➢ 外包人员安全管理
在签订外包服务合同后，对外包服务团队人员进行安全培训，外 包服务团队人员必须了解信息安全的涵义和信息安全领域的基本概念， 以及银行的外包安全管理规定，减少人为的操作风险。
➢外包访问控制管理 项目资源访问权限申请
外包管理团队（项目经理或负责相关外包活动的负责人）应明确外 包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服 务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络 端口等，由外包管理团队对外包人员进行访问授权申请，填写项目资源 访问控制清单后提交银行相关部门安全评估。评估通过后由项目经理按 照此清单向相关部门申请资源。
➢信息保密管理
银行保密信息指所有与业务和经营管理相关的信息，包括但不限 于经营管理、业务信息、业务流程、客户信息、技术、财务、统计、 商业和人员等所有文件、数据、合同、资料或口头披露的相关信息以 及形成的所有文件、数据和资料等信息、以及规格说明、图纸、文件 及专有技术等。
服务提供商只能在合同允许范围内使用上述保密信息，防止保密 信息被非授权使用。
四、信息安全控制措施
➢信息系统获取、开发和维护
• 信息系统的安全要求：确保安全是信息系统的一个有机组成部分
• 应用中的正确处理：防止应用系统中信息的错误、遗失、非授权修改及误 用
• 密码控制：通过密码方法保护信息的保密性、真实性或完整性
• 系统文件的安全：确保系统文件的安全
• 开发和支持过程中的安全：维护应用系统软件和信息的安全
服务提供商接触本行信息时，需履行合同中安全和保密相关职责。
Thanks!
➢信息安全的目标
保证信息的一系列安全属性得到保持、不被破坏，从而达到对组织业务运 营能力的支撑作用。
➢信息安全问题根源
内因是信息系统自身存在脆弱性。 外因是信息系统面临着众多的威胁
三、信息安全风险
➢ 信息安全风险
风险，指事态的概率及其结果的组合 （—— GB/Z 24364-2009《信息 安全风险管理指南》）
三、信息安全风险
➢ 风险管理
GB/Z 24364《信息安全风险管理指南》：四个阶段，两个贯穿
背景建立
监
Байду номын сангаас
风险评估
沟
控
通
审 查
风险处理
咨 询
批准监督
四、信息安全控制措施
➢信息安全控制措施
控制措施是管理风险的具体方法和手段
➢ 控制目标
内部组织：实现对组织内部的信息安全管理 外部各方：保持组织被外面各方访问、处理、管理或与外部进行通信的 信息和信息处理设施的安全。
➢信息的基本安全属性
• 保密性(Confidentiality)：信息不泄露给未授权的访问者、实体、和进程， 或被其利用；
• 完整性(Integrity)：信息在存储或者传输过程中保持未经授权不能改变的特 性，即对抗主动攻击，保持数据一致，防止数据被非法用户修改和破坏；
• 可用性(Availability)：信息可被授权者访问并按需求使用的特性，即保证合 法用户对信息和资源的使用不会被不合理地拒绝。
➢资产管理
对资产负责：实现和保持对组织资产的适当保护 信息分类：确保信息受到适当级别的保护
四、信息安全控制措施
➢ 人力资源安全
任用前：确保雇员、承包方人员和第三方人员理解其工作职责并适合预 期角色，以降低设施被窃、欺诈和误用的风险
任用中：确保所有雇员、承包方和第三方人员了解信息安全威胁和危害， 明确其工作应承担的安全职责和义务，如果违反安全规定将会受到的纪律 处理，通过安全培训使其掌握信息处理设施的安全正确使用方法，以减少 人为过失造成的风险
银行科技外包厂商信息安全培训
科技运维部 安全管理处
一、培训目的
银监会2013年颁布的《银行业金融机构信息科技外包 风险监管指引》第三十八条在外包服务安全管理方面有明 确要求，要求对外包人员进行信息安全培训，提高外包人 员风险管理意识，确保信息安全管控措施在外包服务过程 中有效落实。
二、信息安全基础知识
项目资源访问权限的回收和关闭
外包服务项目结束或外包服务团队人员变更时，外包服务团队人 员离开银行前应办理相应的手续，包含如下几个方面，外包服务团队 人员应予以配合。 1、及时回收和关闭外包服务团队人员对银行系统资源的访问权限，包 含门禁等物理访问权限、网络访问权限、信息系统用户账户及访问权 限等。 2、外包服务团队人员变更时需要进行新旧人员的工作交接。
任用的终止或变化：确保雇员、承包方人员和第三方人员以一个规范的 方式退出一个组织或改变其任用关系，包括调换岗位或岗位职责发生变化
➢ 物理和环境安全
安全区域：防止对组织场所和信息的未授权物理访问、损坏和干扰，关 键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护
设备安全：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动 的中断
四、信息安全控制措施
➢ 访问控制
• 访问控制的业务要求：基于业务目标和业务原则来控制对信息的访问 • 用户访问管理：确保授权用户能够访问信息系统，防止非授权的访问 • 用户职责：防止未授权用户对信息和信息处理设施的访问、危害或窃取 • 网络访问控制：防止对网络服务的未授权访问 • 操作系统访问控制：防止对操作系统的未授权访问 • 应用和信息访问控制：防止对应用系统中信息的未授权访问 • 移动计算和远程工作：确保使用移动计算和远程工作设施时的信息安全
➢ 外包厂商安全评估
在开展外包服务尽职调查过程中，外包厂商应向银行提供安全评 估报告，项目经理对外包厂商所提供安全评估报告进行审查。若外包 厂商没有银监会外包联合现场检查报告或第三方安全评估报告，则应 提供安全自评估报告（应涵盖外包厂商公司信息安全管理概述、信息 安全组织架构、人员管理、信息安全管理制度建设情况、信息安全技 术保障情况和应急管理等方面的内容）。
信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中 存在的脆弱性导致安全事件的发生及其对组织造成的影响（—— GB/T 20984-2007《信息安全风险评估规范》）
信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属 性
➢ 信息安全风险构成：
风险的构成包括五个方面： 起源（威胁源）、方式（威胁行 为）、途径（脆弱性）、受体 （资产）和后果（影响）
➢ 应用安全管理
信息系统项目安全测试阶段，外包厂商人员应向项目组提交项目的 源代码，由项目组通过银行代码安全扫描工具检测系统代码安全漏洞， 在自动化检查结果的基础上，安全管理处、项目组、代码安全厂商共同 进行漏洞影响分析，提出漏洞修复整改建议，项目组应组织外包厂商人 员开展整改，安全管理处跟进项目组整改工作的落实，提高软件代码安 全性。
• 技术脆弱性管理：降低利用公布的技术脆弱性导致的风险
四、信息安全控制措施
➢符合性
• 符合法律要求：避免违反任何法律、法令、法规或合同义务，以及任何安 全要求
• 符合安全策略和标准以及技术符合性：确保系统和业务活动符合组织的安 全策略及标准
• 信息系统审核考虑：将信息系统审核过程的有效性最大化，干扰最小化
五、银行外包信息安全管控措施
银行在外包服务项目中将严格执行物理和环境安全管 理、人员安全管理、访问控制管理、应用安全管理、外包 厂商安全评估管理、信息保密管理等信息安全管控措施， 外包厂商必须予以配合，以便信息安全管控措施能够有效 落实。
➢ 物理和环境安全管理
外包服务提供商进入安全区域，如确需进入应按照相关制度得到 批准，在进入安全区域后其活动应受到监控，对于从事敏感性技术相 关工作的人员，应严格审查，包含身份验证和背景调查。