信息科技風(fēng)險(xiǎn)自評(píng)估表

信息科技風(fēng)險(xiǎn)自評(píng)估表信息科技風(fēng)險(xiǎn)自評(píng)估表信息科技風(fēng)險(xiǎn)自評(píng)估表信息科技風(fēng)險(xiǎn)自評(píng)估表編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:信息科技風(fēng)險(xiǎn)自評(píng)估表信息科技治理風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)1董事會(huì)或高級(jí)管理層職責(zé)對(duì)信息科技戰(zhàn)略的審查批準(zhǔn)并審查信息科技戰(zhàn)略；保證信息科技戰(zhàn)略與銀行總體業(yè)務(wù)戰(zhàn)略和重大策略相一致；定期評(píng)估信息科技及其風(fēng)險(xiǎn)管理工作的總體效力和效率。信息風(fēng)險(xiǎn)管理缺乏長(zhǎng)期規(guī)劃，無法指導(dǎo)信息安全工作開展。ISO27001：2005管理層職責(zé)：建立信息安全方針，確保信息安全目標(biāo)和計(jì)劃的建立，進(jìn)行信息安全管理體系的評(píng)審；ISO27001：2005信息安全方針文檔：信息安全方針文檔應(yīng)經(jīng)過管理層的批準(zhǔn)，并向所有員工和外部相關(guān)方公布和溝通；ISO27001：2005信息安全方針評(píng)審：應(yīng)按策劃的時(shí)間間隔或當(dāng)發(fā)生重大變化時(shí)，對(duì)信息安全方針文檔進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。2對(duì)本行信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的掌握情況定期聽取信息科技風(fēng)險(xiǎn)管理部門報(bào)告；組織進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)審計(jì)；對(duì)審計(jì)報(bào)告和監(jiān)管意見的整改情況進(jìn)行監(jiān)督。無法掌握現(xiàn)有風(fēng)險(xiǎn)，對(duì)存在的信息安全風(fēng)險(xiǎn)針對(duì)性的改進(jìn)無法得到有力的推進(jìn)。Corbit信息技術(shù)審計(jì)指南-決定技術(shù)方向：IT管理層理解并使用技術(shù)基礎(chǔ)設(shè)施計(jì)劃；技術(shù)基礎(chǔ)設(shè)施計(jì)劃上的變化，以確定相關(guān)的成本和風(fēng)險(xiǎn)，這些變化要反映在IT長(zhǎng)短期計(jì)劃的變化中；IT管理層要理解監(jiān)控和評(píng)估正在出現(xiàn)技術(shù)的過程，并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中；IT管理層要理解系統(tǒng)評(píng)估技術(shù)計(jì)劃意外的過程。3對(duì)信息科技建設(shè)的支持建立合理的人才激勵(lì)體制；確保為信息科技風(fēng)險(xiǎn)管理工作撥付所需資金；建立規(guī)范的職業(yè)道德行為和廉政標(biāo)準(zhǔn)。對(duì)信息安全風(fēng)險(xiǎn)的改進(jìn)缺乏有效資源Corbit信息技術(shù)審計(jì)指南-管理信息技術(shù)投資：高級(jí)管理層應(yīng)執(zhí)行預(yù)算編制過程，按照機(jī)構(gòu)的長(zhǎng)期和短期計(jì)劃以及IT的長(zhǎng)期和短期計(jì)劃，保證年度IT運(yùn)作預(yù)算的建立和批準(zhǔn)。應(yīng)調(diào)查資金的選擇。4組織架構(gòu)組織信息科技管理委員會(huì)的建立由來自高級(jí)管理層、信息科技部分和主要業(yè)務(wù)部分的代表組成；定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的效力、信息科技預(yù)算和實(shí)際支出、信息科技的整體性能；對(duì)信息科技建設(shè)及管理情況進(jìn)行有效的協(xié)調(diào)。信息安全工作缺乏統(tǒng)一組織進(jìn)行協(xié)調(diào)。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組。5首席信息官的設(shè)置直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策；建立切實(shí)有效的信息科技部分；確保信息科技風(fēng)險(xiǎn)管理的有效性。信息安全工作缺乏統(tǒng)一有效的領(lǐng)導(dǎo)和責(zé)任人。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置c)信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。6信息科技部門的職責(zé)崗位設(shè)置完整合理；人員具有相應(yīng)的技能和專業(yè)知識(shí)，制定有合理的培訓(xùn)計(jì)劃；重要崗位制定詳細(xì)完整的工作說明。缺乏具有專業(yè)知識(shí)和技能的專職人員；信息安全工作無法有效的協(xié)調(diào)。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；應(yīng)配備專職安全管理員，不可兼任；d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。7信息科技風(fēng)險(xiǎn)管理部分的職責(zé)可直接向CIO或CRO匯報(bào)；實(shí)施持續(xù)的信息科技風(fēng)險(xiǎn)評(píng)估；協(xié)調(diào)有關(guān)信息科技風(fēng)險(xiǎn)管理策略的制定。8信息科技內(nèi)部審計(jì)崗位在內(nèi)審部門內(nèi)部設(shè)立；配備足夠的專業(yè)人員；制定完整的信息科技審計(jì)策略和流程；制定信息科技內(nèi)審計(jì)劃并落實(shí)。信息安全工作缺乏有效的監(jiān)督和評(píng)價(jià)，信息安全風(fēng)險(xiǎn)管理無法有效的落實(shí)和改進(jìn)。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-審核和檢查a)安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b)應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c)應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；d)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。9制度建設(shè)制度建設(shè)流程完善的規(guī)章制度和管理辦法的制定、審批和修訂流程。信息安全管理制度混亂，無法形成完整體系，缺乏可操作性且得不到有效改進(jìn)。ISO27001：2005總要求組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持并改進(jìn)文件化的信息安全管理體系。10制度體系涵蓋運(yùn)行、安全、開發(fā)等各重要部分；對(duì)關(guān)鍵部分應(yīng)有詳細(xì)的管理規(guī)定和操作細(xì)則。關(guān)鍵工作缺乏規(guī)范性，工作流程混亂，直接導(dǎo)致信息安全事件。ISO27001：2005-控制目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)管理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作管理；7、訪問控制；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、符合性。信息科技風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)11信息科技風(fēng)險(xiǎn)管理信息科技風(fēng)險(xiǎn)管理策略策略內(nèi)容應(yīng)包括：1、信息分級(jí)與保護(hù)；2、應(yīng)用系統(tǒng)開發(fā)、測(cè)試和維護(hù)；3、信息科技運(yùn)行和維護(hù)；4、訪問控制；5、物理安全；6、人員安全；7、業(yè)務(wù)連續(xù)性與應(yīng)急處置安全策略考慮不完善，沒有完整包含信息安全各方面，制定的安全策略內(nèi)容存在疏漏。等級(jí)保護(hù)-控制項(xiàng)：1、物理安全；2、網(wǎng)絡(luò)安全；3、主機(jī)安全；4、應(yīng)用安全；5、數(shù)據(jù)安全；6、安全管理制度；7、安全管理機(jī)構(gòu)；8、人員安全管理；9、系統(tǒng)運(yùn)維管理；10、系統(tǒng)建設(shè)管理。ISO27001：2005-控制目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)管理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作管理；7、訪問控制；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、符合性。12風(fēng)險(xiǎn)識(shí)別和評(píng)估流程準(zhǔn)確定位存在隱患的區(qū)域；評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響；對(duì)風(fēng)險(xiǎn)進(jìn)行分類排序；確定風(fēng)險(xiǎn)防范活動(dòng)及必備資源的優(yōu)先級(jí)。無法了解現(xiàn)有系統(tǒng)存在的風(fēng)險(xiǎn)，無法有效的指導(dǎo)信息安全的改進(jìn)，提高信息系統(tǒng)安全性。計(jì)算機(jī)等級(jí)保護(hù)制度；ISO27001：2005信息安全管理體系要求。13風(fēng)險(xiǎn)防范措施1、明確的信息科技風(fēng)險(xiǎn)管理策略、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，并定期公示；2、識(shí)別潛在風(fēng)險(xiǎn)區(qū)域，對(duì)這些區(qū)域進(jìn)行詳細(xì)的獨(dú)立監(jiān)控，并建立適當(dāng)?shù)目刂平Y(jié)構(gòu)。14風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制范圍涵蓋所有的重要部分，包含項(xiàng)目實(shí)施、系統(tǒng)性能、事故與投訴、問題整改、外包服務(wù)水平、運(yùn)行操作、外包項(xiàng)目等。信息安全風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)15用戶認(rèn)證和訪問控制授權(quán)機(jī)制完整的審批流程；以“必需知道”和“最小授權(quán)”為原則；權(quán)限收回流程。用戶獲得不當(dāng)權(quán)限，有意或者無意的造成系統(tǒng)破壞或信息泄露。ISO27001訪問控制-控制策略：應(yīng)建立文件化的訪問控制策略，并根據(jù)對(duì)訪問的業(yè)務(wù)和安全要求進(jìn)行評(píng)審；ISO27001訪問控制-用戶注冊(cè)：應(yīng)建立正式的用戶注冊(cè)和解除注冊(cè)程序，以允許和撤銷對(duì)于所有信息系統(tǒng)和服務(wù)的訪問；ISO27001訪問控制-特權(quán)管理：應(yīng)限制和控制特權(quán)的使用和分配。16用戶審查定期對(duì)系統(tǒng)所有用戶進(jìn)行審查；每個(gè)系統(tǒng)的所有用戶使用唯一ID；用戶變化時(shí)應(yīng)及時(shí)檢查和更新。用戶獲得不當(dāng)權(quán)限，有意或者無意的造成系統(tǒng)破壞或信息泄露。ISO27001訪問控制-用戶訪問權(quán)限的評(píng)審：管理者應(yīng)按照策劃的時(shí)間間隔通過正式的流程對(duì)用戶的訪問權(quán)限進(jìn)行評(píng)審。17認(rèn)證機(jī)制與信息訪問級(jí)別相匹配的用戶認(rèn)證機(jī)制；高風(fēng)險(xiǎn)交易和活動(dòng)使用增強(qiáng)的認(rèn)證方法。用戶獲得不當(dāng)權(quán)限，有意或者無意的造成系統(tǒng)破壞或信息泄露。等級(jí)保護(hù)-應(yīng)用安全-身份鑒別：a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別c)應(yīng)提供用戶身份標(biāo)識(shí)唯一性和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)18信息安全管理信息安全管理完善的信息安全管理流程、組織架構(gòu)和職責(zé)分配。管理混亂信息安全策略無法正確及時(shí)的實(shí)施；信息安全責(zé)任無法明確。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置a)應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員崗位，并定義各個(gè)工作崗位的職責(zé)c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求19信息安全策略信息安全策略包含完整的內(nèi)容：1、組織信息安全；2、資產(chǎn)管理；3、人員安全；4、物理和環(huán)境安全；5、通信和操作安全；6、訪問控制；7、身份認(rèn)證；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、合規(guī)性。安全策略考慮不完善，沒有完整包含信息安全各方面，制定的安全策略內(nèi)容存在疏漏。ISO27001：2005-控制目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)管理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作管理；7、訪問控制；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、符合性。20安全培訓(xùn)提供必要的培訓(xùn)，使所有員工都了解信息安全的重要性，并讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。普通員工缺乏信息安全意識(shí)，造成有意或無意的信息泄露或者破壞。等級(jí)保護(hù)-人員安全管理-安全意識(shí)教育和培訓(xùn)：a)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。21物理安全數(shù)據(jù)中心的地理位置遠(yuǎn)離自然災(zāi)害地區(qū)、危險(xiǎn)或有害設(shè)施、或繁忙/主要公路；采取有效的物理或環(huán)境控制措施，監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境物理設(shè)施受到臺(tái)風(fēng)、地震、火災(zāi)、震動(dòng)、灰塵等威脅。ISO27001：2005-物理與環(huán)境安全：應(yīng)設(shè)計(jì)并實(shí)施針對(duì)火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施。等級(jí)保護(hù)-物理安全-物理位置的選擇：a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。22數(shù)據(jù)中心的安全保衛(wèi)出口數(shù)量應(yīng)嚴(yán)格控制；出入通道的鎖具安全可靠；配備有錄像監(jiān)控和報(bào)警系統(tǒng)；關(guān)鍵位置配備警衛(wèi)人員；敏感設(shè)施及場(chǎng)所的標(biāo)識(shí)隱匿非法訪問者對(duì)物理設(shè)施進(jìn)行有意或者無意的破壞。等級(jí)保護(hù)-物理安全-物理訪問控制：a)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。等級(jí)保護(hù)-物理安全-防盜竊和防破壞：a)應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)b)應(yīng)對(duì)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)f)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)23數(shù)據(jù)中心的運(yùn)行環(huán)境使用全面的環(huán)境控制措施保障系統(tǒng)安全運(yùn)行，如：不間斷電源保護(hù)、溫濕度控制、防水防火設(shè)施等。物理設(shè)施受到潮濕、斷電、火災(zāi)等威脅。等級(jí)保護(hù)-物理安全-防雷擊：a)機(jī)房建筑應(yīng)設(shè)置避雷裝置b)應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷c)機(jī)房應(yīng)設(shè)置交流電源地線等級(jí)保護(hù)-物理安全-防火：a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；c)機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。等級(jí)保護(hù)-物理安全-防水和防潮：a)水管安裝，不得穿過屋頂和活動(dòng)地板下；b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；等級(jí)保護(hù)-物理安全-防靜電：a)主要設(shè)備應(yīng)采用必要的接地等防靜電措施；b)機(jī)房應(yīng)采用防靜電地板；等級(jí)保護(hù)-物理安全-溫濕度控制：a)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電d)應(yīng)建立備用供電系統(tǒng)等級(jí)保護(hù)-物理安全-電磁防護(hù)：a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b)電源線和通信線纜應(yīng)隔離，避免互相干擾c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽24門禁管理制度第三方人員進(jìn)入安全區(qū)域應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，并受到密切監(jiān)控；對(duì)外聘人員和承包商有嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查，并簽署安全、保密協(xié)議。非法訪問者對(duì)物理設(shè)施進(jìn)行有意或者無意的破壞。等級(jí)保護(hù)-物理安全-物理訪問控制：a)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。ISO27001：2005信息安全組織-外部組織：應(yīng)識(shí)別來自涉及外部組織的業(yè)務(wù)過程的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允許訪問前實(shí)施適當(dāng)?shù)目刂疲慌c第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。這些協(xié)議可能涉及對(duì)組織的喜訊你或信息處理設(shè)施的訪問、處理、溝通或管理，或增加信息處理設(shè)施的產(chǎn)品和服務(wù)。25網(wǎng)絡(luò)安全邏輯分區(qū)按照不同的安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。重要系統(tǒng)得不到應(yīng)有的安全保護(hù)，非法用戶對(duì)系統(tǒng)進(jìn)行非法訪問，造成系統(tǒng)破壞或數(shù)據(jù)中斷。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-結(jié)構(gòu)安全：e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。26網(wǎng)絡(luò)邊界防護(hù)不同的網(wǎng)絡(luò)域之間應(yīng)采取有效的分隔和訪問控制措施，如部署防火墻和入侵檢測(cè)設(shè)備；對(duì)網(wǎng)絡(luò)的特殊敏感域，應(yīng)采用物理隔離方式。扁平化的網(wǎng)絡(luò)使網(wǎng)絡(luò)管理更加困難，非法訪問者更加容易針對(duì)重要設(shè)備并進(jìn)行攻擊。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-結(jié)構(gòu)安全：f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-訪問控制：a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-邊界完整性檢查：a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-入侵防范：a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等b)當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警27傳輸加密敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中應(yīng)加密。數(shù)據(jù)被非法竊聽，導(dǎo)致重要數(shù)據(jù)泄露。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。28網(wǎng)絡(luò)監(jiān)控依據(jù)事先定義的性能目標(biāo)對(duì)網(wǎng)絡(luò)進(jìn)行持續(xù)地監(jiān)測(cè)，以確認(rèn)任何潛在的瓶頸制約或超負(fù)荷運(yùn)行等任何異常的活動(dòng)；高強(qiáng)度網(wǎng)絡(luò)分析工具的使用應(yīng)有適當(dāng)?shù)氖跈?quán)或?qū)徟鞒獭o法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常，導(dǎo)致網(wǎng)絡(luò)故障或系統(tǒng)宕機(jī)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-監(jiān)控管理：a)應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；a)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作。29網(wǎng)絡(luò)配置更改定期審查網(wǎng)絡(luò)配置；配置更改或設(shè)備調(diào)整應(yīng)作為網(wǎng)絡(luò)變更流程進(jìn)行操作。網(wǎng)絡(luò)配置不當(dāng)導(dǎo)致出現(xiàn)安全弱點(diǎn)；錯(cuò)誤的配置操作導(dǎo)致網(wǎng)絡(luò)安全弱點(diǎn)或網(wǎng)絡(luò)故障出現(xiàn)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-網(wǎng)絡(luò)安全管理：a)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；b)應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文件進(jìn)行定期離線備份；f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；g)應(yīng)依據(jù)安全策略允許或拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；h)應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。30操作系統(tǒng)安全安全標(biāo)準(zhǔn)制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。操作系統(tǒng)配置不當(dāng)導(dǎo)致出現(xiàn)安全弱點(diǎn)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；b)應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；d)應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定。31訪問權(quán)限明確定義不同用戶組的訪問權(quán)限，包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測(cè)試人員、計(jì)算機(jī)操作人員、系統(tǒng)管理員和用戶管理員等。管理員獲得不當(dāng)權(quán)限，系統(tǒng)關(guān)鍵配置被非法修改。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：e)應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則。32最高權(quán)限賬戶管理制定針對(duì)使用最高權(quán)限系統(tǒng)帳戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。高權(quán)限帳號(hào)的錯(cuò)誤或非法操作造成嚴(yán)重的故障或損失；無法對(duì)故障或損失的原因進(jìn)行追溯。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-授權(quán)和審批：a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等b)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度c)應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息d)應(yīng)記錄審批過程并保存審批文檔等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)：a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。33安全補(bǔ)丁定期監(jiān)察可用的安全補(bǔ)丁，經(jīng)評(píng)估和測(cè)試后進(jìn)行安裝。對(duì)已發(fā)現(xiàn)系統(tǒng)漏洞無法及時(shí)修補(bǔ)，導(dǎo)致黑客入侵，木馬、病毒植入；不當(dāng)?shù)陌踩a(bǔ)丁安裝影響系統(tǒng)穩(wěn)定性或者系統(tǒng)宕機(jī)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；34重要事項(xiàng)審核操作人員應(yīng)對(duì)操作系統(tǒng)運(yùn)行的重要事項(xiàng)進(jìn)行檢查和說明，如系統(tǒng)日志中記錄的未成功登錄，重要系統(tǒng)文件的訪問，對(duì)用戶帳號(hào)進(jìn)行修改等信息，以及系統(tǒng)出現(xiàn)的任何異常事件。對(duì)操作系統(tǒng)的非法或錯(cuò)誤操作無法記錄，對(duì)信息安全事件或系統(tǒng)故障無法進(jìn)行追溯和分析。等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)：a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等35應(yīng)用系統(tǒng)安全崗位職責(zé)明確定義終端用戶和信息科技技術(shù)人員在應(yīng)用安全中的崗位和職責(zé)；對(duì)關(guān)鍵或敏感職能進(jìn)行雙重控制。知識(shí)、技能不夠造成誤操作；重要崗位缺乏監(jiān)管造成有意的非法操作。ISO27001：2005人力資源安全-角色和職責(zé)：應(yīng)根據(jù)組織的信息安全方針，規(guī)定員工、合同方和第三方用戶的安全角色和職責(zé)并形成文件。ISO27001：2005訪問控制-特權(quán)管理：應(yīng)限制和控制特權(quán)的使用和分配36身份驗(yàn)證針對(duì)應(yīng)用系統(tǒng)的重要程序和敏感程度，采取有效的身份驗(yàn)證方法。非法用戶獲得訪問權(quán)限。等級(jí)保護(hù)-應(yīng)用安全-身份鑒別：a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；c)應(yīng)提供用戶身份標(biāo)識(shí)唯一性和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。37信息輸入和輸出在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對(duì)；采取安全的方式處理保密信息的輸入和輸出，防止信息被盜、篡改、故意或無意泄露。關(guān)鍵數(shù)據(jù)被盜、篡改、故意或無意泄露。ISO27001：2005電子商務(wù)服務(wù)-電子商務(wù)：應(yīng)保護(hù)電子商務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭(zhēng)議、未授權(quán)的泄漏和修改；ISO27001：2005電子商務(wù)服務(wù)-在線交易：應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。38運(yùn)行情況審核系統(tǒng)能以書面或電子格式保存審計(jì)痕跡；能夠以預(yù)先定義的方式處理例外情況，并向用戶提供有意義的信息；管理人員對(duì)系統(tǒng)重要事項(xiàng)進(jìn)行管理和審核。對(duì)應(yīng)用系統(tǒng)的非法或錯(cuò)誤操作無法記錄，對(duì)信息安全事件或系統(tǒng)故障無法進(jìn)行追溯和分析。等級(jí)保護(hù)-應(yīng)用安全-安全審計(jì)：a)應(yīng)覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；b)應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；c)審計(jì)記錄的內(nèi)容至少應(yīng)包括日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。39日志安全策略和流程制定了相關(guān)策略和流程，控制所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全論證分析和預(yù)防欺詐；設(shè)置了日志監(jiān)控和管理崗位；制定了日志資料的安全保護(hù)和調(diào)閱管理制度。無法及時(shí)發(fā)現(xiàn)信息安全事件，無法對(duì)信息安全事件進(jìn)行分析和預(yù)防；日志被篡改或者無意丟失，無法對(duì)歷史事件進(jìn)行追溯。等級(jí)保護(hù)-系統(tǒng)運(yùn)維-監(jiān)控管理：a)應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；c)應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。40交易日志交易日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，包括身份嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等；交易日志按照國(guó)家會(huì)計(jì)政策要求予以保存。對(duì)系統(tǒng)問題，非法操作無法進(jìn)行記錄，對(duì)出現(xiàn)問題的原因無法進(jìn)行追溯。等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)；等級(jí)保護(hù)-應(yīng)用安全-安全審計(jì)；等級(jí)保護(hù)-網(wǎng)絡(luò)安全-安全審計(jì)；等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-網(wǎng)絡(luò)安全管理；a)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作b)應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：d)應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；g)應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。41系統(tǒng)日志系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，包括身份認(rèn)證嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等；系統(tǒng)和網(wǎng)絡(luò)日志保存期限按事先的風(fēng)險(xiǎn)定級(jí)確定，但不能少。不完整的日志無法對(duì)現(xiàn)有的系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)控，無法對(duì)出現(xiàn)的各類事件的原因進(jìn)行追溯；歷史記錄不進(jìn)行合理的保留導(dǎo)致在出現(xiàn)問題后對(duì)以前的操作或者問題進(jìn)行查找分析。42保存和復(fù)查銀行應(yīng)保證在日志中包含足夠的項(xiàng)目，以便有效地完成內(nèi)部控制、系統(tǒng)故障解決和審計(jì)，同時(shí)應(yīng)采取適當(dāng)措施保證所有日志的計(jì)時(shí)同步，并確保其完整性，有任何的例外情況發(fā)生都應(yīng)當(dāng)復(fù)查系統(tǒng)日志。交易日志或數(shù)據(jù)庫(kù)日志的復(fù)查頻率和保留周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部分共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。不完善的日志記錄無法對(duì)審計(jì)提供足夠的參考；缺乏日志審核對(duì)隱藏的操作問題無法及時(shí)發(fā)現(xiàn)。43信息安全信息分類制定信息分類操作指南和信息保護(hù)工作流程；信息依據(jù)敏感程度進(jìn)行分類，并指定所有人。對(duì)重要信息無法提供足夠有效的保護(hù)，造成重要信息被破壞、篡改、泄露。ISO27001：2005資產(chǎn)管理-分類指南：應(yīng)按照信息的價(jià)值、法律要求及對(duì)組織的敏感程度和關(guān)鍵程度進(jìn)行分類；ISO27001：2005資產(chǎn)管理-信息標(biāo)識(shí)和處置：應(yīng)制定一套與組織所采用的分類方案一致的信息標(biāo)識(shí)和處置的程序，并實(shí)施。44信息加密對(duì)不同類別信息采用相應(yīng)的加密技術(shù)或密碼設(shè)備；建立密碼設(shè)備管理規(guī)范制度；管理使用密碼系統(tǒng)設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審核。沒有加密的信息容易被泄露、破壞、篡改。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)完整性：a)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施b)應(yīng)能夠監(jiān)測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞，并在監(jiān)測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性：a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-密碼管理：a)應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。45密鑰管理實(shí)施有效的密鑰管理流程，尤其是密鑰生命周期管理和證書周期管理。密鑰泄露，造成嚴(yán)重信息安全事件。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-密碼管理：a)應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。46機(jī)密信息安全機(jī)密信息的加密使用符合國(guó)家密碼管理局要求的加密技術(shù)和加密設(shè)備，加密強(qiáng)度和加密效率滿足信息機(jī)密性和可用性要求。機(jī)密信息泄露，造成嚴(yán)重信息安全事件。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)完整性；等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性；等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-密碼管理：a)應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。47客戶敏感信息安全制定相關(guān)策略和程序，管理客戶信息的采集、處理、存貯、傳輸、傳播、備份、恢復(fù)、清理和銷毀。客戶數(shù)據(jù)被泄露，破壞和篡改，直接造成經(jīng)濟(jì)損失。ISO27001：2005電子商務(wù)服務(wù)-電子商務(wù)：應(yīng)保護(hù)電子商務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)男畔ⅲ苑乐蛊墼p、合同爭(zhēng)議、未授權(quán)的泄漏和修改；ISO27001：2005電子商務(wù)服務(wù)-在線交易：應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。應(yīng)用系統(tǒng)開發(fā)、測(cè)試和維護(hù)序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)48項(xiàng)目管理制度建設(shè)應(yīng)制定策略和流程，治理信息科技項(xiàng)目的立項(xiàng)、優(yōu)先排序、審批和控制；重大項(xiàng)目必須建立項(xiàng)目管理框架和工作方案，包括：職責(zé)的劃分、時(shí)間進(jìn)度、財(cái)務(wù)預(yù)算管理、質(zhì)量檢測(cè)、風(fēng)險(xiǎn)評(píng)估等。項(xiàng)目管理混亂，項(xiàng)目成本無法控制，進(jìn)度無法掌握，項(xiàng)目質(zhì)量無法度量，導(dǎo)致項(xiàng)目失敗。等級(jí)保護(hù)-安全管理制度-管理制度：b)應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；d)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。49進(jìn)度報(bào)告定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告；進(jìn)度報(bào)告包括更改時(shí)間計(jì)劃、關(guān)鍵人員或供應(yīng)商的決策以及主要費(fèi)用項(xiàng)目缺乏統(tǒng)一的計(jì)劃和安排等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-工程實(shí)施：b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；c)應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。50系統(tǒng)開發(fā)方法根據(jù)信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜性采用適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期；典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或采購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)或報(bào)廢。信息科技項(xiàng)目缺乏有效的過程管理和控制等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：b)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則。ISO27001-通訊及操作管理-操作程序及職責(zé)-開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離：應(yīng)分離開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)；ISO27001-通訊及操作管理-系統(tǒng)規(guī)劃與驗(yàn)收-系統(tǒng)驗(yàn)收：應(yīng)建立新的信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，并在開發(fā)過程中及接收前進(jìn)行適當(dāng)?shù)南到y(tǒng)測(cè)試。51風(fēng)險(xiǎn)管理或者內(nèi)部審計(jì)的參與商業(yè)銀行在進(jìn)行大規(guī)模和大范圍的系統(tǒng)開發(fā)時(shí)，應(yīng)要求內(nèi)部審計(jì)部門或信息科技風(fēng)險(xiǎn)管理部分的參與，保證系統(tǒng)開發(fā)符合商業(yè)銀行信息科技風(fēng)險(xiǎn)標(biāo)準(zhǔn)。不嚴(yán)格的開發(fā)過程使應(yīng)用系統(tǒng)存在安全弱點(diǎn)，應(yīng)用系統(tǒng)問題無法在項(xiàng)目建設(shè)過程中及時(shí)發(fā)現(xiàn)，直接導(dǎo)致系統(tǒng)運(yùn)行失敗、系統(tǒng)中重要數(shù)據(jù)被破壞、丟失。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制b)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則c)應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管e)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-測(cè)試驗(yàn)收：b)在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制定測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；c)應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。52文檔管理格式標(biāo)準(zhǔn)規(guī)范并明確項(xiàng)目資料文檔的管理職責(zé)、資料文檔的起草和審批職責(zé)、資料文檔格式標(biāo)準(zhǔn)化規(guī)范。軟件質(zhì)量無法保證，對(duì)軟件質(zhì)量的改進(jìn)等無法有效實(shí)施。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：b)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。53程序文檔完整性程序文檔內(nèi)容包括：程序設(shè)計(jì)和代碼標(biāo)準(zhǔn)、程序描述、程序設(shè)計(jì)資料、代碼清單、源代碼命名規(guī)則、系統(tǒng)操作指南等。項(xiàng)目程序文檔的缺失，可能會(huì)致使整個(gè)項(xiàng)目維護(hù)困難、升級(jí)困難等問題等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-外包軟件開發(fā)：c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-系統(tǒng)交付：a)應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；c)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。54項(xiàng)目文檔完整性項(xiàng)目文檔內(nèi)容包括：項(xiàng)目需求、可行性分析、階段實(shí)施記錄（啟動(dòng)、計(jì)劃、設(shè)計(jì)、開發(fā)、測(cè)試、實(shí)施、后評(píng)價(jià)等）。項(xiàng)目文檔的不完善，增加了項(xiàng)目失敗的可能性等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-工程實(shí)施：b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-外包軟件開發(fā)：a)應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。55系統(tǒng)測(cè)試開發(fā)環(huán)境與測(cè)試環(huán)境的分離保證生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)相分離；生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)的管理職能相分離。影響生產(chǎn)系統(tǒng)的穩(wěn)定性，導(dǎo)致數(shù)據(jù)泄漏等安全事件的發(fā)生。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制。ISO27001-通訊及操作管理-操作程序及職責(zé)-開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離：應(yīng)分離開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)。56測(cè)試數(shù)據(jù)敏感的生產(chǎn)數(shù)據(jù)應(yīng)該降低或消除敏感性，在運(yùn)用到測(cè)試環(huán)境前必須得到預(yù)先的批準(zhǔn)。生產(chǎn)數(shù)據(jù)丟失或泄漏等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-測(cè)試驗(yàn)收：b)在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制定測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告。ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-系統(tǒng)文檔安全-系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)：應(yīng)謹(jǐn)慎選擇測(cè)試數(shù)據(jù)，并加以保護(hù)和控制。57系統(tǒng)驗(yàn)收獨(dú)立方驗(yàn)收較大的與技術(shù)相關(guān)項(xiàng)目應(yīng)該由獨(dú)立的一方實(shí)施質(zhì)量品質(zhì)審查。系統(tǒng)的質(zhì)量無法得到有效的驗(yàn)證和度量等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-測(cè)試驗(yàn)收：a)應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告。ISO27001-通訊及操作管理-系統(tǒng)規(guī)劃與驗(yàn)收-系統(tǒng)驗(yàn)收：應(yīng)建立新的信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，并在開發(fā)過程中及接收前進(jìn)行適當(dāng)?shù)南到y(tǒng)測(cè)試。58系統(tǒng)維護(hù)系統(tǒng)變更應(yīng)用程序開發(fā)和維護(hù)人員經(jīng)管理層授權(quán)才能進(jìn)入生產(chǎn)系統(tǒng)；所有的緊急修復(fù)活動(dòng)立即進(jìn)行記錄和審核。關(guān)鍵操作缺乏監(jiān)管和控制，導(dǎo)致出現(xiàn)有意或無意的非法操作。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-變更管理：b)應(yīng)建立變更管理制度，系統(tǒng)變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更方案經(jīng)過評(píng)審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告；c)應(yīng)建立變更控制的申報(bào)和審批文件化程序，變更影響分析應(yīng)文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄。ISO27001-通訊及操作管理-操作程序及職責(zé)-變更管理：應(yīng)控制信息處理設(shè)施及系統(tǒng)的變更；ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-變更控制程序：應(yīng)通過正式的變更控制程序，控制變更的實(shí)施。59系統(tǒng)升級(jí)制定相關(guān)策略和流程，控制系統(tǒng)升級(jí)過程；系統(tǒng)升級(jí)應(yīng)被視為項(xiàng)目對(duì)待，接受所有相關(guān)項(xiàng)目管理控制，包括用戶驗(yàn)收測(cè)試。升級(jí)過程中錯(cuò)誤操作導(dǎo)致系統(tǒng)錯(cuò)誤或者崩潰。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-網(wǎng)絡(luò)安全管理：c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝。ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-信息系統(tǒng)安全要求-安全要求分析和規(guī)范：新的信息系統(tǒng)或?qū)ΜF(xiàn)有信息系統(tǒng)的更新的業(yè)務(wù)要求聲明中應(yīng)規(guī)定安全控制的要求。60問題管理建立并完善有效的問題管理流程；建立問題知識(shí)庫(kù)，進(jìn)行記錄、分類和編制索引；重要責(zé)任和指令集，應(yīng)進(jìn)行清楚地描述說明，并通知所有相關(guān)人員。對(duì)發(fā)現(xiàn)的問題無法快速有效進(jìn)行判斷和處理，導(dǎo)致問題影響時(shí)間延長(zhǎng)，問題范圍擴(kuò)大。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-安全事件處置：b)應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)。等級(jí)保護(hù)-人員安全管理-安全意識(shí)教育和培訓(xùn)：b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。ISO27001-信息安全事故管理-信息安全事故的管理和改進(jìn)-從信息安全事故中學(xué)習(xí)：應(yīng)建立能夠量化和監(jiān)控信息安全事故的類型、數(shù)量、成本的機(jī)制。信息科技運(yùn)行風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)61運(yùn)行體系建設(shè)崗位設(shè)置合理的崗位設(shè)置；明確的崗位職責(zé)；不相容崗位的分離設(shè)置，如系統(tǒng)運(yùn)行與系統(tǒng)開發(fā)維護(hù)分離；崗位職權(quán)的中止。崗位設(shè)置不合理，權(quán)限缺乏制約，容易引起越權(quán)操作。等級(jí)保護(hù)-主機(jī)安全-訪問控制：b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。等級(jí)保護(hù)-應(yīng)用安全-訪問控制：d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。ISO27001-信息安全組織-內(nèi)部組織-信息安全管理委員會(huì)：管理者應(yīng)通過清晰的方向、可見的承諾、明確的任務(wù)分配、信息安全職責(zé)溝通在組織內(nèi)積極支持安全。62管理制度信息系統(tǒng)運(yùn)行體系的總體規(guī)劃、管理辦法、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)運(yùn)行體系各組成部分的管理細(xì)則。管理制度不完善，操作缺乏有效的指導(dǎo)和約束，易導(dǎo)致非法操作。等級(jí)保護(hù)-安全管理制度-管理制度：a)應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；d)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。63交易記錄按照有關(guān)法律法規(guī)要求的年限保存交易記錄；采取必要的程序和技術(shù)確保存檔數(shù)據(jù)的完整性，滿足安全保存和恢復(fù)要求。重要生產(chǎn)數(shù)據(jù)丟失或泄漏，破壞數(shù)據(jù)的完整性和可用性。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-備份與恢復(fù)管理：c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?；d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對(duì)備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；e)應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。ISO27001-通訊及操作管理-備份-信息備份：應(yīng)根據(jù)既定的備份策略對(duì)信息和軟件進(jìn)行備份并定期測(cè)試。64操作規(guī)程運(yùn)行管理各部分制定有詳細(xì)的操作規(guī)程，包括操作人員的任務(wù)、工作日程安排和執(zhí)行過程；信息科技運(yùn)行手冊(cè)包括生產(chǎn)和開發(fā)環(huán)境中數(shù)據(jù)和軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份（即備份的頻率、范圍和保留周期）的程序和要求。操作失誤，維護(hù)錯(cuò)誤，造成業(yè)務(wù)中斷。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-備份與恢復(fù)管理：b)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范；c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?。ISO27001-訪問控制-訪問控制的業(yè)務(wù)要求-訪問控制策略：應(yīng)建立文件化的訪問控制策略，并根據(jù)對(duì)訪問的業(yè)務(wù)和安全要求進(jìn)行評(píng)審。65事件管理事件管理系統(tǒng)建立事件管理系統(tǒng)及處理機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員匯報(bào)事故的發(fā)生，記錄、分析和跟蹤所有事件，直到對(duì)事件進(jìn)行徹底的改正并完成根本原因的分析。無法及時(shí)有效解決安全事件；對(duì)安全隱患無法根除。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-安全事件處置：b)應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；e)應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存。ISO27001-信息安全事故管理-報(bào)告信息安全事件和弱點(diǎn)：報(bào)告信息安全事件，應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事件；報(bào)告信息安全弱點(diǎn)，應(yīng)要求所有的員工、合同方和第三方用戶注意并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全弱點(diǎn)。ISO27001-信息安全事故管理-信息安全事故的管理和改進(jìn)：職責(zé)和程序，應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事故；從信息安全事故中學(xué)習(xí)，應(yīng)建立能夠量化和監(jiān)控信息安全事故的類型、數(shù)量、成本的機(jī)制；收集證據(jù)，事故發(fā)生后，應(yīng)根據(jù)相關(guān)法律的規(guī)定（無論是民法還是刑法）跟蹤個(gè)人或組織的行動(dòng)，應(yīng)收集、保留證據(jù)，并以符合法律規(guī)定的形式提交。66服務(wù)支持系統(tǒng)為用戶提供所有技術(shù)相關(guān)事件的前線支持，并將事件提交給相關(guān)信息科技職能部分進(jìn)行調(diào)查和解決。故障后無法及時(shí)響應(yīng)各類安全事件，造成業(yè)務(wù)中斷。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-安全事件處置：d)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等。ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全：變更控制程序，應(yīng)通過正式的變更控制程序，控制變更的實(shí)施；操作系統(tǒng)變更后的技術(shù)評(píng)審，當(dāng)操作系統(tǒng)變更后，應(yīng)評(píng)審并測(cè)試關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對(duì)組織的運(yùn)營(yíng)或安全產(chǎn)生負(fù)面影響；軟件包變更限制，不鼓勵(lì)對(duì)軟件包進(jìn)行變更，對(duì)必要的更改嚴(yán)格控制；信息泄漏，防止信息泄漏的機(jī)會(huì)；軟件委外開發(fā)，組織應(yīng)對(duì)軟件委外開發(fā)進(jìn)行監(jiān)控。67系統(tǒng)監(jiān)控核心業(yè)務(wù)系統(tǒng)監(jiān)控對(duì)核心業(yè)務(wù)系統(tǒng)的持續(xù)性或階段性監(jiān)測(cè)，包括響應(yīng)時(shí)間和處理量、系統(tǒng)承載能力、任務(wù)處理失敗的次數(shù)、比例、類型和原因、系統(tǒng)使用的峰值和均值，系統(tǒng)使用趨向和容量等。對(duì)安全事件無法事前預(yù)防，系統(tǒng)可用性得不到保障。等級(jí)保護(hù)-主機(jī)安全-資源控制：c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。ISO27001-通訊及操作管理-監(jiān)督-監(jiān)視系統(tǒng)的使用：應(yīng)建立監(jiān)視信息處理系統(tǒng)使用的程序，并定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。68監(jiān)控程序落實(shí)監(jiān)控程序，確保應(yīng)用系統(tǒng)的性能受到連續(xù)監(jiān)控，及時(shí)完整地報(bào)告例外情況；性能監(jiān)控程序提供預(yù)警功能，在問題對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)行識(shí)別和修正。安全事件無法及時(shí)遏制，造成系統(tǒng)可用性下降，甚至中斷。等級(jí)保護(hù)-主機(jī)安全-資源控制：e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。ISO27001-通訊及操作管理-監(jiān)督-監(jiān)視系統(tǒng)的使用：應(yīng)建立監(jiān)視信息處理系統(tǒng)使用的程序，并定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。ISO27001-通訊及操作管理-監(jiān)督-審計(jì)日志：應(yīng)產(chǎn)生記錄用戶活動(dòng)、以外和信息安全事件的日志，并按照約定的期限進(jìn)行保留，以支持將來的調(diào)查和訪問控制監(jiān)視。69容量規(guī)劃覆蓋范圍建立容量規(guī)劃以適應(yīng)由于經(jīng)濟(jì)金融環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量非計(jì)劃性增加；容量規(guī)劃應(yīng)涵蓋與生產(chǎn)環(huán)境有關(guān)的備份系統(tǒng)。系統(tǒng)性能無法滿足業(yè)務(wù)需求。ISO27001-通訊及操作管理-系統(tǒng)規(guī)劃與驗(yàn)收-容量管理：應(yīng)監(jiān)督、調(diào)整資源的使用情況，并反應(yīng)將來容量的要求，以確保系統(tǒng)的性能。70變更管理管理規(guī)程已制定并實(shí)施了書面的變更管理規(guī)程，包括過程記錄、變更優(yōu)先級(jí)的確定、程序的版本控制和審計(jì)跟蹤、計(jì)劃和實(shí)施變更、在必要時(shí)變更的恢復(fù)和實(shí)施的后評(píng)價(jià)。錯(cuò)誤的變更直接導(dǎo)致業(yè)務(wù)系統(tǒng)中斷，重要數(shù)據(jù)被篡改、泄露和破壞。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-變更管理：b)應(yīng)建立變更管理制度，系統(tǒng)變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更方案經(jīng)過評(píng)審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告；c)應(yīng)建立變更控制的申報(bào)和審批文件化程序，變更影響分析應(yīng)文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄。ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-變更控制程序：應(yīng)通過正式的變更控制程序，控制變更的實(shí)施。71授權(quán)機(jī)制系統(tǒng)變更應(yīng)建立合理的審批流程；涉及業(yè)務(wù)系統(tǒng)或數(shù)據(jù)的變更應(yīng)由科技部門和業(yè)務(wù)部門共同簽準(zhǔn)。未經(jīng)審批的操作導(dǎo)致越權(quán)，直接對(duì)系統(tǒng)安全造成威脅。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-變更管理：c)應(yīng)建立變更控制的申報(bào)和審批文件化程序，變更影響分析應(yīng)文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄。ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-操作系統(tǒng)變更后的技術(shù)評(píng)審：當(dāng)操作系統(tǒng)變更后，應(yīng)評(píng)審并測(cè)試關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對(duì)組織的運(yùn)營(yíng)或安全產(chǎn)生負(fù)面影響。72實(shí)施過程變更前對(duì)變更程序進(jìn)行測(cè)試；變更前對(duì)系統(tǒng)進(jìn)行備份；變更實(shí)施后進(jìn)行驗(yàn)收測(cè)試。沒有經(jīng)過測(cè)試的變更可能導(dǎo)致系統(tǒng)中斷；缺乏驗(yàn)證的變更無法準(zhǔn)確的評(píng)估其有效性和安全性。ISO27001-信息系統(tǒng)的獲取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-變更控制程序：應(yīng)通過正式的變更控制程序，控制變更的實(shí)施。73回滾計(jì)劃所有變更都應(yīng)建立失敗后的恢復(fù)計(jì)劃。變更前的系統(tǒng)狀態(tài)無法及時(shí)恢復(fù)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-變更管理：d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練。ISO27001-業(yè)務(wù)連續(xù)性管理-業(yè)務(wù)連續(xù)性管理的信息安全方面-開發(fā)并實(shí)施包括信息安全的連續(xù)性計(jì)劃：應(yīng)開發(fā)并實(shí)施計(jì)劃，以確保在關(guān)鍵業(yè)務(wù)流程中斷或失效后能夠在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營(yíng)并確保信息的可用性。74緊急變更所有的應(yīng)急變更都應(yīng)該記錄和備份，包括變更前后的程序版本與數(shù)據(jù)。應(yīng)急變更應(yīng)該由獨(dú)立的人員立即審核，以確保所有的變更都是適當(dāng)?shù)?。且不?huì)對(duì)生產(chǎn)環(huán)境產(chǎn)生不良影響。應(yīng)急需求得不到及時(shí)響應(yīng)；變更造成系統(tǒng)故障和業(yè)務(wù)中斷問題，且無法及時(shí)恢復(fù)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-變更管理：c)應(yīng)建立變更控制的申報(bào)和審批文件化程序，變更影響分析應(yīng)文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄。ISO27001-信息安全組織-內(nèi)部組織-信息安全的獨(dú)立評(píng)審：應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)發(fā)生重大的信息安全變化時(shí)，對(duì)組織的信息安全管理方法及其實(shí)施情況（如，信息安全控制目標(biāo)、控制措施、策略、過程和程序）進(jìn)行獨(dú)立評(píng)審。業(yè)務(wù)連續(xù)性管理序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)75高管層的管理業(yè)務(wù)連續(xù)性策略經(jīng)董事會(huì)或高管層批準(zhǔn)的業(yè)務(wù)連續(xù)性策略、標(biāo)準(zhǔn)和流程。對(duì)重大災(zāi)害缺乏足夠的準(zhǔn)備，導(dǎo)致業(yè)務(wù)因火災(zāi)、臺(tái)風(fēng)、地震等不可抗因素造成毀滅性的損失，直接威脅企業(yè)的生存。ISO27001-業(yè)務(wù)連續(xù)性管理-業(yè)務(wù)連續(xù)性管理的信息安全方面-在業(yè)務(wù)連續(xù)性管理過程中包含信息安全：應(yīng)在組織內(nèi)開發(fā)并保持業(yè)務(wù)連續(xù)性管理過程，該過程闡明了組織的業(yè)務(wù)連續(xù)性對(duì)信息安全的要求。76管理組織明確設(shè)立部門負(fù)責(zé)業(yè)務(wù)連續(xù)性規(guī)劃的整體流程管理。缺乏有效的組織者和領(lǐng)導(dǎo)者，在業(yè)務(wù)中斷后無法及時(shí)的組織業(yè)務(wù)恢復(fù)工作。ISO27001-信息安全組織-內(nèi)部組織-信息安全職責(zé)分配：應(yīng)明確規(guī)定所有的信息安全職責(zé)。77獨(dú)立的評(píng)估機(jī)制獨(dú)立部門對(duì)定期對(duì)業(yè)務(wù)連續(xù)性計(jì)劃進(jìn)行評(píng)估；評(píng)估內(nèi)容包含業(yè)務(wù)連續(xù)性規(guī)劃的有效性，以及是否與本機(jī)構(gòu)的策略和標(biāo)準(zhǔn)相一致。不當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計(jì)劃無法對(duì)業(yè)務(wù)中斷情況下的恢復(fù)進(jìn)行有效指導(dǎo)。ISO27001-業(yè)務(wù)連續(xù)性管理-業(yè)務(wù)連續(xù)性管理的信息安全方面-業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估：應(yīng)識(shí)別可能導(dǎo)致業(yè)務(wù)過程中斷的事故，以及這類中斷發(fā)射給您的可能性和影響、中斷的信息安全后果。應(yīng)定期測(cè)試并更新BCP，以確保BCP的更新和有效78規(guī)劃分析業(yè)務(wù)影響分析意外事件發(fā)生的場(chǎng)景和幾率；準(zhǔn)確評(píng)估業(yè)務(wù)運(yùn)行中斷的可能性及其影響。對(duì)風(fēng)險(xiǎn)的估計(jì)錯(cuò)誤，導(dǎo)致投入與保障失衡。ISO27001-業(yè)務(wù)連續(xù)性管理-業(yè)務(wù)連續(xù)性管理的信息安全方面-業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估：應(yīng)識(shí)別可能導(dǎo)致業(yè)務(wù)過程中斷的事故，以及這類中斷發(fā)射給您的可能性和影響、中斷的信息安全后果。79業(yè)務(wù)恢復(fù)最低要求重要的業(yè)務(wù)和后臺(tái)部門已制定業(yè)務(wù)連續(xù)性規(guī)劃最低要求，以保證基本的業(yè)務(wù)和技術(shù)服務(wù)能力。業(yè)務(wù)中斷后，無法快速的構(gòu)鑄業(yè)務(wù)運(yùn)行環(huán)境，無法快速恢復(fù)業(yè)務(wù)系統(tǒng)運(yùn)行。ISO27001-業(yè)務(wù)連續(xù)性管理-業(yè)務(wù)連續(xù)性管理的信息安全方面-開發(fā)并實(shí)施包括信息安全的連續(xù)性計(jì)劃：應(yīng)開發(fā)并實(shí)施計(jì)劃，以確保在關(guān)鍵業(yè)務(wù)流程中斷或失效后能夠在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營(yíng)并確保信息的可用性。80業(yè)務(wù)恢復(fù)的優(yōu)先級(jí)啟動(dòng)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)不同業(yè)務(wù)有明確的恢復(fù)順序。重要業(yè)務(wù)的恢復(fù)的延遲導(dǎo)致更大的損失。ISO27001-業(yè)務(wù)連續(xù)性管理-業(yè)務(wù)連續(xù)性管理的信息安全方面-業(yè)務(wù)連續(xù)性計(jì)劃框架：應(yīng)保持一個(gè)單一的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃的一致性，以維護(hù)信息安全要求的一致性并識(shí)別測(cè)試和保持的優(yōu)先級(jí)。ISO27002-業(yè)務(wù)連續(xù)性管理：1）了解機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)發(fā)生的概率及影響，包括定出哪些是重要的業(yè)務(wù)進(jìn)程，并分出先后；81內(nèi)容完整性處理措施分類針對(duì)不同類型風(fēng)險(xiǎn)以及影響的期限分別制定不同的處理措施。對(duì)風(fēng)險(xiǎn)的估計(jì)錯(cuò)誤，導(dǎo)致投入與保障失衡。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-應(yīng)急預(yù)案管理a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容。82資源保障人員、系統(tǒng)、財(cái)務(wù)和后勤等資源的充分保障；有明確的獲取資源的渠道和方式，并評(píng)估災(zāi)難對(duì)資源獲取環(huán)節(jié)的影響。業(yè)務(wù)恢復(fù)計(jì)劃無法實(shí)施。GBT20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范-資源的獲取方式：數(shù)據(jù)備份系統(tǒng)；備用數(shù)據(jù)處理系統(tǒng)；備用網(wǎng)絡(luò)系統(tǒng)；備用基礎(chǔ)設(shè)施等。83聯(lián)系溝通機(jī)制與重要外部機(jī)構(gòu)建立了正式的聯(lián)絡(luò)溝通機(jī)制（如：監(jiān)管部門、投資者、客戶、交易對(duì)手、商業(yè)合作伙伴、服務(wù)提供商、新聞媒體和其他股東等），對(duì)內(nèi)部機(jī)構(gòu)的溝通聯(lián)系機(jī)制（如：內(nèi)部員工、母公司、總部、分支結(jié)構(gòu)等）。業(yè)務(wù)連續(xù)性規(guī)劃應(yīng)明確指定災(zāi)害期間的對(duì)外新聞發(fā)言人，重要外部機(jī)構(gòu)的電話號(hào)碼和電子郵件地址應(yīng)被妥善管理。溝通不暢導(dǎo)致安全事件無法及時(shí)協(xié)調(diào)及處理，無法得到內(nèi)部和外部的有效支持。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-溝通和合作：a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)助處理信息