信息科技風(fēng)險(xiǎn)自評(píng)估表

信息科技風(fēng)險(xiǎn)自評(píng)估表、信息科技治理序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)1董事會(huì)或高級(jí)管理層職責(zé)對(duì)信息科技戰(zhàn)略的審查批準(zhǔn)并審查信息科技戰(zhàn)略；保證信息科技戰(zhàn)略與銀行總體業(yè)務(wù)戰(zhàn)略和重大朿略相一致；定期評(píng)估信息科技及其風(fēng)險(xiǎn)管理工作的總體效力和效率。信息風(fēng)險(xiǎn)管理缺乏長(zhǎng)期規(guī)劃，無(wú)法指導(dǎo)信息安全工作開展。IS027001：2005管理層職責(zé)：建立信息安全方針，確保信息安全目標(biāo)和計(jì)劃的建立，進(jìn)行信息安全管理體系的評(píng)審；IS027001:2005信息安全方針文檔：信息安全方針文檔應(yīng)經(jīng)過管理層的批準(zhǔn)，并向所有員工和外部相關(guān)方公布和溝通；ISO27001:2005信息安全方針評(píng)審：應(yīng)按策劃的時(shí)間間隔或當(dāng)發(fā)生重大變化時(shí)，對(duì)信息安全方針文檔進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。2對(duì)本行信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的掌握情況定期聽取信息科技風(fēng)險(xiǎn)管理部門報(bào)告；組織進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)審計(jì)；對(duì)審計(jì)報(bào)告和監(jiān)管意見的整改情況進(jìn)行監(jiān)督。無(wú)法掌握現(xiàn)有風(fēng)險(xiǎn)，對(duì)存在的信息安全風(fēng)險(xiǎn)針對(duì)性的改進(jìn)無(wú)法得到有力的推進(jìn)。Corbit信息技術(shù)審計(jì)指南-決定技術(shù)方向：IT管理層理解并使用技術(shù)基礎(chǔ)設(shè)施計(jì)劃；技術(shù)基礎(chǔ)設(shè)施計(jì)劃上的變化，以確定相關(guān)的成本和風(fēng)險(xiǎn)，這些變化要反映在IT長(zhǎng)短期計(jì)劃的變化中；IT管理層要理解監(jiān)控和評(píng)估正在出現(xiàn)技術(shù)的過程，并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT基礎(chǔ)設(shè)施之中；IT管理層要理解系統(tǒng)評(píng)估技術(shù)計(jì)劃意外的過程。

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)3對(duì)信息科技建設(shè)的支持建立合理的人才激勵(lì)體制；確保為信息科技風(fēng)險(xiǎn)管理工作撥付所需資金；建立規(guī)范的職業(yè)道德行為和廉政標(biāo)準(zhǔn)。對(duì)信息安全風(fēng)險(xiǎn)的改進(jìn)缺之有效資源Corbit信息技術(shù)審計(jì)指南-管理信息技術(shù)投資：高級(jí)管理層應(yīng)執(zhí)行預(yù)算編制過程，按照機(jī)構(gòu)的長(zhǎng)期和短期計(jì)劃以及IT的長(zhǎng)期和短期計(jì)劃，保證年度IT運(yùn)作預(yù)算的建立和批準(zhǔn)。應(yīng)調(diào)查資金的選擇。4組織架構(gòu)組織信息科技管理委員會(huì)的建立由來(lái)自高級(jí)管理層、信息科技部分和主要業(yè)務(wù)部分的代表組成；定期向重事會(huì)和咼級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的效力、信息科技預(yù)算和實(shí)際支出、信息科技的整體性能；對(duì)信息科技建設(shè)及管理情況進(jìn)行有效的協(xié)調(diào)。信息安全工作缺乏統(tǒng)一組織進(jìn)行協(xié)調(diào)。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置c）應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組。5首席信息官的設(shè)置直接參與本銀仃與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策；建立切實(shí)有效的信息科技部分；確保信息科技風(fēng)險(xiǎn)管理的有效性。信息安全工作缺乏統(tǒng)一有效的領(lǐng)導(dǎo)和責(zé)任人。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置C）信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。6信息科技部門的職責(zé)崗位設(shè)置完整合理；人員具有相應(yīng)的技能和專業(yè)知識(shí)，制定有合理的培訓(xùn)計(jì)劃；重要崗位制定詳細(xì)完整的工作說明。缺乏具有專業(yè)知識(shí)和技能的專職人員；信息安全工作無(wú)法有效的協(xié)調(diào)。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置a）應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；b）應(yīng)配備專職安全管理員，不可兼任；d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。7信息科技風(fēng)險(xiǎn)管理部分的職責(zé)可直接向CIO或CRO匯報(bào)；實(shí)施持續(xù)的信息科技風(fēng)險(xiǎn)評(píng)估；協(xié)調(diào)有關(guān)信息科技風(fēng)險(xiǎn)管理策略的制定。

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)8信息科技內(nèi)部審計(jì)崗位在內(nèi)審部門內(nèi)部設(shè)立；配備足夠的專業(yè)人員；制定完整的信息科技申計(jì)朿略和流程；制定信息科技內(nèi)審計(jì)劃并落實(shí)。信息安全工作缺之有效的監(jiān)督和評(píng)價(jià)，信息安全風(fēng)險(xiǎn)管理無(wú)法有效的落實(shí)和改進(jìn)。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-審核和檢查a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b）應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；C）應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；d）應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。9制度建設(shè)制度建設(shè)流程完善的規(guī)章制度和管理辦法的制定、審批和修訂流程。信息安全管理制度混亂，無(wú)法形成完整體系，缺乏可操作性且得不到有效改進(jìn)。ISO27OO1：2005總要求組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持并改進(jìn)文件化的信息安全管理體系。10制度體系涵蓋運(yùn)行、安全、開發(fā)等各重要部分；對(duì)關(guān)鍵部分應(yīng)有詳細(xì)的管理規(guī)定和操作細(xì)則。關(guān)鍵工作缺乏規(guī)范性，工作流程混亂，直接導(dǎo)致信息安全事件。ISO27001:2005-控制目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)管理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作管理；7、訪問控制；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、符合性。二、信息科技風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)11信息科技風(fēng)險(xiǎn)管理信息科技風(fēng)險(xiǎn)管理策略策略內(nèi)容應(yīng)包括：1、信息分級(jí)與保護(hù)；2、應(yīng)用系統(tǒng)開發(fā)、測(cè)試和維護(hù)；3、信息科技運(yùn)行和維護(hù)；4、訪問控制；5、物理安全；6、人員安全；7、業(yè)務(wù)連續(xù)性與應(yīng)急處置安全朿略考慮不完善，沒有完整包含信息安全各方面，制定的安全策略內(nèi)容存在疏漏。等級(jí)保護(hù)-控制項(xiàng)：1、物理安全；2、網(wǎng)絡(luò)安全；3、主機(jī)安全；4、應(yīng)用安全；5、數(shù)據(jù)安全；6、安全管理制度；7、安全管理機(jī)構(gòu)；8、人員安全管理；9、系統(tǒng)運(yùn)維管理；10、系統(tǒng)建設(shè)管理。IS027001：2005-控制目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)管理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作管理；7、訪問控制；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、符合性。12風(fēng)險(xiǎn)識(shí)別和評(píng)估流程準(zhǔn)確定位存在隱患的區(qū)域；評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響；對(duì)風(fēng)險(xiǎn)進(jìn)行分類排序；確定風(fēng)險(xiǎn)防范活動(dòng)及必備資源的優(yōu)先級(jí)。無(wú)法了解現(xiàn)有系統(tǒng)存在的風(fēng)險(xiǎn)，無(wú)法有效的指導(dǎo)信息安全的改進(jìn)，提高信息系統(tǒng)安全性。計(jì)算機(jī)等級(jí)保護(hù)制度；ISO27001:2005信息安全管理體系要求。13風(fēng)險(xiǎn)防范措施1、明確的信息科技風(fēng)險(xiǎn)管理策略、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，并定期公示；2、識(shí)別潛在風(fēng)險(xiǎn)區(qū)域，對(duì)這些區(qū)域進(jìn)行詳細(xì)的獨(dú)立監(jiān)控，并建立適當(dāng)?shù)目刂平Y(jié)構(gòu)。14風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制范圍涵蓋所有的重要部分，包含項(xiàng)目實(shí)施、系統(tǒng)性能、事故與投訴、問題整改、外包服務(wù)水平、運(yùn)行操作、外包項(xiàng)目等。三、信息安全

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)15用戶認(rèn)證和訪問控制授權(quán)機(jī)制完整的審批流程；以“必需知道”和“最小授權(quán)”為原則；權(quán)限收回流程。用戶獲得不當(dāng)權(quán)限，有意或者無(wú)意的造成系統(tǒng)破壞或信息泄露。IS027001訪問控制-控制策略：應(yīng)建立文件化的訪問控制策略，并根據(jù)對(duì)訪問的業(yè)務(wù)和安全要求進(jìn)行評(píng)審；IS027001訪問控制-用戶注冊(cè)：應(yīng)建立正式的用戶注冊(cè)和解除注冊(cè)程序，以允許和撤銷對(duì)于所有信息系統(tǒng)和服務(wù)的訪問；ISO27001訪問控制-特權(quán)管理：應(yīng)限制和控制特權(quán)的使用和分配。16用戶審查定期對(duì)系統(tǒng)所有用戶進(jìn)行審查；每個(gè)系統(tǒng)的所有用戶使用唯一ID；用戶變化時(shí)應(yīng)及時(shí)檢查和更新。用戶獲得不當(dāng)權(quán)限，有意或者無(wú)意的造成系統(tǒng)破壞或信息泄露。ISO27001訪問控制-用戶訪問權(quán)限的評(píng)審：管理者應(yīng)按照策劃的時(shí)間間隔通過正式的流程對(duì)用戶的訪問權(quán)限進(jìn)行評(píng)審。17認(rèn)證機(jī)制與信息訪問級(jí)別相匹配的用戶認(rèn)證機(jī)制；高風(fēng)險(xiǎn)交易和活動(dòng)使用增強(qiáng)的認(rèn)證方法。用戶獲得不當(dāng)權(quán)限，有意或者無(wú)意的造成系統(tǒng)破壞或信息泄露。等級(jí)保護(hù)-應(yīng)用安全-身份鑒別：a）應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別b）應(yīng)對(duì)冋一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別c）應(yīng)提供用戶身份標(biāo)識(shí)唯一性和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用d）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施e）應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)18信息安全管理信息安全管理完善的信息安全管理流程、組織架構(gòu)和職責(zé)分配。管理混亂信息安全策略無(wú)法正確及時(shí)的實(shí)施；信息安全責(zé)任無(wú)法明確。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-崗位設(shè)置a）應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員崗位，并定義各個(gè)工作崗位的職責(zé)c）應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求19信息安全朿略信息安全策略包含完整的內(nèi)容：1、組織信息安全；2、資產(chǎn)管理；3、人員安全；4、物理和環(huán)境安全；5、通信和操作安全；6、訪問控制；7、身份認(rèn)證；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、合規(guī)性。安全朿略考慮不完善，沒有完整包含信息安全各方面，制定的安全策略內(nèi)容存在疏漏。IS027001：2005-控制目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)管理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作管理；7、訪問控制；8、信息系統(tǒng)的獲取、開發(fā)和維護(hù)；9、信息安全事故管理；10、業(yè)務(wù)連續(xù)性管理；11、符合性。20安全培訓(xùn)提供必要的培訓(xùn)，使所有員工都了解信息安全的重要性，并讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。普通員工缺乏信息安全意識(shí)，造成有意或無(wú)意的信息泄露或者破壞。等級(jí)保護(hù)-人員安全管理-安全意識(shí)教育和培訓(xùn)：a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b）應(yīng)對(duì)安全貝任和懲戒扌曰施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c）應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)程等進(jìn)行培訓(xùn)；d）應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。21物理安全數(shù)據(jù)中心的地理位置遠(yuǎn)離自然災(zāi)害地區(qū)、危險(xiǎn)或有害設(shè)施、或繁忙/主要公路；采取有效的物理或環(huán)境控制措施，監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境物理設(shè)施受到臺(tái)風(fēng)、地震、火災(zāi)、震動(dòng)、灰塵等威脅。IS027001：2005-物理與環(huán)境安全：應(yīng)設(shè)計(jì)并實(shí)施針對(duì)火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施。等級(jí)保護(hù)-物理安全-物理位置的選擇：a）機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b）機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。22數(shù)據(jù)中心的安全保衛(wèi)出口數(shù)量應(yīng)嚴(yán)格控制；出入通道的鎖具安全可靠；配備有錄像監(jiān)控和報(bào)警系統(tǒng)；關(guān)鍵位置配備警衛(wèi)人員；敏感設(shè)施及場(chǎng)所的標(biāo)識(shí)隱匿非法訪問者對(duì)物理設(shè)施進(jìn)行有意或者無(wú)意的破壞。等級(jí)保護(hù)-物理安全-物理訪問控制：a）機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b）需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；c）應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；d）重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。等級(jí)保護(hù)-物理安全-防盜竊和防破壞：a）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)b）應(yīng)對(duì)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)d）應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中e）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)f）應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)23數(shù)據(jù)中心的運(yùn)行環(huán)境使用全面的環(huán)境控制措施保障系統(tǒng)安全運(yùn)行，如：不間斷電源保護(hù)、溫濕度控制、防水防火設(shè)施等。物理設(shè)施受到潮濕、斷電、火災(zāi)等威脅。等級(jí)保護(hù)-物理安全-防雷擊：a）機(jī)房建筑應(yīng)設(shè)置避雷裝置b）應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷c）機(jī)房應(yīng)設(shè)置交流電源地線等級(jí)保護(hù)-物理安全-防火：a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b）機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；c）機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。等級(jí)保護(hù)-物理安全-防水和防潮：a）水管安裝，不得穿過屋頂和活動(dòng)地板下；b）應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；c）應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d）應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；等級(jí)保護(hù)-物理安全-防靜電：a）主要設(shè)備應(yīng)采用必要的接地等防靜電措施；b）機(jī)房應(yīng)采用防靜電地板；等級(jí)保護(hù)-物理安全-溫濕度控制：

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)a）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備b）應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求c）應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電d）應(yīng)建立備用供電系統(tǒng)等級(jí)保護(hù)-物理安全-電磁防護(hù)：a）應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b）電源線和通信線纜應(yīng)隔離，避免互相干擾c）應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽24門禁管理制度第三方人員進(jìn)入安全區(qū)域應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，并受到密切監(jiān)控；對(duì)外聘人員和承包商有嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查，并簽署安全、保密協(xié)議。非法訪問者對(duì)物理設(shè)施進(jìn)行有意或者無(wú)意的破壞。等級(jí)保護(hù)-物理安全-物理訪問控制：a）機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b）需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。IS027001：2005信息安全組織-外部組織：應(yīng)識(shí)別來(lái)自涉及外部組織的業(yè)務(wù)過程的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允許訪問前實(shí)施適當(dāng)?shù)目刂疲慌c第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。這些協(xié)議可能涉及對(duì)組織的喜訊你或信息處理設(shè)施的訪問、處理、溝通或管理，或增加信息處理設(shè)施的產(chǎn)品和服務(wù)。25網(wǎng)絡(luò)安全邏輯分區(qū)按照不同的安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。重要系統(tǒng)得不到應(yīng)有的安全保護(hù)，等級(jí)保護(hù)-網(wǎng)絡(luò)安全-結(jié)構(gòu)安全：e）應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)非法用戶對(duì)系統(tǒng)進(jìn)行非法訪問，造成系統(tǒng)破壞或數(shù)據(jù)中斷。程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。26網(wǎng)絡(luò)邊界防護(hù)不同的網(wǎng)絡(luò)域之間應(yīng)米取有效的分隔和訪問控制措施，如部署防火墻和入侵檢測(cè)設(shè)備；對(duì)網(wǎng)絡(luò)的特殊敏感域，應(yīng)采用物理隔離方式。扁平化的網(wǎng)絡(luò)使網(wǎng)絡(luò)管理更加困難，非法訪問者更加容易針對(duì)重要設(shè)備并進(jìn)行攻擊。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-結(jié)構(gòu)安全：f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-訪問控制：a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；C）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；h）應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-邊界完整性檢查：a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-入侵防范：a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警27傳輸加密敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中應(yīng)加密。數(shù)據(jù)被非法竊聽，導(dǎo)致重要數(shù)據(jù)泄露。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性a）應(yīng)米用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。28網(wǎng)絡(luò)監(jiān)控依據(jù)事先定乂的性能目標(biāo)對(duì)網(wǎng)絡(luò)進(jìn)行持續(xù)地監(jiān)測(cè)，以確認(rèn)任何潛在的瓶頸制約或超負(fù)荷運(yùn)行等任何異常的活動(dòng)；高強(qiáng)度網(wǎng)絡(luò)分析工具的使用應(yīng)有適當(dāng)?shù)氖跈?quán)或?qū)徟鞒?。無(wú)法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常，導(dǎo)致網(wǎng)絡(luò)故障或系統(tǒng)宕機(jī)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-監(jiān)控管理：a）應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；b）應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；a）應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作。29網(wǎng)絡(luò)配置更改定期審查網(wǎng)絡(luò)配置；配置更改或設(shè)備調(diào)整應(yīng)作為網(wǎng)絡(luò)變更流程進(jìn)行操作。網(wǎng)絡(luò)配置不當(dāng)導(dǎo)致出現(xiàn)安全弱點(diǎn)；錯(cuò)誤的配置操作導(dǎo)致網(wǎng)絡(luò)安全弱點(diǎn)或網(wǎng)絡(luò)故障出等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-網(wǎng)絡(luò)安全管理：a）應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；b）應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)現(xiàn)。出規(guī)定；c）應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；d）應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；e）應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文件進(jìn)行定期離線備份；f）應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；g）應(yīng)依據(jù)安全策略允許或拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；h）應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。30操作系統(tǒng)安全安全標(biāo)準(zhǔn)制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。操作系統(tǒng)配置不當(dāng)導(dǎo)致出現(xiàn)安全弱點(diǎn)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：a）應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；b）應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；c）應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；d）應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定。31訪問權(quán)限明確定義不同用戶組的訪問權(quán)限，包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測(cè)試人員、計(jì)算機(jī)管理員獲得不當(dāng)權(quán)限，系統(tǒng)關(guān)鍵配置被非法修改。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：e）應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)操作人員、系統(tǒng)管理員和用戶管理員等。授權(quán)原則。32最高權(quán)限賬戶管理制定針對(duì)使用最高權(quán)限系統(tǒng)帳戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。高權(quán)限帳號(hào)的錯(cuò)誤或非法操作造成嚴(yán)重的故障或損失；無(wú)法對(duì)故障或損失的原因進(jìn)行追溯。等級(jí)保護(hù)-安全管理機(jī)構(gòu)-授權(quán)和審批：a）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等b）應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度c）應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息d）應(yīng)記錄申批過程并保存申批文檔等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)：a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。33安全補(bǔ)丁定期監(jiān)察可用的安全補(bǔ)丁，經(jīng)評(píng)估和測(cè)試后進(jìn)行安裝。對(duì)已發(fā)現(xiàn)系統(tǒng)漏洞無(wú)法及時(shí)修補(bǔ)，導(dǎo)致黑客入侵，木馬、病毒植入；不當(dāng)?shù)陌踩a(bǔ)丁安裝影響系統(tǒng)穩(wěn)定性或者系統(tǒng)宕機(jī)。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：c）應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；34重要事項(xiàng)審核操作人員應(yīng)對(duì)操作系統(tǒng)運(yùn)行的對(duì)操作系統(tǒng)的非等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)：

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)重要事項(xiàng)進(jìn)行檢查和說明，如系統(tǒng)日志中記錄的未成功登錄，重要系統(tǒng)文件的訪問，對(duì)用戶帳號(hào)進(jìn)行修改等信息，以及系統(tǒng)出現(xiàn)的任何異常事件。法或錯(cuò)誤操作無(wú)法記錄，對(duì)信息安全事件或系統(tǒng)故障無(wú)法進(jìn)行追溯和分析。a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶b）申計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件c）申計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成申計(jì)報(bào)表e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等35應(yīng)用系統(tǒng)安全崗位職責(zé)明確定義終端用戶和信息科技技術(shù)人員在應(yīng)用安全中的崗位和職責(zé)；對(duì)關(guān)鍵或敏感職能進(jìn)行雙重控制。知識(shí)、技能不夠造成誤操作；重要崗位缺乏監(jiān)管造成有意的非法操作。ISO27OO1：2005人力資源安全-角色和職責(zé)：應(yīng)根據(jù)組織的信息安全方針，規(guī)定員工、合同方和第三方用戶的安全角色和職責(zé)并形成文件。ISO27001:2005訪問控制-特權(quán)管理：應(yīng)限制和控制特權(quán)的使用和分配36身份驗(yàn)證針對(duì)應(yīng)用系統(tǒng)的重要程序和敏感程度，采取有效的身份驗(yàn)證方法。非法用戶獲得訪問權(quán)限。等級(jí)保護(hù)-應(yīng)用安全-身份鑒別：a）應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b）應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；c）應(yīng)提供用戶身份標(biāo)識(shí)唯一性和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；d）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)e）應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全朿略配置相關(guān)參數(shù)。37信息輸入和輸出在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對(duì)；米取安全的方式處理保密信息的輸入和輸出，防止信息被盜、篡改、故意或無(wú)意泄露。關(guān)鍵數(shù)據(jù)被盜、篡改、故意或無(wú)意泄露。IS027001：2005電子商務(wù)服務(wù)-電子商務(wù)：應(yīng)保護(hù)電子商務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭(zhēng)議、未授權(quán)的泄漏和修改；IS027001:2005電子商務(wù)服務(wù)-在線交易：應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。38運(yùn)行情況審核系統(tǒng)能以書面或電子格式保存審計(jì)痕跡；能夠以預(yù)先定義的方式處理例外情況，并向用戶提供有意義的信息；管理人員對(duì)系統(tǒng)重要事項(xiàng)進(jìn)行管理和審核。對(duì)應(yīng)用系統(tǒng)的非法或錯(cuò)誤操作無(wú)法記錄，對(duì)信息安全事件或系統(tǒng)故障無(wú)法進(jìn)行追溯和分析。等級(jí)保護(hù)-應(yīng)用安全-安全審計(jì)：a）應(yīng)覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；c）審計(jì)記錄的內(nèi)容至少應(yīng)包括日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；d）應(yīng)提供對(duì)申計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成申計(jì)報(bào)表的功能。39日志安全策略和流程制定了相關(guān)朿略和流程，控制所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全論證分析和預(yù)防欺詐；設(shè)置了日志監(jiān)控和管理崗位；制定了日志資料的安全保護(hù)和調(diào)閱管理制無(wú)法及時(shí)發(fā)現(xiàn)信息安全事件，無(wú)法對(duì)信息安全事件進(jìn)行分析和預(yù)防；日志被篡改或者無(wú)意丟失，無(wú)法對(duì)等級(jí)保護(hù)-系統(tǒng)運(yùn)維-監(jiān)控管理：a）應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；b）應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)度。歷史事件進(jìn)行追溯。施；c）應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。40交易日志交易日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，包括身份嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等；交易日志按照國(guó)家會(huì)計(jì)政策要求予以保存。對(duì)系統(tǒng)問題，非法操作無(wú)法進(jìn)行記錄，對(duì)出現(xiàn)問題的原因無(wú)法進(jìn)行追溯。等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)；等級(jí)保護(hù)-應(yīng)用安全-安全審計(jì)；等級(jí)保護(hù)-網(wǎng)絡(luò)安全-安全審計(jì)；等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-網(wǎng)絡(luò)安全管理；a）應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作b）應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理：d）應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；g）應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。41系統(tǒng)日志系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，包括身份認(rèn)證嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等；系統(tǒng)和網(wǎng)絡(luò)日志保存期限按事先的風(fēng)險(xiǎn)定級(jí)確定，但不能少。不完整的日志無(wú)法對(duì)現(xiàn)有的系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)控，無(wú)法對(duì)出現(xiàn)的各類事件的原因進(jìn)行追溯；歷史記錄不進(jìn)行合理的保留導(dǎo)致在出現(xiàn)問題后對(duì)以前的操作或者問題進(jìn)行查找分析。42保存和復(fù)查銀行應(yīng)保證在日志中包含足夠的項(xiàng)目，以便有效地完成內(nèi)部控制、系統(tǒng)故障解決和審計(jì)，同時(shí)應(yīng)采取適當(dāng)措施保證所有日志的計(jì)時(shí)同步，并確保其完整性，有任何的例外情況發(fā)生不完善的日志記錄無(wú)法對(duì)審計(jì)提供足夠的參考；缺乏日志審核對(duì)隱藏的操作問題無(wú)法及時(shí)發(fā)現(xiàn)。

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)都應(yīng)當(dāng)復(fù)查系統(tǒng)日志。交易日志或數(shù)據(jù)庫(kù)日志的復(fù)查頻率和保留周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部分共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。43信息安全信息分類制定信息分類操作指南和信息保護(hù)工作流程；信息依據(jù)敏感程度進(jìn)行分類，并指定所有人。對(duì)重要信息無(wú)法提供足夠有效的保護(hù)，造成重要信息被破壞、篡改、泄露。IS027001：2005資產(chǎn)管理-分類指南：應(yīng)按照信息的價(jià)值、法律要求及對(duì)組織的敏感程度和關(guān)鍵程度進(jìn)行分類；IS027001:2005資產(chǎn)管理-信息標(biāo)識(shí)和處置：應(yīng)制定一套與組織所采用的分類方案一致的信息標(biāo)識(shí)和處置的程序，并實(shí)施。44信息加密對(duì)不同類別信息米用相應(yīng)的加密技術(shù)或密碼設(shè)備；建立密碼設(shè)備管理規(guī)范制度；管理使用密碼系統(tǒng)設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審核。沒有加密的信息容易被泄露、破壞、篡改。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)完整性：a）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施b）應(yīng)能夠監(jiān)測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞，并在監(jiān)測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性：a）應(yīng)米用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性b）應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-密碼管理：a）應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)的密碼技術(shù)和產(chǎn)品。45密鑰管理實(shí)施有效的密鑰管理流程，尤其是密鑰生命周期管理和證書周期管理。密鑰泄露，造成嚴(yán)重信息安全事件。等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-密碼管理：a）應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。46機(jī)密信息安全機(jī)密信息的加密使用符合國(guó)家密碼管理局要求的加密技術(shù)和加密設(shè)備，加密強(qiáng)度和加密效率滿足信息機(jī)密性和可用性要求。機(jī)密信息泄露，造成嚴(yán)重信息安全事件。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)完整性；等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性；等級(jí)保護(hù)-系統(tǒng)運(yùn)維管理-密碼管理：a）應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。47客戶敏感信息安全制定相關(guān)策略和程序，管理客戶信息的采集、處理、存貯、傳輸、傳播、備份、恢復(fù)、清理和銷毀?？蛻魯?shù)據(jù)被泄露，破壞和篡改，直接造成經(jīng)濟(jì)損失。IS027001：2005電子商務(wù)服務(wù)-電子商務(wù)：應(yīng)保護(hù)電子商務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭(zhēng)議、未授權(quán)的泄漏和修改；ISO27001:2005電子商務(wù)服務(wù)-在線交易：應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。四、應(yīng)用系統(tǒng)開發(fā)、測(cè)試和維護(hù)序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)48項(xiàng)目管理制度建設(shè)應(yīng)制定策略和流程，治理信息科技項(xiàng)目的立項(xiàng)、優(yōu)先排序、審批和控制；重大項(xiàng)目必須建立項(xiàng)目管理框架和工作方案，包括：職責(zé)的劃分、時(shí)間進(jìn)度、財(cái)務(wù)預(yù)算管理、質(zhì)量檢測(cè)、風(fēng)險(xiǎn)評(píng)估等。項(xiàng)目管理混亂，項(xiàng)目成本無(wú)法控制，進(jìn)度無(wú)法掌握，項(xiàng)目質(zhì)量無(wú)法度量，導(dǎo)致項(xiàng)目失敗。等級(jí)保護(hù)-安全管理制度-管理制度：b）應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；d）應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。49進(jìn)度報(bào)告定期向信息科技管理委貝會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告；進(jìn)度報(bào)告包括更改時(shí)間計(jì)劃、關(guān)鍵人員或供應(yīng)商的決策以及主要費(fèi)用項(xiàng)目缺之統(tǒng)一的計(jì)劃和安排等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-工程實(shí)施：b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；C）應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。50系統(tǒng)開發(fā)方法根據(jù)信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜性采用適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期；典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或采購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)或報(bào)廢。信息科技項(xiàng)目缺乏有效的過程管理和控制等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則。IS027001-通訊及操作管理-操作程序及職責(zé)-開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施的分離：應(yīng)分離開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)；ISO27001-通訊及操作管理-系統(tǒng)規(guī)劃與驗(yàn)收-系統(tǒng)驗(yàn)收：應(yīng)建立新的信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，并在開發(fā)過程中及接收前進(jìn)行適當(dāng)?shù)南到y(tǒng)測(cè)試。

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)51風(fēng)險(xiǎn)管理或者內(nèi)部審計(jì)的參與商業(yè)銀行在進(jìn)行大規(guī)模和大范圍的系統(tǒng)開發(fā)時(shí)，應(yīng)要求內(nèi)部審計(jì)部門或信息科技風(fēng)險(xiǎn)管理部分的參與，保證系統(tǒng)開發(fā)符合商業(yè)銀行信息科技風(fēng)險(xiǎn)標(biāo)準(zhǔn)。不嚴(yán)格的開發(fā)過程使應(yīng)用系統(tǒng)存在安全弱點(diǎn)，應(yīng)用系統(tǒng)問題無(wú)法在項(xiàng)目建設(shè)過程中及時(shí)發(fā)現(xiàn)，直接導(dǎo)致系統(tǒng)運(yùn)行失敗、系統(tǒng)中重要數(shù)據(jù)被破壞、丟失。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則c）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管e）應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-測(cè)試驗(yàn)收：b）在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合冋要求等制定測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；c）應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。52文檔管理格式標(biāo)準(zhǔn)規(guī)范并明確項(xiàng)目資料文檔的管理職責(zé)、資料文檔的起草和審批職責(zé)、資料文檔格式標(biāo)準(zhǔn)化規(guī)范。軟件質(zhì)量無(wú)法保證，對(duì)軟件質(zhì)量的改進(jìn)等無(wú)法有效實(shí)施。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。

序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)控制目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)53程序文檔完整性程序文檔內(nèi)容包括：程序設(shè)計(jì)和代碼標(biāo)準(zhǔn)、程序描述、程序設(shè)計(jì)資料、代碼清單、源代碼命名規(guī)則、系統(tǒng)操作指南等。項(xiàng)目程序文檔的缺失，可能會(huì)致使整個(gè)項(xiàng)目維護(hù)困難、升級(jí)困難等問題等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-自行軟件開發(fā)：d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-外包軟件開發(fā)：c）應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-系統(tǒng)交付：a）應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；c）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。54項(xiàng)目文檔完整性項(xiàng)目文檔內(nèi)容包括：項(xiàng)目需求、可行性分析、階段實(shí)施記錄（啟動(dòng)、計(jì)劃、設(shè)計(jì)、開發(fā)、測(cè)試、實(shí)施、后評(píng)價(jià)等）。項(xiàng)目文檔的不完善，增加了項(xiàng)目失敗的可能性等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-工程實(shí)施：b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程。等級(jí)保護(hù)-系統(tǒng)建設(shè)管理-外包軟件開發(fā)：a）應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；c）應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。55系統(tǒng)測(cè)試開發(fā)環(huán)境與測(cè)試環(huán)境的分離保證生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)相分離；生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系