金融行業(yè)安全服務方案

啟明星辰金融事業(yè)部

安全服務解決方案

Ver1.0

目錄

安全服務解決方案..................................................................4

第1章概述......................................................................4

1.1需求分析..................................................................4

1.2項目建設目標....................................................................4

第2章方案內容..................................................................5

2.1安全管理咨詢顧問服務......................................................5

2.1.1進行信息安全管理體系咨詢.............................................5

2.1.2協(xié)助進行信息安全應急響應演練.........................................6

2.1.3提供定制化的信息安全培訓.............................................6

2.1.4提供互聯(lián)網(wǎng)安全事件應急響應服務.......................................6

2.1.5國內外安全事件技術分析和趨勢跟蹤.....................................7

2.2安全建設及安全監(jiān)控外包服務................................................7

2.2.1風險評估....................................................................7

2.2.2提供安全改造咨詢......................................................7

2.2.3提供加固技術支持......................................................7

2.2.4提供監(jiān)控服務..........................................................7

第3章評估理論、方法及模型......................................................8

3.1相關標準與規(guī)范............................................................8

3.1.1評估咨詢項目的標準性原則.............................................8

3.1.2方案中標準的體現(xiàn)對照..................................................8

3.1.3相關標準規(guī)范介紹.....................................................10

COSO報告《內部控制整體框架》與ERM&企業(yè)風險管埋一整體框架》...........10

3.13.2COBIT《信息及相關技術的控制目標》.............12

ITILQT基礎架構庫》..........................14

IS027001《信息安全管理規(guī)范》..................16

銀監(jiān)會63號文《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》.......................18

Cobit、ISOI779J與63號文控制目標對應表...................................19

3.2安全風險評估策略........................................................32

3.2.1風險管理原則.........................................................32

3.2.2建模策略.............................................................33

3.2.3信息安全管理.........................................................34

3.2.4標準遵循.............................................................34

3.3安全風險評估理論模型....................................................34

3.3.1安全風險過程模型.....................................................34

3.3.2安全風險關系模型.....................................................36

3.3.3安全風險計算模型.....................................................36

3.3.4安全風險管理過程模型.................................................38

第4章風險評估................................................................40

4.1資產(chǎn)管埋評估.............................................................40

4.1.1資產(chǎn)分類調查.........................................................40

4.1.2資產(chǎn)安全管理.........................................................41

4.2威脅評估.................................................................42

4.2.1安全隱患分析.........................................................42

4.2.2網(wǎng)絡架構威脅分析.....................................................43

43弱點與漏洞評估...........................................................44

4.3.1大規(guī)模漏洞檢測評估...................................................44

4.3.2滲透性測試...........................................................44

4.3.3控制臺人工審計.......................................................45

4.4網(wǎng)絡架構評估.............................................................46

4.4.1網(wǎng)絡性能與業(yè)務負載分析...............................................46

4.4.2訪問控制策略與措施分析..............................................47

4.4.3網(wǎng)絡設備策略與配置評估...............................................48

4.4.4安全設備策略與配置評估...............................................48

4.5安全控制評估.............................................................49

4.6安全管理評估.............................................................50

4.6.1安全管理體系評估.....................................................50

4.6.2常規(guī)安全管理.........................................................51

4.6.3應急安全管理.........................................................51

4.7業(yè)務與應用評估...........................................................52

4.7.1業(yè)務流程分析.........................................................52

4.7.2應用服務與應用系統(tǒng)分析...............................................53

4.8典型安全評估咨詢輸出.....................................................54

4.8.1信息安全現(xiàn)狀報當.....................................................54

4.8.2信息安全風險評估報告.................................................54

4.8.3信息安全策略建議.....................................................55

4.8.4信息安全解決方案建議.................................................56

4.8.5安全培訓方案建議書...................................................56

第1章概述

1.1需求分析

隨著金融業(yè)務的高速發(fā)展，對信息系統(tǒng)的要求越來越高。在信息系統(tǒng)建設的

同時，也非常注重信息安全的建設，為了進一步提高信息系統(tǒng)的安全性，依據(jù)長

期發(fā)展戰(zhàn)略，提出了管理制度體系建設、到應急、到網(wǎng)上銀行等多個層面的安全

需求，具體包括如下幾個方面：

＞完善信息科技部匚信息安全管理體系；

＞提高信息安全應急響應能力；

＞提高信息安全人員意識及技術能力；

＞提高銀行自身合規(guī)性的能力；

＞加強對國內外安全事件技術分析和趨勢跟蹤；

＞清楚認識網(wǎng)上銀行存在的風險，提高網(wǎng)上銀行的安全性。

1.2項目建設目標

通過項目建設，達到如下目標：

＞根據(jù)中國銀行業(yè)監(jiān)督管理委員會下發(fā)的相關信息科技風險管理指引，以

及國際流行的信息安全風險管理規(guī)范，結合信息科技發(fā)展的實際情況，

進一步完善和細化信息科技風險管理制度和流程；

＞提高對信息安全的應急能力；

＞通過培訓等手段提高信息科技部技術隊伍人員口勺信息安全意識和技能水

平；

＞提高符合監(jiān)管部匚監(jiān)管要求、法律法規(guī)的能力；

＞通過評估網(wǎng)上銀行的現(xiàn)狀，提出網(wǎng)銀安全建設和整改方案，并監(jiān)控來自

互聯(lián)網(wǎng)針對網(wǎng)銀的攻擊行為。

第2章方案內容

為了滿足安全需求，達到預定目標，項目建設的內容如下：

2.1安全管理咨詢顧問服務

2.1.1進行信息安全管理體系咨詢

在已有信息安全管理制度、規(guī)范的基礎上，進一步制定可落實、可執(zhí)行的信

息安全管理體系，涵蓋策略、規(guī)范、流程等各個層面。

通過多年的積累，結合BS7799及COBIT最佳實踐，形成了自己的一套管

理制度體系，這套管理體系可以根據(jù)客戶的實際情況進行裁剪。

在本項目中，我們將會對XXXXX現(xiàn)有制度進行梳理，結合公司的管理體系

框架，形成一套適合XXXXX的管理制度體系及流程，具體如下步驟：

本活動由以下步驟組成：

步驟1：分析已獲信息

策略規(guī)劃小組對已收集的各種文檔信息進行分析，鑒別已有的信息安全策

略，并進行相應的記錄。

步驟2：設計框架結構

根據(jù)已獲得的信息，策略規(guī)劃小組設計信息安全策略框架。

步驟3：溝通框架結構

針對已創(chuàng)建的信息安全策略框架，策略規(guī)劃小組與相關人員進行溝通。

步驟4：制定安全策略

在確定了信息安全策略的框架之后，策略規(guī)劃小組為制定信息安全策略。

步驟5：分析評估報鈴

策略規(guī)劃小組分析已完成的評估報告，鑒別評估過程中發(fā)現(xiàn)的問題。

步驟6：完善安全策略

根據(jù)評估報告中所發(fā)現(xiàn)的問題，策略規(guī)劃小組完善信息安全策略。

2.1.2協(xié)助進行信息安全應急響應演練

協(xié)助信息科技部門制定網(wǎng)絡安全應急響應流程,并參與XXXXX組織的應急

響應演練,評估應急響應演練效果并提供改進建議。

在制定XXXXX信息科技部門制定網(wǎng)絡安全應急響應流程中將結合現(xiàn)有信息

系統(tǒng)情況，制定可實施的應急預案，將按照應急預案進行演練，并制定詳細的恢

復計劃，保證最小化影響業(yè)務系統(tǒng)。

制定好應急預案后,將根據(jù)應急預案協(xié)助XXXXX進行應急響應演練,檢驗應

急預賽的可行性，評估應急響應演練效果并提供改進建議。

在應急演練過程中，將檢驗如下的各個環(huán)節(jié)：

＞建立應急組織

＞應急準備

＞應急演練

＞應急啟動與處理

＞應急恢復與重建

＞應急結束

＞應急總結

＞應急匯報與信息披露

2.1.3提供定制化的信息安全培訓

針對普通員工、科技干部、管理層提供不同類型的信息安全培訓，包括管理

培訓和網(wǎng)絡安全技術。

將根據(jù)XXXXX的實際情況，提供客戶化的培訓，具體計劃如下：

對管理人員進行管理培訓，提供2人次的BS7799培訓；

對技術人員進行4人次的CISP培訓；

對普通員工進行現(xiàn)場的安全意識培訓。

2.1.4提供互聯(lián)網(wǎng)安全事件應急響應服務

針對來自互聯(lián)網(wǎng)的入侵、蠕蟲爆發(fā)提供應急響應服務。

將分級別為XXXXX提供互聯(lián)網(wǎng)安全事件的應急響應服務，具體計劃如下:

響應方式

由攻擊行為直接引起的相關事件，正在危害，或者

即將危害到系統(tǒng)的業(yè)務連續(xù)性?，F(xiàn)場為主，遠程

高級事件

非攻擊行為造成，但是影響到目標系統(tǒng)業(yè)務持續(xù)性

的事件。

由非攻擊行為直接引起的其他事件，而且這種事遠程為主（電話，郵件，

中級事件件沒有直接影響到當前業(yè)務的持續(xù)性。傳真等），必要時進行現(xiàn)

例如一般性安全咨詢，產(chǎn)品升級，病毒庫升級等等。場支持

攻擊或者非法事件并沒有對系統(tǒng)造成傷害，但有入遠程為主（電話，郵件，

低級事件

侵企圖，可能會造成損害。傳真等）

2.1.5國內外安全事件技術分析和趨勢跟蹤

關注安全業(yè)內動態(tài)、與國、內外安全機構有密切的聯(lián)系，密切跟蹤安全事件

及安全發(fā)展趨勢，將為XXXXX以月為周期提供趨勢跟蹤分析報告，在出現(xiàn)重大

安全漏洞和事件時提供預警服務，使XXXXX防患于未然。

以月為周期提供趨勢跟蹤分析報告，在出現(xiàn)重大安全漏洞和事件時提供預警

服務。

2.2安全建設及安全監(jiān)控外包服務

2.2.1風險評估

針對XXXXX網(wǎng)銀進行風險評估，提出網(wǎng)銀的改進方案，并結合XXXXX

業(yè)務提出網(wǎng)銀的發(fā)展規(guī)劃＜

2.2.2提供安全改造咨詢

為XXXXX安全改造提供技術咨詢。

2.2.3提供加固技術支持

為XXXXX系統(tǒng)加固提供技術支持。

2.2.4提供監(jiān)控服務

提供7X24小時安全監(jiān)控服務，在出現(xiàn)異常攻擊行為時進行及時的應急響應

處理。

第3章評估理論、方法及模型

通過風險評估服務，可以提高客戶關鍵業(yè)務系統(tǒng)的可用性和可靠性、降低信

息安全管理成本，提高金融企業(yè)對行業(yè)監(jiān)管、國家政策的合規(guī)性，同時也可為其

他外部系統(tǒng)提供安全基準，進一步增強客戶的競爭優(yōu)勢。在設計過程和方案的實

施中，結合客戶網(wǎng)絡的特點，遵循和參照最新、最權威、最具有代表性的國家和

國際信息安全標準與建議,

下面給出了相關標準和法規(guī)、政策在方案中的體現(xiàn)。

3.1相關標準與規(guī)范

3.1.1評估咨詢項目的標準性原則

啟明星辰提供的本次安全評估咨詢服務，將依據(jù)《2006年度銀行業(yè)金融機構

信息科技風險評價審計要點》、《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》、《電子

銀行安全評估指引（征求意見稿）》、《商業(yè)銀行內部控制評價試行辦法》中的相

關要求進行評估，同時為保證本次評估的全面性，還將參考相關的國際標準、國

內標準和電信行業(yè)的相關規(guī)范，并有選擇性地采納優(yōu)秀的風險評估理論。國際標

準包括IS017799:2005《信息技術一信息安全管理業(yè)務規(guī)范》、GAO/AIMD-00-33、

《信息安全風險評估》、ISOISO/TR13569《銀行和相關金融服務一信息安全指

南》、AS/NZS4360:1999,ISO15408等；國家標準包括GB17859,GB18336等。

同時我們將參考COSO/ERM《企業(yè)風險管理-整體框架》、Cobit4.0、ITIL3.0、

Prince2等IT治理模型；這些標準和操作指南目前已經(jīng)被金融行業(yè)風險評估項

目和IT治理項目中進行了實踐，并得到了用戶的認可和好評。

除對標準的遵循外，啟明星辰的風險評估過程還緊密結合金融行業(yè)的各種業(yè)

務特征，依據(jù)XXXXX的業(yè)務特點，系統(tǒng)地制定了XXXXX信息安全風險評估方案。

3.1.2方案中標準的體現(xiàn)對照

評估過程參照標準

調查表和問題的《2006年度銀行業(yè)金融機構信息科技風險評價審計要點》

設計《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》

評估過程參照標準

《電子銀行安全評估指引（征求意見稿）》

《商業(yè)銀行內部控制評價試行辦法》

ISOISO/TR13569《銀行和相關金融服務-信息安全指南》

Cobit4.0

加拿大《威脅和風險評估工作指南》

美國國防部彩虹系列NCSC-TG-019

ISO17799/BS7799

資產(chǎn)評估ISO17799/BS7799

加拿大《威脅和風險評估工作指南》

風險分析方法IS013335

風險分析模型CAS/NZS4360:1999風險管理標準》

風險計算模型《AS/NZS4360:1999風險管理標準》

GA0/A1MD-00-33《信息安全風險評估》

安全管理評估《2006年度銀行業(yè)金融機構信息科技風險評價審計要點》

《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》

《電子銀行安全評估指引（征求意見稿）》

《商業(yè)銀行內部控制評價試行辦法》

ISOISO/TR13569《銀行和相關金融服務-信息安全指南》

Cobit4.0

ISO17799/BS7799

IS013335

物理安全評估《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》

IS017799/BS7799

ISOISO/TR13569《銀行和相關金融服務-信息安全指南》

網(wǎng)絡設備安全性TSO154O8(CC)

GB17859

解決方案咨詢《2006年度銀行業(yè)金融機構信息科技風險評價審計要點》

《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》

評估過程參照標準

《電子銀行安全評估指引（征求意見稿）》

《商業(yè)銀行內部控制評價試行辦法》

ISOISO/TR13569《銀行和相關金融服務-信息安全指南》

Cobit4.0

ISO17799/BS7799

3.1.3相關標準規(guī)范介紹

3.L3.1C0S0報告《內部控制整體框架》與ERM《企業(yè)風險管理一整體框架》

美國全美反舞弊性財務報告委員會（又稱COSO委員會）于1992年發(fā)布了《內

部控制一一整體框架》（以下稱COSO報告）。COSO報告為企事業(yè)單位構建起一個

三維立體的仝面風險防范體系。

Theprocessto

determinewhether

internalcontrolis

adequatelydesigned,

executed,effective

andadaptive.

processwhich

that

relevant

information/5

communicatedinaTh?policiesand

timelymanner.proceduresthat

helpensurathat

actionsidentIfledto

nwnageriskare

executedand

Sign-Offtimely.

TrackingSystem{RiskandControl

rKnowledgebase

Theovaluafionof

interna!and

externn!factors

thatImpactan

orqanfzation,1Thecontrol

pttrfomtanca.consdencAoran

organization.The

'tonuatthotopM

COSO報告提出，COSO整體框架包括3大運營目標和5大控制要素。

內部控制3大運營目標：

1、運營的效果和效率;

2、財務報告的可靠性；

3、遵守適用的法律和法規(guī)（合規(guī)性）

內部控制由5個要素：即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)

控。五要素中，各個要素有其不同的功能，內部控制并非五個要素的簡單相加，

而是由這些相互聯(lián)系、相互制約、相輔相成的要素，按照一定的結構組成的完整

的、能對變化的環(huán)境做出反應的系統(tǒng)?？刂骗h(huán)境是整個內控系統(tǒng)的基石，支撐和

決定著風險評估、控制活動、信息傳遞和監(jiān)督，是建立所有事項的基礎；實施風

險評估進而管理風險是建立控制活動的重點；控制活動是內部控制的主要組成部

分；信息傳遞貫穿上下，將整個內控結構凝聚在一起，是內部控制的實質；監(jiān)督

位于頂端的重要位置，是內控系統(tǒng)的特殊構成要索，它獨立于各項生產(chǎn)經(jīng)營活動

之外，是對其他內部控制的一種再控制。

2004年COSO又發(fā)布了ERM《企業(yè)風險管理一整體框架》，如下圖所示:

InternalEnvironment

ObjectivSetting

EventIdeiitification

RiskAs：issment

RiskRiponse

Control.ctivities

lation&Communic

Monitoring

說明：COSO通用內控框架與ERM雖是同一個機構所發(fā)布，但是ERM不是COSO總

體內控框架的替代品。

3.1.3.2C0BIT《信息及相關技術的控制目標》

1996年，作為一項II安全與控制的實踐標準，COBIT由信息系統(tǒng)審計與控

制組織和IT管理協(xié)會共同開發(fā)。它為IT、安全、審計經(jīng)理和用戶提供了一套完

整的參考框架。目前，COEIT已經(jīng)發(fā)布了第四版，它正在成為控制數(shù)據(jù)、系統(tǒng)和

相關風險的優(yōu)秀實踐法則，并逐漸被越來越多的用戶所接受。它將俯助企業(yè)部署

對系統(tǒng)和網(wǎng)絡的有效管理,

COBIT框架具有以業(yè)務為關注焦點、以過程為導向、基于控制和測量驅動的

特點。為實現(xiàn)業(yè)務目標，COBIT定義了七個獨立但又有所重疊的信息準則：

?有效性：應以及時、正確、一致和可用的方式來交付與業(yè)務過程有關的信息;

?效率2：通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟合理）資源使用來交付信息；

?保密性：保護敏感信息免受未授權泄漏；

?完整性：信息的正確和完整，并根據(jù)業(yè)務價值和期望進行驗證；

?可用性：若業(yè)務過程現(xiàn)在或將來需要時，信息是可用的?？申P注于保護所需

的資源及相關的能力；

?符合性：符合業(yè)務過程必須遵循的法律法規(guī)要求和合同約定，即外部的強制

性要求和內部策略；

?可靠性：為管理者提供適當?shù)男畔?，以管理組織并檢驗其可信和治理職責。

COBIT將IT資源定義為：

?應用系統(tǒng)：用戶處理信息的自動化用戶系統(tǒng)及手冊程序；

?信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務以任何形

式所使用；

?基礎設施：保障應用系統(tǒng)處理信息所需的技術和設施（硬件、操作系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、網(wǎng)絡、多媒體等，以及放置、支持上述技術和設施的環(huán)境）；

?人員：策劃、組織、采購、實施、交付、支持、監(jiān)視和評價信息系統(tǒng)和服務

所需的人員。

COBIT在四個域內采住過程模型的方式定義IT活動，四個域分別是：策劃與

組織、獲取與實施、交付與支持、監(jiān)視與評價。這些域映射到傳統(tǒng)的IT職責域:

計劃、建設、運營和監(jiān)視＜即PDCA管理模型。管理指導方針的部件由衡量企業(yè)

在34種IT流程中能力的工具所組成。這些工具包括了性能測量組件、為每種

IT流程提供最佳實踐的關鍵成功因素清單，以及幫助進行基準測試的成熱度模

型。Cobit的三維模型如下圖所示：

COB1T三雉圖

Cobit整體架構如卜.圖所示:

ITIL《IT基礎架構庫》

80年代中期，英國政府部門發(fā)現(xiàn)提供給其的IT服務質量不佳，于是要求當

時的政府計算機和電信局（CCTA）（后來并入英國政府商務部（OGC））,啟動一個

項目對此進行調查，并開發(fā)一套有效的和可進行財務計量的IT資源使用方法以

供本國的政府部門和私有部門使用。同時，這種方法還應該是獨立于廠商的并且

可適用于不同規(guī)模、不同技術和業(yè)務需求的組織。這個項目的最終成果是一套公

開出版的IT管理指南，這就是ITIL(InformationTechnologyInfrastructure

Library)o

到90年代中期，ITIL成為了事實上的歐洲IT服務管理標準。90年代后期,

ITIL又被引入到美國、南非和澳大利亞等國家和地區(qū)。2001年英國標準協(xié)會

(BSD在國際IT服務管理論壇(itSMF)年會上正式發(fā)布了以ITIL為基礎的

IT服務管理英國國家標準BS15000o2002年BS15000被提交給國際標準化組織

(ISO),申請成為了IT服務管理國際標準ISO20000o

ITIL是有關IT服務管理流程的最佳實踐，事實上，經(jīng)過近20多年的發(fā)展，

以流程為主線，進行了全面的擴充，最終形成了如圖1所示的框架。這個框架現(xiàn)

在成為了事實上的IT服務管理知識框架體系。

圖rriL的整體架構

資料來懣：PaulGraham等.CICTInfrastructureManagement^P7.OGC,2002年.

上圖顯示了引入模塊所處的整體環(huán)境和結構。它顯示了每個模塊同業(yè)務和技

術的關系。從圖中可見，業(yè)務視野模塊是如何更緊密地同業(yè)務相聯(lián)系而信息和通

信技術(1CT)基礎設施管理模塊是如何更緊密地同技術本身相聯(lián)系。服務提供

和服務支持模塊提供了過程框架和核心。

這七個模塊組成了1TIL的核心。下面將對其中各個模塊的新的范圍、內容

及其關系進行介紹。

?服務提供：覆蓋了規(guī)劃和提供高質量IT服務所需的過程，并且著眼于改進

所提供的IT服務的質量相關的長期過程。

?服務支持：服務支持描述了同所提供的IT服務日常支持和維護活動相關的

過程。

?信息和通信技術基礎設施管理（ICTIM）：信息和通信技術基礎設施管理覆

蓋了從標識業(yè)務需求到招投標過程、到信息和通信技術組件和IT服務的測

試、安裝、部署以及后續(xù)運行和優(yōu)化的信息和通信技術基礎設施管理的所有

方面。

?規(guī)劃實施服務管理：檢查組織機構內規(guī)劃、實施和改進服務管理過程中所涉

及的問題和任務。它也考慮同解決文化和組織機構變更、開發(fā)遠景和戰(zhàn)略以

及方案的最合適方法等相關的問題。

?應用管理：描述了如何管理應用從最初的業(yè)務需求直至和包括應用廢棄的應

用生命周期的所有階段。它將重點放在在應用的整個生命周期內確保IT項

目和戰(zhàn)略同業(yè)務建立緊密的聯(lián)系，以確保業(yè)務從其投資中獲得最佳價值。

?業(yè)務視野：提供了建議和指南，以幫助IT人員理解他們如何才能為業(yè)務目

標作出貢獻以及如何更好地聯(lián)系和挖掘其角色和服務以最大化其貢獻。

?安全管理：詳細描述了規(guī)劃和管理用于信息和IT服務的給定級別安全的過

程，包括同響應安全事故相關的所有方面。它也包括了風險利脆弱性的評估

和管理，以及成本有效的對策的實施

ITIL的IT服務流程可供我們在做安全咨詢及安全解決方案設計時作參考。

3.1.3.4IS027001《信息安全管理規(guī)范》

ISO27001:2005由11個大的控制方面、39個控制目標、133個控制措施

構成。ISO/IEC27001:2005要求組織應根據(jù)整體業(yè)務活動及其面臨的風險通過

制定信息安全方針、制定體系范圍、明確管理職責，通過風險評估確定控制目標

與控制措施等活動建立信急安全管理體系（ISMS）；體系一旦建立組織應按體系

規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的

文件，如方針、適用性聲明文件和實施安全控制所必須的程序文件。

通過建立、實施、運作、監(jiān)視、評審、保持并改進文件化的信息安全管理體

系，使組織擁有持續(xù)改進的信息安全保障能力，為實現(xiàn)業(yè)務目標提供支撐。

ISO/IEC27001:2005規(guī)定了建立、實施和文件化信息安全管理體系得要求。

它規(guī)定了組織根據(jù)其需求實施安全控制的要求。體系挑范的結構如下圖所示：

圖.ISO/IEC27001:2005結構

信息安全管理體系作為一個管理標準，也遵循了PDCA

（Plan-Do-Chpc.k-Ae.tinn,策劃-實施-檢查-行動）的持續(xù)改進的管理模式，這

也反映在整個標準的架構上，整個標準的重心在建立EUS系統(tǒng)，如下圖所示:

圖.ISMS框架

規(guī)劃（建立ISMS）根據(jù)組織的整體策略和目標，建立安全策略、目標以及

與管理風險和改進信息安全相關的過程和程序，以獲得

結果。

執(zhí)行（實施和運作實施和運作安全策略、控制、過程和程序。

TSMS)

控制（監(jiān)視和評審適用時，根據(jù)ISMS策略、目標和慣有經(jīng)驗評估行，并

ISMS）向管理層報告結果，進行評審。

改進（保持和改進根據(jù)內部ISMS審計和管理評審或其他信息施，以實現(xiàn)

ISMS）1SMS的持續(xù)改進。

ISO/IEC27001:2005采用PDCA”規(guī)劃-執(zhí)行-控制-改進"（PDCA）過程模式。

該模型適用丁?建立15v5的所有過程。ISMS框架圖描述了ISMS如何輸入相關方

的信息安全要求和期望，經(jīng)過必需的活動和過程，產(chǎn)生滿足這些需求和期望的信

息安全輸出。

采用PDCA模型也反應了OECD指南（2002）《信息系統(tǒng)和網(wǎng)絡的安全治理》

中所陳述的準則。ISO/IEC27001:2005為在風險評估、安全設計和實施、安全

管理和再評估方面實施這些指南中的準則提供了強健模型。

3.1.3.5銀監(jiān)會63號文《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》

隨著銀行業(yè)金融機構的經(jīng)營活動口益綜合化和國際化，業(yè)務和產(chǎn)品越來越復

雜，合規(guī)失效的事件不斷暴露，銀行業(yè)金融機構經(jīng)營活動的合規(guī)性面臨嚴峻的挑

戰(zhàn)，原有合規(guī)管理框架的有效性受到質疑，合規(guī)風險管理的理念和方法需要與時

俱進。近年來，全球銀行業(yè)的合規(guī)風險管理技術得到了快速的發(fā)展，普遍實施風

險為本的合規(guī)管理做法，并把合規(guī)管理作為銀行業(yè)金融機構一項核心的風險管理

活動。2005年4月29口，巴塞爾銀行監(jiān)管委員會發(fā)布了《合規(guī)與銀行內部合規(guī)

部門》文件，提出「合規(guī)管理十項原則，向各國銀行業(yè)金融機構及其監(jiān)管當局推

薦有效管理合規(guī)風險的最佳做法。

加強合規(guī)風險管理是銀行業(yè)金融機構自身努力追求的目標。銀監(jiān)會根據(jù)《中

華人民共和國銀行業(yè)監(jiān)督管理法》和《中華人民共和國商業(yè)銀行法》，在廣泛吸

收和借鑒國內外銀行業(yè)金融機構合規(guī)風險管理的良好做法，以及國外銀行業(yè)監(jiān)管

機構相關規(guī)定的基礎上，制定了《指引》。

《指引》重點強調了三個方面：一是建設強有力的合規(guī)文化。合規(guī)管理是商

業(yè)銀行一項核心的風險管理活動，合規(guī)必須從高層做起，董事會和高級管理層應

確定合規(guī)基調，確立正確的合規(guī)理念，提高全體員工的誠信意識與合規(guī)意識，形

成良好的合規(guī)文化，這對于銀行業(yè)金融機構有效管理包括合規(guī)風險在內的各類風

險至關重要。二是建立有效的合規(guī)風險管理體系。董事會應監(jiān)督合規(guī)政策的有效

實施，以使合規(guī)缺陷得到及時有效的解決。高級管理層應貫徹執(zhí)行合規(guī)政策，建

立合規(guī)管理部門的組織結構，并配備充分和適當?shù)馁Y源，確保發(fā)現(xiàn)違規(guī)事件時及

時采取適當?shù)募m正措施。合規(guī)管理部門應在合規(guī)負責人的管理下，協(xié)助高級管理

層有效管理合規(guī)風險，制定并執(zhí)行風險為本的合規(guī)管理計劃，實施合規(guī)風險識別

和管理流程，開展員工的合規(guī)培訓與教育。三是建立有利于合規(guī)風險管理的三項

基本制度，即合規(guī)績效考核制度、合規(guī)問責制度和誠信舉報制度，加強對管理人

員的合規(guī)績效考核，懲罰合規(guī)管理失效的人員，追究違規(guī)責任人的相應責任，對

舉報有功者給予適當?shù)莫剟?，并對舉報者給予充分的保護。

《指引》共五章三十一條，基本涵蓋了商業(yè)銀行董事會及其下設委員會、監(jiān)

事會、高級管理層、合規(guī)負責人、合規(guī)管理部門的合規(guī)管理職貨以及合規(guī)風險識

別和管理流程的各個環(huán)節(jié)，對合規(guī)文化建設、合規(guī)風險管理體系建設以及合規(guī)績

效考核制度、合規(guī)問賁制度和誠信舉報制度等三項基本制度的建設作出了規(guī)定。

《指引》還規(guī)定了商業(yè)銀行合規(guī)政策、合規(guī)管理程序和合規(guī)指南等內部制度的報

備要求、合規(guī)風險管理計戈J和合規(guī)風險評估報告的報送要求以及重大違規(guī)事件的

報告要求，明確了監(jiān)管部門對商業(yè)銀行合規(guī)風險管理進行非現(xiàn)場監(jiān)管和現(xiàn)場檢查

的重點。

3.1.3.6Cobit、IS017799與63號文控制目標對應表

下表我們將Cobit4.0、ISO17799:2005與銀監(jiān)會發(fā)布的63號文中的相關

管理控制要求做一對比，以便于評估咨詢中參考使用。Cobit、ISO17799:2005

與63號文控制目標對應表如下：

Cobit4.0ISO17799:200563號文

域過程序制目標控制目標條文

P0P01定義戰(zhàn)P01.11T價值管理7.1資產(chǎn)責任第一條

略性的7.2信息分類

信息技P01.2商業(yè)-IT結盟6.1.1信息安全管理承諾第五條

術規(guī)劃P01.3現(xiàn)有性能評估第十五條

Cobit4.0ISO17799:200563號文

域過程控制目標控制目標條文

P01.4IT戰(zhàn)略計劃6.1.1信息安全管理承諾第五條

P01.5IT戰(zhàn)術計劃6.1.1信息安全管理承諾

P01.6IT投資組合管理

P02定義信P02.1企業(yè)信息結構模6.1.1信息安全管理承諾第六條

息體系型

結構P02.2企業(yè)數(shù)據(jù)字典和

數(shù)據(jù)語法規(guī)則

P02.3數(shù)據(jù)分類方案7.2信息分類

P02.4完整性管理10.5.1信息備份

P03決定技P03.1技術方向計劃

術方向P03.2技術基礎設施計5.1.2信息安全方針評審

劃

P03.3監(jiān)測未來的趨勢6.1.1信息安全管理承諾

和法規(guī)

P03.4技術標準

P03.5IT架構委員會6.1.1信息安全管理承諾

P04定義信P04.1IT流程框架

息技術P04.2IT戰(zhàn)略委員會6.1.1信息安全管理承諾第六條

相關的第七條（二）

過程，第八條

機構及第九條

其互相

的關系P04.31T指導委員會6.1.1信息安全管理承諾第六條

第七條（二）

第八條

第九條

P04.4IT職能的機構設6.1.1信息安全管理承諾第六條

置至6.1.5保密協(xié)議第七條（二）

第八條

第九條

第四十四條

P04.5IT組織的結構6.1.1信息安全管理承諾第六條

第七條（二）

第十條

P04.6角色和責任6.1.3信息安全職責分配第六條

8.1.1角色和職責第七條（二）

第八條

第九條

P04.7IT質量保證的責8.2.1管理職責第六條

任第七條（二）

Cobit4.0ISO17799:200563號文

域過程控制目標控制目標條文

P04.8風險，安全和依6.1.1信息安全管理承諾第六條

從的責任6.1.2信息安全協(xié)調第七條（二）

6.1.3信息安全職責分第八條

配

8.1.1出色和職責

15.1.4個人信息的數(shù)據(jù)

保護和隱私

P04.9數(shù)據(jù)和系統(tǒng)的擁6.L3信息安全職謊分配第六條

有者7.1.2資產(chǎn)所有者關系第七條（二）

8.3.3撤銷訪問權限

P04.10監(jiān)督6.1.2信息安全協(xié)調第七條（三）

6.1.3信息安全職責分

配

P04.11職責分離10.1.3職責分離第十七條

10.1.4開發(fā)、測試與運營第十條

設施的分離第十一條

P04.12IT人員配備第十條

第十一條

P04.13關鍵IT人員第十條

第十一條

第十二條

P04.14與員工簽約的政6.2.3在第三方協(xié)議中強

策和程序調安全

8.1.3雇傭條款和條件

P04.15關系6.1內部組織第七條（四）

P05管理信P05.1財務管理框架

息技術P05.2IT預算優(yōu)先

投資P05.3編制IT預算過程

P05.4成本管理5.1.2信息安全方針評審

P05.5收益管理5.1.2信息安全方針評審

P06溝通管P06.11T策略和控制環(huán)5.1信息安全方針

理的目境,6.1內部組織

標和方8.1

向8.2.2信息安全意識、教

育和培訓

8.2.3

13.1

P06.2企業(yè)IT風險和內5.1信息安全方針

部控制框架5.1.1信息安全策略文

檔，

P06.3IT策略管理5.1信息安全方針第十五條

6.1內部組織

Cobit4.0ISO17799:200563號文

域