银行安全沟通概述.pptVIP

实施步骤 第十九页，共三十页。 组织建立 27001 信息安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通讯和运营管理 信息系统获得、开发和维护 信息安全事件管理 业务连续性管理 法律法规遵从 风险导向（主动） ?信息安全由CSO直接负责 首先建立和优化信息安全体系 由业务和IT共管 ?有与风险平衡的安全预算 ?基于风险而整合的基础设施 ?使用主动性安全技术 国际主流管理模式 最佳实践 商业银行信息科技风险管理指引 落实、风险管理部门和各级业务信息安全管理责任制，督导、检查各业务单元的信息安全管理工作。 华润信息安全管理组织 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。 第二十页，共三十页。 华润银行信息安全委会 主任：副行长 成员：副行长、各业务单元、企管、风险管理、人力、信息部负责人 责任：负责整个银行信息安全的领导和决策工作 华润银行信息安全委员会秘书处 成员：信息部安全组、各功能部门、各业务单元信息部经理 责任： 负责华润银行的信息安全工作的协调，保障华润信息安全组织体系的日常运转。 各支行信息安全管理委员会 主任：支行主管领导 成员：支行信息安全负责人、支行各业务部门信息安全责任人 责任：负责在本支行推动、落实集华润银行的信息安全工作 总行各功能部门信息安全专员 成员：各功能部门信息安全负责人 责任：负责在本功能推动安全制度落实、安全培训、安全系统建设等工作。 核心文件 配套附件 1.华润银行人员信息安全职责说明 2.****年度华润银行信息安全指标 3…… 1.华润银行信息安全管理组织结构和人员责任管理办法 2.华润银行责任矩阵…… 示例 第二十一页，共三十页。 Unit of measure * Source: * Unit of measure * Source: * CONFIDENTIAL Document Date This report is solely for the use of client personnel. No part of it may be circulated, quoted, or reproduced for distribution outside the client organization without prior written approval from McKinsey Company. This material was used by McKinsey Company during an oral presentation; it is not a complete record of the discussion. Unit of measure * Source: * Unit of measure * Source: * Unit of measure * Source: * 银行 信息安全体系建设思路汇报 唐龙 、、 第一页，共三十页。 国内安全服务现状 大约50%的安全服务合同不能以让客户满意的方式提交。 千万不要成为这个统计数字中的一个! 第二页，共三十页。 信息安全占总投资的份额 占 的百分比 第三页，共三十页。 运营十大问题 20％的原因是技术方面的， 80％的原因是管理方面的 ① 病毒攻击（57.1%） ② 缺乏有效的监控制度和手段（51.7%） ③ 设备本身的性能问题（41.1%） ④ 应用系统/数据库本身存在 （39.2%） ⑤ 员工缺少技能培训（37.5%） ⑥ 维护不及时或缺乏有计划的维护（35.7%） ⑦ 缺少总体规划/重复建设（33.9%） ⑧ 不同部门的人员之间缺乏协调（32.1%） ⑨ 缺少运营管理方法论的指导（30.4%） ⑩ 员工不按规定/流程操作（28.6%） 数据来源：翰纬管理研究咨询中心，2004 第四页，共三十页。 信息安全的三个发展阶段 第五页，共三十页。 按需定制可管理 可衡量：交付特定的结果 有效（） 有效率的（）：用最小的努力和成本 法律法规的遵从 （投资回报率）： 保证回报能保证投资的增益。 （ 避免风险节省下的费用+节省下的重复投资）/成本 信息安全的目标与价值 第六页，共三十页。 信息安全威胁带来的损失 分析和结论： 和2009年的情况相似，病毒和恶意软件是去年导致中断最主要原因，第二位的是系统失败和数据中断 大型企业业务中断平均是2-5天，平均每次中断恢