資源描述:
《金融行業(yè)安全服務方案.doc》由會員上傳分享��,免費在線閱讀����,更多相關內(nèi)容在教育資源-天天文庫。
1����、啟明星辰金融事業(yè)部安全服務解決方案Ver1.0北京啟明星辰信息技術股份有限公司VenusInformationtechnology目錄安全服務解決方案4第1章概述41.1需求分析41.2項目建設目標4第2章方案內(nèi)容52.1安全管理咨詢顧問服務52.1.1進行信息安全管理體系咨詢52.1.2協(xié)助進行信息安全應急響應演練62.1.3提供定制化的信息安全培訓62.1.4提供互聯(lián)網(wǎng)安全事件應急響應服務62.1.5國內(nèi)外安全事件技術分析和趨勢跟蹤72.2安全建設及安全監(jiān)控外包服務72.2.1風險評估72.2.2提供安全改造咨詢72.2.3提供加固
2�����、技術支持72.2.4提供監(jiān)控服務7第3章評估理論�����、方法及模型83.1相關標準與規(guī)范83.1.1評估咨詢項目的標準性原則83.1.2方案中標準的體現(xiàn)對照83.1.3相關標準規(guī)范介紹103.1.3.1COSO報告《內(nèi)部控制整體框架》與ERM《企業(yè)風險管理一整體框架》103.1.3.2COBIT《信息及相關技術的控制目標》123.1.3.3ITIL《IT基礎架構庫》143.1.3.4ISO27001《信息安全管理規(guī)范》163.1.3.5銀監(jiān)會63號文《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》183.1.3.6Cobit�、ISO17799與63號文
3、控制目標對應表193.2安全風險評估策略323.2.1風險管理原則323.2.2建模策略333.2.3信息安全管理343.2.4標準遵循343.3安全風險評估理論模型343.3.1安全風險過程模型343.3.2安全風險關系模型363.3.3安全風險計算模型363.3.4安全風險管理過程模型38第4章風險評估404.1資產(chǎn)管理評估404.1.1資產(chǎn)分類調(diào)查404.1.2資產(chǎn)安全管理414.2威脅評估424.2.1安全隱患分析424.2.2網(wǎng)絡架構威脅分析434.3弱點與漏洞評估444.3.1大規(guī)模漏洞檢測評估444.3.2滲透性測試444
4�����、.3.3控制臺人工審計454.4網(wǎng)絡架構評估464.4.1網(wǎng)絡性能與業(yè)務負載分析464.4.2訪問控制策略與措施分析474.4.3網(wǎng)絡設備策略與配置評估484.4.4安全設備策略與配置評估484.5安全控制評估494.6安全管理評估504.6.1安全管理體系評估504.6.2常規(guī)安全管理514.6.3應急安全管理514.7業(yè)務與應用評估524.7.1業(yè)務流程分析524.7.2應用服務與應用系統(tǒng)分析534.8典型安全評估咨詢輸出544.8.1信息安全現(xiàn)狀報告544.8.2信息安全風險評估報告544.8.3信息安全策略建議554.8.4信息
5����、安全解決方案建議564.8.5安全培訓方案建議書56第1章概述1.1需求分析隨著金融業(yè)務的高速發(fā)展,對信息系統(tǒng)的要求越來越高���。在信息系統(tǒng)建設的同時���,也非常注重信息安全的建設�,為了進一步提高信息系統(tǒng)的安全性�����,依據(jù)長期發(fā)展戰(zhàn)略��,提出了管理制度體系建設����、到應急、到網(wǎng)上銀行等多個層面的安全需求����,具體包括如下幾個方面:?完善信息科技部門信息安全管理體系;?提高信息安全應急響應能力���;?提高信息安全人員意識及技術能力�;?提高銀行自身合規(guī)性的能力���;?加強對國內(nèi)外安全事件技術分析和趨勢跟蹤����;?清楚認識網(wǎng)上銀行存在的風險,提高網(wǎng)上銀行的安全性�����。1.2項目建
6����、設目標通過項目建設�����,達到如下目標:?根據(jù)中國銀行業(yè)監(jiān)督管理委員會下發(fā)的相關信息科技風險管理指引����,以及國際流行的信息安全風險管理規(guī)范,結合信息科技發(fā)展的實際情況�����,進一步完善和細化信息科技風險管理制度和流程�;?提高對信息安全的應急能力;?通過培訓等手段提高信息科技部技術隊伍人員的信息安全意識和技能水平�����;?提高符合監(jiān)管部門監(jiān)管要求、法律法規(guī)的能力���;?通過評估網(wǎng)上銀行的現(xiàn)狀�,提出網(wǎng)銀安全建設和整改方案����,并監(jiān)控來自互聯(lián)網(wǎng)針對網(wǎng)銀的攻擊行為。第1章方案內(nèi)容為了滿足安全需求����,達到預定目標,項目建設的內(nèi)容如下:1.1安全管理咨詢顧問服務1.1.1進行信
7�����、息安全管理體系咨詢在已有信息安全管理制度�、規(guī)范的基礎上,進一步制定可落實�、可執(zhí)行的信息安全管理體系,涵蓋策略���、規(guī)范��、流程等各個層面�。通過多年的積累,結合BS7799及COBIT最佳實踐���,形成了自己的一套管理制度體系�����,這套管理體系可以根據(jù)客戶的實際情況進行裁剪�����。在本項目中,我們將會對XXXXX現(xiàn)有制度進行梳理�,結合公司的管理體系框架,形成一套適合XXXXX的管理制度體系及流程���,具體如下步驟:本活動由以下步驟組成:步驟1:分析已獲信息策略規(guī)劃小組對已收集的各種文檔信息進行分析�����,鑒別已有的信息安全策略�,并進行相應的記錄��。步驟2:設計框架結構根
8����、據(jù)已獲得的信息���,策略規(guī)劃小組設計信息安全策略框架。步驟3:溝通框架結構針對已創(chuàng)建的信息安全策略框架�����,策略規(guī)劃小組與相關人員進行溝通���。步驟4:制定安全策略在確定了信息安全策略的框架之后�����,策略規(guī)劃小組為制定信息
