銀行安全溝通

XX銀行信息安全體系建設(shè)思路匯報(bào)唐龍ITILEXPERT、CISSP、CISA第一頁，共三十頁。國(guó)內(nèi)安全服務(wù)現(xiàn)狀大約50%的安全服務(wù)合同不能以讓客戶滿意的方式提交。千萬不要成為這個(gè)統(tǒng)計(jì)數(shù)字中的一個(gè)!第二頁，共三十頁。信息安全占IT總投資的份額占GDP的百分比第三頁，共三十頁。IT運(yùn)營(yíng)十大問題20％的原因是技術(shù)方面的，80％的原因是管理方面的①病毒攻擊（57.1%）②缺乏有效的監(jiān)控制度和手段（51.7%）③

IT設(shè)備本身的性能問題（41.1%）④應(yīng)用系統(tǒng)/數(shù)據(jù)庫(kù)本身存在Bugs（39.2%）⑤員工缺少技能培訓(xùn)（37.5%）⑥維護(hù)不及時(shí)或缺乏有計(jì)劃的維護(hù)（35.7%）⑦缺少總體規(guī)劃/重復(fù)建設(shè)（33.9%）⑧不同部門的IT人員之間缺乏協(xié)調(diào)（32.1%）⑨

缺少運(yùn)營(yíng)管理方法論的指導(dǎo)（30.4%）⑩員工不按規(guī)定/流程操作（28.6%）數(shù)據(jù)來源：翰緯IT管理研究咨詢中心，2004第四頁，共三十頁。以資產(chǎn)風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)以流程風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)以服務(wù)風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)信息安全的三個(gè)發(fā)展階段第五頁，共三十頁。按需定制可管理可衡量：交付特定的結(jié)果有效（Effective）有效率的（Efficient）：用最小的努力和成本法律法規(guī)的遵從ROI（投資回報(bào)率）：保證回報(bào)能保證投資的增益。ROI=（

避免風(fēng)險(xiǎn)節(jié)省下的費(fèi)用+節(jié)省下的重復(fù)投資）/成本信息安全的目標(biāo)與價(jià)值第六頁，共三十頁。信息安全威脅帶來的損失分析和結(jié)論：和2009年的情況相似，病毒和惡意軟件是去年導(dǎo)致中斷最主要原因，第二位的是系統(tǒng)失敗和數(shù)據(jù)中斷大型企業(yè)業(yè)務(wù)中斷平均是2-5天，平均每次中斷恢復(fù)總成本是￡200,000-￡380,000，平均的直接財(cái)務(wù)損失是￡25,000-￡40,000，平均間接損失是￡15,000-￡20,000。被調(diào)查的最嚴(yán)重的間接損失高達(dá)￡500,000。最大的損失是來自企業(yè)聲譽(yù)的損失。尤其媒體對(duì)大型企業(yè)的安全事件非常關(guān)注，一旦發(fā)生事件，很容易被媒體進(jìn)行宣傳報(bào)道，造成惡劣的企業(yè)聲譽(yù)影響，這是用財(cái)務(wù)成本無法估算的。事件導(dǎo)致業(yè)務(wù)中斷的程度非常嚴(yán)重中斷中斷小中斷微小中斷沒有少于一天一天到一周一天到一月超過一個(gè)月33%4%4%0%1%9%8%1%1%13%10%3%2%11%1%1%0%恢復(fù)事件花費(fèi)的成本1000英鎊2010年大企業(yè)2010年小企業(yè)2008年總體2006年總體10,000英鎊50,000英鎊100,000英鎊250,000英鎊500,000英鎊超過500,000英鎊直接財(cái)務(wù)損失2010年大企業(yè)2010年小企業(yè)2008年總體2006年總體1000英鎊10,000英鎊50,000英鎊100,000英鎊250,000英鎊500,000英鎊超過500,000英鎊間接財(cái)務(wù)損失2010年大企業(yè)2010年小企業(yè)1000英鎊10,000英鎊50,000英鎊100,000英鎊250,000英鎊500,000英鎊超過500,000英鎊信息安全對(duì)企業(yè)聲譽(yù)破壞2010年大企業(yè)2010年小企業(yè)2008年總體2006年總體沒有媒體報(bào)道，但客戶抱怨一些媒體報(bào)道，影響聲譽(yù)媒體擴(kuò)散報(bào)道，產(chǎn)生負(fù)面聲譽(yù)第七頁，共三十頁。信息安全實(shí)施思路信息安全治理與組織信息安全技術(shù)體系信息安全管理體系信息安全運(yùn)營(yíng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引ISO27001業(yè)務(wù)風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)市場(chǎng)風(fēng)險(xiǎn)第八頁，共三十頁。信息安全與服務(wù)管理的結(jié)合持續(xù)性管理用戶客戶應(yīng)用管理服務(wù)級(jí)別管理財(cái)務(wù)管理能力管理可用性管理配置管理變更管理安全管理事件管理問題管理服務(wù)臺(tái)網(wǎng)絡(luò)管理CRM服務(wù)支持服務(wù)提供發(fā)布管理第九頁，共三十頁。安全和業(yè)務(wù)流的結(jié)合第十頁，共三十頁。服務(wù)管理主管服務(wù)級(jí)別經(jīng)理問題經(jīng)理安全經(jīng)理采購(gòu)經(jīng)理活動(dòng)1ARCIIC活動(dòng)2ARCCC活動(dòng)3IARIC活動(dòng)4IARIC活動(dòng)5IIACRCSF的RACI模型進(jìn)行控制第十一頁，共三十頁。Copyright?ItsxdCo.,Ltd12安全管理是不是一個(gè)孤立的過程。它始終是IT和業(yè)務(wù)管理的一部分。盡可能通過ITSM的流程是執(zhí)行安全管理任務(wù)。每個(gè)ITSM過程中的任務(wù)，都應(yīng)兼顧安全方面。但對(duì)這些任務(wù)的控制，應(yīng)有集中式的安全管理程序。許多與安全有關(guān)的問題源于執(zhí)行較差流程。日常業(yè)務(wù)運(yùn)作沒有妥善規(guī)劃。這可能降低整體安全性。?安全常被視為功能性的任務(wù)。ITSM包含所有必要的最佳做法流程，涵蓋所有日常業(yè)務(wù)活動(dòng)。這使得與ITSM成為維持較安全的環(huán)境的基礎(chǔ)。ITIL的允許IT運(yùn)營(yíng)團(tuán)隊(duì)在IT服務(wù)的整個(gè)生命周期，評(píng)價(jià)IT服務(wù)解決方案的績(jī)效和變化。ITIL以人、流程、技術(shù)為基礎(chǔ)的生命周期，來看待IT服務(wù)。結(jié)構(gòu)化過程質(zhì)量關(guān)注業(yè)務(wù)關(guān)注isms和流程的結(jié)合第十二頁，共三十頁。13服務(wù)水平管理ITSM目標(biāo)安全控制提供與業(yè)務(wù)的接口，使得IT組織提供的IT解決方案，是否符合規(guī)定的業(yè)務(wù)要求，并在可接受的成本內(nèi)。定義、商定、記錄和管理服務(wù)水平組織的信息安全方針，包括一般的安全性原則。容量管理ITSM目標(biāo)安全控制確保IT基礎(chǔ)設(shè)施的容量滿現(xiàn)在和將來的業(yè)務(wù)需求。盡量避免因無計(jì)劃的載荷導(dǎo)致系統(tǒng)發(fā)生故障。確保所有的負(fù)載都是正常的。控制及預(yù)防非預(yù)期的容量消耗。isms和流程的結(jié)合第十三頁，共三十頁。14可用性管理ITSM目標(biāo)安全控制確保商定的IT服務(wù)滿足業(yè)務(wù)的可用性要求。?找出可用性相關(guān)的風(fēng)險(xiǎn)，如單點(diǎn)故障。?設(shè)計(jì)和實(shí)施控制措施，已盡 量減少可用性風(fēng)險(xiǎn)。?配合事件處理流程，管理信息安全相關(guān)的事件。IT服務(wù)連續(xù)性管理ITSM目標(biāo)安全控制負(fù)責(zé)管理一個(gè)組織的持續(xù)提供已商定的IT服務(wù)的能力。?確定和優(yōu)先關(guān)鍵業(yè)務(wù)流程以及相關(guān)的威脅和脆弱性（風(fēng)險(xiǎn)管理）。?測(cè)試，維護(hù)和重新評(píng)估業(yè)務(wù)持續(xù)性計(jì)劃。isms和流程的結(jié)合第十四頁，共三十頁。15配置管理ITSM目標(biāo)安全控制?定義和控制IT服務(wù)和基礎(chǔ)設(shè)施的組件，并保持信息的準(zhǔn)確。?維護(hù)對(duì)組織資產(chǎn)的適當(dāng)保護(hù)?識(shí)別不同類型的資產(chǎn)?標(biāo)識(shí)和處理信息資產(chǎn)變更管理ITSM目標(biāo)安全控制確保標(biāo)準(zhǔn)化方法和程序用于

高效率和迅速處理所有的變

更，以盡量減少變更的影響。?通過風(fēng)險(xiǎn)評(píng)估，估計(jì)變更的 潛在影響。?防止因變更帶來的數(shù)據(jù)丟失、損壞或業(yè)務(wù)的中斷。isms和流程的結(jié)合第十五頁，共三十頁。16事件管理ITSM目標(biāo)安全控制盡可能快的恢復(fù)正常服務(wù)運(yùn) 作。?盡量減少因信息安全事件帶 來的損失，并監(jiān)測(cè)和了解 這類事件。?建立正式的流程報(bào)告和處理 事件。問題管理ITSM目標(biāo)安全控制

通過識(shí)別和分析事件和事故 的根本原因，并進(jìn)行相應(yīng)的 格離，以盡量降低對(duì)業(yè)務(wù)的 影響。盡量減少因信息安全事件帶來的損失，并監(jiān)測(cè)和了解這類事件。isms和流程的結(jié)合第十六頁，共三十頁。發(fā)布管理ITSM目標(biāo)安全控制提交、分發(fā)和跟蹤一個(gè)或多

個(gè)針對(duì)運(yùn)行環(huán)境的變更。新的信息服務(wù)和系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。為新的信息系統(tǒng)和服務(wù)，確定安全要求并概述安全體系結(jié)構(gòu)和詳細(xì)規(guī)格。確定變更的影響邊界。為新信息系統(tǒng)的運(yùn)營(yíng)定義控制措施，以確保系統(tǒng)的完整性。定義驗(yàn)收新服務(wù)的準(zhǔn)則。isms和流程的結(jié)合第十七頁，共三十頁。安全實(shí)施的要點(diǎn)：信息安全不是一蹴而就找出業(yè)務(wù)流程的CSF量化CSF的風(fēng)險(xiǎn)級(jí)別使用控制進(jìn)行控制風(fēng)險(xiǎn)對(duì)其他活動(dòng)節(jié)點(diǎn)進(jìn)行控制驗(yàn)證控制效果第十八頁，共三十頁。實(shí)施步驟第十九頁，共三十頁。組織建立ISO27001信息安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通訊和運(yùn)營(yíng)管理信息系統(tǒng)獲得、開發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理法律法規(guī)遵從風(fēng)險(xiǎn)導(dǎo)向（主動(dòng)）

?信息安全由CSO直接負(fù)責(zé)首先建立和優(yōu)化信息安全體系由業(yè)務(wù)和IT共管?有與風(fēng)險(xiǎn)平衡的安全預(yù)算

?基于風(fēng)險(xiǎn)而整合的基礎(chǔ)設(shè)施?使用主動(dòng)性安全技術(shù)國(guó)際主流管理模式最佳實(shí)踐商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引落實(shí)IT、風(fēng)險(xiǎn)管理部門和各級(jí)業(yè)務(wù)信息安全管理責(zé)任制，督導(dǎo)、檢查各業(yè)務(wù)單元的信息安全管理工作。華潤(rùn)信息安全管理組織

設(shè)立一個(gè)由來自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。第二十頁，共三十頁。華潤(rùn)銀行信息安全委會(huì)主任：副行長(zhǎng)成員：副行長(zhǎng)、各業(yè)務(wù)單元、企管、風(fēng)險(xiǎn)管理、人力、信息部負(fù)責(zé)人責(zé)任：負(fù)責(zé)整個(gè)銀行信息安全的領(lǐng)導(dǎo)和決策工作華潤(rùn)銀行信息安全委員會(huì)秘書處成員：信息部安全組、各功能部門、各業(yè)務(wù)單元信息部經(jīng)理責(zé)任：負(fù)責(zé)華潤(rùn)銀行的信息安全工作的協(xié)調(diào)，保障華潤(rùn)信息安全組織體系的日常運(yùn)轉(zhuǎn)。各支行信息安全管理委員會(huì)主任：支行主管領(lǐng)導(dǎo)成員：支行信息安全負(fù)責(zé)人、支行各業(yè)務(wù)部門信息安全責(zé)任人責(zé)任：負(fù)責(zé)在本支行推動(dòng)、落實(shí)集華潤(rùn)銀行的信息安全工作總行各功能部門信息安全專員成員：各功能部門信息安全負(fù)責(zé)人責(zé)任：負(fù)責(zé)在本功能推動(dòng)安全制度落實(shí)、安全培訓(xùn)、安全系統(tǒng)建設(shè)等工作。核心文件配套附件1.華潤(rùn)銀行人員信息安全職責(zé)說明2.****年度華潤(rùn)銀行信息安全指標(biāo)3……1.華潤(rùn)銀行信息安全管理組織結(jié)構(gòu)和人員責(zé)任管理辦法2.華潤(rùn)銀行責(zé)任矩陣……示例第二十一頁，共三十頁。文檔落地業(yè)務(wù)目標(biāo)12參照ISO27001信息安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全訪問控制通訊和運(yùn)營(yíng)管理信息系統(tǒng)獲得、開發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理法律法規(guī)遵從最佳實(shí)踐責(zé)任分解34形成責(zé)任制度文件業(yè)務(wù)目標(biāo)風(fēng)控內(nèi)容及指標(biāo)責(zé)任主體支持主體華潤(rùn)信息安全責(zé)任制度文件第二十二頁，共三十頁。流程分解到控制項(xiàng)第二十三頁，共三十頁?？刂祈?xiàng)分解到部門1.由業(yè)務(wù)目標(biāo)進(jìn)行分解2.識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)3.風(fēng)險(xiǎn)管控手段4.各業(yè)務(wù)部門應(yīng)該承擔(dān)的責(zé)任5.支持部門應(yīng)該承擔(dān)的責(zé)任示例第二十四頁，共三十頁。落地到技術(shù)工具細(xì)節(jié)防火墻IDS主機(jī)身份管理掃描器防毒異常流量業(yè)務(wù)安全需求安全風(fēng)險(xiǎn)評(píng)估策略人員安全管理需求/架構(gòu)/研發(fā)/測(cè)試安全控制外包管理安全事故處理流程問題管理流程業(yè)務(wù)連續(xù)性管理安全技術(shù)產(chǎn)品及管理規(guī)定信息安全組織ITIL第二十五頁，共三十頁。落地到人員管理（舉例）人員職責(zé)分離物理主機(jī)和機(jī)房管理人員與其他職能之間職責(zé)分離梳理數(shù)據(jù)備份流程，涉及備份操作的各類人員之間適當(dāng)做到職責(zé)分離網(wǎng)絡(luò)管理人員與服務(wù)器管理人員職責(zé)分離操作系統(tǒng)和數(shù)據(jù)庫(kù)管理員職責(zé)分離訪問方式優(yōu)化

劃分網(wǎng)絡(luò)安全區(qū)域

建立物理上和網(wǎng)絡(luò)上相對(duì)獨(dú)立的管控中心操作中心

充分利用代理機(jī)堡機(jī)提升安全水平

對(duì)安全配置進(jìn)行整體性監(jiān)控和管理安全培訓(xùn)

第二十六頁，共三十頁。落地到供應(yīng)商支持（舉例）外包開發(fā)

在場(chǎng)外包開發(fā) 1、外包方人員控制。非本項(xiàng)目員工，包括外包方高層都不允許進(jìn)入工作區(qū)； 2、工作區(qū)的所有物理出口均被有效封閉； 3、CCTV不間斷監(jiān)視； 4、工作區(qū)網(wǎng)絡(luò)的路由器、交換機(jī)設(shè)備，均由銀行提供提供，并僅與銀行的網(wǎng)絡(luò)互連，物理上切斷了與其他網(wǎng)絡(luò)的連接； 5、監(jiān)控網(wǎng)絡(luò)流量； 6、設(shè)備和外設(shè)控制，例如外包方員工的私人電腦、U盤、照相機(jī)、手機(jī)

第二十七頁，共三十頁。建立健全監(jiān)控和事后審計(jì)平臺(tái)與機(jī)制

所有系統(tǒng)的授權(quán)必須審計(jì)，包括操作系統(tǒng)層次、數(shù)據(jù)庫(kù)層次、應(yīng)用層次

所有層次的特權(quán)用戶的操作必須審計(jì)

重要業(yè)務(wù)應(yīng)用系統(tǒng)的用戶操作必須審計(jì)

建立和優(yōu)化統(tǒng)一的日志審計(jì)平臺(tái)落地到審計(jì)（舉例）第二十八頁，共三十頁。謝謝！第二十九頁，共三十頁。內(nèi)容總結(jié)XX銀行。ITILEXPERT、CISSP、CISA。大約50