電子銀行安全評估方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上電子銀行安全評估方案中國金融認(rèn)證中心（CFCA）2008-4專心-專注-專業(yè)目 錄1 概述為掌握電子銀行整體業(yè)務(wù)應(yīng)用及安全狀況，了解當(dāng)前電子銀行風(fēng)險管理狀況與中國銀監(jiān)會（以下簡稱銀監(jiān)會）相關(guān)要求之間的差距，全面加強(qiáng)電子銀行風(fēng)險管理，最終推動電子銀行業(yè)務(wù)的開展，*銀行決定針對電子銀行開展安全評估，以期發(fā)現(xiàn)并彌補電子銀行在安全管理、系統(tǒng)平臺安全以及業(yè)務(wù)控制等方面存在的弱點或問題。1.1 評估背景隨著國民經(jīng)濟(jì)、信息技術(shù)以及信息化的發(fā)展，銀行的業(yè)務(wù)開展模式發(fā)生了巨大的變化，最明顯的就是以信息技術(shù)為支撐平臺的電子銀行逐漸成為各家銀行的重要業(yè)務(wù)渠道。與傳統(tǒng)銀行業(yè)務(wù)渠道相比，電子銀

2、行具有許多優(yōu)勢。一是由于電子銀行主要利用公共網(wǎng)絡(luò)資源，不需設(shè)置物理的分支機(jī)構(gòu)或營業(yè)網(wǎng)點，大大降低銀行經(jīng)營成本，有效提高銀行盈利能力。二是電子銀行業(yè)務(wù)打破了傳統(tǒng)銀行業(yè)務(wù)的地域、時間限制，具有能在任何時候(Anytime）、任何地方(Anywhere）、以任何方式（Anyhow）為客戶提供金融服務(wù)的特點，這既有利于吸引和保留優(yōu)質(zhì)客戶，又能主動擴(kuò)大客戶群，開辟新的利潤來源。三是電子銀行有利于服務(wù)創(chuàng)新，向客戶提供多種類、個性化服務(wù)。但由于其特定的運作方式和網(wǎng)絡(luò)環(huán)境，電子銀行在帶給人們極大便利的同時，也帶來了更多的傳統(tǒng)或新的銀行風(fēng)險。通常情況下，電子銀行業(yè)務(wù)的開展可能會給銀行帶來大量的交易或操作風(fēng)險、符

3、合性/法律風(fēng)險以及聲譽風(fēng)險，如：服務(wù)中斷、客戶信息泄露、客戶資金被盜等。此外一些傳統(tǒng)的風(fēng)險，如：戰(zhàn)略風(fēng)險、信用風(fēng)險、流動性/價格/市場等風(fēng)險也會因電子銀行的特點而發(fā)生變化，如：由于銀行與客戶不直接見面、客戶分散、業(yè)務(wù)區(qū)域跨度大、市場變化快等原因，銀行難以準(zhǔn)確判斷客戶的信譽狀況、抵押品價值變化。同時，電子銀行業(yè)務(wù)在許多方面突破了傳統(tǒng)的法律框架，這也給電子銀行業(yè)務(wù)運營和監(jiān)管帶來一些體制性障礙。為有效防范風(fēng)險，確保電子銀行的安全，必須加強(qiáng)對電子銀行的監(jiān)督與管理。為此銀監(jiān)會發(fā)布了電子銀行業(yè)務(wù)管理辦法和電子銀行安全評估指引，要求申請和開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，利用外部

4、專業(yè)評估機(jī)構(gòu)或內(nèi)部獨立于電子銀行業(yè)務(wù)運營及管理的評估部門，定期對電子銀行進(jìn)行安全評估，安全評估包括對電子銀行安全策略、內(nèi)控制度、風(fēng)險管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測試和管控能力的考察與評價。1.2 目標(biāo)本次電子銀行安全評估工作的目標(biāo)主要有： 掌握電子銀行業(yè)務(wù)應(yīng)用及安全狀況； 按照銀監(jiān)會相關(guān)要求完成電子銀行安全評估； 針對評估中發(fā)現(xiàn)的問題提出改進(jìn)建議或方案； 為*銀行將來電子銀行風(fēng)險管理積累經(jīng)驗。1.3 評估參考依據(jù)本次電子銀行安全評估主要參考依據(jù)包括：1. 信息安全風(fēng)險評估指南(GB/T送審稿)；2. 商業(yè)銀行內(nèi)部控制評價辦法（銀監(jiān)會）；3. 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計指引（銀監(jiān)會）；4

5、. 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引（銀監(jiān)會）；5. 電子銀行業(yè)務(wù)管理辦法（銀監(jiān)會）；6. 電子銀行安全評估指引（銀監(jiān)會）；7. 電子銀行風(fēng)險管理原則（巴塞爾銀行監(jiān)管委員會）； 8. ISO/IEC 27000系列標(biāo)準(zhǔn)。1.4 評估方式本次電子銀行安全評估是由中國金融認(rèn)證中心（以下簡稱CFCA）按照銀監(jiān)會電子銀行業(yè)務(wù)管理辦法以及電子銀行安全評估指引要求實施的外部第三方評估，評估過程與評估結(jié)果將作為*銀行申請電子銀行業(yè)務(wù)的依據(jù)材料，上報銀監(jiān)會。2 評估范圍依據(jù)銀監(jiān)會電子銀行業(yè)務(wù)管理辦法、電子銀行安全評估指引以及*銀行電子銀行業(yè)務(wù)開展?fàn)顩r，本次電子銀行安全評估的范圍如下：n 組織范圍通常來說，與

6、電子銀行相關(guān)的部門包括： 業(yè)務(wù)部門（電子銀行部）：負(fù)責(zé)電子銀行日常業(yè)務(wù)的開展。 IT部門（科技部）：負(fù)責(zé)電子銀行系統(tǒng)平臺的開發(fā)、獲取及日常運維。 風(fēng)險管理部門：負(fù)責(zé)與電子銀行有關(guān)的風(fēng)險識別、風(fēng)險評估、風(fēng)險處置與風(fēng)險監(jiān)控等。 內(nèi)部審計部門（審計部或合規(guī)部）：負(fù)責(zé)電子銀行業(yè)務(wù)及風(fēng)險管理審核。為全面評估電子銀行的安全管理狀況，本次安全評估涵蓋與電子銀行風(fēng)險管理相關(guān)的所有部門，包括*銀行總部電子銀行部、信息科技部、操作及其他風(fēng)險管理部、組織及生產(chǎn)力促進(jìn)部、法規(guī)監(jiān)管部、法律事務(wù)部等，基于*銀行的特點，本次安全評估不涉及下屬分行或支行。n 系統(tǒng)范圍根據(jù)銀監(jiān)會發(fā)布的電子銀行管理辦法，電子銀行業(yè)務(wù)是指商業(yè)銀行

7、等銀行業(yè)金融機(jī)構(gòu)利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。電子銀行業(yè)務(wù)包括利用計算機(jī)和互聯(lián)網(wǎng)開展的銀行業(yè)務(wù)（以下簡稱網(wǎng)上銀行業(yè)務(wù)），利用電話等聲訊設(shè)備和電信網(wǎng)絡(luò)開展的銀行業(yè)務(wù)（以下簡稱電話銀行業(yè)務(wù)），利用移動電話和無線網(wǎng)絡(luò)開展的銀行業(yè)務(wù)（以下簡稱手機(jī)銀行業(yè)務(wù)），以及其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò)，由客戶通過自助服務(wù)方式完成金融交易的銀行業(yè)務(wù)。本次電子銀行安全評估的系統(tǒng)范圍只包括與網(wǎng)上銀行（包括信息網(wǎng)站以及交易網(wǎng)站）相關(guān)的網(wǎng)絡(luò)平臺、操作系統(tǒng)/數(shù)據(jù)庫/中間件平臺以及應(yīng)用系統(tǒng)等，下圖是*銀行網(wǎng)上銀行系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D。根據(jù)上圖所示，

8、本次電子銀行安全評估涉及的網(wǎng)絡(luò)設(shè)備、系統(tǒng)/平臺大致范圍包括如下表：n 業(yè)務(wù)范圍根據(jù)服務(wù)對象的不同，電子銀行業(yè)務(wù)通常分為： 個人銀行； 企業(yè)銀行； 電子銀行內(nèi)部管理。本次安全評估涉及*銀行網(wǎng)上銀行的個人銀行、企業(yè)銀行以及相關(guān)的網(wǎng)銀管理三大類業(yè)務(wù)。3 評估內(nèi)容作為機(jī)構(gòu)IT業(yè)務(wù)應(yīng)用之一，電子銀行需要與其它業(yè)務(wù)應(yīng)用一起納入機(jī)構(gòu)全面的風(fēng)險管理體系中。電子銀行安全評估涉及電子銀行業(yè)務(wù)控制評估、電子銀行系統(tǒng)平臺安全評估以及與電子銀行相關(guān)的總體安全管理評估三個層面。3.1 電子銀行安全管理評估電子銀行安全管理評估的目的是評估電子銀行安全管理框架及體系的健全性、符合性和有效性，一般來說電子銀行安全管理框架及體系

9、的建設(shè)運行涉及電子銀行部門、IT部門（科技部）、審計部門以及風(fēng)險管理部門等。針對這些部門的安全管理評估包括： 風(fēng)險管理框架建設(shè)與運行 各級人員的風(fēng)險管理意識或認(rèn)知； 風(fēng)險模型或框架定義； 相關(guān)職責(zé)劃分/人員安排； 與目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險評估、風(fēng)險控制以及風(fēng)險監(jiān)測相關(guān)的流程及操作程序； 風(fēng)險管理程序執(zhí)行情況； 董事會及高管對風(fēng)險管理的監(jiān)查。 內(nèi)部控制體系建設(shè)與運行 管理層對電子銀行內(nèi)部控制的認(rèn)知能力與水平； 相關(guān)職責(zé)劃分/人員安排； 控制環(huán)境建設(shè)情況； 與電子銀行整個生命周期（開發(fā)、獲取、運營、廢棄等）相關(guān)的控制體系建設(shè)情況； 控制機(jī)制執(zhí)行情況； 溝通與監(jiān)控機(jī)制的建設(shè)與運行情況； 內(nèi)部審計制

10、度的建設(shè)與運行情況。 開發(fā)與獲取管理 與開發(fā)及獲取相關(guān)的職責(zé)安排，組織架構(gòu)是否合理； 開發(fā)及獲取的標(biāo)準(zhǔn)、方法論及實踐； 開發(fā)質(zhì)量保證過程； 開發(fā)及獲取變更控制過程； 電子銀行系統(tǒng)補丁與發(fā)布管理； 與電子銀行相關(guān)的開發(fā)文檔管理與控制。 運營管理 相關(guān)職責(zé)劃分/人員安排； 事件/問題或知識/管理流程； 變更管理/發(fā)布管理流程； 配置管理流程； 電子銀行監(jiān)控； 電子銀行用戶支持； 其它電子銀行日常操作流程，如：巡檢、備份、定期報告等。 應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理 應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理流程建設(shè)； 相關(guān)職責(zé)劃分/人員安排； 電子銀行應(yīng)急預(yù)案與業(yè)務(wù)連續(xù)性計劃制定情況； 與電子銀行相關(guān)的災(zāi)備及其它技術(shù)控制

11、情況； 電子銀行應(yīng)急與業(yè)務(wù)連續(xù)性定期演練情況。 外包管理 外包管理流程建設(shè)； 相關(guān)職責(zé)劃分/人員安排； 與電子銀行相關(guān)的外包管理執(zhí)行情況。 安全管理 安全管理策略/制度/流程建設(shè)； 相關(guān)職責(zé)劃分/人員安排； 安全管理執(zhí)行情況。3.2 電子銀行系統(tǒng)平臺安全評估電子銀行系統(tǒng)平臺安全評估的目的是評估支撐電子銀行業(yè)務(wù)運行的系統(tǒng)平臺的安全性，通常情況下，支撐電子銀行業(yè)務(wù)的系統(tǒng)平臺包括物理環(huán)境、網(wǎng)絡(luò)設(shè)施、主機(jī)系統(tǒng)平臺以及應(yīng)用系統(tǒng)等。針對上述對象的具體評估內(nèi)容如下： 物理環(huán)境安全 物理環(huán)境安全（機(jī)房環(huán)境、出入管理、監(jiān)控措施）； 設(shè)備安全（設(shè)備管理、設(shè)備維護(hù)等）； 介質(zhì)安全（各種存儲介質(zhì)管理、備份介質(zhì)管理、應(yīng)

12、急介質(zhì)管理）。 網(wǎng)絡(luò)平臺安全 網(wǎng)絡(luò)及邊界安全（網(wǎng)絡(luò)接入控制、訪問控制、邊界防護(hù)）； 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計（網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)服務(wù)質(zhì)量保證）； 網(wǎng)絡(luò)設(shè)備安全功能及使用(網(wǎng)絡(luò)內(nèi)在安全措施配置管理等); 網(wǎng)絡(luò)訪問控制； 網(wǎng)絡(luò)安全檢測分析； 網(wǎng)絡(luò)連接； 網(wǎng)絡(luò)可用性。 操作系統(tǒng)/平臺安全 帳號安全； 文件系統(tǒng)安全； 網(wǎng)絡(luò)服務(wù)安全； 系統(tǒng)訪問控制； 日志及監(jiān)控審計； 拒絕服務(wù)保護(hù)； 補丁管理； 病毒及惡意代碼防護(hù)； 系統(tǒng)備份與恢復(fù)。 數(shù)據(jù)庫安全 數(shù)據(jù)庫帳號安全； 數(shù)據(jù)庫訪問控制； 存儲過程安全； 補丁管理； 系統(tǒng)備份與恢復(fù)； 日志及監(jiān)控審計。 應(yīng)用系統(tǒng)安全 身份鑒別； 訪問控制； 交易的安全性； 數(shù)據(jù)的安全性

13、； 密碼支持； 異常處理； 輸入輸出合法性； 備份與故障恢復(fù)； 安全審計； 資源利用； 安全管理。3.3 電子銀行業(yè)務(wù)控制評估電子銀行業(yè)務(wù)控制評估的目的是評估電子銀行業(yè)務(wù)開展過程中內(nèi)部控制措施的健全性、符合性及有效性，評估的對象是所有電子銀行業(yè)務(wù)流程，如：開戶、轉(zhuǎn)賬、查詢、統(tǒng)計等，針對每個業(yè)務(wù)流程的具體評估內(nèi)容如下： 業(yè)務(wù)流程建設(shè)狀況 流程目的與目標(biāo)； 流程所有權(quán)； 業(yè)務(wù)流程策略、計劃及程序； 角色劃分、職責(zé)定義與人員安排； 流程活動定義； 流程績效。 業(yè)務(wù)應(yīng)用控制 原始數(shù)據(jù)準(zhǔn)備與授權(quán)； 原始數(shù)據(jù)收集與錄入； 交易準(zhǔn)確性、完全性、真實性檢查； 處理完整性與有效性； 輸出的檢查、調(diào)整與錯誤處理；

14、 交易鑒別與完整性。 業(yè)務(wù)控制業(yè)務(wù)控制是指電子銀行業(yè)務(wù)處理過程中的控制，一般來說主要涉及與IT無關(guān)的固有業(yè)務(wù)控制。 開戶； 賬戶查詢； 存/貸款； 支付/轉(zhuǎn)賬； 交費； 網(wǎng)上理財； 集團(tuán)服務(wù)/現(xiàn)金管理； 。4 評估方法本次安全評估將結(jié)合基于弱點的安全評估和基于資產(chǎn)的風(fēng)險評估兩種方法，通過調(diào)查訪談、現(xiàn)場檢測、分析研究等手段評估電子銀行存在的弱點，并對電子銀行涉及的主要信息資產(chǎn)進(jìn)行基于資產(chǎn)的風(fēng)險評估，最后從電子銀行安全管理、電子銀行系統(tǒng)平臺安全以及電子銀行業(yè)務(wù)控制三個方面評價電子銀行的安全狀況，給出整改建議。4.1 評估流程本次安全評估的過程主要包括：業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研、現(xiàn)場評估、綜合評價三大

15、階段。如下圖：現(xiàn)場評估業(yè)務(wù)控制評估安全管理評估綜合評價資產(chǎn)安全評價業(yè)務(wù)控制評價安全管理評價業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研系統(tǒng)平臺安全評估4.1.1 業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研的目的在于全面掌握電子銀行的基本信息，包括電子銀行管理組織、電子銀行業(yè)務(wù)類別/業(yè)務(wù)流程、電子銀行系統(tǒng)平臺信息等，重點收集整理分析電子銀行應(yīng)用狀況與業(yè)務(wù)流程信息?，F(xiàn)狀調(diào)研完成后需要形成電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研報告。主要工作任務(wù)包括： 填寫調(diào)查問卷； 相關(guān)文檔收集與查閱； 面對面訪談； 系統(tǒng)平臺配置信息/狀態(tài)信息收集； 上述信息的分析整理。需要調(diào)研的詳細(xì)信息包括： 電子銀行管理組織架構(gòu)； 電子銀行業(yè)務(wù)類別及業(yè)務(wù)

16、流程； 電子銀行用戶情況； 電子銀行系統(tǒng)網(wǎng)絡(luò)架構(gòu)及部署情況； 電子銀行應(yīng)用系統(tǒng)功能； 電子銀行主要信息資產(chǎn)（網(wǎng)絡(luò)設(shè)備、系統(tǒng)/平臺等）。評估小組將主要采取人工調(diào)查（調(diào)查問卷、現(xiàn)場面談、文檔檢查）的方式收集信息，需要相關(guān)主管及操作人員的參與及幫助。4.1.2 現(xiàn)場評估現(xiàn)場評估主要通過訪談、檢測以及核查等方式對電子銀行安全管理、電子銀行系統(tǒng)平臺安全以及電子銀行業(yè)務(wù)控制三個方面的內(nèi)容進(jìn)行評估，目的在于發(fā)掘電子銀行存在的弱點或漏洞。現(xiàn)場評估將會形成一系列工作過程文檔，包括各種實施計劃以及相關(guān)的訪談記錄，掃描報告、滲透測試報告、人工檢測報告等。現(xiàn)場評估的工作任務(wù)包括： 安全管理評估 安全管理訪談； 制度文

17、檔審閱； 制度符合性/有效性檢查。 業(yè)務(wù)風(fēng)險分析 業(yè)務(wù)控制訪談； 業(yè)務(wù)控制核查。 IT基礎(chǔ)設(shè)施安全評估 關(guān)鍵資產(chǎn)評估； 威脅評估； 安全訪談； 安全掃描； 人工檢測； 滲透測試?，F(xiàn)場評估涉及訪談、掃描、人工檢測等多種手段，事先應(yīng)該根據(jù)前期了解的電子銀行相關(guān)信息，分別制定詳細(xì)實施計劃，并在實施過程中需要相關(guān)主管及操作人員的參與及幫助。4.1.3 綜合評價綜合分析現(xiàn)狀調(diào)研以及現(xiàn)場評估的結(jié)果，分別從安全管理、系統(tǒng)平臺安全以及業(yè)務(wù)控制三個方面綜合評價電子銀行的安全狀況，并依據(jù)前期收集的信息對電子銀行關(guān)鍵資產(chǎn)進(jìn)行風(fēng)險評價。綜合評價的具體工作任務(wù)包括： 電子銀行安全綜合評價依照電子銀行整體安全評價準(zhǔn)則（參

18、見），分別從安全管理、系統(tǒng)平臺安全以及業(yè)務(wù)控制三個方面綜合評價電子銀行的安全狀況，形成電子銀行安全管理評估報告、電子銀行系統(tǒng)平臺安全評估報告、電子銀行業(yè)務(wù)控制評估報告。 電子銀行系統(tǒng)關(guān)鍵信息資產(chǎn)風(fēng)險評價依照關(guān)鍵資產(chǎn)安全風(fēng)險評價準(zhǔn)則（參見），對電子銀行關(guān)鍵信息資產(chǎn)進(jìn)行安全風(fēng)險評價，形成電子銀行系統(tǒng)關(guān)鍵信息資產(chǎn)安全風(fēng)險評估表。4.2 評估手段本次安全評估將主要采用調(diào)查、檢查、安全測試、分析等手段進(jìn)行信息收集與安全分析評估。 調(diào)查主要用于電子銀行業(yè)務(wù)現(xiàn)狀及安全狀況信息收集。訪談包括問卷、遠(yuǎn)程訪談與現(xiàn)場訪談。 檢查主要用于電子銀行弱點分析，包括文檔核查，執(zhí)行檢查等。 測試主要用于弱點分析，包括手工測試

19、、自動工具測試。 人工分析主要用于資產(chǎn)分析、威脅分析、安全措施分析及安全評價。4.2.1 調(diào)查調(diào)查對象包括各級管理人員、開發(fā)人員、部署/配置人員等。 問卷調(diào)查發(fā)放調(diào)查問卷，由調(diào)查對象填寫并回收。 遠(yuǎn)程訪談通過電話或郵寄調(diào)查表進(jìn)行。 現(xiàn)場訪談與電子銀行用戶、管理或開發(fā)員工面對面會談。調(diào)查工作需要電子銀行相關(guān)部門的支持與幫助。4.2.2 檢查通過對電子銀行系統(tǒng)開發(fā)與運行的相關(guān)文檔的檢查，了解該系統(tǒng)的安全態(tài)勢、風(fēng)險管理和控制計劃及其執(zhí)行情況、緊急響應(yīng)能力、信息安全的培訓(xùn)工作等情況，從中找出安全漏洞或弱點。檢查的文檔包括但不僅限于:1) 系統(tǒng)安全建設(shè)文檔；2) 系統(tǒng)開發(fā)文檔：例如系統(tǒng)用戶指南、系統(tǒng)管理

20、手冊、系統(tǒng)設(shè)計和需求分析文檔等；3) 系統(tǒng)運行文檔：例如系統(tǒng)日志、防火墻、IDS日志等；4) 其它相關(guān)文檔：例如已往的審計報告、風(fēng)險管理報告、系統(tǒng)測試結(jié)果、系統(tǒng)安全規(guī)劃、執(zhí)行記錄等。4.2.3 測試 手工測試本次評估將采用手工測試，進(jìn)一步了解操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)/安全設(shè)備的特點和安全狀況。并對通過其它方式搜集的信息進(jìn)行印證和修正，從而保證信息的準(zhǔn)確性。 自動工具測試自動工具的使用可快速發(fā)現(xiàn)系統(tǒng)的弱點，在短時間內(nèi)收集大量的脆弱性信息，大大提高評估效率。本次評估將使用自動掃描工具進(jìn)行弱點探測。4.2.4 人工分析通過安全專業(yè)人員的分析來保證評估的有效性。4.3 評估工具評估工具包括

21、文檔模板與自動化工具，前者包括調(diào)查問卷、現(xiàn)場調(diào)查表、Checklist或評估表等，后者包括自動掃描及測試工具、自動分析評價工具等。4.3.1 調(diào)查問卷通過調(diào)查問卷收集電子銀行相關(guān)信息，如：管理狀況、安全事件等。調(diào)查問卷由電子銀行相關(guān)人員填寫并反饋評估人員。調(diào)查問卷包括： 威脅/事件調(diào)查問卷； 管理調(diào)查問卷等。4.3.2 現(xiàn)場調(diào)查表利用調(diào)查表收集評估對象現(xiàn)狀信息，調(diào)查表由評估人員在現(xiàn)場訪談時使用，調(diào)查表包括： 組織基本信息調(diào)查表電子銀行組織架構(gòu)、崗位職責(zé)、人員安排、電子銀行目標(biāo)使命等。 網(wǎng)絡(luò)現(xiàn)狀調(diào)查表鏈路狀況、網(wǎng)絡(luò)拓?fù)?、設(shè)備產(chǎn)品部署、管理平臺/手段、配置狀況（IP、端口、服務(wù)）、安全措施。 系統(tǒng)

22、現(xiàn)狀調(diào)查表操作系統(tǒng)版本、補丁狀況、口令帳號管理、文件管理、服務(wù)管理、備份、安全措施等。 業(yè)務(wù)及應(yīng)用現(xiàn)狀調(diào)查表業(yè)務(wù)種類、業(yè)務(wù)路徑、應(yīng)用架構(gòu)、開發(fā)文檔、數(shù)據(jù)庫、安全功能。 管理現(xiàn)狀調(diào)查表組織結(jié)構(gòu)、制度流程、培訓(xùn)。4.3.3 評估表/Checklist利用評估表或Checklist檢查系統(tǒng)是否存在弱點，評估表或Checklist由評估人員在安全訪談、檢查與測試時使用，本次安全評估使用的評估表或Checklist可能包括： 風(fēng)險管理框架評估表； 內(nèi)部控制體系評估表； 開發(fā)與獲取管理評估表； 運營管理評估表； 應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理評估表； 外包管理評估表； 安全管理評估表； 物理安全評估表； 網(wǎng)絡(luò)設(shè)

23、計安全評估表； 交換機(jī)安全評估表； 路由器安全評估表； 防火墻安全評估表； Solaris安全評估表； Linux安全評估表； Apache安全評估表； Weblogic安全評估表； Oracle安全評估表； 應(yīng)用安全評估表； 桌面安全評估表； 業(yè)務(wù)流程評估表； 業(yè)務(wù)應(yīng)用控制評估表； 業(yè)務(wù)控制評估表。4.3.4 自動化測試工具自動化測試工具包括掃描工具、口令破解攻擊、攻擊工具等。用于檢測系統(tǒng)可能存在的漏洞或弱點。5 項目階段與時間估算5.1 項目階段劃分項目準(zhǔn)備第一步第二步實施評估第三步改進(jìn)建議第四步第五步現(xiàn)狀調(diào)研與分析項目總結(jié)本次安全評估分項目準(zhǔn)備、現(xiàn)狀調(diào)研與分析、實施評估、改進(jìn)建議、及項目

24、總結(jié)五個階段，各個階段工作定義說明如下:l 項目準(zhǔn)備項目實施前期工作，包括成立項目組，確定評估范圍，制定項目實施計劃，收集整理開發(fā)各種評估工具等。l 現(xiàn)狀調(diào)研與分析通過遠(yuǎn)程或現(xiàn)場訪談，收集、整理、分析電子銀行業(yè)務(wù)及IT應(yīng)用信息，形成業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報告。l 實施評估采用前面描述的評估方法，從安全管理、系統(tǒng)平臺安全以及業(yè)務(wù)控制三個方面實施電子銀行安全評估，形成電子銀行安全評估報告。l 改進(jìn)建議根據(jù)評估的結(jié)果，參照相關(guān)標(biāo)準(zhǔn)或最佳實踐，確定完善電子銀行安全管理需要進(jìn)行的主要工作，對具體實施內(nèi)容進(jìn)行綜合分析，提出改進(jìn)建議與實施規(guī)劃。l 項目總結(jié)完善評估成果、進(jìn)行項目總結(jié)。5.1.1 項目準(zhǔn)備1）過程

25、（活動）描述 確定項目任務(wù)、目標(biāo)； 成立項目組； 確定評估范圍、內(nèi)容； 制定評估實施計劃； 收集整理開發(fā)各種評估工具。2）工作方式與參與人員活動工作方式主要參與人員1.1確定項目任務(wù)、目標(biāo)交流、討論電子銀行相關(guān)部門CFCA1.2成立項目組1.3確定評估范圍、內(nèi)容1.4制定評估實施計劃計劃討論、文檔撰寫整理CFCA1.5收集整理開發(fā)各種評估工具1.6啟動會啟動會議電子銀行相關(guān)部門CFCA1.7項目知識、工具轉(zhuǎn)移與培訓(xùn)3）輸入4）輸出 安全評估計劃（主要是業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研實施計劃）； 安全評估調(diào)查問卷； 業(yè)務(wù)及IT應(yīng)用信息調(diào)查表； 各種評估表或Checklist； 安全評價表。5.1.2 現(xiàn)

26、狀調(diào)研與分析1）過程（活動）描述 填寫調(diào)查問卷； 文檔收集與查閱； 現(xiàn)場訪談； 配置信息/狀態(tài)信息收集； 業(yè)務(wù)及IT信息分析整理； 撰寫現(xiàn)狀報告； 制定下一階段實施計劃。2）工作方式與參與人員活動工作方式主要參與人員2.1填寫調(diào)查問卷集中或單個填寫電子銀行相關(guān)部門2.2文檔收集與查閱現(xiàn)場查閱或遠(yuǎn)程查閱CFCA2.3現(xiàn)場訪談面對面訪談CFCA、電子銀行相關(guān)人員2.4配置信息/狀態(tài)信息收集手工或遠(yuǎn)程測試CFCA、電子銀行系統(tǒng)相關(guān)配合人員2.5業(yè)務(wù)及IT信息分析整理內(nèi)部討論CFCA2.6撰寫現(xiàn)狀報告文檔撰寫CFCA2.7制定下一階段實施計劃計劃討論，文檔撰寫CFCA3）輸入 業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研實

27、施計劃； 業(yè)務(wù)及IT應(yīng)用信息調(diào)查表。4）輸出 調(diào)查結(jié)果表； 系統(tǒng)配置信息； 電子銀行安全訪談實施計劃； 電子銀行系統(tǒng)安全掃描實施計劃； 電子銀行系統(tǒng)人工檢測實施計劃； 電子銀行系統(tǒng)滲透測試實施計劃； 電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報告。5.1.3 實施評估1）過程（活動）描述 安全管理評估l 安全管理訪談;l 制度文檔審閱;l 制度符合性/有效性檢查。 業(yè)務(wù)控制評估l 業(yè)務(wù)控制訪談；l 業(yè)務(wù)控制核查。 IT基礎(chǔ)設(shè)施安全評估l 資產(chǎn)評估；l 威脅評估；l 安全訪談；l 安全掃描；l 人工檢測；l 滲透測試。 整理/撰寫報告； （如果需要）制定下一步工作計劃。2）工作方式與參與人員活動工作方式主要參與

28、人員3.1安全管理評估訪談、檢查電子銀行系統(tǒng)相關(guān)人員，CFCA3.2業(yè)務(wù)控制評估訪談、檢查電子銀行系統(tǒng)相關(guān)人員，CFCA3.3IT基礎(chǔ)設(shè)施安全評估訪談、檢查、手工檢測、工具掃描等電子銀行系統(tǒng)相關(guān)人員，CFCA3.4整理/撰寫報告內(nèi)部討論，文檔撰寫CFCA3.5制定下一步工作計劃（如果需要）計劃討論，文檔撰寫CFCA3）輸入 自動評估工具； 各種評估表或checklist； 各種實施計劃。4）輸出 電子銀行安全評估報告 (提交銀監(jiān)會)； 電子銀行安全管理評估報告 ； 電子銀行IT基礎(chǔ)設(shè)施安全評估報告； 電子銀行業(yè)務(wù)流程風(fēng)險評估報告； 各種訪談/檢測報告； 下一步工作計劃（如果需要）。5.1.4

29、改進(jìn)建議1）過程（活動）描述 改進(jìn)建議（制度/標(biāo)準(zhǔn)/指南/方案）； （如果需要）整理制度/標(biāo)準(zhǔn)/指南/方案模板； （如果需要）撰寫制度/標(biāo)準(zhǔn)/指南/方案； （如果需要）評審制度/標(biāo)準(zhǔn)/指南/方案。2）工作方式與參與人員活動工作方式主要參與人員4.1改進(jìn)建議（制度/標(biāo)準(zhǔn)/指南/方案）內(nèi)部討論CFCA4.2（如果需要）整理制度/標(biāo)準(zhǔn)/指南/方案模板整理、撰寫模板CFCA4.2（如果需要）撰寫制度/標(biāo)準(zhǔn)/指南/方案撰寫文檔CFCA，電子銀行相關(guān)部門4.4（如果需要）評審制度/標(biāo)準(zhǔn)/指南/方案評審會CFCA，電子銀行相關(guān)部門3）輸入 電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報告； 各種測試報告； 各種安全評估報告；

30、 工作計劃。4）輸出 電子銀行安全建議書； 電子銀行安全管理相關(guān)模板（如果需要）； 電子銀行安全管理相關(guān)制度/標(biāo)準(zhǔn)/指南/方案（如果需要）； 電子銀行安全規(guī)劃（如果需要）。5.1.5 項目總結(jié)1）過程（活動）描述 成果完善； 撰寫匯報材料； 項目匯報。2）工作方式與參與人員活動工作方式主要參與人員5.1成果完善文檔整理CFCA5.2撰寫匯報材料撰寫材料CFCA5.3項目匯報總結(jié)會電子銀行系統(tǒng)相關(guān)人員，CFCA3）輸入 前期各種工作過程文檔及報告。4）輸出 匯報材料。5.2 時間估算實施階段實施任務(wù)實施內(nèi)容時間安排人員安排1項目準(zhǔn)備1.1確定項目任務(wù)、目標(biāo)1個工作日1.2 確定評估范圍、內(nèi)容1.

31、3成立項目組1.4制定評估實施計劃3個工作日3人1.5收集整理開發(fā)各種評估工具1.6啟動會1個工作日3人1.7項目知識、工具轉(zhuǎn)移與培訓(xùn)2業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研與分析2.1填寫調(diào)查問卷2.2文檔收集2.3現(xiàn)場訪談4個工作日2人2.4系統(tǒng)配置信息收集1個工作日1人2.5現(xiàn)場檢測計劃3個工作日1人2.6業(yè)務(wù)流程分析整理5個工作日3人3實施評估3.1安全管理評估安全管理訪談2個工作日2人制度文檔審閱2個工作日制度符合性/有效性檢查1個工作日3.2業(yè)務(wù)控制評估業(yè)務(wù)控制訪談2個工作日業(yè)務(wù)控制核查1個工作日3.3IT基礎(chǔ)設(shè)施安全評估資產(chǎn)評估2個工作日1-2人威脅評估1個工作日安全訪談1個工作日安全掃描4個工

32、作日人工檢測滲透測試3.4整理/撰寫報告10個工作日3人4項目總結(jié)4.1成果及工作過程文檔整理1個工作日3人4.2撰寫匯報材料1個工作日3人4.3項目匯報1個工作日3人總計34個工作日4.6人月6 項目組織與人員安排6.1 組織機(jī)構(gòu)項目領(lǐng)導(dǎo)小組銀行項目小組CFCA項目小組項目經(jīng)理項目經(jīng)理資深安全顧問高級安全顧問安全顧問/助理客戶經(jīng)理技術(shù)經(jīng)理IT部門配合成員風(fēng)險管理部門配合成員內(nèi)部審計部門配合成員業(yè)務(wù)部門配合成員項目組成員其它部門配合成員項目領(lǐng)導(dǎo)小組：由*銀行和CFCA相關(guān)領(lǐng)導(dǎo)組成，對評估項目能夠有充分的重視，對項目進(jìn)行的關(guān)鍵環(huán)節(jié)作出決策，使項目的發(fā)展保持正確的方向。*銀行項目小組：由*銀行電子

33、銀行部、科技部、風(fēng)險管理部、審計部等電子銀行相關(guān)單位人員組成，根據(jù)需要參與、支持、評審、監(jiān)督電子銀行評估工作。*銀行項目經(jīng)理：*銀行項目小組負(fù)責(zé)人，制定項目計劃，落實人員安排，管理項目進(jìn)度，與CFCA協(xié)調(diào)評估項目事宜。*銀行技術(shù)經(jīng)理：*銀行項目小組的電子銀行技術(shù)負(fù)責(zé)人。*銀行配合人員：由各參與部門相關(guān)人員組成，負(fù)責(zé)評估項目的幫助支持工作，包括資料提供、信息收集，并根據(jù)需要參與部分工作。CFCA項目小組：由CFCA相關(guān)人員組成，負(fù)責(zé)實施電子銀行安全評估，撰寫評估報告及相關(guān)改進(jìn)建議。CFCA項目經(jīng)理：CFCA項目小組負(fù)責(zé)人，負(fù)責(zé)制定項目計劃，落實人員安排，管理項目進(jìn)度，與*銀行協(xié)調(diào)評估項目事宜。C

34、FCA客戶經(jīng)理：CFCA項目小組商務(wù)負(fù)責(zé)人。CFCA資深安全顧問：由CFCA資深安全顧問擔(dān)當(dāng)，負(fù)責(zé)制定評估方案、開發(fā)評估工具、指導(dǎo)高級安全顧問及安全顧問/助理實施安全評估，并根據(jù)需要參與具體評估工作。CFCA高級安全顧問：由CFCA有豐富實踐經(jīng)驗的技術(shù)人員組成，負(fù)責(zé)評估項目的具體實施工作，如：訪談、測試、手工檢查等，并撰寫評估報告及相關(guān)改進(jìn)建議。CFCA安全顧問/助理：由CFCA相關(guān)技術(shù)人員組成，參與評估項目的具體實施工作，如：訪談、測試、手工檢查等。6.2 主要人員安排CFCA項目組長： CFCA項目經(jīng)理： CFCA資深安全顧問： CFCA高級安全顧問： CFCA安全顧問/助理：6.3 主要

35、人員介紹7 項目管理7.1 質(zhì)量保證實施計劃評審：在項目實施過程中，對各種評估實施計劃的內(nèi)容進(jìn)行評審，并形成正規(guī)化文件。評估實施：嚴(yán)格按評估實施方案和評估實施計劃實施評估。文件管理：對所有的項目文件進(jìn)行有效的控制和管理，以保證評估的正規(guī)化和規(guī)范化。這些文件包括評估實施方案、評估實施計劃、工具集以及中間文檔記錄等。7.2 實施過程中的風(fēng)險控制由于評估過程中會涉及大量電子銀行業(yè)務(wù)及系統(tǒng)相關(guān)的敏感信息，同時也會針對電子銀行系統(tǒng)使用多種攻擊性檢測工具，因此評估可能會給電子銀行安全帶來一定的潛在威脅，對此主要采取以下控制措施。1. 對所有參與電子銀行安全評估的員工進(jìn)行背景調(diào)查，并按規(guī)定簽署保密協(xié)議，進(jìn)行

36、保密教育。2. 評估實施前制定詳細(xì)實施計劃，所有工作計劃必須獲得領(lǐng)導(dǎo)批準(zhǔn)，并嚴(yán)格按照計劃執(zhí)行。3. 對于項目中的任何變更，項目實施人員均要通知項目組長或領(lǐng)導(dǎo)組成員，項目組長或領(lǐng)導(dǎo)組成員需要對是否允許變更做出批示。對于重要的變更，需要書面的變更申請，并更新相關(guān)計劃。4. 在評估實施前，對電子銀行系統(tǒng)的重要數(shù)據(jù)，如：網(wǎng)絡(luò)系統(tǒng)關(guān)鍵設(shè)備配置、服務(wù)器系統(tǒng)配置參數(shù)等，根據(jù)評估活動可能帶來的風(fēng)險大小，做好相應(yīng)的備份，保證能夠快速恢復(fù)系統(tǒng)。5. 根據(jù)評估活動可能帶來的各種威脅及風(fēng)險，做好相應(yīng)的應(yīng)急預(yù)案。6. 挑選具有豐富經(jīng)驗的技術(shù)人員參與技術(shù)測試，避免因操作失誤而造成電子銀行系統(tǒng)故障。7. 除非必須，否則盡量

37、不對生產(chǎn)系統(tǒng)進(jìn)行實際操作，對電子銀行系統(tǒng)的技術(shù)測試盡量選擇在測試環(huán)境中進(jìn)行。7.3 交流與溝通項目過程中的交流與溝通能確保及時、有效地收集、產(chǎn)生、發(fā)布、保存和處理項目信息。它是人、思路和信息之間的關(guān)系紐帶，是成功所必須的。本項目主要采用如下幾種溝通方式 會議，包括： 多方參與的項目啟動會議； 項目組的周例會，主要由項目組人員參與； 項目階段工作會議，主要由項目組人員參與； 多方參與的項目總結(jié)會議。 日常溝通、記錄和備忘錄，主要包括： 各種非正式會議； 電話； 傳真； 郵件。 報告，包括： 項目計劃和進(jìn)展報告； 項目總結(jié)報告； 以及在各個階段輸出的項目成果文本等。8 主要項目文檔1. 電子銀行安

38、全評估方案；2. 電子銀行安全評估實施計劃（系列）；3. 電子銀行安全評估調(diào)查問卷（系列）；4. 電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報告；5. 電子銀行系統(tǒng)重要資產(chǎn)清單；6. 電子銀行系統(tǒng)重要資產(chǎn)風(fēng)險評估表；7. 電子銀行系統(tǒng)安全掃描報告；8. 電子銀行系統(tǒng)手工安全檢測報告；9. 電子銀行系統(tǒng)滲透測試報告；10. 電子銀行安全評估報告。附件1：電子銀行整體安全評價準(zhǔn)則電子銀行的整體安全評價從安全管理、系統(tǒng)平臺安全以及業(yè)務(wù)控制三個方面進(jìn)行。每個方面包含一系列評價內(nèi)容描述（可能包含多級描述），針對每個最終評價內(nèi)容（非中間級）的賦值準(zhǔn)則如下：評價賦值L描述0-完全不符合當(dāng)前狀況完全不符合評價內(nèi)容描述。33-

39、少部分符合當(dāng)前狀況少部分符合評價內(nèi)容描述。66-基本符合當(dāng)前狀況基本不符合評價內(nèi)容描述。100-完全符合當(dāng)前狀況完全評價內(nèi)容描述。每個中間級的評價內(nèi)容值L由下述公式確定：L=(Wili)/Wi,i0。其中：L是某級評價內(nèi)容的賦值。Li是該級評價內(nèi)容的第i個子評價內(nèi)容賦值。Wi是該級評價內(nèi)容的第i個子評價內(nèi)容所占的權(quán)重。具體的評價內(nèi)容描述及權(quán)重參考（在實際評價時可能根據(jù)具體情況調(diào)整）如下： 安全管理評價內(nèi)容及權(quán)重進(jìn)行如下內(nèi)容評價：風(fēng)險管理框架建設(shè)與運行(權(quán)重10%)各級人員的風(fēng)險管理意識或認(rèn)知（權(quán)重10%）風(fēng)險模型或框架定義（權(quán)重10%）相關(guān)職責(zé)劃分/人員安排（權(quán)重20%）與目標(biāo)設(shè)定、風(fēng)險識別、

40、風(fēng)險評估、風(fēng)險控制以及風(fēng)險監(jiān)測相關(guān)的流程及操作程序（權(quán)重20%）風(fēng)險管理程序執(zhí)行情況（權(quán)重30%）董事會及高管對風(fēng)險管理的監(jiān)察（權(quán)重10%）內(nèi)部控制體系建設(shè)與運行(權(quán)重20%)管理層對電子銀行內(nèi)部控制的認(rèn)知能力與水平（權(quán)重10%）相關(guān)職責(zé)劃分/人員安排（權(quán)重10%）控制環(huán)境建設(shè)情況（權(quán)重10%）與電子銀行整個生命周期（開發(fā)、獲取、運營、廢棄等）相關(guān)的控制體系建設(shè)情況（權(quán)重20%）控制機(jī)制執(zhí)行情況（權(quán)重30%）溝通與監(jiān)控機(jī)制的建設(shè)與運行情況（權(quán)重10%）內(nèi)部審計制度的建設(shè)與運行情況（權(quán)重10%）開發(fā)與獲取管理(權(quán)重10%)與開發(fā)及獲取相關(guān)的職責(zé)安排，組織架構(gòu)是否合理（權(quán)重10%）開發(fā)及獲取的標(biāo)準(zhǔn)

41、、方法論及實踐（權(quán)重30%）開發(fā)質(zhì)量保證過程（權(quán)重30%）開發(fā)及獲取變更控制過程（權(quán)重10%）電子銀行系統(tǒng)補丁與發(fā)布管理（權(quán)重10%）與電子銀行相關(guān)的開發(fā)文檔管理與控制（權(quán)重10%）運營管理(權(quán)重10%)相關(guān)職責(zé)劃分/人員安排（權(quán)重10%）事件/問題或知識/管理流程（權(quán)重20%）變更管理/發(fā)布管理流程（權(quán)重20%）配置管理流程（權(quán)重20%）電子銀行監(jiān)控（權(quán)重10%）電子銀行用戶支持（權(quán)重10%）其它電子銀行日常操作流程，如：巡檢、備份、定期報告等（權(quán)重10%）應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理(權(quán)重10%)應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理流程建設(shè)（權(quán)重20%）相關(guān)職責(zé)劃分/人員安排（權(quán)重10%）電子銀行應(yīng)急預(yù)案

42、與業(yè)務(wù)連續(xù)性計劃制定情況（權(quán)重30%）與電子銀行相關(guān)的災(zāi)備及其它技術(shù)控制情況（權(quán)重30%）電子銀行應(yīng)急與業(yè)務(wù)連續(xù)性定期演練情況（權(quán)重10%）外包管理(權(quán)重10%)外包管理流程建設(shè)（權(quán)重30%）相關(guān)職責(zé)劃分/人員安排（權(quán)重30%）與電子銀行相關(guān)的外包管理執(zhí)行情況（權(quán)重40%）安全管理(權(quán)重30%)安全管理策略/制度/流程建設(shè)（權(quán)重30%）相關(guān)職責(zé)劃分/人員安排（權(quán)重30%）安全管理執(zhí)行情況（權(quán)重40%） 系統(tǒng)平臺安全評價內(nèi)容及權(quán)重針對物理環(huán)境、系統(tǒng)平臺架構(gòu)以及每個網(wǎng)絡(luò)/系統(tǒng)/設(shè)施/設(shè)備，進(jìn)行如下內(nèi)容評價：物理環(huán)境(權(quán)重10%)物理環(huán)境(權(quán)重20%)設(shè)備安全(權(quán)重40%)介質(zhì)安全(權(quán)重40%)網(wǎng)絡(luò)

43、平臺(權(quán)重10%)網(wǎng)絡(luò)及邊界安全（網(wǎng)絡(luò)接入控制、訪問控制、邊界防護(hù)(權(quán)重30%)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計（網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)服務(wù)質(zhì)量保證）(權(quán)重10%)網(wǎng)絡(luò)訪問控制(權(quán)重10%)網(wǎng)絡(luò)安全檢測分析(權(quán)重10%)網(wǎng)絡(luò)連接(權(quán)重10%)網(wǎng)絡(luò)可用性(權(quán)重10%)網(wǎng)絡(luò)設(shè)備的安全管理與配置(權(quán)重20%)（本項內(nèi)容是對電子銀行所有（或關(guān)鍵）網(wǎng)絡(luò)設(shè)備安全風(fēng)險狀況的綜合考慮）操作系統(tǒng)/平臺(權(quán)重20%)（本項內(nèi)容是對電子銀行所有（或關(guān)鍵）操作系統(tǒng)/平臺安全風(fēng)險狀況的綜合考慮）帳號安全（權(quán)重20%）文件系統(tǒng)安全（權(quán)重10%）網(wǎng)絡(luò)服務(wù)安全（權(quán)重10%）系統(tǒng)訪問控制（權(quán)重10%）日志及監(jiān)控審計（權(quán)重10%）拒絕服務(wù)保護(hù)（權(quán)重10%）補丁管理（權(quán)重10%）病毒及惡意代碼防護(hù)（權(quán)重10%）系統(tǒng)備份與恢復(fù)（權(quán)重10%）數(shù)據(jù)庫（權(quán)重20%）（本項內(nèi)容是對電子銀行所有（或關(guān)鍵）數(shù)據(jù)庫系統(tǒng)安全風(fēng)險狀況的綜合考慮）數(shù)據(jù)庫帳號安全（權(quán)