银行整体安全服务项目书.docVIP

银行整体安全服务项目书 目录 1. 公司介绍 4 1.1. XX公司 5 1.2. B公司 5 2. 信息安全风险及银行业面临的挑战 6 2.1. 信息安全的现状 6 2.2. 国内企业信息安全方面的问题 7 2.3. 银行和金融服务机构的安全挑战 7 2.4. 安全服务项目所涉及的任务 8 3. XX银行上海分行整体安全服务介绍 10 4. 第一阶段：风险评估 11 4.1. 第一步：边界审核和远程测试（黑箱测试） 12 4.1.1. 方法论 12 4.1.2. 信息收集 12 4.1.3. 网络结构分析 13 4.1.4. 情景分析 13 4.1.5. 模拟攻击 13 4.2. 第二步：系统分析、改善建议和应用测试（白箱测试） 19 4.2.1. 方法论 19 5. 第二阶段：解决方案 21 5.1. 网络架构分析 21 5.1.1. 网络架构分析目标 21 5.1.2. 方法论 21 5.1.3. 成果 22 5.1.4. 对客户的要求 22 5.2. 制定安全策略 22 5.2.1. 安全策略范围 22 5.2.2. 成果 23 5.2.3. 方法论 23 5.3. 整体安全实施方案 26 6. 保密原则 27 6.1. 文档管理 27 6.1.1. 客户数据文档处理策略 27 6.1.2. 用户报告处理原则 27 6.2. 客户参考内容 27 6.2.1. 交叉参考 27 7. 项目团队介绍 29 7.1. 项目团队架构 29 7.2. 项目人员情况表 31 8. 项目合作形式及合作内容 32 9. 项目时间表、工作量和项目费用 33 9.1. 项目时间表 33 9.2. 工作量估计 33 9.3. 项目费用 33 10. 成功案例 35 11. 附件 36 11.1. 测试工具 36 11.2. 部分用户和合作伙伴的反馈意见 37 公司介绍 XX公司是目前国内领先的安全方案供应商和安全服务提供商。在国家863信息安全专项工程金融安全子项目（合作方为XX分行）以及某国家关键部门的安全集成和后期延续性服务项目实施的过程中XX公司积累了大量的安全集成和安全服务经验。同时，在上述的整体安全项目的后续服务过程中，我们也发现在目前的国内金融系统的整体安全服务领域我们与国际主流安全服务商之间的差距，因此在XX银行上海分行的项目中，我们将和业界公认的领先者—B公司合作，将国际领先的B企业级安全服务首次引入中国。 B公司则是国际领先的信息安全服务公司，致力于为改善国际企业和金融机构的信息安全。B（亚太）的用户包括亚洲著名的银行、银行交易机构、企业用户和外包服务供应商（参见《成功案例》）。在本项目中，易虹天地公司是B公司亚太区的总代理和分支业务机构，负责向亚太用户推广和实施 B 服务。 XX公司与B公司的合作，旨在结合XX公司对国内金融行业业务系统现状、政策的了解，以及B公司在高级信息安全专业服务方面专业化和强大技术实力（ICSA.Lab）的优势，向中国用户提供全面而高水平的服务，增强国内银行和金融企业应对信息安全问题的能力，改变国内信息安全，尤其是安全管理较为落后的局面。 通过与XX银行上海分行的前期交流，我们了解到，XX银行对自身的安全问题有一个较为清晰的认识，对整体业务安全和系统稳定性、安全性等方面有一定需求，希望寻求相关公司提供解决方案，对包括业务系统在内的整体安全状况进行评估和测试。 在此情况下，我们希望能够与XX银行上海分行一起，针对上述问题，实施整体安全服务。在对XX银行实施整体安全服务的过程中，我们将严格参照ISO 17799 (《信息安全管理实施规范》)的规范进行实施。同时，我们还参照包括香港金融机构的《电子银行服务安全风险管理指南》和国际结算银行的《电子银行风险管理规范》中的相关内容。鉴于国内外安全管理方面的不同发展进程，我们将尽量结合国内用户的实际情况，有选择地采用国外银行业安全实践XX银行之有效的安全标准和安全措施。 XX公司 XX公司前身是上海XX有限公司，成立于vv年3月XX致力于推动我国信息产业的发展，利用联合的优势，自主开发信息安全软件，产品覆盖电子商务安全、金融银行安全、安全电子邮件、企业网络安全和IC应用卡等领域，并针对用户的实际要求，提供全方位、多层次的安全解决方案，并给出有效的安全咨询意见。成立至今的两年多的时间里，XX投入大量资金、人力，为维护企业网络安全、建立一个安全的可信赖的安全电子商务环境做出了大量的科研开发工作，填补了国内在信息安全领域多项空白，并已和政府、企业、银行、银行和ICP领域开展了多方位的合作，取得良好的社会与经济效益。B公司 B公司作为国际互连网安全领域的领导者，其安全服务用户对象包括数百家大型公司和政府。其中：B为美国联邦储蓄和保险集团的检查人员提供长期的培训服务，