金融行业安全服务方案

来源：华佗小知识

启明星辰金融事业部

安全服务解决方案

Ver 1.0

北京启明星辰信息技术股份有限公司

Venus Information technology

安全源自未雨绸缪，诚信贵在风雨同舟

安全服务解决方案 ................................................................................................... 错误!未定义书签。第1章概述 ......................................................................................................................................... 3 1.1 1.2

需求分析 ................................................................................................................................. 3 项目建设目标 ......................................................................................................................... 3

第2章方案内容 ................................................................................................................................. 4 2.1

安全管理咨询顾问服务.......................................................................................................... 4

进行信息安全管理体系咨询 ......................................................................................... 4 协助进行信息安全应急响应演练 ................................................................................. 4 提供定制化的信息安全培训 ......................................................................................... 5 提供互联网安全事件应急响应服务 ............................................................................. 5 国内外安全事件技术分析和趋势跟踪 ......................................................................... 6 风险评估 ......................................................................................................................... 6 提供安全改造咨询 ......................................................................................................... 6 提供加固技术支持 ......................................................................................................... 6 提供监控服务 ................................................................................................................. 6

2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 2.2.1 2.2.2 2.2.3 2.2.4

安全建设及安全监控外包服务 .............................................................................................. 6

第3章评估理论、方法及模型 ......................................................................................................... 7 3.1

相关标准与规范 ..................................................................................................................... 7

评估咨询项目的标准性原则 ......................................................................................... 7 方案中标准的体现对照 ................................................................................................. 7 相关标准规范介绍 ......................................................................................................... 9

COSO报告《内部控制整体框架》与ERM《企业风险管理一整体框架》 ....................... 9 COBIT《信息及相关技术的控制目标》 .............................................................................. 11 ITIL《IT基础架构库》 ......................................................................................................... 13 ISO27001《信息安全管理规范》 ......................................................................................... 15 银监会63号文《银行业金融机构信息系统风险管理指引》 ............................................ 17 Cobit、ISO17799与63号文控制目标对应表...................................................................... 18

3.1.1 3.1.2 3.1.3

3.1.3.1 3.1.3.2 3.1.3.3 3.1.3.4 3.1.3.5 3.1.3.6

3.2 安全风险评估策略 ............................................................................................................... 31

风险管理原则 ............................................................................................................... 31 建模策略 ....................................................................................................................... 32 信息安全管理 ............................................................................................................... 33 标准遵循 ....................................................................................................................... 33 安全风险过程模型 ....................................................................................................... 33 安全风险关系模型 ....................................................................................................... 35 安全风险计算模型 ....................................................................................................... 35 安全风险管理过程模型 ............................................................................................... 37

3.2.1 3.2.2 3.2.3 3.2.4 3.3 3.3.1 3.3.2 3.3.3 3.3.4

安全风险评估理论模型........................................................................................................ 33

北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

第4章风险评估 ............................................................................................................................... 39 4.1

资产管理评估 ....................................................................................................................... 39

资产分类调查 ............................................................................................................... 39 资产安全管理 ............................................................................................................... 40 安全隐患分析 ............................................................................................................... 41 网络架构威胁分析 ....................................................................................................... 42 大规模漏洞检测评估 ................................................................................................... 43 渗透性测试 ................................................................................................................... 43 控制台人工审计 ........................................................................................................... 44 网络性能与业务负载分析 ........................................................................................... 45 访问控制策略与措施分析 ........................................................................................... 46 网络设备策略与配置评估 ........................................................................................... 47 安全设备策略与配置评估 ........................................................................................... 47

4.1.1 4.1.2 4.2 4.2.1 4.2.2 4.3 4.3.1 4.3.2 4.3.3 4.4 4.4.1 4.4.2 4.4.3 4.4.4 4.5 4.6

威胁评估 ............................................................................................................................... 41

弱点与漏洞评估 ................................................................................................................... 43

网络架构评估 ....................................................................................................................... 45

安全控制评估 ....................................................................................................................... 48 安全管理评估 ....................................................................................................................... 49

安全管理体系评估 ....................................................................................................... 49 常规安全管理 ............................................................................................................... 50 应急安全管理 ............................................................................................................... 50 业务流程分析 ............................................................................................................... 51 应用服务与应用系统分析 ........................................................................................... 52 信息安全现状报告 ....................................................................................................... 53 信息安全风险评估报告 ............................................................................................... 53 信息安全策略建议 ....................................................................................................... 54 信息安全解决方案建议 ............................................................................................... 55 安全培训方案建议书 ................................................................................................... 55

4.6.1 4.6.2 4.6.3 4.7 4.7.1 4.7.2 4.8 4.8.1 4.8.2 4.8.3 4.8.4 4.8.5

业务与应用评估 ................................................................................................................... 51

典型安全评估咨询输出........................................................................................................ 53

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

第1章概述

1.1 需求分析

随着金融业务的高速发展，对信息系统的要求越来越高。在信息系统建设的同时，也非常注重信息安全的建设，为了进一步提高信息系统的安全性，依据长期发展战略，提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求，具体包括如下几个方面：

➢ 完善信息科技部门信息安全管理体系； ➢ 提高信息安全应急响应能力； ➢ 提高信息安全人员意识及技术能力； ➢ 提高银行自身合规性的能力；

➢ 加强对国内外安全事件技术分析和趋势跟踪；

➢ 清楚认识网上银行存在的风险，提高网上银行的安全性。

1.2 项目建设目标

通过项目建设，达到如下目标：

➢ 根据中国银行业监督管理委员会下发的相关信息科技风险管理指引，以

及国际流行的信息安全风险管理规范，结合信息科技发展的实际情况，进一步完善和细化信息科技风险管理制度和流程； ➢ 提高对信息安全的应急能力；

➢ 通过培训等手段提高信息科技部技术队伍人员的信息安全意识和技能水

平；

➢ 提高符合监管部门监管要求、法律法规的能力；

➢ 通过评估网上银行的现状，提出网银安全建设和整改方案，并监控来自

互联网针对网银的攻击行为。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

第2章方案内容

为了满足安全需求，达到预定目标，项目建设的内容如下：

2.1 安全管理咨询顾问服务

2.1.1 进行信息安全管理体系咨询

在已有信息安全管理制度、规范的基础上，进一步制定可落实、可执行的信息安全管理体系，涵盖策略、规范、流程等各个层面。

通过多年的积累，结合BS7799及COBIT最佳实践，形成了自己的一套管理制度体系，这套管理体系可以根据客户的实际情况进行裁剪。

在本项目中，我们将会对XXXXX现有制度进行梳理，结合公司的管理体系框架，形成一套适合XXXXX的管理制度体系及流程，具体如下步骤：

本活动由以下步骤组成：步骤1：分析已获信息

策略规划小组对已收集的各种文档信息进行分析，鉴别已有的信息安全策略，并进行相应的记录。

步骤2：设计框架结构

根据已获得的信息，策略规划小组设计信息安全策略框架。步骤3：沟通框架结构

针对已创建的信息安全策略框架，策略规划小组与相关人员进行沟通。步骤4：制定安全策略

在确定了信息安全策略的框架之后，策略规划小组为制定信息安全策略。步骤5：分析评估报告

策略规划小组分析已完成的评估报告，鉴别评估过程中发现的问题。步骤6：完善安全策略

根据评估报告中所发现的问题，策略规划小组完善信息安全策略。

2.1.2 协助进行信息安全应急响应演练

协助信息科技部门制定网络安全应急响应流程,并参与XXXXX组织的应急响应演练,评估应急响应演练效果并提供改进建议。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

在制定XXXXX信息科技部门制定网络安全应急响应流程中将结合现有信息系统情况，制定可实施的应急预案，将按照应急预案进行演练，并制定详细的恢复计划，保证最小化影响业务系统。

制定好应急预案后，将根据应急预案协助XXXXX进行应急响应演练,检验应急预赛的可行性，评估应急响应演练效果并提供改进建议。

在应急演练过程中，将检验如下的各个环节：

➢ 建立应急组织 ➢ 应急准备 ➢ 应急演练 ➢ 应急启动与处理 ➢ 应急恢复与重建 ➢ 应急结束 ➢ 应急总结

➢ 应急汇报与信息披露

2.1.3 提供定制化的信息安全培训

针对普通员工、科技干部、管理层提供不同类型的信息安全培训，包括管理培训和网络安全技术。

将根据XXXXX的实际情况，提供客户化的培训，具体计划如下：对管理人员进行管理培训，提供2人次的BS7799培训；对技术人员进行4人次的CISP培训；对普通员工进行现场的安全意识培训。

2.1.4 提供互联网安全事件应急响应服务

针对来自互联网的入侵、蠕虫爆发提供应急响应服务。

将分级别为XXXXX提供互联网安全事件的应急响应服务，具体计划如下：

分类说明响应方式北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

高级事件由攻击行为直接引起的相关事件，正在危害，或者即将危害到系统的业务连续性。非攻击行为造成，但是影响到目标系统业务持续性的事件。现场为主，远程中级事件由非攻击行为直接引起的其他事件，而且这种事远程为主（电话，邮件，件没有直接影响到当前业务的持续性。传真等），必要时进行现例如一般性安全咨询，产品升级，病毒库升级等等。场支持攻击或者非法事件并没有对系统造成伤害，但有入侵企图，可能会造成损害。远程为主（电话，邮件，传真等）低级事件

2.1.5 国内外安全事件技术分析和趋势跟踪

关注安全业内动态、与国、内外安全机构有密切的联系，密切跟踪安全事件及安全发展趋势，将为XXXXX以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务，使XXXXX防患于未然。

以月为周期提供趋势跟踪分析报告，在出现重大安全漏洞和事件时提供预警服务。

2.2 安全建设及安全监控外包服务

2.2.1 风险评估

针对XXXXX网银进行风险评估，提出网银的改进方案，并结合XXXXX业务提出网银的发展规划。 2.2.2 提供安全改造咨询

为XXXXX安全改造提供技术咨询。 2.2.3 提供加固技术支持

为XXXXX系统加固提供技术支持。 2.2.4 提供监控服务

提供7X24小时安全监控服务，在出现异常攻击行为时进行及时的应急响应处理。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

第3章评估理论、方法及模型

通过风险评估服务，可以提高客户关键业务系统的可用性和可靠性、降低信息安全管理成本，提高金融企业对行业监管、国家的合规性，同时也可为其他外部系统提供安全基准，进一步增强客户的竞争优势。在设计过程和方案的实施中，结合客户网络的特点，遵循和参照最新、最权威、最具有代表性的国家和国际信息安全标准与建议。

下面给出了相关标准和法规、在方案中的体现。

3.1 相关标准与规范

3.1.1 评估咨询项目的标准性原则

启明星辰提供的本次安全评估咨询服务，将依据《2006年度银行业金融机构信息科技风险评价审计要点》、《银行业金融机构信息系统风险管理指引》、《电子银行安全评估指引（征求意见稿）》、《商业银行内部控制评价试行办法》中的相关要求进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳优秀的风险评估理论。国际标准包括ISO17799:2005《信息技术－信息安全管理业务规范》、 GAO/AIMD-00-33、《信息安全风险评估》、ISO ISO/TR 13569《银行和相关金融服务一信息安全指南》、AS/NZS 4360: 1999 , ISO15408等；国家标准包括GB17859，GB18336等。同时我们将参考COSO/ERM《企业风险管理一整体框架》、Cobit 4.0、ITIL 3.0、Prince2等IT治理模型；这些标准和操作指南目前已经被金融行业风险评估项目和IT治理项目中进行了实践，并得到了用户的认可和好评。

除对标准的遵循外，启明星辰的风险评估过程还紧密结合金融行业的各种业务特征，依据XXXXX的业务特点，系统地制定了XXXXX信息安全风险评估方案。 3.1.2 方案中标准的体现对照

评估过程调查表和问题的设计参照标准《2006年度银行业金融机构信息科技风险评价审计要点》《银行业金融机构信息系统风险管理指引》 7

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

评估过程参照标准《电子银行安全评估指引（征求意见稿）》《商业银行内部控制评价试行办法》 ISO ISO/TR 13569《银行和相关金融服务-信息安全指南》 Cobit 4.0 加拿大《威胁和风险评估工作指南》美国国防部彩虹系列NCSC-TG-019 ISO17799/BS7799 资产评估 ISO17799/BS7799 加拿大《威胁和风险评估工作指南》风险分析方法风险分析模型风险计算模型 ISO13335 《AS/NZS 4360: 1999 风险管理标准》《AS/NZS 4360: 1999 风险管理标准》 GAO/AIMD-00-33《信息安全风险评估》安全管理评估《2006年度银行业金融机构信息科技风险评价审计要点》《银行业金融机构信息系统风险管理指引》《电子银行安全评估指引（征求意见稿）》《商业银行内部控制评价试行办法》 ISO ISO/TR 13569《银行和相关金融服务-信息安全指南》 Cobit 4.0 ISO17799/BS7799 ISO13335 物理安全评估《银行业金融机构信息系统风险管理指引》 ISO17799/BS7799 ISO ISO/TR 13569《银行和相关金融服务-信息安全指南》网络设备安全性 ISO15408（CC） GB17859 解决方案咨询《2006年度银行业金融机构信息科技风险评价审计要点》《银行业金融机构信息系统风险管理指引》北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

评估过程参照标准《电子银行安全评估指引（征求意见稿）》《商业银行内部控制评价试行办法》 ISO ISO/TR 13569《银行和相关金融服务-信息安全指南》 Cobit 4.0 ISO17799/BS7799

3.1.3 相关标准规范介绍

3.1.3.1 COSO报告《内部控制整体框架》与ERM《企业风险管理一整体框架》

美国全美反舞弊性财务报告委员会（又称COSO委员会）于1992年发布了《内部控制——整体框架》（以下称COSO报告）。COSO报告为企事业单位构建起一个三维立体的全面风险防范体系。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

COSO报告提出，COSO整体框架包括3大运营目标和5大控制要素。内部控制3大运营目标： 1、运营的效果和效率； 2、财务报告的可靠性；

3、遵守适用的法律和法规（合规性）

内部控制由5个要素：即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它于各项生产经营活动之外，是对其他内部控制的一种再控制。

2004年COSO又发布了ERM《企业风险管理一整体框架》，如下图所示：

说明：COSO通用内控框架与ERM虽是同一个机构所发布，但是ERM不是COSO总体内控框架的替代品。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

3.1.3.2 COBIT《信息及相关技术的控制目标》

1996年，作为一项IT安全与控制的实践标准，COBIT由信息系统审计与控制组织和IT管理协会共同开发。它为IT、安全、审计经理和用户提供了一套完整的参考框架。目前，COBIT已经发布了第四版，它正在成为控制数据、系统和相关风险的优秀实践法则，并逐渐被越来越多的用户所接受。它将帮助企业部署对系统和网络的有效管理。

COBIT框架具有以业务为关注焦点、以过程为导向、基于控制和测量驱动的特点。为实现业务目标，COBIT定义了七个但又有所重叠的信息准则:  有效性：应以及时、正确、一致和可用的方式来交付与业务过程有关的信息；  效率2：通过优化（生产率最高且经济合理）资源使用来交付信息；  保密性：保护敏感信息免受未授权泄漏；

 完整性：信息的正确和完整，并根据业务价值和期望进行验证；

 可用性：若业务过程现在或将来需要时，信息是可用的。可关注于保护所需

的资源及相关的能力；

 符合性：符合业务过程必须遵循的法律法规要求和合同约定，即外部的强制

性要求和内部策略；

 可靠性：为管理者提供适当的信息，以管理组织并检验其可信和治理职责。

COBIT将IT资源定义为：

 应用系统：用户处理信息的自动化用户系统及手册程序；

 信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形

式所使用；

 基础设施：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数

据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环境）；  人员：策划、组织、采购、实施、交付、支持、监视和评价信息系统和服务

所需的人员。

COBIT在四个域内采用过程模型的方式定义IT活动，四个域分别是：策划与组织、获取与实施、交付与支持、监视与评价。这些域映射到传统的IT职责域：计划、建设、运营和监视。即PDCA管理模型。管理指导方针的部件由衡量企业在34种IT流程中能力的工具所组成。这些工具包括了性能测量组件、为每种

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

IT流程提供最佳实践的关键成功因素清单，以及帮助进行基准测试的成熟度模型。Cobit的三维模型如下图所示：

Cobit整体架构如下图所示：

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

3.1.3.3 ITIL《IT基础架构库》

80年代中期，英国部门发现提供给其的IT服务质量不佳，于是要求当时的计算机和电信局（CCTA）（后来并入英国商务部（OGC）），启动一个

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

项目对此进行调查，并开发一套有效的和可进行财务计量的IT资源使用方法以供本国的部门和私有部门使用。同时，这种方法还应该是于厂商的并且可适用于不同规模、不同技术和业务需求的组织。这个项目的最终成果是一套公开出版的IT管理指南，这就是ITIL（Information Technology Infrastructure Library）。

到90年代中期，ITIL成为了事实上的欧洲IT服务管理标准。90年代后期，ITIL又被引入到美国、南非和澳大利亚等国家和地区。2001年英国标准协会（BSI）在国际IT服务管理论坛（itSMF）年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。2002年BS15000被提交给国际标准化组织（ISO），申请成为了IT服务管理国际标准ISO 20000。

ITIL是有关IT服务管理流程的最佳实践，事实上，经过近20多年的发展，以流程为主线，进行了全面的扩充，最终形成了如图1所示的框架。这个框架现在成为了事实上的IT服务管理知识框架体系。

上图显示了引入模块所处的整体环境和结构。它显示了每个模块同业务和技术的关系。从图中可见，业务视野模块是如何更紧密地同业务相联系而信息和通信技术（ICT）基础设施管理模块是如何更紧密地同技术本身相联系。服务提供和服务支持模块提供了过程框架和核心。

这七个模块组成了ITIL 的核心。下面将对其中各个模块的新的范围、内容及其关系进行介绍。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

 服务提供：覆盖了规划和提供高质量IT 服务所需的过程，并且着眼于改进

所提供的IT 服务的质量相关的长期过程。

 服务支持：服务支持描述了同所提供的IT 服务日常支持和维护活动相关的

过程。

 信息和通信技术基础设施管理（ICT IM)：信息和通信技术基础设施管理覆

盖了从标识业务需求到招投标过程、到信息和通信技术组件和IT 服务的测试、安装、部署以及后续运行和优化的信息和通信技术基础设施管理的所有方面。

 规划实施服务管理：检查组织机构内规划、实施和改进服务管理过程中所涉

及的问题和任务。它也考虑同解决文化和组织机构变更、开发远景和战略以及方案的最合适方法等相关的问题。

 应用管理：描述了如何管理应用从最初的业务需求直至和包括应用废弃的应

用生命周期的所有阶段。它将重点放在在应用的整个生命周期内确保IT 项目和战略同业务建立紧密的联系，以确保业务从其投资中获得最佳价值。  业务视野：提供了建议和指南，以帮助IT 人员理解他们如何才能为业务目

标作出贡献以及如何更好地联系和挖掘其角色和服务以最大化其贡献。  安全管理：详细描述了规划和管理用于信息和IT 服务的给定级别安全的过

程，包括同响应安全事故相关的所有方面。它也包括了风险和脆弱性的评估和管理，以及成本有效的对策的实施

ITIL的IT服务流程可供我们在做安全咨询及安全解决方案设计时作参考。

3.1.3.4 ISO27001《信息安全管理规范》

ISO 27001:2005由11 个大的控制方面、39 个控制目标、133 个控制措施构成。ISO/IEC 27001:2005要求组织应根据整体业务活动及其面临的风险通过制定信息安全方针、制定体系范围、明确管理职责，通过风险评估确定控制目标与控制措施等活动建立信息安全管理体系（ISMS）；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，如方针、适用性声明文件和实施安全控制所必须的程序文件。

通过建立、实施、运作、监视、评审、保持并改进文件化的信息安全管理体

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

系，使组织拥有持续改进的信息安全保障能力，为实现业务目标提供支撑。

ISO/IEC 27001:2005规定了建立、实施和文件化信息安全管理体系得要求。它规定了组织根据其需求实施安全控制的要求。体系规范的结构如下图所示：

图. ISO/IEC 27001:2005结构

信息安全管理体系作为一个管理标准，也遵循了PDCA（Plan-Do-Check-Action，策划-实施-检查-行动）的持续改进的管理模式，这也反映在整个标准的架构上，整个标准的重心在建立ISMS系统，如下图所示：

图. ISMS框架

规划（建立 ISMS）根据组织的整体策略和目标，建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序，以获得结果。执行（实施和运作实施和运作安全策略、控制、过程和程序。北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

ISMS）控制（监视和评审适用时，根据ISMS策略、目标和惯有经验评估行，并ISMS）向管理层报告结果，进行评审。改进（保持和改进根据内部ISMS 审计和管理评审或其他信息施，以实现ISMS） ISMS 的持续改进。 ISO/IEC 27001:2005采用PDCA“规划-执行-控制-改进”（PDCA）过程模式。该模型适用于建立ISMS的所有过程。ISMS框架图描述了ISMS如何输入相关方的信息安全要求和期望，经过必需的活动和过程，产生满足这些需求和期望的信息安全输出。

采用PDCA模型也反应了OECD指南（2002）《信息系统和网络的安全治理》中所陈述的准则。ISO/IEC 27001:2005为在风险评估、安全设计和实施、安全管理和再评估方面实施这些指南中的准则提供了强健模型。

3.1.3.5 银监会63号文《银行业金融机构信息系统风险管理指引》

随着银行业金融机构的经营活动日益综合化和国际化，业务和产品越来越复杂，合规失效的事件不断暴露，银行业金融机构经营活动的合规性面临严峻的挑战，原有合规管理框架的有效性受到质疑，合规风险管理的理念和方法需要与时俱进。近年来，全球银行业的合规风险管理技术得到了快速的发展，普遍实施风险为本的合规管理做法，并把合规管理作为银行业金融机构一项核心的风险管理活动。2005年4月29日,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》文件，提出了合规管理十项原则，向各国银行业金融机构及其监管当局推荐有效管理合规风险的最佳做法。

加强合规风险管理是银行业金融机构自身努力追求的目标。银监会根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，在广泛吸收和借鉴国内外银行业金融机构合规风险管理的良好做法，以及国外银行业监管机构相关规定的基础上，制定了《指引》。

《指引》重点强调了三个方面：一是建设强有力的合规文化。合规管理是商业银行一项核心的风险管理活动，合规必须从高层做起，董事会和高级管理层应确定合规基调，确立正确的合规理念，提高全体员工的诚信意识与合规意识，形

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

成良好的合规文化，这对于银行业金融机构有效管理包括合规风险在内的各类风险至关重要。二是建立有效的合规风险管理体系。董事会应监督合规的有效实施，以使合规缺陷得到及时有效的解决。高级管理层应贯彻执行合规，建立合规管理部门的组织结构，并配备充分和适当的资源，确保发现违规事件时及时采取适当的纠正措施。合规管理部门应在合规负责人的管理下，协助高级管理层有效管理合规风险，制定并执行风险为本的合规管理计划，实施合规风险识别和管理流程，开展员工的合规培训与教育。三是建立有利于合规风险管理的三项基本制度，即合规绩效考核制度、合规问责制度和诚信举报制度，加强对管理人员的合规绩效考核，惩罚合规管理失效的人员，追究违规责任人的相应责任，对举报有功者给予适当的奖励，并对举报者给予充分的保护。

《指引》共五章三十一条，基本涵盖了商业银行董事会及其下设委员会、监事会、高级管理层、合规负责人、合规管理部门的合规管理职责以及合规风险识别和管理流程的各个环节，对合规文化建设、合规风险管理体系建设以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出了规定。《指引》还规定了商业银行合规、合规管理程序和合规指南等内部制度的报备要求、合规风险管理计划和合规风险评估报告的报送要求以及重大违规事件的报告要求，明确了监管部门对商业银行合规风险管理进行非现场监管和现场检查的重点。

3.1.3.6 Cobit、ISO17799与63号文控制目标对应表

下表我们将Cobit 4.0、ISO 17799:2005与银监会发布的63号文中的相关管理控制要求做一对比，以便于评估咨询中参考使用。Cobit、ISO 17799:2005与63号文控制目标对应表如下：

Cobit 4.0 域 PO PO1 过程定义战PO1.1 略性的信息技PO1.2 术规划 PO1.3 控制目标 IT价值管理商业-IT结盟现有性能评估 ISO 17799:2005 控制目标 7.1资产责任 7.2信息分类 63号文条文第一条 6.1.1 信息安全管理承诺第五条第十五条北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 PO1.4 PO1.5 PO1.6 P02 定义信息体系结构 PO2.1 PO2.2 PO2.3 PO2.4 PO3 决定技PO3.1 术方向 PO3.2 PO3.3 PO3.4 PO3.5 PO4 定义信PO4.1 息技术PO4.2 相关的过程,机构及其互相的关系 PO4.3 控制目标 IT 战略计划 IT 战术计划企业信息结构模型企业数据字典和数据语法规则数据分类方案完整性管理技术方向计划技术基础设施计划监测未来的趋势和法规技术标准 IT架构委员会 IT 流程框架 IT战略委员会 ISO 17799:2005 控制目标 63号文条文 6.1.1 信息安全管理承诺第五条 6.1.1 信息安全管理承诺 6.1.1 信息安全管理承诺第六条 7.2信息分类 10.5.1信息备份 IT投资组合管理 5.1.2信息安全方针评审 6.1.1 信息安全管理承诺 6.1.1 信息安全管理承诺 6.1.1 信息安全管理承诺第六条第七条（二）第第九条 6.1.1 信息安全管理承诺第六条第七条（二）第第九条 6.1.1 信息安全管理承诺第六条至6.1.5保密协议第七条（二）第第九条第四十四条 6.1.1 信息安全管理承诺第六条第七条（二）第十条 6.1.3信息安全职责分配第六条 8.1.1角色和职责第七条（二）第第九条 8.2.1管理职责第六条第七条（二） 19

IT指导委员会 PO4.4 IT职能的机构设置 PO4.5 IT组织的结构 PO4.6 角色和责任 PO4.7 IT质量保证的责任北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 PO4.8 控制目标风险,安全和依从的责任 ISO 17799:2005 控制目标 63号文条文 6.1.1 信息安全管理承诺第六条 6.1.2信息安全协调第七条（二） 6.1.3信息安全职责分第配 8.1.1角色和职责 15.1.4个人信息的数据保护和隐私 6.1.3信息安全职责分配第六条 7.1.2资产所有者关系第七条（二） 8.3.3撤销访问权限 6.1.2信息安全协调 6.1.3信息安全职责分配 10.1.3职责分离 10.1.4开发、测试与运营设施的分离第七条（三） PO4.9 数据和系统的拥有者监督 PO4.10 PO4.11 职责分离第十七条第十条第十一条第十条第十一条第十条第十一条第十二条 PO4.12 PO4.13 IT人员配备关键IT人员 PO4.1４与员工签约的和程序 PO4.15 PO5 管理信息技术投资 PO5.1 PO5.2 PO5.3 PO5.4 PO5.5 PO6 沟通管理的目标和方向 PO6.1 关系财务管理框架 IT预算优先成本管理收益管理 IT策略和控制环境 6.2.3在第三方协议中强调安全 8.1.3雇佣条款和条件 6.1内部组织第七条（四）编制IT预算过程 5.1.2信息安全方针评审 5.1.2信息安全方针评审 5.1信息安全方针 ,6.1内部组织 8.1 8.2.2信息安全意识、教育和培训 8.2.3 13.1 5.1信息安全方针 5.1.1信息安全策略文档, 5.1信息安全方针 6.1内部组织 PO6.2 企业IT风险和内部控制框架 IT策略管理 PO6.3 第十五条北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 PO PO6.5 管理人PO7.1 力资源 PO7.2 PO7.3 控制目标策略的首次展出 IT目标和方向的交流 ISO 17799:2005 控制目标 63号文条文第七条（八）员工招聘和维持 8.1.2选拔 8.1.3雇佣条款和条件员工能力员工角色安排 6.1内部组织 8.1雇佣前 6.1内部组织 6.1.3信息安全职责分配 8.1雇佣前 8.1.1角色和职责 8.1.3雇佣条款和条件 13.1报告信息安全事故和弱点 6.2.3在第三方协议中强调安全 8.1.2选拔 8.1.2选拔 8.1.3雇佣条款和条件第七条（八）第四十四条 PO7.4 PO7.5 PO7.6 PO7.7 PO7.8 人员培训对个别人员的依赖人员清除程序员工工作绩效考评工作变化和终止 8.1.1角色和职责 8.1.3雇佣条款和条件 8.3.1终止职责 8.3.2归还资产 8.3.3撤销访问权限质量管理系统 IT标准和质量实践客户的关注点连续性的改进质量管理,监视和检查 IT和业务风险管理结盟事件鉴定确认符PO8.1 合外部PO8.2 的要求 PO8.3 PO8.4 PO8.5 PO8.6 ALC 第七条（五）第二十条发展和获取标准 PO9 评估风险 PO9.1 PO9.2 PO9.3 风险关系的建立 6.2.1识别与外部组织相关的风险 9.1安全区域 9.2.6设备的安全处置北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 PO9.4 控制目标风险评估 ISO 17799:2005 控制目标或重用 6.1.2信息安全协调 6.2.1识别与外部组织相关的风险 14.1.2业务连续性和风险评估 63号文条文第二十条第七条（九） PO9.5 PO9.6 管理项目 PO10.1 PO10.2 PO10.3 PO10.4 PO10.5 PO10.6 PO10.7 PO10.8 PO10.9 风险响应第二十条第三十三条第三十四条第三十四条第三十六条一个风险行动计划的维护和监视项目管理构架项目管理框架项目管理方法项目范围声明项目阶段开始项目资源项目风险管理利益相关者许诺整合的项目计划 PO10.10 项目质量计划 PO10.11 项目变化控制 PO10.12 项目计划的担保方法 PO10.13 项目性能检测,报告和监视 PO10.14 项目结束 AI AI1 识别自动化的解决方案 AI1.1 企业功能及技术需求的定义及维护风险分析报告作用的选择过程的可行性研究和公式化需求和可行性的决定和认同概要设计详细设计应用控制和可审计性 AI1.2 AI1.3 第三十五条 AI1.4 AI2 获得和AI2.1 维护应AI2.2 用软件 AI2.3 12.4系统文件安全第三十七条第二十二条第二十一条第二十五条第二十六条北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 AI2.4 控制目标应用安全和可用性 ISO 17799:2005 控制目标 11.6应用系统和信息访问控制 12.2.3消息完整性 9.2.4设备维护 10.4防范恶意和移动代码 10.5备份 10.8信息交换 10.9电子商务服务 12.4.1操作软件控制 10.3.2系统验收 12.4.1操作软件控制 12.5.3软件包的变更 14.1.5BCP的测试、保持和再评估 12.5.3软件包的变更 12.5.2操作系统变更后的应用系统技术评审 12.5.3软件包的变更 63号文条文第二十六条第二十五条第二十四条第二十三条 AI2.5 AI2.6 所需应用软件的配置与实施现有系统的重要升级第二十四条第二十条 AI2.7 AI2.8 AI2.9 AI2.10 AI3 获得和维护技术基础设施 AI3.1 AI3.2 AI3.3 AI3.4 应用软件改进软件质量保证应用需求管理应用软件维护技术基础设施采购计划基础设施资源保护和可用性基础设施维护第二十三条 12.5.1变更控制程序第二十七条 2.5.3软件包的变更 9.2.4设备维护 9.2.4设备维护 10.5备份第十六条第三十第二十第二十七条 ADO 可行性测试环境 AI4 发展和维护流程 AI4.1 AI4.2 对可操作性解决方案的设计面向企业管理层的知识转移 8.2.2信息安全意识、教育和培训 10.3.2系统验收 10.4.1防范恶意代码 12.4.1操作软件控制北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 AI4.3 控制目标面向终端用户的知识转移 ISO 17799:2005 控制目标 8.2.2信息安全意识、教育和培训 10.3.2系统验收 10.4.1防范恶意代码 12.4.1操作软件控制 8.2.2信息安全意识、教育和培训 10.3.2系统验收 10.4.1防范恶意代码 12.4.1操作软件控制 6.2.1识别与外部组织相关的风险 6.2.3在第三方协议中强调安全 12.1.1安全要求分析和规范 12.5.5软件委外开发 14.1.5BCP的测试、保持和再评估 15.1与法律法规要求的符合性 12.1信息系统的安全要求 63号文条文 ADO AI4.4 面向操作人员和技术支持人员的知识转移 ADO AI5 安装和授权系统 AI5.1 AI5.2 获取控制供应合同管理 ATE 第五十九条 AI5.3 AI5.4 AI5.5 AI5.6 供应商的选择软件的获取可开发资源的获取基础设施、设备以及相关服务的获取变更的标准和规程第五十三条 ADO AI6 管理变更 AI6.1 6.1.4信息处理设施的授权问题 6.2.3在第三方协议中强调安全 10.1.2变更管理 12.5开发和支持过程安全 12.5.1变更控制程序 12.5.3软件包的变更 13.1.2报告安全弱点第三十九条北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 AI6.2 AI6.3 控制目标影响的评定、优先化与授权紧急变更 ISO 17799:2005 控制目标 63号文条文第三十九条 6.2.3在第三方协议中强调安全 9.2.2支持性设施 14.1.4业务连续性计划框架 AI6.4 AI6.5 AI7 安装和AI7.1 获取解决方案及变更 AI7.2 变更情况的跟踪报道培训第三十九条第三十九条变更结束与归档 8.2.2信息安全意识、教育和培训 10.3.2系统验收 10.4.1防范恶意代码 12.4.1操作软件控制 10.1操作程序和职责 12.4系统文件安全 14.1.5BCP的测试、保持和再评估 10.1.4开发、测试与运营设施的分离测试计划第四十条 AI7.3 AI7.4 AI7.5 AI7.6 实施计划测试环境第四十条第二十第二十系统与数据转换测试变更 12.1.1安全要求分析和第四十条规范 12.5.1变更控制程序 2.5.3软件包的变更 10.3.2系统验收 ATE 12.1.1安全要求分析和规范 15.2.2技术符合性检查 10.3.2系统验收 ATE 第二十条 ADO 第四十一条第四十二条第二十九条第三十一条第五十二条 AI7.7 最终验收测试 AI7.8 AI7.9 AI7.10 AI7.11 AI7.12 DS DS1 定义和DS1.1 管理服务水平 DS1.2 DS1.3 北京启明星辰信息技术股份有限公司 www.venustech.com.cn

产品推出软件发布系统布署变更的记录与追踪实施后评审服务水平管理框架的建立定义服务确定相关的服务25

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程控制目标水平协议 DS1.4 DS1.5 DS1.6 DS2 管理第三方的服务 DS2.1 DS2.2 执行服务水平协议 ISO 17799:2005 控制目标 63号文条文第五十二条第五十二条第五十二条第五十三条第五十四条监控并汇报服务水平管理的成果回顾并更新服务水平管理协议识别所有的供应商关系 6.2 供应商关系管理 6.2外部组织 DS2.3 DS2.4 DS3 管理IT系统的性能和容量 DS3.1 DS3.2 DS3.3 DS3.4 DS3.5 供应商风险管理 6.2外部组织供应商绩效考核 6.2外部组织 IT系统性能和容量规划评估现有IT系统的容量和性能预测未来的容量和性能 IT资源的可用性；持续监控及报告对应的IT系统性能和容量。建立IT持续性运营框架 10.3.1容量管理 10.3.1容量管理 10.3.1容量管理 10.6.1网络控制 10.3.1容量管理 10.5.1信息备份 14.1.1在业务连续性管理过程中包含信息安全 14.1.2业务连续性和风险评估 14.1业务连续性管理的信息安全方面 14.1.5BCP的测试、保持和再评估 14.1.5BCP的测试、保持和再评估 14.1.4业务连续性计划框架 14.1.3开发并实施包括信息安全的连续性计划第五十六条第五十七条第五十第二十三条第二十三条第二十三条第二十三条第二十三条 DS4 保证服务的持续性 DS4.1 第七条（四） DS4.2 DS4.3 DS4.4 DS4.5 DS4.6 DS4.7 建立IT持续性运营规划维护IT持续性运营计划测试和演练IT持续性运营计划 IT持续性运营计划的培训 IT持续性运营计划的分发第二十九条关注重要IT资源北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 DS4.8 控制目标定义IT服务灾难恢复阶段的操作指南异地灾备系统 ISO 17799:2005 控制目标 10.5备份 63号文条文第二十九条 DS4.9 9.2设备安全 10.5备份 14.1.3开发并实施包括信息安全的连续性计划 10.5备份 7.1资产责任 9.1安全区域 9.1.5在安全区域工作 10.1.1文件化的操作程序 10.7.1移动介质的管理 11.1.1访问控制策略 11.4.1网络服务使用策略 11.6.1信息访问 12.3.1使用加密控制的策略 5.1信息安全方针 DS4.10 DS5 保证系统的安全性 DS5.1 IT服务恢复后的检查 IT系统安全的管理（在公司层面进行IT系统安全管理，从而保证安全管理的活动与企业业务要求保持一致） FMT DS5.2 DS5.3 IT系统安全的规划用户标识的管理 11.1访问控制的业务要求 11.2用户访问管理 DS5.4 用户帐号及相关6.1.3信息安全职责分配第四十四条系统权限的管理 6.1.4信息处理设施的授第五十五条权问题 6.2.1识别与外部组织相关的风险 8.1.2选拔 9.1.2物理进入控制 10.7.3信息处置程序 11.1.1访问控制策略 11.2.1用户注册 11.2.2管理 11.6.1信息访问 12.4.2系统测试数据的保护北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 DS5.5 控制目标 ISO 17799:2005 控制目标 IT系统的安全测10.1.4开发、测试与运营试，审计及监控设施的分离 10.3.2系统验收 12.1.1安全要求分析和规范 12.4.2系统测试数据的保护 12.5.2操作系统变更后的应用系统技术评审安全事件的定义 13.1.1报告信息安全事件安全技术的保护 6.1.5保密协议 8.1.3雇佣条款和条件 10.1.1文件化的操作程序 11.2.3用户口令管理 15.1.6密码控制的法律法规加密密钥的管理 10.9.1电子商务 12.3.2密钥管理 15.1.3组织记录的保护恶意软件的防10.4.1防范恶意代码范、检测及纠正网络安全 10.6网络安全管理敏感数据交换、10.8信息交换传输的安全保护识别所有的IT成本或开销，并对应到IT服务 63号文条文 ATE DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11 定义并分配成本 DS6.1 DS6.2 IT开销的审计（包括对IT预算和实际开销差距的分析和报告）费用模型及付款费用模型的维护识别用户教育和培训的需求 DS6.3 DS6.4 DS7 使用者的有效培训 DS7.1 5.1.1信息安全策略文档 8.2.2信息安全意识、教育和培训 11.3用户责任 8.2.2信息安全意识、教育和培训 10.3.2系统验收 DS7.2 教育和培训的实施北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域 DS8 过程 DS7.3 管理服务台及事件 DS8.1 DS8.2 DS8.3 控制目标评估培训效果服务台 ISO 17799:2005 控制目标 63号文条文第五十条 ,10.6.1网络控制访问控制登记用户的询问 10.6.1网络控制访问控制事件升级 8.1.1角色和职责 13.1.1报告信息安全事件 13.2信息安全事故管理和改进 7.1.1资产清单 10.1.2变更管理 10.1.2变更管理 DS8.4 DS8.5 DS9 配置管理 DS9.1 DS9.2 DS9.3 DS10 问题管理 DS10.1 DS10.2 事件关闭趋势分析配置信息的存储和基线配置项的标识和维护配置的完整性审查问题的确定和分类问题的跟踪和解决第五十条第四十七条 DS10.3 终止问题 DS10.4 对变更,配置和10.1.2变更管理问题管理的整合 DS11 管理数DS11.1 据资产 DS11.2 DS11.3 DS11.4 业务对数据管理的需求存储和保持的安排处理媒体库管理系统 6.1.4信息处理设施的授权问题 7.2.2 9.2.1设备选址与保护 9.2.7 10.7 10.7.3信息处置程序 11.7.1 10.5备份 DS11.5 备份与恢复北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 DS11.6 控制目标数据管理的安全需求 ISO 17799:2005 控制目标 63号文条文 5.1.1信息安全策略文档 8.1.3雇佣条款和条件 9.1.2物理进入控制 9.2.4设备维护 9.2.6设备的安全处置或重用 10.7.2介质的销毁 10.7.4系统文档安全 9.1.1物理安全边界 9.2.1设备选址与保护 9.1安全区域 9.1.2物理进入控制 9.1安全区域 9.2设备安全 9.2设备安全 10.1操作程序和职责第四十五条第四十六条第四十五条第四十六条第四十九条 DS12 设备管理 DS12.１地点的选择与规划 DS12.2 DS12.3 DS12.4 DS12.5 物理安全措施物理访问环境因素防护物理设施管理工作计划基础体系管理敏感文档和输出设备对硬件的预防性维护监督办法收集确定监测数据监测方法绩效考评执行委员会和主管报告补救 DS13 操作管理 DS13.1 DS13.2 DS13.3 DS13.4 DS13.5 操作流程和说明 10.1操作程序和职责 10.7.4系统文档安全第四十六条 10.1操作程序和职责 13.2.3收集证据 14.1.3开发并实施包括信息安全的连续性计划 13.1.1报告信息安全事件第四十六条第六十条第六十一条第六十二条第七十条第七十一条第七十条第六十四条第六十六条第六十九条第六十七条 ME ME1 监测和评估IT绩效 ME1.1 ME1.2 ME1.3 ME1.4 ME1.5 ME1.6 ME2 监测和ME2 .1 监督和评估内评估内部控制框架部控制 ME2.2 监督审查 ME2.3 ME2.4 ME2.5 例外控制控制自我评估内部控制的保证北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

Cobit 4.0 域过程 ME2.6 控制目标第三方的内部控制 ISO 17799:2005 控制目标 6.2.1识别与外部组织相关的风险 6.2.3在第三方协议中强调安全, 14.1.3开发并实施包括信息安全的连续性计划 15.1.1信息安全策略文档 15.1与法律法规要求的符合性 15.2与安全策略和标准的符合性，以及技术符合性 15.1与法律法规要求的符合性 15.2与安全策略和标准的符合性，以及技术符合性 7.1资产责任 7.2信息分类 8.2雇佣中 6.2外部组织 63号文条文第五十五条 ME3 保证法律法规的符合性 ME2.7 ME3.1 补救法律和规则的确认带给资讯潜在的影响对管理的需求回应的最佳化评估符合监管要求第七十条第十九条第十三条第十三条第七条（七） ME3.2 ME3.3 ME3.4 积极履行保证第七条第十三条 ME3.5 ME4 执行ＩME4.1 Ｔ治理 ME4.2 ME4.3 ME4.4 ME4.5 ME4.4 ME4.7 综合报告战略调整提供价值资源管理风险管理考绩保证第七条（六）第七十条第四十建立IT管理架构 5.1.1信息安全策略文档 5.1.1信息安全策略文档第六十

3.2 安全风险评估策略

3.2.1 风险管理原则

为了有效地控制信息安全风险，需要确立风险管理的原则如下： 1. 评估风险，决定需求； 2. 建立风险管理中心；

北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

3. 实施相应的策略和相关的控制； 4. 提高客户关注程度；

5. 监控和评估策略以及控制效力。

一个成功的组织应该应用这些原则，将自己融入一个关注风险的持续的循环处理中。信息保障程序的成功取决于信息系统受风险的影响程度以及这些风险对交易操作的影响。在评估交易操作的风险之后，组织机构还应该： 1. 制订策略，选择控制； 2. 增加对策略和控制的关注程度； 3. 监控策略和控制的效力；

4. 根据结果来决定是否应该对策略和控制进行修改。

所有组织说风险认识和相关的代价利益的折衷是他们信息保障相关程序的主要关注点。信息保障不是终点，但是整合到交易处理过程中，例如，设立为支持交易操作而设计的策略和控制。 3.2.2 建模策略

ISO/IEC13335中指出了四种风险评估方法：基线方法、非正式方法、详细的风险评估方法、复合的方法。

 基线方法主要是使用一套标准的安全措施集合作用于信息系统，从而获得最

基本的保护级别；

 非正式方法挖掘安全专家的知识和经验，推导出一套实际可操作的风险分析

方法；

 详细的风险评估方法主要是详细描述系统中资产的类型和价值，评估与资产

相关的威胁和风险；

 复合方法综合了基线方法（运用于一般的信息系统）和详细方法（运用于重

要的信息系统）。

《AS/NZS 4360: 2001 风险管理标准》中又提出了FMECA (Failure Mode, Effects and Criticality Analysis)方法，利用这种方法可以用可能性和结果的乘积建立风险级别矩阵。

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

我们拟综合ISO/IEC13335和AS/NZS 4360的几种方法，依据《银行业金融机构信息系统风险管理指引》的要求，根据提出的评估原则，建立本项安全工程的风险模型：风险评估过程模型、风险管理模型、关系模型与计算模型。 3.2.3 信息安全管理

安全风险评估必须严格按照统一、高效的规范来操作，这就要求建立一个以评估结果为内容，提供符合多种标准的报表、报告，并可以灵活定制输入/输出格式的安全信息数据库，将我们的审计、检测以及手工采集的数据导入其中。这样，既可以为评估工作快速地提供素材，实现高效率，按照客户定义的接口快速、完整地提供原始数据。

安全风险评估中所需处理的信息数据量大而且来源广，实施过程中很大一部分工作繁琐而且机械。因此，需要对其中的数据进行自动处理与分析，以减轻人工分析的负担，改善分析的速度与质量。 3.2.4 标准遵循

在风险评估的过程中，参照广为业界所接受的现行标准和规范，内容涉及风险评估的各个方面和各个层次。结合我国的国情和金融行业特征，对这些规范作必要的取舍和扩充。同时，在工程实施过程中需保持整体协调一致。

3.3 安全风险评估理论模型

3.3.1 安全风险过程模型

本文中提供的安全风险模型主要依据ASNZS 4360:2001标准、国际风险评估标准ISO 17799，ISO/IEC 13335，建立安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成安全风险模型。分别从风险管理的流程，所依赖的国际标准，描述风险评估、风险管理的标准规范流程；从安全风险的所有要素：资产、影响、威胁、漏洞、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响；在安全风险计算模型中详细具体地提供了风险计算的方法，通过两个因素：威胁级别、威胁发生的概率，通过风险评估矩阵得

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

出安全风险。

建立评估环境人员、设备、场地、资料等评估风险资产评估 BS7799标准资产分类表及分类标准威胁及脆弱性分析 ASNZS 4360:1999；BS7799；ISO/IEC 13335等标准调查、技术性检测威胁分析脆弱性分析沟通与咨询风险评估二元或三元风险计算方法风险列表监控与审核安全风险报告 ASNZS 4360:1999；BS7799；ISO/IEC 13335等标准定性与定量相结合的方法安全信息库风险评估报告有效安全需求整体安全策略整体安全解决方案风险控制安全控制安全影响残留风险定义安全实施、培训图1. 安全风险评估理论模型

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

3.3.2 安全风险关系模型

安全风险可以理解为一种状态向另一种状态迁移的过程。下图给出了一个安全风险状态的转换过程。

图2. 安全风险过程模型（摘自GA/T 391-2002）

3.3.3 安全风险计算模型

相关国际标准： ASNZS 4360：1999;BS7799/ISO 17799; ISO/IEC 13335等资产级别脆弱性级别威胁级别标准风险评估矩阵输入输出 1 风险列表方法定量分析计算模型要素及相互关系说明  输入：

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

 资产级别：是指资产的相对级别，在进行资产评估时进行范围定义。  脆弱性级别：系统中的各种脆弱性级别，包括技术性和非技术性脆弱性。  威胁级别：根据威胁的可能性以及威胁的后果计算出的等级。方法简要描述：

 定量分析方法：用于建立风险级别矩阵，计算出风险等级。

 历史分析方法：威胁的可能性通过该方法计算得出。通过检测过去发生

过的事件发生的频率来决定该事件再次发生的概率。在网络风险评估中采用该方法主要通过统计分析CERT库来得出世界上各种典型攻击事件发生的概率。

 风险计算矩阵与输出：

风险计算矩阵是按照相关国际标准(ASNZS 4360：2001;BS7799/ISO 17799; ISO/IEC 13335等)，采用国际上典型的风险计算方法对网络所面临的风险级别矩阵进行计算得到所面临的各种安全风险，计算出信息系统的安全风险。  方法一

表1. 风险计算矩阵

 方法二： P=V*(1-Po)(1-Pd)

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

其中：V 价值；Po 防止发生的可能性；Pd系统性能降低程度

3.3.4 安全风险管理过程模型

安全风险分析

针对XXXXX的信息系统特点，本次的信息安全风险评估信息安全审计和本地检测相结合为主的方式进行。按照相关国际标准（ASNZS 4360：2001；BS7799/ISO 17799; ISO/IEC 13335等）采用定性与定量相结合的方法，通过对信息安全管理体系、技术体系进行相关检测和审计进行评估；对本地采用抽样代表性节点的方式，通过各种评估工具和方法进行评估，获知风险。评估对象涵盖：  物理环境；  网络结构；  网络服务；  主机系统；  数据；  应用系统；  安全系统；  安全相关人员；  处理流程；  安全管理制度；

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

 安全策略；  安全组织；等。

安全风险报告

提交信息安全风险报告，获知安全风险状况及改进方向是本次对安全评估的主要目标。通过上述描述的重要过程，主要向提交信息安全风险评估报告、信息安全现状报告等，主要目的是提供风险列表，归类风险等级，以供决策层决策风险处置，形成风险处置计划，建立信息安全风险管理体系。风险控制

根据信息安全风险报告，结合XXXXX的业务特点，针对面对的安全风险，分析将面对的安全影响，提供相应的安全控制。风险控制包括降低、控制、转移风险，以及不加控制的残余风险。通过风险控制最终使系统风险转变为可以接受的残余风险。在降低风险的需求和风险控制的代价之间取得平衡。监控审核

在整个风险评估过程中，每一个步骤都需要进行监控和审核程序，保证整个评估过程的规范、安全、可信。监控和审核任务将由信息安全风险评估项目小组执行。

沟通、咨询与文档管理

对于整个风险评估过程的沟通、咨询是保证本次风险评估项目成功实施很关键的因素。在整个风险管理、评估过程中，针对每一个步骤应该交流风险管理经验，同时形成相关文档，保留资料。在项目进展过程中，风险评估的方法和结果可能发生变化，所以，详细而完整的文档和材料非常重要。安全需求分析

根据信息安全风险评估报告，确定有效安全需求。获知需要立即解决的安全问题，获知面临的巨大安全威胁，获知将有可能面临的巨大经济损失，和潜在的重要安全影响等。同时在考虑信息系统安全建设投资的合理性、针对性、适当性、有效性。对信息系统进行安全评估之后，能够明确所需要进行修补加固及改进工作对于XXXXX信息安全的意义。安全策略

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

本部分属于信息安全风险管理的内容，是在完成信息安全风险评估之后，根据信息系统有效安全需求，结合信息系统安全现状，制定相应的安全策略。包括人员组织策略、安全管理策略、访问控制策略、网络管理策略、数据安全策略、应急响应策略等，动态的、整体的考虑的安全策略。安全解决方案

在未来制定信息系统整体动态的安全策略之后，构建信息系统安全体系结构，结合业务需求，依据策略制定信息系统完整动态的安全解决方案。包括物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略、安全组织等。并且注重高可用性、动态性、整体性

第4章风险评估

依据业界权威的安全风险评估标准与模型，按照银监会的合规性管理要求，结合启明星辰多年的安全风险评估经验与实践，从资产、威胁、弱点以及安全管理、业务应用等多方面对XXXXX进行全面风险评估，以了解XXXXX目前的信息科技风险状况。

在安全评估项目中，资产管理评估、威胁评估、弱点评估、网络架构评估同313规定中“信息安全管理”相对应，不仅从“符合性”方面评估同313规定的差距，还从风险管理的角度评估目前系统与网络的风险状况，使客户能深刻、清楚了解目前网络的实际运行风险状况。“安全控制评估”同313中“信息科技项目开发和变更管理”以及“信息系统运行和操作管理”相对应；“业务与应用评估”同313中“信息科技治理和组织结构”以及“业务持续性规划”相对应。整个评估项目及评估要点涵盖了313规定的审核项，同时评估的内容和深度扩展或超过了313中相关规定和要求。

4.1 资产管理评估

4.1.1 资产分类调查项目名称资产分类调查北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

简要描述采集资产信息，进行资产分类，划分资产重要级别；达成目标采集资产信息，进行资产分类，划分资产重要级别；进一步明确评估的范围和重点；采集资产信息，获取资产清单；主要内容进行资产分类划分；确定资产的重要级别；调查填表式调查《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、实现方式信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作结果资产类别、资产重要级别；所需时间参加人员

4.1.2 资产安全管理

项目名称资产管理简要描述评估资产的安全等级和应给予的安全保护等级达成目标评估资产的安全等级；评估资产应给予的安全保护等级；确定资产的安全等级；主要内容对安全保障进行等级分类；确定资产的应给予的保护级别；实现方式调查依据现场状况，启明星辰全体评估人员在相关技术和管理人员的配合下进行资产分类调查北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

填表式调查：《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作结果资产安全级别；资产应给予的安全保障级别；所需时间参加人员

依据现场状况，启明星辰全体评估人员在相关技术和管理人员的配合下进行资产分类调查 4.2 威胁评估

4.2.1 安全隐患分析

项目名称 IDS安全隐患分析简要描述 IDS作为一个实时入侵检测工具，是安全威胁信息收集过程中的一种重要手段，其数据是骨干网的整体安全的重要的参考依据之一。达成目标检测系统的安全配置情况，发掘配置隐患入侵检测系统在关键点部署主要内容入侵检测系统试运行入侵检测系统报告汇总及分析入侵检测系统在关键点部署实现方式入侵检测系统试运行入侵检测系统报告汇总及分析工作结果信息安全风险评估项目IDS分析报告所需时间参加人员启明星辰评估小组，客户网络管理人员、系统管理人员、数据库管理北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

人员此外，采用历史安全事件记录分析等方式，发现其他一些重大安全威胁。 4.2.2 网络架构威胁分析

项目名称网络拓扑威胁分析简要描述分析整体的网络拓扑结构安全隐患，分析网络内部网面临的外部和内部威胁达成目标准确把握网络拓扑上的安全隐患，重点是网络边界面临的安全隐患设备确定，基本的策略状况外联链路或接口确定路由确定（ACL、VLAN）备份方式确认主要内容拨号接入确认业务和网络的关系（制度、规范）网络等级确认（制度、规范） F/W位置和策略确认安全域划分安全边界防护问询实现方式检查（采用渗透测试方式）资料收集相关集成商交流工作结果形成的内部网络拓扑结构图，并针对拓扑图说明威胁状况所需时间参加人员客户网络管理员、业务维护人员，启明星辰评估小组

北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

4.3 弱点与漏洞评估

4.3.1 大规模漏洞检测评估

项目名称大规模漏洞扫描评估简要描述利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况达成目标发掘网络内部网络的安全漏洞，提出漏洞修补建议主要内容以天镜为主，采用多种漏洞扫描工具实施大规模的漏洞扫描实现方式以天镜为主，采用多种漏洞扫描工具实施大规模的漏洞扫描工作结果网络内部网网络漏洞列表，扫描评估结果报告，所需时间参加人员

4.3.2 渗透性测试

信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。项目名称渗透性测试渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目简要描述标系统的安全作深入的探测，发现系统最脆弱的环节，能够直观的让管理人员知道自己网络所面临的问题。达成目标发现系统最脆弱的环节主机操作系统渗透主要内容数据库系统渗透应用系统渗透网络设备渗透实现方式信息收集分析（扫描扫描，网管软件）启明星辰评估小组，客户网络管理人员、系统管理人员、数据库管理人员北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

口令猜测脚本测试取得权限、提升权限远程溢出、本地溢出工作条件 4-6人工作环境，2台WindowsPC，电源和网络环境，客户人员和资料配合工作结果渗透测试记录参加人员

4.3.3 控制台人工审计

虽然工具自动评估能降低安全评估的工作量，但其自身的缺陷也是非常明显的：

 大多数的自动评估工具只能针对特定操作系统，同时也了其评估对象目

标只能是操作系统。目前绝大多数的自动评估工具只能适用于Solaris、Linux等Unix操作系统和Windows NT/2000操作系统。对于网络设备和其它网络操作系统就为力了。

 由于运行在主机系统上的网络服务和应用服务非常广泛和灵活，自动评估工

具往往只能以本地操作系统（主机层）为主要评估目标，对位于数据层和用户层的安全对象目标只能进行极为有限的安全评估，显然这无法满足本地安全评估的完整性和整体性要求。

 网络安全技术日新月异，一日千里，安全漏洞、攻击手段、防护技术也是层

出不穷，但与此同时自动安全评估软件由于开发、成本和费用等问题，常常无法利用最新的安全评估技术，无法根据最新的安全漏洞评估本地系统，也无法给出最及时和合理的安全建议。

 无法对安全策略，安全管理方面的内容进行评估，而这又正是本地安全评估

中很重要的一环。

因此，人工评估对本地安全评估而言是必不可少的。人工安全评估对实施人员的安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

启明星辰评估小组，客户网络管理人员、系统管理人员、数据库管理人员 44

安全源自未雨绸缪，诚信贵在风雨同舟

洞、掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地安全评估中位于物理层、网络层、主机层、数据层和用户层的所有安全对象目标进行最有效和最完整的安全评估，并提供最合理和最及时的安全建议。

对于各种不同的操作系统和数据库平台，启明星辰公司结合多年的安全评估和服务经验，建立了详细有效的本地控制台审计CheckList，可以保证对XXXXX的本地控制台审计能够有效有序地进行。项目名称控制台审计简要描述作为大规模漏洞扫描的辅助手段，登陆系统控制台检查系统的安全配置情况。检测系统的安全配置情况，发掘配置隐患。验证安全管理规范要求执行情况（例如口令管理、补丁管理等等）。操作系统控制台审计数据库系统控制台审计操作系统控制台审计数据库系统控制台审计 4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合达成目标主要内容实现方式工作条件工作结果 XXXXX网络内部网抽样控制台审计报告参加人员

启明星辰评估小组，客户网络管理人员、系统管理人员、数据库管理人员 4.4 网络架构评估

4.4.1 网络性能与业务负载分析

项目名称网络性能与业务负载分析简要描述分析测量网络内部网络的网络性能状况；北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

分析测量网络内部网络的业务负载状况；达成目标分析测量网络内部网络的网络性能状况是否能够满足业务负载状况的要求网络性能分析测量网络性能瓶颈分析主要内容业务数据流量方向业务峰值流量测量业务峰值时段测量实现方式调查交流工具检测工作结果网络内部网网络性能及业务负载的匹配状况所需时间参加人员启明星辰评估小组，客户网络管理人员

4.4.2 访问控制策略与措施分析

项目名称访问控制策略与措施评估简要描述评估网络内部网的访问控制策略与措施的安全状况达成目标评估网络内部网的访问控制策略与措施的安全状况，协助网络进行访问控制策略和措施的优化改进网络设备的访问控制策略主要内容防火墙的访问控制策略操作系统访问控制策略其它访问控制策略，如认证等调查交流实现方式控制台安全审计工具测试工作结果针对网络内部网络的访问控制策略和措施现状，提出改进优化建议北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

所需时间参加人员客户网络管理员、业务维护人员，启明星辰评估小组

4.4.3 网络设备策略与配置评估

项目名称网络设备策略与配置评估简要描述评估客户现有网络设备的配置和使用状况，考察网络设备的有效性、安全性达成目标协助网络改进网络设备的安全配置，优化其服务性能网络设备策略配置主要内容网络设备的安全漏洞扫描检测 VLAN划分设备与链路冗余状况调查交流实现方式控制台安全设计工具漏洞扫描工作结果针对网络内部网络设备的策略配置状况，提出优化建议所需时间参加人员客户网络管理员、业务维护人员，启明星辰评估小组

4.4.4 安全设备策略与配置评估

项目名称安全设备评估简要描述评估客户现有安全设备的配置和使用状况，考察安全设备的有效性达成目标协助客户优化安全设备的效用，生成新的安全技术和设备的配置需求主要内容种类（AV、IDS、FW、加密、认证、scanner、网站完整性保护等）数量 47

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

位置策略、管理配置效用实现方式调查实地察看工作结果协助客户优化安全设备的效用，生成新的安全技术和设备的配置需求所需时间参加人员启明星辰评估小组，客户技术人员

4.5 安全控制评估

项目名称安全控制评估简要描述评估现有安全控制措施的完善程度、合理程度；依据风险管理、IATF等的相关国内国际标准；达成目标贴近网络内部网的实际业务与应用状况；结合客户的实际需求，协助客户改进安全管理措施网络安全域划分状况；边界保护的访问控制措施；被动检测类设备部署情况；主要内容主动检测类设备部署情况；病毒管理系统部署情况；终端管理系统部署情况；文件安全系统部署情况；审计类系统部署情况等等。实现方式网络拓扑分析；调查分析；北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

问询式调查；广泛交流；工作结果依据ISO17799的信息安全管理标准、ISO13569、IATF，结合客户的实际需求，协助客户改进安全技术控制措施。所需时间参加人员启明星辰评估人员，客户业务和技术负责人

4.6 安全管理评估

4.6.1 安全管理体系评估

项目名称安全管理体系评估简要描述评估现有安全管理策略的完善程度、合理程度；依据风险管理的相关国内国际标准；达成目标贴近网络内部网的实际业务与应用状况；结合客户的实际需求，协助客户改进安全管理措施。人员组织安全管理主要内容安全规章制度安全策略方针各层次安全管理流程、指南、操作手册和记录调查分析；问询式调查；实现方式广泛交流；查阅相关管理制度；与相关管理人员进行交流。工作结果依据ISO17799的信息安全管理标准，结合客户的实际需求，协助客户改进安全管理措施所需时间北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

参加人员启明星辰评估人员，客户业务和技术负责人

4.6.2 常规安全管理

项目名称常规安全管理简要描述评估网络内部网常规安全管理现状，分析其完善程度和合理程度；依据风险管理的相关国内国际标准；达成目标贴近网络内部网的实际业务与应用状况；结合客户的实际需求，协助客户改进常规安全管理措施。业务应用安全管理物理安全管理设备安全管理主要内容通信安全管理运维安全管理数据安全管理开发维护管理调查分析实现方式问询式调查广泛交流与相关业务管理人员进行交流；工作结果依据相关的信息安全管理标准，结合客户的实际需求，协助客户改进常规安全管理措施。所需时间参加人员启明星辰评估人员，客户业务和技术负责人

4.6.3 应急安全管理

项目名称应急安全管理北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

简要描述评估网络的应急安全管理现状，包括应急流程、步骤、能力和管理制度等准确评估网络的应急安全管理状况；协助网络提高应急安全能力；应急案例应急安全流程达成目标主要内容应急安全步骤应急安全能力应急管理制度业务连续性计划实现方式调查交流工作结果依据相关的信息安全管理标准，结合客户的实际需求，协助客户改进常规安全管理措施所需时间参加人员启明星辰评估人员，客户业务和技术负责人

4.7 业务与应用评估

4.7.1 业务流程分析

项目名称业务流程评估（数据流程）简要描述依据业务过程的数据流程评估客户的业务流程达成目标了解客户业务流程的安全隐患，协助优化业务流程业务数据流向，输入、传输、存储、输出策略：业务要求、使用范围、安全等级主要内容业务实现方式业务安全要求各时段业务负载量北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

业务流程优化建议授权和认证、审计、加密、完整性、不可否认性等实现方式调查检查工作结果数据流图、业务关系图、报告所需时间参加人员启明星辰评估人员，客户相关主管和业务人员

4.7.2 应用服务与应用系统分析

项目名称应用服务与应用系统评估简要描述评估客户应用服务和应用系统的安全状况达成目标了解客户应用服务和应用系统的安全状况 WEB/FTP 脚本程序主要内容 CGI 中间件数据库（Oracle、informix、ibm db2、sql server） Notes 应用测试实现方式简单的源代码分析 Checklist（数据库）工作结果了解客户应用服务和应用系统的安全状况所需时间参加人员

启明星辰评估人员、客户业务维护人员、客户开发人员、商业产品开发商北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

4.8 典型安全评估咨询输出

4.8.1 信息安全现状报告

项目名称《信息安全现状报告》简要描述对调查获得的安全现状进行总结、归纳、分析达成目标网络安全现状报告现有网络安全人员组织情况。现有人员（安全管理员、系统管理员、普通用户）安全素质情况。主要内容现有网络系统的安全状况，包括物理环境、网络结构、网络服务、主机系统、数据、应用系统的安全状况。现有安全产品的配备、使用情况。现有安全管理制度与规范的制定与执行情况。实现方式分析报告编写工作结果报告所需时间参加人员启明星辰评估人员

4.8.2 信息安全风险评估报告

项目名称《信息安全风险评估报告》简要描述分析评估结果，计算风险达成目标得到风险描述资产评估，至少包含以下资产的评估：信息资产、物质资产、软件资主要内容产、服务、设备、人员。漏洞评估，至少包括以下方面的漏洞分析：物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

关人员、处理流程、安全管理制度、安全策略。威胁评估，至少包括以下方面的威胁分析：物理环境、网络结构、网络服务、网管实现方式、业务实现方式、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。风险评估，说明风险计算方法，至少包括以下方面的风险分析：物理环境、网络结构、网络服务、网管实现方式、业务实现方式、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。实现方式分析报告编写工作结果报告所需时间参加人员启明星辰评估人员

4.8.3 信息安全策略建议

项目名称《信息安全策略建议》简要描述根据客户的组织架构和业务系统的特点，提出安全建议达成目标安全建议报告至少包括如下方面的建议：人员组织、安全管理（包括工程建设期间）、主要内容访问控制、网络管理、数据安全、应急响应。请应答方说明策略制订、修改的依据，供需求方参考。实现方式分析报告编写工作结果报告所需时间参加人员启明星辰评估人员

北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

4.8.4 信息安全解决方案建议

项目名称《信息安全解决方案建议》简要描述根据安全风险评估的结果，提出针对性、中立的安全解决方案。达成目标安全解决方案建议至少包括如下方面：物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安主要内容全管理（包括工程建设期间）制度、安全策略。要求对所建议的方案进行投资估算，并说明所提供方案对现有网络的改动情况，对服务和性能的影响程度。如需使用安全产品，请描述所需产品的功能和性能要求，但不能限定产品的厂家和型号。实现方式分析报告编写工作结果报告所需时间参加人员启明星辰评估人员

4.8.5 安全培训方案建议书

项目名称《信息安全培训方案建议书》简要描述根据安全风险评估的结果，分析客户各类人员信息安全意识、技能状况，提出有针对性、中立、基于角色的信息安全培训方案。达成目标信息安全培训建议至少包括如下方面：企业高层、中层、系统管理员、网络管理员、安主要内容全管理员、业务人员及其他方人员的安全意识、技能情况分析，提出各层次人员的信息安全培训方案。实现方式分析报告编写北京启明星辰信息技术股份有限公司

www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

工作结果报告所需时间参加人员启明星辰评估人员

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

安全源自未雨绸缪，诚信贵在风雨同舟

北京启明星辰信息技术股份有限公司 www.venustech.com.cn

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文