信息安全風險管理制度

1、信息安全風險管理辦法北京國都信業(yè)科技有限公司2017 年 10 月前言本程序所規(guī)定的是北京國都信業(yè)科技有限公司企業(yè)的信息安全風險管理原則，在具體實施過程中，各部門可結合本部門的實際情況，根據(jù)本程序的要求制定相應的文件，以便指導本部門的實施操作。本制度自實施之日起，立即生效。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部起草。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部歸口管理。北京國都信業(yè)科技有限公司1目的為規(guī)范北京國都信業(yè)科技有限公司企業(yè)（以下簡稱“本公司”）信息安全風險管理體系，建立、健全信息安全管理制度，確定信息安全方針和目標，全面覆蓋信息安全風險點， 對信息安全風險進行有效管理， 并

2、持續(xù)改進信息安全體系建設。2范圍本制度適用于本公司信息管理部信息安全風險管理應用及活動。3術語和定義無。4職責信息管理部作為本公司信息安全管理的主管部門，負責實施信息安全管理體系必要的程序并維持其有效運行，制定信息安全相關策略、制度、規(guī)定，對信息管理活動各環(huán)節(jié)進行安全監(jiān)督和檢查，信息安全培訓、 宣傳，信息安全事件的響應、處理及報告等工作。信息安全管理人員負責全行信息安全策略的執(zhí)行和推動。5管理規(guī)定5.1 信息安全管理內容信息安全管理內容應覆蓋信息管理、信息管理相關的所有風險點， 包括用戶管理、身份驗證、身份管理、用戶管理、風險評估、信息資產(chǎn)管理、網(wǎng)絡安全、病毒防護、敏感數(shù)據(jù)交換等內容。5.2

3、信息管理崗位設置為保證本公司信息安全管理， 設置信息管理部崗位分工及職責時，應全面考慮信息管理工作實際需要及責任劃分，制定詳細的崗位分工及職責說明，對信息北京國都信業(yè)科技有限公司管理人員權限進行分級管理，信息管理關鍵崗位有設置ab 角。應配備專職安全管理員，關鍵區(qū)域或部位的安全管理員符合機要人員管理要求，對涉密人員簽訂了保密協(xié)議。5.3 信息安全人員管理5.3.1人員雇傭安全管理信息管理人員的雇傭符合如下要求：信息管理人員的專業(yè)知識和業(yè)務水平達到本公司要求；詳細審核科技人員工作經(jīng)歷，信息管理人員應無不良記錄；針對正式信息管理人員、臨時聘用或合同制信息管理人員及顧問，采取不同的管理措施。5.3.

4、2人員入職安全管理在員工工作職責說明書中除了要說明崗位的一般職責和規(guī)范以外，還要加入與此崗位相關的信息安全管理規(guī)范， 具體內容參看各個安全管理規(guī)范中的適用范圍部分。人員入職必須簽訂保密協(xié)議， 在人員的入職培訓內容中應該包括信息安全管理規(guī)范的相關內容解釋和技術培訓。5.3.3人員安全培訓根據(jù)工作崗位對從業(yè)者的能力需求、 從業(yè)者本身的實際能力以及從業(yè)者所面臨信息安全風險，確定培訓內容?？紤]不同層次的職責、能力、文化程度以及所面臨的風險， 信息安全主管部門應該根據(jù)培訓需求組織培訓，制定培訓計劃， 培訓計劃包括：培訓項目、主要內容、主要負責人、培訓日程安排、培訓方式等，培訓前要寫好培訓方案，并通知相關

5、人員，培訓后要進行考核。5.3.4人員安全考核人事部門對人員進行的定期考核中應該包括安全管理規(guī)范的相關內容。5.3.5人員離職安全管理本公司人員離職手續(xù)中應該包括如下安全相關的內容：北京國都信業(yè)科技有限公司a) 收回所有的密碼，并確認密碼的正確性；b) 收回所有的物理安全設備，包括鑰匙和證件；c) 收回所有工作資料，包括紙介質和電子介質；d) 進行調離談話，申明其調離后的保密義務；e) 離職后應該立刻更改所有此離職人員曾掌握過的密碼或密鑰。對于本公司辭退人員， 必須在第一時間完成上述工作，通知其辭退后， 所有的工作交接內容必須有專人陪同，需填寫工作交接單；對于辭退人員應該跟蹤其工作動向， 采取

6、合理的手段阻止其就職于競爭對手組織，如保密協(xié)議中的條款。5.3.6外部人員訪問安全管理外部人員訪問要遵守本公司相關安全管理規(guī)定。對需要訪問本公司的外部人員發(fā)放通行證， 通行證應該針對訪問地點的安全敏感度設置不同的安全級別。外部人員訪問敏感地點應該有專人陪同。對于需要長時間訪問的外部人員應該建立檔案，檔案應與通行證對應。外來人員攜帶電腦要接入企業(yè)網(wǎng)，必須征得信息管理部允許方可接入。員工有義務向外來人員說明網(wǎng)絡接入安全要求。5.4 信息資產(chǎn)風險評估信息管理安全制度建設與信息管理安全風險相結合，信息管理安全制度全面涵蓋了信息管理安全的風險點，包括：安全管理策略、 制度、機房、軟件、硬件、網(wǎng)絡、數(shù)據(jù)、

7、文檔等方面，并針對信息資產(chǎn)進行了風險程度評估，生成了信息資產(chǎn)風險評估文件。5.5 信息管理制度密級管理應根據(jù)制度的密級要求程度，對制度進行密級分級管理。5.6 信息管理安全分級應根據(jù)信息管理的安全保護級別，對信息管理進行安全等級劃分管理，根據(jù)安全保護等級對信息管理進行相應的管理措施。北京國都信業(yè)科技有限公司5.7 信息管理安全保護體系為更好的貫徹應用系統(tǒng)的安全保護體系，建立了應用系統(tǒng)的分類及分級保護體系，根據(jù)系統(tǒng)類別及級別進行安全評估，制定不同的防范措施， 對應用系統(tǒng)按照重要程度實行等級保護。5.7.1信息管理分級為了更好地規(guī)范應用系統(tǒng)保護措施， 根據(jù) 信息管理安全等級保護實施指南為本公司信息

8、管理進行了分級。 經(jīng)過定級，并上報給公安部門共有一個三級系統(tǒng)，七個二級系統(tǒng)。5.7.2分級保護措施5.7.3安全設計與實施在系統(tǒng)建設之初 , 根據(jù)該系統(tǒng)的安全保護定級, 按照信息管理安全總體方案的要求，結合信息管理安全建設項目計劃，分期分步落實安全措施, 如下圖 1。圖 1 安全設計與實施流程圖上圖為安全設計與實施的流程圖。對于系統(tǒng)的安全設計與實施流程，最重要的三個階段為：安全方案詳細設計階段、技術措施實現(xiàn)階段和管理措施實現(xiàn)階段。對于安全保護等級為三級的信息管理, 要求嚴格依據(jù)安全設計與實施流程,保證各階段的輸入和產(chǎn)出文件, 保證系統(tǒng)的安全性。北京國都信業(yè)科技有限公司5.7.4安全運行與維護5

9、.7.4.1 安全運行與維護階段工作流程圖 2 安全運行與維護階段工作流程5.7.4.2 運行管理控制運行維護職責對于信息安全保護等級為三級和二級的信息管理, 信息管理部配備專門的人員對其的運行進行維護。運行管理過程控制a) 建立操作規(guī)程將操作過程或流程規(guī)范化， 并形成指導運行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。b) 操作過程記錄對運行管理人員按照操作規(guī)程執(zhí)行的操作過程形成相關的記錄文件，可以是日志文件，記錄操作的時間和人員、正?；虍惓５刃畔?。北京國都信業(yè)科技有限公司5.7.4.3 變更管理配置通過信息管理管理平臺 , 對系統(tǒng)變更流程進行控制 , 包括: 變更內容審核和審批對變更

10、目的、內容、影響、時間和地點以及人員權限進行審核，以確保變更合理、科學的實施。按照機構建立的審批流程對變更方案進行審批。建立變更過程日志按照批準的變更方案實施變更， 對變更過程各類系統(tǒng)狀態(tài)、 各種操作活動等建立操作記錄或日志。形成變更結果報告收集變更過程的各類相關文檔，整理、分析和總結各類數(shù)據(jù)， 形成變更結果報告，并歸檔保存。活動輸出：變更結果報告。對于二級或二級以上的系統(tǒng), 應嚴格遵循變更管理過程控制規(guī)定, 在信息管理管理平臺中 , 遵循變更流程進行操作。5.7.4.4 運行狀態(tài)監(jiān)控安全關鍵點分析對影響系統(tǒng)、業(yè)務安全性的關鍵要素進行分析，確定安全狀態(tài)監(jiān)控的對象，這些對象可能包括主機、服務器、

11、存儲、防火墻、防病毒、核心路由器、核心交換機、主要通信線路、 關鍵服務器或客戶端等系統(tǒng)范圍內的對象；也可能包括安全標準和法律法規(guī)等外部對象。形成監(jiān)控對象列表根據(jù)確定的監(jiān)控對象， 分析監(jiān)控的必要性和可行性、 監(jiān)控的開銷和成本等因素，形成監(jiān)控對象列表?；顒虞敵觯罕O(jiān)控對象列表。狀態(tài)分析對安全狀態(tài)信息進行分析， 及時發(fā)現(xiàn)險情、 隱患或安全事件， 并記錄這些安全事件，分析其發(fā)展趨勢。影響分析根據(jù)對安全狀況變化的分析， 分析這些變化對安全的影響， 通過判斷他們的影響決定是否有必要作出響應。北京國都信業(yè)科技有限公司形成安全狀態(tài)分析報告根據(jù)安全狀態(tài)分析和影響分析的結果，形成安全狀態(tài)分析報告， 上報安全事件或提

12、出變更需求?；顒虞敵觯喊踩珷顟B(tài)分析報告。對于安全保護等級為三級的信息管理，需要對系統(tǒng)的運行狀態(tài)、 容量使用情況等嚴格進行實時監(jiān)控。5.7.4.5 安全事件處置安全事件調查和分析針對各類安全事件列表， 調查本系統(tǒng)內安全事件的類型、 安全事件對業(yè)務的影響范圍和程度以及安全事件的敏感程度等信息，分析對安全事件進行響應恢復所需要的時間。安全事件等級劃分根據(jù)以上調查和分析結果， 根據(jù)信息安全事件造成的損失程度，信息管理遭到破壞后對國家安全、 社會秩序、 公共利益以及公民、 法人和其他組織的合法權益的危害程度等因素，確定事件等級，制定安全事件的報告程序。三級以上的信息管理, 需嚴格遵循安全事件處理流程,

13、即時調查解決問題并進行上報。5.7.5信息管理中止5.7.5.1 信息管理中止流程北京國都信業(yè)科技有限公司圖 3 信息管理中止流程5.7.5.2 信息轉移、暫存和清除識別要轉移、暫存和清除的信息資產(chǎn)根據(jù)要終止的信息管理的信息資產(chǎn)清單，識別重要信息資產(chǎn)、 所處的位置以及當前狀態(tài)等，列出需轉移、暫存和清除的信息資產(chǎn)的清單。信息資產(chǎn)轉移、暫存和清除根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉移、暫存、清除的方法和過程。如果是涉密信息，應該按照國家相關部門的規(guī)定進行轉移、暫存和清除。處理過程記錄記錄信息轉移、暫存和清除的過程，包括參與的人員，轉移、暫存和清除的方式以及目前信息所處的位置等。5.7.5.3 設

14、備遷移或廢棄軟硬件設備識別根據(jù)要終止的信息管理的設備清單，識別要被遷移或廢棄的硬件設備、所處的位置以及當前狀態(tài)等，列出需遷移、廢棄的設備的清單。制定硬件設備處理方案根據(jù)規(guī)定和實際情況制定設備處理方案，包括重用設備、 廢棄設備、 敏感信息的清除方法等。處理方案審批包括重用設備、 廢棄設備、敏感信息的清除方法等的設備處理方案應該經(jīng)過主管領導審查和批準。設備處理和記錄根據(jù)設備處理方案對設備進行處理，如果是涉密信息的設備， 其處理過程應符合國家相關部門的規(guī)定；記錄設備處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結果等。5.7.5.4 存儲介質的清除或銷毀識別要清除或銷毀的介質北京國都信業(yè)

15、科技有限公司根據(jù)要終止的信息管理的存儲介質清單，識別載有重要信息的存儲介質、 所處的位置以及當前狀態(tài)等，列出需清除或銷毀的存儲介質清單。確定存儲介質處理方法和流程根據(jù)存儲介質所承載信息的敏感程度確定對存儲介質的處理方式和處理流程。存儲介質的處理包括數(shù)據(jù)清除和存儲介質銷毀等。對于存儲涉密信息的介質應按照國家相關部門的規(guī)定進行處理。處理方案審批包括存儲介質的處理方式和處理流程等的處理方案應該經(jīng)過主管領導審查和批準。存儲介質處理和記錄根據(jù)存儲介質處理方案對存儲介質進行處理，記錄處理過程， 包括參與的人員、處理的方式、是否有殘余信息的檢查結果等。5.8 外包安全管理應加強對外包商、外包項目以及外包服務

16、的安全管理。 進行外包商資質審查、外包項目過程風險審計、 外包服務人員日常管理。 詳細管理制度及辦法可參考外包管理制度。5.9 信息安全風險培訓及宣傳加強對全體員工的信息安全教育和培訓，定期執(zhí)行信息安全風險教育培訓，不斷增強員工的信息安全意識和能力。培訓對象應包括但不限于： 研發(fā)部、信息管理部、業(yè)務部門、審計部等。采取加強對客戶的信息安全風險宣傳教育工作，宣傳方式包括但不限于：網(wǎng)站信息安全風險知識宣傳；業(yè)務辦理單客戶關注事項；營業(yè)廳銀行相關知識宣傳教育。5.10信息安全事件處理為盡可能小地影響用戶和用戶業(yè)務的情況下使it 系統(tǒng)盡快恢復，從而維持良好的服務質量和可用性級別， 本公司制定了信息安全事件響應處理制度，明確安全事件處理流程。對信息安全事件的處理應滿足如下要求：北京國都信業(yè)科技有限公司信息管理安全事件報告制度和處理流程應清晰、明確和完善；信息管理安全事件報告制度和處理流程應遵從信息管理安全制度；信息管理安全事件應進行分級管理；信息管理安全事件響應流程應定期進行演練；內審部門應對演練過程進行審計；對演練中存在的問題應及時進行整改；信息管理安全事件制度中應包括信息披露的相關要求，對披露對象和內容應進行明確的規(guī)定。5.11信息安全審計內外審計應全程貫穿信息安全活動，包括信息安全管理制度的制定， 信息安全管理制度執(zhí)行情況，信息安全事件響應流程，信息安全風險披露等：信