金融行业安全安全服务方案

1、PAGE58启明星辰金融事业部安全服务解决方案Ver 北京启明星辰信息技术股份有限公司Venus Information technology目 录 TOC o 1-4 h z u HYPERLINK l _Toc7 安全服务解决方案 PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 第1章概述 PAGEREF _Toc8 h 4 HYPERLINK l _Toc9 需求分析 PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 项目建设目标 PAGEREF _Toc0 h 4 HYPERLINK l _Toc1 第2章方案内容 PAGEREF _Toc

2、1 h 5 HYPERLINK l _Toc2 安全管理咨询顾问服务 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 进行信息安全管理体系咨询 PAGEREF _Toc3 h 5 HYPERLINK l _Toc4 协助进行信息安全应急响应演练 PAGEREF _Toc4 h 6 HYPERLINK l _Toc5 提供定制化的信息安全培训 PAGEREF _Toc5 h 6 HYPERLINK l _Toc6 提供互联网安全事件应急响应服务 PAGEREF _Toc6 h 6 HYPERLINK l _Toc7 国内外安全事件技术分析和趋势跟踪 PAGEREF _To

3、c7 h 7 HYPERLINK l _Toc8 安全建设及安全监控外包服务 PAGEREF _Toc8 h 7 HYPERLINK l _Toc9 风险评估 PAGEREF _Toc9 h 7 HYPERLINK l _Toc0 提供安全改造咨询 PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 提供加固技术支持 PAGEREF _Toc1 h 7 HYPERLINK l _Toc2 提供监控服务 PAGEREF _Toc2 h 7 HYPERLINK l _Toc3 第3章评估理论、方法及模型 PAGEREF _Toc3 h 8 HYPERLINK l _Toc4 相

4、关标准与规范 PAGEREF _Toc4 h 8 HYPERLINK l _Toc5 评估咨询项目的标准性原则 PAGEREF _Toc5 h 8 HYPERLINK l _Toc6 方案中标准的体现对照 PAGEREF _Toc6 h 8 HYPERLINK l _Toc7 相关标准规范介绍 PAGEREF _Toc7 h 10 HYPERLINK l _Toc8 COSO报告内部控制整体框架与ERM企业风险管理一整体框架 PAGEREF _Toc8 h 10 HYPERLINK l _Toc9 COBIT信息及相关技术的控制目标 PAGEREF _Toc9 h 12 HYPERLINK l

5、 _Toc0 ITILIT基础架构库 PAGEREF _Toc0 h 14 HYPERLINK l _Toc1 ISO27001信息安全管理规范 PAGEREF _Toc1 h 16 HYPERLINK l _Toc2 银监会63号文银行业金融机构信息系统风险管理指引 PAGEREF _Toc2 h 18 HYPERLINK l _Toc3 Cobit、ISO17799与63号文控制目标对应表 PAGEREF _Toc3 h 19 HYPERLINK l _Toc4 安全风险评估策略 PAGEREF _Toc4 h 32 HYPERLINK l _Toc5 风险管理原则 PAGEREF _To

6、c5 h 32 HYPERLINK l _Toc6 建模策略 PAGEREF _Toc6 h 33 HYPERLINK l _Toc7 信息安全管理 PAGEREF _Toc7 h 34 HYPERLINK l _Toc8 标准遵循 PAGEREF _Toc8 h 34 HYPERLINK l _Toc9 安全风险评估理论模型 PAGEREF _Toc9 h 34 HYPERLINK l _Toc0 安全风险过程模型 PAGEREF _Toc0 h 34 HYPERLINK l _Toc1 安全风险关系模型 PAGEREF _Toc1 h 36 HYPERLINK l _Toc2 安全风险计算

7、模型 PAGEREF _Toc2 h 36 HYPERLINK l _Toc3 安全风险管理过程模型 PAGEREF _Toc3 h 38 HYPERLINK l _Toc4 第4章风险评估 PAGEREF _Toc4 h 40 HYPERLINK l _Toc5 资产管理评估 PAGEREF _Toc5 h 40 HYPERLINK l _Toc6 资产分类调查 PAGEREF _Toc6 h 40 HYPERLINK l _Toc7 资产安全管理 PAGEREF _Toc7 h 41 HYPERLINK l _Toc8 威胁评估 PAGEREF _Toc8 h 42 HYPERLINK l

8、 _Toc9 安全隐患分析 PAGEREF _Toc9 h 42 HYPERLINK l _Toc0 网络架构威胁分析 PAGEREF _Toc0 h 43 HYPERLINK l _Toc1 弱点与漏洞评估 PAGEREF _Toc1 h 44 HYPERLINK l _Toc2 大规模漏洞检测评估 PAGEREF _Toc2 h 44 HYPERLINK l _Toc3 渗透性测试 PAGEREF _Toc3 h 44 HYPERLINK l _Toc4 控制台人工审计 PAGEREF _Toc4 h 45 HYPERLINK l _Toc5 网络架构评估 PAGEREF _Toc5 h

9、46 HYPERLINK l _Toc6 网络性能与业务负载分析 PAGEREF _Toc6 h 46 HYPERLINK l _Toc7 访问控制策略与措施分析 PAGEREF _Toc7 h 47 HYPERLINK l _Toc8 网络设备策略与配置评估 PAGEREF _Toc8 h 48 HYPERLINK l _Toc9 安全设备策略与配置评估 PAGEREF _Toc9 h 48 HYPERLINK l _Toc0 安全控制评估 PAGEREF _Toc0 h 49 HYPERLINK l _Toc1 安全管理评估 PAGEREF _Toc1 h 50 HYPERLINK l _

10、Toc2 安全管理体系评估 PAGEREF _Toc2 h 50 HYPERLINK l _Toc3 常规安全管理 PAGEREF _Toc3 h 51 HYPERLINK l _Toc4 应急安全管理 PAGEREF _Toc4 h 51 HYPERLINK l _Toc5 业务与应用评估 PAGEREF _Toc5 h 52 HYPERLINK l _Toc6 业务流程分析 PAGEREF _Toc6 h 52 HYPERLINK l _Toc7 应用服务与应用系统分析 PAGEREF _Toc7 h 53 HYPERLINK l _Toc8 典型安全评估咨询输出 PAGEREF _Toc

11、8 h 54 HYPERLINK l _Toc9 信息安全现状报告 PAGEREF _Toc9 h 54 HYPERLINK l _Toc0 信息安全风险评估报告 PAGEREF _Toc0 h 54 HYPERLINK l _Toc1 信息安全策略建议 PAGEREF _Toc1 h 55 HYPERLINK l _Toc2 信息安全解决方案建议 PAGEREF _Toc2 h 56 HYPERLINK l _Toc3 安全培训方案建议书 PAGEREF _Toc3 h 56概述需求分析随着金融业务的高速发展，对信息系统的要求越来越高。在信息系统建设的同时，也非常注重信息安全的建设，为了进一

12、步提高信息系统的安全性，依据长期发展战略，提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求，具体包括如下几个方面：完善信息科技部门信息安全管理体系；提高信息安全应急响应能力；提高信息安全人员意识及技术能力；提高银行自身合规性的能力；加强对国内外安全事件技术分析和趋势跟踪；清楚认识网上银行存在的风险，提高网上银行的安全性。项目建设目标通过项目建设，达到如下目标：根据中国银行业监督管理委员会下发的相关信息科技风险管理指引，以及国际流行的信息安全风险管理规范，结合信息科技发展的实际情况，进一步完善和细化信息科技风险管理制度和流程；提高对信息安全的应急能力；通过培训等手段提高信息科技部技

13、术队伍人员的信息安全意识和技能水平；提高符合监管部门监管要求、法律法规的能力；通过评估网上银行的现状，提出网银安全建设和整改方案，并监控来自互联网针对网银的攻击行为。方案内容为了满足安全需求，达到预定目标，项目建设的内容如下：安全管理咨询顾问服务进行信息安全管理体系咨询在已有信息安全管理制度、规范的基础上，进一步制定可落实、可执行的信息安全管理体系，涵盖策略、规范、流程等各个层面。通过多年的积累，结合BS7799及COBIT最佳实践，形成了自己的一套管理制度体系，这套管理体系可以根据客户的实际情况进行裁剪。在本项目中，我们将会对XXXXX现有制度进行梳理，结合公司的管理体系框架，形成一套适合X

14、XXXX的管理制度体系及流程，具体如下步骤：本活动由以下步骤组成：步骤1：分析已获信息策略规划小组对已收集的各种文档信息进行分析，鉴别已有的信息安全策略，并进行相应的记录。步骤2：设计框架结构根据已获得的信息，策略规划小组设计信息安全策略框架。步骤3：沟通框架结构针对已创建的信息安全策略框架，策略规划小组与相关人员进行沟通。步骤4：制定安全策略在确定了信息安全策略的框架之后，策略规划小组为制定信息安全策略。步骤5：分析评估报告策略规划小组分析已完成的评估报告，鉴别评估过程中发现的问题。步骤6：完善安全策略根据评估报告中所发现的问题，策略规划小组完善信息安全策略。协助进行信息安全应急响应演练协助

15、信息科技部门制定网络安全应急响应流程,并参与XXXXX组织的应急响应演练,评估应急响应演练效果并提供改进建议。在制定XXXXX信息科技部门制定网络安全应急响应流程中将结合现有信息系统情况，制定可实施的应急预案，将按照应急预案进行演练，并制定详细的恢复计划，保证最小化影响业务系统。制定好应急预案后，将根据应急预案协助XXXXX进行应急响应演练,检验应急预赛的可行性，评估应急响应演练效果并提供改进建议。在应急演练过程中，将检验如下的各个环节：建立应急组织应急准备应急演练应急启动与处理应急恢复与重建应急结束应急总结应急汇报与信息披露提供定制化的信息安全培训针对普通员工、科技干部、管理层提供不同类型的

16、信息安全培训，包括管理培训和网络安全技术。将根据XXXXX的实际情况，提供客户化的培训，具体计划如下：对管理人员进行管理培训，提供2人次的BS7799培训；对技术人员进行4人次的CISP培训；对普通员工进行现场的安全意识培训。提供互联网安全事件应急响应服务针对来自互联网的入侵、蠕虫爆发提供应急响应服务。将分级别为XXXXX提供互联网安全事件的应急响应服务，具体计划如下：分类说 明响应方式高级事件由攻击行为直接引起的相关事件，正在危害，或者即将危害到系统的业务连续性。非攻击行为造成，但是影响到目标系统业务持续性的事件。 现场为主，远程中级事件由非攻击行为直接引起的其他事件， 而且这种事件没有直接

17、影响到当前业务的持续性。例如一般性安全咨询，产品升级，病毒库升级等等。远程为主（电话，邮件，传真等），必要时进行现场支持低级事件攻击或者非法事件并没有对系统造成伤害，但有入侵企图，可能会造成损害。远程为主（电话，邮件，传真等）国内外安全事件技术分析和趋势跟踪关注安全业内动态、与国、内外安全机构有密切的联系，密切跟踪安全事件及安全发展趋势，将为XXXXX以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务，使XXXXX防患于未然。以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务。安全建设及安全监控外包服务风险评估针对XXXXX网银进行风险评估，提出网银的改

18、进方案，并结合XXXXX业务提出网银的发展规划。提供安全改造咨询为XXXXX安全改造提供技术咨询。提供加固技术支持为XXXXX系统加固提供技术支持。提供监控服务提供7X24小时安全监控服务，在出现异常攻击行为时进行及时的应急响应处理。评估理论、方法及模型通过风险评估服务，可以提高客户关键业务系统的可用性和可靠性、降低信息安全管理成本，提高金融企业对行业监管、国家政策的合规性，同时也可为其他外部系统提供安全基准，进一步增强客户的竞争优势。在设计过程和方案的实施中，结合客户网络的特点，遵循和参照最新、最权威、最具有代表性的国家和国际信息安全标准与建议。下面给出了相关标准和法规、政策在方案中的体现。

19、相关标准与规范评估咨询项目的标准性原则启明星辰提供的本次安全评估咨询服务，将依据2006年度银行业金融机构信息科技风险评价审计要点、银行业金融机构信息系统风险管理指引、电子银行安全评估指引（征求意见稿）、商业银行内部控制评价试行办法中的相关要求进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳优秀的风险评估理论。国际标准包括ISO17799:2005信息技术信息安全管理业务规范、 GAO/AIMD-00-33、信息安全风险评估、ISO ISO/TR 13569银行和相关金融服务一信息安全指南、AS/NZS 4360: 1999 , IS

20、O15408等；国家标准包括GB17859，GB18336等。同时我们将参考COSO/ERM企业风险管理一整体框架、Cobit 、ITIL 、Prince2等IT治理模型；这些标准和操作指南目前已经被金融行业风险评估项目和IT治理项目中进行了实践，并得到了用户的认可和好评。除对标准的遵循外，启明星辰的风险评估过程还紧密结合金融行业的各种业务特征，依据XXXXX的业务特点，系统地制定了XXXXX信息安全风险评估方案。方案中标准的体现对照评估过程参照标准调查表和问题的设计2006年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引（征求意见稿）商业银行内

21、部控制评价试行办法ISO ISO/TR 13569银行和相关金融服务-信息安全指南Cobit 加拿大威胁和风险评估工作指南美国国防部彩虹系列NCSC-TG-019ISO17799/BS7799资产评估ISO17799/BS7799加拿大威胁和风险评估工作指南风险分析方法ISO13335风险分析模型AS/NZS 4360: 1999 风险管理标准风险计算模型AS/NZS 4360: 1999 风险管理标准GAO/AIMD-00-33信息安全风险评估安全管理评估2006年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引（征求意见稿）商业银行内部控制评价

22、试行办法ISO ISO/TR 13569银行和相关金融服务-信息安全指南Cobit ISO17799/BS7799ISO13335物理安全评估银行业金融机构信息系统风险管理指引ISO17799/BS7799ISO ISO/TR 13569银行和相关金融服务-信息安全指南网络设备安全性ISO15408（CC）GB17859解决方案咨询2006年度银行业金融机构信息科技风险评价审计要点银行业金融机构信息系统风险管理指引电子银行安全评估指引（征求意见稿）商业银行内部控制评价试行办法ISO ISO/TR 13569银行和相关金融服务-信息安全指南Cobit ISO17799/BS7799相关标准规范介

23、绍COSO报告内部控制整体框架与ERM企业风险管理一整体框架美国全美反舞弊性财务报告委员会（又称COSO委员会）于1992年发布了内部控制整体框架（以下称COSO报告）。COSO报告为企事业单位构建起一个三维立体的全面风险防范体系。 COSO报告提出，COSO整体框架包括3大运营目标和5大控制要素。内部控制3大运营目标：1、运营的效果和效率；2、财务报告的可靠性；3、遵守适用的法律和法规（合规性）内部控制由5个要素：即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成

24、的完整的、能对变化的环境做出反应的系统。控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。2004年COSO又发布了ERM企业风险管理一整体框架，如下图所示：说明：COSO通用内控框架与ERM虽是同一个机构所发布，但是ERM不是COSO总体内控框架的替代品。COBIT信息及相关技术的控制目标199

25、6年，作为一项IT安全与控制的实践标准，COBIT由信息系统审计与控制组织和IT管理协会共同开发。它为IT、安全、审计经理和用户提供了一套完整的参考框架。目前，COBIT已经发布了第四版，它正在成为控制数据、系统和相关风险的优秀实践法则，并逐渐被越来越多的用户所接受。它将帮助企业部署对系统和网络的有效管理。 COBIT框架具有以业务为关注焦点、以过程为导向、基于控制和测量驱动的特点。为实现业务目标，COBIT定义了七个独立但又有所重叠的信息准则:有效性：应以及时、正确、一致和可用的方式来交付与业务过程有关的信息；效率2：通过优化（生产率最高且经济合理）资源使用来交付信息；保密性：保护敏感信息免

26、受未授权泄漏；完整性：信息的正确和完整，并根据业务价值和期望进行验证；可用性：若业务过程现在或将来需要时，信息是可用的。可关注于保护所需的资源及相关的能力；符合性：符合业务过程必须遵循的法律法规要求和合同约定，即外部的强制性要求和内部策略；可靠性：为管理者提供适当的信息，以管理组织并检验其可信和治理职责。COBIT将IT资源定义为：应用系统：用户处理信息的自动化用户系统及手册程序；信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式所使用；基础设施：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环境）；人员：

27、策划、组织、采购、实施、交付、支持、监视和评价信息系统和服务所需的人员。COBIT在四个域内采用过程模型的方式定义IT活动，四个域分别是：策划与组织、获取与实施、交付与支持、监视与评价。这些域映射到传统的IT职责域：计划、建设、运营和监视。即PDCA管理模型。管理指导方针的部件由衡量企业在34种IT流程中能力的工具所组成。这些工具包括了性能测量组件、为每种IT流程提供最佳实践的关键成功因素清单，以及帮助进行基准测试的成熟度模型。Cobit的三维模型如下图所示：Cobit整体架构如下图所示：ITILIT基础架构库80年代中期，英国政府部门发现提供给其的IT服务质量不佳，于是要求当时的政府计算机和

28、电信局（CCTA）（后来并入英国政府商务部（OGC），启动一个项目对此进行调查，并开发一套有效的和可进行财务计量的IT资源使用方法以供本国的政府部门和私有部门使用。同时，这种方法还应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。这个项目的最终成果是一套公开出版的IT管理指南，这就是ITIL（Information Technology Infrastructure Library）。到90年代中期，ITIL成为了事实上的欧洲IT服务管理标准。90年代后期，ITIL又被引入到美国、南非和澳大利亚等国家和地区。2001年英国标准协会（BSI）在国际IT服务管理论坛（itSMF）年

29、会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。2002年BS15000被提交给国际标准化组织（ISO），申请成为了IT服务管理国际标准ISO 20000。ITIL是有关IT服务管理流程的最佳实践，事实上，经过近20多年的发展，以流程为主线，进行了全面的扩充，最终形成了如图1所示的框架。这个框架现在成为了事实上的IT服务管理知识框架体系。上图显示了引入模块所处的整体环境和结构。它显示了每个模块同业务和技术的关系。从图中可见，业务视野模块是如何更紧密地同业务相联系而信息和通信技术（ICT）基础设施管理模块是如何更紧密地同技术本身相联系。服务提供和服务支持模块提供了过程框架

30、和核心。这七个模块组成了ITIL 的核心。下面将对其中各个模块的新的范围、内容及其关系进行介绍。服务提供：覆盖了规划和提供高质量IT 服务所需的过程，并且着眼于改进所提供的IT 服务的质量相关的长期过程。服务支持：服务支持描述了同所提供的IT 服务日常支持和维护活动相关的过程。信息和通信技术基础设施管理（ICT IM)：信息和通信技术基础设施管理覆盖了从标识业务需求到招投标过程、到信息和通信技术组件和IT 服务的测试、安装、部署以及后续运行和优化的信息和通信技术基础设施管理的所有方面。规划实施服务管理：检查组织机构内规划、实施和改进服务管理过程中所涉及的问题和任务。它也考虑同解决文化和组织机构

31、变更、开发远景和战略以及方案的最合适方法等相关的问题。应用管理：描述了如何管理应用从最初的业务需求直至和包括应用废弃的应用生命周期的所有阶段。它将重点放在在应用的整个生命周期内确保IT 项目和战略同业务建立紧密的联系，以确保业务从其投资中获得最佳价值。业务视野：提供了建议和指南，以帮助IT 人员理解他们如何才能为业务目标作出贡献以及如何更好地联系和挖掘其角色和服务以最大化其贡献。安全管理：详细描述了规划和管理用于信息和IT 服务的给定级别安全的过程，包括同响应安全事故相关的所有方面。它也包括了风险和脆弱性的评估和管理，以及成本有效的对策的实施ITIL的IT服务流程可供我们在做安全咨询及安全解决

32、方案设计时作参考。ISO27001信息安全管理规范ISO 27001:2005由11 个大的控制方面、39 个控制目标、133 个控制措施构成。ISO/IEC 27001:2005要求组织应根据整体业务活动及其面临的风险通过制定信息安全方针、制定体系范围、明确管理职责，通过风险评估确定控制目标与控制措施等活动建立信息安全管理体系（ISMS）；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，如方针、适用性声明文件和实施安全控制所必须的程序文件。通过建立、实施、运作、监视、评审、保持并改进文件化的信息安全管理体系，使组织拥有持续改进的信息安全保障

33、能力，为实现业务目标提供支撑。ISO/IEC 27001:2005规定了建立、实施和文件化信息安全管理体系得要求。它规定了组织根据其需求实施安全控制的要求。体系规范的结构如下图所示：图. ISO/IEC 27001:2005结构信息安全管理体系作为一个管理标准，也遵循了PDCA（Plan-Do-Check-Action，策划-实施-检查-行动）的持续改进的管理模式，这也反映在整个标准的架构上，整个标准的重心在建立ISMS系统，如下图所示：图. ISMS框架规划（建立 ISMS）根据组织的整体策略和目标，建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序，以获得结果。执行（实施和运作

34、ISMS）实施和运作安全策略、控制、过程和程序。控制（监视和评审ISMS）适用时，根据ISMS策略、目标和惯有经验评估行，并向管理层报告结果，进行评审。改进（保持和改进 ISMS）根据内部ISMS 审计和管理评审或其他信息施，以实现ISMS 的持续改进。ISO/IEC 27001:2005采用PDCA“规划-执行-控制-改进”（PDCA）过程模式。该模型适用于建立ISMS的所有过程。ISMS框架图描述了ISMS如何输入相关方的信息安全要求和期望，经过必需的活动和过程，产生满足这些需求和期望的信息安全输出。采用PDCA模型也反应了OECD指南（2002）信息系统和网络的安全治理中所陈述的准则。I

35、SO/IEC 27001:2005为在风险评估、安全设计和实施、安全管理和再评估方面实施这些指南中的准则提供了强健模型。银监会63号文银行业金融机构信息系统风险管理指引随着银行业金融机构的经营活动日益综合化和国际化，业务和产品越来越复杂，合规失效的事件不断暴露，银行业金融机构经营活动的合规性面临严峻的挑战，原有合规管理框架的有效性受到质疑，合规风险管理的理念和方法需要与时俱进。近年来，全球银行业的合规风险管理技术得到了快速的发展，普遍实施风险为本的合规管理做法，并把合规管理作为银行业金融机构一项核心的风险管理活动。2005年4月29日,巴塞尔银行监管委员会发布了合规与银行内部合规部门文件，提出

36、了合规管理十项原则，向各国银行业金融机构及其监管当局推荐有效管理合规风险的最佳做法。加强合规风险管理是银行业金融机构自身努力追求的目标。银监会根据中华人民共和国银行业监督管理法和中华人民共和国商业银行法，在广泛吸收和借鉴国内外银行业金融机构合规风险管理的良好做法，以及国外银行业监管机构相关规定的基础上，制定了指引。指引重点强调了三个方面：一是建设强有力的合规文化。合规管理是商业银行一项核心的风险管理活动，合规必须从高层做起，董事会和高级管理层应确定合规基调，确立正确的合规理念，提高全体员工的诚信意识与合规意识，形成良好的合规文化，这对于银行业金融机构有效管理包括合规风险在内的各类风险至关重要。

37、二是建立有效的合规风险管理体系。董事会应监督合规政策的有效实施，以使合规缺陷得到及时有效的解决。高级管理层应贯彻执行合规政策，建立合规管理部门的组织结构，并配备充分和适当的资源，确保发现违规事件时及时采取适当的纠正措施。合规管理部门应在合规负责人的管理下，协助高级管理层有效管理合规风险，制定并执行风险为本的合规管理计划，实施合规风险识别和管理流程，开展员工的合规培训与教育。三是建立有利于合规风险管理的三项基本制度，即合规绩效考核制度、合规问责制度和诚信举报制度，加强对管理人员的合规绩效考核，惩罚合规管理失效的人员，追究违规责任人的相应责任，对举报有功者给予适当的奖励，并对举报者给予充分的保护。

38、指引共五章三十一条，基本涵盖了商业银行董事会及其下设委员会、监事会、高级管理层、合规负责人、合规管理部门的合规管理职责以及合规风险识别和管理流程的各个环节，对合规文化建设、合规风险管理体系建设以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出了规定。指引还规定了商业银行合规政策、合规管理程序和合规指南等内部制度的报备要求、合规风险管理计划和合规风险评估报告的报送要求以及重大违规事件的报告要求，明确了监管部门对商业银行合规风险管理进行非现场监管和现场检查的重点。Cobit、ISO17799与63号文控制目标对应表下表我们将Cobit 、ISO 17799:2005与银监会发

39、布的63号文中的相关管理控制要求做一对比，以便于评估咨询中参考使用。Cobit、ISO 17799:2005与63号文控制目标对应表如下：Cobit ISO 17799:200563号文域过程控制目标控制目标条文POPO1定义战略性的信息技术规划 IT价值管理资产责任信息分类第一条商业-IT结盟6.1.1 信息安全管理承诺 第五条现有性能评估第十五条IT 战略计划6.1.1 信息安全管理承诺 第五条IT 战术计划6.1.1 信息安全管理承诺 IT投资组合管理P02定义信息体系结构企业信息结构模型6.1.1 信息安全管理承诺 第六条企业数据字典和数据语法规则数据分类方案信息分类完整性管理10.5

40、.1信息备份PO3决定技术方向技术方向计划技术基础设施计划5.1.2信息安全方针评审监测未来的趋势和法规6.1.1 信息安全管理承诺 技术标准IT架构委员会6.1.1 信息安全管理承诺 PO4定义信息技术相关的过程,机构及其互相的关系IT 流程框架IT战略委员会6.1.1 信息安全管理承诺第六条第七条（二）第八条第九条IT指导委员会6.1.1 信息安全管理承诺 第六条第七条（二）第八条第九条IT职能的机构设置6.1.1 信息安全管理承诺 至6.1.5保密协议第六条第七条（二）第八条第九条第四十四条IT组织的结构6.1.1 信息安全管理承诺 第六条第七条（二）第十条角色和责任6.1.3信息安全职

41、责分配 8.1.1角色和职责第六条第七条（二）第八条第九条IT质量保证的责任8.2.1管理职责第六条第七条（二）风险,安全和依从的责任6.1.1 信息安全管理承诺 6.1.2信息安全协调 6.1.3信息安全职责分配 8.1.1角色和职责 15.1.4个人信息的数据保护和隐私第六条第七条（二）第八条数据和系统的拥有者6.1.3信息安全职责分配7.1.2资产所有者关系8.3.3撤销访问权限第六条第七条（二）监督6.1.2信息安全协调 6.1.3信息安全职责分配第七条（三）职责分离10.1.3职责分离10.1.4开发、测试与运营设施的分离第十七条第十条第十一条IT人员配备第十条第十一条关键IT人员第

42、十条第十一条第十二条与员工签约的政策和程序6.2.3在第三方协议中强调安全 8.1.3雇佣条款和条件关系内部组织第七条（四）PO5管理信息技术投资财务管理框架IT预算优先编制IT预算过程成本管理5.1.2信息安全方针评审收益管理5.1.2信息安全方针评审 PO6沟通管理的目标和方向IT策略和控制环境信息安全方针,内部组织 8.2.2信息安全意识、教育和培训8.2.3企业IT风险和内部控制框架信息安全方针 5.1.1信息安全策略文档, IT策略管理信息安全方针内部组织 第十五条PO64策略的首次展出IT目标和方向的交流管理人力资源员工招聘和维持8.1.2选拔8.1.3雇佣条款和条件员工能力内部组

43、织雇佣前第七条（八）员工角色安排内部组织6.1.3信息安全职责分配雇佣前8.1.1角色和职责8.1.3雇佣条款和条件报告信息安全事故和弱点人员培训6.2.3在第三方协议中强调安全第七条（八）对个别人员的依赖第四十四条人员清除程序8.1.2选拔员工工作绩效考评8.1.2选拔8.1.3雇佣条款和条件工作变化和终止8.1.1角色和职责8.1.3雇佣条款和条件 8.3.1终止职责 8.3.2归还资产 8.3.3撤销访问权限确认符合外部的要求质量管理系统IT标准和质量实践发展和获取标准 ALC客户的关注点连续性的改进质量管理,监视和检查第七条（五）PO9评估风险IT和业务风险管理结盟风险关系的建立事件鉴

44、定6.2.1识别与外部组织相关的风险安全区域 9.2.6设备的安全处置或重用第二十条风险评估6.1.2信息安全协调6.2.1识别与外部组织相关的风险14.1.2业务连续性和风险评估第二十条第七条（九）风险响应第二十条一个风险行动计划的维护和监视管理项目项目管理构架第三十三条项目管理框架项目管理方法利益相关者许诺第三十四条项目范围声明第三十四条项目阶段开始整合的项目计划项目资源项目风险管理项目质量计划项目变化控制项目计划的担保方法项目性能检测,报告和监视项目结束AIAI1识别自动化的解决方案企业功能及技术需求的定义及维护第三十六条风险分析报告第三十五条作用的选择过程的可行性研究和公式化需求和可行

45、性的决定和认同AI2获得和维护应用软件概要设计 第三十七条详细设计第二十二条第二十一条应用控制和可审计性系统文件安全第二十五条第二十六条应用安全和可用性应用系统和信息访问控制12.2.3消息完整性9.2.4设备维护防范恶意和移动代码备份信息交换电子商务服务第二十六条第二十五条第二十四条第二十三条所需应用软件的配置与实施12.4.1操作软件控制第二十四条现有系统的重要升级10.3.2系统验收12.4.1操作软件控制12.5.3软件包的变更限制14.1.5BCP的测试、保持和再评估第二十条应用软件改进12.5.3软件包的变更限制软件质量保证12.5.2操作系统变更后的应用系统技术评审第二十三条应用

46、需求管理12.5.3软件包的变更限制应用软件维护12.5.1变更控制程序2.5.3软件包的变更限制第二十七条AI3获得和维护技术基础设施技术基础设施采购计划基础设施资源保护和可用性9.2.4设备维护第十六条基础设施维护9.2.4设备维护备份可行性测试环境第三十八条第二十八条第二十七条AI4发展和维护流程对可操作性解决方案的设计面向企业管理层的知识转移8.2.2信息安全意识、教育和培训10.3.2系统验收10.4.1防范恶意代码12.4.1操作软件控制ADO面向终端用户的知识转移8.2.2信息安全意识、教育和培训10.3.2系统验收10.4.1防范恶意代码12.4.1操作软件控制ADO面向操作人

47、员和技术支持人员的知识转移8.2.2信息安全意识、教育和培训10.3.2系统验收10.4.1防范恶意代码12.4.1操作软件控制ADOAI5安装和授权系统获取控制 ATE供应合同管理 6.2.1识别与外部组织相关的风险6.2.3在第三方协议中强调安全12.1.1安全要求分析和规范12.5.5软件委外开发14.1.5BCP的测试、保持和再评估与法律法规要求的符合性第五十九条供应商的选择第五十三条软件的获取ADO可开发资源的获取信息系统的安全要求基础设施、设备以及相关服务的获取AI6管理变更变更的标准和规程6.1.4信息处理设施的授权问题6.2.3在第三方协议中强调安全10.1.2变更管理开发和支

48、持过程安全12.5.1变更控制程序12.5.3软件包的变更限制13.1.2报告安全弱点第三十九条影响的评定、优先化与授权紧急变更6.2.3在第三方协议中强调安全9.2.2支持性设施14.1.4业务连续性计划框架第三十九条 变更情况的跟踪报道 第三十九条变更结束与归档第三十九条AI7安装和获取解决方案及变更培训8.2.2信息安全意识、教育和培训10.3.2系统验收10.4.1防范恶意代码12.4.1操作软件控制测试计划操作程序和职责系统文件安全14.1.5BCP的测试、保持和再评估第四十条实施计划第四十条测试环境10.1.4开发、测试与运营设施的分离第二十八条系统与数据转换第二十八条测试变更12

49、.1.1安全要求分析和规范12.5.1变更控制程序2.5.3软件包的变更限制第四十条最终验收测试10.3.2系统验收12.1.1安全要求分析和规范15.2.2技术符合性检查 ATE产品推出 ATE软件发布第二十条系统布署ADO变更的记录与追踪第四十一条实施后评审10.3.2系统验收第四十二条DSDS1定义和管理服务水平服务水平管理框架的建立第二十九条定义服务第三十一条确定相关的服务水平协议第五十二条执行服务水平协议第五十二条监控并汇报服务水平管理的成果第五十二条回顾并更新服务水平管理协议第五十二条DS2管理第三方的服务识别所有的供应商关系第五十三条供应商关系管理外部组织第五十四条供应商风险管理

50、外部组织第五十六条第五十七条供应商绩效考核外部组织第五十八条DS3管理IT系统的性能和容量IT系统性能和容量规划10.3.1容量管理第二十三条评估现有IT系统的容量和性能10.3.1容量管理第二十三条预测未来的容量和性能10.3.1容量管理第二十三条IT资源的可用性；10.6.1网络控制第二十三条持续监控及报告对应的IT系统性能和容量。10.3.1容量管理10.5.1信息备份第二十三条DS4保证服务的持续性建立IT持续性运营框架14.1.1在业务连续性管理过程中包含信息安全14.1.2业务连续性和风险评估第七条（四）建立IT持续性运营规划业务连续性管理的信息安全方面关注重要IT资源维护IT持续

51、性运营计划14.1.5BCP的测试、保持和再评估测试和演练IT持续性运营计划14.1.5BCP的测试、保持和再评估第二十九条IT持续性运营计划的培训14.1.4业务连续性计划框架IT持续性运营计划的分发14.1.3开发并实施包括信息安全的连续性计划定义IT服务灾难恢复阶段的操作指南备份第二十九条异地灾备系统设备安全备份14.1.3开发并实施包括信息安全的连续性计划IT服务恢复后的检查备份DS5保证系统的安全性IT系统安全的管理（在公司层面进行IT系统安全管理，从而保证安全管理的活动与企业业务要求保持一致）资产责任安全区域9.1.5在安全区域工作10.1.1文件化的操作程序 10.7.1移动介质

52、的管理11.1.1访问控制策略11.4.1网络服务使用策略 11.6.1信息访问限制12.3.1使用加密控制的策略 FMTIT系统安全的规划信息安全方针用户标识的管理访问控制的业务要求用户访问管理用户帐号及相关系统权限的管理6.1.3信息安全职责分配6.1.4信息处理设施的授权问题6.2.1识别与外部组织相关的风险8.1.2选拔9.1.2物理进入控制10.7.3信息处置程序11.1.1访问控制策略11.2.1用户注册11.2.2特权管理11.6.1信息访问限制12.4.2系统测试数据的保护第四十四条第五十五条IT系统的安全测试，审计及监控10.1.4开发、测试与运营设施的分离10.3.2系统验

53、收12.1.1安全要求分析和规范12.4.2系统测试数据的保护12.5.2操作系统变更后的应用系统技术评审 ATE安全事件的定义13.1.1报告信息安全事件安全技术的保护6.1.5保密协议8.1.3雇佣条款和条件10.1.1文件化的操作程序 11.2.3用户口令管理15.1.6密码控制的法律法规 加密密钥的管理10.9.1电子商务12.3.2密钥管理15.1.3组织记录的保护恶意软件的防范、 检测及纠正10.4.1防范恶意代码网络安全网络安全管理敏感数据交换、传输的安全保护信息交换定义并分配成本识别所有的IT成本或开销，并对应到IT服务IT开销的审计（包括对IT预算和实际开销差距的分析和报告）

54、费用模型及付款费用模型的维护DS7使用者的有效培训识别用户教育和培训的需求5.1.1信息安全策略文档8.2.2信息安全意识、教育和培训用户责任教育和培训的实施8.2.2信息安全意识、教育和培训10.3.2系统验收评估培训效果DS8管理服务台及事件服务台,10.6.1网络控制访问控制 登记用户的询问10.6.1网络控制访问控制 事件升级8.1.1角色和职责13.1.1报告信息安全事件 第五十条 事件关闭 趋势分析信息安全事故管理和改进DS9配置管理 配置信息的存储和基线7.1.1资产清单 10.1.2变更管理 配置项的标识和维护10.1.2变更管理配置的完整性审查DS10问题管理问题的确定和分类

55、问题的跟踪和解决第五十条 终止问题 对变更,配置和问题管理的整合10.1.2变更管理第四十七条DS11管理数据资产业务对数据管理的需求存储和保持的安排媒体库管理系统处理6.1.4信息处理设施的授权问题7.2.29.2.1设备选址与保护9.2.710.7.3信息处置程序11.7.1备份与恢复备份数据管理的安全需求5.1.1信息安全策略文档8.1.3雇佣条款和条件9.1.2物理进入控制9.2.4设备维护9.2.6设备的安全处置或重用10.7.2介质的销毁10.7.4系统文档安全 DS12设备管理DS12.地点的选择与规划9.1.1物理安全边界9.2.1设备选址与保护物理安全措施安全区域第四十五条物

56、理访问9.1.2物理进入控制第四十六条环境因素防护安全区域设备安全第四十五条物理设施管理设备安全DS13操作管理操作流程和说明操作程序和职责第四十六条工作计划操作程序和职责基础体系管理第四十九条敏感文档和输出设备10.7.4系统文档安全 第四十六条对硬件的预防性维护操作程序和职责第四十六条MEME1监测和评估IT绩效 监督办法第六十条 收集确定监测数据13.2.3收集证据第六十一条 监测方法第六十二条 绩效考评第七十条 执行委员会和主管报告第七十一条 补救14.1.3开发并实施包括信息安全的连续性计划第七十条ME2监测和评估内部控制ME2 .1 监督和评估内部控制框架第六十四条第六十六条 监督

57、审查第六十九条 例外控制13.1.1报告信息安全事件第六十七条 控制自我评估 内部控制的保证 第三方的内部控制6.2.1识别与外部组织相关的风险6.2.3在第三方协议中强调安全,第五十五条 补救14.1.3开发并实施包括信息安全的连续性计划第七十条ME3保证法律法规的符合性 法律和规则的确认带给资讯潜在的影响15.1.1信息安全策略文档第十九条第十三条对管理的需求回应的最佳化 评估符合监管要求与法律法规要求的符合性与安全策略和标准的符合性，以及技术符合性 第十三条第七条（七） 积极履行保证与法律法规要求的符合性与安全策略和标准的符合性，以及技术符合性第七条第十三条 综合报告第七条（六）ME4执

58、行治理 建立IT管理架构5.1.1信息安全策略文档 战略调整第七十条 提供价值资源管理资产责任信息分类第四十八条 风险管理5.1.1信息安全策略文档 考绩雇佣中独立保证外部组织第六十八条安全风险评估策略风险管理原则为了有效地控制信息安全风险，需要确立风险管理的原则如下：1.评估风险，决定需求；2.建立风险管理中心；3.实施相应的策略和相关的控制；4.提高客户关注程度；5.监控和评估策略以及控制效力。一个成功的组织应该应用这些原则，将自己融入一个关注风险的持续的循环处理中。信息保障程序的成功取决于信息系统受风险的影响程度以及这些风险对交易操作的影响。在评估交易操作的风险之后，组织机构还应该：1.

59、制订策略，选择控制；2.增加对策略和控制的关注程度；3.监控策略和控制的效力；4.根据结果来决定是否应该对策略和控制进行修改。所有组织说风险认识和相关的代价利益的折衷是他们信息保障相关程序的主要关注点。信息保障不是终点，但是整合到交易处理过程中，例如，设立为支持交易操作而设计的策略和控制。建模策略ISO/IEC13335中指出了四种风险评估方法：基线方法、非正式方法、详细的风险评估方法、复合的方法。基线方法主要是使用一套标准的安全措施集合作用于信息系统，从而获得最基本的保护级别；非正式方法挖掘安全专家的知识和经验，推导出一套实际可操作的风险分析方法；详细的风险评估方法主要是详细描述系统中资产的

60、类型和价值，评估与资产相关的威胁和风险；复合方法综合了基线方法（运用于一般的信息系统）和详细方法（运用于重要的信息系统）。AS/NZS 4360: 2001 风险管理标准中又提出了FMECA (Failure Mode, Effects and Criticality Analysis)方法，利用这种方法可以用可能性和结果的乘积建立风险级别矩阵。我们拟综合ISO/IEC13335和AS/NZS 4360的几种方法，依据银行业金融机构信息系统风险管理指引的要求，根据提出的评估原则，建立本项安全工程的风险模型：风险评估过程模型、风险管理模型、关系模型与计算模型。信息安全管理安全风险评估必须严格按照