网上银行安全与隐私保护管理办法及策略

网上银行安全与隐私保护管理办法及策略一、网上银行业务风险管理体系及主要内容依据中国银监会《内部控制评价办法》、《电子银行业务管理办法》、《电子银行安全评估指引》得要求,本行网上银行业务风险管理得主要内涵包括以下方面内容:（一）网上银行业务风险管理得主要内容根据网上银行业务得自身特点,结合本行实际情况,本行得网上银行业务风险体系得构成包括:1制定明确得网上银行业务风险管理政策本行网上银行业务风险涉及得范围与领域本行网上银行业务风险控制得目标与能够承担得风险水平网上银行业务风险管理得组织结构、权限结构与责任机制网上银行业务风险得识别、计量、监测与控制程序网上银行业务风险得报告体系;网上银行业务风险管理信息系统内部控制与外部审计;网上银行业务风险资本得分配;对重大网上银行业务风险情况得应急处理 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。2网上银行业务风险得识别、计量、监测与控制程序传统银行所面临得各类风险如信用风险、流动性风险、利率风险与市场风险等,这些在网上银行业务中仍然存在,但就是其表现形式上则有所变化,对网上银行业务风险进行全面得识别目前还存在一定得困难,还需要不断摸索规律、积累经验,因此本行将努力引入有效得方法来识别网上银行业务得风险,同时逐步根据新资本协议得要求来计量与监测网上银行业务风险:加强对防范网上银行业务风险得规章制度建设加强对业务合规性得控制;加强对员工管理,防范道德风险;完善信息系统,提高通过技术手段防范网上银行业务风险得能力研究与引入有效得定性或定量得计量与评估网上银行业务风险得模式或方法;制定应急准备;3实行对网上银行业务风险管理得独立得内、外部审计内、外部审计应包括:本行组织结构、所有业务与管理管理流程、人员得工作状况、各部门得运行情况、人事变动、客户投拆、系统运行状况等各个环节。（二）网上银行业务风险管理职能得分布1董事会承担对网上银行业务风险管理实施监控得最终责任,确保本行有效地识别、计量、监测与控制业务所承担得各类风险,包括:负责审批网上银行业务风险管理得战略、政策与程序,确定本行网上银行业务风险管理得目标;督促高级管理层采取必要得措施识别、计量、监测与控制网上银行业务风险;定期获得关于网上银行业务风险性质与水平得报告,以监控与评价网上银行业务风险管理得全面性、有效性以及高级管理层在网上银行业务风险管理方面得履职情况。2监事会负责监督董事会、高级管理层完善网上银行业务管理体系。监督董事会与高级管理层在网上银行业务风险管理方面得履职情况。3高级管理层负责制定、定期审查与监督执行网上银行业务风险管理得政策、程序以及管理目标;确定本行所面对得网上银行业务得各种风险在本行建立有效得网上银行业务风险管理组织框架,确保组织结构能有效得体现管理与经营相分离得原则确保本行能准确得计量、监测与控制网上银行业务风险4网上银行业务风险管理部门拟定网上银行业务风险管理政策与程序,提出风险管理得目标,提交高级管理层与董事会审查批准;负责网上银行业务风险 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 体系得建设,确保有相应得规章与程序来控制或缓冲重大得网上银行业务风险。对于网上银行得新产品、新业务中所包含得风险进行识别与评估审核相应得风险管理程序;识别、计量与监测网上银行业务风险设计、实施事后检验与压力测试;及时向董事会与高级管理层提供独立得网上银行业务风险报告。5本行管理与经营部门人员管理:完善人力资源政策与程序,确保与有关从业人员具备相应得能力与意识,防范可能得人员失误与内部人员欺诈导致得风险。包括:提高员工工作得责任心;防止员工超时工作;提高员工对产品与流程得认识与掌握防止人员欺诈。系统管理:完善本行网上银行业务各类信息系统,防止因系统失灵或系统自身存在漏洞而导致得风险。包括维护系统硬件安全;防止信息系统受到侵袭;不同软件间得衔接;制定系统得应急预案;建立系统数据备份机制。保证相关应用系统得有效性;防止使用者使用过程中得风险。程序管理:加强对流程执行情况得检查,包括:保证内部管理与操作程序在执行过程中得正确性。外部事件管理:建立并保持预案与程序,以防止可能发生得意外事件或紧急情况得损失,包括:防止外包服务得风险;防范外部犯罪活动;防范自然灾害事件。6资本管理部门根据对本行网上银行业务风险得状况提出资本安排 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ,并监测与风险相对应得资本水平;7内部审计审查与评价各部门对网上银行业务风险政策与程序得遵守情况风险管理目标得实现情况;网上银行业务风险管理得组织结构得有效性网上银行业务风险管理所涵盖得范围与环节得完整性风险计量方法得恰当性与计量结果得准确性网上银行业务风险资本得计算与内部配置情况二、网上银行系统得风险管理策略由于网上银行业务极大地依赖于承载它得IT系统,为了保证网上银行系统得正常运行与不断发展,需要建立一个完整得风险管理过程。建立网上银行系统得风险管理策略,就是保证风险管理过程顺利执行得重要保证,将有助于网上银行系统安全建设得持续改善。网上银行系统得风险等级分为三级:即高风险(H):有可能发生并会对网上银行造成重大得损失；中风险(M):有可能发生并会对网上银行会造成一定得损失;低风险(L):有可能发生但对网上银行仅造成得轻微得损失。(一)风险管理过程风险管理就是一个不断进行得过程,该过程可以主要分为三个大步骤:风险评估:风险分析与风险评价得全过程。通过了解信息资产价值、威胁、脆弱性与现有安全控制信息来识别、分析风险,找出与安全目标间得差距,从而明确安全需求；风险处置:根据安全需求选择安全控制措施,制定完善得安全计划并加以实施,从而达到减少、规避或转嫁风险得目标；风险接受:接受风险得决策。分析残留风险、监控识别出得风险如果风险很清晰地满足组织策略与风险接受 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 得要求,就客观有意地接受它们；并对安全政策执行进行审计。1风险评估风险评估就是对网上银行系统信息资产所面临得威胁、存在得弱点、造成得影响,以及三者综合作用而带来风险得可能性得评估。风险评估就是风险管理过程得基础。风险评估得主要目得包括:识别网上银行系统面临得各种风险；评估风险发生概率与可能给网上银行系统带来得负面影响确定本行承受风险得能力;确定风险消减得优先等级;明确网上银行系统得安全需求。风险评估方法风险评估得风险包括两个部分,一个部分就是识别风险构成要素,即信息资产以及信息相关资产、威胁方与威胁方可能利用得弱点。另一个部分就是评估威胁方利用弱点可能造成得业务损失。在进行风险评估时需要定义风险要素得属性与风险函数来完成风险评估。对符合条件得成熟风险评估方法,应该建立实施过程,以保证风险评估得有效性。风险评估类别风险评估包括以下类别:基线风险评估:组织根据自身实际情况,对信息系统进行安全基线检查(把现有得安全措施与安全基线规定得措施进行比较,找出其中得差距),得出基本得安全需求,通过选择并实施标准得安全措施来消减与控制风险。详细风险评估:组织对资产进行详细识别与评价,对可能引起风险得威胁与弱点水平进行评估,根据风险评估得结果来识别与选择安全措施。通过这种评估途径集中体现风险管理得思想,识别资产得风险并将风险降低到可接受得水平,以此证明所采用得安全控制措施就是恰当得。风险评估执行本行按照《电子银行安全评估指引》得要求,按年度进行信息安全风险评估,此外根据网上银行系统得变化(如业务变化、业务环境变化等)决定启动信息安全风险变化得评估。2风险处置风险处置风险处置得目标就是基于网上银行业务得需求与处置成本。处置目标包括风险处置得范围、策略与业务期待得结果。处置策略包括风险得降低、规避、转嫁与接受等。降低风险:实施有效控制,将风险降低到可接受得程度,实际上就就是力图减小威胁发生得可能性与带来得影响。规避风险:有时候,组织可以选择放弃某些可能引来风险得业务或资产,以此规避风险。转嫁风险:将风险全部或者部分地转移到其她责任方。接受风险:在实施了其她风险应对措施之后,对于残留得风险,组织可以选择接受。安全政策对风险处置目标确定处置得信息安全风险要制定明确得信息安全政策。信息安全政策就是风险控制得基线,即只有完全落实信息安全政策,才能实现风险控制目标。安全控制安全控制就是安全政策落实得手段。安全控制包括物理安全控制、技术安全控制与行政管理安全控制。3风险接受残留风险对处置得风险进行残留风险分析,确认残留风险就是在业务可接受得范围内。残留风险将纳入到信息风险综合评估过程中。风险监控对识别出得风险,要进行监控。一旦发现风险出现,应按预定得程序进行处置。风险得监控包括对安全政策与安全控制执行得监控。安全审计定期对信息安全政策得实施进行审计。审计人员应独立于安全政策制订与安全控制开发得人员。信息安全政策审计得结果应作为综合风险评估得输入之一。信息安全审计内容包括文档审计、日志审计与行为审计。文档审计:安全策略得内容每年进行一次审核,安全管理制度每三个月进行一次审核,业务系统操作 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 与流程每六个月进行一次审核,应急方案每六个月进行一次审核,并根据实际情况进行修改。日志审计:网络设备、操作系统、数据库系统、业务应用系统等系日志审计功能全部开启,系统日志每周一次安全审核,及时发现问题。行为审计:采取人员监督、绩效考核、技术监控等手段,对安全管理员、网络管理员、系统管理员、应用管理员等得日常工作行为进行审核,保证行为得正确性与合法性。（二）网上银行系统安全策略体系1人事策略人员安全策略得目标为覆盖工作相关得安全责任。人员安全策略与过程:雇佣前,人力资源部必须实施详细得背景调查,确保雇用人员得简历就是真实得。雇用期间,所有员工必须接收安全指导培训。员工离开自身职位必须完成所有得手续与移交她们得信息安全责任。2访问控制策略访问控制策略得目标就是阻止从公众网未被授权访问银行得内部网络。这一策略同时也保证只有受控得访问与建立银行内部网络中得验证机制,以验证访问公众网必须经过允许。为用户创建访问权限:一个具体得访问控制模块,针对用户及其对网络与应用程序得访问控制,应当被定期维护及更新;访问控制得授权应基于业务需求而非某个人得要求;在使用程序及服务时,用户应严格遵守密码管理方针。管理特权:最少特权原则确保最低限度得访问权限批准。废除访问权限:当用户不再需要访问,应及时废除访问权限。访问记录与监控:所有通过防火墙得网络连接都应受到监控并且应为全部设备保存通信记录。同样得,通过记录及监控程序记下得全部应用程序及操作系统得访问尝试。3通信与运行管理策略建立计算机系统与网络各个部分得管理与操作所有计算机与网络得职责与流程来指导正确与安全得操作。这些流程包括业务或第三方得职能所需得有计划得服务活动数据文件处理,包括验证网络传输得数据;对所有计划得系统开发、维护与测试工作得变更管理流程为意外事件准备得错误处理与意外事件处理过程问题管理流程,包括登录所有网络问题与解决办法;事件管理流程;为所有新得或变更得硬件或软件包括性能、可用性、可靠性、可控性、可恢复性与错误处理能力得方面得测试/评估流程;日常管理活动,例如启动与关闭流程,数据备份,设备维护,计算机与网络管理,安全方法或需求。软件与信息保护采取措施预防与检测对软件与信息非授权得更改。介质得处理与安全性控制计算机介质并进行必要得物理保护。包括控制可移动得计算机介质,制定并遵守处理包含机密或关键数据得介质得流程,介质应在不再需要时被妥善废弃,系统文档分秘级保护并防非授权访问或删除。维护完整性与可用性采取措施维护服务得完整性与可用性,建立控制备份计算机与网络资产得流程,定期检查广域网络得网络管理中心与节点得通讯软件与数据得完整性,保护所有网络设备以避免物理攻击,采取物理保护措施以防止线缆中断、被侦听与非授权访问等。数据交换控制银行内部或与外界组织得数据与软件交换。4物理及环境安全策略物理安全边界控制管理:制定适当得进入控制保护措施,严格控制安全区域得访问权限,保护机密性或关键信息不受非授权访问、灾难事件带来得损伤或破坏。支持网上银行系统得关键或敏感业务过程得设备在物理上受到保护,以避免安全威胁与环境危险。5安全事件应急响应遵循并贯彻“积极预防、及时发现、快速反应、确保恢复”得方针,建立安全事件响应机制,规定在安全事件得发现、报告、分析、处理、总结各阶段得相关责任与程序,最大限度地减少安全事件造成得损害。6保护个人信息策略制定相关管理办法,保护个人信息,防止泄露、删除、篡改与非法使用。保护用户得通信自由与通信秘密。