金融行業(yè)電子銀行安全風(fēng)險評估服務(wù)
來源: 發(fā)布日期:2017.12.15 點擊量:
根據(jù)中國銀行業(yè)監(jiān)督管理委員會的《電子銀行業(yè)務(wù)管理辦法》要求,在境內(nèi)開展電子銀行業(yè)務(wù)的金融機構(gòu)應(yīng)定期對電子銀行系統(tǒng)進(jìn)行安全評估����,并將其作為電子銀行風(fēng)險管理的重要組成部分����。
安言咨詢將根據(jù)中國銀監(jiān)會的《電子銀行安全評估指引》和《網(wǎng)上銀行安全評估內(nèi)部審核規(guī)范》,參照《電子銀行業(yè)務(wù)管理辦法》�、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》等相關(guān)制度規(guī)范的要求,開展電子銀行安全評估工作���。
1.符合性核查依據(jù)
本次電子銀行安全評估工作主要依據(jù)以下政策法規(guī)和標(biāo)準(zhǔn)規(guī)范:
《電子銀行安全評估指引》(中國銀行業(yè)監(jiān)督管理委員會)
2.項目進(jìn)度及范圍
依據(jù)《電子銀行業(yè)務(wù)管理辦法》的要求在風(fēng)險管理架構(gòu)和制度、安全策略文檔�����、系統(tǒng)安全性及業(yè)務(wù)連續(xù)性四個主要安全域�����,包括了安全策略、內(nèi)控制度建設(shè)�����、系統(tǒng)安全性�����、業(yè)務(wù)連續(xù)性����、業(yè)務(wù)應(yīng)急、風(fēng)險管理狀況及風(fēng)險預(yù)警七方面內(nèi)容對電子銀行進(jìn)行綜合評估����。
2.1項目評估范圍
具體安全評估內(nèi)容及評估執(zhí)行級別請見下表:
|
評估域
|
評估項
|
|
風(fēng)險管理架構(gòu)和制度
|
電子銀行業(yè)務(wù)高級管理職責(zé)和制度設(shè)計
|
|
董事會和高管層的認(rèn)識和支持
|
|
電子銀行業(yè)務(wù)管理部門崗位設(shè)置和內(nèi)部制約
|
|
風(fēng)險管理配備與培訓(xùn)
|
|
電子銀行業(yè)務(wù)風(fēng)險管理的規(guī)章制度與操作規(guī)定
|
|
電子銀行業(yè)務(wù)的風(fēng)險管理的關(guān)鍵流程
|
|
外包風(fēng)險管理
|
|
風(fēng)險預(yù)警體系建設(shè)
|
|
內(nèi)部審計制度的建設(shè)與運行情況
|
|
安全策略文檔
|
安全策略制定的流程
|
|
系統(tǒng)設(shè)計與開發(fā)的安全策略
|
|
系統(tǒng)測試與驗收的安全策略
|
|
系統(tǒng)運維安全策略
|
|
系統(tǒng)備份與應(yīng)急的安全策略
|
|
客戶信息安全策略
|
|
系統(tǒng)安全性
|
物理環(huán)境安全
|
|
通訊安全
|
|
主機系統(tǒng)安全
|
|
應(yīng)用系統(tǒng)安全
|
|
密鑰管理
|
|
客戶信息認(rèn)證與保密
|
|
入侵監(jiān)測和反應(yīng)機制
|
|
業(yè)務(wù)連續(xù)性
|
業(yè)務(wù)連續(xù)性設(shè)施和能力
|
|
業(yè)務(wù)連續(xù)性制度和文檔
|
|
應(yīng)急預(yù)案的制定、更新和培訓(xùn)
|
|
應(yīng)急預(yù)案定期檢測與演練情況
|
|
突發(fā)事件管理能力
|
3.符合性評估方法
從評估的方法來看�,本次符合性評估主要包括系統(tǒng)安全性測試評估和管理制度評估兩大部分。
3.1 系統(tǒng)安全性評估方法
系統(tǒng)安全性測試的內(nèi)容包括但不局限于安全配置核查����、案例驗證、漏洞掃描測試�、滲透性測試(系統(tǒng)內(nèi)部或外部發(fā)起),如下:
安全配置核查:評估人員使用配置核查列表等工具對系統(tǒng)的重要網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備(如防火墻�����、交換機和IDS系統(tǒng)等)和主機系統(tǒng)(主要是各個重要的服務(wù)器操作系統(tǒng)�����、數(shù)據(jù)庫)的安全配置項進(jìn)行核查��,主要檢測由系統(tǒng)本身配置不當(dāng)帶來的脆弱性���。在進(jìn)行安全配置檢查時考慮到被評估系統(tǒng)為運行系統(tǒng)�,因此一般不在其上面安裝自動化的安全配置檢測工具����,而主要是采用上機手工操作方式來查看評估對象的安全保護(hù)措施是否符合評估要求。安全配置核查需要委托單位的技術(shù)人員的全程陪同協(xié)助完成�����。
案例驗證:評估人員通過對評估對象按照預(yù)定的方法��、工具使其產(chǎn)生特定的行為���,并查看�、分析輸出結(jié)果��,以證明評估對象的安全保護(hù)措施是否符合評估要求���。
漏洞掃描測試:評估人員采用自動化工具對系統(tǒng)網(wǎng)絡(luò)��、主機操作系統(tǒng)����、數(shù)據(jù)庫��、應(yīng)用系統(tǒng)等進(jìn)行掃描檢測��,在系統(tǒng)不同層次上檢測并統(tǒng)計所暴露的安全漏洞和脆弱點�����,確定系統(tǒng)的綜合安全狀況。
滲透性測試:評估人員根據(jù)漏洞掃描的結(jié)果��,按用戶要求進(jìn)行漏洞驗證���。依據(jù)漏洞可能被利用的程度���,設(shè)計案例并實施模擬攻擊測試,以驗證評估對象抗攻擊能力���。滲透性測試是模擬滲透攻擊者對系統(tǒng)進(jìn)行滲透�����,檢測系統(tǒng)抵抗攻擊的能力�,但與惡意的攻擊者不同��,這種模擬的滲透攻擊不會對被測試系統(tǒng)造成損害�����。但仍建議用戶提前做好備份工作并制定相應(yīng)的應(yīng)急恢復(fù)預(yù)案�。
3.2 管理符合性評估方法
管理制度的評估方式包括但不局限于現(xiàn)場訪談、文檔核查等���,具體如下:
現(xiàn)場訪談:評估人員通過與電子銀行的設(shè)計�、建設(shè)、運行�����、管理等環(huán)節(jié)的有關(guān)人員(個人/群體)進(jìn)行交流���、討論,獲取證據(jù)以證明某項安全保護(hù)措施是否有效�。
文檔核查:評估人員通過對銀行提供的管理制度文檔及其執(zhí)行情況和記錄等進(jìn)行查驗�����、分析���,獲取證據(jù)以證明某項安全保護(hù)措施是否有效實施�����。
4. 符合性評估流程
在與委托單位正式簽署有關(guān)電子銀行安全評估的委托評估協(xié)議以后�����,整個安全評估工作將經(jīng)歷評估準(zhǔn)備��、現(xiàn)場評估���、整改復(fù)核�����、總結(jié)報告四個主要階段���。
相關(guān)客戶案例:
