電子銀行安全評(píng)估方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上電子銀行安全評(píng)估方案中國(guó)金融認(rèn)證中心（CFCA）2008-4專心-專注-專業(yè)目 錄1 概述為掌握電子銀行整體業(yè)務(wù)應(yīng)用及安全狀況，了解當(dāng)前電子銀行風(fēng)險(xiǎn)管理狀況與中國(guó)銀監(jiān)會(huì)（以下簡(jiǎn)稱銀監(jiān)會(huì)）相關(guān)要求之間的差距，全面加強(qiáng)電子銀行風(fēng)險(xiǎn)管理，最終推動(dòng)電子銀行業(yè)務(wù)的開(kāi)展，*銀行決定針對(duì)電子銀行開(kāi)展安全評(píng)估，以期發(fā)現(xiàn)并彌補(bǔ)電子銀行在安全管理、系統(tǒng)平臺(tái)安全以及業(yè)務(wù)控制等方面存在的弱點(diǎn)或問(wèn)題。1.1 評(píng)估背景隨著國(guó)民經(jīng)濟(jì)、信息技術(shù)以及信息化的發(fā)展，銀行的業(yè)務(wù)開(kāi)展模式發(fā)生了巨大的變化，最明顯的就是以信息技術(shù)為支撐平臺(tái)的電子銀行逐漸成為各家銀行的重要業(yè)務(wù)渠道。與傳統(tǒng)銀行業(yè)務(wù)渠道相比，電子銀

2、行具有許多優(yōu)勢(shì)。一是由于電子銀行主要利用公共網(wǎng)絡(luò)資源，不需設(shè)置物理的分支機(jī)構(gòu)或營(yíng)業(yè)網(wǎng)點(diǎn)，大大降低銀行經(jīng)營(yíng)成本，有效提高銀行盈利能力。二是電子銀行業(yè)務(wù)打破了傳統(tǒng)銀行業(yè)務(wù)的地域、時(shí)間限制，具有能在任何時(shí)候(Anytime）、任何地方(Anywhere）、以任何方式（Anyhow）為客戶提供金融服務(wù)的特點(diǎn)，這既有利于吸引和保留優(yōu)質(zhì)客戶，又能主動(dòng)擴(kuò)大客戶群，開(kāi)辟新的利潤(rùn)來(lái)源。三是電子銀行有利于服務(wù)創(chuàng)新，向客戶提供多種類、個(gè)性化服務(wù)。但由于其特定的運(yùn)作方式和網(wǎng)絡(luò)環(huán)境，電子銀行在帶給人們極大便利的同時(shí)，也帶來(lái)了更多的傳統(tǒng)或新的銀行風(fēng)險(xiǎn)。通常情況下，電子銀行業(yè)務(wù)的開(kāi)展可能會(huì)給銀行帶來(lái)大量的交易或操作風(fēng)險(xiǎn)、符

3、合性/法律風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn)，如：服務(wù)中斷、客戶信息泄露、客戶資金被盜等。此外一些傳統(tǒng)的風(fēng)險(xiǎn)，如：戰(zhàn)略風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、流動(dòng)性/價(jià)格/市場(chǎng)等風(fēng)險(xiǎn)也會(huì)因電子銀行的特點(diǎn)而發(fā)生變化，如：由于銀行與客戶不直接見(jiàn)面、客戶分散、業(yè)務(wù)區(qū)域跨度大、市場(chǎng)變化快等原因，銀行難以準(zhǔn)確判斷客戶的信譽(yù)狀況、抵押品價(jià)值變化。同時(shí)，電子銀行業(yè)務(wù)在許多方面突破了傳統(tǒng)的法律框架，這也給電子銀行業(yè)務(wù)運(yùn)營(yíng)和監(jiān)管帶來(lái)一些體制性障礙。為有效防范風(fēng)險(xiǎn)，確保電子銀行的安全，必須加強(qiáng)對(duì)電子銀行的監(jiān)督與管理。為此銀監(jiān)會(huì)發(fā)布了電子銀行業(yè)務(wù)管理辦法和電子銀行安全評(píng)估指引，要求申請(qǐng)和開(kāi)展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，利用外部

4、專業(yè)評(píng)估機(jī)構(gòu)或內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)及管理的評(píng)估部門(mén)，定期對(duì)電子銀行進(jìn)行安全評(píng)估，安全評(píng)估包括對(duì)電子銀行安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià)。1.2 目標(biāo)本次電子銀行安全評(píng)估工作的目標(biāo)主要有： 掌握電子銀行業(yè)務(wù)應(yīng)用及安全狀況； 按照銀監(jiān)會(huì)相關(guān)要求完成電子銀行安全評(píng)估； 針對(duì)評(píng)估中發(fā)現(xiàn)的問(wèn)題提出改進(jìn)建議或方案； 為*銀行將來(lái)電子銀行風(fēng)險(xiǎn)管理積累經(jīng)驗(yàn)。1.3 評(píng)估參考依據(jù)本次電子銀行安全評(píng)估主要參考依據(jù)包括：1. 信息安全風(fēng)險(xiǎn)評(píng)估指南(GB/T送審稿)；2. 商業(yè)銀行內(nèi)部控制評(píng)價(jià)辦法（銀監(jiān)會(huì)）；3. 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引（銀監(jiān)會(huì)）；4

5、. 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引（銀監(jiān)會(huì)）；5. 電子銀行業(yè)務(wù)管理辦法（銀監(jiān)會(huì)）；6. 電子銀行安全評(píng)估指引（銀監(jiān)會(huì)）；7. 電子銀行風(fēng)險(xiǎn)管理原則（巴塞爾銀行監(jiān)管委員會(huì)）； 8. ISO/IEC 27000系列標(biāo)準(zhǔn)。1.4 評(píng)估方式本次電子銀行安全評(píng)估是由中國(guó)金融認(rèn)證中心（以下簡(jiǎn)稱CFCA）按照銀監(jiān)會(huì)電子銀行業(yè)務(wù)管理辦法以及電子銀行安全評(píng)估指引要求實(shí)施的外部第三方評(píng)估，評(píng)估過(guò)程與評(píng)估結(jié)果將作為*銀行申請(qǐng)電子銀行業(yè)務(wù)的依據(jù)材料，上報(bào)銀監(jiān)會(huì)。2 評(píng)估范圍依據(jù)銀監(jiān)會(huì)電子銀行業(yè)務(wù)管理辦法、電子銀行安全評(píng)估指引以及*銀行電子銀行業(yè)務(wù)開(kāi)展?fàn)顩r，本次電子銀行安全評(píng)估的范圍如下：n 組織范圍通常來(lái)說(shuō)，與

6、電子銀行相關(guān)的部門(mén)包括： 業(yè)務(wù)部門(mén)（電子銀行部）：負(fù)責(zé)電子銀行日常業(yè)務(wù)的開(kāi)展。 IT部門(mén)（科技部）：負(fù)責(zé)電子銀行系統(tǒng)平臺(tái)的開(kāi)發(fā)、獲取及日常運(yùn)維。 風(fēng)險(xiǎn)管理部門(mén)：負(fù)責(zé)與電子銀行有關(guān)的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置與風(fēng)險(xiǎn)監(jiān)控等。 內(nèi)部審計(jì)部門(mén)（審計(jì)部或合規(guī)部）：負(fù)責(zé)電子銀行業(yè)務(wù)及風(fēng)險(xiǎn)管理審核。為全面評(píng)估電子銀行的安全管理狀況，本次安全評(píng)估涵蓋與電子銀行風(fēng)險(xiǎn)管理相關(guān)的所有部門(mén)，包括*銀行總部電子銀行部、信息科技部、操作及其他風(fēng)險(xiǎn)管理部、組織及生產(chǎn)力促進(jìn)部、法規(guī)監(jiān)管部、法律事務(wù)部等，基于*銀行的特點(diǎn)，本次安全評(píng)估不涉及下屬分行或支行。n 系統(tǒng)范圍根據(jù)銀監(jiān)會(huì)發(fā)布的電子銀行管理辦法，電子銀行業(yè)務(wù)是指商業(yè)銀行

7、等銀行業(yè)金融機(jī)構(gòu)利用面向社會(huì)公眾開(kāi)放的通訊通道或開(kāi)放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。電子銀行業(yè)務(wù)包括利用計(jì)算機(jī)和互聯(lián)網(wǎng)開(kāi)展的銀行業(yè)務(wù)（以下簡(jiǎn)稱網(wǎng)上銀行業(yè)務(wù)），利用電話等聲訊設(shè)備和電信網(wǎng)絡(luò)開(kāi)展的銀行業(yè)務(wù)（以下簡(jiǎn)稱電話銀行業(yè)務(wù)），利用移動(dòng)電話和無(wú)線網(wǎng)絡(luò)開(kāi)展的銀行業(yè)務(wù)（以下簡(jiǎn)稱手機(jī)銀行業(yè)務(wù)），以及其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò)，由客戶通過(guò)自助服務(wù)方式完成金融交易的銀行業(yè)務(wù)。本次電子銀行安全評(píng)估的系統(tǒng)范圍只包括與網(wǎng)上銀行（包括信息網(wǎng)站以及交易網(wǎng)站）相關(guān)的網(wǎng)絡(luò)平臺(tái)、操作系統(tǒng)/數(shù)據(jù)庫(kù)/中間件平臺(tái)以及應(yīng)用系統(tǒng)等，下圖是*銀行網(wǎng)上銀行系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D。根據(jù)上圖所示，

8、本次電子銀行安全評(píng)估涉及的網(wǎng)絡(luò)設(shè)備、系統(tǒng)/平臺(tái)大致范圍包括如下表：n 業(yè)務(wù)范圍根據(jù)服務(wù)對(duì)象的不同，電子銀行業(yè)務(wù)通常分為： 個(gè)人銀行； 企業(yè)銀行； 電子銀行內(nèi)部管理。本次安全評(píng)估涉及*銀行網(wǎng)上銀行的個(gè)人銀行、企業(yè)銀行以及相關(guān)的網(wǎng)銀管理三大類業(yè)務(wù)。3 評(píng)估內(nèi)容作為機(jī)構(gòu)IT業(yè)務(wù)應(yīng)用之一，電子銀行需要與其它業(yè)務(wù)應(yīng)用一起納入機(jī)構(gòu)全面的風(fēng)險(xiǎn)管理體系中。電子銀行安全評(píng)估涉及電子銀行業(yè)務(wù)控制評(píng)估、電子銀行系統(tǒng)平臺(tái)安全評(píng)估以及與電子銀行相關(guān)的總體安全管理評(píng)估三個(gè)層面。3.1 電子銀行安全管理評(píng)估電子銀行安全管理評(píng)估的目的是評(píng)估電子銀行安全管理框架及體系的健全性、符合性和有效性，一般來(lái)說(shuō)電子銀行安全管理框架及體系

9、的建設(shè)運(yùn)行涉及電子銀行部門(mén)、IT部門(mén)（科技部）、審計(jì)部門(mén)以及風(fēng)險(xiǎn)管理部門(mén)等。針對(duì)這些部門(mén)的安全管理評(píng)估包括： 風(fēng)險(xiǎn)管理框架建設(shè)與運(yùn)行 各級(jí)人員的風(fēng)險(xiǎn)管理意識(shí)或認(rèn)知； 風(fēng)險(xiǎn)模型或框架定義； 相關(guān)職責(zé)劃分/人員安排； 與目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)監(jiān)測(cè)相關(guān)的流程及操作程序； 風(fēng)險(xiǎn)管理程序執(zhí)行情況； 董事會(huì)及高管對(duì)風(fēng)險(xiǎn)管理的監(jiān)查。 內(nèi)部控制體系建設(shè)與運(yùn)行 管理層對(duì)電子銀行內(nèi)部控制的認(rèn)知能力與水平； 相關(guān)職責(zé)劃分/人員安排； 控制環(huán)境建設(shè)情況； 與電子銀行整個(gè)生命周期（開(kāi)發(fā)、獲取、運(yùn)營(yíng)、廢棄等）相關(guān)的控制體系建設(shè)情況； 控制機(jī)制執(zhí)行情況； 溝通與監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況； 內(nèi)部審計(jì)制

10、度的建設(shè)與運(yùn)行情況。 開(kāi)發(fā)與獲取管理 與開(kāi)發(fā)及獲取相關(guān)的職責(zé)安排，組織架構(gòu)是否合理； 開(kāi)發(fā)及獲取的標(biāo)準(zhǔn)、方法論及實(shí)踐； 開(kāi)發(fā)質(zhì)量保證過(guò)程； 開(kāi)發(fā)及獲取變更控制過(guò)程； 電子銀行系統(tǒng)補(bǔ)丁與發(fā)布管理； 與電子銀行相關(guān)的開(kāi)發(fā)文檔管理與控制。 運(yùn)營(yíng)管理 相關(guān)職責(zé)劃分/人員安排； 事件/問(wèn)題或知識(shí)/管理流程； 變更管理/發(fā)布管理流程； 配置管理流程； 電子銀行監(jiān)控； 電子銀行用戶支持； 其它電子銀行日常操作流程，如：巡檢、備份、定期報(bào)告等。 應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理 應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理流程建設(shè)； 相關(guān)職責(zé)劃分/人員安排； 電子銀行應(yīng)急預(yù)案與業(yè)務(wù)連續(xù)性計(jì)劃制定情況； 與電子銀行相關(guān)的災(zāi)備及其它技術(shù)控制

11、情況； 電子銀行應(yīng)急與業(yè)務(wù)連續(xù)性定期演練情況。 外包管理 外包管理流程建設(shè)； 相關(guān)職責(zé)劃分/人員安排； 與電子銀行相關(guān)的外包管理執(zhí)行情況。 安全管理 安全管理策略/制度/流程建設(shè)； 相關(guān)職責(zé)劃分/人員安排； 安全管理執(zhí)行情況。3.2 電子銀行系統(tǒng)平臺(tái)安全評(píng)估電子銀行系統(tǒng)平臺(tái)安全評(píng)估的目的是評(píng)估支撐電子銀行業(yè)務(wù)運(yùn)行的系統(tǒng)平臺(tái)的安全性，通常情況下，支撐電子銀行業(yè)務(wù)的系統(tǒng)平臺(tái)包括物理環(huán)境、網(wǎng)絡(luò)設(shè)施、主機(jī)系統(tǒng)平臺(tái)以及應(yīng)用系統(tǒng)等。針對(duì)上述對(duì)象的具體評(píng)估內(nèi)容如下： 物理環(huán)境安全 物理環(huán)境安全（機(jī)房環(huán)境、出入管理、監(jiān)控措施）； 設(shè)備安全（設(shè)備管理、設(shè)備維護(hù)等）； 介質(zhì)安全（各種存儲(chǔ)介質(zhì)管理、備份介質(zhì)管理、應(yīng)

12、急介質(zhì)管理）。 網(wǎng)絡(luò)平臺(tái)安全 網(wǎng)絡(luò)及邊界安全（網(wǎng)絡(luò)接入控制、訪問(wèn)控制、邊界防護(hù)）； 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)（網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)服務(wù)質(zhì)量保證）； 網(wǎng)絡(luò)設(shè)備安全功能及使用(網(wǎng)絡(luò)內(nèi)在安全措施配置管理等); 網(wǎng)絡(luò)訪問(wèn)控制； 網(wǎng)絡(luò)安全檢測(cè)分析； 網(wǎng)絡(luò)連接； 網(wǎng)絡(luò)可用性。 操作系統(tǒng)/平臺(tái)安全 帳號(hào)安全； 文件系統(tǒng)安全； 網(wǎng)絡(luò)服務(wù)安全； 系統(tǒng)訪問(wèn)控制； 日志及監(jiān)控審計(jì)； 拒絕服務(wù)保護(hù)； 補(bǔ)丁管理； 病毒及惡意代碼防護(hù)； 系統(tǒng)備份與恢復(fù)。 數(shù)據(jù)庫(kù)安全 數(shù)據(jù)庫(kù)帳號(hào)安全； 數(shù)據(jù)庫(kù)訪問(wèn)控制； 存儲(chǔ)過(guò)程安全； 補(bǔ)丁管理； 系統(tǒng)備份與恢復(fù)； 日志及監(jiān)控審計(jì)。 應(yīng)用系統(tǒng)安全 身份鑒別； 訪問(wèn)控制； 交易的安全性； 數(shù)據(jù)的安全性

13、； 密碼支持； 異常處理； 輸入輸出合法性； 備份與故障恢復(fù)； 安全審計(jì)； 資源利用； 安全管理。3.3 電子銀行業(yè)務(wù)控制評(píng)估電子銀行業(yè)務(wù)控制評(píng)估的目的是評(píng)估電子銀行業(yè)務(wù)開(kāi)展過(guò)程中內(nèi)部控制措施的健全性、符合性及有效性，評(píng)估的對(duì)象是所有電子銀行業(yè)務(wù)流程，如：開(kāi)戶、轉(zhuǎn)賬、查詢、統(tǒng)計(jì)等，針對(duì)每個(gè)業(yè)務(wù)流程的具體評(píng)估內(nèi)容如下： 業(yè)務(wù)流程建設(shè)狀況 流程目的與目標(biāo)； 流程所有權(quán)； 業(yè)務(wù)流程策略、計(jì)劃及程序； 角色劃分、職責(zé)定義與人員安排； 流程活動(dòng)定義； 流程績(jī)效。 業(yè)務(wù)應(yīng)用控制 原始數(shù)據(jù)準(zhǔn)備與授權(quán)； 原始數(shù)據(jù)收集與錄入； 交易準(zhǔn)確性、完全性、真實(shí)性檢查； 處理完整性與有效性； 輸出的檢查、調(diào)整與錯(cuò)誤處理；

14、 交易鑒別與完整性。 業(yè)務(wù)控制業(yè)務(wù)控制是指電子銀行業(yè)務(wù)處理過(guò)程中的控制，一般來(lái)說(shuō)主要涉及與IT無(wú)關(guān)的固有業(yè)務(wù)控制。 開(kāi)戶； 賬戶查詢； 存/貸款； 支付/轉(zhuǎn)賬； 交費(fèi)； 網(wǎng)上理財(cái)； 集團(tuán)服務(wù)/現(xiàn)金管理； 。4 評(píng)估方法本次安全評(píng)估將結(jié)合基于弱點(diǎn)的安全評(píng)估和基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估兩種方法，通過(guò)調(diào)查訪談、現(xiàn)場(chǎng)檢測(cè)、分析研究等手段評(píng)估電子銀行存在的弱點(diǎn)，并對(duì)電子銀行涉及的主要信息資產(chǎn)進(jìn)行基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，最后從電子銀行安全管理、電子銀行系統(tǒng)平臺(tái)安全以及電子銀行業(yè)務(wù)控制三個(gè)方面評(píng)價(jià)電子銀行的安全狀況，給出整改建議。4.1 評(píng)估流程本次安全評(píng)估的過(guò)程主要包括：業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研、現(xiàn)場(chǎng)評(píng)估、綜合評(píng)價(jià)三大

15、階段。如下圖：現(xiàn)場(chǎng)評(píng)估業(yè)務(wù)控制評(píng)估安全管理評(píng)估綜合評(píng)價(jià)資產(chǎn)安全評(píng)價(jià)業(yè)務(wù)控制評(píng)價(jià)安全管理評(píng)價(jià)業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研系統(tǒng)平臺(tái)安全評(píng)估4.1.1 業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研的目的在于全面掌握電子銀行的基本信息，包括電子銀行管理組織、電子銀行業(yè)務(wù)類別/業(yè)務(wù)流程、電子銀行系統(tǒng)平臺(tái)信息等，重點(diǎn)收集整理分析電子銀行應(yīng)用狀況與業(yè)務(wù)流程信息。現(xiàn)狀調(diào)研完成后需要形成電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研報(bào)告。主要工作任務(wù)包括： 填寫(xiě)調(diào)查問(wèn)卷； 相關(guān)文檔收集與查閱； 面對(duì)面訪談； 系統(tǒng)平臺(tái)配置信息/狀態(tài)信息收集； 上述信息的分析整理。需要調(diào)研的詳細(xì)信息包括： 電子銀行管理組織架構(gòu)； 電子銀行業(yè)務(wù)類別及業(yè)務(wù)

16、流程； 電子銀行用戶情況； 電子銀行系統(tǒng)網(wǎng)絡(luò)架構(gòu)及部署情況； 電子銀行應(yīng)用系統(tǒng)功能； 電子銀行主要信息資產(chǎn)（網(wǎng)絡(luò)設(shè)備、系統(tǒng)/平臺(tái)等）。評(píng)估小組將主要采取人工調(diào)查（調(diào)查問(wèn)卷、現(xiàn)場(chǎng)面談、文檔檢查）的方式收集信息，需要相關(guān)主管及操作人員的參與及幫助。4.1.2 現(xiàn)場(chǎng)評(píng)估現(xiàn)場(chǎng)評(píng)估主要通過(guò)訪談、檢測(cè)以及核查等方式對(duì)電子銀行安全管理、電子銀行系統(tǒng)平臺(tái)安全以及電子銀行業(yè)務(wù)控制三個(gè)方面的內(nèi)容進(jìn)行評(píng)估，目的在于發(fā)掘電子銀行存在的弱點(diǎn)或漏洞?，F(xiàn)場(chǎng)評(píng)估將會(huì)形成一系列工作過(guò)程文檔，包括各種實(shí)施計(jì)劃以及相關(guān)的訪談?dòng)涗洠瑨呙鑸?bào)告、滲透測(cè)試報(bào)告、人工檢測(cè)報(bào)告等?，F(xiàn)場(chǎng)評(píng)估的工作任務(wù)包括： 安全管理評(píng)估 安全管理訪談； 制度文

17、檔審閱； 制度符合性/有效性檢查。 業(yè)務(wù)風(fēng)險(xiǎn)分析 業(yè)務(wù)控制訪談； 業(yè)務(wù)控制核查。 IT基礎(chǔ)設(shè)施安全評(píng)估 關(guān)鍵資產(chǎn)評(píng)估； 威脅評(píng)估； 安全訪談； 安全掃描； 人工檢測(cè)； 滲透測(cè)試?，F(xiàn)場(chǎng)評(píng)估涉及訪談、掃描、人工檢測(cè)等多種手段，事先應(yīng)該根據(jù)前期了解的電子銀行相關(guān)信息，分別制定詳細(xì)實(shí)施計(jì)劃，并在實(shí)施過(guò)程中需要相關(guān)主管及操作人員的參與及幫助。4.1.3 綜合評(píng)價(jià)綜合分析現(xiàn)狀調(diào)研以及現(xiàn)場(chǎng)評(píng)估的結(jié)果，分別從安全管理、系統(tǒng)平臺(tái)安全以及業(yè)務(wù)控制三個(gè)方面綜合評(píng)價(jià)電子銀行的安全狀況，并依據(jù)前期收集的信息對(duì)電子銀行關(guān)鍵資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。綜合評(píng)價(jià)的具體工作任務(wù)包括： 電子銀行安全綜合評(píng)價(jià)依照電子銀行整體安全評(píng)價(jià)準(zhǔn)則（參

18、見(jiàn)），分別從安全管理、系統(tǒng)平臺(tái)安全以及業(yè)務(wù)控制三個(gè)方面綜合評(píng)價(jià)電子銀行的安全狀況，形成電子銀行安全管理評(píng)估報(bào)告、電子銀行系統(tǒng)平臺(tái)安全評(píng)估報(bào)告、電子銀行業(yè)務(wù)控制評(píng)估報(bào)告。 電子銀行系統(tǒng)關(guān)鍵信息資產(chǎn)風(fēng)險(xiǎn)評(píng)價(jià)依照關(guān)鍵資產(chǎn)安全風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則（參見(jiàn)），對(duì)電子銀行關(guān)鍵信息資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)評(píng)價(jià)，形成電子銀行系統(tǒng)關(guān)鍵信息資產(chǎn)安全風(fēng)險(xiǎn)評(píng)估表。4.2 評(píng)估手段本次安全評(píng)估將主要采用調(diào)查、檢查、安全測(cè)試、分析等手段進(jìn)行信息收集與安全分析評(píng)估。 調(diào)查主要用于電子銀行業(yè)務(wù)現(xiàn)狀及安全狀況信息收集。訪談包括問(wèn)卷、遠(yuǎn)程訪談與現(xiàn)場(chǎng)訪談。 檢查主要用于電子銀行弱點(diǎn)分析，包括文檔核查，執(zhí)行檢查等。 測(cè)試主要用于弱點(diǎn)分析，包括手工測(cè)試

19、、自動(dòng)工具測(cè)試。 人工分析主要用于資產(chǎn)分析、威脅分析、安全措施分析及安全評(píng)價(jià)。4.2.1 調(diào)查調(diào)查對(duì)象包括各級(jí)管理人員、開(kāi)發(fā)人員、部署/配置人員等。 問(wèn)卷調(diào)查發(fā)放調(diào)查問(wèn)卷，由調(diào)查對(duì)象填寫(xiě)并回收。 遠(yuǎn)程訪談通過(guò)電話或郵寄調(diào)查表進(jìn)行。 現(xiàn)場(chǎng)訪談與電子銀行用戶、管理或開(kāi)發(fā)員工面對(duì)面會(huì)談。調(diào)查工作需要電子銀行相關(guān)部門(mén)的支持與幫助。4.2.2 檢查通過(guò)對(duì)電子銀行系統(tǒng)開(kāi)發(fā)與運(yùn)行的相關(guān)文檔的檢查，了解該系統(tǒng)的安全態(tài)勢(shì)、風(fēng)險(xiǎn)管理和控制計(jì)劃及其執(zhí)行情況、緊急響應(yīng)能力、信息安全的培訓(xùn)工作等情況，從中找出安全漏洞或弱點(diǎn)。檢查的文檔包括但不僅限于:1) 系統(tǒng)安全建設(shè)文檔；2) 系統(tǒng)開(kāi)發(fā)文檔：例如系統(tǒng)用戶指南、系統(tǒng)管理

20、手冊(cè)、系統(tǒng)設(shè)計(jì)和需求分析文檔等；3) 系統(tǒng)運(yùn)行文檔：例如系統(tǒng)日志、防火墻、IDS日志等；4) 其它相關(guān)文檔：例如已往的審計(jì)報(bào)告、風(fēng)險(xiǎn)管理報(bào)告、系統(tǒng)測(cè)試結(jié)果、系統(tǒng)安全規(guī)劃、執(zhí)行記錄等。4.2.3 測(cè)試 手工測(cè)試本次評(píng)估將采用手工測(cè)試，進(jìn)一步了解操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)/安全設(shè)備的特點(diǎn)和安全狀況。并對(duì)通過(guò)其它方式搜集的信息進(jìn)行印證和修正，從而保證信息的準(zhǔn)確性。 自動(dòng)工具測(cè)試自動(dòng)工具的使用可快速發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)，在短時(shí)間內(nèi)收集大量的脆弱性信息，大大提高評(píng)估效率。本次評(píng)估將使用自動(dòng)掃描工具進(jìn)行弱點(diǎn)探測(cè)。4.2.4 人工分析通過(guò)安全專業(yè)人員的分析來(lái)保證評(píng)估的有效性。4.3 評(píng)估工具評(píng)估工具包括

21、文檔模板與自動(dòng)化工具，前者包括調(diào)查問(wèn)卷、現(xiàn)場(chǎng)調(diào)查表、Checklist或評(píng)估表等，后者包括自動(dòng)掃描及測(cè)試工具、自動(dòng)分析評(píng)價(jià)工具等。4.3.1 調(diào)查問(wèn)卷通過(guò)調(diào)查問(wèn)卷收集電子銀行相關(guān)信息，如：管理狀況、安全事件等。調(diào)查問(wèn)卷由電子銀行相關(guān)人員填寫(xiě)并反饋評(píng)估人員。調(diào)查問(wèn)卷包括： 威脅/事件調(diào)查問(wèn)卷； 管理調(diào)查問(wèn)卷等。4.3.2 現(xiàn)場(chǎng)調(diào)查表利用調(diào)查表收集評(píng)估對(duì)象現(xiàn)狀信息，調(diào)查表由評(píng)估人員在現(xiàn)場(chǎng)訪談時(shí)使用，調(diào)查表包括： 組織基本信息調(diào)查表電子銀行組織架構(gòu)、崗位職責(zé)、人員安排、電子銀行目標(biāo)使命等。 網(wǎng)絡(luò)現(xiàn)狀調(diào)查表鏈路狀況、網(wǎng)絡(luò)拓?fù)洹⒃O(shè)備產(chǎn)品部署、管理平臺(tái)/手段、配置狀況（IP、端口、服務(wù)）、安全措施。 系統(tǒng)

22、現(xiàn)狀調(diào)查表操作系統(tǒng)版本、補(bǔ)丁狀況、口令帳號(hào)管理、文件管理、服務(wù)管理、備份、安全措施等。 業(yè)務(wù)及應(yīng)用現(xiàn)狀調(diào)查表業(yè)務(wù)種類、業(yè)務(wù)路徑、應(yīng)用架構(gòu)、開(kāi)發(fā)文檔、數(shù)據(jù)庫(kù)、安全功能。 管理現(xiàn)狀調(diào)查表組織結(jié)構(gòu)、制度流程、培訓(xùn)。4.3.3 評(píng)估表/Checklist利用評(píng)估表或Checklist檢查系統(tǒng)是否存在弱點(diǎn)，評(píng)估表或Checklist由評(píng)估人員在安全訪談、檢查與測(cè)試時(shí)使用，本次安全評(píng)估使用的評(píng)估表或Checklist可能包括： 風(fēng)險(xiǎn)管理框架評(píng)估表； 內(nèi)部控制體系評(píng)估表； 開(kāi)發(fā)與獲取管理評(píng)估表； 運(yùn)營(yíng)管理評(píng)估表； 應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理評(píng)估表； 外包管理評(píng)估表； 安全管理評(píng)估表； 物理安全評(píng)估表； 網(wǎng)絡(luò)設(shè)

23、計(jì)安全評(píng)估表； 交換機(jī)安全評(píng)估表； 路由器安全評(píng)估表； 防火墻安全評(píng)估表； Solaris安全評(píng)估表； Linux安全評(píng)估表； Apache安全評(píng)估表； Weblogic安全評(píng)估表； Oracle安全評(píng)估表； 應(yīng)用安全評(píng)估表； 桌面安全評(píng)估表； 業(yè)務(wù)流程評(píng)估表； 業(yè)務(wù)應(yīng)用控制評(píng)估表； 業(yè)務(wù)控制評(píng)估表。4.3.4 自動(dòng)化測(cè)試工具自動(dòng)化測(cè)試工具包括掃描工具、口令破解攻擊、攻擊工具等。用于檢測(cè)系統(tǒng)可能存在的漏洞或弱點(diǎn)。5 項(xiàng)目階段與時(shí)間估算5.1 項(xiàng)目階段劃分項(xiàng)目準(zhǔn)備第一步第二步實(shí)施評(píng)估第三步改進(jìn)建議第四步第五步現(xiàn)狀調(diào)研與分析項(xiàng)目總結(jié)本次安全評(píng)估分項(xiàng)目準(zhǔn)備、現(xiàn)狀調(diào)研與分析、實(shí)施評(píng)估、改進(jìn)建議、及項(xiàng)目

24、總結(jié)五個(gè)階段，各個(gè)階段工作定義說(shuō)明如下:l 項(xiàng)目準(zhǔn)備項(xiàng)目實(shí)施前期工作，包括成立項(xiàng)目組，確定評(píng)估范圍，制定項(xiàng)目實(shí)施計(jì)劃，收集整理開(kāi)發(fā)各種評(píng)估工具等。l 現(xiàn)狀調(diào)研與分析通過(guò)遠(yuǎn)程或現(xiàn)場(chǎng)訪談，收集、整理、分析電子銀行業(yè)務(wù)及IT應(yīng)用信息，形成業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報(bào)告。l 實(shí)施評(píng)估采用前面描述的評(píng)估方法，從安全管理、系統(tǒng)平臺(tái)安全以及業(yè)務(wù)控制三個(gè)方面實(shí)施電子銀行安全評(píng)估，形成電子銀行安全評(píng)估報(bào)告。l 改進(jìn)建議根據(jù)評(píng)估的結(jié)果，參照相關(guān)標(biāo)準(zhǔn)或最佳實(shí)踐，確定完善電子銀行安全管理需要進(jìn)行的主要工作，對(duì)具體實(shí)施內(nèi)容進(jìn)行綜合分析，提出改進(jìn)建議與實(shí)施規(guī)劃。l 項(xiàng)目總結(jié)完善評(píng)估成果、進(jìn)行項(xiàng)目總結(jié)。5.1.1 項(xiàng)目準(zhǔn)備1）過(guò)程

25、（活動(dòng)）描述 確定項(xiàng)目任務(wù)、目標(biāo)； 成立項(xiàng)目組； 確定評(píng)估范圍、內(nèi)容； 制定評(píng)估實(shí)施計(jì)劃； 收集整理開(kāi)發(fā)各種評(píng)估工具。2）工作方式與參與人員活動(dòng)工作方式主要參與人員1.1確定項(xiàng)目任務(wù)、目標(biāo)交流、討論電子銀行相關(guān)部門(mén)CFCA1.2成立項(xiàng)目組1.3確定評(píng)估范圍、內(nèi)容1.4制定評(píng)估實(shí)施計(jì)劃計(jì)劃討論、文檔撰寫(xiě)整理CFCA1.5收集整理開(kāi)發(fā)各種評(píng)估工具1.6啟動(dòng)會(huì)啟動(dòng)會(huì)議電子銀行相關(guān)部門(mén)CFCA1.7項(xiàng)目知識(shí)、工具轉(zhuǎn)移與培訓(xùn)3）輸入4）輸出 安全評(píng)估計(jì)劃（主要是業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研實(shí)施計(jì)劃）； 安全評(píng)估調(diào)查問(wèn)卷； 業(yè)務(wù)及IT應(yīng)用信息調(diào)查表； 各種評(píng)估表或Checklist； 安全評(píng)價(jià)表。5.1.2 現(xiàn)

26、狀調(diào)研與分析1）過(guò)程（活動(dòng)）描述 填寫(xiě)調(diào)查問(wèn)卷； 文檔收集與查閱； 現(xiàn)場(chǎng)訪談； 配置信息/狀態(tài)信息收集； 業(yè)務(wù)及IT信息分析整理； 撰寫(xiě)現(xiàn)狀報(bào)告； 制定下一階段實(shí)施計(jì)劃。2）工作方式與參與人員活動(dòng)工作方式主要參與人員2.1填寫(xiě)調(diào)查問(wèn)卷集中或單個(gè)填寫(xiě)電子銀行相關(guān)部門(mén)2.2文檔收集與查閱現(xiàn)場(chǎng)查閱或遠(yuǎn)程查閱CFCA2.3現(xiàn)場(chǎng)訪談面對(duì)面訪談CFCA、電子銀行相關(guān)人員2.4配置信息/狀態(tài)信息收集手工或遠(yuǎn)程測(cè)試CFCA、電子銀行系統(tǒng)相關(guān)配合人員2.5業(yè)務(wù)及IT信息分析整理內(nèi)部討論CFCA2.6撰寫(xiě)現(xiàn)狀報(bào)告文檔撰寫(xiě)CFCA2.7制定下一階段實(shí)施計(jì)劃計(jì)劃討論，文檔撰寫(xiě)CFCA3）輸入 業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研實(shí)

27、施計(jì)劃； 業(yè)務(wù)及IT應(yīng)用信息調(diào)查表。4）輸出 調(diào)查結(jié)果表； 系統(tǒng)配置信息； 電子銀行安全訪談實(shí)施計(jì)劃； 電子銀行系統(tǒng)安全掃描實(shí)施計(jì)劃； 電子銀行系統(tǒng)人工檢測(cè)實(shí)施計(jì)劃； 電子銀行系統(tǒng)滲透測(cè)試實(shí)施計(jì)劃； 電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報(bào)告。5.1.3 實(shí)施評(píng)估1）過(guò)程（活動(dòng)）描述 安全管理評(píng)估l 安全管理訪談;l 制度文檔審閱;l 制度符合性/有效性檢查。 業(yè)務(wù)控制評(píng)估l 業(yè)務(wù)控制訪談；l 業(yè)務(wù)控制核查。 IT基礎(chǔ)設(shè)施安全評(píng)估l 資產(chǎn)評(píng)估；l 威脅評(píng)估；l 安全訪談；l 安全掃描；l 人工檢測(cè)；l 滲透測(cè)試。 整理/撰寫(xiě)報(bào)告； （如果需要）制定下一步工作計(jì)劃。2）工作方式與參與人員活動(dòng)工作方式主要參與

28、人員3.1安全管理評(píng)估訪談、檢查電子銀行系統(tǒng)相關(guān)人員，CFCA3.2業(yè)務(wù)控制評(píng)估訪談、檢查電子銀行系統(tǒng)相關(guān)人員，CFCA3.3IT基礎(chǔ)設(shè)施安全評(píng)估訪談、檢查、手工檢測(cè)、工具掃描等電子銀行系統(tǒng)相關(guān)人員，CFCA3.4整理/撰寫(xiě)報(bào)告內(nèi)部討論，文檔撰寫(xiě)CFCA3.5制定下一步工作計(jì)劃（如果需要）計(jì)劃討論，文檔撰寫(xiě)CFCA3）輸入 自動(dòng)評(píng)估工具； 各種評(píng)估表或checklist； 各種實(shí)施計(jì)劃。4）輸出 電子銀行安全評(píng)估報(bào)告 (提交銀監(jiān)會(huì))； 電子銀行安全管理評(píng)估報(bào)告 ； 電子銀行IT基礎(chǔ)設(shè)施安全評(píng)估報(bào)告； 電子銀行業(yè)務(wù)流程風(fēng)險(xiǎn)評(píng)估報(bào)告； 各種訪談/檢測(cè)報(bào)告； 下一步工作計(jì)劃（如果需要）。5.1.4

29、改進(jìn)建議1）過(guò)程（活動(dòng)）描述 改進(jìn)建議（制度/標(biāo)準(zhǔn)/指南/方案）； （如果需要）整理制度/標(biāo)準(zhǔn)/指南/方案模板； （如果需要）撰寫(xiě)制度/標(biāo)準(zhǔn)/指南/方案； （如果需要）評(píng)審制度/標(biāo)準(zhǔn)/指南/方案。2）工作方式與參與人員活動(dòng)工作方式主要參與人員4.1改進(jìn)建議（制度/標(biāo)準(zhǔn)/指南/方案）內(nèi)部討論CFCA4.2（如果需要）整理制度/標(biāo)準(zhǔn)/指南/方案模板整理、撰寫(xiě)模板CFCA4.2（如果需要）撰寫(xiě)制度/標(biāo)準(zhǔn)/指南/方案撰寫(xiě)文檔CFCA，電子銀行相關(guān)部門(mén)4.4（如果需要）評(píng)審制度/標(biāo)準(zhǔn)/指南/方案評(píng)審會(huì)CFCA，電子銀行相關(guān)部門(mén)3）輸入 電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報(bào)告； 各種測(cè)試報(bào)告； 各種安全評(píng)估報(bào)告；

30、 工作計(jì)劃。4）輸出 電子銀行安全建議書(shū)； 電子銀行安全管理相關(guān)模板（如果需要）； 電子銀行安全管理相關(guān)制度/標(biāo)準(zhǔn)/指南/方案（如果需要）； 電子銀行安全規(guī)劃（如果需要）。5.1.5 項(xiàng)目總結(jié)1）過(guò)程（活動(dòng)）描述 成果完善； 撰寫(xiě)匯報(bào)材料； 項(xiàng)目匯報(bào)。2）工作方式與參與人員活動(dòng)工作方式主要參與人員5.1成果完善文檔整理CFCA5.2撰寫(xiě)匯報(bào)材料撰寫(xiě)材料CFCA5.3項(xiàng)目匯報(bào)總結(jié)會(huì)電子銀行系統(tǒng)相關(guān)人員，CFCA3）輸入 前期各種工作過(guò)程文檔及報(bào)告。4）輸出 匯報(bào)材料。5.2 時(shí)間估算實(shí)施階段實(shí)施任務(wù)實(shí)施內(nèi)容時(shí)間安排人員安排1項(xiàng)目準(zhǔn)備1.1確定項(xiàng)目任務(wù)、目標(biāo)1個(gè)工作日1.2 確定評(píng)估范圍、內(nèi)容1.

31、3成立項(xiàng)目組1.4制定評(píng)估實(shí)施計(jì)劃3個(gè)工作日3人1.5收集整理開(kāi)發(fā)各種評(píng)估工具1.6啟動(dòng)會(huì)1個(gè)工作日3人1.7項(xiàng)目知識(shí)、工具轉(zhuǎn)移與培訓(xùn)2業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研與分析2.1填寫(xiě)調(diào)查問(wèn)卷2.2文檔收集2.3現(xiàn)場(chǎng)訪談4個(gè)工作日2人2.4系統(tǒng)配置信息收集1個(gè)工作日1人2.5現(xiàn)場(chǎng)檢測(cè)計(jì)劃3個(gè)工作日1人2.6業(yè)務(wù)流程分析整理5個(gè)工作日3人3實(shí)施評(píng)估3.1安全管理評(píng)估安全管理訪談2個(gè)工作日2人制度文檔審閱2個(gè)工作日制度符合性/有效性檢查1個(gè)工作日3.2業(yè)務(wù)控制評(píng)估業(yè)務(wù)控制訪談2個(gè)工作日業(yè)務(wù)控制核查1個(gè)工作日3.3IT基礎(chǔ)設(shè)施安全評(píng)估資產(chǎn)評(píng)估2個(gè)工作日1-2人威脅評(píng)估1個(gè)工作日安全訪談1個(gè)工作日安全掃描4個(gè)工

32、作日人工檢測(cè)滲透測(cè)試3.4整理/撰寫(xiě)報(bào)告10個(gè)工作日3人4項(xiàng)目總結(jié)4.1成果及工作過(guò)程文檔整理1個(gè)工作日3人4.2撰寫(xiě)匯報(bào)材料1個(gè)工作日3人4.3項(xiàng)目匯報(bào)1個(gè)工作日3人總計(jì)34個(gè)工作日4.6人月6 項(xiàng)目組織與人員安排6.1 組織機(jī)構(gòu)項(xiàng)目領(lǐng)導(dǎo)小組銀行項(xiàng)目小組CFCA項(xiàng)目小組項(xiàng)目經(jīng)理項(xiàng)目經(jīng)理資深安全顧問(wèn)高級(jí)安全顧問(wèn)安全顧問(wèn)/助理客戶經(jīng)理技術(shù)經(jīng)理IT部門(mén)配合成員風(fēng)險(xiǎn)管理部門(mén)配合成員內(nèi)部審計(jì)部門(mén)配合成員業(yè)務(wù)部門(mén)配合成員項(xiàng)目組成員其它部門(mén)配合成員項(xiàng)目領(lǐng)導(dǎo)小組：由*銀行和CFCA相關(guān)領(lǐng)導(dǎo)組成，對(duì)評(píng)估項(xiàng)目能夠有充分的重視，對(duì)項(xiàng)目進(jìn)行的關(guān)鍵環(huán)節(jié)作出決策，使項(xiàng)目的發(fā)展保持正確的方向。*銀行項(xiàng)目小組：由*銀行電子

33、銀行部、科技部、風(fēng)險(xiǎn)管理部、審計(jì)部等電子銀行相關(guān)單位人員組成，根據(jù)需要參與、支持、評(píng)審、監(jiān)督電子銀行評(píng)估工作。*銀行項(xiàng)目經(jīng)理：*銀行項(xiàng)目小組負(fù)責(zé)人，制定項(xiàng)目計(jì)劃，落實(shí)人員安排，管理項(xiàng)目進(jìn)度，與CFCA協(xié)調(diào)評(píng)估項(xiàng)目事宜。*銀行技術(shù)經(jīng)理：*銀行項(xiàng)目小組的電子銀行技術(shù)負(fù)責(zé)人。*銀行配合人員：由各參與部門(mén)相關(guān)人員組成，負(fù)責(zé)評(píng)估項(xiàng)目的幫助支持工作，包括資料提供、信息收集，并根據(jù)需要參與部分工作。CFCA項(xiàng)目小組：由CFCA相關(guān)人員組成，負(fù)責(zé)實(shí)施電子銀行安全評(píng)估，撰寫(xiě)評(píng)估報(bào)告及相關(guān)改進(jìn)建議。CFCA項(xiàng)目經(jīng)理：CFCA項(xiàng)目小組負(fù)責(zé)人，負(fù)責(zé)制定項(xiàng)目計(jì)劃，落實(shí)人員安排，管理項(xiàng)目進(jìn)度，與*銀行協(xié)調(diào)評(píng)估項(xiàng)目事宜。C

34、FCA客戶經(jīng)理：CFCA項(xiàng)目小組商務(wù)負(fù)責(zé)人。CFCA資深安全顧問(wèn)：由CFCA資深安全顧問(wèn)擔(dān)當(dāng)，負(fù)責(zé)制定評(píng)估方案、開(kāi)發(fā)評(píng)估工具、指導(dǎo)高級(jí)安全顧問(wèn)及安全顧問(wèn)/助理實(shí)施安全評(píng)估，并根據(jù)需要參與具體評(píng)估工作。CFCA高級(jí)安全顧問(wèn)：由CFCA有豐富實(shí)踐經(jīng)驗(yàn)的技術(shù)人員組成，負(fù)責(zé)評(píng)估項(xiàng)目的具體實(shí)施工作，如：訪談、測(cè)試、手工檢查等，并撰寫(xiě)評(píng)估報(bào)告及相關(guān)改進(jìn)建議。CFCA安全顧問(wèn)/助理：由CFCA相關(guān)技術(shù)人員組成，參與評(píng)估項(xiàng)目的具體實(shí)施工作，如：訪談、測(cè)試、手工檢查等。6.2 主要人員安排CFCA項(xiàng)目組長(zhǎng)： CFCA項(xiàng)目經(jīng)理： CFCA資深安全顧問(wèn)： CFCA高級(jí)安全顧問(wèn)： CFCA安全顧問(wèn)/助理：6.3 主要

35、人員介紹7 項(xiàng)目管理7.1 質(zhì)量保證實(shí)施計(jì)劃評(píng)審：在項(xiàng)目實(shí)施過(guò)程中，對(duì)各種評(píng)估實(shí)施計(jì)劃的內(nèi)容進(jìn)行評(píng)審，并形成正規(guī)化文件。評(píng)估實(shí)施：嚴(yán)格按評(píng)估實(shí)施方案和評(píng)估實(shí)施計(jì)劃實(shí)施評(píng)估。文件管理：對(duì)所有的項(xiàng)目文件進(jìn)行有效的控制和管理，以保證評(píng)估的正規(guī)化和規(guī)范化。這些文件包括評(píng)估實(shí)施方案、評(píng)估實(shí)施計(jì)劃、工具集以及中間文檔記錄等。7.2 實(shí)施過(guò)程中的風(fēng)險(xiǎn)控制由于評(píng)估過(guò)程中會(huì)涉及大量電子銀行業(yè)務(wù)及系統(tǒng)相關(guān)的敏感信息，同時(shí)也會(huì)針對(duì)電子銀行系統(tǒng)使用多種攻擊性檢測(cè)工具，因此評(píng)估可能會(huì)給電子銀行安全帶來(lái)一定的潛在威脅，對(duì)此主要采取以下控制措施。1. 對(duì)所有參與電子銀行安全評(píng)估的員工進(jìn)行背景調(diào)查，并按規(guī)定簽署保密協(xié)議，進(jìn)行

36、保密教育。2. 評(píng)估實(shí)施前制定詳細(xì)實(shí)施計(jì)劃，所有工作計(jì)劃必須獲得領(lǐng)導(dǎo)批準(zhǔn)，并嚴(yán)格按照計(jì)劃執(zhí)行。3. 對(duì)于項(xiàng)目中的任何變更，項(xiàng)目實(shí)施人員均要通知項(xiàng)目組長(zhǎng)或領(lǐng)導(dǎo)組成員，項(xiàng)目組長(zhǎng)或領(lǐng)導(dǎo)組成員需要對(duì)是否允許變更做出批示。對(duì)于重要的變更，需要書(shū)面的變更申請(qǐng)，并更新相關(guān)計(jì)劃。4. 在評(píng)估實(shí)施前，對(duì)電子銀行系統(tǒng)的重要數(shù)據(jù)，如：網(wǎng)絡(luò)系統(tǒng)關(guān)鍵設(shè)備配置、服務(wù)器系統(tǒng)配置參數(shù)等，根據(jù)評(píng)估活動(dòng)可能帶來(lái)的風(fēng)險(xiǎn)大小，做好相應(yīng)的備份，保證能夠快速恢復(fù)系統(tǒng)。5. 根據(jù)評(píng)估活動(dòng)可能帶來(lái)的各種威脅及風(fēng)險(xiǎn)，做好相應(yīng)的應(yīng)急預(yù)案。6. 挑選具有豐富經(jīng)驗(yàn)的技術(shù)人員參與技術(shù)測(cè)試，避免因操作失誤而造成電子銀行系統(tǒng)故障。7. 除非必須，否則盡量

37、不對(duì)生產(chǎn)系統(tǒng)進(jìn)行實(shí)際操作，對(duì)電子銀行系統(tǒng)的技術(shù)測(cè)試盡量選擇在測(cè)試環(huán)境中進(jìn)行。7.3 交流與溝通項(xiàng)目過(guò)程中的交流與溝通能確保及時(shí)、有效地收集、產(chǎn)生、發(fā)布、保存和處理項(xiàng)目信息。它是人、思路和信息之間的關(guān)系紐帶，是成功所必須的。本項(xiàng)目主要采用如下幾種溝通方式 會(huì)議，包括： 多方參與的項(xiàng)目啟動(dòng)會(huì)議； 項(xiàng)目組的周例會(huì)，主要由項(xiàng)目組人員參與； 項(xiàng)目階段工作會(huì)議，主要由項(xiàng)目組人員參與； 多方參與的項(xiàng)目總結(jié)會(huì)議。 日常溝通、記錄和備忘錄，主要包括： 各種非正式會(huì)議； 電話； 傳真； 郵件。 報(bào)告，包括： 項(xiàng)目計(jì)劃和進(jìn)展報(bào)告； 項(xiàng)目總結(jié)報(bào)告； 以及在各個(gè)階段輸出的項(xiàng)目成果文本等。8 主要項(xiàng)目文檔1. 電子銀行安

38、全評(píng)估方案；2. 電子銀行安全評(píng)估實(shí)施計(jì)劃（系列）；3. 電子銀行安全評(píng)估調(diào)查問(wèn)卷（系列）；4. 電子銀行業(yè)務(wù)及IT應(yīng)用現(xiàn)狀報(bào)告；5. 電子銀行系統(tǒng)重要資產(chǎn)清單；6. 電子銀行系統(tǒng)重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估表；7. 電子銀行系統(tǒng)安全掃描報(bào)告；8. 電子銀行系統(tǒng)手工安全檢測(cè)報(bào)告；9. 電子銀行系統(tǒng)滲透測(cè)試報(bào)告；10. 電子銀行安全評(píng)估報(bào)告。附件1：電子銀行整體安全評(píng)價(jià)準(zhǔn)則電子銀行的整體安全評(píng)價(jià)從安全管理、系統(tǒng)平臺(tái)安全以及業(yè)務(wù)控制三個(gè)方面進(jìn)行。每個(gè)方面包含一系列評(píng)價(jià)內(nèi)容描述（可能包含多級(jí)描述），針對(duì)每個(gè)最終評(píng)價(jià)內(nèi)容（非中間級(jí)）的賦值準(zhǔn)則如下：評(píng)價(jià)賦值L描述0-完全不符合當(dāng)前狀況完全不符合評(píng)價(jià)內(nèi)容描述。33-

39、少部分符合當(dāng)前狀況少部分符合評(píng)價(jià)內(nèi)容描述。66-基本符合當(dāng)前狀況基本不符合評(píng)價(jià)內(nèi)容描述。100-完全符合當(dāng)前狀況完全評(píng)價(jià)內(nèi)容描述。每個(gè)中間級(jí)的評(píng)價(jià)內(nèi)容值L由下述公式確定：L=(Wili)/Wi,i0。其中：L是某級(jí)評(píng)價(jià)內(nèi)容的賦值。Li是該級(jí)評(píng)價(jià)內(nèi)容的第i個(gè)子評(píng)價(jià)內(nèi)容賦值。Wi是該級(jí)評(píng)價(jià)內(nèi)容的第i個(gè)子評(píng)價(jià)內(nèi)容所占的權(quán)重。具體的評(píng)價(jià)內(nèi)容描述及權(quán)重參考（在實(shí)際評(píng)價(jià)時(shí)可能根據(jù)具體情況調(diào)整）如下： 安全管理評(píng)價(jià)內(nèi)容及權(quán)重進(jìn)行如下內(nèi)容評(píng)價(jià)：風(fēng)險(xiǎn)管理框架建設(shè)與運(yùn)行(權(quán)重10%)各級(jí)人員的風(fēng)險(xiǎn)管理意識(shí)或認(rèn)知（權(quán)重10%）風(fēng)險(xiǎn)模型或框架定義（權(quán)重10%）相關(guān)職責(zé)劃分/人員安排（權(quán)重20%）與目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、

40、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)監(jiān)測(cè)相關(guān)的流程及操作程序（權(quán)重20%）風(fēng)險(xiǎn)管理程序執(zhí)行情況（權(quán)重30%）董事會(huì)及高管對(duì)風(fēng)險(xiǎn)管理的監(jiān)察（權(quán)重10%）內(nèi)部控制體系建設(shè)與運(yùn)行(權(quán)重20%)管理層對(duì)電子銀行內(nèi)部控制的認(rèn)知能力與水平（權(quán)重10%）相關(guān)職責(zé)劃分/人員安排（權(quán)重10%）控制環(huán)境建設(shè)情況（權(quán)重10%）與電子銀行整個(gè)生命周期（開(kāi)發(fā)、獲取、運(yùn)營(yíng)、廢棄等）相關(guān)的控制體系建設(shè)情況（權(quán)重20%）控制機(jī)制執(zhí)行情況（權(quán)重30%）溝通與監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況（權(quán)重10%）內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況（權(quán)重10%）開(kāi)發(fā)與獲取管理(權(quán)重10%)與開(kāi)發(fā)及獲取相關(guān)的職責(zé)安排，組織架構(gòu)是否合理（權(quán)重10%）開(kāi)發(fā)及獲取的標(biāo)準(zhǔn)

41、、方法論及實(shí)踐（權(quán)重30%）開(kāi)發(fā)質(zhì)量保證過(guò)程（權(quán)重30%）開(kāi)發(fā)及獲取變更控制過(guò)程（權(quán)重10%）電子銀行系統(tǒng)補(bǔ)丁與發(fā)布管理（權(quán)重10%）與電子銀行相關(guān)的開(kāi)發(fā)文檔管理與控制（權(quán)重10%）運(yùn)營(yíng)管理(權(quán)重10%)相關(guān)職責(zé)劃分/人員安排（權(quán)重10%）事件/問(wèn)題或知識(shí)/管理流程（權(quán)重20%）變更管理/發(fā)布管理流程（權(quán)重20%）配置管理流程（權(quán)重20%）電子銀行監(jiān)控（權(quán)重10%）電子銀行用戶支持（權(quán)重10%）其它電子銀行日常操作流程，如：巡檢、備份、定期報(bào)告等（權(quán)重10%）應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理(權(quán)重10%)應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性管理流程建設(shè)（權(quán)重20%）相關(guān)職責(zé)劃分/人員安排（權(quán)重10%）電子銀行應(yīng)急預(yù)案

42、與業(yè)務(wù)連續(xù)性計(jì)劃制定情況（權(quán)重30%）與電子銀行相關(guān)的災(zāi)備及其它技術(shù)控制情況（權(quán)重30%）電子銀行應(yīng)急與業(yè)務(wù)連續(xù)性定期演練情況（權(quán)重10%）外包管理(權(quán)重10%)外包管理流程建設(shè)（權(quán)重30%）相關(guān)職責(zé)劃分/人員安排（權(quán)重30%）與電子銀行相關(guān)的外包管理執(zhí)行情況（權(quán)重40%）安全管理(權(quán)重30%)安全管理策略/制度/流程建設(shè)（權(quán)重30%）相關(guān)職責(zé)劃分/人員安排（權(quán)重30%）安全管理執(zhí)行情況（權(quán)重40%） 系統(tǒng)平臺(tái)安全評(píng)價(jià)內(nèi)容及權(quán)重針對(duì)物理環(huán)境、系統(tǒng)平臺(tái)架構(gòu)以及每個(gè)網(wǎng)絡(luò)/系統(tǒng)/設(shè)施/設(shè)備，進(jìn)行如下內(nèi)容評(píng)價(jià)：物理環(huán)境(權(quán)重10%)物理環(huán)境(權(quán)重20%)設(shè)備安全(權(quán)重40%)介質(zhì)安全(權(quán)重40%)網(wǎng)絡(luò)

43、平臺(tái)(權(quán)重10%)網(wǎng)絡(luò)及邊界安全（網(wǎng)絡(luò)接入控制、訪問(wèn)控制、邊界防護(hù)(權(quán)重30%)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)（網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)服務(wù)質(zhì)量保證）(權(quán)重10%)網(wǎng)絡(luò)訪問(wèn)控制(權(quán)重10%)網(wǎng)絡(luò)安全檢測(cè)分析(權(quán)重10%)網(wǎng)絡(luò)連接(權(quán)重10%)網(wǎng)絡(luò)可用性(權(quán)重10%)網(wǎng)絡(luò)設(shè)備的安全管理與配置(權(quán)重20%)（本項(xiàng)內(nèi)容是對(duì)電子銀行所有（或關(guān)鍵）網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)狀況的綜合考慮）操作系統(tǒng)/平臺(tái)(權(quán)重20%)（本項(xiàng)內(nèi)容是對(duì)電子銀行所有（或關(guān)鍵）操作系統(tǒng)/平臺(tái)安全風(fēng)險(xiǎn)狀況的綜合考慮）帳號(hào)安全（權(quán)重20%）文件系統(tǒng)安全（權(quán)重10%）網(wǎng)絡(luò)服務(wù)安全（權(quán)重10%）系統(tǒng)訪問(wèn)控制（權(quán)重10%）日志及監(jiān)控審計(jì)（權(quán)重10%）拒絕服務(wù)保護(hù)（權(quán)重10%）補(bǔ)丁管理（權(quán)重10%）病毒及惡意代碼防護(hù)（權(quán)重10%）系統(tǒng)備份與恢復(fù)（權(quán)重10%）數(shù)據(jù)庫(kù)（權(quán)重20%）（本項(xiàng)內(nèi)容是對(duì)電子銀行所有（或關(guān)鍵）數(shù)據(jù)庫(kù)系統(tǒng)安全風(fēng)險(xiǎn)狀況的綜合考慮）數(shù)據(jù)庫(kù)帳號(hào)安全（權(quán)