银行科技外包厂商信息安全培训课件.pptxVIP

银行科技外包厂商信息安全培训科技运维部 安全管理处; 一、培训目的 银监会2013年颁布的《银行业金融机构信息科技外包风险监管指引》第三十八条在外包服务安全管理方面有明确要求，要求对外包人员进行信息安全培训，提高外包人员风险管理意识，确保信息安全管控措施在外包服务过程中有效落实。 ? ;二、信息安全基础知识 信息的基本安全属性 保密性(Confidentiality)：信息不泄露给未授权的访问者、实体、和进程，或被其利用； 完整性(Integrity)：信息在存储或者传输过程中保持未经授权不能改变的特性，即对抗主动攻击，保持数据一致，防止数据被非法用户修改和破坏； 可用性(Availability)：信息可被授权者访问并按需求使用的特性，即保证合法用户对信息和资源的使用不会被不合理地拒绝。 信息安全的目标 保证信息的一系列安全属性得到保持、不被破坏，从而达到对组织业务运营能力的支撑作用。 信息安全问题根源 内因是信息系统自身存在脆弱性。 外因是信息系统面临着众多的威胁 ;三、信息安全风险 信息安全风险 风险，指事态的概率及其结果的组合 （—— GB/Z 24364-2009《信息安全风险管理指南》） 信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（—— GB/T 20984-2007《信息安全风险评估规范》） 信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性 ;三、信息安全风险 风险管理 GB/Z 24364《信息安全风险管理指南》：四个阶段，两个贯穿 ;四、信息安全控制措施 信息安全控制措施 控制措施是管理风险的具体方法和手段 控制目标 内部组织：实现对组织内部的信息安全管理 外部各方：保持组织被外面各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 资产管理 对资产负责：实现和保持对组织资产的适当保护 信息分类：确保信息受到适当级别的保护 ;四、信息安全控制措施 人力资源安全 任用前：确保雇员、承包方人员和第三方人员理解其工作职责并??合预期角色，以降低设施被窃、欺诈和误用的风险 任用中：确保所有雇员、承包方和第三方人员了解信息安全威胁和危害，明确其工作应承担的安全职责和义务，如果违反安全规定将会受到的纪律处理，通过安全培训使其掌握信息处理设施的安全正确使用方法，以减少人为过失造成的风险 任用的终止或变化：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系，包括调换岗位或岗位职责发生变化 物理和环境安全 安全区域：防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护 设备安全：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 ;四、信息安全控制措施 访问控制 访问控制的业务要求：基于业务目标和业务原则来控制对信息的访问 用户访问管理：确保授权用户能够访问信息系统，防止非授权的访问 用户职责：防止未授权用户对信息和信息处理设施的访问、危害或窃取 网络访问控制：防止对网络服务的未授权访问 操作系统访问控制：防止对操作系统的未授权访问 应用和信息访问控制：防止对应用系统中信息的未授权访问 移动计算和远程工作：确保使用移动计算和远程工作设施时的信息安全 ;四、信息安全控制措施 信息系统获取、开发和维护 信息系统的安全要求：确保安全是信息系统的一个有机组成部分 应用中的正确处理：防止应用系统中信息的错误、遗失、非授权修改及误用 密码控制：通过密码方法保护信息的保密性、真实性或完整性 系统文件的安全：确保系统文件的安全 开发和支持过程中的安全：维护应用系统软件和信息的安全 技术脆弱性管理：降低利用公布的技术脆弱性导致的风险 ;四、信息安全控制措施 符合性 符合法律要求：避免违反任何法律、法令、法规或合同义务，以及任何安全要求 符合安全策略和标准以及技术符合性：确保系统和业务活动符合组织的安全策略及标准 信息系统审核考虑：将信息系统审核过程的有效性最大化，干扰最小化 ; 五、银行外包信息安全管控措施 银行在外包服务项目中将严格执行物理和环境安全管理、人员安全管理、访问控制管理、应用安全管理、外包厂商安全评估管理、信息保密管理等信息安全管控措施，外包厂商必须予以配合，以便信息安全管控措施能够有效落实。;物理和环境安全管理 外包服务提供商进入安全区域，如确需进入应按照相关制度得到批准，在进入安全区域后其活动应受到监控，对于从事敏感性技术相