銀行業(yè)信息安全管理體系手冊

1、信息科技部信息安全管理體系手冊a版目錄1 目的和適用范圍32 引用標準33 術(shù)語和定義34信息安全管理體系34.1 總要求34.2建立和管理isms44.2.1建立 isms44.2.2 isms實施及運作84.2.3 isms的監(jiān)督檢查與評審94.2.4 isms保持與改進104.3.2 文件控制104.3.3 記錄控制115 管理職責115.1 管理承諾115.2 資源管理126.內(nèi)部isms審核127 isms 管理評審147.1 總則147.2 管理評審的輸入147.3 管理評審的輸出148 isms持續(xù)改進158.1 持續(xù)改進158.2 糾正措施158.3 預防措施15修訂歷史記錄版

2、本日期修訂者修訂描述1.01 目的和適用范圍目的為建立、健全銀行信息科技部信息安全管理體系（簡稱isms），確定信息安全方針和目標，對信息安全風險進行有效管理，確保信息科技部全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進isms有效性，特制定本手冊。范圍本手冊適用于銀行信息科技部（信息科技部位于銀行第八層）安全管理活動。2 引用標準iso/iec 27001:2005 iso/iec 27002:20053 術(shù)語和定義3.1本手冊中使用術(shù)語的定義采用iso/iec 27001：2005信息技術(shù)安全技術(shù)信息安全管理體系要求中的定義3.2 縮寫isms:information secutit

3、y management systems 信息安全管理體系。soa：statement of applicability 適用性說明pdca:plan、do、check、act4 信息安全管理體系4.1 總要求銀行信息科技部根據(jù)iso/iec 27001:2005標準在整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。isms所涉及的過程基于以下pdca模式：建立isms保持和改進isms實施和運作isms監(jiān)控&評審 isms相關方已被管理的信息安全相關方信息安全要求&期望、法律法規(guī)策劃（d）措施實施檢查 4.2建立和管理isms4.2.1建立

4、isms4.2.1.1 isms的范圍和周界 1) 銀行主要從事個人服務、企業(yè)服務、卡服務等，信息科技部為金融服務提供it基礎架構(gòu)的支持服務，確保整體金融業(yè)務過程的有序開展；2) 銀行總行信息科技部所有物理區(qū)域及人員；4.2.1.2 根據(jù)業(yè)務、組織、位置、資產(chǎn)和技術(shù)等方面的特性，銀行信息科技部在確定isms方針時，應考慮以下方面的要求：1）包括設定目標的框架和建立信息安全工作的總方向和原則。2）考慮業(yè)務和法律法規(guī)的要求，及合同中的安全義務。3）銀行信息科技部根據(jù)戰(zhàn)略性風險管理環(huán)境下，建立和保持isms。4）建立風險評估的準則。5）信息安全方針設定完成后，應獲得管理者的批準。4.2.1.3 信息

5、安全管理體系方針增強科技風險意識，提升風險管理水平；滿足監(jiān)管機構(gòu)要求，持續(xù)履行社會責任。為滿足適用法律法規(guī)及相關方需求，使得生產(chǎn)和經(jīng)營更有效的運行，使得客戶信息保存?zhèn)鬏敻鼮榘踩?，銀行信息科技部依據(jù)iso/iec27001:2005標準，建立信息安全管理體系，以保證銀行信息科技部及行內(nèi)所有有關信息的保密性、完成性、可用性，實現(xiàn)業(yè)務可持續(xù)發(fā)展的目的。銀行信息科技部承諾：1）銀行信息科技部建立并完善信息安全管理體系；2）識別并滿足適用法律法規(guī)和相關方信息安全要求，充分履行社會責任；3）對isms進行測量、監(jiān)視、評審活動，定期按照事先設定的風險評估準則，對銀行信息科技部進行風險評估、isms評審、采取

6、糾正預防措施，保證體系的持續(xù)有效；4）采用先進有效的設施和技術(shù)，處理、傳遞、存儲和保護各類信息，實現(xiàn)信息共享；5）對銀行信息科技部全體員工，進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；6）制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。上述方針由銀行信息科技部最高管理者發(fā)布，并定期評審其適用性、充分性，必要時予以修訂。4.2.1.4 風險評估的系統(tǒng)方法銀行信息科技部建立信息安全風險評估控制程序并組織實施。風險評估控制程序包括可接受風險準則和可接受水平，所選擇的評估方法應確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。具體的風險評估過程執(zhí)行信息安全風險評估控制程序no確定isms范

7、圍資產(chǎn)識別與重要信息資產(chǎn)確定威脅識別與評價已有控制措施確認薄弱點識別與評價風險評估（測量）是否接受保持已有的控制措施選擇安全目標及控制措施實 施殘余風險評審是否接受yesno4.2.1.5 風險識別在已確定的isms范圍內(nèi)，對所有的信息資產(chǎn)進行列表識別。信息資產(chǎn)包括軟件系統(tǒng)、數(shù)據(jù)文檔、硬件設施、人力資源及服務。對每一項信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成重要信息資產(chǎn)清單。4.2.1.6 評估風險1）針對每一項重要信息資產(chǎn)，參考信息安全威脅列表及以往的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有重要信息資產(chǎn)所面臨的威脅；2）針對每一項威脅，考慮現(xiàn)有的控制措

8、施，參考信息安全薄弱點列表識別出被該威脅可能利用的薄弱點。3）綜合考慮以上2點，按照威脅發(fā)生可能性等級表中的判定準則對每一個威脅發(fā)生的可能性進行賦值；4）根據(jù)威脅影響程度判斷準則，判斷一個威脅發(fā)生后可能對信息資產(chǎn)在保密性（c）、完整性（i）和可用性（a）方面的損害，進而對信息科技部業(yè)務造成的影響，來給威脅影響賦值取c、i、a的最大值為威脅影響程度的賦值；5）風險大小計算考慮威脅產(chǎn)生安全故障的可能性及其所造成影響程度兩者的結(jié)合，根據(jù)風險矩陣計算表來得到風險等級；6）對于信息安全風險，在考慮控制措施與費用平衡的原則下制定風險接受準則，按照該準則確定何種等級的風險為不可接受風險。4.2.1.7 風險

9、處理方法的識別與評價銀行信息科技部根據(jù)風險評估的結(jié)果，形成風險處理計劃，該計劃應明確風險處理責任人、方法及時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧?；a) 采用適當?shù)膬?nèi)部控制措施；b) 接受某些風險（不可能將所有風險降低為零）；c) 回避某些風險（如物理隔離）d) 轉(zhuǎn)移某些風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）。4.2.1.8 選擇控制目標與控制措施a)信息安全管理委員會根據(jù)信息安全方針、業(yè)務發(fā)展要求及風險評估的結(jié)果，制定信息安全目標，將目標進行分解落實到責任人。信息安全目標應獲得信息安全最高管理者的批準。b)控制目標及控制措施的選擇原則來源于iso/iec

10、27001:2005標準附錄a，具體控制措施可以參考iso27002:2005信息技術(shù)安全技術(shù)信息安全管理實施細則。銀行信息科技部根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。4.2.1.9 適用性聲明soa信息科技部負責編制信息安全按適用性聲明（soa）。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標與控制措施的概要描述；b) 當前已經(jīng)實施的控制；c) 對iso/iec27001:2005附錄a中未選用的控制目標及控制措施理由的說明。該聲明的詳細內(nèi)容見信息安全適用性聲明4.2.2 isms實施及運作4.2.2.1為確保isms有效實施，對已識別的風險進行有效處理，開展以下活動：1）

11、形成風險處理計劃，以確定適當?shù)墓芾泶胧?、職責及安全控制措施的?yōu)先級；2）為實現(xiàn)已確定的安全目標、實施風險處理計劃，明確各崗位的信息安全職責；3）實施所選擇的控制措施，以實現(xiàn)控制目標；4）進行信息安全培訓，提高全員信息安全意識和能力；5）對信息安全體系的運作進行管理；6）對信息安全所需資源進行管理；7）實施控制程序，對信息安全事故（或征兆）進行迅速反應。4.2.2.2 信息安全組織機構(gòu)銀行信息科技部明確人員職責（包括信息安全職責）并形成文件。1） 信息科技部組織相關職能人員，成立信息安全委員會，形成銀行信息科技部信息安全管理最高機構(gòu)。2） 各isms負責人員根據(jù)銀行信息科技部的職責明確，形成書面

12、文件。4.2.2.3 信息安全職責和權(quán)限1）銀行信息科技部總經(jīng)理為最高管理者，最高管理者指定：苗志勇為信息安全管理者代表，無論該成員在其他方面的職責如何，對信息安全負有以下職責：a)建立并實施信息安全管理體系必要的程序并維持其有效運行。b)對信息安全管理體系的運行情況和必要的改善措施向信息安全管理委員會或最高管理者報告（總經(jīng)理）c)針對體系運行期間保證定期的監(jiān)視體系運行情況、評審體系的有效性、持續(xù)改進文件化的isms。d)管理者代表監(jiān)督全體員工對信息安全體系文件的執(zhí)行狀況。4.2.2.4 檢測安全事態(tài)、響應安全事件及其他控制措施a)根據(jù)soa中規(guī)定的安全目標、控制措施（包括安全運行的各種控制程

13、序）要求實施信息安全控制措施。b)迅速檢測過程運行結(jié)果中的錯誤c)實施實時監(jiān)控，對識別試圖的和得逞的安全違規(guī)和事件進行果斷處理。d)通過使用指標，幫助檢查安全事態(tài)并預防安全事件。e)確定解決安全違規(guī)的措施是否有效。4.2.3 isms的監(jiān)督檢查與評審4.2.3.1 銀行信息科技部通過實施定期的安全檢查、內(nèi)部審核、定期的技術(shù)審查等控制措施并報告結(jié)果以實現(xiàn)：a)及時發(fā)現(xiàn)信息安全體系的事故和隱患；b)定期檢查信息處理設施，及時了解信息處理系統(tǒng)遭受的各類攻擊；c)使管理者掌握信息安全活動是否有效，并根據(jù)優(yōu)先級別確定所要采取的措施；d)對于歷史事件進行記錄并留存檔案，積累信息安全事態(tài)事故等方面的經(jīng)驗，總

14、結(jié)信息安全事態(tài)事件出現(xiàn)的征兆，防患于未然。4.2.3.2 根據(jù)以上活動的結(jié)果以及來自相關方的建議和反饋，由最高管理者主持，定期（每年至少一次）對isms的有效性進行評審，其中包括信息安全范圍、方針、目標及控制措施有效性的評審。管理評審的具體要求，見本手冊第七章。4.2.3.3 信息科技部應組織有關區(qū)域負責人按照信息安全風險評估管理程序的要求對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：a）組織機構(gòu)發(fā)生重大變更；b）信息處理技術(shù)發(fā)生重大變更；c）銀行信息科技部業(yè)務目標及流程發(fā)生重大變更；d）發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅；e）外部環(huán)境，如

15、法律法規(guī)或信息安全標準發(fā)生重大變更。4.2.3.4保持上述活動和措施的記錄以上活動的詳細程序規(guī)定于以下文件中：記錄控制程序信息安全風險評估控制程序內(nèi)部審核控制程序部門職位說明書4.2.4 isms保持與改進銀行信息科技部開展以下活動，以確保isms的持續(xù)改進：a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改的項目；b) 按照內(nèi)部審核控制程序、糾正預防措施程序預防措施控制程序的要求采取適當?shù)募m正和預防措施；吸取其他商業(yè)銀行及外資企業(yè)安全事故的經(jīng)驗c) 對信息安全目標及分解進行管理，確保改進達到預期效果；（信息安全目標及指標的分解）d) 為確保信息安全管理體系持續(xù)有效，各區(qū)域負責人及內(nèi)審

16、小組通過適當?shù)氖侄伪３衷阢y行信息科技部內(nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效溝通。包括獲取外部信息安全專家的建議、電信運營商等組織的聯(lián)系及識別信息安全要求等。如：管理評審會議、內(nèi)部審核報告、信息科技部內(nèi)文件體系、內(nèi)部網(wǎng)絡和郵件系統(tǒng)、法律法規(guī)評估報告等。e) 以上詳細程序規(guī)定于以下文件中：法律法規(guī)獲取和識別控制程序注：上述活動輸出：會議記要和報告4.3.2 文件控制銀行信息科技部制定信息安全管理體系所要求文件的管理程序，保證信息安全管理體系文件得到以下所需的控制：a) 文件的作成、發(fā)行、修訂、廢棄等事項得到相應授權(quán)的查閱、批準，確保文件是合適的、可行的；b) 文件的標識和修訂狀態(tài)清晰、易于識

17、別，確保使用的文書是當前的有效版本；c) 為了文書的有效性，要定期確認記載內(nèi)容是否過時，根據(jù)需要決定保持或修改并再次得到相應的批準；d) 確保信息安全的外部標準、相應法律、法規(guī)得到明確的標識和管理；e) 以上規(guī)定的詳細內(nèi)容見：文件控制程序法律法規(guī)獲取和識別控制程序4.3.3 記錄控制4.3.3.1 信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的證據(jù)。銀行信息科技部負責制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的記錄管理規(guī)定。該規(guī)定應指定記錄的標識、存儲、保護、檢索、保管、廢棄等事項。4.3.3.2 信息安全體系的記錄包括4.2中所列出的所有過程的結(jié)果及與isms相關的安

18、全事故。銀行信息科技部應根據(jù)記錄管理規(guī)定的要求采取適當?shù)姆绞酵咨票９苄畔踩w系中所要求的記錄。4.3.3.3 該程序詳細規(guī)定見記錄控制程序5 管理職責5.1 管理承諾信息安全最高管理者為確保建立、維持并持續(xù)改善信息安全管理體系特做出以下承諾：a) 制定信息安全方針；b) 確保信息安全目標和計劃得以制定；c) 建立信息安全的角色和職責；d) 通過適當?shù)臏贤ǚ绞剑蛉w員工傳達滿足信息安全目標、符合信息安全方針以及法律、法規(guī)要求和持續(xù)改進的重要性；e) 提供適當?shù)馁Y源以滿足信息安全管理體系的需求；f) 決定接受風險的準則，對可接受風險的水平進行決策；g) 確定信息安全內(nèi)部審核的執(zhí)行；h) 實施信

19、息安全的管理評審；5.2 資源管理5.2.1 資源提供銀行信息科技部應確定并提供所需的資源，以滿足以下需求：a) 建立、實施、運行、監(jiān)視、評審、保持和改進isms（信息安全管理體系）b) 確保信息安全管理程序支持業(yè)務流程的要求；c) 識別和滿足法律法規(guī)要求、以及合同中的安全義務；d) 切實實施已有的控制措施，保持適當?shù)陌踩玡) 必要時，進行評審，并對評審結(jié)果做出適當?shù)姆磻?；f) 在需要時，改進信息安全體系的有效性。5.2.2培訓、意識和能力銀行應定期對信息科技部員工的能力進行培訓、意識及能力的提升，確保所有分配有isms職責的人員具有執(zhí)行所要求任務的能力，提升方式應具備以下幾點：a) 確定從事

20、isms工作人員的崗位職責及所必要的能力b) 提供培訓或采取其他措施（如聘用有能力的人員）以滿足這些需求c) 評價所采取的措施的有效性d) 保持教育、培訓、技能、經(jīng)歷和資格的記錄（記錄應建立并加以保持，以提供符合isms要求和有效運行的證據(jù)）銀行信息科技部也要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何達為到isms目標做出貢獻。6.內(nèi)部isms審核銀行信息科技部應按照計劃的時間間隔進行內(nèi)部審核，管理者代表負責制定內(nèi)審計劃并組織實施，以判定isms規(guī)定的安全目標、控制措施、過程和程序是否：a) 符合iso/iec27001:2005標準和有關法律法規(guī)要求；b) 符合已識別的信

21、息安全要求；c) 有效實施和保持；d) 完成預期的目標。6.1 內(nèi)部審核程序6.1.1 信息安全管理者代表制定信息安全管理體系年度審核計劃，該計劃應覆蓋整個isms體系并得到信息安全管理體系最高管理者的批準（銀行信息科技部總經(jīng)理）6.1.2 內(nèi)部審核以本手冊、相應的規(guī)程、作業(yè)指導書為基準。選定的內(nèi)審員應是了解行內(nèi)業(yè)務流程、熟悉安全體系標準并經(jīng)過培訓取得信息安全內(nèi)審員資格的本部員工。內(nèi)審員資格需取得信息安全管理者代表的批準。6.1.3 進行內(nèi)審時，管理者代表要有計劃的進行以下的事項：a) 審核員的選定和教育及培訓；b) 制定審核計劃，指定審核員（審核員應與被審核對象無直接責任關系）；c) 準備必

22、要的相關文件。6.1.4 審核中發(fā)現(xiàn)的不符合事項，要向責任區(qū)域負責人報告，由責任區(qū)域負責人明確糾正措施的實施計劃。6.1.5 要對該糾正措施的實施計劃，進行適宜的跟蹤，確認是否有效實施。6.1.6 以上的工作完成后，須經(jīng)管理者代表確認后，審核流程方可關閉。6.1.7 如果發(fā)現(xiàn)信息安全重大不符合或征兆時，或者管理者代表判斷必要時，可調(diào)整年度審核計劃。6.1.8 對審核的結(jié)果進行適當?shù)膮R總整理，作為管理評審的輸入材料。6.2 內(nèi)部審核需保留以下記錄a) 被審核對象范圍b) 審核日期c) 審核員d) 被審核方e) 依據(jù)的文件f) 具體審核事項及其審查結(jié)果g) 不符合內(nèi)容和程度（嚴重或輕微及觀察事項）

23、h) 不符合事項的糾正措施和實施期限i) 糾正措施的實施狀況及其效果，其他必要事項、審核結(jié)束的確鑿證據(jù)以上程序詳見內(nèi)部審核控制程序7 isms 管理評審7.1 總則 信息安全最高管理者為確認信息安全管理體系的適宜性、充分性和有效性，每半年對信息安全管理體系進行一次評審。該管理評審應包括對信息安全管理體系是否需改進或變更的評價。管理評審的結(jié)果應形成書面記錄，該記錄按4.3.3的要求進行保存。7.2 管理評審的輸入 在管理評審時，管理者代表應組織相關人員提供以下資料，供最高管理者和信息安全委員會進行評審：a) isms體系內(nèi)、外部審核的結(jié)果；b) 相關方的反饋（投訴、抱怨、建議）；c) 可以用來改進isms業(yè)績和有效性的新技術(shù)、產(chǎn)品或程序；d) 信息安全目標達成情況，糾正和預防措施的實施情況；e) 信息安全事故或征兆，以往風險評估時未充分考慮到的薄弱點或威脅；f) 上次管理評審時決定事項的實施情況；g) 可能影響信息安全管理體系變更的事項（標準、法律法規(guī)、相關方要求）；h) 對信息安全管理體系改善的建議。7.3 管理評審的輸出 信息安全管理最高管理者對以下事項做出必要的指示：a) 信息安全管理體系有效性的改善事項；b) 信息安全方針