联想银行业安全风险评估介绍(发表版).ppt

银行业安全风险评估介绍 主题 定制银行业安全评估指标体系 定制等级化的安全对策指标体系 银行评估方法等级差异 同一安全功能在不同等级的评估强度增加 一级是：阅读文档，答疑 二级：阅读文档，访谈验证 三级：在二级基础上，重要系统抽样实地验证 对每级的管理特征的符合 一级:基本实施,看是否作了 二级:计划跟踪和必要,看是否有制度,有计划地在作,事先有计划,事后有审查 三级:良好定义和体系化,看是否有标准的、较详细的过程的体系化定义 ,作得是否充分和正确 联想半定量风险分析模型 主题 银行业务特点 由于银行业务的正常开展关系到国计民生，因此银行对数据完整行要求极高，对业务可用性和数据可用性的要求也非常高。对业务中断和数据丢失等事故十分敏感； 银行保密性要求较高，根据人民银行规定，银行信息系统的各种设计文档，包括网络拓扑图，均属于涉密文件； 银行业务集中程度高，绝大部分银行已实现数据大集中，部分银行已基本实现业务大集中。 银行信息系统特点 银行开展信息化的时间较长，其应用系统十分成熟，在整个信息系统中，应用系统的价值所占比重较大。 长期来，银行信息系统相对较为封闭，但近年来，随着网银、中间业务等银行新型业务和金融产品的出现，银行对开放信息系统的要求越来越高，事实上，所有银行的信息系统均已不同程度向外界开放。 由于大集中，单笔交易所跨越的网络环节越来越多，银行信息系统对网络依赖程度越来越高。大集中后，大部分银行将建立一个生产中心和一个异地备份中心，这进一步提高了网络系统在银行信息系统的地位。 银行信息安全特点 银行长期以来建立的信息安全管理体系，比较完备，也比较有效。安全管理体系是银行信息安全最重要保障。 随着金融新产品的不断开发，应用软件开发周期越来越短，新系统的推出越来越快，安全隐患来不及排除。 银行网点众多，管理难度高，成为信息安全的另一主要薄弱点。 随着网络不断开放，以及对其依赖性的提高，目前银行的网络安全管理水平和安全技术设施已落在后面。 主题 案例一、某大型国有商业银行项目 范围：银行全国计算机信息系统 项目内容 评估：全面普查（所有省行）和安全评估（抽样选取4省） 等级化体系设计 策略制定 解决方案设计 目前正在进行体系推广和系统建设 项目总体逻辑流程 项目主线-安全体系设计 项目辅线-等级化 风险评估任务模块（WBS图） 信息安全服务的成果 谢 谢 ！ 信息安全服务总监 田野 tianye@ 一、联想风险评估方法 三、案例介绍 三、案例介绍 二、银行业的风险评估特点 二、银行业的风险评估特点 C C 联想安全指标库 银行行业业务 和安全特性 银行行业3级安全指标体系 裁减和定制 I A G I A I C A G G I A C G 国家5级安全指标体系 I A C G I A C G 国家5级安全指标体系 联想安全指标库 银行行业业务 和安全特性 银行行业3级安全指标体系 某银行业务 和安全特性 某银行3级安全指标体系 裁减和定制 定制 某银行3级安全对策框架 体系设计过程 评估过程 定制 修改和优化 价值 资产拥有者 信息资产 威胁来源 风险 后果 可能性 严重性 弱点 可能性 威胁 一、联想风险评估方法 三、案例介绍 三、案例介绍 二、银行业的风险评估特点 一、联想风险评估方法 一、联想风险评估方法 三、案例介绍 二、银行业的风险评估特点 一、联想风险评估方法 二、银行业的风险评估特点 1 资产价值等级化 威胁弱点等级化 安全需求等级化 安全现状等级化 安全等级指标体系 等级化 安全方案 保护对象和安全要求等级化 等级化 安全目标 安全对策等级化 安全对策框架 安全体系设计 阶段一、安全调查和评估 阶段二、体系设计 安全方针 2 4 3 5 6 全范围安全调查 信息资产库 安全风险评估 安全风险现状 安全保护对象框架 需求 组织 技术 运作 策略 对策 组织 技术 运作 策略 安全规划 制度标准 解决方案 实施方案 审计方案 等级化 安全体系 8 7 9 10 阶段三、策略方案设计 安全对策框架 安全保护对象框架 资产价值等级化 威胁弱点等级化 安全需求等级化 安全现状等级化 安全等级指标体系 安全体系设计 等级化 安全方案 阶段一、安全调查和评估 阶段二、体系设计,规划和策略方案设计 安全方针 保护对象和安全要求等级化 1 2 4 3 5 6 等级化 安全目标 全范围安全调查 信息资产库 安全风险评估 安全风险现状 安全规划 需求 组织 技术 运作 策略 对策 组织 技术 运作 策略 制度标准 解决方案 实施方案 审计方案 等级化 安全体系 8 7 9 10 安全对策等级化 安全对策框架 安全保护对象框架 资产价值等级化 威胁弱点等级化 安全需求等级化 安全现状等级化 安全等级指标体系 安全体系设计 等级化 安