信息科技風(fēng)險(xiǎn)自評(píng)估表

信息科技風(fēng)險(xiǎn)自評(píng)估表一、信息科技治理序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)1 ISO27001：2022治理層職責(zé)：建立信息安全方針，確保信息安全目標(biāo)和打算的建立，進(jìn)展信息安全治理體系的評(píng)審；董事會(huì)或高級(jí)治理層職責(zé)2

對(duì)信息科技戰(zhàn)略的審查對(duì)本行信息科技風(fēng)險(xiǎn)治理現(xiàn)狀的把握狀況

批準(zhǔn)并審查信息科技戰(zhàn)略；保證信息科技戰(zhàn)略與銀行總體業(yè)務(wù)戰(zhàn)略和重大策略相全都；定期評(píng)估信息科技及其風(fēng)險(xiǎn)治理工作的總體效力和效率。定期聽取信息科技風(fēng)險(xiǎn)治理部門報(bào)告；組織進(jìn)展獨(dú)立有效的信息科技風(fēng)險(xiǎn)審計(jì)；對(duì)審計(jì)報(bào)告和監(jiān)管意見的整改狀況進(jìn)展監(jiān)視。

信息風(fēng)險(xiǎn)治理缺乏長期規(guī)劃，無法指導(dǎo)信息安全工作開展。無法把握現(xiàn)有風(fēng)險(xiǎn)，對(duì)存在的信息安全風(fēng)險(xiǎn)針對(duì)性的改進(jìn)無法得到有力的推動(dòng)。

ISO27001：2022信息安全方針文檔：信息安全方針文檔應(yīng)經(jīng)過治理層的批準(zhǔn)，并向全部員工和外部相關(guān)方公布和溝通；ISO27001：2022應(yīng)按籌劃的時(shí)間間隔或當(dāng)發(fā)生重大變化時(shí)，對(duì)信息安全方針文檔進(jìn)展評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。CorbitIT治理層理解并使用技術(shù)根底設(shè)施打算；技術(shù)根底設(shè)施打算上的變化，以確定相關(guān)的本錢和風(fēng)險(xiǎn)，這些變化要反映在IT長短期打算的變化中；IT治理層要理解監(jiān)控和評(píng)估正在消滅技術(shù)的過程，并要將適當(dāng)?shù)募夹g(shù)合并到當(dāng)前的IT根底設(shè)施之中；IT治理層要理解系統(tǒng)評(píng)估技術(shù)打算意外的過程。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn)3對(duì)信息科技建設(shè)的支持4組織信息科技治理委員會(huì)的建立5首席信息官的設(shè)組織架構(gòu)置6信息科技部門的職責(zé)7信息科技風(fēng)險(xiǎn)治理局部的職責(zé)

掌握目標(biāo)建立合理的人才鼓勵(lì)體制；確保為信息科技風(fēng)險(xiǎn)治理工作撥付所需資金；建立標(biāo)準(zhǔn)的職業(yè)道德行為和廉政標(biāo)準(zhǔn)。由來自高級(jí)治理層、信息科技局部和主要業(yè)務(wù)局部的代表組成；定期向董事會(huì)和高級(jí)治理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的效力、信息科技預(yù)算和實(shí)際支出、信息科技的整體性能；對(duì)信息科技建設(shè)及治理狀況進(jìn)展有效的協(xié)調(diào)。直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)進(jìn)展決策；建立切實(shí)有效的信息科技局部；確保信息科技風(fēng)險(xiǎn)治理的有效性。崗位設(shè)置完整合理；人員具有相應(yīng)的技能和專業(yè)學(xué)問，制定有合理的培訓(xùn)打算；重要崗位制定具體完整的工作說明。可直接向CIO或CRO施持續(xù)的信息科技風(fēng)險(xiǎn)評(píng)估；協(xié)調(diào)有關(guān)信息科技風(fēng)險(xiǎn)治理策略的制定。

風(fēng)險(xiǎn)分析對(duì)信息安全風(fēng)險(xiǎn)的改進(jìn)缺乏有效資源信息安全工作缺乏統(tǒng)一組織進(jìn)展協(xié)調(diào)。信息安全工作缺乏統(tǒng)一有效的領(lǐng)導(dǎo)和責(zé)任人。缺乏具有專業(yè)學(xué)問和技能的專職人員；信息安全工作無法有效的協(xié)調(diào)。

參考依據(jù)Corbit信息技術(shù)審計(jì)指南-治理信息技術(shù)投資：高級(jí)治理層應(yīng)執(zhí)行預(yù)算編制過程，依據(jù)機(jī)構(gòu)的長期和短期IT的長期和短期打算，保證年度IT運(yùn)作預(yù)算的建立和批準(zhǔn)。應(yīng)調(diào)查資金的選擇。等級(jí)保護(hù)-安全治理機(jī)構(gòu)-崗位設(shè)置c)應(yīng)成立指導(dǎo)和治理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組。等級(jí)保護(hù)-安全治理機(jī)構(gòu)-崗位設(shè)置c)信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。等級(jí)保護(hù)-安全治理機(jī)構(gòu)-崗位設(shè)置應(yīng)設(shè)立信息安全治理工作的職能部門，設(shè)立安全主管、安全治理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；應(yīng)配備專職安全治理員，不行兼任；d)應(yīng)制定文件明確安全治理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)8 等級(jí)保護(hù)-安全治理機(jī)構(gòu)-審核和檢查安全治理員應(yīng)負(fù)責(zé)定期進(jìn)展安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等狀況；9制度建設(shè)10

信息科技內(nèi)部審計(jì)崗位制度建設(shè)流程制度體系

在內(nèi)審部門內(nèi)部設(shè)立；配備足夠的專業(yè)人員；制定完整的信息科技審計(jì)策略和流程；制定信息科技內(nèi)審打算并落實(shí)。完善的規(guī)章制度和治理方法的制定、審批和修訂流程。涵蓋運(yùn)行、安全、開發(fā)等各重要局部；對(duì)關(guān)鍵局部應(yīng)有具體的治理規(guī)定和操作細(xì)則。

信息安全工作缺乏有效的監(jiān)視和評(píng)價(jià)，信息安全風(fēng)險(xiǎn)治理無法有效的落實(shí)和改進(jìn)。信息安全治理制度混亂，無法形成完整體系，缺乏可操作性且得不到有效改進(jìn)。關(guān)鍵工作缺乏標(biāo)準(zhǔn)性，工作流程混亂，直接導(dǎo)致信息安全大事。

內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的全都性、安全治理制度的執(zhí)行狀況等；應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)展通報(bào)；應(yīng)制定安全審核和安全檢查制度標(biāo)準(zhǔn)安全審核和安全檢查工作，定期依據(jù)程序進(jìn)展安全審核和安全檢查活動(dòng)。ISO27001：2022總要求組織應(yīng)依據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持并改進(jìn)文件化的信息安全治理體系。ISO27001：2022-掌握目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)治理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作治理；7、訪問掌握；8、信息系統(tǒng)的獵取、開發(fā)和維護(hù)；9、信息安全事故治理；10、業(yè)務(wù)連續(xù)性治理；11、符合性。序號(hào)風(fēng)險(xiǎn)類別序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)11 策略內(nèi)容應(yīng)包括：1、信息分級(jí)與保護(hù)；2、應(yīng)用系統(tǒng)開發(fā)、測(cè)試和維護(hù)；3、信息科技運(yùn)行和45、物理

風(fēng)險(xiǎn)分析 參考依據(jù)等級(jí)保護(hù)-掌握項(xiàng)：1、物理安全；2、網(wǎng)絡(luò)安全；3、主機(jī)安全；4、應(yīng)用安全；安全策略考慮不5、數(shù)據(jù)安全；6、安全治理制度；7、安全治理機(jī)構(gòu)；8、12信息科技風(fēng)險(xiǎn)治理13

信息科技風(fēng)險(xiǎn)管理策略風(fēng)險(xiǎn)識(shí)別和評(píng)估流程區(qū)域，對(duì)這些區(qū)域進(jìn)展具體的獨(dú)立監(jiān)控，并建立適當(dāng)?shù)恼莆諈^(qū)域，對(duì)這些區(qū)域進(jìn)展具體的獨(dú)立監(jiān)控，并建立適當(dāng)?shù)恼莆諛?gòu)造。14范圍涵蓋全部的重要局部，包風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)含工程實(shí)施、系統(tǒng)性能、事故機(jī)制與投訴、問題整改、外包效勞三、信息安全水平、運(yùn)行操作、外包工程等。

67、業(yè)務(wù)連續(xù)性與應(yīng)急處置準(zhǔn)確定位存在隱患的區(qū)域；評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響；對(duì)風(fēng)險(xiǎn)進(jìn)展分類排序；確定風(fēng)險(xiǎn)防范活動(dòng)及必備資源的優(yōu)先級(jí)。1、明確的信息科技風(fēng)險(xiǎn)治理策略、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，并定期公示；2、識(shí)別潛在風(fēng)險(xiǎn)

含信息安全各方ISO27001：2022-掌握目標(biāo)：面，制定的安全策1、信息安全方針；2、信息安全組織；3、資產(chǎn)治理；4、略內(nèi)容存在疏漏。人力資源安全；5、物理與環(huán)境安全；6、通訊及操作治理；7、訪問掌握；8、信息系統(tǒng)的獵取、開發(fā)和維護(hù)；9、信息安全事故治理；10、業(yè)務(wù)連續(xù)性治理；11、符合性。計(jì)算機(jī)等級(jí)保護(hù)制度；ISO27001：2022無法了解現(xiàn)有系統(tǒng)存在的風(fēng)險(xiǎn)，無法有效的指導(dǎo)信息安全的改進(jìn)，提高信息系統(tǒng)安全性。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)15 ISO27001訪問掌握-掌握策略：應(yīng)建立文件化的訪問掌握策略，并依據(jù)對(duì)訪問的業(yè)務(wù)和安16用戶認(rèn)證和訪問掌握

授權(quán)機(jī)制用戶審查認(rèn)證機(jī)制

完整的審批流程；以“必需知道”和“最小授權(quán)”為原則；權(quán)限收回流程。定期對(duì)系統(tǒng)全部用戶進(jìn)展審查；每個(gè)系統(tǒng)的全部用戶使用唯一ID；用戶變化時(shí)應(yīng)準(zhǔn)時(shí)檢查和更。與信息訪問級(jí)別相匹配的用戶認(rèn)證機(jī)制；高風(fēng)險(xiǎn)交易和活動(dòng)使用增加的認(rèn)證方法。

用戶獲得不當(dāng)權(quán)限，有意或者無意的造成系統(tǒng)破壞或信息泄露。用戶獲得不當(dāng)權(quán)限，有意或者無意的造成系統(tǒng)破壞或信息泄露。用戶獲得不當(dāng)權(quán)限，有意或者無意的造成系統(tǒng)破壞或信息泄露。

全要求進(jìn)展評(píng)審；ISO27001訪問掌握-用戶注冊(cè)：應(yīng)建立正式的用戶注冊(cè)和解除注冊(cè)程序，以允許和撤銷對(duì)于全部信息系統(tǒng)和效勞的訪問；ISO27001訪問掌握-特權(quán)治理：應(yīng)限制和掌握特權(quán)的使用和安排。ISO27001訪問掌握-用戶訪問權(quán)限的評(píng)審：治理者應(yīng)依據(jù)籌劃的時(shí)間間隔通過正式的流程對(duì)用戶的訪問權(quán)限進(jìn)展評(píng)審。等級(jí)保護(hù)-應(yīng)用安全-身份鑒別：應(yīng)供給專用的登錄掌握模塊對(duì)登錄用戶進(jìn)展身份標(biāo)識(shí)和鑒別應(yīng)對(duì)同一用戶承受兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別應(yīng)供給用戶身份標(biāo)識(shí)唯一性和鑒別信息簡(jiǎn)單度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用應(yīng)供給登錄失敗處理功能，可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息簡(jiǎn)單度檢查以及登錄失敗處理功能，并依據(jù)安全策略配置相關(guān)參數(shù)序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)等級(jí)保護(hù)-安全治理機(jī)構(gòu)-崗位設(shè)置應(yīng)設(shè)立信息安全治理工作的職能部門，設(shè)立安全主管、19信息安全治理20

信息安全治理信息安全策略安全培訓(xùn)

完善的信息安全治理流程、組織架構(gòu)和職責(zé)安排。信息安全策略包含完整的內(nèi)容：12、資34、物理和環(huán)境安全；5、通信和操作67、身份認(rèn)證；8、信息系統(tǒng)的獵取、開發(fā)和維護(hù)；9、信息安全事故治理11、合規(guī)性。供給必要的培訓(xùn)，使全部員工都了解信息安全的重要性，并讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

治理混亂信息安全策略無法正確準(zhǔn)時(shí)的實(shí)施；信息安全責(zé)任無法明確。安全策略考慮不完善，沒有完整包含信息安全各方面，制定的安全策略內(nèi)容存在疏漏。一般員工缺乏信息安全意識(shí)，造成有意或無意的信息泄露或者破壞。

安全治理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)應(yīng)設(shè)立系統(tǒng)治理員、網(wǎng)絡(luò)治理員、安全治理員崗位，并定義各個(gè)工作崗位的職責(zé)應(yīng)成立指導(dǎo)和治理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)應(yīng)制定文件明確安全治理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求ISO27001：2022-掌握目標(biāo)：1、信息安全方針；2、信息安全組織；3、資產(chǎn)治理；4、人力資源安全；5、物理與環(huán)境安全；6、通訊及操作治理；7、訪問掌握；8、信息系統(tǒng)的獵取、開發(fā)和維護(hù)；9、信息安全事故治理；10、業(yè)務(wù)連續(xù)性治理；11、符合性。等級(jí)保護(hù)-人員安全治理-安全意識(shí)教育和培訓(xùn)：應(yīng)對(duì)各類人員進(jìn)展安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)展書面規(guī)定并告知相關(guān)人員，對(duì)違反違反安全策略和規(guī)定的人員進(jìn)展懲戒；應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)展書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)打算，對(duì)信息安全根底學(xué)問、崗位操作規(guī)序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)程等進(jìn)展培訓(xùn)；應(yīng)對(duì)安全教育和培訓(xùn)的狀況和結(jié)果進(jìn)展記錄并歸檔保存。2122物理安全

數(shù)據(jù)中心的地理位置

遠(yuǎn)離自然災(zāi)難地區(qū)、危急或有害設(shè)施、或繁忙/主要大路；實(shí)行有效的物理或環(huán)境掌握措施，監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威逼的環(huán)境出口數(shù)量應(yīng)嚴(yán)格掌握；出入通

ISO27001：2022-物理與環(huán)境安全：應(yīng)設(shè)計(jì)并實(shí)施針對(duì)火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他物理設(shè)施受到臺(tái)形式的自然或人為災(zāi)難的物理保護(hù)措施。風(fēng)、地震、火災(zāi)、等級(jí)保護(hù)-物理安全-物理位置的選擇：震驚、灰塵等威a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震防風(fēng)和防雨等力量脅。 的建筑內(nèi)；b)設(shè)備的下層或隔壁。等級(jí)保護(hù)-物理安全-物理訪問掌握：機(jī)房出入口應(yīng)安排專人值守，掌握、鑒別和記錄進(jìn)入的人員；和監(jiān)控其活動(dòng)范圍；應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)展治理，區(qū)域和區(qū)域之間設(shè)置物理數(shù)據(jù)中心的安全保衛(wèi)

道的鎖具安全牢靠；配備有錄像監(jiān)控和報(bào)警系統(tǒng)；關(guān)鍵位置配備警衛(wèi)人員；敏感設(shè)施及場(chǎng)所的標(biāo)識(shí)隱匿

非法訪問者對(duì)物理設(shè)施進(jìn)展有意或者無意的破壞。

隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，掌握、鑒別和記錄進(jìn)入的人員。等級(jí)保護(hù)-物理安全-防盜竊和防破壞：應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)的標(biāo)記應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫或檔案室中應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)23等級(jí)保護(hù)-物理安全-防雷擊：機(jī)房建筑應(yīng)設(shè)置避雷裝置應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷機(jī)房應(yīng)設(shè)置溝通電源地線數(shù)據(jù)中心的運(yùn)行環(huán)境

使用全面的環(huán)境掌握措施保障系統(tǒng)安全運(yùn)行，如：不連續(xù)電源保護(hù)、溫濕度掌握、防水防火設(shè)施等。

物理設(shè)施受到潮濕、斷電、火災(zāi)等威逼。

等級(jí)保護(hù)-物理安全-防火：機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和關(guān)心房應(yīng)承受具有耐火等級(jí)的建筑材料；隔離開。等級(jí)保護(hù)-物理安全-防水和防潮：水管安裝，不得穿過屋頂和活動(dòng)地板下；應(yīng)實(shí)行措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；應(yīng)實(shí)行措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；測(cè)和報(bào)警；等級(jí)保護(hù)-物理安全-防靜電：主要設(shè)備應(yīng)承受必要的接地等防靜電措施；機(jī)房應(yīng)承受防靜電地板；等級(jí)保護(hù)-物理安全-溫濕度掌握：序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)整設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備狀況下的正常運(yùn)行要求應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電應(yīng)建立備用供電系統(tǒng)等級(jí)保護(hù)-物理安全-電磁防護(hù)：應(yīng)承受接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避開相互干擾應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽24門禁治理制度25網(wǎng)絡(luò)安全 規(guī)律分區(qū)

第三方人員進(jìn)入安全區(qū)域應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，并受到親熱監(jiān)控；對(duì)外聘人員和承包商有嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查，并簽署安全、保密協(xié)議。依據(jù)不同的安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的規(guī)律安全域。

等級(jí)保護(hù)-物理安全-物理訪問掌握：機(jī)房出入口應(yīng)安排專人值守，掌握、鑒別和記錄進(jìn)入的人員；非法訪問者對(duì)物和監(jiān)控其活動(dòng)范圍。理設(shè)施進(jìn)展有意ISO27001：2022信息安全組織-外部組織：或者無意的破壞。應(yīng)識(shí)別來自涉及外部組織的業(yè)務(wù)過程的信息和信息處理設(shè)施的風(fēng)險(xiǎn)，并在允許訪問前實(shí)施適當(dāng)?shù)恼莆?；與第三方簽訂的協(xié)議中應(yīng)掩蓋全部相關(guān)的安全要求。這些協(xié)議可能涉及對(duì)組織的喜訊你或信息處理設(shè)施的訪問、處理、溝通或治理，或增加信息處理設(shè)施的產(chǎn)品和效勞。重要系統(tǒng)得不到等級(jí)保護(hù)-網(wǎng)絡(luò)安全-構(gòu)造安全：應(yīng)有的安全保護(hù)，e)序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析非法用戶對(duì)系統(tǒng)進(jìn)展非法訪問，造成系統(tǒng)破壞或數(shù)據(jù)中斷。26

參考依據(jù)程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并依據(jù)便利治理和掌握的原則為各子網(wǎng)、網(wǎng)段安排地址段。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-構(gòu)造安全：f)應(yīng)避開將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間實(shí)行牢靠的技術(shù)隔離手段。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-訪問掌握：應(yīng)在網(wǎng)絡(luò)邊界部署訪問掌握設(shè)備，啟用訪問掌握功能；應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供給明確的允許/拒絕訪問的力量，掌握粒度為端口級(jí)；網(wǎng)絡(luò)邊界防護(hù)

不同的網(wǎng)絡(luò)域之間應(yīng)實(shí)行有效的分隔和訪問掌握措施，如部署防火墻和入侵檢測(cè)設(shè)備；對(duì)網(wǎng)絡(luò)的特別敏感域，應(yīng)承受物理隔離方式。

扁平化的網(wǎng)絡(luò)使c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過濾，實(shí)現(xiàn)對(duì)應(yīng)用層網(wǎng)絡(luò)治理更加困、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控難，非法訪問者更制；加簡(jiǎn)潔針對(duì)重要d)應(yīng)在會(huì)話處于非活潑肯定時(shí)間或會(huì)話完畢后終止網(wǎng)絡(luò)設(shè)備并進(jìn)展攻擊。連接；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段應(yīng)實(shí)行技術(shù)手段防止地址哄騙用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問，掌握粒度為單個(gè)用戶；應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-邊界完整性檢查：應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)展檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)展有效阻斷；序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)展檢測(cè)，準(zhǔn)確定出位置，并對(duì)其進(jìn)展有效阻斷。等級(jí)保護(hù)-網(wǎng)絡(luò)安全-入侵防范：應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)峻入侵大事時(shí)應(yīng)供給報(bào)警27傳輸加密28網(wǎng)絡(luò)監(jiān)控

敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中應(yīng)加密。依據(jù)事先定義的性能目標(biāo)對(duì)網(wǎng)絡(luò)進(jìn)展持續(xù)地監(jiān)測(cè)，以確認(rèn)任何潛在的瓶頸制約或超負(fù)荷運(yùn)行等任何特別的活動(dòng)；高強(qiáng)度網(wǎng)絡(luò)分析工具的使用應(yīng)有適當(dāng)?shù)氖跈?quán)或?qū)徟鞒獭?/p>

數(shù)據(jù)被非法竊聽，等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性導(dǎo)致重要數(shù)據(jù)泄a)應(yīng)承受加密或其他有效措施實(shí)現(xiàn)系統(tǒng)治理數(shù)據(jù)鑒別信露。 息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-監(jiān)控治理：a)網(wǎng)絡(luò)流量、用戶行為等進(jìn)展監(jiān)測(cè)和報(bào)警，形成記錄并妥當(dāng)無法準(zhǔn)時(shí)覺察網(wǎng)保存；絡(luò)特別，導(dǎo)致網(wǎng)絡(luò)b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)展分析、評(píng)故障或系統(tǒng)宕機(jī)。審，覺察可疑行為，形成分析報(bào)告，并實(shí)行必要的應(yīng)對(duì)措施；a)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)展治理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作。29網(wǎng)絡(luò)配置更改

定期審查網(wǎng)絡(luò)配置；配置更改或設(shè)備調(diào)整應(yīng)作為網(wǎng)絡(luò)變更流程進(jìn)展操作。

網(wǎng)絡(luò)配置不當(dāng)導(dǎo)致消滅安全弱點(diǎn)；錯(cuò)誤的配置操作導(dǎo)致網(wǎng)絡(luò)安全弱點(diǎn)或網(wǎng)絡(luò)故障出

等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-網(wǎng)絡(luò)安全治理：應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)展治理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；應(yīng)建立網(wǎng)絡(luò)安全治理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更周期等方面作序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)現(xiàn)。出規(guī)定；c)應(yīng)依據(jù)廠家供給的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展更，并在更前對(duì)現(xiàn)有的重要文件進(jìn)展備份；d)全漏洞進(jìn)展準(zhǔn)時(shí)的修補(bǔ)；e)應(yīng)實(shí)現(xiàn)設(shè)備的最小效勞配置，并對(duì)配置文件進(jìn)展定期離線備份；應(yīng)保證全部與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；應(yīng)依據(jù)安全策略允許或拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；h)應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。30等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-系統(tǒng)安全治理：a)應(yīng)依據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問掌握策略；操作系統(tǒng)安全31

安全標(biāo)準(zhǔn)訪問權(quán)限

制定每種類型操作系統(tǒng)的根本安全要求，確保全部系統(tǒng)滿足根本安全要求。明確定義不同用戶組的訪問權(quán)限，包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測(cè)試人員、計(jì)算機(jī)

操作系統(tǒng)配置不當(dāng)導(dǎo)致消滅安全弱點(diǎn)。治理員獲得不當(dāng)權(quán)限，系統(tǒng)關(guān)鍵配置被非法修改。

修補(bǔ)；應(yīng)安裝系統(tǒng)的最補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)展備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；日志治理和日常操作流程等方面作出具體規(guī)定。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-系統(tǒng)安全治理：應(yīng)指定專人對(duì)系統(tǒng)進(jìn)展治理，劃分系統(tǒng)治理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)操作人員、系統(tǒng)治理員和用戶治理員等。

風(fēng)險(xiǎn)分析

授權(quán)原則。

參考依據(jù)32最高權(quán)限賬戶治理33安全補(bǔ)丁

制定針對(duì)使用最高權(quán)限系統(tǒng)帳戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。定期監(jiān)察可用的安全補(bǔ)丁，經(jīng)評(píng)估和測(cè)試后進(jìn)展安裝。

高權(quán)限帳號(hào)的錯(cuò)誤或非法操作造成嚴(yán)峻的故障或損失；無法對(duì)故障或損失的緣由進(jìn)展追溯。對(duì)已覺察系統(tǒng)漏洞無法準(zhǔn)時(shí)修補(bǔ)，導(dǎo)致黑客入侵，木馬、病毒植入；不當(dāng)?shù)陌踩a(bǔ)丁安裝影響系統(tǒng)穩(wěn)定性或者系統(tǒng)宕機(jī)。

等級(jí)保護(hù)-安全治理機(jī)構(gòu)-授權(quán)和審批：應(yīng)依據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，依據(jù)審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度應(yīng)定期審查審批事項(xiàng)，準(zhǔn)時(shí)更需授權(quán)和審批的工程、審批部門和審批人等信息應(yīng)記錄審批過程并保存審批文檔等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)：a)審計(jì)范圍應(yīng)掩蓋到效勞器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；應(yīng)保護(hù)審計(jì)進(jìn)程，避開受到未預(yù)期的中斷；應(yīng)保護(hù)審計(jì)記錄，避開受到未預(yù)期的刪除、修改或掩蓋等。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-系統(tǒng)安全治理：c)應(yīng)安裝系統(tǒng)的最補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)展備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；34 重要事項(xiàng)審核 操作人員應(yīng)對(duì)操作系統(tǒng)運(yùn)行的

對(duì)操作系統(tǒng)的非

等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)：序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)重要事項(xiàng)進(jìn)展檢查和說明，如系統(tǒng)日志中記錄的未成功登錄，重要系統(tǒng)文件的訪問，對(duì)用戶帳號(hào)進(jìn)展修改等信息，以及系統(tǒng)消滅的任何特別大事。35明確定義終端用戶和信息科技技術(shù)人員在應(yīng)用安全中的崗位崗位職責(zé)和職責(zé)；對(duì)關(guān)鍵或敏感職能進(jìn)行雙重掌握。36應(yīng)用系統(tǒng)安全

風(fēng)險(xiǎn)分析法或錯(cuò)誤操作無法記錄，對(duì)信息安全大事或系統(tǒng)故障無法進(jìn)展追溯和分析。學(xué)問、技能不夠造成誤操作；重要崗位缺乏監(jiān)管造成有意的非法操作。

參考依據(jù)審計(jì)范圍應(yīng)掩蓋到效勞器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)大事審計(jì)記錄應(yīng)包括大事的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表應(yīng)保護(hù)審計(jì)進(jìn)程，避開受到未預(yù)期的中斷應(yīng)保護(hù)審計(jì)記錄，避開受到未預(yù)期的刪除、修改或掩蓋等ISO27001：2022人力資源安全-角色和職責(zé)：應(yīng)依據(jù)組織的信息安全方針，規(guī)定員工、合同方和第三方用戶的安全角色和職責(zé)并形成文件。ISO27001：2022應(yīng)限制和掌握特權(quán)的使用和安排等級(jí)保護(hù)-應(yīng)用安全-身份鑒別：應(yīng)供給專用的登錄掌握模塊對(duì)登錄用戶進(jìn)展身份標(biāo)識(shí)和鑒別；應(yīng)對(duì)同一用戶承受兩種或兩種以上組合的鑒別技術(shù)實(shí)身份驗(yàn)證

針對(duì)應(yīng)用系統(tǒng)的重要程序和敏感程度，實(shí)行有效的身份驗(yàn)證方法。

非法用戶獲得訪問權(quán)限。

現(xiàn)用戶身份鑒別；應(yīng)供給用戶身份標(biāo)識(shí)唯一性和鑒別信息簡(jiǎn)單度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；應(yīng)供給登錄失敗處理功能，可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息簡(jiǎn)單度檢查以及登錄失敗處理功能，并依據(jù)安全策略配置相關(guān)參數(shù)。37信息輸入和輸出38運(yùn)行狀況審核39日志安全 策略和流程

在關(guān)鍵的接合點(diǎn)進(jìn)展輸入驗(yàn)證或輸出核對(duì)；實(shí)行安全的方式處理保密信息的輸入和輸出，防止信息被盜、篡改、有意或無意泄露。系統(tǒng)能以書面或電子格式保存審計(jì)痕跡；能夠以預(yù)先定義的方式處理例外狀況，并向用戶供給有意義的信息；治理人員對(duì)系統(tǒng)重要事項(xiàng)進(jìn)展治理和審核。制定了相關(guān)策略和流程，掌握全部生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全論證分析和預(yù)防欺詐；設(shè)置了日志監(jiān)控和治理崗位；制定了日志資料的安全保護(hù)和調(diào)閱治理制

關(guān)鍵數(shù)據(jù)被盜、篡改、有意或無意泄露。對(duì)應(yīng)用系統(tǒng)的非法或錯(cuò)誤操作無法記錄，對(duì)信息安全大事或系統(tǒng)故障無法進(jìn)展追溯和分析。無法準(zhǔn)時(shí)覺察信息安全大事，無法對(duì)信息安全大事進(jìn)展分析和預(yù)防；日志被篡改或者無意喪失，無法對(duì)

ISO27001：2022電子商務(wù)效勞-電子商務(wù)：合同爭(zhēng)議、未授權(quán)的泄漏和修改；ISO27001：2022應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。等級(jí)保護(hù)-應(yīng)用安全-安全審計(jì)：全大事進(jìn)展審計(jì)；應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或掩蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至少應(yīng)包括日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)供給對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)展統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。等級(jí)保護(hù)-系統(tǒng)運(yùn)維-監(jiān)控治理：網(wǎng)絡(luò)流量、用戶行為等進(jìn)展監(jiān)測(cè)和報(bào)警，形成記錄并妥當(dāng)保存；應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)展分析、評(píng)審，覺察可疑行為，形成分析報(bào)告，并實(shí)行必要的應(yīng)對(duì)措序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)度。歷史大事進(jìn)展追施；溯。c)應(yīng)建立安全治理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)展集中治理。40交易日志由應(yīng)用軟件和數(shù)據(jù)庫對(duì)系統(tǒng)問題，非法等級(jí)保護(hù)-主機(jī)安全-安全審計(jì)；治理系統(tǒng)產(chǎn)生，包括身份嘗試、操作無法進(jìn)展記等級(jí)保護(hù)-應(yīng)用安全-安全審計(jì)；交易日志數(shù)據(jù)修改、錯(cuò)誤信息等；交易錄，對(duì)消滅問題的等級(jí)保護(hù)-網(wǎng)絡(luò)安全-安全審計(jì)；日志依據(jù)國家會(huì)計(jì)政策要求予緣由無法進(jìn)展追等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-網(wǎng)絡(luò)安全治理；以保存。溯。a)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)展治理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控41不完整的日志無法對(duì)現(xiàn)有的系統(tǒng)記錄的日常維護(hù)和報(bào)警信息分析和處理工作b)應(yīng)建立網(wǎng)絡(luò)安全治理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫運(yùn)行狀況進(jìn)展監(jiān)時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更周期等方面作治理系統(tǒng)、防火墻、入侵檢測(cè)控，無法對(duì)消滅的出規(guī)定系統(tǒng)和路由器等生成，包括身各類大事的緣由等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-系統(tǒng)安全治理：系統(tǒng)日志份認(rèn)證嘗試、系統(tǒng)大事、網(wǎng)絡(luò)進(jìn)展追溯；歷史記d)大事、錯(cuò)誤信息等；系統(tǒng)和網(wǎng)錄不進(jìn)展合理的日志治理和日常操作流程等方面作出具體規(guī)定；絡(luò)日志保存期限按事先的風(fēng)險(xiǎn)保存導(dǎo)致在消滅g)定級(jí)確定，但不能少。問題后對(duì)以前的特別行為。操作或者問題進(jìn)行查找分析。42銀行應(yīng)保證在日志中包含足夠不完善的日志記的工程，以便有效地完成內(nèi)部錄無法對(duì)審計(jì)提保存和復(fù)查

掌握、系統(tǒng)故障解決和審計(jì)，同時(shí)應(yīng)實(shí)行適當(dāng)措施保證全部日志的計(jì)時(shí)同步，并確保其完整性，有任何的例外狀況發(fā)生

供足夠的參考；缺乏日志審核對(duì)隱蔽的操作問題無法準(zhǔn)時(shí)覺察。序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)都應(yīng)當(dāng)復(fù)查系統(tǒng)日志。交易日志或數(shù)據(jù)庫日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)局部共同打算，并報(bào)信息科技治理委員會(huì)批準(zhǔn)。43

風(fēng)險(xiǎn)分析 參考依據(jù)ISO27001：2022資產(chǎn)治理-分類指南：對(duì)重要信息無法44信息安全

信息分類

制定信息分類操作指南和信息供給足夠有效的保護(hù)工作流程；信息依據(jù)敏感保護(hù)，造成重要信程度進(jìn)展分類，并指定全部人。息被破壞、篡改、泄露。對(duì)不同類別信息承受相應(yīng)的加

應(yīng)依據(jù)信息的價(jià)值、法律要求及對(duì)組織的敏感程度和關(guān)鍵程度進(jìn)展分類；ISO27001：2022資產(chǎn)治理-信息標(biāo)識(shí)和處置：應(yīng)制定一套與組織所承受的分類方案全都的信息標(biāo)識(shí)和處置的程序，并實(shí)施。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)完整性：應(yīng)能夠檢測(cè)到系統(tǒng)治理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)實(shí)行必要的恢復(fù)措施在存儲(chǔ)過程中完整性受到破壞，并在監(jiān)測(cè)到完整性錯(cuò)誤時(shí)信息加密

密技術(shù)或密碼設(shè)備；建立密碼設(shè)備治理標(biāo)準(zhǔn)制度；治理使用密碼系統(tǒng)設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審核。

沒有加密的信息o易被泄露、破壞、篡改。

實(shí)行必要的恢復(fù)措施等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性：息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-密碼治理：a)序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)

風(fēng)險(xiǎn)分析

的密碼技術(shù)和產(chǎn)品。

參考依據(jù)45密鑰治理46機(jī)密信息安全47

實(shí)施有效的密鑰治理流程，尤其是密鑰生命周期治理和證書周期治理。機(jī)密信息的加密使用符合國家密碼治理局要求的加密技術(shù)和加密設(shè)備，加密強(qiáng)度和加密效率滿足信息機(jī)密性和可用性要求。制定相關(guān)策略和程序，治理客

密鑰泄露，造成嚴(yán)峻信息安全大事。機(jī)密信息泄露，造成嚴(yán)峻信息安全大事。

等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-密碼治理：a)的密碼技術(shù)和產(chǎn)品。等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)完整性；等級(jí)保護(hù)-數(shù)據(jù)安全-數(shù)據(jù)保密性；等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-密碼治理：a)的密碼技術(shù)和產(chǎn)品。ISO27001：2022客戶敏感信息安全

戶信息的采集、處理、存貯、傳輸、傳播、備份、恢復(fù)、清理和銷毀。

客戶數(shù)據(jù)被泄露，合同爭(zhēng)議、未授權(quán)的泄漏和修改；破壞和篡改，直接ISO27001：2022造成經(jīng)濟(jì)損失。應(yīng)保護(hù)在線交易中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。序號(hào)風(fēng)險(xiǎn)類別序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)工程治理50

系統(tǒng)開發(fā)方法

劃、關(guān)鍵人員或供給商的決策以及主要費(fèi)用依據(jù)信息科技工程的規(guī)模、性質(zhì)和簡(jiǎn)單性承受適當(dāng)?shù)南到y(tǒng)開發(fā)方法，掌握信息系統(tǒng)的生命周期；典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或選購、測(cè)試、試運(yùn)行、部署、維護(hù)或報(bào)廢。

工程缺乏統(tǒng)一的打算和安排序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)48應(yīng)制定策略和流程，治理信息科技工程的立項(xiàng)、優(yōu)先排序、工程治理混亂，項(xiàng)等級(jí)保護(hù)-安全治理制度-治理制度：b)應(yīng)對(duì)安全治理活動(dòng)中的各類治理內(nèi)容建立安全治理制審批和掌握；重大工程必需建目本錢無法掌握，度；制度建設(shè)立工程治理框架和工作方案，進(jìn)度無法把握，項(xiàng)d)應(yīng)形成由安全策略、治理制度、操作規(guī)程等構(gòu)成的全面包括：職責(zé)的劃分、時(shí)間進(jìn)度、目質(zhì)量無法度量，的信息安全治理制度體系。財(cái)務(wù)預(yù)算治理、質(zhì)量檢測(cè)、風(fēng)導(dǎo)致工程失敗。險(xiǎn)評(píng)估等。49定期向信息科技治理委員會(huì)提等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-工程實(shí)施：交重大信息科技工程的進(jìn)度報(bào) b)應(yīng)制定具體的工程實(shí)施方案掌握實(shí)施過程并要求工程進(jìn)度報(bào)告告；進(jìn)度報(bào)告包括更改時(shí)間計(jì) 實(shí)施單位能正式地執(zhí)行安全工程過程；

c)掌握方法和人員行為準(zhǔn)則。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-自行軟件開發(fā)：b)法和人員行為準(zhǔn)則。ISO27001運(yùn)營設(shè)施的分別：應(yīng)分別開發(fā)、測(cè)試和運(yùn)營設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)；ISO27001-通訊及操作治理-系統(tǒng)規(guī)劃與驗(yàn)收-系統(tǒng)驗(yàn)收：應(yīng)建立的信息系統(tǒng)、系統(tǒng)升級(jí)和版本的驗(yàn)收準(zhǔn)則，并在開發(fā)過程中及接收前進(jìn)展適當(dāng)?shù)南到y(tǒng)測(cè)試。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)51 等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-自行軟件開發(fā)：測(cè)試人員分別，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到掌握不嚴(yán)格的開發(fā)過法和人員行為準(zhǔn)則程使應(yīng)用系統(tǒng)存c)風(fēng)險(xiǎn)治理或者內(nèi)部審計(jì)的參與52

商業(yè)銀行在進(jìn)展大規(guī)模和大范圍的系統(tǒng)開發(fā)時(shí)，應(yīng)要求內(nèi)部審計(jì)部門或信息科技風(fēng)險(xiǎn)治理局部的參與，保證系統(tǒng)開發(fā)符合商業(yè)銀行信息科技風(fēng)險(xiǎn)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)并明確工程資料文檔的管

在安全弱點(diǎn)，應(yīng)用代碼系統(tǒng)問題無法在d)工程建設(shè)過程中負(fù)責(zé)保管準(zhǔn)時(shí)覺察，直接導(dǎo)e)應(yīng)確保對(duì)程序資源庫的修改、更、公布進(jìn)展授權(quán)和批致系統(tǒng)運(yùn)行失敗、準(zhǔn)系統(tǒng)中重要數(shù)據(jù)等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-測(cè)試驗(yàn)收：被破壞、喪失。 b)在測(cè)試驗(yàn)收前依據(jù)設(shè)計(jì)方案或合同要求等制定測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)具體記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的掌握方法和人員行為準(zhǔn)則進(jìn)展書面規(guī)定。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-自行軟件開發(fā)：軟件質(zhì)量無法保文檔治理 格式標(biāo)準(zhǔn)

理職責(zé)、資料文檔的起草和審批職責(zé)、資料文檔格式標(biāo)準(zhǔn)化標(biāo)準(zhǔn)。

證，對(duì)軟件質(zhì)量的改進(jìn)等無法有效實(shí)施。

法和人員行為準(zhǔn)則d)負(fù)責(zé)保管。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)53 等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-自行軟件開發(fā)：d)負(fù)責(zé)保管。5455系統(tǒng)測(cè)試

程序文檔完整性工程文檔完整性開發(fā)環(huán)境與測(cè)試環(huán)境的分別

程序文檔內(nèi)容包括：程序設(shè)計(jì)和代碼標(biāo)準(zhǔn)、程序描述、程序設(shè)計(jì)資料、代碼清單、源代碼命名規(guī)章、系統(tǒng)操作指南等。工程文檔內(nèi)容包括：工程需求、〔啟動(dòng)、打算、設(shè)計(jì)、開發(fā)、測(cè)試、實(shí)施、后評(píng)價(jià)等。保證生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)相分別；生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)的治理職能相分別。

工程程序文檔的缺失，可能會(huì)致使整個(gè)工程維護(hù)困難、升級(jí)困難等問題工程文檔的不完善，增加了工程失敗的可能性影響生產(chǎn)系統(tǒng)的穩(wěn)定性，導(dǎo)致數(shù)據(jù)泄漏等安全大事的發(fā)生。

等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-外包軟件開發(fā)：應(yīng)要求開發(fā)單位供給軟件設(shè)計(jì)的相關(guān)文檔和使用指南。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-系統(tǒng)交付：a)的設(shè)備、軟件和文檔等進(jìn)展清點(diǎn)；c)應(yīng)確保供給系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)展系統(tǒng)運(yùn)行維護(hù)的文檔。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-工程實(shí)施：b)實(shí)施單位能正式地執(zhí)行安全工程過程。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-外包軟件開發(fā)：a)應(yīng)依據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；c)應(yīng)要求開發(fā)單位供給軟件設(shè)計(jì)的相關(guān)文檔和使用指南。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-自行軟件開發(fā)：測(cè)試人員分別，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到掌握。ISO27001運(yùn)營設(shè)施的分別：應(yīng)分別開發(fā)、測(cè)試和運(yùn)營設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)56 等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-測(cè)試驗(yàn)收：在測(cè)試驗(yàn)收前依據(jù)設(shè)計(jì)方案或合同要求等制定測(cè)試驗(yàn)測(cè)試數(shù)據(jù)57系統(tǒng)驗(yàn)收 獨(dú)立方驗(yàn)收58系統(tǒng)維護(hù) 系統(tǒng)變更

敏感的生產(chǎn)數(shù)據(jù)應(yīng)當(dāng)降低或消退敏感性，在運(yùn)用到測(cè)試環(huán)境前必需得到預(yù)先的批準(zhǔn)。較大的與技術(shù)相關(guān)工程應(yīng)當(dāng)由獨(dú)立的一方實(shí)施質(zhì)量品質(zhì)審查。應(yīng)用程序開發(fā)和維護(hù)人員經(jīng)治理層授權(quán)才能進(jìn)入生產(chǎn)系統(tǒng)；全部的緊急修復(fù)活動(dòng)馬上進(jìn)展記錄和審核。

生產(chǎn)數(shù)據(jù)喪失或泄漏系統(tǒng)的質(zhì)量無法得到有效的驗(yàn)證和度量關(guān)鍵操作缺乏監(jiān)管和掌握，導(dǎo)致消滅有意或無意的非法操作。

收方案，在測(cè)試驗(yàn)收過程中應(yīng)具體記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告。ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-系統(tǒng)文檔安全-系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)：應(yīng)慎重選擇測(cè)試數(shù)據(jù)，并加以保護(hù)和掌握。等級(jí)保護(hù)-系統(tǒng)建設(shè)治理-測(cè)試驗(yàn)收：應(yīng)托付公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)展安全性測(cè)試，并出具安全性測(cè)試報(bào)告。ISO27001-通訊及操作治理-系統(tǒng)規(guī)劃與驗(yàn)收-系統(tǒng)驗(yàn)收：應(yīng)建立的信息系統(tǒng)、系統(tǒng)升級(jí)和版本的驗(yàn)收準(zhǔn)則，并在開發(fā)過程中及接收前進(jìn)展適當(dāng)?shù)南到y(tǒng)測(cè)試。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-變更治理：應(yīng)建立變更治理制度，系統(tǒng)變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更方案經(jīng)過評(píng)審、審批前方可實(shí)施變更，并在實(shí)施后將變更狀況向相關(guān)人員通告；析應(yīng)文檔化，記錄變更實(shí)施過程，并妥當(dāng)保存全部文檔和記錄。ISO27001-通訊及操作治理-操作程序及職責(zé)-變更治理：應(yīng)掌握信息處理設(shè)施及系統(tǒng)的變更；ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-變更掌握程序：應(yīng)通過正式的變更掌握程序，掌握變更的實(shí)施。序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)59等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-網(wǎng)絡(luò)安全治理：c)應(yīng)依據(jù)廠家供給的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展更，并在更前對(duì)現(xiàn)有的重要文件進(jìn)展備份。制定相關(guān)策略和流程，掌握系等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-系統(tǒng)安全治理：統(tǒng)升級(jí)過程；系統(tǒng)升級(jí)應(yīng)被視升級(jí)過程中錯(cuò)誤c)應(yīng)安裝系統(tǒng)的最補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先系統(tǒng)升級(jí)為工程對(duì)待，承受全部相關(guān)項(xiàng)操作導(dǎo)致系統(tǒng)錯(cuò)在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)展備份后，方可目治理掌握，包括用戶驗(yàn)收測(cè)誤或者崩潰。實(shí)施系統(tǒng)補(bǔ)丁程序的安裝。試。ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-信息系統(tǒng)安全要求-安全要求分析和標(biāo)準(zhǔn)：的信息系統(tǒng)或?qū)ΜF(xiàn)有信息系統(tǒng)的更的業(yè)務(wù)要求聲明中應(yīng)規(guī)定安全掌握的要求。60等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-安全大事處置：b)問題治理

建立并完善有效的問題治理流程；建立問題學(xué)問庫，進(jìn)展記錄、分類和編制索引；重要責(zé)任和指令集，應(yīng)進(jìn)展清楚地描述說明，并通知全部相關(guān)人員。

對(duì)覺察的問題無法快速有效進(jìn)展推斷和處理，導(dǎo)致問題影響時(shí)間延長，問題范圍擴(kuò)大。

類型，規(guī)定安全大事的現(xiàn)場(chǎng)處理、大事報(bào)告和后期恢復(fù)的治理職責(zé)。等級(jí)保護(hù)-人員安全治理-安全意識(shí)教育和培訓(xùn)：b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)展書面規(guī)定并告知相關(guān)人員，對(duì)違反違反安全策略和規(guī)定的人員進(jìn)展懲戒。ISO27001-信息安全事故治理-信息安全事故的治理和改進(jìn)-從信息安全事故中學(xué)習(xí)：應(yīng)建立能夠量化和監(jiān)控信息安全事故的類型、數(shù)量、本錢的機(jī)制。序號(hào)風(fēng)險(xiǎn)類別序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析參考依據(jù)序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)61 等級(jí)保護(hù)-主機(jī)安全-訪問掌握：b)分別，僅授予治理用戶所需的最小權(quán)限。運(yùn)行體系建設(shè)62

崗位設(shè)置

合理的崗位設(shè)置；明確的崗位職責(zé)；不相容崗位的分別設(shè)置，如系統(tǒng)運(yùn)行與系統(tǒng)開發(fā)維護(hù)分離；崗位職權(quán)的中止。信息系統(tǒng)運(yùn)行體系的總體規(guī)

崗位設(shè)置不合理，等級(jí)保護(hù)-應(yīng)用安全-訪問掌握：權(quán)限缺乏制約，容d)應(yīng)授予不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)限，易引起越權(quán)操作。并在它們之間形成相互制約的關(guān)系。ISO27001-信息安全組織-內(nèi)部組織-信息安全治理委員會(huì)：信息安全職責(zé)溝通在組織內(nèi)樂觀支持安全。等級(jí)保護(hù)-安全治理制度-治理制度：治理制度不完善，治理制度

劃、治理方法、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)運(yùn)行體系各組成局部的治理細(xì)則。

操作缺乏有效的指導(dǎo)和約束，易導(dǎo)致非法操作。

a)應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；d)應(yīng)形成由安全策略、治理制度、操作規(guī)程等構(gòu)成的全面的信息安全治理制度體系。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)63 等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-備份與恢復(fù)治理：c)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)章、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸依據(jù)有關(guān)法律法規(guī)要求的年限重要生產(chǎn)數(shù)據(jù)丟的方法；保存交易記錄；實(shí)行必要的程失或泄漏，破壞數(shù)d)交易記錄64

序和技術(shù)確保存檔數(shù)據(jù)的完整 據(jù)的完整性和可行記錄，全部文件和記錄應(yīng)妥當(dāng)保存；性，滿足安全保存和恢復(fù)要求。用性。 e)應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。ISO27001-通訊及操作治理-備份-信息備份：應(yīng)依據(jù)既定的備份策略對(duì)信息和軟件進(jìn)展備份并定期測(cè)試。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-備份與恢復(fù)治理：操作規(guī)程

運(yùn)行治理各局部制定有具體的操作規(guī)程，包括操作人員的任務(wù)、工作日程安排和執(zhí)行過程；信息科技運(yùn)行手冊(cè)包括生產(chǎn)和開發(fā)環(huán)境中數(shù)據(jù)和軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份〔即備份的頻率、范圍和保存周期〕的程序和要求。

操作失誤，維護(hù)錯(cuò)誤，造成業(yè)務(wù)中斷。

據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)章、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒āSO27001-訪問掌握-訪問掌握的業(yè)務(wù)要求-訪問掌握策略：全要求進(jìn)展評(píng)審。序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)序號(hào)風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析65建立大事治理系統(tǒng)及處理機(jī)制，準(zhǔn)時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管無法準(zhǔn)時(shí)有效解大事治理大事治理系統(tǒng)理人員匯報(bào)事故的發(fā)生，記錄、分析和跟蹤全部大事，直到對(duì)大事進(jìn)展徹底的改正并完成根本緣由的分析。決安全大事；對(duì)安全隱患無法鏟除。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-安全大事處置：類型，規(guī)定安全大事的現(xiàn)場(chǎng)處理、大事報(bào)告和后期恢復(fù)的治理職責(zé)；e)應(yīng)在安全大事報(bào)告和響應(yīng)處理過程中，分析和鑒定大事產(chǎn)生的緣由，收集證據(jù)，記錄處理過程，總結(jié)閱歷教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的全部文件和記錄均應(yīng)妥當(dāng)保存。ISO27001-信息安全事故治理-報(bào)告信息安全大事和弱點(diǎn)：報(bào)告信息安全大事，應(yīng)通過適當(dāng)?shù)闹卫硗緩奖M快報(bào)告信息安全大事；報(bào)告信息安全弱點(diǎn)，應(yīng)要求全部的員工、合同方和第三方用戶留意并報(bào)告系統(tǒng)或效勞中已覺察或疑似的安全弱點(diǎn)。ISO27001-信息安全事故治理-信息安全事故的治理和改進(jìn)：職責(zé)和程序，應(yīng)建立治理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事故；從信息安全事故中學(xué)習(xí)，應(yīng)建立能夠量化和監(jiān)控信息安全事故的類型、數(shù)量、本錢的機(jī)制；收集證據(jù)，事故發(fā)生后，應(yīng)依據(jù)相關(guān)法律的規(guī)定〔無論是民法還是刑法〕跟蹤個(gè)人或組織的行動(dòng)，應(yīng)收集、保存證據(jù)，并以符合法律規(guī)定的形式提交。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)66 等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-安全大事處置：d)流程，響應(yīng)和處置的范圍、程度，以及處理方法等。ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全：67系統(tǒng)監(jiān)控

效勞支持系統(tǒng)核心業(yè)務(wù)系統(tǒng)監(jiān)控

為用戶供給全部技術(shù)相關(guān)大事的前線支持，并將大事提交給相關(guān)信息科技職能局部進(jìn)展調(diào)查和解決。對(duì)核心業(yè)務(wù)系統(tǒng)的持續(xù)性或階段性監(jiān)測(cè)，包括響應(yīng)時(shí)間和處理量、系統(tǒng)承載力量、任務(wù)處理失敗的次數(shù)、比例、類型和緣由、系統(tǒng)使用的峰值和均值，系統(tǒng)使用趨向和容量等。

故障后無法準(zhǔn)時(shí)響應(yīng)各類安全大事，造成業(yè)務(wù)中斷。對(duì)安全大事無法事前預(yù)防，系統(tǒng)可用性得不到保障。

變更掌握程序，應(yīng)通過正式的變更掌握程序，掌握變更的實(shí)施；營或安全產(chǎn)生負(fù)面影響；改嚴(yán)格掌握；信息泄漏，防止信息泄漏的時(shí)機(jī)；軟件委外開發(fā)，組織應(yīng)對(duì)軟件委外開發(fā)進(jìn)展監(jiān)控。等級(jí)保護(hù)-主機(jī)安全-資源掌握：CPU盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用狀況。ISO27001-通訊及操作治理-監(jiān)視-監(jiān)視系統(tǒng)的使用：應(yīng)建立監(jiān)視信息處理系統(tǒng)使用的程序，并定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)68 等級(jí)保護(hù)-主機(jī)安全-資源掌握：e)應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)監(jiān)控程序69容量規(guī)劃 掩蓋范圍70

落實(shí)監(jiān)控程序，確保應(yīng)用系統(tǒng)的性能受到連續(xù)監(jiān)控，準(zhǔn)時(shí)完整地報(bào)告例外狀況；性能監(jiān)控程序供給預(yù)警功能，在問題對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)展識(shí)別和修正。建立容量規(guī)劃以適應(yīng)由于經(jīng)濟(jì)金融環(huán)境變化產(chǎn)生的業(yè)務(wù)進(jìn)展和交易量非打算性增加；容量規(guī)劃應(yīng)涵蓋與生產(chǎn)環(huán)境有關(guān)的備份系統(tǒng)。已制定并實(shí)施了書面的變更管

安全大事無法準(zhǔn)時(shí)遏制，造成系統(tǒng)可用性下降，甚至中斷。系統(tǒng)性能無法滿足業(yè)務(wù)需求。

行檢測(cè)和報(bào)警。ISO27001-通訊及操作治理-監(jiān)視-監(jiān)視系統(tǒng)的使用：應(yīng)建立監(jiān)視信息處理系統(tǒng)使用的程序，并定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。ISO27001-通訊及操作治理-監(jiān)視-審計(jì)日志：應(yīng)產(chǎn)生記錄用戶活動(dòng)、以外和信息安全大事的日志，并依據(jù)商定的期限進(jìn)展保存，以支持將來的調(diào)查和訪問掌握監(jiān)視。ISO27001-通訊及操作治理-系統(tǒng)規(guī)劃與驗(yàn)收-容量治理：應(yīng)監(jiān)視、調(diào)整資源的使用狀況，并反響將來容量的要求，以確保系統(tǒng)的性能。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-變更治理：應(yīng)建立變更治理制度，系統(tǒng)變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更方案經(jīng)過評(píng)審、審批前方可實(shí)施變更，并在實(shí)施后將變更治理 治理規(guī)程

理規(guī)程，包括過程記錄、變更優(yōu)先級(jí)確實(shí)定、程序的版本掌握和審計(jì)跟蹤、打算和實(shí)施變更、在必要時(shí)變更的恢復(fù)和實(shí)施的后評(píng)價(jià)。

錯(cuò)誤的變更直接變更狀況向相關(guān)人員通告；導(dǎo)致業(yè)務(wù)系統(tǒng)中c)斷，重要數(shù)據(jù)被篡析應(yīng)文檔化，記錄變更實(shí)施過程，并妥當(dāng)保存全部文檔和改、泄露和破壞。記錄。ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-變更掌握程序：應(yīng)通過正式的變更掌握程序，掌握變更的實(shí)施。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo) 風(fēng)險(xiǎn)分析 參考依據(jù)71 等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-變更治理：授權(quán)機(jī)制72實(shí)施過程73

系統(tǒng)變更應(yīng)建立合理的審批流程；涉及業(yè)務(wù)系統(tǒng)或數(shù)據(jù)的變更應(yīng)由科技部門和業(yè)務(wù)部門共同簽準(zhǔn)。變更前對(duì)變更程序進(jìn)展測(cè)試；變更前對(duì)系統(tǒng)進(jìn)展備份；變更實(shí)施后進(jìn)展驗(yàn)收測(cè)試。

未經(jīng)審批的操作導(dǎo)致越權(quán)，直接對(duì)系統(tǒng)安全造成威逼。沒有經(jīng)過測(cè)試的變更可能導(dǎo)致系統(tǒng)中斷；缺乏驗(yàn)證的變更無法準(zhǔn)確的評(píng)估其有效性和安全性。

析應(yīng)文檔化，記錄變更實(shí)施過程，并妥當(dāng)保存全部文檔和記錄。ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-操作系統(tǒng)變更后的技術(shù)評(píng)審：當(dāng)操作系統(tǒng)變更后，應(yīng)評(píng)審并測(cè)試關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對(duì)組織的運(yùn)營或安全產(chǎn)生負(fù)面影響。ISO27001-信息系統(tǒng)的獵取、開發(fā)和維護(hù)-開發(fā)和支持過程的安全-變更掌握程序：應(yīng)通過正式的變更掌握程序，掌握變更的實(shí)施。等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-變更治理：回滾打算

全部變更都應(yīng)建立失敗后的恢復(fù)打算。

變更前的系統(tǒng)狀I(lǐng)SO27001-業(yè)務(wù)連續(xù)性治理-業(yè)務(wù)連續(xù)性治理的信息安全方態(tài)無法準(zhǔn)時(shí)恢復(fù)。面-開發(fā)并實(shí)施包括信息安全的連續(xù)性打算：能夠在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營并確保信息的可用性。序號(hào)序號(hào)74風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)風(fēng)險(xiǎn)分析全部的應(yīng)急變更都應(yīng)當(dāng)記錄和備份，包括變更前后的程序版本與數(shù)據(jù)。應(yīng)急變更應(yīng)當(dāng)由獨(dú)緊急變更立的人員馬上審核，以確保所有的變更都是適當(dāng)?shù)摹Ｇ也粫?huì)對(duì)生產(chǎn)環(huán)境產(chǎn)生不良影響。參考依據(jù)等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-變更治理：c)應(yīng)建立變更掌握的申報(bào)和審批文件化程序，變更影響分應(yīng)急需求得不到析應(yīng)文檔化，記錄變更實(shí)施過程，并妥當(dāng)保存全部文檔和準(zhǔn)時(shí)響應(yīng)；變更造記錄。成系統(tǒng)故障和業(yè)ISO27001-信息安全組織-內(nèi)部組織-信息安全的獨(dú)立評(píng)審：務(wù)中斷問題，且無應(yīng)按打算的時(shí)間間隔或當(dāng)發(fā)生重大的信息安全變化時(shí)，對(duì)法準(zhǔn)時(shí)恢復(fù)。組織的信息安全治理方法及其實(shí)施狀況〔如，信息安全控制目標(biāo)、掌握措施、策略、過程和程序〕進(jìn)展獨(dú)立評(píng)審。序號(hào)75序號(hào)75風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)點(diǎn)掌握目標(biāo)業(yè)務(wù)連續(xù)性策略經(jīng)董事會(huì)或高管層批準(zhǔn)的業(yè)務(wù)連續(xù)性策略、標(biāo)準(zhǔn)和流程。高管層的治理76風(fēng)險(xiǎn)分析對(duì)重大災(zāi)難缺乏足夠的預(yù)備，導(dǎo)致業(yè)務(wù)因火災(zāi)、臺(tái)風(fēng)、地震等不行抗因素造成消滅性的損失，直接威逼企業(yè)的生存。缺乏有效的組織者和領(lǐng)導(dǎo)者，在業(yè)務(wù)中斷后無法準(zhǔn)時(shí)的組織業(yè)務(wù)恢復(fù)工作。參考依據(jù)ISO27001-業(yè)務(wù)連續(xù)性治理-業(yè)務(wù)連續(xù)性治理的信息安全方面-在業(yè)務(wù)連續(xù)性治理過程中包含信息安全：應(yīng)在組織內(nèi)開發(fā)并保持業(yè)務(wù)連續(xù)性治理過程，該過程說明了組織的業(yè)務(wù)連續(xù)性對(duì)信息安全的要求。ISO27001-信息安全組織-內(nèi)部組織-信息安全職責(zé)安排：應(yīng)明確規(guī)定全部的信息安全職責(zé)。治理組織明確設(shè)立部門負(fù)責(zé)業(yè)務(wù)連續(xù)性規(guī)劃的整體流程治理。序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)77 獨(dú)立部門對(duì)定期對(duì)業(yè)務(wù)連續(xù)性打算進(jìn)展評(píng)估；評(píng)估內(nèi)容包含

風(fēng)險(xiǎn)分析不當(dāng)?shù)臉I(yè)務(wù)連續(xù)性打算無法對(duì)業(yè)

參考依據(jù)ISO27001-業(yè)務(wù)連續(xù)性治理-業(yè)務(wù)連續(xù)性治理的信息安全方面-業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估：7879規(guī)劃分析80

獨(dú)立的評(píng)估機(jī)制業(yè)務(wù)影響分析業(yè)務(wù)恢復(fù)最低要求業(yè)務(wù)恢復(fù)的優(yōu)先級(jí)

業(yè)務(wù)連續(xù)性規(guī)劃的有效性，以及是否與本機(jī)構(gòu)的策略和標(biāo)準(zhǔn)相全都。意外大事發(fā)生的場(chǎng)景和幾率；準(zhǔn)確評(píng)估業(yè)務(wù)運(yùn)行中斷的可能性及其影響。重要的業(yè)務(wù)和后臺(tái)部門已制定業(yè)務(wù)連續(xù)性規(guī)劃最低要求，以保證根本的業(yè)務(wù)和技術(shù)效勞力量。啟動(dòng)業(yè)務(wù)連續(xù)性打算時(shí)不同業(yè)務(wù)有明確的恢復(fù)挨次。

務(wù)中斷狀況下的恢復(fù)進(jìn)展有效指導(dǎo)。對(duì)風(fēng)險(xiǎn)的估量錯(cuò)誤，導(dǎo)致投入與保障失衡。業(yè)務(wù)中斷后，無法快速的構(gòu)鑄業(yè)務(wù)運(yùn)行環(huán)境，無法快速恢復(fù)業(yè)務(wù)系統(tǒng)運(yùn)行。重要業(yè)務(wù)的恢復(fù)的延遲導(dǎo)致更大的損失。

應(yīng)識(shí)別可能導(dǎo)致業(yè)務(wù)過程中斷的事故，以及這類中斷放射并更BCP，以確保BCP的更和有效ISO27001-業(yè)務(wù)連續(xù)性治理-業(yè)務(wù)連續(xù)性治理的信息安全方面-業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估：應(yīng)識(shí)別可能導(dǎo)致業(yè)務(wù)過程中斷的事故，以及這類中斷放射ISO27001-業(yè)務(wù)連續(xù)性治理-業(yè)務(wù)連續(xù)性治理的信息安全方面-開發(fā)并實(shí)施包括信息安全的連續(xù)性打算：能夠在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營并確保信息的可用性。ISO27001-業(yè)務(wù)連續(xù)性治理-業(yè)務(wù)連續(xù)性治理的信息安全方面-業(yè)務(wù)連續(xù)性打算框架：應(yīng)保持一個(gè)單一的業(yè)務(wù)連續(xù)性打算框架，以確保全部打算持的優(yōu)先級(jí)。ISO27002-業(yè)務(wù)連續(xù)性治理：1〕了解機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)發(fā)生的概率及影響，包括定出哪些是重要的業(yè)務(wù)進(jìn)程，并分出先后；序號(hào) 風(fēng)險(xiǎn)類別 風(fēng)險(xiǎn)點(diǎn) 掌握目標(biāo)81針對(duì)不同類型風(fēng)險(xiǎn)以及影響的

風(fēng)險(xiǎn)分析對(duì)風(fēng)險(xiǎn)的估量錯(cuò)

參考依據(jù)等級(jí)保護(hù)-系統(tǒng)運(yùn)維治理-應(yīng)急預(yù)案治理a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同大事的應(yīng)急預(yù)案，8283內(nèi)容完整性

處理措施分類資源保障聯(lián)系溝通機(jī)制

期限分別制定不同的處理措施。人員、系統(tǒng)、財(cái)務(wù)和后勤等資源的充分保障；有明確的獵取資源的渠道和方式，并評(píng)估災(zāi)難對(duì)資源獵取環(huán)節(jié)的影響。與重要外部機(jī)構(gòu)建立了正式的聯(lián)絡(luò)溝通機(jī)制〔如：監(jiān)管部門、投資者、客戶、交易對(duì)手、商業(yè)合作伙伴、效勞供給商、聞媒體和其他股東等，對(duì)內(nèi)部機(jī)構(gòu)的溝通聯(lián)系機(jī)制〔如：內(nèi)部員工、母公司、總部、分支構(gòu)造等。業(yè)務(wù)連續(xù)性規(guī)劃應(yīng)明確指定災(zāi)難期間的對(duì)外聞發(fā)言人，重要外部機(jī)構(gòu)的號(hào)碼和電子郵件地址應(yīng)被妥當(dāng)管理。

誤，導(dǎo)致投入與保障失衡。業(yè)務(wù)恢復(fù)打算無法實(shí)施。溝通不暢導(dǎo)致安全大事無法準(zhǔn)時(shí)協(xié)調(diào)及處理，無法得到內(nèi)部和外部的有效支持。

系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容。GBT20988-2022數(shù)據(jù)備份系統(tǒng)；備用數(shù)據(jù)處理系統(tǒng)；備用網(wǎng)絡(luò)系統(tǒng)；備用根底設(shè)施等。等級(jí)保護(hù)-安全治理機(jī)構(gòu)-溝通和合作：共同幫助處理信息安全問題應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通應(yīng)加強(qiáng)與供給商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式