信息科技风险自评估表bpyj.docx

《信息科技风险自评估表bpyj.docx》由会员分享，可在线阅读，更多相关《信息科技风险自评估表bpyj.docx（97页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息科技风险自评估表一、 信息科技治理序号风险类别风险点控制目标风险分析参考依据1董事会或高高级管理理层职责责对信息科技技战略的的审查批准并审查查信息科科技战略略；保证证信息科科技战略略与银行行总体业业务战略略和重大大策略相相一致；定期评评估信息息科技及及其风险险管理工工作的总总体效力力和效率率。信息风险管管理缺乏乏长期规规划，无无法指导导信息安安全工作作开展。ISO2770011：20005 管理层层职责：建立信息安安全方针针，确保保信息安安全目标标和计划划的建立立，进行行信息安安全管理理体系的的评审；ISO2770011：20005信信息安全全方针文文档：信息安全方方针文档档应经过过管理层

2、层的批准准，并向向所有员员工和外外部相关关方公布布和沟通通；ISO2770011：20005信信息安全全方针评评审：应按策划的的时间间间隔或当当发生重重大变化化时，对对信息安安全方针针文档进进行评审审，以确确保其持持续的适适宜性、充充分性和和有效性性。2对本行信息息科技风风险管理理现状的的掌握情情况定期听取信信息科技技风险管管理部门门报告；组织进进行独立立有效的的信息科科技风险险审计；对审计计报告和和监管意意见的整整改情况况进行监监督。无法掌握现现有风险险，对存存在的信信息安全全风险针针对性的的改进无无法得到到有力的的推进。Corbiit信息息技术审审计指南南-决定定技术方方向：IT管理层层理

3、解并并使用技技术基础础设施计计划；技术基础设设施计划划上的变变化，以以确定相相关的成成本和风风险，这这些变化化要反映映在ITT长短期期计划的的变化中中；IT管理层层要理解解监控和和评估正正在出现现技术的的过程，并并要将适适当的技技术合并并到当前前的ITT基础设设施之中中；IT管理层层要理解解系统评评估技术术计划意意外的过过程。3对信息科技技建设的的支持建立合理的的人才激激励体制制；确保保为信息息科技风风险管理理工作拨拨付所需需资金；建立规规范的职职业道德德行为和和廉政标标准。对信息安全全风险的的改进缺缺乏有效效资源Corbiit信息息技术审审计指南南-管理信信息技术术投资：高级管理层层应执行行

4、预算编编制过程程，按照照机构的的长期和和短期计计划以及及IT的长长期和短短期计划划，保证证年度IIT运作作预算的的建立和和批准。应应调查资资金的选选择。4组织架构组织信息科科技管理理委员会会的建立立由来自高级级管理层层、信息息科技部部分和主主要业务务部分的的代表组组成；定定期向董董事会和和高级管管理层汇汇报信息息科技战战略规划划的效力力、信息息科技预预算和实实际支出出、信息息科技的的整体性性能；对对信息科科技建设设及管理理情况进进行有效效的协调调。信息安全工工作缺乏乏统一组组织进行行协调。等级保护-安全管管理机构构-岗位位设置c) 应成成立指导导和管理理信息安安全工作作的委员员会或领领导小组组

5、。5首席信息官官的设置置直接参与本本银行与与信息科科技运用用有关的的业务发发展决策策；建立立切实有有效的信信息科技技部分；确保信信息科技技风险管管理的有有效性。信息安全工工作缺乏乏统一有有效的领领导和责责任人。等级保护-安全管管理机构构-岗位位设置c)信息安安全工作作的委员员会或领领导小组组最高领领导应由由单位主主管领导导委任或或授权。6信息科技部部门的职职责岗位设置完完整合理理；人员员具有相相应的技技能和专专业知识识，制定定有合理理的培训训计划；重要岗岗位制定定详细完完整的工工作说明明。缺乏具有专专业知识识和技能能的专职职人员；信息安安全工作作无法有有效的协协调。等级保护-安全管管理机构构-

6、岗位位设置a) 应设立信息息安全管管理工作作的职能能部门，设设立安全全主管、安安全管理理各个方方面的负负责人岗岗位，并并定义各各负责人人的职责责；b) 应配备专职职安全管管理员，不不可兼任任；d) 应制制定文件件明确安安全管理理机构各各个部门门和岗位位的职责责、分工工和技能能要求。7信息科技风风险管理理部分的的职责可直接向CCIO或或CROO汇报；实施持持续的信信息科技技风险评评估；协协调有关关信息科科技风险险管理策策略的制制定。8信息科技内内部审计计岗位在内审部门门内部设设立；配配备足够够的专业业人员；制定完完整的信信息科技技审计策策略和流流程；制制定信息息科技内内审计划划并落实实。信息安全

7、工工作缺乏乏有效的的监督和和评价，信信息安全全风险管管理无法法有效的的落实和和改进。等级保护-安全管管理机构构-审核核和检查查a) 安全全管理员员应负责责定期进进行安全全检查，检检查内容容包括系系统日常常运行、系系统漏洞洞和数据据备份等等情况；b) 应由由内部人人员或上上级单位位定期进进行全面面安全检检查，检检查内容容包括现现有安全全技术措措施的有有效性、安安全配置置与安全全策略的的一致性性、安全全管理制制度的执执行情况况等；c) 应制制定安全全检查表表格实施施安全检检查，汇汇总安全全检查数数据，形形成安全全检查报报告，并并对安全全检查结结果进行行通报；d) 应制制定安全全审核和和安全检检查制

8、度度规范安安全审核核和安全全检查工工作，定定期按照照程序进进行安全全审核和和安全检检查活动动。9制度建设制度建设流流程完善的规章章制度和和管理办办法的制制定、审审批和修修订流程程。信息安全管管理制度度混乱，无无法形成成完整体体系，缺缺乏可操操作性且且得不到到有效改改进。ISO2770011：20005 总要求组织应根据据整体业业务活动动和风险险，建立立、实施施、运行行、监视视、评审审、保持持并改进进文件化化的信息息安全管管理体系系。10制度体系涵盖运行、安安全、开开发等各各重要部部分；对对关键部部分应有有详细的的管理规规定和操操作细则则。关键工作缺缺乏规范范性，工工作流程程混乱，直直接导致致信

9、息安安全事件件。ISO2770011：20005-控制目目标：1、信息安安全方针针；2、信信息安全全组织；3、资资产管理理；4、人人力资源源安全；5、物物理与环环境安全全；6、通通讯及操操作管理理；7、访访问控制制；8、信信息系统统的获取取、开发发和维护护；9、信信息安全全事故管管理；110、业业务连续续性管理理；111、符合合性。二、 信息科技风风险管理理序号风险类别风险点控制目标风险分析参考依据11信息科技风风险管理理信息科技风风险管理理策略策略内容应应包括：1、信信息分级级与保护护；2、应应用系统统开发、测测试和维维护；33、信息息科技运运行和维维护；44、访问问控制；5、物物理安全全；

10、6、人人员安全全；7、业业务连续续性与应应急处置置安全策略考考虑不完完善，没没有完整整包含信信息安全全各方面面，制定定的安全全策略内内容存在在疏漏。等级保护-控制项项：1、物理安安全；22、网络络安全；3、主主机安全全；4、应应用安全全；5、数数据安全全；6、安安全管理理制度；7、安安全管理理机构；8、人人员安全全管理；9、系系统运维维管理；10、系系统建设设管理。ISO2770011：20005-控制目目标：1、信息安安全方针针；2、信信息安全全组织；3、资资产管理理；4、人人力资源源安全；5、物物理与环环境安全全；6、通通讯及操操作管理理；7、访访问控制制；8、信信息系统统的获取取、开发发

11、和维护护；9、信信息安全全事故管管理；110、业业务连续续性管理理；111、符合合性。12风险识别和和评估流流程准确定位存存在隐患患的区域域；评价价风险对对其业务务的潜在在影响；对风险险进行分分类排序序；确定定风险防防范活动动及必备备资源的的优先级级。无法了解现现有系统统存在的的风险，无无法有效效的指导导信息安安全的改改进，提提高信息息系统安安全性。计算机等级级保护制制度；ISO2770011：20005信信息安全全管理体体系要求求。13风险防范措措施1、明确的的信息科科技风险险管理策策略、技技术标准准和操作作规程等等，并定定期公示示；2、识识别潜在在风险区区域，对对这些区区域进行行详细的的独

12、立监监控，并并建立适适当的控控制结构构。14风险计量和和监测机机制范围涵盖所所有的重重要部分分，包含含项目实实施、系系统性能能、事故故与投诉诉、问题题整改、外外包服务务水平、运运行操作作、外包包项目等等。三、 信息安全序号风险类别风险点控制目标风险分析参考依据15用户认证和和访问控控制授权机制完整的审批批流程；以“必需知知道”和“最小授授权”为原则则；权限限收回流流程。用户获得不不当权限限，有意意或者无无意的造造成系统统破坏或或信息泄泄露。ISO2770011 访问问控制-控制策策略：应建立文件件化的访访问控制制策略，并并根据对对访问的的业务和和安全要要求进行行评审；ISO2770011 访问

13、问控制-用户注注册：应建立正式式的用户户注册和和解除注注册程序序，以允允许和撤撤销对于于所有信信息系统统和服务务的访问问；ISO2770011 访问问控制-特权管管理：应限制和控控制特权权的使用用和分配配。16用户审查定期对系统统所有用用户进行行审查；每个系系统的所所有用户户使用唯唯一IDD；用户户变化时时应及时时检查和和更新。用户获得不不当权限限，有意意或者无无意的造造成系统统破坏或或信息泄泄露。ISO2770011 访问问控制-用户访访问权限限的评审审：管理者应按按照策划划的时间间间隔通通过正式式的流程程对用户户的访问问权限进进行评审审。17认证机制与信息访问问级别相相匹配的的用户认认证机

14、制制；高风风险交易易和活动动使用增增强的认认证方法法。用户获得不不当权限限，有意意或者无无意的造造成系统统破坏或或信息泄泄露。等级保护-应用安安全-身身份鉴别别：a) 应提提供专用用的登录录控制模模块对登登录用户户进行身身份标识识和鉴别别b) 应对对同一用用户采用用两种或或两种以以上组合合的鉴别别技术实实现用户户身份鉴鉴别c) 应提提供用户户身份标标识唯一一性和鉴鉴别信息息复杂度度检查功功能，保保证应用用系统中中不存在在重复用用户身份份标识，身身份鉴别别信息不不易被冒冒用d) 应提提供登录录失败处处理功能能，可采采取结束束会话、限限制非法法登录次次数和自自动退出出等措施施e) 应启启用身份份鉴

15、别、用用户身份份标识唯唯一性检检查、用用户身份份鉴别信信息复杂杂度检查查以及登登录失败败处理功功能，并并根据安安全策略略配置相相关参数数18信息安全管管理信息安全管管理完善的信息息安全管管理流程程、组织织架构和和职责分分配。管理混乱信信息安全全策略无无法正确确及时的的实施；信息安安全责任任无法明明确。等级保护-安全管管理机构构-岗位位设置a) 应设设立信息息安全管管理工作作的职能能部门，设设立安全全主管、安安全管理理各个方方面的负负责人岗岗位，并并定义各各负责人人的职责责b) 应设设立系统统管理员员、网络络管理员员、安全全管理员员岗位，并并定义各各个工作作岗位的的职责c) 应成成立指导导和管理

16、理信息安安全工作作的委员员会或领领导小组组，其最最高领导导应由单单位主管管领导委委任或授授权d) 应制制定文件件明确安安全管理理机构各各个部门门和岗位位的职责责、分工工和技能能要求19信息安全策策略信息安全策策略包含含完整的的内容：1、组组织信息息安全；2、资资产管理理；3、人人员安全全；4、物物理和环环境安全全；5、通通信和操操作安全全；6、访访问控制制；7、身身份认证证；8、信信息系统统的获取取、开发发和维护护；9、信信息安全全事故管管理；110、业业务连续续性管理理；111、合规规性。安全策略考考虑不完完善，没没有完整整包含信信息安全全各方面面，制定定的安全全策略内内容存在在疏漏。ISO

17、2770011：20005-控制目目标：1、信息安安全方针针；2、信信息安全全组织；3、资资产管理理；4、人人力资源源安全；5、物物理与环环境安全全；6、通通讯及操操作管理理；7、访访问控制制；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务连续性管理；11、符合性。20安全培训提供必要的的培训，使使所有员员工都了了解信息息安全的的重要性性，并让让员工充充分了解解其职责责范围内内的信息息保护流流程。普通员工缺缺乏信息息安全意意识，造造成有意意或无意意的信息息泄露或或者破坏坏。等级保护-人员安安全管理理-安全意意识教育育和培训训：a) 应对对各类人人员进行行安全意意识教育育、岗位

18、位技能培培训和相相关安全全技术培培训；b) 应对对安全责责任和惩惩戒措施施进行书书面规定定并告知知相关人人员，对对违反违违背安全全策略和和规定的的人员进进行惩戒戒；c) 应对对定期安安全教育育和培训训进行书书面规定定，针对对不同岗岗位制定定不同的的培训计计划，对对信息安安全基础础知识、岗岗位操作作规程等等进行培培训；d) 应对对安全教教育和培培训的情情况和结结果进行行记录并并归档保保存。21物理安全数据中心的的地理位位置远离自然灾灾害地区区、危险险或有害害设施、或或繁忙/主要公公路；采采取有效效的物理理或环境境控制措措施，监监控对信信息处理理设备运运行构成成威胁的的环境物理设施受受到台风风、地

19、震震、火灾灾、震动动、灰尘尘等威胁胁。ISO2770011：20005-物理与与环境安安全：应设计并实实施针对对火灾、水水灾、地地震、爆爆炸、骚骚乱和其其他形式式的自然然或人为为灾难的的物理保保护措施施。等级保护-物理安安全-物理位位置的选选择：a) 机房房和办公公场地应应选择在在具有防防震、防防风和防防雨等能能力的建建筑内；b) 机房房场地应应避免设设在建筑筑物的高高层或地地下室，以以及用水水设备的的下层或或隔壁。22数据中心的的安全保保卫出口数量应应严格控控制；出出入通道道的锁具具安全可可靠；配配备有录录像监控控和报警警系统；关键位位置配备备警卫人人员；敏敏感设施施及场所所的标识识隐匿非法

20、访问者者对物理理设施进进行有意意或者无无意的破破坏。等级保护-物理安安全-物物理访问问控制：a) 机房房出入口口应安排排专人值值守，控控制、鉴鉴别和记记录进入入的人员员；b) 需进进入机房房的来访访人员应应经过申申请和审审批流程程，并限限制和监监控其活活动范围围；c) 应对对机房划划分区域域进行管管理，区区域和区区域之间间设置物物理隔离离装置，在在重要区区域前设设置交付付或安装装等过渡渡区域；d) 重要要区域应应配置电电子门禁禁系统，控控制、鉴鉴别和记记录进入入的人员员。等级保护-物理安安全-防防盗窃和和防破坏坏：a) 应将将主要设设备放置置在机房房内b) 应对对设备或或主要部部件进行行固定，

21、并并设置明明显的不不易除去去的标记记c) 应将将通信线线缆铺设设在隐蔽蔽处，可可铺设在在地下或或管道中中d)应对介介质分类类标识，存存储在介介质库或或档案室室中e) 应利利用光、电电等技术术设置机机房防盗盗报警系系统f) 应对对机房设设置监控控报警系系统23数据中心的的运行环环境使用全面的的环境控控制措施施保障系系统安全全运行，如如：不间间断电源源保护、温温湿度控控制、防防水防火火设施等等。物理设施受受到潮湿湿、断电电、火灾灾等威胁胁。等级保护-物理安安全-防防雷击：a) 机房房建筑应应设置避避雷装置置b) 应设设置防雷雷保安器器，防止止感应雷雷c) 机房房应设置置交流电电源地线线等级保护-物

22、理安安全-防防火：a)机房应应设置火火灾自动动消防系系统，能能够自动动检测火火情、自自动报警警，并自自动灭火火；b) 机房房及相关关的工作作房间和和辅助房房应采用用具有耐耐火等级级的建筑筑材料；c) 机房房应采取取区域隔隔离防火火措施，将将重要设设备与其其他设备备隔离开开。等级保护-物理安安全-防防水和防防潮：a) 水管管安装，不不得穿过过屋顶和和活动地地板下；b) 应采采取措施施防止雨雨水通过过机房窗窗户、屋屋顶和墙墙壁渗透透；c) 应采采取措施施防止机机房内水水蒸气结结露和地地下积水水的转移移与渗透透；d) 应安安装对水水敏感的的检测仪仪表或元元件，对对机房进进行防水水检测和和报警；等级保

23、护-物理安安全-防防静电：a) 主要要设备应应采用必必要的接接地等防防静电措措施；b) 机房房应采用用防静电电地板；等级保护-物理安安全-温温湿度控控制：a) 机房房应设置置温、湿湿度自动动调节设设施，使使机房温温、湿度度的变化化在设备备运行所所允许的的范围之之内a) 应在在机房供供电线路路上配置置稳压器器和过电电压防护护设备b) 应提提供短期期的备用用电力供供应，至至少满足足关键设设备在断断电情况况下的正正常运行行要求c) 应设设置冗余余或并行行的电力力电缆线线路为计计算机系系统供电电d) 应建建立备用用供电系系统等级保护-物理安安全-电电磁防护护：a) 应采采用接地地方式防防止外界界电磁干

24、干扰和设设备寄生生耦合干干扰；b) 电源源线和通通信线缆缆应隔离离，避免免互相干干扰c) 应对对关键设设备和磁磁介质实实施电磁磁屏蔽24门禁管理制制度第三方人员员进入安安全区域域应得到到适当的的批准，并并受到密密切监控控；对外外聘人员员和承包包商有严严格的审审查程序序，包括括身份验验证和背背景调查查，并签签署安全全、保密密协议。非法访问者者对物理理设施进进行有意意或者无无意的破破坏。等级保护-物理安安全-物物理访问问控制：a) 机房房出入口口应安排排专人值值守，控控制、鉴鉴别和记记录进入入的人员员；b) 需进进入机房房的来访访人员应应经过申申请和审审批流程程，并限限制和监监控其活活动范围围。I

25、SO2770011：20005 信息安安全组织织-外部组组织：应识别来自自涉及外外部组织织的业务务过程的的信息和和信息处处理设施施的风险险，并在在允许访访问前实实施适当当的控制制；与第三三方签订订的协议议中应覆覆盖所有有相关的的安全要要求。这这些协议议可能涉涉及对组组织的喜喜讯你或或信息处处理设施施的访问问、处理理、沟通通或管理理，或增增加信息息处理设设施的产产品和服服务。25网络安全逻辑分区按照不同的的安全级级别，将将网络划划分为不不同的逻逻辑安全全域。重要系统得得不到应应有的安安全保护护，非法法用户对对系统进进行非法法访问，造造成系统统破坏或或数据中中断。等级保护-网络安安全-结构安安全：

26、e) 应根根据各部部门的工工作职能能、重要要性和所所涉及信信息的重重要程度度等因素素，划分分不同的的子网或或网段，并并按照方方便管理理和控制制的原则则为各子子网、网网段分配配地址段段。26网络边界防防护不同的网络络域之间间应采取取有效的的分隔和和访问控控制措施施，如部部署防火火墙和入入侵检测测设备；对网络络的特殊殊敏感域域，应采采用物理理隔离方方式。扁平化的网网络使网网络管理理更加困困难，非非法访问问者更加加容易针针对重要要设备并并进行攻攻击。等级保护-网络安安全-结构安安全：f) 应避避免将重重要网段段部署在在网络边边界处且且直接连连接外部部信息系系统，重重要网段段与其他他网段之之间采取取可

27、靠的的技术隔隔离手段段。等级保护-网络安安全-访问控控制：a) 应在在网络边边界部署署访问控控制设备备，启用用访问控控制功能能；b) 应能能根据会会话状态态信息为为数据流流提供明明确的允允许/拒拒绝访问问的能力力，控制制粒度为为端口级级；c) 应对对进出网网络的信信息内容容进行过过滤，实实现对应应用层HHTTPP、FTTP、TTELNNET、SSMTPP、POOP3等等协议命命令级的的控制；d) 应在在会话处处于非活活跃一定定时间或或会话结结束后终终止网络络连接；e) 应限限制网络络最大流流量数及及网络连连接数；f) 重要要网段应应采取技技术手段段防止地地址欺骗骗g) 应按按用户和和系统之之间

28、的允允许访问问规则，决决定允许许或拒绝绝用户对对受控系系统进行行资源访访问，控控制粒度度为单个个用户；h) 应限限制具有有拨号访访问权限限的用户户数量。等级保护-网络安安全-边界完完整性检检查：a) 应能能够对非非授权设设备私自自联到内内部网络络的行为为进行检检查，准准确定出出位置，并并对其进进行有效效阻断；b) 应能能够对内内部网络络用户私私自联到到外部网网络的行行为进行行检测，准准确定出出位置，并并对其进进行有效效阻断。等级保护-网络安安全-入侵防防范：a) 应在在网络边边界处监监视以下下攻击行行为：端端口扫描描、强力力攻击、木木马后门门攻击、拒拒绝服务务攻击、缓缓冲区溢溢出攻击击、IPP

29、碎片攻攻击和网网络蠕虫虫攻击等等b) 当检检测到攻攻击行为为时，记记录攻击击源IPP、攻击击类型、攻攻击目的的、攻击击时间，在在发生严严重入侵侵事件时时应提供供报警27传输加密敏感数据在在网络传传输过程程中应加加密。数据被非法法窃听，导导致重要要数据泄泄露。等级保护-数据安安全-数据保保密性a) 应采采用加密密或其他他有效措措施实现现系统管管理数据据、鉴别别信息和和重要业业务数据据传输保保密性。28网络监控依据事先定定义的性性能目标标对网络络进行持持续地监监测，以以确认任任何潜在在的瓶颈颈制约或或超负荷荷运行等等任何异异常的活活动；高高强度网网络分析析工具的的使用应应有适当当的授权权或审批批流

30、程。无法及时发发现网络络异常，导导致网络络故障或或系统宕宕机。等级保护-系统运运维管理理-监控管管理：a) 应对对通信线线路、主主机、网网络设备备和应用用软件的的运行状状况、网网络流量量、用户户行为等等进行监监测和报报警，形形成记录录并妥善善保存；b) 应组组织相关关人员定定期对监监测和报报警记录录进行分分析、评评审，发发现可疑疑行为，形形成分析析报告，并并采取必必要的应应对措施施；a) 应指指定专人人对网络络进行管管理，负负责运行行日志、网网络监控控记录的的日常维维护和报报警信息息分析和和处理工工作。29网络配置更更改定期审查网网络配置置；配置置更改或或设备调调整应作作为网络络变更流流程进行

31、行操作。网络配置不不当导致致出现安安全弱点点；错误误的配置置操作导导致网络络安全弱弱点或网网络故障障出现。等级保护-系统运运维管理理-网络安安全管理理：a) 应指指定专人人对网络络进行管管理，负负责运行行日志、网网络监控控记录的的日常维维护和报报警信息息分析和和处理工工作；b) 应建建立网络络安全管管理制度度，对网网络安全全配置、日日志保存存时间、安安全策略略、升级级与打补补丁、口口令更新新周期等等方面作作出规定定；c) 应根根据厂家家提供的的软件升升级版本本对网络络设备进进行更新新，并在在更新前前对现有有的重要要文件进进行备份份；d) 应定定期对网网络系统统进行漏漏洞扫描描，对发发现的网网络

32、系统统安全漏漏洞进行行及时的的修补；e) 应实实现设备备的最小小服务配配置，并并对配置置文件进进行定期期离线备备份；f) 应保保证所有有与外部部系统的的连接均均得到授授权和批批准；g) 应依依据安全全策略允允许或拒拒绝便携携式和移移动式设设备的网网络接入入；h) 应定定期检查查违反规规定拨号号上网或或其他违违反网络络安全策策略的行行为。30操作系统安安全安全标准制定每种类类型操作作系统的的基本安安全要求求，确保保所有系系统满足足基本安安全要求求。操作系统配配置不当当导致出出现安全全弱点。等级保护-系统运运维管理理-系统安安全管理理：a) 应根根据业务务需求和和系统安安全分析析确定系系统的访访问

33、控制制策略；b) 应定定期进行行漏洞扫扫描，对对发现的的系统安安全漏洞洞及时进进行修补补；c) 应安安装系统统的最新新补丁程程序，在在安装系系统补丁丁前，首首先在测测试环境境中测试试通过，并并对重要要文件进进行备份份后，方方可实施施系统补补丁程序序的安装装；d) 应建建立系统统安全管管理制度度，对系系统安全全策略、安安全配置置、日志志管理和和日常操操作流程程等方面面作出具具体规定定。31访问权限明确定义不不同用户户组的访访问权限限，包括括终端用用户、系系统开发发人员、系系统测试试人员、计计算机操操作人员员、系统统管理员员和用户户管理员员等。管理员获得得不当权权限，系系统关键键配置被被非法修修改

34、。等级保护-系统运运维管理理-系统安安全管理理：e) 应指指定专人人对系统统进行管管理，划划分系统统管理员员角色，明明确各个个角色的的权限、责责任和风风险，权权限设定定应当遵遵循最小小授权原原则。32最高权限账账户管理理制定针对使使用最高高权限系系统帐户户的审批批、验证证和监控控流程，并并确保最最高权限限用户的的操作日日志被记记录和监监察。高权限帐号号的错误误或非法法操作造造成严重重的故障障或损失失；无法法对故障障或损失失的原因因进行追追溯。等级保护-安全管管理机构构-授权和和审批：a) 应根根据各个个部门和和岗位的的职责明明确授权权审批事事项、审审批部门门和批准准人等b) 应针针对系统统变更

35、、重重要操作作、物理理访问和和系统接接入等事事项建立立审批程程序，按按照审批批程序执执行审批批过程，对对重要活活动建立立逐级审审批制度度c) 应定定期审查查审批事事项，及及时更新新需授权权和审批批的项目目、审批批部门和和审批人人等信息息d) 应记记录审批批过程并并保存审审批文档档等级保护-主机安安全-安全审审计：a) 审计计范围应应覆盖到到服务器器和重要要客户端端上的每每个操作作系统用用户和数数据库用用户；e) 应保保护审计计进程，避避免受到到未预期期的中断断；f) 应保保护审计计记录，避避免受到到未预期期的删除除、修改改或覆盖盖等。33安全补丁定期监察可可用的安安全补丁丁，经评评估和测测试后

36、进进行安装装。对已发现系系统漏洞洞无法及及时修补补，导致致黑客入入侵，木木马、病病毒植入入；不当当的安全全补丁安安装影响响系统稳稳定性或或者系统统宕机。等级保护-系统运运维管理理-系统安安全管理理：c) 应安安装系统统的最新新补丁程程序，在在安装系系统补丁丁前，首首先在测测试环境境中测试试通过，并并对重要要文件进进行备份份后，方方可实施施系统补补丁程序序的安装装；34重要事项审审核操作人员应应对操作作系统运运行的重重要事项项进行检检查和说说明，如如系统日日志中记记录的未未成功登登录，重重要系统统文件的的访问，对对用户帐帐号进行行修改等等信息，以以及系统统出现的的任何异异常事件件。对操作系统统的

37、非法法或错误误操作无无法记录录，对信信息安全全事件或或系统故故障无法法进行追追溯和分分析。等级保护-主机安安全-安全审审计：a) 审计计范围应应覆盖到到服务器器和重要要客户端端上的每每个操作作系统用用户和数数据库用用户b) 审计计内容应应包括重重要用户户行为、系系统资源源的异常常使用和和重要系系统命令令的使用用等系统统内重要要的安全全相关事事件c) 审计计记录应应包括事事件的日日期、时时间、类类型、主主体标识识、客体体标识和和结果等等d) 应能能够根据据记录数数据进行行分析，并并生成审审计报表表e) 应保保护审计计进程，避避免受到到未预期期的中断断f) 应保保护审计计记录，避避免受到到未预期期

38、的删除除、修改改或覆盖盖等35应用系统安安全岗位职责明确定义终终端用户户和信息息科技技技术人员员在应用用安全中中的岗位位和职责责；对关关键或敏敏感职能能进行双双重控制制。知识、技能能不够造造成误操操作；重重要岗位位缺乏监监管造成成有意的的非法操操作。ISO2770011：20005 人力资资源安全全-角色色和职责责：应根据组织织的信息息安全方方针，规规定员工工、合同同方和第第三方用用户的安安全角色色和职责责并形成成文件。ISO2770011：20005访访问控制制-特权管管理：应限制和控控制特权权的使用用和分配配36身份验证针对应用系系统的重重要程序序和敏感感程度，采采取有效效的身份份验证方方

39、法。非法用户获获得访问问权限。等级保护-应用安安全-身份鉴鉴别：a) 应提提供专用用的登录录控制模模块对登登录用户户进行身身份标识识和鉴别别；b) 应对对同一用用户采用用两种或或两种以以上组合合的鉴别别技术实实现用户户身份鉴鉴别；c) 应提提供用户户身份标标识唯一一性和鉴鉴别信息息复杂度度检查功功能，保保证应用用系统中中不存在在重复用用户身份份标识，身身份鉴别别信息不不易被冒冒用；d) 应提提供登录录失败处处理功能能，可采采取结束束会话、限限制非法法登录次次数和自自动退出出等措施施；e) 应启启用身份份鉴别、用用户身份份标识唯唯一性检检查、用用户身份份鉴别信信息复杂杂度检查查以及登登录失败败处

40、理功功能，并并根据安安全策略略配置相相关参数数。37信息输入和和输出在关键的接接合点进进行输入入验证或或输出核核对；采采取安全全的方式式处理保保密信息息的输入入和输出出，防止止信息被被盗、篡篡改、故故意或无无意泄露露。关键数据被被盗、篡篡改、故故意或无无意泄露露。ISO2770011：20005电电子商务务服务-电子商商务：应保护电子子商务中中通过公公共网络络传输的的信息，以以防止欺欺诈、合合同争议议、未授授权的泄泄漏和修修改；ISO2770011：20005电电子商务务服务-在线交交易：应保护在线线交易中中的信息息，以防防止不完完整的传传输、路路由错误误、未授授权的消消息修改改、未经经授权的

41、的泄漏、未经授授权的消消息复制制或回复复。38运行情况审审核系统能以书书面或电电子格式式保存审审计痕迹迹；能够够以预先先定义的的方式处处理例外外情况，并并向用户户提供有有意义的的信息；管理人人员对系系统重要要事项进进行管理理和审核核。对应用系统统的非法法或错误误操作无无法记录录，对信信息安全全事件或或系统故故障无法法进行追追溯和分分析。等级保护-应用安安全-安全审审计：a) 应覆覆盖到每每个用户户的安全全审计功功能，对对应用系系统重要要安全事事件进行行审计；b) 应保保证无法法单独中中断审计计进程，无无法删除除、修改改或覆盖盖审计记记录；c) 审计计记录的的内容至至少应包包括日期期、时间间、发

42、起起者信息息、类型型、描述述和结果果等；d) 应提提供对审审计记录录数据进进行统计计、查询询、分析析及生成成审计报报表的功功能。39日志安全策略和流程程制定了相关关策略和和流程，控控制所有有生产系系统的活活动日志志，以支支持有效效的审核核、安全全论证分分析和预预防欺诈诈；设置置了日志志监控和和管理岗岗位；制制定了日日志资料料的安全全保护和和调阅管管理制度度。无法及时发发现信息息安全事事件，无无法对信信息安全全事件进进行分析析和预防防；日志志被篡改改或者无无意丢失失，无法法对历史史事件进进行追溯溯。等级保护-系统运运维-监控管管理：a) 应对对通信线线路、主主机、网网络设备备和应用用软件的的运行

43、状状况、网网络流量量、用户户行为等等进行监监测和报报警，形形成记录录并妥善善保存；b) 应组组织相关关人员定定期对监监测和报报警记录录进行分分析、评评审，发发现可疑疑行为，形形成分析析报告，并并采取必必要的应应对措施施；c) 应建建立安全全管理中中心，对对设备状状态、恶恶意代码码、补丁丁升级、安安全审计计等安全全相关事事项进行行集中管管理。40交易日志交易日志由由应用软软件和数数据库管管理系统统产生，包包括身份份尝试、数数据修改改、错误误信息等等；交易易日志按按照国家家会计政政策要求求予以保保存。对系统问题题，非法法操作无无法进行行记录，对对出现问问题的原原因无法法进行追追溯。等级保护-主机安

44、安全-安全审审计；等级保护-应用安安全-安全审审计；等级保护-网络安安全-安全审审计；等级保护-系统运运维管理理-网络安安全管理理；a) 应指指定专人人对网络络进行管管理，负负责运行行日志、网网络监控控记录的的日常维维护和报报警信息息分析和和处理工工作b) 应建建立网络络安全管管理制度度，对网网络安全全配置、日日志保存存时间、安安全策略略、升级级与打补补丁、口口令更新新周期等等方面作作出规定定等级保护-系统运运维管理理-系统安全全管理：d) 应建建立系统统安全管管理制度度，对系系统安全全策略、安安全配置置、日志志管理和和日常操操作流程程等方面面作出具具体规定定；g) 应定定期对运运行日志志和审

45、计计数据进进行分析析，以便便及时发发现异常常行为。41系统日志系统日志由由操作系系统、数数据库管管理系统统、防火火墙、入入侵检测测系统和和路由器器等生成成，包括括身份认认证尝试试、系统统事件、网网络事件件、错误误信息等等；系统统和网络络日志保保存期限限按事先先的风险险定级确确定，但但不能少少。不完整的日日志无法法对现有有的系统统运行情情况进行行监控，无无法对出出现的各各类事件件的原因因进行追追溯；历历史记录录不进行行合理的的保留导导致在出出现问题题后对以以前的操操作或者者问题进进行查找找分析。42保存和复查查银行应保证证在日志志中包含含足够的的项目，以以便有效效地完成成内部控控制、系系统故障障

46、解决和和审计，同同时应采采取适当当措施保保证所有有日志的的计时同同步，并并确保其其完整性性，有任任何的例例外情况况发生都都应当复复查系统统日志。交交易日志志或数据据库日志志的复查查频率和和保留周周期应由由信息科科技部门门和有关关业务部部分共同同决定，并并报信息息科技管管理委员员会批准准。不完善的日日志记录录无法对对审计提提供足够够的参考考；缺乏乏日志审审核对隐隐藏的操操作问题题无法及及时发现现。43信息安全信息分类制定信息分分类操作作指南和和信息保保护工作作流程；信息依依据敏感感程度进进行分类类，并指指定所有有人。对重要信息息无法提提供足够够有效的的保护，造造成重要要信息被被破坏、篡篡改、泄泄露。ISO2770011：20005 资产管管理-分类指指南：应按照信息息的价值值、法律律要求及及对组织织的敏感感程度和和关键程程度进行行分类；ISO2770011：20005 资产管管理-信息标标识和处处置：应制定一套套与组织织所采用用的分类类方案一一致的信信息标识识和处置置的程序序，并实实施。44信息加密对不同类别别信息采采用相应应的加密密技术或或密码设设备；建建立密码码设备管管理规范范制度；管理使使用密码码系统设设备的员员工经过过专业培培训和严严格审核核。没有加密的的信息容容易被泄泄露、破破坏、篡篡