資源描述:
《電子銀行安全評(píng)估方案》由會(huì)員上傳分享���,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)���。
1、電子銀行安全評(píng)估方案中國(guó)金融認(rèn)證中心(CFCA)2008-41概述41.評(píng)估背景42.目標(biāo)53.評(píng)估參考依據(jù)51.評(píng)估方式52評(píng)估范圍63評(píng)估內(nèi)容73」電子銀行安全管理評(píng)估81.電子銀行系統(tǒng)平臺(tái)安全評(píng)估92.電子銀行業(yè)務(wù)控制評(píng)估114評(píng)估方法12評(píng)估流程127.2業(yè)務(wù)及IT應(yīng)用現(xiàn)狀調(diào)研137.3現(xiàn)場(chǎng)評(píng)估147.4綜合評(píng)價(jià)15評(píng)估手段154.2.1調(diào)查164.2.2檢查164.2.3測(cè)試164.2.4人工分析174.3評(píng)估工具174.3.1調(diào)查問(wèn)卷174.3.2現(xiàn)場(chǎng)調(diào)查表174.3.3評(píng)估^/Checklist184.3.4自動(dòng)化測(cè)試工具195項(xiàng)目階段與時(shí)間估算194.1項(xiàng)目階段劃分196.2
2�����、項(xiàng)目準(zhǔn)備206.3現(xiàn)狀調(diào)研與分析206.4實(shí)施評(píng)估226.5改進(jìn)建議236.6項(xiàng)目總結(jié)24時(shí)間估算246項(xiàng)目組織與人員安排266」組織機(jī)構(gòu)26主要人員安排27主要人員介紹277項(xiàng)目管理277」質(zhì)量保證274.實(shí)施過(guò)程中的風(fēng)險(xiǎn)控制285.交流與溝通288主要項(xiàng)目文檔29附件1:電子銀行整體安全評(píng)價(jià)準(zhǔn)則29附件2:關(guān)鍵資產(chǎn)安全風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則331概述為掌握電子銀行整體業(yè)務(wù)應(yīng)用及安全狀況����,了解當(dāng)前電子銀行風(fēng)險(xiǎn)管理狀況與中國(guó)銀監(jiān)會(huì)(以下簡(jiǎn)稱(chēng)銀監(jiān)會(huì))相關(guān)要求之間的差距��,全面加強(qiáng)電子銀行風(fēng)險(xiǎn)管理���,最終推動(dòng)電子銀行業(yè)務(wù)的開(kāi)展����,**銀行決定針對(duì)電子銀行開(kāi)展安全評(píng)估,以期發(fā)現(xiàn)并彌補(bǔ)電子銀行在安全管理�、系統(tǒng)平臺(tái)安
3���、全以及業(yè)務(wù)控制等方面存在的弱點(diǎn)或問(wèn)題。1.1評(píng)估背景隨著國(guó)民經(jīng)濟(jì)��、信息技術(shù)以及信息化的發(fā)展�����,銀行的業(yè)務(wù)開(kāi)展模式發(fā)生了巨大的變化,最明顯的就是以信息技術(shù)為支撐平臺(tái)的電子銀行逐漸成為各家銀行的重要業(yè)務(wù)渠道���。與傳統(tǒng)銀行業(yè)務(wù)渠道相比�,電子銀行具有許多優(yōu)勢(shì)。一是由于電子銀行主要利用公共網(wǎng)絡(luò)資源�����,不需設(shè)置物理的分支機(jī)構(gòu)或營(yíng)業(yè)網(wǎng)點(diǎn),大大降低銀行經(jīng)營(yíng)成本�,有效提高銀行盈利能力��。二是電子銀行業(yè)務(wù)打破了傳統(tǒng)銀行業(yè)務(wù)的地域、時(shí)間限制��,具有能在任何時(shí)候(Anytime)、任何地方(Anywhere)�、以任何方式(Anyhow)為客戶(hù)提供金融服務(wù)的特點(diǎn)���,這既有利于吸引和保留優(yōu)質(zhì)客戶(hù)���,又能主動(dòng)擴(kuò)大客戶(hù)群�����,開(kāi)辟新的利潤(rùn)來(lái)
4、源�。三是電子銀行有利于服務(wù)創(chuàng)新��,向客戶(hù)提供多種類(lèi)����、個(gè)性化服務(wù)。但由于其特定的運(yùn)作方式和網(wǎng)絡(luò)環(huán)境����,電子銀行在帶給人們極大便利的同時(shí),也帶來(lái)了更多的傳統(tǒng)或新的銀行風(fēng)險(xiǎn)����。通常情況下,電子銀行業(yè)務(wù)的開(kāi)展可能會(huì)給銀行帶來(lái)大量的交易或操作風(fēng)險(xiǎn)�����、符合性/法律風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn),如:服務(wù)中斷��、客戶(hù)信息泄露�、客戶(hù)資金被盜等。此外一些傳統(tǒng)的風(fēng)險(xiǎn)����,如:戰(zhàn)略風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)�����、流動(dòng)性/價(jià)格/市場(chǎng)等風(fēng)險(xiǎn)也會(huì)因電子銀行的特點(diǎn)而發(fā)生變化�����,如:由于銀行與客戶(hù)不直接見(jiàn)面����、客戶(hù)分散�、業(yè)務(wù)區(qū)域跨度大、市場(chǎng)變化快等原因�����,銀行難以準(zhǔn)確判斷客戶(hù)的信譽(yù)狀況���、抵押品價(jià)值變化�����。同時(shí)�����,電子銀行業(yè)務(wù)在許多方面突破了傳統(tǒng)的法律框架,這也給電子銀行業(yè)務(wù)運(yùn)
5��、營(yíng)和監(jiān)管帶來(lái)一些體制性障礙�����。為有效防范風(fēng)險(xiǎn)�����,確保電子銀行的安全,必須加強(qiáng)對(duì)電子銀行的監(jiān)督與管理����。為此銀監(jiān)會(huì)發(fā)布了《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》,要求申請(qǐng)和開(kāi)展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)��,應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要��,利用外部專(zhuān)業(yè)評(píng)估機(jī)構(gòu)或內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)及管理的評(píng)估部門(mén)�,定期對(duì)電子銀行進(jìn)行安全評(píng)估��,安全評(píng)估包括對(duì)電子銀行安全策略�����、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全��、客戶(hù)保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià)。1.2目標(biāo)本次電子銀行安全評(píng)估工作的目標(biāo)主要有:>掌握電子銀行業(yè)務(wù)應(yīng)用及安全狀況����;>按照銀監(jiān)會(huì)相關(guān)要求完成電子銀行安全評(píng)估��;>針對(duì)評(píng)估中發(fā)現(xiàn)的問(wèn)題提出改進(jìn)
6���、建議或方案�;>為**銀行將來(lái)電子銀行風(fēng)險(xiǎn)管理積累經(jīng)驗(yàn)。1.3評(píng)估參考依據(jù)本次電子銀行安全評(píng)估主要參考依據(jù)包括:《信息安全風(fēng)險(xiǎn)評(píng)估指南》(GB/TxXXx-xXxX送審稿)�����;《商業(yè)銀行內(nèi)部控制評(píng)價(jià)辦法》(銀監(jiān)會(huì));《銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引》(銀監(jiān)會(huì))��;《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》(銀監(jiān)會(huì));《電子銀行業(yè)務(wù)管理辦法》(銀監(jiān)會(huì));《電子銀行安全評(píng)估指引》(銀監(jiān)會(huì));《電子銀行風(fēng)險(xiǎn)管理原則》(巴塞爾銀行監(jiān)管委員會(huì))���;ISO/IEC27000系列標(biāo)準(zhǔn)��。1.4評(píng)估方式本次電子銀行安全評(píng)估是由中國(guó)金融認(rèn)證中心(以下簡(jiǎn)稱(chēng)CFCA)按照銀監(jiān)會(huì)《電子銀行業(yè)務(wù)管理辦法》以及《電子銀行安全評(píng)估指引》要
7、求實(shí)施的外部第三方評(píng)估����,評(píng)估過(guò)程與評(píng)估結(jié)果將作為**銀行申請(qǐng)電子銀行業(yè)務(wù)的依據(jù)材料���,上報(bào)銀監(jiān)會(huì)。2評(píng)估范圍依據(jù)銀監(jiān)會(huì)《電子銀行業(yè)務(wù)管理辦法》��、《電子銀行安全評(píng)估指引》以及**銀行電子銀行業(yè)務(wù)開(kāi)展?fàn)顩r,本次電子銀行安全評(píng)估的范圍如下:■組織范圍通常來(lái)說(shuō)��,與電子銀行相關(guān)的部門(mén)包括:?業(yè)務(wù)部門(mén)(電子銀行部):負(fù)責(zé)電子銀行日常業(yè)務(wù)的開(kāi)展。aIT部門(mén)(科技部):負(fù)責(zé)電子銀行系統(tǒng)平臺(tái)的開(kāi)發(fā)�、獲取及日常運(yùn)維��。》風(fēng)險(xiǎn)管理部門(mén)
