| 1 前言 | 第1-10页 |
| ·研究安全保障框架的目的意义 | 第7-9页 |
| ·框架的必要性 | 第7-8页 |
| ·突出保障的概念 | 第8-9页 |
| ·框架设计的原则 | 第9-10页 |
| 2 资产保护和风险管理-银行IT安全的基点 | 第10-17页 |
| ·明确资产保护的思想 | 第10-12页 |
| ·案例一:银行的金融风险管理 | 第11-12页 |
| ·银行业务中存在的风险 | 第12-14页 |
| ·对银行业务风险的传统看法 | 第12页 |
| ·案例二,瑞士联合银行对于风险的分类 | 第12-13页 |
| ·IT技术对银行传统风险的影响 | 第13-14页 |
| ·用风险的概念构建框架 | 第14-17页 |
| ·风险的基本概念 | 第14-15页 |
| ·国际信息安全标准对风险的描述 | 第15-17页 |
| ·风险要素确立了框架的顶级结构 | 第17页 |
| 3 IT安全保障框架模型 | 第17-19页 |
| 4 银行信息资产 | 第19-22页 |
| ·银行IT资产的分类和控制 | 第19-20页 |
| ·银行IT资产的结构化 | 第20-22页 |
| ·层次结构 | 第20-21页 |
| ·分布式结构 | 第21页 |
| ·业务结构 | 第21-22页 |
| 5 银行信息系统面临的威胁分析 | 第22-29页 |
| ·明确威胁的概念 | 第22-24页 |
| ·威胁和威胁主体: | 第22-23页 |
| ·威胁和风险 | 第23-24页 |
| ·威胁的暴露率 | 第24页 |
| ·银行信息系统威胁分析 | 第24-26页 |
| ·威胁和保障级别 | 第26-29页 |
| 6 策略框架 | 第29-31页 |
| ·IT安全策略文件 | 第29-30页 |
| ·编制、评审与鉴定 | 第30页 |
| ·法规支持和银行监管当局的监管 | 第30-31页 |
| 7 组织框架 | 第31-37页 |
| ·基本组织结构 | 第31-32页 |
| ·宣传、教育和培训 | 第32页 |
| ·专家和外包 | 第32-35页 |
| ·案例三:瑞士联合银行的安全组织 | 第35-37页 |
| 8 运作框架 | 第37-43页 |
| ·物理和环境安全 | 第37-38页 |
| ·系统计划、设计、开发和维护 | 第38-39页 |
| ·系统“容量”规划和验收 | 第39页 |
| ·运行维护管理 | 第39页 |
| ·意外和灾难恢复/入侵事件处理 | 第39-41页 |
| ·概述 | 第39-40页 |
| ·社会化的应急服务 | 第40-41页 |
| ·案例四:OpenSystem公司的应急服务模式 | 第40-41页 |
| ·案例五:香港新马有限公司的数据中心外包服务模式 | 第41页 |
| ·运作的技术化、产品化和服务化 | 第41-43页 |
| 9 IT安全技术框架 | 第43-49页 |
| ·IAARC框架图示 | 第43-44页 |
| ·IAARC框架和IT安全技术的关系 | 第44-49页 |
| ·鉴别和认证(Identification & Authentication) | 第44页 |
| ·访问控制(Access Control) | 第44-46页 |
| ·审计和跟踪(Audit Trail) | 第46-47页 |
| ·响应和恢复(Response & Recovery) | 第47-48页 |
| ·内容安全(Content Security) | 第48-49页 |
| 10 银行业的信息系统安全保障体系框架应用 | 第49-52页 |
| ·思路 | 第49页 |
| ·当前构建一个信息安全保障域的要点 | 第49-52页 |
| ·在全面的信息安全管理体系中强调内控和审计 | 第49-50页 |
| ·在安全技术中强调检测技术 | 第50页 |
| ·在风险管理中突出风险评估 | 第50-52页 |
| 结束语 | 第52-55页 |
| 致谢 | 第55-56页 |
| 参考文献 | 第56-57页 |