银行安全沟通

XX银行信息安全体系建设思路汇报唐龙ITILEXPERT、CISSP、CISA第一页，共三十页。国内安全服务现状大约50%的安全服务合同不能以让客户满意的方式提交。千万不要成为这个统计数字中的一个!第二页，共三十页。信息安全占IT总投资的份额占GDP的百分比第三页，共三十页。IT运营十大问题20％的原因是技术方面的，80％的原因是管理方面的①病毒攻击（57.1%）②缺乏有效的监控制度和手段（51.7%）③

IT设备本身的性能问题（41.1%）④应用系统/数据库本身存在Bugs（39.2%）⑤员工缺少技能培训（37.5%）⑥维护不及时或缺乏有计划的维护（35.7%）⑦缺少总体规划/重复建设（33.9%）⑧不同部门的IT人员之间缺乏协调（32.1%）⑨

缺少运营管理方法论的指导（30.4%）⑩员工不按规定/流程操作（28.6%）数据来源：翰纬IT管理研究咨询中心，2004第四页，共三十页。以资产风险评估为基础以流程风险评估为基础以服务风险评估为基础信息安全的三个发展阶段第五页，共三十页。按需定制可管理可衡量：交付特定的结果有效（Effective）有效率的（Efficient）：用最小的努力和成本法律法规的遵从ROI（投资回报率）：保证回报能保证投资的增益。ROI=（

避免风险节省下的费用+节省下的重复投资）/成本信息安全的目标与价值第六页，共三十页。信息安全威胁带来的损失分析和结论：和2009年的情况相似，病毒和恶意软件是去年导致中断最主要原因，第二位的是系统失败和数据中断大型企业业务中断平均是2-5天，平均每次中断恢复总成本是£200,000-£380,000，平均的直接财务损失是£25,000-£40,000，平均间接损失是£15,000-£20,000。被调查的最严重的间接损失高达£500,000。最大的损失是来自企业声誉的损失。尤其媒体对大型企业的安全事件非常关注，一旦发生事件，很容易被媒体进行宣传报道，造成恶劣的企业声誉影响，这是用财务成本无法估算的。事件导致业务中断的程度非常严重中断中断小中断微小中断没有少于一天一天到一周一天到一月超过一个月33%4%4%0%1%9%8%1%1%13%10%3%2%11%1%1%0%恢复事件花费的成本1000英镑2010年大企业2010年小企业2008年总体2006年总体10,000英镑50,000英镑100,000英镑250,000英镑500,000英镑超过500,000英镑直接财务损失2010年大企业2010年小企业2008年总体2006年总体1000英镑10,000英镑50,000英镑100,000英镑250,000英镑500,000英镑超过500,000英镑间接财务损失2010年大企业2010年小企业1000英镑10,000英镑50,000英镑100,000英镑250,000英镑500,000英镑超过500,000英镑信息安全对企业声誉破坏2010年大企业2010年小企业2008年总体2006年总体没有媒体报道，但客户抱怨一些媒体报道，影响声誉媒体扩散报道，产生负面声誉第七页，共三十页。信息安全实施思路信息安全治理与组织信息安全技术体系信息安全管理体系信息安全运营商业银行信息科技风险管理指引ISO27001业务风险法律风险财务风险市场风险第八页，共三十页。信息安全与服务管理的结合持续性管理用户客户应用管理服务级别管理财务管理能力管理可用性管理配置管理变更管理安全管理事件管理问题管理服务台网络管理CRM服务支持服务提供发布管理第九页，共三十页。安全和业务流的结合第十页，共三十页。服务管理主管服务级别经理问题经理安全经理采购经理活动1ARCIIC活动2ARCCC活动3IARIC活动4IARIC活动5IIACRCSF的RACI模型进行控制第十一页，共三十页。Copyright©ItsxdCo.,Ltd12安全管理是不是一个孤立的过程。它始终是IT和业务管理的一部分。尽可能通过ITSM的流程是执行安全管理任务。每个ITSM过程中的任务，都应兼顾安全方面。但对这些任务的控制，应有集中式的安全管理程序。许多与安全有关的问题源于执行较差流程。日常业务运作没有妥善规划。这可能降低整体安全性。•安全常被视为功能性的任务。ITSM包含所有必要的最佳做法流程，涵盖所有日常业务活动。这使得与ITSM成为维持较安全的环境的基础。ITIL的允许IT运营团队在IT服务的整个生命周期，评价IT服务解决方案的绩效和变化。ITIL以人、流程、技术为基础的生命周期，来看待IT服务。结构化过程质量关注业务关注isms和流程的结合第十二页，共三十页。13服务水平管理ITSM目标安全控制提供与业务的接口，使得IT组织提供的IT解决方案，是否符合规定的业务要求，并在可接受的成本内。定义、商定、记录和管理服务水平组织的信息安全方针，包括一般的安全性原则。容量管理ITSM目标安全控制确保IT基础设施的容量满现在和将来的业务需求。尽量避免因无计划的载荷导致系统发生故障。确保所有的负载都是正常的。控制及预防非预期的容量消耗。isms和流程的结合第十三页，共三十页。14可用性管理ITSM目标安全控制确保商定的IT服务满足业务的可用性要求。•找出可用性相关的风险，如单点故障。•设计和实施控制措施，已尽 量减少可用性风险。•配合事件处理流程，管理信息安全相关的事件。IT服务连续性管理ITSM目标安全控制负责管理一个组织的持续提供已商定的IT服务的能力。•确定和优先关键业务流程以及相关的威胁和脆弱性（风险管理）。•测试，维护和重新评估业务持续性计划。isms和流程的结合第十四页，共三十页。15配置管理ITSM目标安全控制•定义和控制IT服务和基础设施的组件，并保持信息的准确。•维护对组织资产的适当保护•识别不同类型的资产•标识和处理信息资产变更管理ITSM目标安全控制确保标准化方法和程序用于

高效率和迅速处理所有的变

更，以尽量减少变更的影响。•通过风险评估，估计变更的 潜在影响。•防止因变更带来的数据丢失、损坏或业务的中断。isms和流程的结合第十五页，共三十页。16事件管理ITSM目标安全控制尽可能快的恢复正常服务运 作。•尽量减少因信息安全事件带 来的损失，并监测和了解 这类事件。•建立正式的流程报告和处理 事件。问题管理ITSM目标安全控制

通过识别和分析事件和事故 的根本原因，并进行相应的 格离，以尽量降低对业务的 影响。尽量减少因信息安全事件带来的损失，并监测和了解这类事件。isms和流程的结合第十六页，共三十页。发布管理ITSM目标安全控制提交、分发和跟踪一个或多

个针对运行环境的变更。新的信息服务和系统进行风险评估。为新的信息系统和服务，确定安全要求并概述安全体系结构和详细规格。确定变更的影响边界。为新信息系统的运营定义控制措施，以确保系统的完整性。定义验收新服务的准则。isms和流程的结合第十七页，共三十页。安全实施的要点：信息安全不是一蹴而就找出业务流程的CSF量化CSF的风险级别使用控制进行控制风险对其他活动节点进行控制验证控制效果第十八页，共三十页。实施步骤第十九页，共三十页。组织建立ISO27001信息安全方针信息安全组织资产管理人力资源安全物理和环境安全通讯和运营管理信息系统获得、开发和维护信息安全事件管理业务连续性管理法律法规遵从风险导向（主动）

•信息安全由CSO直接负责首先建立和优化信息安全体系由业务和IT共管•有与风险平衡的安全预算

•基于风险而整合的基础设施•使用主动性安全技术国际主流管理模式最佳实践商业银行信息科技风险管理指引落实IT、风险管理部门和各级业务信息安全管理责任制，督导、检查各业务单元的信息安全管理工作。华润信息安全管理组织

设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。第二十页，共三十页。华润银行信息安全委会主任：副行长成员：副行长、各业务单元、企管、风险管理、人力、信息部负责人责任：负责整个银行信息安全的领导和决策工作华润银行信息安全委员会秘书处成员：信息部安全组、各功能部门、各业务单元信息部经理责任：负责华润银行的信息安全工作的协调，保障华润信息安全组织体系的日常运转。各支行信息安全管理委员会主任：支行主管领导成员：支行信息安全负责人、支行各业务部门信息安全责任人责任：负责在本支行推动、落实集华润银行的信息安全工作总行各功能部门信息安全专员成员：各功能部门信息安全负责人责任：负责在本功能推动安全制度落实、安全培训、安全系统建设等工作。核心文件配套附件1.华润银行人员信息安全职责说明2.****年度华润银行信息安全指标3……1.华润银行信息安全管理组织结构和人员责任管理办法2.华润银行责任矩阵……示例第二十一页，共三十页。文档落地业务目标12参照ISO27001信息安全方针信息安全组织资产管理人力资源安全物理和环境安全访问控制通讯和运营管理信息系统获得、开发和维护信息安全事件管理业务连续性管理法律法规遵从最佳实践责任分解34形成责任制度文件业务目标风控内容及指标责任主体支持主体华润信息安全责任制度文件第二十二页，共三十页。流程分解到控制项第二十三页，共三十页。控制项分解到部门1.由业务目标进行分解2.识别业务风险控制点3.风险管控手段4.各业务部门应该承担的责任5.支持部门应该承担的责任示例第二十四页，共三十页。落地到技术工具细节防火墙IDS主机身份管理扫描器防毒异常流量业务安全需求安全风险评估策略人员安全管理需求/架构/研发/测试安全控制外包管理安全事故处理流程问题管理流程业务连续性管理安全技术产品及管理规定信息安全组织ITIL第二十五页，共三十页。落地到人员管理（举例）人员职责分离物理主机和机房管理人员与其他职能之间职责分离梳理数据备份流程，涉及备份操作的各类人员之间适当做到职责分离网络管理人员与服务器管理人员职责分离操作系统和数据库管理员职责分离访问方式优化

划分网络安全区域

建立物理上和网络上相对独立的管控中心操作中心

充分利用代理机堡机提升安全水平

对安全配置进行整体性监控和管理安全培训

第二十六页，共三十页。落地到供应商支持（举例）外包开发

在场外包开发 1、外包方人员控制。非本项目员工，包括外包方高层都不允许进入工作区； 2、工作区的所有物理出口均被有效封闭； 3、CCTV不间断监视； 4、工作区网络的路由器、交换机设备，均由银行提供提供，并仅与银行的网络互连，物理上切断了与其他网络的连接； 5、监控网络流量； 6、设备和外设控制，例如外包方员工的私人电脑、U盘、照相机、手机

第二十七页，共三十页。建立健全监控和事后审计平台与机制

所有系统的授权必须审计，包括操作系统层次、数据库层次、应用层次

所有层次的特权用户的操作必须审计

重要业务应用系统的用户操作必须审计

建立和优化统一的日志审计平台落地到审计（举例）第二十八页，共三十页。谢谢！第二十九页，共三十页。内容总结XX银行。ITILEXPERT、CISSP、CISA。大约50