- 1、本文档共29页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
项目概述 实施方案 时间及人员安排 电子银行带来的发展机遇与挑战。 服务触角向客户延伸,拓展了业务渠道,极大地方便了客户。 新技术的运用增加了一些传统风险,同时带来了另外一些新的风险。 战略风险 信用风险 流动性、利率、价格/市场风险 交易或操作风险 符合性/法律风险 声誉风险 为管理电子银行安全风险,一系列行业规章制度标准指南出台。 巴塞尔银行监管委员会。 中国银监会 。 我行初步完成了电子银行系统开发与建设,需要了解系统安全状态。 安全所处的位置。 与相关行业规章制度标准指南的符合性。 掌握电子银行系统的应用及安全状况; 按照银监会相关要求完成电子银行系统的安全评估; 提出改进建议或方案。 国家标准 《信息安全风险评估指南》 《信息安全风险管理指南》 银监会规章制度指南 《商业银行内部控制评价办法》 《银行业金融机构信息系统风险管理指引》 《银行业金融机构内部审计指引》 《电子银行业务管理办法》 《电子银行安全评估指引》 其它相关 《电子银行风险管理原则》 (巴塞尔银行监管委员会) BS7799/ISO27000系列 组织范围 总部 IT部门、业务部门?风险管理部门?审计部门? 分支机构? 系统范围 网上银行 信息网站 交易网站 ATM? 手机银行? 自助银行 电话银行? 工作范围 电子银行安全评估 电子银行安全及风险控制体系建议 项目概述 实施方案 时间及人员安排 安全管理评估(策略、组织架构、制度) 安全策略(电子银行系统整个生命周期的策略建设); 组织架构与人员安排(与电子银行系统相关组织建设与人员安排); 管理制度建设(与风险管理、开发与获取、安全管理、运营管理、内部控制、应急响应、业务连续性、外包等)。 IT基础设施安全评估 支撑平台 物理环境(物理环境、机房环境、介质与设备安全); 网络平台(网络结构、网络管理、网络安全); 系统平台(业务主机、操作系统安全、数据库安全等)。 应用系统安全 身份鉴别与访问控制; 交易安全; 数据安全(传输、处理、存储); 密钥安全; 输入输出合法性/异常处理/日志与审计; 系统可用性。 业务风险评估 业务流程建设; 业务应用控制; 业务控制。 目标 根据电子银行的业务特征,建立相关业务模型,深入分析评估业务流程中存在的风险环节。 评估要点 业务流程建设; 业务应用控制; 业务控制。 评估方法 通过人员访谈、文档查阅或现场观测收集业务流程相关信息; 按照评估要点对现有业务流程进行分析; 通过综合分析评价业务流程的风险。 调查 主要用于评估对象现状信息收集。调查包括问卷、远程访谈与现场访谈。 检查 主要用于信息收集及弱点分析。包括文档检查、记录核查、配置检查等。 测试 主要用于弱点分析,包括手工测试、自动工具测试以及综合性的渗透测试。 人工分析 主要用于资产分析、威胁分析、安全措施分析及安全评价。 调查问卷 现场访谈表 评估表或Checklist 自动化测试工具 评价工具 阶段目标 完成项目实施前期工作 主要工作内容 确定项目任务、目标 确定评估范围与内容 成立项目组 制定项目实施计划 收集整理开发各种评估工具 项目背景知识培训 主要阶段成果 《安全评估计划》 《安全评估调查问卷》 《安全评估访谈表》 各种评估表或Checklist 《安全评价表》 阶段目标 通过调研,收集并整理分析评估对象信息,收集内容涵盖电子银行业务类别,以及各种类别业务从规划、建设、运营到终止整个生命周期的相关信息,重点收集整理分析电子银行应用状况与业务流程信息。(业务及IT应用现状) 主要工作内容 填写调查问卷 文档收集与查阅 现场访谈 配置信息/状态信息收集 分析整理与电子银行相关的组织架构、IT基础设施及以及业务类别业务流程 撰写现状报告 主要阶段成果 《电子银行现状报告》 阶段目标 从安全管理、系统安全以及业务风险三个方面对电子银行系统进行全面评估。 主要工作内容 安全管理 安全策略评估 组织架构与人员评估 管理制度评估 IT基础设施安全评估 支撑平台评估 应用系统安全评估 业务风险分析 业务流程要素分析 业务风险评价 阶段成果 《电子银行安全评估报告 》(提交银监会) 《电子银行安全管理评估报告 》 《电子银行IT基础设施安全评估报告》 《电子银行业务流程风险评估报告》 各种访谈/检测报告 阶段目标 根据前面评估的结果,确定完善电子银行安全管理需要进行的主要工作,对具体实施内容进行综合分析,提出改进建议与实施规划。 主要工作内容 根据评估发现的安全问题,制定相应的安全建议措施,并进行分类与合并,转换为可以实施的任务和项目; 根据需要编制安全管理和技术方案建议书 阶段成果 《安全加固建议书》 《技术方案建议书》 《安全管理与风险管理建议书》(包含各种制度文档模
您可能关注的文档
- 医疗用毒性药品放射性药品使用管理相关知识.ppt
- 医务人员反歧视演示文稿.ppt
- 医学STATA软件及其应用.ppt
- 医学电生理学N3.ppt
- 医学动物实验与生物安全.ppt
- 医学伦理学绪论.ppt
- 医学免疫学第六版1-免疫学概论.ppt
- 医学生物学人类基因组计划与功能基因组学.ppt
- 医学实验室认可信息.ppt
- 医学统计学-第七章---卡方检验.ppt
- 某某单位2024年党建工作总结及2025年工作计划.doc
- 某某市发改委关于2024年度落实党风廉政建设工作责任制情况的报告.doc
- 某某局2024年全面从严治党和党风廉政建设工作总结.doc
- 某某区财政局2024年法治政府建设总结及2025年工作谋划.doc
- 2024年党管武装工作述职报告2篇.doc
- 2024年度国企党委书记抓基层党建工作述职报告3篇.doc
- 公司党委书记2024年述职述廉报告.docx
- 2024年度乡镇党委领导班子民主生活会(四个带头)对照检查材料.doc
- 市医疗保障局关于2024年法治政府建设工作情况的报告.docx
- 市民政局党组2024年巡察整改工作情况报告.docx
文档评论(0)