信息安全風(fēng)險管理制度

1、叮叮小文庫信息安全風(fēng)險管理辦法北京國都信業(yè)科技有限公司2017年10月、八 、，刖言本程序所規(guī)定的是北京國都信業(yè)科技有限公司企業(yè)的信息安全風(fēng)險管 理原則，在具體實施過程中，各部門可結(jié)合本部門的實際情況，根據(jù)本程 序的要求制定相應(yīng)的文件，以便指導(dǎo)本部門的實施操作。本制度自實施之日起，立即生效。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部起草。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部歸口管理。1目的為規(guī)范北京國都信業(yè)科技有限公司企業(yè)（以下簡稱“本公司”）信息安全風(fēng)險管理體系，建立、健全信息安全管理制度，確定信息安全方針和目標(biāo)，全面覆 蓋信息安全風(fēng)險點，對信息安全風(fēng)險進(jìn)行有效管理，并持續(xù)改進(jìn)

2、信息安全體系建 設(shè)。2 范圍本制度適用于本公司信息管理部信息安全風(fēng)險管理應(yīng)用及活動。3 術(shù)語和定義無。4 職責(zé)信息管理部作為本公司信息安全管理的主管部門，負(fù)責(zé)實施信息安全管理體 系必要的程序并維持其有效運行，制定信息安全相關(guān)策略、制度、規(guī)定，對信息 管理活動各環(huán)節(jié)進(jìn)行安全監(jiān)督和檢查， 信息安全培訓(xùn)、宣傳，信息安全事件的響 應(yīng)、處理及報告等工作。信息安全管理人員負(fù)責(zé)全行信息安全策略的執(zhí)行和推動。5 管理規(guī)定5.1信息安全管理內(nèi)容信息安全管理內(nèi)容應(yīng)覆蓋信息管理、信息管理相關(guān)的所有風(fēng)險點，包括用戶 管理、身份驗證、身份管理、用戶管理、風(fēng)險評估、信息資產(chǎn)管理、網(wǎng)絡(luò)安全、 病毒防護(hù)、敏感數(shù)據(jù)交換等內(nèi)容。

3、5.2信息管理崗位設(shè)置為保證本公司信息安全管理，設(shè)置信息管理部崗位分工及職責(zé)時，應(yīng)全面考 慮信息管理工作實際需要及責(zé)任劃分， 制定詳細(xì)的崗位分工及職責(zé)說明，對信息 管理人員權(quán)限進(jìn)行分級管理，信息管理關(guān)鍵崗位有設(shè)置 AB角。應(yīng)配備專職安全 管理員，關(guān)鍵區(qū)域或部位的安全管理員符合機要人員管理要求， 對涉密人員簽訂 了保密協(xié)議。5.3信息安全人員管理531 人員雇傭安全管理信息管理人員的雇傭符合如下要求：信息管理人員的專業(yè)知識和業(yè)務(wù)水平達(dá)到本公司要求；詳細(xì)審核科技人員工作經(jīng)歷，信息管理人員應(yīng)無不良記錄；針對正式信息管理人員、臨時聘用或合同制信息管理人員及顧問，采取 不同的管理措施。5.3.2 人員入

4、職安全管理在員工工作職責(zé)說明書中除了要說明崗位的一般職責(zé)和規(guī)范以外，還要加入與此崗位相關(guān)的信息安全管理規(guī)范，具體內(nèi)容參看各個安全管理規(guī)范中的適用范 圍部分。人員入職必須簽訂保密協(xié)議，在人員的入職培訓(xùn)內(nèi)容中應(yīng)該包括信息安 全管理規(guī)范的相關(guān)內(nèi)容解釋和技術(shù)培訓(xùn)。5.3.3 人員安全培訓(xùn)根據(jù)工作崗位對從業(yè)者的能力需求、從業(yè)者本身的實際能力以及從業(yè)者所面 臨信息安全風(fēng)險，確定培訓(xùn)內(nèi)容?？紤]不同層次的職責(zé)、能力、文化程度以及所 面臨的風(fēng)險，信息安全主管部門應(yīng)該根據(jù)培訓(xùn)需求組織培訓(xùn)，制定培訓(xùn)計劃，培訓(xùn)計劃包括：培訓(xùn)項目、主要內(nèi)容、主要負(fù)責(zé)人、培訓(xùn)日程安排、培訓(xùn)方式等， 培訓(xùn)前要寫好培訓(xùn)方案，并通知相關(guān)人員，

5、培訓(xùn)后要進(jìn)行考核。5.3.4 人員安全考核人事部門對人員進(jìn)行的定期考核中應(yīng)該包括安全管理規(guī)范的相關(guān)內(nèi)容。5.3.5 人員離職安全管理本公司人員離職手續(xù)中應(yīng)該包括如下安全相關(guān)的內(nèi)容:a）收回所有的密碼，并確認(rèn)密碼的正確性；b）收回所有的物理安全設(shè)備，包括鑰匙和證件；c）收回所有工作資料，包括紙介質(zhì)和電子介質(zhì)；d）進(jìn)行調(diào)離談話，申明其調(diào)離后的保密義務(wù)；e）離職后應(yīng)該立刻更改所有此離職人員曾掌握過的密碼或密鑰。對于本公司辭退人員，必須在第一時間完成上述工作，通知其辭退后，所有 的工作交接內(nèi)容必須有專人陪同，需填寫工作交接單；對于辭退人員應(yīng)該跟 蹤其工作動向，采取合理的手段阻止其就職于競爭對手組織，如

6、保密協(xié)議中的條 款。536 外部人員訪問安全管理外部人員訪問要遵守本公司相關(guān)安全管理規(guī)定。對需要訪問本公司的外部人 員發(fā)放通行證，通行證應(yīng)該針對訪問地點的安全敏感度設(shè)置不同的安全級別。外部人員訪問敏感地點應(yīng)該有專人陪同。對于需要長時間訪問的外部人員應(yīng)該建立 檔案，檔案應(yīng)與通行證對應(yīng)。外來人員攜帶電腦要接入企業(yè)網(wǎng)，必須征得信息管理部允許方可接入。員工 有義務(wù)向外來人員說明網(wǎng)絡(luò)接入安全要求。5.4信息資產(chǎn)風(fēng)險評估信息管理安全制度建設(shè)與信息管理安全風(fēng)險相結(jié)合，信息管理安全制度全面 涵蓋了信息管理安全的風(fēng)險點，包括：安全管理策略、制度、機房、軟件、硬件、 網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面，并針對信息資產(chǎn)進(jìn)行了風(fēng)

7、險程度評估，生成了信息資 產(chǎn)風(fēng)險評估文件。5.5信息管理制度密級管理應(yīng)根據(jù)制度的密級要求程度，對制度進(jìn)行密級分級管理。5.6信息管理安全分級應(yīng)根據(jù)信息管理的安全保護(hù)級別，對信息管理進(jìn)行安全等級劃分管理， 根據(jù) 安全保護(hù)等級對信息管理進(jìn)行相應(yīng)的管理措施。5.7信息管理安全保護(hù)體系為更好的貫徹應(yīng)用系統(tǒng)的安全保護(hù)體系，建立了應(yīng)用系統(tǒng)的分類及分級保護(hù) 體系，根據(jù)系統(tǒng)類別及級別進(jìn)行安全評估， 制定不同的防范措施，對應(yīng)用系統(tǒng)按 照重要程度實行等級保護(hù)。5.7.1信息管理分級為了更好地規(guī)范應(yīng)用系統(tǒng)保護(hù)措施，根據(jù)信息管理安全等級保護(hù)實施指南 為本公司信息管理進(jìn)行了分級。經(jīng)過定級，并上報給公安部門共有一個三級系

8、統(tǒng)， 七個二級系統(tǒng)。5.7.2分級保護(hù)措施5.7.3安全設(shè)計與實施在系統(tǒng)建設(shè)之初，根據(jù)該系統(tǒng)的安全保護(hù)定級，按照信息管理安全總體方案 的要求，結(jié)合信息管理安全建設(shè)項目計劃，分期分步落實安全措施，如下圖1。上圖為安全設(shè)計與實施的流程圖。 對于系統(tǒng)的安全設(shè)計與實施流程，最重要 的三個階段為：安全方案詳細(xì)設(shè)計階段、技術(shù)措施實現(xiàn)階段和管理措施實現(xiàn)階段。對于安全保護(hù)等級為三級的信息管理，要求嚴(yán)格依據(jù)安全設(shè)計與實施流程， 保證各階段的輸入和產(chǎn)出文件，保證系統(tǒng)的安全性。5.7.4安全運行與維護(hù)5.741安全運行與維護(hù)階段工作流程畫土計鱗進(jìn)計另索匚二Si*aiR.|.A*魚吋撿吃申？，等冀本宅亍早林叮聲i&i

9、T習(xí)即人剪険也和聯(lián)責(zé)畏耳關(guān)遠(yuǎn)frlf雕林丹卉導(dǎo)S-受更斟舉糧合畫土掘總垃總二昨?qū)澓繫星安irtfi忑井皈帽肯安蘭專件拽入輕竿耳處盛皆兩煮圖2安全運行與維護(hù)階段工作流程5.7.4.2運行管理控制運行維護(hù)職責(zé)對于信息安全保護(hù)等級為三級和二級的信息管理 ，信息管理部配備專門的人 員對其的運行進(jìn)行維護(hù)。運行管理過程控制a）建立操作規(guī)程將操作過程或流程規(guī)范化，并形成指導(dǎo)運行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。b）操作過程記錄對運行管理人員按照操作規(guī)程執(zhí)行的操作過程形成相關(guān)的記錄文件，可以是日志文件，記錄操作的時間和人員、正常或異常等信息。5.743變更管理配置通過信息管理管理平臺，對系統(tǒng)變

10、更流程進(jìn)行控制，包括：變更內(nèi)容審核和審批對變更目的、內(nèi)容、影響、時間和地點以及人員權(quán)限進(jìn)行審核，以確保變更 合理、科學(xué)的實施。按照機構(gòu)建立的審批流程對變更方案進(jìn)行審批。建立變更過程日志按照批準(zhǔn)的變更方案實施變更，對變更過程各類系統(tǒng)狀態(tài)、各種操作活動等 建立操作記錄或日志。形成變更結(jié)果報告收集變更過程的各類相關(guān)文檔，整理、分析和總結(jié)各類數(shù)據(jù)，形成變更結(jié)果 報告，并歸檔保存?；顒虞敵觯鹤兏Y(jié)果報告。對于二級或二級以上的系統(tǒng)，應(yīng)嚴(yán)格遵循變更管理過程控制規(guī)定，在信息管 理管理平臺中，遵循變更流程進(jìn)行操作。5.744運行狀態(tài)監(jiān)控安全關(guān)鍵點分析對影響系統(tǒng)、業(yè)務(wù)安全性的關(guān)鍵要素進(jìn)行分析，確定安全狀態(tài)監(jiān)控的對

11、象， 這些對象可能包括主機、服務(wù)器、存儲、防火墻、防病毒、核心路由器、核心交 換機、主要通信線路、關(guān)鍵服務(wù)器或客戶端等系統(tǒng)范圍內(nèi)的對象； 也可能包括安 全標(biāo)準(zhǔn)和法律法規(guī)等外部對象。形成監(jiān)控對象列表根據(jù)確定的監(jiān)控對象，分析監(jiān)控的必要性和可行性、監(jiān)控的開銷和成本等因 素，形成監(jiān)控對象列表。活動輸出：監(jiān)控對象列表。狀態(tài)分析對安全狀態(tài)信息進(jìn)行分析，及時發(fā)現(xiàn)險情、隱患或安全事件，并記錄這些安 全事件，分析其發(fā)展趨勢。影響分析根據(jù)對安全狀況變化的分析，分析這些變化對安全的影響，通過判斷他們的 影響決定是否有必要作出響應(yīng) 形成安全狀態(tài)分析報告根據(jù)安全狀態(tài)分析和影響分析的結(jié)果，形成安全狀態(tài)分析報告，上報安全事

12、 件或提出變更需求。活動輸出：安全狀態(tài)分析報告。對于安全保護(hù)等級為三級的信息管理，需要對系統(tǒng)的運行狀態(tài)、容量使用情 況等嚴(yán)格進(jìn)行實時監(jiān)控。5.745安全事件處置安全事件調(diào)查和分析針對各類安全事件列表，調(diào)查本系統(tǒng)內(nèi)安全事件的類型、安全事件對業(yè)務(wù)的 影響范圍和程度以及安全事件的敏感程度等信息，分析對安全事件進(jìn)行響應(yīng)恢復(fù) 所需要的時間。安全事件等級劃分根據(jù)以上調(diào)查和分析結(jié)果，根據(jù)信息安全事件造成的損失程度，信息管理遭 到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán) 益的危害程度等因素，確定事件等級，制定安全事件的報告程序。三級以上的信息管理，需嚴(yán)格遵循安全事件處理流程，即時調(diào)

13、查解決問題并 進(jìn)行上報。5.7.5信息管理中止 5.7.5.1信息管理中止流程二館詡坪血竜棄亢缶遷駛、走棄址苣記錄乂嚴(yán)圖3信息管理中止流程5.7.5.2信息轉(zhuǎn)移、暫存和清除識別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn)根據(jù)要終止的信息管理的信息資產(chǎn)清單，識別重要信息資產(chǎn)、所處的位置以 及當(dāng)前狀態(tài)等，列出需轉(zhuǎn)移、暫存和清除的信息資產(chǎn)的清單。信息資產(chǎn)轉(zhuǎn)移、暫存和清除根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過程。 如果是涉密信息，應(yīng)該按照國家相關(guān)部門的規(guī)定進(jìn)行轉(zhuǎn)移、暫存和清除。處理過程記錄記錄信息轉(zhuǎn)移、暫存和清除的過程，包括參與的人員，轉(zhuǎn)移、暫存和清除的 方式以及目前信息所處的位置等。5.7.

14、5.3設(shè)備遷移或廢棄軟硬件設(shè)備識別根據(jù)要終止的信息管理的設(shè)備清單，識別要被遷移或廢棄的硬件設(shè)備、所處 的位置以及當(dāng)前狀態(tài)等，列出需遷移、廢棄的設(shè)備的清單。制定硬件設(shè)備處理方案根據(jù)規(guī)定和實際情況制定設(shè)備處理方案，包括重用設(shè)備、廢棄設(shè)備、敏感信 息的清除方法等。處理方案審批包括重用設(shè)備、廢棄設(shè)備、敏感信息的清除方法等的設(shè)備處理方案應(yīng)該經(jīng)過 主管領(lǐng)導(dǎo)審查和批準(zhǔn)。設(shè)備處理和記錄根據(jù)設(shè)備處理方案對設(shè)備進(jìn)行處理， 如果是涉密信息的設(shè)備，其處理過程應(yīng) 符合國家相關(guān)部門的規(guī)定；記錄設(shè)備處理過程，包括參與的人員、處理的方式、 是否有殘余信息的檢查結(jié)果等。5.7.5.4存儲介質(zhì)的清除或銷毀識別要清除或銷毀的介質(zhì)根

15、據(jù)要終止的信息管理的存儲介質(zhì)清單，識別載有重要信息的存儲介質(zhì)、所 處的位置以及當(dāng)前狀態(tài)等，列出需清除或銷毀的存儲介質(zhì)清單。確定存儲介質(zhì)處理方法和流程根據(jù)存儲介質(zhì)所承載信息的敏感程度確定對存儲介質(zhì)的處理方式和處理流 程。存儲介質(zhì)的處理包括數(shù)據(jù)清除和存儲介質(zhì)銷毀等。對于存儲涉密信息的介質(zhì) 應(yīng)按照國家相關(guān)部門的規(guī)定進(jìn)行處理。處理方案審批包括存儲介質(zhì)的處理方式和處理流程等的處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查 和批準(zhǔn)。存儲介質(zhì)處理和記錄根據(jù)存儲介質(zhì)處理方案對存儲介質(zhì)進(jìn)行處理， 記錄處理過程，包括參與的人 員、處理的方式、是否有殘余信息的檢查結(jié)果等。5.8外包安全管理應(yīng)加強對外包商、外包項目以及外包服務(wù)的安全管

16、理。進(jìn)行外包商資質(zhì)審查、 外包項目過程風(fēng)險審計、外包服務(wù)人員日常管理。詳細(xì)管理制度及辦法可參考外 包管理制度。5.9信息安全風(fēng)險培訓(xùn)及宣傳加強對全體員工的信息安全教育和培訓(xùn)，定期執(zhí)行信息安全風(fēng)險教育培訓(xùn)， 不斷增強員工的信息安全意識和能力。 培訓(xùn)對象應(yīng)包括但不限于：研發(fā)部、信息 管理部、業(yè)務(wù)部門、審計部等。采取加強對客戶的信息安全風(fēng)險宣傳教育工作，宣傳方式包括但不限于：網(wǎng)站信息安全風(fēng)險知識宣傳；業(yè)務(wù)辦理單客戶關(guān)注事項； 營業(yè)廳銀行相關(guān)知識宣傳教育。5.10信息安全事件處理為盡可能小地影響用戶和用戶業(yè)務(wù)的情況下使IT系統(tǒng)盡快恢復(fù)，從而維持良好的服務(wù)質(zhì)量和可用性級別，本公司制定了信息安全事件響應(yīng)處理制度，明確 安全事件處理流程。對信息安全事件的處理應(yīng)滿足如下要求：信息管理安全事件報告制度和處理流程應(yīng)清晰、明確和完善； 信息管理安全事件報告制度和處理流程應(yīng)遵從信息管理安全制度； 信息管理安全事件應(yīng)進(jìn)行分級管理； 信息管理安全事件響應(yīng)流程應(yīng)定期進(jìn)行演練；內(nèi)審部門應(yīng)對演練過程進(jìn)行審計；對演練中存在的問題應(yīng)及時進(jìn)行整改； 信息管理安全事件制度中應(yīng)包括信息披露的相關(guān)要求，對披露對象和內(nèi) 容應(yīng)進(jìn)行明確的規(guī)定。5.11信息安全審計內(nèi)外審計應(yīng)全程貫穿信息安全活動， 包括信息安全管理制度的制定，信息安 全管理制度執(zhí)行情況，信息安全事件響應(yīng)流程，信息安全風(fēng)險披露等：信息管理安全