银行安全沟通

1、1XX银行银行唐唐龙龙 ITIL EXPERTITIL EXPERT、CISSPCISSP、CISACISA国内安全服务现状大约50%的安全服务合同不能以让客户满意的方式提交。 千万不要成为这个统计数字中的一个千万不要成为这个统计数字中的一个!信息安全占IT总投资的份额15%85%中国中国信息安全信息安全其他其他IT项目项目012ChinaA/PUSA占 GDP的百分比IT运营十大问题20的原因是技术方面的，80的原因是管理方面的 病毒攻击（病毒攻击（57.1%） 缺乏有效的监控制度和手段（缺乏有效的监控制度和手段（51.7%） IT设备本身的性能问题（设备本身的性能问题（41.1%） 应用系

2、统应用系统/数据库本身存在数据库本身存在Bugs （39.2%） 员工缺少技能培训（员工缺少技能培训（37.5%） 维护不及时或缺乏有计划的维护（维护不及时或缺乏有计划的维护（35.7%） 缺少总体规划缺少总体规划/重复建设（重复建设（33.9%） 不同部门的不同部门的IT人员之间缺乏协调（人员之间缺乏协调（32.1%） 缺少运营管理方法论的指导（缺少运营管理方法论的指导（30.4%） 员工不按规定员工不按规定/流程操作（流程操作（28.6%）数据来源：翰纬IT管理研究咨询中心，2004以资产风险评估为基础以流程风险评估为基础以服务风险评估为基础信息安全的三个发展阶段u按需定制可按需定制可管理

3、管理u可衡量可衡量：交付交付特定特定的结果的结果u有效（有效（Effective）u有效率的（有效率的（Efficient）：用最小的努力和）：用最小的努力和成本成本u法律法规的遵从法律法规的遵从uROI（投资回报率）：（投资回报率）： 保证回报能保证投资的增益。保证回报能保证投资的增益。ROI=（ 避免风险节省下的费用避免风险节省下的费用+节省下的重复节省下的重复投资）投资）/成本成本信息安全的目标与价值信息安全威胁带来的损失分析和结论：和2009年的情况相似，病毒和恶意软件是去年导致中断最主要原因，第二位的是系统失败和数据中断大型企业业务中断平均是2-5天，平均每次中断恢复总成本是200,

4、000-380,000，平均的直接财务损失是25,000-40,000，平均间接损失是15,000-20,000。被调查的最严重的间接损失高达500,000。最大的损失是来自企业声誉的损失。尤其媒体对大型企业的安全事件非常关注，一旦发生事件，很容易被媒体进行宣传报道，造成恶劣的企业声誉影响，这是用财务成本无法估算的。事件导致业务中断的程度非常严重中断中断小中断微小中断没有少于一天一天到一周一天到一月超过一个月33%4%4%0%1%9%8%1%1%13%10% 3%2%11%1%1%0%恢复事件花费的成本1000英镑2010年大企业2010年小企业2008年总体2006年总体10,000英镑50

5、,000英镑100,000英镑250,000英镑500,000英镑超过500,000英镑直接财务损失2010年大企业2010年小企业2008年总体2006年总体1000英镑10,000英镑50,000英镑100,000英镑250,000英镑500,000英镑超过500,000英镑间接财务损失2010年大企业2010年小企业1000英镑10,000英镑50,000英镑100,000英镑250,000英镑500,000英镑超过500,000英镑信息安全对企业声誉破坏2010年大企业2010年小企业2008年总体2006年总体没有媒体报道，但客户抱怨一些媒体报道，影响声誉媒体扩散报道，产生负面声誉信

6、息安全实施思路信息安全治理与组织信息安全技术体系信息安全管理体系信息安全运营商业银行信息科技风险管理指引ISO27001业务风险法律风险财务风险市场风险信息安全与服务管理的结合持续性管理持续性管理用户用户客户客户应用管理应用管理服务级别管理服务级别管理财务管理财务管理能力管理能力管理可用性管理可用性管理配置管理配置管理变更管理变更管理安全管理安全管理事件管理事件管理问题管理问题管理服务台服务台网络管理网络管理CRM服务支持服务支持服务提供服务提供发布管理发布管理安全和业务流的结合服务管理主管服务管理主管服务级别经服务级别经理理问题经理问题经理安全经理安全经理采购经理采购经理活动1ARCIIC活

7、动2ARCCC活动3IARIC活动4IARIC活动5IIACRCSF 的RACI模型进行控制Copyright Itsxd Co.,Ltd12n 安全管理是不是一个孤立的过程。它始终是IT 和业务管理的一部分。n 尽可能通过ITSM 的流程是执行安全管理任务。n 每个ITSM过程中的任务，都应兼顾安全方面。但对这些任务的控制，应有集中式的安全管理程序。许多与安全有关的问题源于执行较差流程。日常业务运作没有妥善规划。这可能降低整体安全性。 安全常被视为功能性的任务。ITSM 包含所有必要的最佳做法流程，涵盖所有日常业务活动。这使得与ITSM 成为维持较安全的环境的基础。ITIL的允许IT运营团队

8、在IT服务的整个生命周期，评价IT服务解决方案的绩效和变化。ITIL以人、流程、技术为基础的生命周期，来看待IT服务。结构化过程质量关注业务关注isms和流程的结合13n 服务水平管理ITSM目标目标安全控制安全控制提供与业务的接口，使得IT组织提供的IT解决方案，是否符合规定的业务要求，并在可接受的成本内。定义、商定、记录和管理服务水平组织的信息安全方针，包括一般的安全性原则。n 容量管理ITSM目标目标安全控制安全控制确保IT基础设施的容量满现在和将来的业务需求。尽量避免因无计划的载荷导致系统发生故障。确保所有的负载都是正常的。控制及预防非预期的容量消耗。isms和流程的结合14n 可用性

9、管理ITSM目标目标安全控制安全控制确保商定的IT服务满足业务的可用性要求。 找出可用性相关的风险，如单点故障。 设计和实施控制措施，已尽量减少可用性风险。配合事件处理流程，管理信息安全相关的事件。n IT服务连续性管理ITSM目标目标安全控制安全控制负责管理一个组织的持续提供已商定的IT服务的能力。 确定和优先关键业务流程以及相关的威胁和脆弱性（风险管理）。 测试，维护和重新评估业务持续性计划。isms和流程的结合15n 配置管理ITSM目标目标安全控制安全控制 定义和控制IT服务和基础设施的组件，并保持信息的准确。 维护对组织资产的适当保护 识别不同类型的资产 标识和处理信息资产n 变更管

10、理ITSM目标目标安全控制安全控制确保标准化方法和程序用于 高效率和迅速处理所有的变 更，以尽量减少变更的影响。 通过风险评估，估计变更的潜在影响。 防止因变更带来的数据丢失、损坏或业务的中断。isms和流程的结合16n 事件管理ITSM目标目标安全控制安全控制尽可能快的恢复正常服务运作。 尽量减少因信息安全事件带来的损失，并监测和了解这类事件。 建立正式的流程报告和处理事件。n 问题管理ITSM目标目标安全控制安全控制 通过识别和分析事件和事故的根本原因，并进行相应的格离，以尽量降低对业务的影响。尽量减少因信息安全事件带来的损失，并监测和了解这类事件。isms和流程的结合n 发布管理ITSM

11、目标目标安全控制安全控制提交、分发和跟踪一个或多 个针对运行环境的变更。新的信息服务和系统进行风险评估。为新的信息系统和服务，确定安全要求并概述安全体系结构和详细规格。确定变更的影响边界。为新信息系统的运营定义控制措施，以确保系统的完整性。定义验收新服务的准则。isms和流程的结合 安全实施的要点：信息安全不是一蹴而就找出业务找出业务流程的流程的CSF量化量化CSF的的风险级别风险级别使用控制使用控制进行控制进行控制风险风险对其他活对其他活动节点进动节点进行控制行控制验证控制验证控制效果效果实施步骤组织建立ISO27001信息安全方针信息安全组织资产管理人力资源安全物理和环境安全通讯和运营管理

12、信息系统获得、开发和维护信息安全事件管理业务连续性管理法律法规遵从风险导向（主动） 信息安全由CSO直接负责首先建立和优化信息安全体系 由业务和IT共管有与风险平衡的安全预算 基于风险而整合的基础设施 使用主动性安全技术国际主流管理模式最佳实践商业银行信息科技风险管理指引 落实IT、风险管理部门和各级业务信息安全管理责任制，督导、检查各业务单元的信息安全管理工作。华润信息安全管理组织设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。确保银

13、行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。华润银行信息安全委会主任：副行长成员：副行长、各业务单元、企管、风险管理、人力、信息部负责人责任：负责整个银行信息安全的领导和决策工作华润银行信息安全委员会秘书处成员：信息部安全组、各功能部门、各业务单元信息部经理责任： 负责华润银行的信息安全工作的协调，保障华润信息安全组织体系的日常运转。各支行信息安全管理委员会主任：支行主管领导成员：支行信息安全负责人、支行各业务部门信息安全责任人责任：负责在本支行推动、落实集华润银行的信息安全工作总行各功能部门信息安全专员成员：各功能部门信息安全负责人责任：负责在本功能推动安全

14、制度落实、安全培训、安全系统建设等工作。核心文件配套附件1.华润银行人员信息安全职责说明2.*年度华润银行信息安全指标31.华润银行信息安全管理组织结构和人员责任管理办法2.华润银行责任矩阵示例文档落地业务目标12参照ISO270011.信息安全方针2.信息安全组织3.资产管理4.人力资源安全5.物理和环境安全6.访问控制7.通讯和运营管理8.信息系统获得、开发和维护9.信息安全事件管理10. 业务连续性管理11. 法律法规遵从最佳实践责任分解34形成责任制度文件业务目标风控内容及指标责任主体支持主体华润信息安全责任制度文件流程分解到控制项控制项分解到部门1.由业务目标进行分解2.识别业务风险

15、控制点3.风险管控手段4.各业务部门应该承担的责任5.支持部门应该承担的责任示例落地到技术工具细节防火墙IDS主机身份管理扫描器防毒异常流量业务安全需求安全风险评估策略人员安全管理需求/架构/研发/测试安全控制外包管理安全事故处理流程问题管理流程业务连续性管理安全技术产品及管理规定信息安全组织ITIL落地到人员管理（举例）人员职责分离l物理主机和机房管理人员与其他职能之间职责分离l梳理数据备份流程，涉及备份操作的各类人员之间适当做到职责分离l网络管理人员与服务器管理人员职责分离l操作系统和数据库管理员职责分离访问方式优化 划分网络安全区域 建立物理上和网络上相对独立的管控中心操作中心 充分利用代理机堡机提升安全水平 对安全配置进行整体性监控和管理安全培训 落地到供应商支持（举例）l外包开发在场外包开发1、外包方人员控制。非本项目员工，包括外包方高层都不允许进