欢迎来到天天文库
浏览记录
ID:58646871
大小:1.58 MB
页数:58页
时间:2020-10-16
《金融行业安全服务方案.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、启明星辰金融事业部安全服务解决方案Ver1.0北京启明星辰信息技术股份有限公司VenusInformationtechnology目录安全服务解决方案4第1章概述41.1需求分析41.2项目建设目标4第2章方案内容52.1安全管理咨询顾问服务52.1.1进行信息安全管理体系咨询52.1.2协助进行信息安全应急响应演练62.1.3提供定制化的信息安全培训62.1.4提供互联网安全事件应急响应服务62.1.5国内外安全事件技术分析和趋势跟踪72.2安全建设及安全监控外包服务72.2.1风险评估72.2.2提供安全改造咨询72.2.3提供加固
2、技术支持72.2.4提供监控服务7第3章评估理论、方法及模型83.1相关标准与规范83.1.1评估咨询项目的标准性原则83.1.2方案中标准的体现对照83.1.3相关标准规范介绍103.1.3.1COSO报告《内部控制整体框架》与ERM《企业风险管理一整体框架》103.1.3.2COBIT《信息及相关技术的控制目标》123.1.3.3ITIL《IT基础架构库》143.1.3.4ISO27001《信息安全管理规范》163.1.3.5银监会63号文《银行业金融机构信息系统风险管理指引》183.1.3.6Cobit、ISO17799与63号文
3、控制目标对应表193.2安全风险评估策略323.2.1风险管理原则323.2.2建模策略333.2.3信息安全管理343.2.4标准遵循343.3安全风险评估理论模型343.3.1安全风险过程模型343.3.2安全风险关系模型363.3.3安全风险计算模型363.3.4安全风险管理过程模型38第4章风险评估404.1资产管理评估404.1.1资产分类调查404.1.2资产安全管理414.2威胁评估424.2.1安全隐患分析424.2.2网络架构威胁分析434.3弱点与漏洞评估444.3.1大规模漏洞检测评估444.3.2渗透性测试444
4、.3.3控制台人工审计454.4网络架构评估464.4.1网络性能与业务负载分析464.4.2访问控制策略与措施分析474.4.3网络设备策略与配置评估484.4.4安全设备策略与配置评估484.5安全控制评估494.6安全管理评估504.6.1安全管理体系评估504.6.2常规安全管理514.6.3应急安全管理514.7业务与应用评估524.7.1业务流程分析524.7.2应用服务与应用系统分析534.8典型安全评估咨询输出544.8.1信息安全现状报告544.8.2信息安全风险评估报告544.8.3信息安全策略建议554.8.4信息
5、安全解决方案建议564.8.5安全培训方案建议书56第1章概述1.1需求分析随着金融业务的高速发展,对信息系统的要求越来越高。在信息系统建设的同时,也非常注重信息安全的建设,为了进一步提高信息系统的安全性,依据长期发展战略,提出了管理制度体系建设、到应急、到网上银行等多个层面的安全需求,具体包括如下几个方面:Ø完善信息科技部门信息安全管理体系;Ø提高信息安全应急响应能力;Ø提高信息安全人员意识及技术能力;Ø提高银行自身合规性的能力;Ø加强对国内外安全事件技术分析和趋势跟踪;Ø清楚认识网上银行存在的风险,提高网上银行的安全性。1.2项目建
6、设目标通过项目建设,达到如下目标:Ø根据中国银行业监督管理委员会下发的相关信息科技风险管理指引,以及国际流行的信息安全风险管理规范,结合信息科技发展的实际情况,进一步完善和细化信息科技风险管理制度和流程;Ø提高对信息安全的应急能力;Ø通过培训等手段提高信息科技部技术队伍人员的信息安全意识和技能水平;Ø提高符合监管部门监管要求、法律法规的能力;Ø通过评估网上银行的现状,提出网银安全建设和整改方案,并监控来自互联网针对网银的攻击行为。第1章方案内容为了满足安全需求,达到预定目标,项目建设的内容如下:1.1安全管理咨询顾问服务1.1.1进行信
7、息安全管理体系咨询在已有信息安全管理制度、规范的基础上,进一步制定可落实、可执行的信息安全管理体系,涵盖策略、规范、流程等各个层面。通过多年的积累,结合BS7799及COBIT最佳实践,形成了自己的一套管理制度体系,这套管理体系可以根据客户的实际情况进行裁剪。在本项目中,我们将会对XXXXX现有制度进行梳理,结合公司的管理体系框架,形成一套适合XXXXX的管理制度体系及流程,具体如下步骤:本活动由以下步骤组成:步骤1:分析已获信息策略规划小组对已收集的各种文档信息进行分析,鉴别已有的信息安全策略,并进行相应的记录。步骤2:设计框架结构根
8、据已获得的信息,策略规划小组设计信息安全策略框架。步骤3:沟通框架结构针对已创建的信息安全策略框架,策略规划小组与相关人员进行沟通。步骤4:制定安全策略在确定了信息安全策略的框架之后,策略规划小组为制定信息
此文档下载收益归作者所有