- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
XXXX银行
无线网络风险评定汇报
XXXX银行
08月21日
一、风险评定项目概述
(一)、项目概述
无线网络作为XXXXXXXX银行股份(以下简称XXXX银行)关键信息系统之一,确保无线网络安全、稳健运行,为用户提供安全、便捷服务,是XXXX银行无线网络建设根本目标。为了客观全方面了解全行无线网络信息安全效能,XXXX银行科技信息部按摄影关评定程序和实施标准开展了针对无线网络风险评定工作,为该系统以后良好安全运行,打下坚实基础。
此次对无线网络风险评定目标是评定其风险情况,提出风险控制提议,同时为下一步安全建设和风险管理提供依据和提议。
(二)、风险评定工作组织
为了确保此次风险评定工作顺利开展,受XXXX银行党委委托,由科技信息部负责组织开展此次评定,并成立无线网络风险评定工作小组,具体以下:
项目组长:XX
安全技术评定人员:XX
文档支持人员:XX
项目组长:是风险评定项目中实施方管理者、责任人,具体工作职责包含:
(1)依据项目情况组建评定项目实施团体。
(2)依据项目情况和被评定方一起确定评定目标和评定范围,并组织项目组组员。
(3)依据评定目标、评定范围及系统调研情况确定评定依据。
(4)组织项目组组员开展风险评定各阶段工作,并对实施过程进行监督、协调和控制,确保各阶段工作有效实施。
(5)和被评定组织进行立即有效沟通,立即商讨项目进展情况及可能发生问题估计等。
(6)组织项目组组员将风险评定各阶段工作结果进行汇总,编写《风险评定汇报》等项目结果物。
(7)负责将项目结果物移交给被评定组织,向被评定组织汇报项目结果,并提请项目验收。
安全技术评定人员:负责项目中技术方面评定工作实施人员,具体工作职责包含:
(1)依据评定目标和评定范围确实定参与系统调研。
(2)实施各阶段具体技术性评定工作。
(3)对评定工作中碰到问题立即向项目组长汇报,并提出需要协调资源。
(4)将各阶段技术性评定工作结果进行汇总,参与编写《风险评定汇报》等项目结果物。
(5)负责向被评定方解答项目结果物中相关技术性细节问题。
文档支撑人员:负责支撑测评人员出具测评过程文档校对工作。具体工作职责包含:
依据项目中要求出具文档进行校对,包含文档格式是否正确、文档内容是否符合目前实际情况、是否需要新加其它文档。提出文档整改提议而且参与《风险评定汇报》编写。
二、风险评定范围
(一)风险评定目标
在信息安全风险评定前首先明确目标,为整个信息安全风险评定过程提供正确导向,也为下一步安全建设和风险管理提供第一手资料。
风险评定应全方面、正确了解被评定信息系统安全现实状况、发觉系统可能会出现安全问题,确保系统处于一个高度可信任状态。
(二)风险评定范围
在确定风险评定目标后,应深入明确风险评定评定范围,在确定评定范围时,应结合已确定评定目标和组织实际信息系统建设,合理定义被评定对象和评定范围边界。
XXXX银行无线网络包含以下几项:
1、无线POS机具,由电子银行部负责管理;
2、无线报警设备,由安全保卫部负责管理;
3、营业网点互联网WLAN,由科技信息部负责管理;
4、总行机关互联网WLAN,由科技信息部负责管理。
(三)调查方法
采取人员访谈调查方法和现场勘查相结合方法进行。
(四)调查内容
调查内容覆盖XXXX银行无线网络基础服务环境和系统管理制度,具体内容以下:
1、安全管理制度和日常管理;
2、无线网络设备摆放位置及其基线安全性;
3、系统功效调查及现有安全技术方法调查;
4、外包及渗透测试调查;
5、应急管理调查;
6、合规审计调查。
三、资产识别
经调查,XXXX银行共有互联网WLANXX个,其中基层网点XX个,机关各部(室)、中心XX个;共有3G/4G移动通讯专网XXXX个,其中营业厅110报警系统使用XX个,自助区110报警系统使用XX个,金服驿站110报警系统使用XX个,商户POS机使用XXXX个。
经调查,XXXX银行无内网WLAN。
后附《XXXX银行无线网络使用情况统计表》
四、风险评定和威胁识别
(一)、安全管理制度和日常管理
XXXX银行秉持“谁主管谁负责,谁运行谁负责”标准进行无线网络管理工作。科技信息部制订了《XXXX银行无线网络使用管理措施》和《XXXX银行互联网安全管理措施》对互联网WLAN设备进行管理;电子银行部制订《银行卡收单业务管理措施》对POS机具进行管理;安全保卫部制订了《安全保卫设施标准化建设指导》对110报警系统进行管理。
XXXX银行科技信息部、电子银行部和安全保卫部均采取每三个月全辖全覆盖检验方法,对全部设备进行全方面安全检验,确保设备安全、可靠。
(二)无线网络设备摆放位置及其基线安全性
1、110报警设备
XXXX银行110报警设备均安装在安全分区
文档评论(0)