欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载  

    银行安全评估.ppt

    • 资源ID:2876005       资源大小:280.03KB        全文页数:29页
    • 资源格式: PPT        下载积分:8金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要8金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    银行安全评估.ppt

    1,项目概述实施方案时间及人员安排,提纲,2,项目概述背景,电子银行带来的发展机遇与挑战。服务触角向客户延伸,拓展了业务渠道,极大地方便了客户。新技术的运用增加了一些传统风险,同时带来了另外一些新的风险。战略风险信用风险流动性、利率、价格/市场风险交易或操作风险符合性/法律风险声誉风险为管理电子银行安全风险,一系列行业规章制度标准指南出台。巴塞尔银行监管委员会。中国银监会。我行初步完成了电子银行系统开发与建设,需要了解系统安全状态。安全所处的位置。与相关行业规章制度标准指南的符合性。,3,掌握电子银行系统的应用及安全状况;按照银监会相关要求完成电子银行系统的安全评估;提出改进建议或方案。,项目概述目标,4,项目概述评估参考依据,国家标准信息安全风险评估指南信息安全风险管理指南银监会规章制度指南商业银行内部控制评价办法银行业金融机构信息系统风险管理指引银行业金融机构内部审计指引电子银行业务管理办法电子银行安全评估指引其它相关电子银行风险管理原则(巴塞尔银行监管委员会)BS7799/ISO27000系列,5,组织范围总部IT部门、业务部门?风险管理部门?审计部门?分支机构?系统范围网上银行信息网站交易网站ATM?手机银行?自助银行电话银行?工作范围电子银行安全评估电子银行安全及风险控制体系建议,项目概述范围,6,项目概述实施方案时间及人员安排,提纲,7,实施方案评估总体思路,业务层面(业务流程建设、业务操作)业务流程建设(流程基本评估)业务应用控制(与业务有关的IT控制,需要分解流程步骤,针对每一步进行)业务控制(需要分解流程步骤,针对每一步进行)系统平台层面(与电子银行相关的系统平台,即IT基础设施)应用支撑平台(如果物理、网络、系统平台、数据库等)应用系统与电子银行相关的总体层面(IT管理层面,这个层面是为所有IT业务应用系统服务的,因此会影响到电子银行系统)IT治理环境(含组织架构)风险管理或控制框架(控制环境、风险评估、信息沟通、监控等)系统规划与建设(生命周期管理,主要是开发与获取)日常运维管理(日常的事件管理、变更/发布管理、巡检、及其它操作如:备份、监控,定期报告等)业务持续性计划(BCP)外包管理信息安全管理,作为机构IT业务应用系统之一,电子银行系统需要与其它业务应用系统一起纳入机构全面的风险管理体系中。电子银行风险评估涉及三个层面:,8,安全管理评估(策略、组织架构、制度)安全策略(电子银行系统整个生命周期的策略建设);组织架构与人员安排(与电子银行系统相关组织建设与人员安排);管理制度建设(与风险管理、开发与获取、安全管理、运营管理、内部控制、应急响应、业务连续性、外包等)。IT基础设施安全评估支撑平台物理环境(物理环境、机房环境、介质与设备安全);网络平台(网络结构、网络管理、网络安全);系统平台(业务主机、操作系统安全、数据库安全等)。应用系统安全身份鉴别与访问控制;交易安全;数据安全(传输、处理、存储);密钥安全;输入输出合法性/异常处理/日志与审计;系统可用性。业务风险评估业务流程建设;业务应用控制;业务控制。,实施方案评估内容,9,实施方案安全管理评估,目标评估当前电子银行相关安全方针与策略是否完备,已有的策略是否得到了有效的执行。评估要点安全策略制定的流程与合理性;与电子银行相关的总体(战略)规划;与电子银行系统相关的风险管理策略;与电子银行系统相关的开发与获取策略;与电子银行系统安全管理及内部控制相关的策略;与电子银行系统相关的运维管理策略;与电子银行系统相关的业务持续性与应急安全策略;与电子银行有关的外包管理策略;客户信息安全策略。评估方法安全策略文档审阅;安全策略部署检查。,安全策略评估,10,实施方案安全管理评估(续),目标评估与电子银行管理相关的机构与人员设置是否合理。评估要点组织机构设置的合理性与协调性(包括系统管理/风险管理/审计部门);人员配备(体现制约关系);人员技能与培训。评估方法岗位职责审阅;安全意识/技能/培训访谈;对工作人员资格情况的检查。,组织架构与人员安排评估,11,实施方案安全管理评估(续),目标检查电子银行是否建立和实施了一套完整的对运行中涉及的各类风险进行识别、监测、衡量和控制的风险管理制度。评估要点电子银行风险管理部门主要负责人对电子银行风险的熟知程度;电子银行风险管理的规章制度与操作规定、程序等。包括:风险模型定义;相关职责划分/人员安排;与目标设定、风险识别、风险评估、风险控制以及风险监测相关的流程及操作程序。电子银行业务风险管理状况。评估方法对所建立的电子银行风险管理模型及框架进行检查;与电子银行有关的风险管理制度及执行情况检查;对其他方面的检查。,风险管理评估,12,实施方案安全管理评估(续),目标检查电子银行系统的开发与获取过程是否得到适当的控制。评估要点与开发及获取相关的职责安排,组织架构是否合理;开发及获取的标准、方法论及实践;电子银行系统质量保证过程;开发及获取变更控制过程;电子银行系统补丁与发布管理;与电子银行相关文档的管理与控制。评估方法审查开发与获取流程;审阅与电子银行相关的资料文档。,开发与获取评估,13,实施方案安全管理评估(续),目标检查电子银行日常安全管理制度是否完善,各项安全制度是否得以落实。评估要点与电子银行系统安全管理有关的制度建立及其执行情况,包括:物理安全;数据通讯安全;应用系统安全;密钥管理;客户信息认证与保密;入侵监测机制和报告反应机制。评估方法对电子银行安全管理框架进行检查;电子银行安全管理制度及执行情况检查。,信息安全管理评估,14,实施方案安全管理评估(续),目标检查电子银行日常运营制度及流程是否完善,各项运营制度及流程是否得以落实。评估要点事件管理流程;问题管理流程;变更管理/发布管理流程;配置管理流程;能力管理流程;用户支持;其它日常操作流程,如:巡检、备份、监控,定期报告等。评估方法对电子银行运营架构进行检查;电子银行运营制度及执行情况检查。,运营管理评估,15,实施方案安全管理评估(续),目标检查电子银行针对所具有风险是否建立和实施了完整内部控制体系,把风险控制到组织可以接受的范围内。评估要点内控管理层对电子银行内部控制的认知能力与水平;控制环境建设情况;控制机制执行情况;沟通与监控机制的建设与运行情况;内部审计制度的建设与运行情况。评估方法通过访谈、文档查阅、观察等方法进行控制设计有效性评估;通过符合性检查/测试评价电子银行内部控制的运作情况,是否如描叙一致。,内部控制评估,16,实施方案安全管理评估(续),目标检查电子银行业务的应急响应及业务连续性计划或制度是否完善。评估要点业务影响分析情况;风险分析情况;BCP相关计划与制度制定情况;定期演练情况。评估方法BCP文档审查;演练记录核查。,业务连续性及应急响应评估,17,实施方案安全管理评估(续),目标评估机构的信息系统与技术服务外包风险管理过程的有效性。评估要点电子银行外包需求定义流程;TSP尽责调查程序;服务合约是否完善有效;服务监控是否有效。评估方法相关流程查阅;服务合约查阅;审查与电子银行外包需求定义、TSP尽责调查、服务监控有关的记录文档。,外包管理评估,18,实施方案IT基础设施安全评估,目标分析电子银行系统主要信息资产面临的威胁、存在的弱点、并结合资产价值,综合评价安全风险。评估要点资产分析;威胁分析;弱点分析;已有控制分析;风险分析。评估方法访谈;自动扫描;手工检测;渗透测试;安全分析。,19,实施方案IT基础设施安全评估(续),识别信息资产:搜集电子银行系统信息资产信息,确定信息资产的所有者、管理者和使用者;确定信息资产价值:通过对信息资产的机密性、完整性和可用性进行赋值获得信息资产的价值;威胁评估:识别信息资产可能面临的威胁来源和威胁类型,从列表中进行选择,并对这两项内容进行赋值;脆弱性评估:对应信息资产已经识别出来的威胁选择信息资产本身具有的脆弱性,并对脆弱性进行赋值;获得信息资产风险值:当信息资产的价值、威胁值和脆弱性值都赋值结束后,风险评估表自动计算出该信息资产的风险值。,针对关键信息资产的风险评估,20,目标根据电子银行的业务特征,建立相关业务模型,深入分析评估业务流程中存在的风险环节。评估要点 业务流程建设;业务应用控制;业务控制。评估方法通过人员访谈、文档查阅或现场观测收集业务流程相关信息;按照评估要点对现有业务流程进行分析;通过综合分析评价业务流程的风险。,实施方案业务风险评估,21,调查主要用于评估对象现状信息收集。调查包括问卷、远程访谈与现场访谈。检查主要用于信息收集及弱点分析。包括文档检查、记录核查、配置检查等。测试主要用于弱点分析,包括手工测试、自动工具测试以及综合性的渗透测试。人工分析主要用于资产分析、威胁分析、安全措施分析及安全评价。,实施方案评估手段,22,实施方案评估流程与活动,渗透测试,手工检测,IT基础设施安全评估,安全访谈,自动工具扫描,安全管理评估,文档审核,符合性检查,业务风险评估,业务控制访谈,业务流程建模,管理访谈,改进建议,技术改进,管理改进,综合评价,资产安全评价,业务风险评价,安全管理评价,信息收集,访谈,资料收集,问卷调查,了解电子银行系统的基本信息,风险管理体系的健全性、符合性与有效性,实际的IT安全状态,业务层面风险控制状态,业务控制核查,23,调查问卷 现场访谈表评估表或Checklist自动化测试工具 评价工具,实施方案评估工具,24,实施方案项目阶段划分,按照项目执行的先后顺序以及主要的工作内容,项目实施过程可划分为以下五个阶段:,25,阶段目标完成项目实施前期工作 主要工作内容确定项目任务、目标确定评估范围与内容成立项目组制定项目实施计划收集整理开发各种评估工具 项目背景知识培训主要阶段成果安全评估计划安全评估调查问卷安全评估访谈表各种评估表或Checklist安全评价表,第一阶段:项目准备,26,阶段目标通过调研,收集并整理分析评估对象信息,收集内容涵盖电子银行业务类别,以及各种类别业务从规划、建设、运营到终止整个生命周期的相关信息,重点收集整理分析电子银行应用状况与业务流程信息。(业务及IT应用现状)主要工作内容填写调查问卷文档收集与查阅现场访谈配置信息/状态信息收集分析整理与电子银行相关的组织架构、IT基础设施及以及业务类别业务流程 撰写现状报告主要阶段成果电子银行现状报告,第二阶段:现状调研与分析,27,阶段目标从安全管理、系统安全以及业务风险三个方面对电子银行系统进行全面评估。主要工作内容安全管理安全策略评估组织架构与人员评估管理制度评估IT基础设施安全评估支撑平台评估应用系统安全评估业务风险分析业务流程要素分析业务风险评价阶段成果电子银行安全评估报告(提交银监会)电子银行安全管理评估报告 电子银行IT基础设施安全评估报告电子银行业务流程风险评估报告 各种访谈/检测报告,第三阶段:实施评估,28,阶段目标根据前面评估的结果,确定完善电子银行安全管理需要进行的主要工作,对具体实施内容进行综合分析,提出改进建议与实施规划。主要工作内容根据评估发现的安全问题,制定相应的安全建议措施,并进行分类与合并,转换为可以实施的任务和项目;根据需要编制安全管理和技术方案建议书 阶段成果安全加固建议书技术方案建议书安全管理与风险管理建议书(包含各种制度文档模板),第四阶段:安全建议与方案,操作指南、模板,流程、标准、规范,策略/制度,29,阶段目标完善评估成果、进行项目总结。主要工作内容完善成果项目总结项目汇报阶段成果汇报材料,第五阶段:项目总结,

    注意事项

    本文(银行安全评估.ppt)为本站会员(laozhun)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开