA报告评估总结模板,44,四月2016,新增,待续。,45,四月2016,46,信息科技风险评估-常用的检查方法,信息科技风险评估-常用的检查方法,47,试点现场检查分行选择考虑因素及其项目实施优化,我们建议在选择试点检查的分行时，考虑不同的业务风险情况并根据试点结果完善工作模板及工具并编制及优化分行信息科技现场检查标准和分行信息科技现场检查工作方法、工作程序和工作模板,试点现场检查分行选择考虑因素及其项目实施优化,48,信息科技风险评估-评估领域的具体工作由整体入手，全面审阅风险状况考虑到合规的需求及信息科技风险评估工作现状，我们将由信息科技风险整体评估入手，进行全面、系统的整体评估，确保所有信息科技风险相关领域均得到涵盖。突出重点，有针对性地、深入审阅关键风险领域依据上一阶段的深入理解及风险分析结合，综合考虑贵行的实际情况及需求，结合银监会的商业银行信息科技风险管理指引、国际通用的IT风险管理最佳实践及规划，以及普华永道信息科技风险评估和管理的体系框架等而展开全面、整体评估。这一项评估工作是基于对整个信息化工作生命周期和价值链的最佳实践而建立的。关注并加强总行与分行风险管理的协同性和一致性我们将制订一套适用于总、分行信息科技现场检查的检查标准，并完善现有的检查工作流程和模板，注意加强总/分行在信息科技风险管理中的协同性和一致性，减少总分行在应付不同需求时的反复沟通从而提高信息科技风险管理的工作效率。,信息科技风险评估评估领域的具体工作,49,4.2.2分行信息科技现场检查,4.2.2.1分行信息科技现场检查工作安排,建议的检查路线规划选择方案方便进行沟通，尽快转到一个地点，联合办公选择两个城市之间的最短距离,该图画请根据44个分行地点更新,对本年度所选取的16家分行（包括深圳、北京、上海、广州、武汉、沈阳、杭州、南京、西安、昆明、信用卡中心、青岛、成都、福州、苏州、宁波）执行信息科技现场检查，全面了解分行信息科技管理流程、技术配置等情况，评估和识别分行信息科技工作的管理漏洞和技术缺陷。我们将根据前期工作所确定的检查计划，组织项目团队进入选定的分行现场，对分行信息科技相关的组织人员、管理流程、系统运作现状和技术设施进行检查，全面评估分行信息科技工作与总行要求、监管要求和最佳实践之间的差距，识别信息科技管理漏洞和技术缺陷。,4.2.2.1分行信息科技现场检查工作安排,50,根据约定范围内的风险点，对控制相关人员进行访谈并对关键控制进行穿行测试，评估现有控制的设计及实施的有效性。具体方法如下图所示：,工作方法,51,（1）信息科技治理信息科技治理中的管理职责设置及履职；信息科技部门的制度建设情况、岗位设置、职责界线划分及履职适当性；信息科技的组织结构；内部检查部门相关岗位设置及职责安排；信息科技人员、信息科技内部检查人员素质和培训情况；知识产权管理等。（2）信息科技风险管理信息科技风险管理部门设置及职责安排；信息科技战略、信息科技运行计划和信息科技管理风险检查计划；全面的信息科技风险管理策略；持续的风险识别和检查流程；信息科技风险计量和检测机制；稳定、安全的信息科技环境的保障等。（3）信息安全信息安全培训、信息安全管理职能安排、信息安全体系、政策、流程、方法及组织结构，物理安全、数据安全、操作系统及应用系统安全，日志管理、终端设备的安全、用户认证和访问控制、网络安全、加密技术等。（4）信息系统开发、测试和维护程序开发管理制度、项目发起、分析与设计、开发业务需求管理、测试验收及文档管理等（5）信息科技运行环境状况、对第三方人员的控制、岗位设置、痕迹管理、事故管理、系统与数据安全、变更管理流程及执行、日志管理、电子设备管理、业务系统监控、操作风险控制等。（6）业务连续性管理业务连续性规划，规划的检查、更新与演练，业务系统备份和管理等。,常规检查核心内容,52,（二）拔高检查内容（1）除上述合规检查内容外，本次项目的检查工作国标检查内容应参照ISO20000、ISO27001、ITIL、CMMI、COBIT等国际管理标准及最佳实践，对信息科技部管理流程建设、管理标准化建设、风险控制体系建设、绩效管理体系建设等方面进行检查，并依据我行长期信息科技发展规划，结合实际发展现状，对未来我行信息科技建设提出建议；（2）最后根据检查结果对纳入检查范围内的流程进行内控评分，对总分行对于信息系统运维的遵行性进行量化，作为管理的依据。,（二）拔高检查内容,53,专项检查,在合规检查工作的基础上，我们将挑选13个专项的信息科技风险实施专项检查，并提出改进建议。专项检查总体步骤：,（1）在开展本次专项检查前，编制招商银行总行信息科技外包风险专项检查工作计划,说明相关的检查依据、检查范围、及详细工作计划。（2）开展本次专项检查前，编制招商银行总行信息专项科技外包专项检查矩阵，结合检查依据及检查范围，逐条列示检查要点及相应的检查方法等信息。（3）在检查过程中应详细记录检查过程，并形成相应的检查工作底稿，底稿应包含监管法规信息、相应控制点信息、风险信息、检查方法、检查样本、检查过程、检查结论等。（4）在完成专项检查后，应对检查结果出具专项检查报告，并提出可落地的解决方案。,54,执行总行信息科技风险专项检查，专项检查覆盖：开发与测试、运行维护、信息安全、信息科技外包风险、应急管理等领域，评估总行信息科技工作的漏洞和缺陷，完成15个专项检查工作，并提出针对性建议。具体包括：,1总行信息系统专项检查2总行信息安全专项检查3总行信息科技运行专项检查（信息科技运维误操作检查）4总行软件开发生命周期专项检查5总行业务连续性管理专项检查6信息科技风险合规检查7信息科技外包管理专项检查8数据安全专项检查9信息访问控制专项检查10数据保护、防泄漏专项检查11源代码安全专项检查12手机银行系统层面的信息安全13客户信息安全专项检查我们将针对上述每项专项阐述具体的核心工作内容,4.2.3总行信息科技现场检查,55,具体的检查方法分4步，下面对这4步进行了详述：差距分析：通过从制度、执行等方面进行全方位评估分行信息科技工作与总行要求、监管要求和最佳实践之间的差距风险及控制分析：在了解现状的基础上，从“风险”和“控制”两个维度，对分行信息科技相关的组织人员、管理流程、系统运作现状和技术设施进行检查和分析识别贵公司目前所面临的威胁和可能被威胁利用的脆弱点，找出信息科技管理漏洞和技术缺陷,从信息科技管理的角度和结合了贵行的信息科技风险管理目标，针对关键流程进行独立测试和评估。以及进行深度分析，提出整改建议。,现场检查方法,如下图所示，业务循环中使用到信息系统的部分会产生信息处理风险，与系统相关的控制活动能降低信息处理风险带来的影响。,57,各项专项检查阐述,58,四月2016,59,2.2信息科技外包风险管理专项检查（一）主要检查内容。检查范围包括但不限于：（1）信息科技外包战略（2）外包风险管理机制（3）外包风险评估（4）外包服务提供商管理（5）外包信息安全管理（6）外包服务应急管理,2.2信息科技外包风险管理专项检查,4.2.3.1总行信息安全专项检查,60,我们的方法论是以ISO27001为主线，并整合了我国各有关监管机构颁布的信息科技安全指引、要求及准则，而形成的为企业量身定制的信息安全体系建设方案。,4.2.3.1总行信息安全专项检查,61,我们的评估旨在生成对贵公司与ISO27001:2005总体蓝图相关的理解本评估阶段的成果将提供：目前流程与ISO标准的缺口理解技术和物理安全景观详细视图，包括对贵公司有益的改进建议通过使用本方法，而非传统的缺口分析，我们能够更好地应用对总行信息安全的理解。使用本方法的优点在于这些信息可以被用作“标杆”，能够提供每年同比比较的功能。审阅信息安全基本要求：信息安全工作的基本原则、基本规划；信息安全管理的流程、组织架构和职责分配；信息安全风险评估和分级控制；信息安全的教育培训，包括法规教育、安全知识教育和职业道德教育等；评估逻辑访问的风险与控制：访问控制原则；访问授权的授权与核准；逻辑访问风险的定义、分类和应对措施；访问控制软件的使用情况；口令密码等重要身份凭证的管理等；评估环境的风险和控制：消防及防水设施；不间断电源保护；人员疏散计划和通道等；评估物理访问的风险与控制：出入通道锁具的可靠性；摄像监测设施、警报系统和警卫配备；访客、外包服务人员、勤务人员出入管理规定；入口数量控制；计算机终端无人看管时的锁定；敏感性设施及场所的标识隐匿；文件柜的锁定和监控等；评估软件的风险与控制：软件的病毒防护和管理；软件的升级和补丁管理；软件使用许可和授权管理等。,4.2.3.2总行信息科技运行专项检查,62,4.2.3.2总行信息科技运行专项检查,LinapendingWing总材料,63,信息系统运行体系建设情况：信息系统运行体系的组织架构；信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则；对于银行核心业务系统的持续性或阶段性监测等；操作环境控制和预防性维护情况：信息科技资产清单登记，如计算机设备、网络组件、应用和系统软件、应用处理模式；对信息系统性能和容量的管理；制定反映各类连接物理位置和交互关系的系统图和拓扑图；信息系统环境控制和预防性维护应对方案等；信息科技操作风险控制措施：信息系统操作风险控制机制和流程；人力资源管理方案；信息资料档案管理：对信息输出文件的控制和管理；信息文件的传输管理、存储介质废弃和处理，内容的备份和恢复等；日志管理：对网络设置、防火墙、主机、数据库等系统产生的日志采集；对采集的日志设定的保存期限；日志资料的安全保护和调阅管理制度；日志监控和管理的岗位和人员设置情况等；日常运维风险控制等；数据中心内的各项支持系统运行的操作环境控制和预防性维护措施；目前信息科技操作风险管理流程能否合理地减低系统事故人员数据意外销毁等风险。,Lina,64,评估设计、开发或外购、测试、试运行、部署、维护及退出等方面:审阅项目周期管理的涵盖范围，如立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等；开发环境、测试环境、生产环境严格分离情况；外部技术资源管理，包括申请、测评、购买（合同）、使用等；,4.2.3.3总行软件开发生命周期专项检查,开发生命周期优化,整体思路,65,目前应对相应风险的做法,根本原因分析及现行做法,原因及差距分析,管理建议,人员,流程,技术,软件质量管理体系持续优化（IDEAL）,a,b,c,SDLC常见风险,软件质量事件（缺陷）分析,软件质量管理体系持续优化,流程不是固化的，应是不断发展优化的|建立一个持续性不断自我优化的流程优化机制,新增,66,人员,流程,技术,团队组织架构不合理风险：业务需求分析、开发、测试及质量保护、发布及故障管理等团队组织架构外包质量及外包人员管理风险：外包开发人员工作质量管理、稳定性管理等外包风险管理领域未被适当管理的风险培训与沟通开发人员与运维人员的职责、权限交集开发人员编码水平、规范未能有效控制,宏观层面风险：治理层面的关注内容；业务战略对应用开发的需求差距；开发及效益风险：整体开发模式及效益制度风险：规划、研发、发布、监控及回顾等关键SDLC组件（领域）的总体规范、流程及管控现状外包风险：外包开发人员入职、测试、时（日）报填写及工作量跟踪、外包结算等流程开发过程中的系统架构协调机制不足，未对涉及系统间模块间的接口及调用关系进行有效管理开发和业务部门未对可接受的风险水平建立有效控制策略开发制度及流程细化及完善，如：开发评审、代码复查、非功能设计、接口规范、版本管理等业务需求的提出口径不规范、不全面，造成开发团队的理解差异及后续需求持续变化及提升，未有需求重要性排序、评估及正式评审机制长远建立IT部开发的独立结算、价值体现机制,技术风险：整体开发技术（架构）使用的先进性与业界趋势对比系统体系设计和开发过程中可能对所选择的新技术体系理解不足，对存在的缺陷考虑不足对系统采用的安全技术控制措施考虑不足未有效采用自动化的编译和部署工具，支持系统持续集成和测试,未来项目执行过程中可能关注的各个方面,开发生命周期优化,新增,67,发现各种类型缺陷发生的概率,掌握缺陷集中的区域,明晰缺陷发展趋势,了解缺陷产生主要原因,缺陷分析,改进软件开发,降低缺陷数量,提高软件质量,有针对性地提出遏制缺陷发生的措施,缺陷分析,缺陷分析,SDLC流程的优化,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,68,重新梳理“严重程度”、“优先级”、“缺陷类型”等缺陷属性关键要素，并提供各取值的定义和示例。减少分歧、提高缺陷属性准确性。,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,69,帕累托法则(2/8法则)操作步骤：针对分析的目标和分析对象，选取分析对象的相关属性，该属性需有统一的定义和分类；统计属性分类的个数，并从高到低进行排序；统计该属性的总个数，计算各不同分类在总数中所占的比重；根据不同分类在总数中所占的比重，统计分类的累积比重；找出累计比重达到80%的前几项分类，即已找出后续缺陷分析的对象。,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,70,统一缺陷管理,管理层面：基于管理角度的分析及汇报,运维缺陷,系统测试,性能测试,技术层面：缺陷记录、跟踪、处理,缺陷分析和汇报,处理活动时间要求,软件预期,分歧处理,业务测试,验证测试,清晰定义：梳理并确定了部分软件预期清晰过程：管理过程包括：记录、审核、处理、验证、关闭”，且可裁剪。明确人员：不完整、不准确、不清晰、不一致“的需求缺陷由业务人员和需求人员共同处理。完善缺陷属性。,业务人员,缺陷,建议,缺陷,管理对象:测试过程中发现的缺陷和建议，运维环节发现的缺陷。缺陷及建议若无特殊说明，采取统一管理方式。,活动的时间要求：原则上，缺陷最长遗留个月、建议最长遗留个月；超过时限后应该修复或者丢弃。分歧响应时间。运维缺陷处理周期。完善”缺陷分析汇报“等流程相关的要求.,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,71,根据我们的经验，在一个IT成熟度相对较高的企业，特别是金融企业，其系统开发生命周期的各阶段控制相对较为完善，在其重要系统上线前，均针对该系统进行了有关源代码的自动测试工作，主要包括对源代码的功能性测试。因此，基于风险为导向的审计思想指导，我们将执行针对高风险业务对应模块源代码的审阅。审阅项目变更管理流程：变更管理的主要规章制度；变更管理的审批授权机制和工作流程；变更管理的登记、备案和存档等；审阅项目资料文档管理体系：项目资料文档的管理职责；资料文档的起草和审批职责；资料文档格式标准化规范；程序资料文档的完整保存：程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等；项目资料文档的完整保存：项目需求、可行性分析、阶段实施记录等；评估是否存在系统设计开发外包缺陷风险管理：代码检查；文档管理；技术传送等；评估对系统变更、升级项目进行抽样检查，评估其控制流程的执行有效性，评估内容包括其授权、跟踪、用户验收测试、程序投产执行等。,72,源代码审阅我们首先将会对贵公司的设计文档和规格说明书进行审阅以获取对系统开发流程的认识，从而确定贵公司对于源代码安全开发（如下面所述）建立了充分且合适的策略和标准。我们会通过对特定程序/系统开发人员的访谈，确定贵公司程序/系统开发人员对此类策略和标准有充分的理解并严格执行：输入确认外部数据源，包括行参数、网络接口、环境变量和用户控制文件访问控制访问默认设置为限制访问，或某功能限制访问；但应进一步设置哪些访问是允许的，哪些是受限的注意编译器警告在编译代码时应使用编译器的最严格警告配置，开发人员应通过修改代码清除所有编译警告遵从最小权限原则所有进程都应用最小权限去执行任务，任何暂时权限提升都应在最短时间内终止净化发送至其他系统的数据净化所有的发送至整合子系统的数据，如命令行和相关数据库，因为潜在攻击者可能通过使用SQL、命令行或其他植入攻击方法调用未被使用的功能另外，在将编译过的代码移植到生产环境前，我们还会通过安全接受性测试对相关的策略和流程进行审阅以确定是否存在有效的质量控制，能够识别并消除缺陷。,源代码安全审阅,新增,73,源代码审阅（续）,我们将使用如下图所示的普华永道所拥有的源代码审阅方案：步骤1.1：自动扫描配置及执行自动扫描我们首先会配置并执行自动源代码分析工具来对代码进行扫描并识别潜在缺陷。自动扫描工具的使用能够提高审阅效率并保证覆盖整个系统。自动扫描的结果将会与我们的测试计划结合，帮助我们在第二步人工扫描中确认和消除错误。在此步骤，我们需要贵公司协助提供一份系统原程序代码以及其所述库以供自动扫描。我们在此步骤可能用到的工具有：FortifySourceCodeAnalyser,OunceLabs或AppScanSourceEdition,配置及执行自动扫描,建立人工扫描测试计划,执行及验证扫描结果,消除误判,执行人工业务逻辑测试,步骤1:自动扫描,步骤2:人工扫描,风险评估,应用穿行测试,威胁分析,源代码安全审阅,新增,74,源代码审阅（续）,步骤1.2自动扫描建立人工扫描工作测试计划我们会将从自动扫描工具中得到的结果放在我们的普华永道所拥有的源代码审阅工作方案中“PwCProprietarySourceCodeReviewWorkProgram”（简称为：工作方案），此工作方案中包含全面的工作步骤清单以通过人工工作步骤确认安全漏洞。此工作方案基于风险导向，并根据初步的自动扫描的结果以及通过访谈等途径了解到的内容对贵公司情况做个性化配置。此工作步骤是可以重复进行的，因为自动扫描的结果中可能会存在某些误判，我们会通过人工的方式重新确认是否确实为安全缺陷。另外，工作方案会一直被完善直到所有的误判都通过人工工作程序清除。步骤2.1人工扫描执行及确认扫描结果我们会使用已制定的工作计划对源代码进行人工扫描。我们确定源代码安全缺陷的比较典型的工作有：危险功能的使用危险方式中特定的功能行为（不管其如何被使用，如Java中的“gets()”）。有害的代码特定程序有可能导致错误甚至成为软件本身的缺陷（如网页应用中基于socket的通信的使用）。未验证的输入数据任何在处理前不能得到确认的输入数据都可能导致严重的安全隐患，如SQL和命令行植入。遗留调试代码调试代码可能会无意中在应用程序中留下切入点。这类切入点可能会为恶意入侵者所使用而进入程序。,源代码安全审阅,新增,75,源代码审阅（续）,系统信息泄露某些冗余系统信息或携带启示性信息，而被有恶意的入侵者利用达到了解软件结构建立侵入计划的目的。不充分的错误处理忽略错误处理可能导致整个软件进入不可预料的状态，也可能会在软件上留下潜在的缺陷。命令行/SQL注入使用用户输入建立动态SQL查询或命令行可能导致严重的系统缺陷。跨站脚本攻击将未经确认的数据发送至浏览器可能导致客户端的恶意代码的执行。薄弱的密码管理密码管理可能出现的问题，如将密码信息保存在某明文配置文件中，可能导致系统崩溃。步骤2.2人工扫描消除误判在通过人工工作程序确定了系统缺陷后，我们会同贵公司开发人员沟通以了解程序应用相关的业务原理，以及源代码设计逻辑。此步骤可以帮助我们进一步消除仍然存在的误判。步骤2.3人工扫描执行人工业务逻辑测试我们将在此步骤进行人工业务逻辑测试，包含进行业务实例的穿行测试，以确定潜在的系统缺陷是否会影响应用程序的业务逻辑及功能。我们会从业务使用的角度对贵公司的业务实例进行了解，这可以帮助我们更准确的判定风险等级，从而为已确认的系统缺陷进行优先级判定。,源代码安全审阅,新增,手机银行技术层面安全评估,76,手机银行技术层面安全评估针对电子银行系统的安全性能评估，我们将利用普华永道成熟的评估方法和技术去進行安全渗透测试。该方法论普遍适用于所有情况，无需考虑具体的技术，范围和方式.它综合了适用于各个项目的思想与通用规则。我们的渗透测试采用了以下4个阶段的方法:,新增,手机银行技术层面安全评估,手机银行终端渗透测试,77,除了常规的系统配置审阅与敏感信息防护检查以外，我们会尝试修改手机银行的应用逻辑或修改关键的业务逻辑，以进行非法未授权交易。我们的测试内容包括对手机银行的“内存”控制测试，以及对反编译的“机器语言”进行编辑测试。以下是我们进行测试的简要过程：,浏览手机银行，了解其关键的业务功能；针对关键的业务功能，结合过往经验，进行技术分析，推断其可能的控制流程，并梳理其潜在的风险点；根据相关风险点，准备特定的测试计划；我们的测试范围覆盖技术漏洞以及应用业务逻辑设计漏洞；,截取并修改手机银行的内存数据，通过直接修改内存的参数值，可以测试手机银行对于异常输入的处理能力直接修改内存数值，可能绕过关键的安全控制，如针对高风险交易的双重认证等,对手机银行应用进行反编译，并对其“机器代码”直接进行修改，如修改登录过程或变更转账交易的流程等操作；修改应用的配置文件如xml、plist以及数据库文件等，以改变应用的运行状态，提升用户的使用权限,此类型测试的关键效益为（部分）：,途径1应用补丁,准备,验证手机银行对用户身份认证与授权过程的控制有效性；检测通过手机银行进行非法未授权交易的可能性，如非法转移其他账户的资金，转移过大金额的资金，修改或查看其他账户的信息等检测信息泄漏风险,途径2实时内存入侵,效果,业务影响,新增,手机银行技术层面安全评估,手机银行终端渗透测试,78,我们将在测试环境下安装手机银行终端系统,并使用我们的威胁及漏洞管理方法论对系统及网络应用程序进行渗透测试,基于我们对手机银行终端系统架构的理解,我们将建立针对招商银行手机银行终端系统的测试模型，从而找出潜在的系统漏洞。在本测试中，我们将进行一系列的动态分析，包括网络传输数据拦截评估、变更应用逻辑测试以及实时内存分析等。通过这种动静结合的方式，确保我们渗透测试的广度与深度。我们亦将对数据库结构及按键,快照,临时文件,日志文件等手机银行系统可能保存敏感信息的关键位置进行审阅。我们可能使用到的部分工具:,示例,图示：我们对手机银行应用进行抽丝剥茧式的检测，从用户界面到“机器代码”，进行全方位的测试,Sqlite3ManifestExplorerIntentSnifferProcrankStraceBusyboxApkToolIDACycriptGNUDebugger,新增,示例展示：手机银行评估报告示例(评估发现与风险分析),79,手机银行技术层面安全评估,新增,80,四月2016,81,四月2016,82,4.2.3.4总行外包管理专项检查,83,普华永道认为业务连续性管理是灾难发生前后的一系列活动和方案构成的有机整体。,4.2.3.5总行业务连续性管理专项检查,84,85,备份中心的管理与操作：备份中心的建设、配置、组织机构和操作机制；备份中心的使用状况；备份中心的检测、维护和更新等；业务持续性规划的测试和维护：对业务持续性规划的定期和不定期测试。如测试范围、频率、对测试结果的评估分析等；对业务持续性规划的周期性维护更新，如规范的更新机制，各类文档资料的调整和更替，以及对外包服务商的相应调整等；业务持续性规划的制定、实施和更新方法与测试；数据、应用系统、网络和基础设施的连续性管理；应急管理制度的制定和实施方法及应急演练。,86,业务连续性策略基于银行对业务活动恢复需求的确切了解，描述了业务活动恢复需求的总体实现方法，其根本目的是为了实现业务活动恢复目标。但是，业务连续性策略不等同于具体的业务连续性预案，业务连续性策略的制定是原则性、方向性的，是综合考虑其经营战略、现状、成本和可行性之后给出的对于业务恢复实现方式、实现计划的描述，其制定应该先于业务连续性预案，对预案制定提供指导，并作为核心内容在预案中加以体现,87,业务恢复不仅是IT和工作场所的恢复，也依赖于员工、供应商、合作伙伴、设备、重要文档（例如：重要法律文件、执照）。因此，计划的设计需要周全考虑,88,4.2.3.6总行信息系统专项检查我们将与总行项目组协商，挑选一个重要信息系统，开展信息系统的专项检查，并将信息系统检查标准纳入到总/分行信息科技风险检查标准中。对检查发现问题，进行风险评价，并形成书面报告，向管理层进行汇报。我们的工作步骤包括：编制检查工作程序，包括风险、控制点、检查方法及具体步骤等；整体评估为基础：依据银监6个监管指引中相关要求进行合规性差异审阅；针对该关键系统的业务特性和风险领域展开具体及深入的评估，譬如：-针对该应用系统的业务特性和服务领域进行风险评估；-选出高风险领域，确定系统专项检查范围；-以1-5项工作内容为基础，开展深入评估；-讨论工作发展并撰写检查报告。Needtofurtherconfirmwithclient,4.2.3.6总行信息系统专项检查,Lina-pending,89,四月2016,信息科技风险合规检查【Lina】,90,四月2016,Linapending参考光大材料添加,信息泄漏风险分析,91,与十年前相比，今天的业务信息处理变得更加复杂。由于更多的流程自动化、数据访问点和数据仓库的访问，信息泄漏的风险成倍增加。,新增,数据保护、防泄漏专项检查,核心数据的定义,92,监测、应对和防范数据外泄首先必须清楚定义核心数据的位置,新增,数据防护和安全控制图,93,突发事件所导致的损失,恶意的损失,对企业内部,对企业外部,供应商和合作伙伴安全监督,安全意识培训,威胁和漏洞管理流程,用户访问权限管理,记录及监控,数据库和文件加密,分发限制,便携式系统和媒体加密,制度,安全加固,设备控制,数据防护解决方案,数据风险评估,新增,一个用来实现敏感信息保护并能够在业务中广泛使用的项目，有一些重点关注的领域，即与业务紧密联系并持续保证业务数据质量。下述因素是在建立完善的敏感信息保护时需要进行评估的特定评估领域。,94,借由全面的变更管理项目进行实施,将敏感信息视为一种战略资产,合规建立了对敏感信息保护效果和持续改善敏感信息保护行为进行监控的措施,与战略举措相关联,以商业价值作为驱动,流程建立了如何创建和修改敏感信息保护制度、流程、标准、主数据的规定,制度是指敏感信息管理指引，以及加强敏感信息保护标准、流程和制度的主要准则,敏感信息分类包括公司敏感信息标准、业务信息模型、元数据目录，以及安全和隐私要求。,技术主要是对一般信息交互提供解决方案，保证工作流程与业务正常运行，以及对用户报告和门户网站提供支持服务,组织主要负责管理敏感信息管理活动，并提供可靠的实际和/或虚拟资源网络用以保证提供优质的公司主数据,新增,95,内部人士未授权地向组织外传输数据,核心员工携带专有信息跳槽到竞争对手,某些人员对商业宝贵设计图数据库的访问不受限,IT人员持续的外部困扰,用各种设备和方法轻松复制信息,无监督的电子邮件、互联网等的员工访问,审计证据和活动监控不足,使用移动设备拍摄和传输敏感信息,丢失包含敏感信息的备份存储介质的风险,打印输出和文件拷贝保护不足,临时和合同工作人员的风险,敏感文件流通的控制不足,政策和程序无法执行,不安全的基础设施和网络,与第三方过多的信息交流,我们的