启明星辰金融行业安全解决方案
IT服务管理体系解决方案


1.  概述

 

1.1 项目背景


随着金融行业对信息化的依赖程度日益增强,人们对信息安全的关注程度也空前提高,组织管理者在信息安全技术设施方面的投资越来越大,但是各类信息安全事件还是频繁发生,如大规模病毒爆发、用户信息泄漏、工作人员误操作导致服务器宕机等,IT部门整天忙于救火,但还是导致组织业务中断,给银行带来经济损失和负面影响,甚至引起法律纠纷。而信息正面临着来各方面越来越多的威胁,如何保障信息安全已经成为亟待解决的关键问题。

目前,在解决信息安全问题的过程中普遍存在一些问题,如信息安全的需求难以确定,信息安全要保护的对象和边界难以确定;缺乏系统、全面的信息安全风险评估和评价体系;普遍存在重产品、轻服务,重技术、轻管理的思想;缺乏整体、全面的信息安全保障体系等等。       

要实现最大限度的信息安全,保障组织的正常运营和业务的连续性,就必须将解决信息安全问题的思路由“产品/技术导向”转变为“需求导向”,全面分析信息资产所面临的风险,从风险管理的角度出发,以管理求安全,并通过技术手段来保证管理目标的实现。


1.2 项目目标


根据银行信息安全管理体系咨询服务,能实现如下目标。


l 指导组织信息安全建设,建立健全信息安全组织结构和策略体系,强化工作人员信息安全意识,规范信息安全行为,促进安全管理协作,建立信息安全长久机制;

l 符合相关监管部门要求,保护企业和利益相关方的知识产权、商业秘密等;保持业务持续发展,提升组织核心竞争力。

l 减少信息安全事件,降低由此给银行带来的经济损失和负面影响,规避信息安全责任;


1.3 参考标准


《信息技术服务运行维护 第3部分 应急响应规范

l ISO 17799:2000-信息安全管理体系国际标准

l ISO 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则

l ISO 13335:1996-IT安全管理指南

l ISO7498-2 安全体系结构

l 国家标准《计算机安全保护条例》

l 国家标准《计算站场地技术要求》(GB2887-89

l 国家标准《计算机机房用活动地板技术条件》(GB6650-86

l 国家标准《电子设备雷击保护导则》(GB7450-87

l 国家标准 《信息技术设备的无线电干扰极限值和测量方法》(GB9254-88

l 国家标准《计算站场地安全要求》(GB9361-88

l 《中华人民共和国保守国家秘密法》

l 《中华人民共和国保守国家秘密法实施办法》

l 《中华人民共和国计算机信息系统安全保护条例》

l 《中华人民共和国信息网络国际互联网管理暂行规定》

《计算机信息网络国际互联网安全保护管理办法》

2.  服务背景

2.1.    安全形势

由于银行对信息系统依赖程度越来越高,信息系统的运行管理已成为银行科技部门保障业务连续性的首要任务。面对越来越复杂的信息系统和快速发展的业务需求,信息科技部门在运维工作中经常面临如下问题:


Ø IT部门缺少展示其工作绩效的数据,IT为业务部门做出的贡献难以量化;

Ø 和业务部门缺乏有效而充分的沟通;

Ø 来自业务部门不合理的期望和需求;

Ø 抱怨低质量服务和高成本投入,IT是花钱的部门;

Ø 银行IT管理的有关制度与快速发展的IT部门不适应,组织管理割裂,职责不清,IT服务管理缺乏流程保障;

Ø 如何调配有限的IT资源,包括人员、系统等;

Ø 如何有效管理外包服务;


运维工程师也面临诸多困惑:

Ø 简单重复性劳动比例较高;

Ø 忙于“救火”,并且陷入恶性循环,用心却做了错事;

Ø 经常加班,任务繁重;

Ø 业绩无法明确评价,得不到领导的认可且缺乏成就感;

Ø 企业对IT运维重视不够;

Ø 得不到业务部门的认可和尊重,职业前景不明朗;

Ø 服务要求和流程没有实现标准化,主动性维护不够;

Ø 核心业务出现了问题却安排不出人手去处理,结果影响到了公司的业务;

Ø 大量的IT设备无法有效的管理和跟踪,以及有效的利用;

Ø 业务系统投入和升级都会让人提心吊胆,总之不出这事就会出那事;

Ø … …

2.2.    监管要求

金融是影响国计民生的重要行业,中央办公厅、国务院办公厅、公安部、人民银行、银监会、证监会和保监会等主管部门对金融系统的信息安全问题非常重视,先后对金融行业信息安全工作提出了指导建议和相关规定,明确指出要加大在信息安全治理工作方面的投入,特别是要保障对公众提供服务的业务系统的安全性和可靠性。


以下是近年来各监管部门出台的一些指导建议和相关规定。

主管部门

文号

日期

文件名

中央办公厅和国务院办公厅

中办发[2003]27

20038

国家信息化领导小组关于加强信息安全保障工作的意见

中办发〔200618

20065

国家信息化领导小组关于推进国家电子政务网络建设的意见

国务院办公厅

17号文

2008

关于加强政府信息系统安全和保密管理工作的通知

公安部、国家保密局、国家密码管理局和国务院信息化工作办公室

公通字[2004]66号文

20049

关于印发《关于信息安全等级保护工作的实施意见》的通知

公通字[2007]43号文

20076

关于印发《信息安全等级保护管理办法》的通知

公信安[2007]861

20077

关于开展全国重要信息系统安全等级保护定级工作的通知

银监会

20063

《电子银行业务管理办法》和《电子银行安全评估指引》

银监发[2006]63

200611

关于印发《银行业金融机构信息系统风险管理指引》的通知

银监办通[2006] 313

200611

关于开展2006年度信息科技风险内部和外部评价审计的通知

20076

中国银监会关于印发《商业银行操作风险管理指引》的通知

银监办发[2007]134

20076

关于做好网上银行风险管理和服务的通知

20083

关于开展银行业金融机构信息科技风险奥运专项自查工作的通知

中国人民银行

中国人民银行公告〔2005〕第 23

200510

电子支付指引(第一号)

银发[2012]121

20125

中国人民银行关于发布《网上银行系统信息安全通用规范》

201212

中国金融移动支付标准

基于上述要求,需要各类电子银行开展定期的安全咨询与评估工作。

2.3.    现状描述

3.  服务介绍

3.1.    服务范围

3.2.    服务内容

信息安全管理体系咨询服务的目的就是根据ISO27001标准的要求,采用PDCA的过程模型,通过基于资产的风险评估,帮助建立文件化的信息安全管理体系,辅导银行在其组织范围内实施、运行、评审信息安全管理体系,从而确保客户信息系统的正常运行,提高服务竞争力,最终促进银行业务的开展。

信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系实施、调整、评审四个阶段,各个阶段如图所示:


2-2 信息安全管理体系建设咨询服务


  第一阶段:准备


   准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务,分别是: 

n 确定ISMS范围

   根据银行业务需要确定ISMS涵盖的范围,包括地理位置、部门或信息系统等。

n 确定信息安全总体方针政策

   分析ISMS范围内的业务及系统安全需求,确定ISMS的总体方针政策。

n 定义风险评估与管理方法

   确定风险评估模型,确定风险评估指标,定义风险评估及管理程序。

n 项目准备

   制定实施计划、成立项目组、整理开发相关工具模板、召开启动会,进行项目背景知识培训等。

 

  第二阶段:风险评估


   分析ISMS范围内的信息安全现状,针对ISMS范围内的所有信息资产,识别并评价其面临的安全风险,提出对应的控制措施。包括三大工作任务,分别为:

n 现状分析

   通过访谈、检查及测试了解ISMS范围内的信息安全现状,形成现状报告,并将获取的安全现状与ISO27001中的安全控制措施进行差距分析。

n 风险评价

   按照确定的风险评估模型,评价现状分析阶段识别的资产、威胁及弱点,

确定资产风险等级。

n 风险处置

确定风险处置方式,选择安全控制措施,制定风险处置计划,进行残余风险分析。

 

  第三阶段:安全体系规划与设计


   根据差距分析和风险评估结果规划安全体系建设任务,落实本期建设规划。

包括两大工作任务,分别为:

n 安全体系规划

   规划信息安全体系建设项目、任务、计划等。

n 编写安全体系文档

   设计信息安全体系管理文档或技术方案。

 

  第四阶段:安全体系实施、调整、评审


   落实信息安全管理措施,部署信息安全技术措施,运行信息安全管理体系,改进信息安全管理体系不足,按照ISO27001要求进行信息安全管理体系内部审核和管理评审。包括三大工作任务,分别为:

n 体系实施

   落实或部署信息安全管理体系的相关管理及技术措施,运行信息安全管理体系。 

n 体系调整

   针对实施和运行中存在的问题,对信息安全管理体系进行调整改进。

n 体系评审

   按照ISO27001要求进行信息安全管理体系内部审核和管理评审。


3.3.    服务方法


3.3.1.  调查问卷 


调查问卷是为了大范围收集了解情况,而由甲方相关人员填写由咨询人员收集分析的问卷表,由于问卷调查可以在大范围并行开展,因此可以节约信息收集时间。但调查问卷获取信息的可靠性较差,因此问卷涉及的调查内容应该包括在面对面访谈中。

ISMS建设调查问卷包括:


n 威胁调查问卷

用于收集了解体系建设范围内信息安全威胁及事件的相关信息。

n 息安全管理调查问卷

初步了解体系建设范围内信息安全管理的相关情况,同时了解调查被调查人员关于信息安全管理的意识以及关于ISMS体系建设迫切需要解决的问题。


3.3.2.  现场访谈表


现场访谈表是由咨询人员使用的用于面对面访谈甲方相关人员的工作表格。现场访谈表主要用于收集体系建设范围内组织及IT系统的基本信息和安全状况。

ISMS建设现场访谈表包括:

1)  IT组织情况调查表

主要调查体系建设范围内IT组织的基本情况。

2)  信息系统调查表(系列)

主要调查体系建设范围内信息系统的基本情况,包括物理、网络、主机、数据库以及应用系统的部署使用、安全措施等。

3)  安全管理访谈表

按照BS7799-1或者ISO27001要求,进行安全管理措施及弱点访谈。

4)  物理安全访谈表 

进行物理安全控制措施及弱点访谈。

5)  网络架构安全访谈表

进行网络架构安全控制措施及弱点访谈。

6)  网络设备安全访谈表(系列)

对各种网络设备进行安全控制措施及弱点访谈。

7)  操作系统安全访谈表(系列)

对各种操作系统进行安全控制措施及弱点访谈。

8)  系统软件安全访谈表(系列)

对各种系统软件进行安全控制措施及弱点访谈。

9)  数据库系统安全访谈表(系列)

对各种数据库系统进行安全控制措施及弱点访谈。

10)    应用系统安全访谈表

对各种应用系统进行安全控制措施及弱点访谈。


3.3.3.  人工检测表


根据现场访谈结果,进行管理、网络、系统、应用手工检查或测试。人工检测表与访谈表可合并成一个安全评估表,包括:


1) 安全管理核查表

检查安全管理措施落实情况。

2) 网络设备安全检测表(系列)

检查或测试各种网络设备安全控制及弱点情况。

3) 操作系统安全检测表(系列)

检查或测试各种操作系统安全控制及弱点情况。

4) 系统软件安全检测表(系列)

检查或测试各种系统软件安全控制及弱点情况。

5) 数据库系统安全检测表(系列)

检查或测试各种数据库系统安全控制及弱点情况。

6) 应用系统安全检测表

检查或测试各种应用系统安全控制及弱点情况。


3.3.4.  文档模板


文档模板用于统一文档风格,进行结果记录、统计与分析。ISMS建设文档模板包括: 

1)  ISMS各级文件模板

2)  资产风险评估表

3)  规划表

4)  其它文件模板


3.3.5.  知识库或指标库


1)  风险评估模型与指标(如:风险类别、风险分级等)

2)  规划方法模型与指标

3)  差距分析准则


3.3.6.  技术检测工具(主要进行安全扫描和渗透测试)

 

1)  弱点扫描工具

2)  嗅探工具

3)  其它自动化工具


3.3.7.  风险处置方法


根据风险处置标准,确定风险处置方式。对于那些需要控制的风险,需要选择安全控制措施,制定风险处置计划,进行残余风险分析。

风险处置方法一般包括风险接受、风险控制、风险转移、风险规避四种。

1)  风险接受:包括低于一定的风险水平本身就可接受的风险,或者那些不可避免,而且技术上、资源上不可能采取对策来降低,或者降低对组织来说不经济的风险。

2)  风险控制:采用适当的控制以降低风险:包括降低安全事件发生的可能性或者降低安全事件影响两个方面,这时风险处置的重点。

3)  风险转移:将风险和其他的利益方分担,避免自己承担全部损失。例如保险和其他的风险分担合同。

风险规避:通过避免开展某项业务、活动或使用某项不成熟的产品技术等来回避可能产生的风险,通常这些业务、活动不是组织的核心内容。


3.4.    服务流程


金融行业信息安全管理体系将遵照我国信息安全保障政策,参考信息安全等级保护标准规范,依据全球信息安全管理最佳实践标准ISO27001,为银行建立起文件化的、能够持续改进的、符合金融行业特点的信息安全管理体系,不断完善银行信息安全保障机制。遵照ISO27001标准,然后结合金融行业特点、业务特点,设计符合不同银行实际需求的信息安全管理体系,保障业务连续性,实现组织战略目标。

信息安全管理体系基本建设过程和内容如下图所示。

 

2-1 信息安全管理体系咨询服务实施思路


n 现状调研:对银行主要业务及其流程、服务对象和范围、信息安全组织结构以及网络和系统情况等进行调研;

n 差距分析和风险评估:基于信息系统安全等级,依据我国等级保护技术标准进行差距分析,查找信息系统安全防护现状与相应等级技术标准之间的差距,并进行风险评估,深入挖掘政府部门在技术和管理方面存在的漏洞;

n 风险分析:对银行在安全技术、安全策略以及组织结构等方面的风险进行分析;

n 选择风险策略:根据我国信息安全等级保护政策要求、政府行业相关规定,选择风险的处置方式;

n 策划信息安全管理体系:根据风险评估结果和风险处置策略,充分结合银行业务特点,整体策划信息安全管理体系;

n 建立信息安全管理体系:编制信息安全管理体系文件、建立信息安全管理组织、落实安全技术体系等;

n 信息安全管理体系运行:全面执行体系文件,并持续改进管理体系。