信息科技风险自评估表Word文档下载推荐.doc
《信息科技风险自评估表Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《信息科技风险自评估表Word文档下载推荐.doc(36页珍藏版)》请在冰点文库上搜索。
高级管理层应执行预算编制过程,按照机构的长期和短期计划以及IT的长期和短期计划,保证年度IT运作预算的建立和批准。
应调查资金的选择。
4
组织架构
组织信息科技管理委员会的建立
由来自高级管理层、信息科技部分和主要业务部分的代表组成;
定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能;
对信息科技建设及管理情况进行有效的协调。
信息安全工作缺乏统一组织进行协调。
等级保护-安全管理机构-岗位设置
c)应成立指导和管理信息安全工作的委员会或领导小组。
5
首席信息官的设置
直接参与本银行与信息科技运用有关的业务发展决策;
建立切实有效的信息科技部分;
确保信息科技风险管理的有效性。
信息安全工作缺乏统一有效的领导和责任人。
c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。
6
信息科技部门的职责
岗位设置完整合理;
人员具有相应的技能和专业知识,制定有合理的培训计划;
重要岗位制定详细完整的工作说明。
缺乏具有专业知识和技能的专职人员;
信息安全工作无法有效的协调。
a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)应配备专职安全管理员,不可兼任;
d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
7
信息科技风险管理部分的职责
可直接向CIO或CRO汇报;
实施持续的信息科技风险评估;
协调有关信息科技风险管理策略的制定。
8
信息科技内部审计岗位
在内审部门内部设立;
配备足够的专业人员;
制定完整的信息科技审计策略和流程;
制定信息科技内审计划并落实。
信息安全工作缺乏有效的监督和评价,信息安全风险管理无法有效的落实和改进。
等级保护-安全管理机构-审核和检查
a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
9
制度建设
制度建设流程
完善的规章制度和管理办法的制定、审批和修订流程。
信息安全管理制度混乱,无法形成完整体系,缺乏可操作性且得不到有效改进。
2005总要求
组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。
10
制度体系
涵盖运行、安全、开发等各重要部分;
对关键部分应有详细的管理规定和操作细则。
关键工作缺乏规范性,工作流程混乱,直接导致信息安全事件。
2005-控制目标:
1、信息安全方针;
2、信息安全组织;
3、资产管理;
4、人力资源安全;
5、物理与环境安全;
6、通讯及操作管理;
7、访问控制;
8、信息系统的获取、开发和维护;
9、信息安全事故管理;
10、业务连续性管理;
11、符合性。
二、信息科技风险管理
11
信息科技风险管理
信息科技风险管理策略
策略内容应包括:
1、信息分级与保护;
2、应用系统开发、测试和维护;
3、信息科技运行和维护;
4、访问控制;
5、物理安全;
6、人员安全;
7、业务连续性与应急处置
安全策略考虑不完善,没有完整包含信息安全各方面,制定的安全策略内容存在疏漏。
等级保护-控制项:
1、物理安全;
2、网络安全;
3、主机安全;
4、应用安全;
5、数据安全;
6、安全管理制度;
7、安全管理机构;
8、人员安全管理;
9、系统运维管理;
10、系统建设管理。
12
风险识别和评估流程
准确定位存在隐患的区域;
评价风险对其业务的潜在影响;
对风险进行分类排序;
确定风险防范活动及必备资源的优先级。
无法了解现有系统存在的风险,无法有效的指导信息安全的改进,提高信息系统安全性。
计算机等级保护制度;
2005信息安全管理体系要求。
13
风险防范措施
1、明确的信息科技风险管理策略、技术标准和操作规程等,并定期公示;
2、识别潜在风险区域,对这些区域进行详细的独立监控,并建立适当的控制结构。
14
风险计量和监测机制
范围涵盖所有的重要部分,包含项目实施、系统性能、事故与投诉、问题整改、外包服务水平、运行操作、外包项目等。
三、信息安全
15
用户认证和访问控制
授权机制
完整的审批流程;
以“必需知道”和“最小授权”为原则;
权限收回流程。
用户获得不当权限,有意或者无意的造成系统破坏或信息泄露。
ISO27001访问控制-控制策略:
应建立文件化的访问控制策略,并根据对访问的业务和安全要求进行评审;
ISO27001访问控制-用户注册:
应建立正式的用户注册和解除注册程序,以允许和撤销对于所有信息系统和服务的访问;
ISO27001访问控制-特权管理:
应限制和控制特权的使用和分配。
16
用户审查
定期对系统所有用户进行审查;
每个系统的所有用户使用唯一ID;
用户变化时应及时检查和更新。
ISO27001访问控制-用户访问权限的评审:
管理者应按照策划的时间间隔通过正式的流程对用户的访问权限进行评审。
17
认证机制
与信息访问级别相匹配的用户认证机制;
高风险交易和活动使用增强的认证方法。
等级保护-应用安全-身份鉴别:
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别
b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别
c)应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数
18
信息安全管理
完善的信息安全管理流程、组织架构和职责分配。
管理混乱信息安全策略无法正确及时的实施;
信息安全责任无法明确。
a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责
b)应设立系统管理员、网络管理员、安全管理员岗位,并定义各个工作岗位的职责
c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权
d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求
19
信息安全策略
信息安全策略包含完整的内容:
1、组织信息安全;
2、资产管理;
3、人员安全;
4、物理和环境安全;
5、通信和操作安全;
6、访问控制;
7、身份认证;
11、合规性。
20
安全培训
提供必要的培训,使所有员工都了解信息安全的重要性,并让员工充分了解其职责范围内的信息保护流程。
普通员工缺乏信息安全意识,造成有意或无意的信息泄露或者破坏。
等级保护-人员安全管理-安全意识教育和培训:
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;
d)应对安全教育和培训的情况和结果进行记录并归档保存。
21
物理安全
数据中心的地理位置
远离自然灾害地区、危险或有害设施、或繁忙/主要公路;
采取有效的物理或环境控制措施,监控对信息处理设备运行构成威胁的环境
物理设施受到台风、地震、火灾、震动、灰尘等威胁。
2005-物理与环境安全:
应设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。
等级保护-物理安全-物理位置的选择:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
22
数据中心的安全保卫
出口数量应严格控制;
出入通道的锁具安全可靠;
配备有录像监控和报警系统;
关键位置配备警卫人员;
敏感设施及场所的标识隐匿
非法访问者对物理设施进行有意或者无意的破坏。
等级保护-物理安全-物理访问控制:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
等级保护-物理安全-防盗窃和防破坏:
a)应将主要设备放置在机房内
b)应对设备或主要部件进行固定,并设置明显的不易除去的标记
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中
d)应对介质分类标识,存储在介质库或档案室中
e)应利用光、电等技术设置机房防盗报警系统
f)应对机房设置监控报警系统
23
数据中心的运行环境
使用全面的环境控制措施保障系统安全运行,如:
不间断电源保护、温湿度控制、防水防火设施等。
物理设施受到潮湿、断电、火灾等威胁。
等级保护-物理安全-防雷击:
a)机房建筑应设置避雷装置
b)应设置防雷保安器,防止感应雷
c)机房应设置交流电源地线
等级保护-物理安全-防火:
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
等级保护-物理安全-防水和防潮:
a)水管安装,不得穿过屋顶和活动地板下;
b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警;
等级保护-物理安全-防静电:
a)主要设备应采用必要的接地等防静电措施;
b)机房应采用防静电地板;
等级保护-物理安全-温湿度控制:
a)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内
a)应在机房供电线路上配置稳压器和过电压防护设备
b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求
c)应设置冗余或并行的电力电缆线路为计算机系统供电
d)应建立备用供电系统
等级保护-物理安全-电磁防护:
a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
b)电源线和通信线缆应隔离,避免互相干扰
c)应对关键设备和磁介质实施电磁屏蔽
24
门禁管理制度
第三方人员进入安全区域应得到适当的批准,并受到密切监控;
对外聘人员和承包商有严格的审查程序,包括身份验证和背景调查,并签署安全、保密协议。
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
2005信息安全组织-外部组织:
应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制;
与第三方签订的协议中应覆盖所有相关的安全要求。
这些协议可能涉及对组织的喜讯你或信息处理设施的访问、处理、沟通或管理,或增加信息处理设施的产品和服务。
25
网络安全
逻辑分区
按照不同的安全级别,将网络划分为不同的逻辑安全域。
重要系统得不到应有的安全保护,非法用户对系统进行非法访问,造成系统破坏或数据中断。
等级保护-网络安全-结构安全:
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
26
网络边界防护
不同的网络域之间应采取有效的分隔和访问控制措施,如部署防火墙和入侵检测设备;
对网络的特殊敏感域,应采用物理隔离方式。
扁平化的网络使网络管理更加困难,非法访问者更加容易针对重要设备并进行攻击。
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
等级保护-网络安全-访问控制:
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h)应限制具有拨号访问权限的用户数量。
等级保护-网络安全-边界完整性检查:
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b)应能够对内部网络用户私自联到外部网络的行为进行检测,准确定出位置,并对其进行有效阻断。
等级保护-网络安全-入侵防范:
a)应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
27
传输加密
敏感数据在网络传输过程中应加密。
数据被非法窃听,导致重要数据泄露。
等级保护-数据安全-数据保密性
a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。
28
网络监控
依据事先定义的性能目标对网络进行持续地监测,以确认任何潜在的瓶颈制约或超负荷运行等任何异常的活动;
高强度网络分析工具的使用应有适当的授权或审批流程。
无法及时发现网络异常,导致网络故障或系统宕机。
等级保护-系统运维管理-监控管理:
a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
29
网络配置更改
定期审查网络配置;
配置更改或设备调整应作为网络变更流程进行操作。
网络配置不当导致出现安全弱点;
错误的配置操作导致网络安全弱点或网络故障出现。
等级保护-系统运维管理-网络安全管理:
a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e)应实现设备的最小服务配置,并对配置文件进行定期离线备份;
f)应保证所有与外部系统的连接均得到授权和批准;
g)应依据安全策略允许或拒绝便携式和移动式设备的网络接入;
h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
30
操作系统安全
安全标准
制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
操作系统配置不当导致出现安全弱点。
等级保护-系统运维管理-系统安全管理:
a)应根据业务需求和系统安全分析确定系统的访问控制策略;
b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
31
访问权限
明确定义不同用户组的访问权限,包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等。
管理员获得不当权限,系统关键配置被非法修改。
e)应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。
32
最高权限账户管理
制定针对使用最高权限系统帐户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
高权限帐号的错误或非法操作造成严重的故障或损失;
无法对故障或损失的原因进行追溯。
等级保护-安全管理机构-授权和审批:
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息
d)应记录审批过程并保存审批文档
等级保护-主机安全-安全审计:
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
33
安全补丁
定期监察可用的安全补丁,经评估和测试后进行安装。
对已发现系统漏洞无法及时修补,导致黑客入侵,木马、病毒植入;
不当的安全补丁安装影响系统稳定性或者系统宕机。
34
重要事项审核
操作人员应对操作系统运行的重要事项进行检查和说明,如系统日志中记录的未成功登录,重要系统文件的访问,对用户帐号进行修改等信息,以及系统出现的任何异常事件。
对操作系统的非法或错误操作无法记录,对信息安全事件或系统故障无法进行追溯和分析。
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
d)应能够根据记录数据进行分析,并生成审计报表
e)应保护审计进程,避免受到未预期的中断
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等
35
应用系统安全
岗位职责
明确定义终端用户和信息科技技术人员在应用安全中的岗位和职责;
对关键或敏感职能进行双重控制。
知识、技能不够造成误操作;
重要岗位缺乏监管造成有意的非法操作。
2005人力资源安全-角色和职责:
应根据组织的信息安全方针,规定员工、合同方和第三方用户的安全角色和职责并形成文件。
2005访问控制-特权管理:
应限制和控制特权的使用和分配
36
身份验证
针对应用系统的重要程序和敏感程度,采取有效的身份验证方法。
非法用户获得访问权限。
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
c)应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
37
信息输入和输出
在关键的接合点进行输入验证或输出核对;
采取安全的方式处理保密信息的输入和输出,防止信息被盗、篡改、故意或无意泄露。
关键数据被盗、篡改、故意或无
升级会员 