版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
IS027001-2013信息安全管理體系管
理手冊(cè)及程序文件IS027001-2013信息安全管理體系管理手冊(cè)[GBT22080-2016管理手冊(cè)】1概述1.1背景2頒布令1.3授權(quán)書(shū)2總則1目的2范圍3使命和愿景4信息安全方針5信息安全管理體系方針6裁剪說(shuō)明7依據(jù)文件8定義與縮寫(xiě)3信息安全管理體系1體系概述2文件要求3體系文件架構(gòu)4文件控制5記錄控制4管理職責(zé)1管理者承諾.2資源提供.3內(nèi)部審核4管理評(píng)審5體系改進(jìn)1持續(xù)改進(jìn)2糾正和預(yù)防措施
信息安全管理體系文件清單一階文件HRBB-ISMS-01-01信息安全管理手冊(cè)HRBB-ISMS-01-02適用性聲明SOA二階文件體系運(yùn)行HRBB-ISMS-02-01信息安全方針HRBB-ISMS-02-02信息安全管理體系術(shù)語(yǔ)定義HRBB-ISMS-02-03信息安全風(fēng)險(xiǎn)評(píng)估管理程序HRBB-ISMS-02-04文件控制管理程序HRBB-ISMS-02-05記錄控制管理程序HRBB-ISMS-02-06信息安全管理評(píng)審程序HRBB-ISMS-02-07信息安全內(nèi)部審核管理程序HRBB-ISMS-02-08信息安全目標(biāo)與度量管理程序HRBB-ISMS-02-09糾正預(yù)防控制管理程序信息安全管理HRBB-ISMS-02-10信息安全組織建設(shè)管理程序HRBB-ISMS-02-11第三方信息安全管理程序HRBB-ISMS-02-12信息資產(chǎn)安全管理程序HRBB-ISMS-02-13人員信息安全管理程序HRBB-ISMS-02-14物理和環(huán)境安全管理程序HRBB-ISMS-02-15信息安全事件管理程序HRBB-ISMS-02-16業(yè)務(wù)連續(xù)性管理程序HRBB-ISMS-02-17法律法規(guī)符合性管理程序
信息安全技術(shù)HRBB-ISMS-02-18網(wǎng)絡(luò)和系統(tǒng)安全管理程序HRBB-ISMS-02-19信息系統(tǒng)訪問(wèn)控制管理規(guī)定HRBB-ISMS-02-20信息系統(tǒng)開(kāi)發(fā)與項(xiàng)目安全管理程序HRBB-ISMS-02-21日常運(yùn)行安全管理程序HRBB-ISMS-02-22數(shù)據(jù)備份與恢復(fù)管理程序HRBB-ISMS-02-23介質(zhì)管理與銷毀管理規(guī)定信息安全檢查HRBB-ISMS-02-24安全檢查與審計(jì)管理程序HRBB-ISMS-02-25安全職責(zé)考核管理程序1、1、本手冊(cè)是XX科技信息公司發(fā)展部(以下簡(jiǎn)稱“科技發(fā)展部”)根據(jù)《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)的要求,結(jié)合科技發(fā)展部現(xiàn)狀和發(fā)展需求制定,經(jīng)科技發(fā)展部信息安全工作指揮小組審核,由最高管理者批準(zhǔn)頒布并執(zhí)行。本手冊(cè)規(guī)定了科技發(fā)展部信息安全管理體系范圍內(nèi)的管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全管理體系改進(jìn)等方面的內(nèi)容。a)背景XX科技信息公司是一家新興的股份制公司,成立于2007年2月,總部位于中國(guó)XX省深圳市,現(xiàn)設(shè)有170余個(gè)營(yíng)業(yè)機(jī)構(gòu),截至2019年末,資產(chǎn)總額10億元,科技發(fā)展部是公司生產(chǎn)運(yùn)營(yíng)與科技單元的職能部門(mén),主要負(fù)責(zé)IT系統(tǒng)規(guī)劃、IT支持、信息安全、項(xiàng)目管理等工作??萍及l(fā)展部下轄運(yùn)行維護(hù)中心和IT研發(fā)中心,運(yùn)行維護(hù)中心主要負(fù)責(zé)生產(chǎn)核心系統(tǒng)、其它信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí),災(zāi)難備份中心管理等工作;IT研發(fā)中心負(fù)責(zé)業(yè)務(wù)系統(tǒng)開(kāi)發(fā)、系統(tǒng)測(cè)試及上線、系統(tǒng)維護(hù)和創(chuàng)新研究等工作??萍及l(fā)展部高度重視信息安全工作,不斷在安全組織和安全管理制度建設(shè)、安全技術(shù)應(yīng)用等方面持續(xù)開(kāi)展工作。b)頒布令為提高XX科技信息公司科技發(fā)展部的信息安全管理水平,保障科技發(fā)展部貫徹落實(shí)“生產(chǎn)安全、運(yùn)行穩(wěn)定、支持有力、服務(wù)高效、操作嚴(yán)謹(jǐn)、管理規(guī)范”的基本要求,發(fā)揮“服務(wù)、管理、內(nèi)控、效益”四大功能,樹(shù)立哈爾濱銀行的“技術(shù)實(shí)力精湛、精細(xì)化管理、企業(yè)文化”形象,防止由于信息系統(tǒng)故障、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故,科技發(fā)展部開(kāi)展貫徹(GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的工作,建立文件化的信息安全管理體系,制定了《信息安全管理手冊(cè)》。本手冊(cè)是科技發(fā)展部信息安全管理的綱領(lǐng)性文件,是指導(dǎo)科技發(fā)展部建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則,用于貫徹科技發(fā)展部的信息安全管理方針,實(shí)現(xiàn)科技發(fā)展部信息安全管理體系的有效運(yùn)行和持續(xù)改進(jìn)。全體員工必須嚴(yán)格按照本手冊(cè)的要求,自覺(jué)貫徹管理方針,嚴(yán)格執(zhí)行本手冊(cè)的各項(xiàng)規(guī)定,努力實(shí)現(xiàn)科技發(fā)展部生產(chǎn)運(yùn)行和日常辦公的安全。本手冊(cè)自頒布之日起生效執(zhí)行。XX科技信息公司總經(jīng)理C)授權(quán)書(shū)為了貫徹執(zhí)行信息安全管理體系,滿足WB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求,加強(qiáng)對(duì)信息安全管理體系建設(shè)和持續(xù)運(yùn)行的領(lǐng)導(dǎo)工作,特任命—李柏倫—同志為哈爾濱銀行科技發(fā)展部信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限:>領(lǐng)導(dǎo)信息安全管理體系的建立、運(yùn)行和維護(hù),開(kāi)展資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估;>協(xié)調(diào)與信息安全管理體系有關(guān)的各項(xiàng)工作;>確保在科技發(fā)展部?jī)?nèi)提高員工信息安全意識(shí);>督促信息安全管理體系內(nèi)部審核和信息安全檢查的開(kāi)展;>協(xié)助最高管理者進(jìn)行信息安全管理體系的管理評(píng)審;>向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求。本授權(quán)書(shū)自任命日起生效執(zhí)行??偨?jīng)理:目的本手冊(cè)為XX科技信息公司科技發(fā)展部信息安全管理體系(ISMS)的建立和運(yùn)行提供指導(dǎo),并保證科技發(fā)展部的信息安全管理體系符合《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求,從而確保:(一)科技發(fā)展部信息的保密性、完整性和可用性。(二)科技發(fā)展部各項(xiàng)業(yè)務(wù)的連續(xù)性。(三)科技發(fā)展部信息安全管理體系符合中華人民共和國(guó)、中國(guó)人民銀行、公安部、中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)、哈爾濱銀行總行的各種強(qiáng)制性規(guī)定、規(guī)則及適用的相關(guān)慣例、準(zhǔn)則和協(xié)議。范圍本手冊(cè)所描述的信息安全管理體系適用于哈爾濱銀行科技發(fā)展部??萍及l(fā)展部信息安全管理體系覆蓋科技發(fā)展部所有部門(mén),涵蓋科技發(fā)展部職責(zé)范圍內(nèi)信息系統(tǒng)運(yùn)行維護(hù)、計(jì)算機(jī)設(shè)備管理、人員信息安全、數(shù)據(jù)安全等在內(nèi)的各項(xiàng)信息安全管理相關(guān)活動(dòng)。科技發(fā)展部信息安全管理體系的建設(shè)遵循(GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》,并接受外部權(quán)威機(jī)構(gòu)認(rèn)證審核,認(rèn)證范圍是哈爾濱銀行科技發(fā)展部。C)使命和愿景利用信息科技促進(jìn)我行發(fā)展戰(zhàn)略的實(shí)現(xiàn),在金融產(chǎn)品和服務(wù)創(chuàng)新工作中,發(fā)揮IT在技術(shù)創(chuàng)新方面的先導(dǎo)作用,加強(qiáng)IT在我行風(fēng)險(xiǎn)防范和合規(guī)管理方面的支持,力爭(zhēng)實(shí)現(xiàn)信息科技三年內(nèi)達(dá)到股份制銀行中等水平,五年內(nèi)步入領(lǐng)先行列的發(fā)展目標(biāo)。信息安全方針科技發(fā)展部的信息安全管理遵循哈爾濱銀行的“細(xì)節(jié)決定成敗,合規(guī)創(chuàng)造價(jià)值,責(zé)任成就事業(yè)”管理理念和“違規(guī)就是風(fēng)險(xiǎn),安全就是效益”風(fēng)險(xiǎn)理念??萍及l(fā)展部的信息安全方針是:預(yù)防為主,分級(jí)保護(hù),分層負(fù)責(zé),持續(xù)改進(jìn)。預(yù)防為主:科技發(fā)展部信息安全工作貫徹預(yù)防為主的指導(dǎo)思想,采取各項(xiàng)主動(dòng)預(yù)防措施,建立信息安全和操作風(fēng)險(xiǎn)防控體系,增強(qiáng)全員安全意識(shí),完善應(yīng)急機(jī)制,加強(qiáng)內(nèi)部安全檢查,做到防患于未然。分級(jí)保護(hù):科技發(fā)展部按照信息系統(tǒng)的重要程度劃分相應(yīng)等級(jí),根據(jù)信息系統(tǒng)的等級(jí)采取相應(yīng)的保護(hù)措施,保證科技發(fā)展部各信息系統(tǒng)得到適當(dāng)?shù)燃?jí)的保護(hù)。分層負(fù)責(zé):科技發(fā)展部建立層次化的信息安全組織,確保責(zé)任逐層分解并落實(shí)。持續(xù)改進(jìn):科技發(fā)展部按照PDCA模型進(jìn)行信息安全管理的持續(xù)改進(jìn),保證信息系統(tǒng)在動(dòng)態(tài)變化的過(guò)程中始終得到全面的保護(hù)。信息安全管理體系方針科技發(fā)展部信息安全管理體系的方針是:在哈爾濱銀行的全面風(fēng)險(xiǎn)管理框架下,識(shí)別業(yè)務(wù)和法律法規(guī)及合同中的安全要求,確定信息安全風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則,通過(guò)建設(shè)信息安全管理體系,有效控制信息安全風(fēng)險(xiǎn),保障科技發(fā)展部生產(chǎn)運(yùn)行和日常辦公的安全。裁剪說(shuō)明《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的條款對(duì)于科技發(fā)展部信息安全管理體系的適用關(guān)系,詳見(jiàn)《適用性聲明》。依據(jù)文件本手冊(cè)制定參考并依據(jù)了下列文件資料,更詳細(xì)參見(jiàn)《法律法規(guī)符合性管理規(guī)定》。a.法律法規(guī):是指中華人民共和國(guó)頒布的、所有相關(guān)且具有約束和指導(dǎo)作用的法律、法規(guī)。b.國(guó)際慣例:是指公司開(kāi)辦國(guó)際業(yè)務(wù)必須遵循的具有約束和指導(dǎo)作用的國(guó)際通用慣例。C.標(biāo)準(zhǔn):(1)遵循標(biāo)準(zhǔn):《GB/T22080-2016/ISO/IEC27001:2013信息(2)參照標(biāo)準(zhǔn):《GB/T22081-2016/IS0/IEC27002:2013信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》定義與縮寫(xiě)《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》、《GB/T22081-2016/IS0/IEC27002:2013信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》文中所述定義和術(shù)語(yǔ)均適用于本手冊(cè)。此外,本手冊(cè)還使用《信息安全管理體系術(shù)語(yǔ)定義》中的定義與縮寫(xiě)。信息安全管理體系體系概述科技發(fā)展部按照《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求,同時(shí)考慮銀行服務(wù)行業(yè)的特點(diǎn),從業(yè)務(wù)需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,注重過(guò)程管理,建立和實(shí)施信息安全管理體系,確保與信息安全相關(guān)的資源、技術(shù)、管理等因素處于受控狀態(tài),形成文件并加以實(shí)施、保持和持續(xù)改進(jìn),有效防范各類安全事故或人為有意的破壞事件,保障科技發(fā)展部信息的保密性、完整性和可用性,確保各項(xiàng)業(yè)務(wù)的連續(xù)性。為建立和實(shí)施信息安全管理體系,科技發(fā)展部信息安全管理采用過(guò)程方法,把與信息安全相關(guān)的資源和活動(dòng)作為過(guò)程來(lái)管理,即應(yīng)用PDCA過(guò)程方法,持續(xù)改進(jìn)信息安全管理體系。具體包括:a.識(shí)別并確定科技發(fā)展部信息安全管理體系相關(guān)的策略、目標(biāo)、過(guò)程和程序,改進(jìn)信息安全以達(dá)到期望的結(jié)果。b.依據(jù)“過(guò)程模式”確定上述過(guò)程的順序和相互關(guān)系。c.將過(guò)程充分展開(kāi),明確信息安全控制點(diǎn),編制形成信息安全管理體系文件。d.配置適當(dāng)?shù)馁Y源,提供必要的支持和信息,以保證過(guò)程的有效運(yùn)作。e.持續(xù)度量、監(jiān)控和分析這些過(guò)程,并進(jìn)行必要的改進(jìn)。文件要求科技發(fā)展部信息安全管理體系文件包括:第一章《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的信息安全管理手冊(cè)。第二章《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的程序文件和作業(yè)指導(dǎo)書(shū)。第三章《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的記錄。第四章科技發(fā)展部為確保信息安全所要求的其他相關(guān)文件。c)體系文件架構(gòu)科技發(fā)展部信息安全管理體系文件包括四個(gè)層次:即信息安全管理手冊(cè)、管理規(guī)定/規(guī)程/程序類文件、實(shí)施細(xì)則/管理細(xì)則/操作指南圖1信息安全體系文件架構(gòu)圖各層級(jí)文件所關(guān)注的內(nèi)容依次如下:第一條一階文件:關(guān)于信息安全管理體系的策略聲明文件,即體系管理手冊(cè)。第二條二階文件:關(guān)于《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》各個(gè)控制域的標(biāo)準(zhǔn)指南文件,體現(xiàn)信息安全管理體系在各個(gè)方面的目標(biāo)規(guī)范和基本要求。第三條三階文件:關(guān)于具體信息安全問(wèn)題的規(guī)程文件,指導(dǎo)實(shí)現(xiàn)對(duì)特定信息安全風(fēng)險(xiǎn)點(diǎn)的控制和對(duì)具體業(yè)務(wù)工作的安全管理要求。第四條四階文件:關(guān)于信息安全體系運(yùn)行的各類記錄和報(bào)告,體現(xiàn)各項(xiàng)工作能夠按照三階文件的具體要求有效開(kāi)展。文件控制科技發(fā)展部對(duì)與信息安全管理體系要求有關(guān)的文件進(jìn)行嚴(yán)格控制,以滿足《GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》,具體要求包括:a.確保文件編制、評(píng)審、批準(zhǔn)、發(fā)放、使用、修改、作廢得到有效的控制。b.確保文件清晰可辨,版本標(biāo)示清楚,易于識(shí)別和檢索。c.確保在使用時(shí)可獲得最新、有效版本的適用文件。d.確保外來(lái)文件得到識(shí)別,對(duì)文件的分發(fā)加以控制。e.對(duì)不同媒體和不同種類的文件,采取相應(yīng)的控制。f.防止作廢文件的非授權(quán)使用,保留作廢文件時(shí),對(duì)這些文件進(jìn)行明確的標(biāo)識(shí)??萍及l(fā)展部對(duì)信息安全管理體系文件的控制、公文管理、電子文件及保密文件的控制做出規(guī)定,相關(guān)控制要求參見(jiàn)《文件控制管理規(guī)定》。記錄控制為提供符合要求且表明信息安全管理體系有效運(yùn)行的證據(jù),保證管理過(guò)程的可追溯性,科技發(fā)展部通過(guò)編制并實(shí)施《記錄控制管理規(guī)定》及相關(guān)文件,規(guī)定了信息安全相關(guān)記錄的標(biāo)識(shí)、收集、歸檔、保管、借閱、銷毀和檢查等要求,確保信息安全相關(guān)記錄能夠保持清晰、易于識(shí)別和檢索。在體系運(yùn)行期間各部門(mén)應(yīng)保持相應(yīng)的信息安全記錄控制清單并明確責(zé)任人,同時(shí)遵守記錄的保存期限及存檔要求。管理職責(zé)管理者承諾經(jīng)哈爾濱銀行行長(zhǎng)授權(quán),科技發(fā)展部管理者代表對(duì)建立、實(shí)施信息安全管理體系并持續(xù)改進(jìn)作出承諾:第一條通過(guò)內(nèi)部網(wǎng)絡(luò)、刊物、會(huì)議、培訓(xùn)等形式,向全體員工傳達(dá)滿足客戶和法律法規(guī)、監(jiān)管要求及哈爾濱銀行總行要求的重要性,持續(xù)加強(qiáng)員工的信息安全意識(shí),使員工積極參與提高信息安全水平的相關(guān)活動(dòng)。第二條制定信息安全方針,以明確科技發(fā)展部信息安全管理的宗旨和方向。第三條實(shí)施管理評(píng)審,確保信息安全管理體系的適宜性、充分性和有效性。具體參見(jiàn)《信息安全管理評(píng)審規(guī)定》。第四條確保與建立和改進(jìn)信息安全管理體系所需資源的充分獲得和有效配置。資源提供為了保證信息安全管理體系的建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審和維護(hù),最高管理者代表需確保提供并合理配置了所需的資源,并確保承擔(dān)信息安全管理體系工作的人員具備相應(yīng)能力。具體要求包括:(一)組織科技發(fā)展部成立信息安全工作指揮小組及其辦公室,確定科技發(fā)展部范圍內(nèi)從事信息安全管理工作的專職、兼職人員,以保證體系的運(yùn)行??萍及l(fā)展部確定從事信息安全工作的人員所必要的能力,提供所需的教育和培訓(xùn),評(píng)價(jià)所采取措施的有效性,確保員工意識(shí)到所從事活動(dòng)的重要性以及如何為實(shí)現(xiàn)信息安全方針做出貢獻(xiàn)。(二)職責(zé)科技發(fā)展部確保內(nèi)部的職責(zé)權(quán)限得到有效定義和劃分,確??萍及l(fā)展部信息安全管理體系得到有效運(yùn)行??萍及l(fā)展部的信息安全管理體系的機(jī)構(gòu)設(shè)置詳見(jiàn)《信息安全組織建設(shè)管理規(guī)定》。(三)培訓(xùn)、意識(shí)和能力制定并實(shí)施人力資源管理文件,確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員,都有能力執(zhí)行所要求的任務(wù),為此必須:a.確定承擔(dān)信息安全管理體系工作的崗位人員所必要的能力要求。b.提供必要的職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來(lái)滿足這些要求。C.評(píng)價(jià)所采取措施的有效性。d.保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。內(nèi)部審核科技發(fā)展部規(guī)定了開(kāi)展體系內(nèi)部審核的原則、頻次、實(shí)施步驟等內(nèi)容,旨在通過(guò)內(nèi)部審核,及時(shí)發(fā)現(xiàn)科技發(fā)展部信息安全管理體系在符合性、有效性等方面存在的問(wèn)題,及時(shí)采取糾正措施,保持科技發(fā)展部信息安全管理體系的適宜性、充分性和有效性。內(nèi)部審核適用于科技發(fā)展部各部門(mén)與信息安全管理有關(guān)的所有活動(dòng)的審核。具體參見(jiàn)《信息安全內(nèi)部審核管理規(guī)定》。管理評(píng)審每年(間隔不超過(guò)12個(gè)月)定期由科技發(fā)展部管理者代表主持召開(kāi)科技發(fā)展部信息安全管理體系管理評(píng)審會(huì)議,評(píng)價(jià)信息安全管理體系的適宜性、充分性、有效性。具體工作依照《信息安全管理評(píng)審規(guī)定》。管理評(píng)審需要輸入文件,輸入文件由各部門(mén)編制,應(yīng)包括但不限于:內(nèi)部審核報(bào)告、糾正預(yù)防措施需求及實(shí)施情況報(bào)告、上次管理評(píng)審決議的落實(shí)情況、信息安全方針的修訂需求等。管理評(píng)審會(huì)議的參加人員包括科技發(fā)展部及各中心負(fù)責(zé)人和相關(guān)人員。管理評(píng)審的結(jié)果以決議形式下發(fā),科技發(fā)展部及時(shí)組織學(xué)習(xí)并落實(shí),以確保有關(guān)決議的要求得到滿足。管理評(píng)審活動(dòng)相關(guān)記錄由信息安全工作指揮小組辦公室負(fù)責(zé)保存。體系改進(jìn)持續(xù)改進(jìn)通過(guò)對(duì)內(nèi)部審核等各項(xiàng)監(jiān)測(cè)活動(dòng)結(jié)果的分析,采集內(nèi)外部與信息安全管理有關(guān)的信息,為信息安全管理體系改進(jìn)提供信息、,識(shí)別改進(jìn)的區(qū)域。通過(guò)管理評(píng)審,識(shí)別科技發(fā)展部信息安全管理體系改進(jìn)的需要,尋找改進(jìn)的機(jī)會(huì),明確改進(jìn)的領(lǐng)域和具體的改進(jìn)計(jì)劃。以科技發(fā)展部使命和遠(yuǎn)景,以及信息安全方針為準(zhǔn)則,識(shí)別偏離信息安全方針的原因或現(xiàn)行體系與適應(yīng)其環(huán)境方面的差距,制定改進(jìn)的具體措施。實(shí)施改進(jìn)措施并驗(yàn)證其結(jié)果,保持改進(jìn)計(jì)劃及其實(shí)施過(guò)程和結(jié)果的相關(guān)記錄。糾正和預(yù)防措施糾正和預(yù)防適用于科技發(fā)展部對(duì)信息安全管理活動(dòng)中發(fā)現(xiàn)的不符合項(xiàng)和潛在的不符合項(xiàng),制定、實(shí)施糾正措施和預(yù)防措施的過(guò)程,旨在防止?jié)撛诓环享?xiàng)的發(fā)生和不符合項(xiàng)的再次發(fā)生,促進(jìn)信息安全管理體系有效性的持續(xù)改進(jìn)。詳細(xì)參見(jiàn)《糾正預(yù)防控制管理規(guī)定》。
附件一:信息安全管理體系文件清單一階文件HRBB-ISMS-01-01信息安全管理手冊(cè)HRBB-ISMS-01-02適用性聲明SOA二階文件體系運(yùn)行HRBB-ISMS-02-01信息安全方針HRBB-ISMS-02-02信息安全管理體系術(shù)語(yǔ)定義HRBB-ISMS-02-03信息安全風(fēng)險(xiǎn)評(píng)估管理程序HRBB-ISMS-02-04文件控制管理程序HRBB-ISMS-02-05記錄控制管理程序HRBB-ISMS-02-06信息安全管理評(píng)審程序HRBB-ISMS-02-07信息安全內(nèi)部審核管理程序HRBB-ISMS-02-08信息安全目標(biāo)與度量管理程序HRBB-ISMS-02-09糾正預(yù)防控制管理程序信息安全管理HRBB-ISMS-02-10信息安全組織建設(shè)管理程序HRBB-ISMS-02-11第三方信息安全管理程序HRBB-ISMS-02-12信息資產(chǎn)安全管理程序HRBB-ISMS-02-13人員信息安全管理程序HRBB-ISMS-02-14物理和環(huán)境安全管理程序HRBB-ISMS-02-15信息安全事件管理程序HRBB-ISMS-02-16業(yè)務(wù)連續(xù)性管理程序
HRBB-ISMS-02-17法律法規(guī)符合性管理程序信息安全技術(shù)HRBB-ISMS-02-18網(wǎng)絡(luò)和系統(tǒng)安全管理程序HRBB-ISMS-02-19信息系統(tǒng)訪問(wèn)控制管理規(guī)定HRBB-ISMS-02-20信息系統(tǒng)開(kāi)發(fā)與項(xiàng)目安全管理程序HRBB-ISMS-02-21日常運(yùn)行安全管理程序HRBB-ISMS-02-22數(shù)據(jù)備份與恢復(fù)管理程序HRBB-ISMS-02-23介質(zhì)管理與銷毀管理規(guī)定信息安全檢查HRBB-ISMS-02-24安全檢查與審計(jì)管理程序HRBB-ISMS-02-25安全職責(zé)考核管理程序適用性聲明SoA標(biāo)準(zhǔn)款項(xiàng)控制項(xiàng)是否選擇控制措施說(shuō)明控制描述SOC相關(guān)文件說(shuō)明A.5安全方針A.5.1信息安全方針依據(jù)業(yè)務(wù)發(fā)展要求以及相關(guān)的法律法規(guī)為信息安全提供管理指導(dǎo)和支持A.5.I.1信息安全方針文件是信息安全方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方??萍及l(fā)展部通過(guò)制定、發(fā)布并維護(hù)與科技發(fā)展部整體目標(biāo)一致的清晰的信息安全方針來(lái)表明管理層對(duì)信息安全的支持和承諾。《信息安全管理手冊(cè)》《信息安全方針》A.5.1.2信息安全方針的評(píng)審是宜按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)申,以確保它持續(xù)的適宜性、充分性和有效性。在每年的管理評(píng)審中或發(fā)生重大變化時(shí),科技發(fā)展部對(duì)信息安全方針的持續(xù)適宜性、充分性和有效性進(jìn)行評(píng)價(jià),必要時(shí)進(jìn)行修訂。《信息安全管理手冊(cè)》《信息安全方針》《信息安全管理評(píng)審規(guī)定》A.6信息安全組織A.6.1內(nèi)部組織管理科技發(fā)展部?jī)?nèi)部信息安全A.6.1.1信息安全的管理承諾是管理者應(yīng)通過(guò)清晰的說(shuō)明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn),來(lái)積極支持組織內(nèi)的安全??萍及l(fā)展部管理者代表對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審并持續(xù)改進(jìn)信息安全管理體系做出承諾,并通過(guò)一系列的活動(dòng)提供證實(shí)。《信息安全管理手冊(cè)》《信息安全組織建設(shè)管理規(guī)定》A.6.1.2信息安全協(xié)調(diào)是信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門(mén)并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào)。信息安全工作指揮小組辦公室負(fù)責(zé)組織各部門(mén)的相關(guān)角色和工作職能的代表進(jìn)行溝通協(xié)作,管理者代表負(fù)責(zé)組織、發(fā)起信息安全工作指揮小組會(huì)議?!缎畔踩芾硎謨?cè)》《信息安全組織建設(shè)管理規(guī)定》
A.6.1.3信息安全職責(zé)的分配是所有的信息安全職責(zé)應(yīng)予以清晰地定義。科技發(fā)展部設(shè)立了完整的信息安全管理組織,分為決策監(jiān)督、管理審計(jì)和貫徹執(zhí)行三個(gè)方面,并針對(duì)信息安全工作指揮小組、信息安全工作指揮小組辦公室、安全管理部、各部門(mén)、各職能組、安全管理員和全體員工的職責(zé)進(jìn)行了明確定義?!缎畔踩芾硎謨?cè)》《信息安全組織建設(shè)管理規(guī)定》A.6.1.4信息處理設(shè)施的授權(quán)過(guò)程是應(yīng)為新的信息處理設(shè)施定義和實(shí)施一個(gè)管理授權(quán)過(guò)程??萍及l(fā)展部要求新的信息處理設(shè)施(計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、基礎(chǔ)環(huán)境設(shè)施等)投入使用必須經(jīng)過(guò)相關(guān)部門(mén)評(píng)估,確保符合安全策略要求才能投入使用?!毒W(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.6.1.5保密性協(xié)議是應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求??萍及l(fā)展部要求所有員工簽訂《員工安全保密責(zé)任書(shū)》,要求第三方人員簽訂《第三方人員信息安全承諾書(shū)》?!度藛T信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.6.1.6與政府部門(mén)的聯(lián)系是應(yīng)保持與政府相關(guān)部門(mén)的適當(dāng)聯(lián)系??萍及l(fā)展部風(fēng)險(xiǎn)管理崗負(fù)責(zé)與外部權(quán)威機(jī)構(gòu)保持適當(dāng)聯(lián)系?《信息安全管理手冊(cè)》A.6.1.7與特定利益集團(tuán)的聯(lián)系是應(yīng)保持與特定利益集團(tuán)、其他安全專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系??萍及l(fā)展部風(fēng)險(xiǎn)管理崗負(fù)責(zé)與特定利益團(tuán)體保持適當(dāng)聯(lián)系?!缎畔踩M織建設(shè)管理規(guī)定》A.6.L8信息安全的獨(dú)立評(píng)審是組織管理信息安全的方法及其實(shí)施(例如信息安全的控制目標(biāo)、控制措施、策略、過(guò)程和規(guī)程)應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審,當(dāng)安全實(shí)施發(fā)生重大變化時(shí),也要進(jìn)行獨(dú)立評(píng)審??萍及l(fā)展部按計(jì)劃的時(shí)間間隔或發(fā)生重大變化時(shí),對(duì)組織的信息安全管理方法及其實(shí)施情況(如,信息安全控制目標(biāo)、控制措施、策略、過(guò)程和程序)進(jìn)行獨(dú)立評(píng)審.《信息安全管理手冊(cè)》《信息安全組織建設(shè)管理規(guī)定》《信息安全管理評(píng)審規(guī)定》《信息安全內(nèi)部審核管理規(guī)定》《信息安全管理評(píng)審實(shí)施細(xì)則》A.6.2外部各方識(shí)別行內(nèi)協(xié)作方、第三方訪問(wèn)的風(fēng)險(xiǎn),明確對(duì)行內(nèi)協(xié)作方、第三方訪問(wèn)控制的要求,并控制行內(nèi)協(xié)作方、第三方帶來(lái)的風(fēng)險(xiǎn),保持被行內(nèi)協(xié)作方、第三方訪問(wèn)、處理、共享、管理的組織信息及信息處理設(shè)施的安全
A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別是應(yīng)識(shí)別涉及外部各方業(yè)務(wù)過(guò)程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn),并在允許訪問(wèn)前實(shí)施適當(dāng)?shù)目刂拼胧???萍及l(fā)展部在引入第三方前對(duì)其可能導(dǎo)致的信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,并在批準(zhǔn)第三方訪問(wèn)信息資產(chǎn)前實(shí)施適當(dāng)?shù)目刂?,在《第三方人員信息安全承諾書(shū)》中規(guī)定訪問(wèn)和工作安排的條款和條件確保第三方意識(shí)到其義務(wù),并接受與訪問(wèn)、處理、交流或管理科技發(fā)展部信息資產(chǎn)相關(guān)的責(zé)任和義務(wù)?!兜谌叫畔踩芾硪?guī)定》《哈爾濱銀行信息化外包管理辦法》A.6.2.2處理與顧客有關(guān)的安全問(wèn)題是應(yīng)在允許顧客訪問(wèn)組織信息或資產(chǎn)之前處理所有確定的安全要求??萍及l(fā)展部各部門(mén)負(fù)責(zé)對(duì)對(duì)口的行內(nèi)協(xié)作人員傳達(dá)信息安全管理要求?!缎畔①Y產(chǎn)安全管理規(guī)定》A.6.2.3處理第三方協(xié)議中的安全問(wèn)題是涉及訪問(wèn)、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第三方協(xié)議,或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議,應(yīng)涵蓋所有相關(guān)的安全要求。行內(nèi)協(xié)作人員對(duì)各區(qū)域的物理訪問(wèn)須經(jīng)過(guò)科技發(fā)展部相關(guān)負(fù)責(zé)人的授權(quán),并遵循信息安全相關(guān)要求執(zhí)行。《信息資產(chǎn)安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.7資產(chǎn)管理A.7.1對(duì)資產(chǎn)負(fù)責(zé)對(duì)科技發(fā)展部的信息資產(chǎn)進(jìn)行有效保護(hù)A.7.1.1資產(chǎn)清單是應(yīng)清晰的識(shí)別所有資產(chǎn),編制并維護(hù)所有重要資產(chǎn)的清單.科技發(fā)展部在要求各部門(mén)識(shí)別信息資產(chǎn)并為信息資產(chǎn)賦予CIA屬性值,編制并保持所有重要資產(chǎn)列表?!缎畔①Y產(chǎn)安全管理規(guī)定》A.7.1.2資產(chǎn)責(zé)任人是與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門(mén)或人員承擔(dān)責(zé)任??萍及l(fā)展部明確各部門(mén)負(fù)責(zé)人為部門(mén)信息資產(chǎn)第一責(zé)任人,針對(duì)各項(xiàng)資產(chǎn)指定直接責(zé)任人并履行相應(yīng)的管理職責(zé)?!缎畔①Y產(chǎn)安全管理規(guī)定》A.7.1.3資產(chǎn)的可接受使用是與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施??萍及l(fā)展部已定義對(duì)于各類信息資產(chǎn)的可接受使用規(guī)則,并要求所有員工以此為依據(jù)執(zhí)行?!缎畔①Y產(chǎn)安全管理規(guī)定》A.7.2信息分類按照法律法規(guī)要求和對(duì)科技發(fā)展部的重要程度對(duì)信息進(jìn)行分類,確定保護(hù)要求和等級(jí),以確保對(duì)信息資產(chǎn)采取適當(dāng)?shù)谋Wo(hù)
A.7.2.1分類指南是信息應(yīng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類??萍及l(fā)展部明確了信息資產(chǎn)的分類分級(jí)標(biāo)準(zhǔn)并要求員工以此對(duì)信息資產(chǎn)進(jìn)行分類?!缎畔①Y產(chǎn)安全管理規(guī)定》A.7.2.2信息的標(biāo)記和處理是應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處理規(guī)程??萍及l(fā)展部明確了信息資產(chǎn)的標(biāo)記策略,并要求對(duì)信息資產(chǎn)進(jìn)行標(biāo)記。《信息資產(chǎn)安全管理規(guī)定》A.8人力資源管理A.8.1任用之前確保員工、行內(nèi)協(xié)作方、第三方人員理解其責(zé)任,并能勝任其任務(wù),以降低資產(chǎn)被盜竊、非授權(quán)訪問(wèn)和誤用的風(fēng)險(xiǎn)A.8.1.1角色和職責(zé)是雇員、承包方人員和第三方人員的安全角色和職責(zé)應(yīng)按照組織的信息安全方針定義并形成文件??萍及l(fā)展部明確了員工、行內(nèi)協(xié)作人員和第三方人員的信息安全角色和職責(zé)并已形成相關(guān)文件。《人員信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》A.8.1.2審查是關(guān)于所有任用的候選者、承包方人員和第三方人員的背景驗(yàn)證核查應(yīng)按照相關(guān)法律法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求、被訪問(wèn)信息的類別和察覺(jué)的風(fēng)險(xiǎn)來(lái)執(zhí)行??萍及l(fā)展部根據(jù)相關(guān)的法律、法規(guī)和道德,配合哈爾濱銀行相關(guān)部門(mén)對(duì)所有的求職者和第三方人員進(jìn)行背景驗(yàn)證檢查,該檢杳與業(yè)務(wù)要求、接觸信息的類別及己知風(fēng)險(xiǎn)相適宜?!度藛T信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.8.1.3任用條款和條件是作為他們合同義務(wù)的一部分,雇員、承包方人員和第三方人員應(yīng)同意并簽署他們的任用合同的條款和條件,這些條款和條件應(yīng)聲明他們和組織的信息安全職責(zé)。科技發(fā)展部在《人員信息安全管理規(guī)定》中規(guī)定了員工、行內(nèi)協(xié)作人員、第三方人員有關(guān)信息安全的責(zé)任?!度藛T信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.8.2任用中確保員工、行內(nèi)協(xié)作方、第三方人員知道信息安全威脅、他們的職責(zé)和義務(wù),并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全方針,并較少人為錯(cuò)誤的風(fēng)險(xiǎn)A.8.2.1管理職責(zé)是管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對(duì)安全盡心盡力。科技發(fā)展部管理層要求所有的員工、行內(nèi)協(xié)作人員和第三方人員符合科技發(fā)展部已建立的方針和策略的安全要求?!缎畔踩芾硎謨?cè)》《人員信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》
A.8.2.2信息安全意識(shí)、教育和培訓(xùn)是組織的所有雇員,適當(dāng)時(shí),包括承包方人員和第三方人員,應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針策略及規(guī)程的定期更新培訓(xùn)??萍及l(fā)展部要求對(duì)全體員工和第三方人員(適當(dāng)時(shí))進(jìn)行信息安全意識(shí)培訓(xùn)。信息安全方針、策略、文件變更后,科技發(fā)展部及時(shí)將變更信息傳達(dá)到全體員工??萍及l(fā)展部風(fēng)險(xiǎn)管理組和各部門(mén)通過(guò)組織實(shí)施培訓(xùn),確保員工信息安全意識(shí)的提高,并具有勝任所承擔(dān)信息安全工作的能力?!度藛T信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.8.2.3紀(jì)律處理過(guò)程是對(duì)于安全違規(guī)的雇員,應(yīng)有一個(gè)正式的紀(jì)律處理過(guò)程??萍及l(fā)展部要求對(duì)違反科技發(fā)展部信息安全方針、策略和文件要求的員工,從其行為造成的影響程度出發(fā)進(jìn)行處罰?!栋踩氊?zé)考核管理規(guī)定》A.8.3任用的終止或變更確保員工、行內(nèi)協(xié)作方、第三方人員在離職或服務(wù)結(jié)束前根據(jù)科技發(fā)展部的要求終止其職責(zé)、歸還相關(guān)資產(chǎn)并撤銷其相應(yīng)的訪問(wèn)權(quán)限A.8.3.1終止職責(zé)是任用終止或任用變更的職責(zé)應(yīng)清晰地定義和分配??萍及l(fā)展部要求在員工離職前和第三方人員履行完合同義務(wù)前,進(jìn)行明確終止責(zé)任的溝通,明確《信息安全責(zé)任書(shū)》或《保密承諾書(shū)》以及聘用條款及條件中的信息安全職責(zé)要在員工離職后和第三方人員履行完合同義務(wù)后,持續(xù)一定時(shí)期有效。《人員信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.8.3.2資產(chǎn)的歸還是所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時(shí),應(yīng)歸還他們使用的所有組織資產(chǎn)。科技發(fā)展部要求員工離職或工作崗位變動(dòng)時(shí),應(yīng)先辦理資產(chǎn)歸還手續(xù)?!度藛T信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》
A.8.3.3撤銷訪問(wèn)權(quán)是所有雇員、承包方人員和第三方人員對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)應(yīng)在任用、合同或協(xié)議終止時(shí)刪除,或在變化時(shí)調(diào)整。科技發(fā)展部在要求員工離職或工作崗位變動(dòng)時(shí),第三方及行內(nèi)協(xié)作人員完成相應(yīng)工作后及時(shí)解除訪問(wèn)權(quán)限,或根據(jù)變化作相應(yīng)調(diào)整。《人員信息安全管理規(guī)定》《第三方信息安全管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.9物理和環(huán)境安全A.9.1安全區(qū)域防止對(duì)科技發(fā)展部場(chǎng)所和信息的未授權(quán)物理訪問(wèn)、損壞和干擾A.9.1.1物理安全周邊是應(yīng)使用安全周邊(諸如墻、卡控制的入口或有人管理的接待臺(tái)等屏障)來(lái)保護(hù)包含信息和信息處理設(shè)施的區(qū)域。科技發(fā)展部對(duì)各類人員在機(jī)房、生產(chǎn)運(yùn)維區(qū)、辦公區(qū)、公共區(qū)等物理場(chǎng)所的行為進(jìn)行相應(yīng)的管理。《物理和環(huán)境安全管理規(guī)定》A.9.1.2物理入口控制是安全區(qū)域應(yīng)由適合的入口控制所保護(hù),以確保只有授權(quán)的人員才允許訪問(wèn)??萍及l(fā)展部要求對(duì)各區(qū)域的進(jìn)出口進(jìn)行保護(hù),確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)。《物理和環(huán)境安全管理規(guī)定》A.9.1.3辦公室、房間和設(shè)施的安全防護(hù)是應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施??萍及l(fā)展部在對(duì)辦公室、房間和設(shè)施的保護(hù)要求遵照?qǐng)?zhí)行?!段锢砗铜h(huán)境安全管理規(guī)定》A.9.1.4外部和環(huán)境威脅的安全防護(hù)是為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞,應(yīng)設(shè)計(jì)和采取物理保護(hù)措施??萍及l(fā)展部對(duì)于機(jī)房、生產(chǎn)運(yùn)維區(qū)等重要區(qū)域已設(shè)計(jì)并實(shí)施了針對(duì)火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施?!段锢砗铜h(huán)境安全管理規(guī)定》A.9.1.5在安全區(qū)域工作是應(yīng)設(shè)計(jì)和應(yīng)用用于安全區(qū)域工作的物理保護(hù)和指南??萍及l(fā)展部制定并實(shí)施在各區(qū)域內(nèi)工作的安全要求?!段锢砗铜h(huán)境安全管理規(guī)定》A.9.1.6公共訪問(wèn)、交接區(qū)安全是訪問(wèn)點(diǎn)(例如交接區(qū))和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以控制,如果可能,應(yīng)與信息處理設(shè)施隔離,以避免未授權(quán)訪問(wèn)??萍及l(fā)展部要求對(duì)于辦公區(qū)和公共區(qū)進(jìn)行控制,對(duì)于機(jī)房、生產(chǎn)運(yùn)維區(qū)等重要區(qū)域,通過(guò)對(duì)信息處理設(shè)施加以隔離以防止非授權(quán)的訪問(wèn)?!段锢砗铜h(huán)境安全管理規(guī)定》A.9.2設(shè)備安全防止科技發(fā)展部信息資產(chǎn)的丟失、損壞、失竊等危及信息資產(chǎn)安全以及導(dǎo)致各類業(yè)務(wù)的中斷
A.9.2.1設(shè)備安置和保護(hù)是應(yīng)安置或保護(hù)設(shè)備,以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問(wèn)的機(jī)會(huì)??萍及l(fā)展部要求對(duì)機(jī)房及設(shè)備實(shí)施選址安置和保護(hù),以減少來(lái)自環(huán)境的威脅或危害,并減少未授權(quán)訪問(wèn)的機(jī)會(huì).《物理和環(huán)境安全管理規(guī)定》《環(huán)境設(shè)施和計(jì)算機(jī)設(shè)備管理實(shí)施細(xì)則》A.9.2.2支持性設(shè)施是應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。科技發(fā)展部采取冗余供電、UPS、等設(shè)施降低電力中斷的風(fēng)險(xiǎn),同時(shí)通過(guò)配置空調(diào)等其它支持性設(shè)施以避免因?yàn)橹С中栽O(shè)施失效所導(dǎo)致的中斷?!段锢砗铜h(huán)境安全管理規(guī)定》《環(huán)境設(shè)施和計(jì)算機(jī)設(shè)備管理實(shí)施細(xì)則》A.9.2.3布纜安全是應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽(tīng)或損壞??萍及l(fā)展部采取相應(yīng)措施保護(hù)電力和通訊電纜,避免因此帶來(lái)的服務(wù)中斷或數(shù)據(jù)泄密。為防止相互干擾,電源電纜與通信電纜分開(kāi)?!段锢砗铜h(huán)境安全管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.9.2.4設(shè)備維護(hù)是設(shè)備應(yīng)予以正確地維護(hù),以確保其持續(xù)的可用性和完整性??萍及l(fā)展部各類設(shè)備的管理部門(mén)定期對(duì)各類設(shè)備的保養(yǎng)。《物理和環(huán)境安全管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《環(huán)境設(shè)施和計(jì)算機(jī)設(shè)備管理實(shí)施細(xì)則》A.9.2.5組織場(chǎng)所外的設(shè)備安全是應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取安全措施,要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)??萍及l(fā)展部對(duì)筆記本計(jì)算機(jī)和可移動(dòng)介質(zhì)等離場(chǎng)設(shè)備進(jìn)行安全防護(hù)?!度粘_\(yùn)行安全管理規(guī)定》A.9.2.6設(shè)備的安全處置或再利用是包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行核查,以確保在處置之前,任何敏感信息和注冊(cè)軟件已被刪除或安全地寫(xiě)覆蓋??萍及l(fā)展部檢查所有包含存儲(chǔ)介質(zhì)的設(shè)備,以確保在設(shè)備報(bào)廢或棄置前所有敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被移除或安全重寫(xiě)?!段锢砗铜h(huán)境安全管理規(guī)定》《環(huán)境設(shè)施和計(jì)算機(jī)設(shè)備管理實(shí)施細(xì)則》A.9.2.7資產(chǎn)的移動(dòng)是設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所??萍及l(fā)展部明確未經(jīng)允許時(shí),屬于科技發(fā)展部的信息資產(chǎn)不得隨意帶出科技發(fā)展部區(qū)域.《物理和環(huán)境安全管理規(guī)定》A.10通信和操作管理A.1O.1操作規(guī)程和職責(zé)確保正確、安全的操作信息處理設(shè)施A.IO.l.l文件化操作程序是操作規(guī)程應(yīng)形成文件、保持并對(duì)所有需要的用戶可用。科技發(fā)展部在要求建立操作手冊(cè),并針對(duì)不同類型的操作手冊(cè)設(shè)置相應(yīng)的訪問(wèn)權(quán)限?!度粘_\(yùn)行安全管理規(guī)定》
A.10.1.2變更管理是對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制??萍及l(fā)展部通過(guò)變更管理的相關(guān)要求對(duì)信息處理設(shè)施和信息系統(tǒng)的變更應(yīng)有適當(dāng)?shù)目刂啤!度粘_\(yùn)行安全管理規(guī)定》《HRBank-RM-02-O2-V1.0變更管理流程》A.10.1.3責(zé)任分割是各類責(zé)任及職責(zé)范圍應(yīng)加以分割,以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。科技發(fā)展部對(duì)崗位職責(zé)和工作區(qū)域進(jìn)行分離,以降低未授權(quán)訪問(wèn)、無(wú)意識(shí)修改或?yàn)E用組織資產(chǎn)的機(jī)會(huì)。《日常運(yùn)行安全管理規(guī)定》A.10.1.4開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施分離是開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)分離,以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)??萍及l(fā)展部在對(duì)開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施實(shí)施分離,以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。《日常運(yùn)行安全管理規(guī)定》《信息系統(tǒng)開(kāi)發(fā)與項(xiàng)目安全管理規(guī)定》A.10.2第三方服務(wù)交付管理實(shí)施和保持符合第三方交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水平A.10.2.1服務(wù)交付是應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)??萍及l(fā)展部對(duì)第三方的服務(wù)(包括協(xié)議中所明確的安全要求、服務(wù)定義以及服務(wù)管理等方面)進(jìn)行管理和驗(yàn)收,確保第三方保持充分的服務(wù)能力,并且具備有效的工作計(jì)?劃。《第三方信息安全管理規(guī)定》A.10.2.2第三方服務(wù)的監(jiān)視和評(píng)審是應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄,審核也應(yīng)定期執(zhí)行。科技發(fā)展部要求第三方的對(duì)口部門(mén)負(fù)責(zé)監(jiān)督、管理第三方服務(wù)交付物的質(zhì)量,并定期對(duì)第三方進(jìn)行評(píng)審,以保證第三方服務(wù)及交付物的質(zhì)量和安全性。此外,對(duì)第三方進(jìn)行定期的信息安全檢查,以確保本規(guī)定和相應(yīng)保密協(xié)議等安全控制措施的落實(shí)?!兜谌叫畔踩芾硪?guī)定》《哈爾濱銀行信息化外包管理辦法》A.10.2.3第三方服務(wù)的變更管理是應(yīng)管理服務(wù)提供的變更,包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施,并考慮到業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估??萍及l(fā)展部在對(duì)第三方服務(wù)變更實(shí)施管理,降低第三方服務(wù)變更所可能產(chǎn)生的風(fēng)險(xiǎn)。《第三方信息安全管理規(guī)定》A.10.3系統(tǒng)規(guī)劃和驗(yàn)收進(jìn)行預(yù)先的規(guī)劃和準(zhǔn)備,以確保足夠容量和資源的可用性以提供所需的系統(tǒng)性能
A.10.3.1容量管理是資源的使用應(yīng)加以監(jiān)視、調(diào)整,并作出對(duì)于未來(lái)容量要求的預(yù)測(cè),以確保擁有所需的系統(tǒng)性能??萍及l(fā)展部機(jī)房容量、電力供應(yīng)、網(wǎng)絡(luò)容量、系統(tǒng)容量、存儲(chǔ)和備份設(shè)備容量進(jìn)行容量管理,并提交性能和容量報(bào)表,制定性能和容量監(jiān)控閥值,并進(jìn)行分析和預(yù)測(cè),提出系統(tǒng)擴(kuò)容及優(yōu)化方案.《日常運(yùn)行安全管理規(guī)定》《哈爾濱銀行信息系統(tǒng)性能及容量管理辦法》《哈爾濱銀行網(wǎng)絡(luò)安全管理辦法》A.10.3.2系統(tǒng)驗(yàn)收是應(yīng)建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則,并且在開(kāi)發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試??萍及l(fā)展部制定了信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則,并在開(kāi)發(fā)過(guò)程中及接收前進(jìn)行適當(dāng)?shù)南到y(tǒng)測(cè)試?!度粘_\(yùn)行安全管理規(guī)定》《信息系統(tǒng)開(kāi)發(fā)與項(xiàng)目安全管理規(guī)定》《哈爾濱銀行信息化建設(shè)管理辦法》A.10.4防范惡意和移動(dòng)代碼采取預(yù)防措施,防范和檢測(cè)惡意代碼和未授權(quán)的移動(dòng)代碼A.10.4.1控制惡意代碼是應(yīng)實(shí)施惡意代碼的檢測(cè)、預(yù)防和恢復(fù)的控制措施,以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的規(guī)程。科技發(fā)展部通過(guò)安裝統(tǒng)一的防病毒軟件實(shí)施防范惡意代碼的檢測(cè)、預(yù)防和恢復(fù),并進(jìn)行適當(dāng)?shù)挠脩粢庾R(shí)教育?!度粘_\(yùn)行安全管理規(guī)定》A.10.4.2控制移動(dòng)代碼是當(dāng)授權(quán)使用移動(dòng)代碼時(shí),其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行,應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼??萍及l(fā)展部在要求授權(quán)使用移動(dòng)代碼時(shí),確保已授權(quán)移動(dòng)代碼的運(yùn)行符合明確定義的信息安全策略,未經(jīng)授權(quán)的移動(dòng)代碼被阻止執(zhí)行?!度粘_\(yùn)行安全管理規(guī)定》A.10.5備份通過(guò)備份保持信息和信息處理設(shè)施的完整性和可用性A.10.5.1信息備份是應(yīng)按照己設(shè)的備份策略,定期備份和測(cè)試信息和軟件。科技發(fā)展部各部門(mén)根據(jù)備份方案對(duì)各類數(shù)據(jù)進(jìn)行備份,定期對(duì)備份介質(zhì)進(jìn)行有效性測(cè)試?!稊?shù)據(jù)備份與恢復(fù)管理規(guī)定》《備份存儲(chǔ)設(shè)備及介質(zhì)管理實(shí)施細(xì)則》A.10.6網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中的信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施A.10.6.1網(wǎng)絡(luò)控制是應(yīng)充分管理和控制網(wǎng)絡(luò),以防止威脅的發(fā)生,維護(hù)使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全,包括傳輸中的信息??萍及l(fā)展部對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制,防范威脅,確保使用網(wǎng)絡(luò)的信息系統(tǒng)和數(shù)據(jù)的安全?!毒W(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》
A.10.6.2網(wǎng)絡(luò)服務(wù)安全是安全特性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中,無(wú)論這些服務(wù)是由內(nèi)部提供的還是外包的??萍及l(fā)展部識(shí)別網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)和管理要求,并將這些要求體現(xiàn)在相應(yīng)的網(wǎng)絡(luò)服務(wù)協(xié)議或合同中.《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》A.10.7介質(zhì)處置控制和保護(hù)物理介質(zhì),防止遭受未授權(quán)泄漏、修改、移動(dòng)或銷毀以及業(yè)務(wù)的中斷A.10.7.1可移動(dòng)介質(zhì)的管理是應(yīng)有適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理規(guī)程??萍及l(fā)展部要求對(duì)可移動(dòng)介質(zhì)的使用進(jìn)行適當(dāng)?shù)墓芾怼!度粘_\(yùn)行安全管理規(guī)定》《生產(chǎn)環(huán)境可移動(dòng)介質(zhì)管理實(shí)施細(xì)則》A.10.7.2介質(zhì)的處置是不再需要的介質(zhì),應(yīng)使用正式的規(guī)程可靠并安全地處置,當(dāng)介質(zhì)不再需要時(shí),科技發(fā)展部對(duì)其進(jìn)行可靠的銷毀?!段锢砗铜h(huán)境安全管理規(guī)定》《生產(chǎn)環(huán)境可移動(dòng)介質(zhì)管理實(shí)施細(xì)則》A.10.7.3信息處理規(guī)程是應(yīng)建立信息的處理及存儲(chǔ)規(guī)程,以防止信息的未授權(quán)的泄漏或不當(dāng)使用??萍及l(fā)展部對(duì)各類信息資產(chǎn)的處理、保護(hù)和流轉(zhuǎn)途徑進(jìn)行管理,防范信息未授權(quán)泄漏或誤用提出明確的要求并遵照?qǐng)?zhí)行?!缎畔①Y產(chǎn)安全管理規(guī)定》A.10.7.4系統(tǒng)文件的安個(gè)是應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問(wèn)??萍及l(fā)展部在對(duì)系統(tǒng)文件進(jìn)行保護(hù),避免系統(tǒng)文件遭受未授權(quán)訪問(wèn)?!毒W(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.10.8信息的交換基于正式的交換策略、規(guī)程和控制措施,以保護(hù)通過(guò)各種類型通信設(shè)備實(shí)施的信息交換A.10.8.1信息交換策略和規(guī)程是應(yīng)有正式的交換策略、規(guī)程和控制措施,以保護(hù)通過(guò)使用各種類型通信設(shè)施的信息交換??萍及l(fā)展部對(duì)信息交換進(jìn)行控制,以保護(hù)通過(guò)各類通訊設(shè)施交換信息的安全《信息資產(chǎn)安全管理規(guī)定》A.10.8.2交換協(xié)議是應(yīng)建立組織與外部方交換信息和軟件的協(xié)議。科技發(fā)展部定義信息交換的基本要求?!缎畔①Y產(chǎn)安全管理規(guī)定》《第三方信息安全管理規(guī)定》A.10.8.3傳輸中的物理介質(zhì)是包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí),應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞??萍及l(fā)展部在對(duì)科技發(fā)展部物理邊界外物理介質(zhì)的傳輸進(jìn)行管理,防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞?!缎畔①Y產(chǎn)安全管理規(guī)定》
A.10.8.4電子消息發(fā)送是包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Wo(hù)。科技發(fā)展部對(duì)電子消息(電子郵件、內(nèi)部郵件等)實(shí)施適當(dāng)?shù)谋Wo(hù)。《信息資產(chǎn)安全管理規(guī)定》A.10.8.5業(yè)務(wù)信息系統(tǒng)是應(yīng)建立并實(shí)施策略和規(guī)程,以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信科技發(fā)展部對(duì)業(yè)務(wù)信息系統(tǒng)互聯(lián)提出了相應(yīng)要求(傳輸?shù)募用?、能否使用互?lián)網(wǎng)等)?!缎畔①Y產(chǎn)安全管理規(guī)定》A.10.9電子商務(wù)服務(wù)確保電子商務(wù)服務(wù)的安全及其安全使用A.10.9.1電子商務(wù)NA包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護(hù),以防止欺詐活動(dòng)、合同爭(zhēng)議以及未授權(quán)的泄露和修改。科技發(fā)展部對(duì)包括網(wǎng)銀在內(nèi)的所有通過(guò)公共網(wǎng)絡(luò)傳輸信息的業(yè)務(wù)系統(tǒng)都要采用信息加密等措施,來(lái)保證信息交換的安全,以防止欺詐、合同爭(zhēng)議、未授權(quán)的泄漏和修改A.10.9.2在線交易NA在線交易中的信息應(yīng)受保護(hù),以防止不完全傳輸、錯(cuò)誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。科技發(fā)展部對(duì)所有在線交易業(yè)務(wù)系統(tǒng)都要采用嚴(yán)格的訪問(wèn)控制、信息加密等措施來(lái)保證信息交換的安全,以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未經(jīng)授權(quán)的消息復(fù)制或回復(fù)。A.10.9.3公共可用信息\.\在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù),以防止未授權(quán)的修改??萍及l(fā)展部對(duì)公共可用系統(tǒng)及信息的完整性進(jìn)行保護(hù),以防止未經(jīng)授權(quán)的修改。同時(shí),網(wǎng)上公開(kāi)信息的修改發(fā)布遵循業(yè)務(wù)部門(mén)的相關(guān)管理規(guī)定,只有經(jīng)過(guò)授權(quán)流程后才能修改相應(yīng)信息。A.10.10監(jiān)視監(jiān)視系統(tǒng)、記錄信息安全時(shí)間,使用操作員日志和故障日志來(lái)確保識(shí)別出信息系統(tǒng)的問(wèn)題A.10.10.1審計(jì)記錄是應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常情況和信息安全事態(tài)的審計(jì)日志,并要保持一個(gè)已設(shè)的周期以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視??萍及l(fā)展部明確了記錄用戶活動(dòng)、意外和信息安全事件的日志管理要求,并要求對(duì)日志進(jìn)行妥善的保存?!度粘_\(yùn)行安全管理規(guī)定》《文件控制管理規(guī)定》《記錄控制管理規(guī)定》
A.10.10.2監(jiān)視系統(tǒng)的使用是應(yīng)建立信息處理設(shè)施的監(jiān)視使用規(guī)程,并經(jīng)常評(píng)審監(jiān)視活動(dòng)的結(jié)果。科技發(fā)展部對(duì)監(jiān)視系統(tǒng)的使用提出要求。《日常運(yùn)行安全管理規(guī)定》A.10.10.3日志信息的保護(hù)是記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪問(wèn)??萍及l(fā)展部對(duì)日志信息以及日志設(shè)施的保護(hù)提出要求?!度粘_\(yùn)行安全管理規(guī)定》《物理和環(huán)境安全管理規(guī)定》A.10.10.4管理員和操作員日志是系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志??萍及l(fā)展部要求記錄并保存管理員和操作員日志,并要求相關(guān)部門(mén)定期對(duì)管理員和操作員的日志進(jìn)行審核。《日常運(yùn)行安全管理規(guī)定》《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》A.10.10.5故隙日志是故障應(yīng)被記錄、分析,并采取適當(dāng)?shù)拇胧?。科技發(fā)展部各部門(mén)對(duì)日志(包含故障日志)進(jìn)行審計(jì)和分析,并進(jìn)行記錄,在日志中發(fā)現(xiàn)異常信息時(shí),及時(shí)進(jìn)行報(bào)告?!度粘_\(yùn)行安全管理規(guī)定》A.10.10.6時(shí)鐘同步是一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步??萍及l(fā)展部對(duì)各區(qū)域重要信息處理設(shè)施的時(shí)鐘進(jìn)行同步,并要求配套的門(mén)禁、攝像監(jiān)控等安保系統(tǒng)的時(shí)鐘也與重要信息處理設(shè)施保持時(shí)鐘同步?!度粘_\(yùn)行安全管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.ll訪問(wèn)控制A.U.l訪問(wèn)控制的業(yè)務(wù)要求對(duì)信息、信息處理設(shè)施和業(yè)務(wù)過(guò)程的訪問(wèn)在業(yè)務(wù)和安全要求的基礎(chǔ)上進(jìn)行控制A.ll.1.1訪問(wèn)控制策略是訪問(wèn)控制策略應(yīng)建立、形成文件,并基于業(yè)務(wù)和訪問(wèn)的安全要求進(jìn)行評(píng)審??萍及l(fā)展部建立了文件化的訪問(wèn)控制策略,并對(duì)訪問(wèn)的業(yè)務(wù)和安全要求進(jìn)行評(píng)審?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.11.2用戶訪問(wèn)管理通過(guò)正式的規(guī)程來(lái)授權(quán)用戶訪問(wèn)信息系統(tǒng),并防止未授權(quán)的訪問(wèn)A.l1.2.1用戶注冊(cè)是應(yīng)有正式的用戶注冊(cè)及注銷規(guī)程,來(lái)授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服務(wù)的訪問(wèn)??萍及l(fā)展部對(duì)正式的用戶注冊(cè)與注銷建立了明確的流程?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.11.2.2特殊權(quán)限管理是應(yīng)限制和控制特殊權(quán)限的分配及使用??萍及l(fā)展部限制和控制特殊權(quán)限的使用和分配。《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》A.l1.2.3用戶口令管理是應(yīng)通過(guò)正式的管理過(guò)程控制口令的分配。科技發(fā)展部通過(guò)管理流程控制口令的分配?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.11.2.4用戶訪問(wèn)權(quán)的復(fù)查是管理者應(yīng)定期使用正式過(guò)程對(duì)用戶的訪問(wèn)權(quán)進(jìn)行復(fù)查??萍及l(fā)展部按照規(guī)定的時(shí)間間隔通過(guò)正式的流程對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行評(píng)審?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》
A.11.3用戶職責(zé)防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問(wèn)、損害或竊取A.l1.3.1口令使用是應(yīng)要求用戶在選擇及使用口令時(shí),遵循良好的安全習(xí)慣??萍及l(fā)展部要求用戶在選擇和使用口令時(shí)遵循良好的安全慣例,口令必須符合科技發(fā)展部的要求(長(zhǎng)度、復(fù)雜度、定期更換等).《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》A.11.3.2無(wú)人值守的用戶設(shè)備是用戶應(yīng)確保無(wú)人值守的用戶設(shè)備有適當(dāng)?shù)谋Wo(hù)。科技發(fā)展部采取屏幕鎖定等措施確保無(wú)人值守的設(shè)備得到適當(dāng)?shù)谋Wo(hù)?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.l1.3.3清空桌面和屏幕策略是應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略??萍及l(fā)展部要求員工在離開(kāi)座位時(shí)應(yīng)清空桌面上的文件及可移動(dòng)存儲(chǔ)介質(zhì),并且鎖定信息處理設(shè)施屏幕?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》《日常運(yùn)行安全管理規(guī)定》A.11.4網(wǎng)絡(luò)訪問(wèn)控制對(duì)內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)均應(yīng)加以控制A.l1.4.1使用網(wǎng)絡(luò)服務(wù)的策略是用戶應(yīng)僅能訪問(wèn)已獲專門(mén)授權(quán)使用的服務(wù)??萍及l(fā)展部明確要求用戶只能訪問(wèn)經(jīng)過(guò)明確授權(quán)使用的服務(wù)?!毒W(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》A.l1.4.2外部連接的用戶鑒別是應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪問(wèn)??萍及l(fā)展部使用適當(dāng)?shù)蔫b別方法來(lái)控制遠(yuǎn)程用戶的訪問(wèn)?!毒W(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)接入管理實(shí)施細(xì)則》A.l1.4.3網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)是應(yīng)考慮自動(dòng)設(shè)備標(biāo)識(shí),將其作為鑒別特定位置和設(shè)備連接的方法??萍及l(fā)展部要求對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行標(biāo)識(shí),作為鑒別特定區(qū)域和設(shè)備連接鑒別的方法.《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》A.11.4.4遠(yuǎn)程診斷和配置端口的保護(hù)是對(duì)于診斷和配置端口的物理和邏輯訪問(wèn)應(yīng)加以控制。科技發(fā)展部對(duì)遠(yuǎn)程診斷和配置端口的物理和邏輯訪問(wèn)進(jìn)行控制.《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》A.11.4.5網(wǎng)絡(luò)隔離是應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)??萍及l(fā)展部在網(wǎng)絡(luò)中隔離不同級(jí)別的信息服務(wù)、用戶和信息系統(tǒng)。《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》A.l1.4.6網(wǎng)絡(luò)連接控制是對(duì)于共享的網(wǎng)絡(luò),特別是越過(guò)組織邊界的網(wǎng)絡(luò),用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問(wèn)控制策略和業(yè)務(wù)應(yīng)用要求加以限制(見(jiàn)11.1)。在公共網(wǎng)絡(luò)中,尤其是那些延展到科技發(fā)展部邊界之外的網(wǎng)絡(luò),科技發(fā)展部限制用戶聯(lián)接信息系統(tǒng)的能力,并與業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)控制策略和要求一致(見(jiàn)11.1)?!毒W(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《網(wǎng)絡(luò)安全技術(shù)管理實(shí)施細(xì)則》
A.11.4.7網(wǎng)絡(luò)路由控制是應(yīng)在網(wǎng)絡(luò)中實(shí)施路由控制,以確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問(wèn)控制策略??萍及l(fā)展部在對(duì)網(wǎng)絡(luò)進(jìn)行路由控制,確保鏈接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)控制策略。《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.11.5操作系統(tǒng)訪問(wèn)控制使用安全設(shè)施和相應(yīng)措施防止對(duì)操作系統(tǒng)的未授權(quán)訪問(wèn)A.l1.5.1安全登錄規(guī)程是訪問(wèn)操作系統(tǒng)應(yīng)通過(guò)安全登錄規(guī)程加以控制??萍及l(fā)展部要求用戶對(duì)操作系統(tǒng)的訪問(wèn)應(yīng)通過(guò)安全登錄規(guī)程加以控制。《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》A.11.5.2用戶標(biāo)識(shí)和鑒別是所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符(用戶ID),應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份??萍及l(fā)展部要求所有用戶只有一個(gè)唯一的識(shí)別碼(用戶ID)且僅供本人使用,并使用適當(dāng)?shù)蔫b別技術(shù)來(lái)證實(shí)用戶所聲稱的身份?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.11.53口令管理系統(tǒng)是口令管理系統(tǒng)應(yīng)是交互式的,并應(yīng)確保優(yōu)質(zhì)的口令??萍及l(fā)展部信息系統(tǒng)均使用交互式口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》A.l1.5.4系統(tǒng)實(shí)用工具的使用是對(duì)于可能超越系統(tǒng)和應(yīng)用程序控制措施的實(shí)用工具的使用應(yīng)加以限制并嚴(yán)格控制??萍及l(fā)展部對(duì)可能超越信息系統(tǒng)控制措施的實(shí)用工具的使用加以限制并嚴(yán)格控制,系統(tǒng)工具必須在獲得相應(yīng)的授權(quán)后方可進(jìn)行使用。《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》A.l1.5.5會(huì)話超時(shí)是不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉??萍及l(fā)展部通過(guò)設(shè)定會(huì)話超時(shí)退出機(jī)制確保不活動(dòng)的會(huì)話在到達(dá)設(shè)定的時(shí)間后關(guān)閉?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.l1.5.6聯(lián)機(jī)時(shí)間的限定是應(yīng)使用聯(lián)機(jī)時(shí)間的限制,為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全??萍及l(fā)展部通過(guò)設(shè)置用戶聯(lián)機(jī)時(shí)間限制等措施為用戶登錄及訪問(wèn)系統(tǒng)和應(yīng)用程序的連接安全有效提供額外保障?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》A.l1.6應(yīng)用和信息訪問(wèn)控制通過(guò)使用安全設(shè)施及邏輯訪問(wèn)規(guī)則來(lái)防止對(duì)應(yīng)用系統(tǒng)的未授權(quán)訪問(wèn)A.l1.6.1信息訪問(wèn)限制是用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)應(yīng)依照已確定的訪問(wèn)控制策略加以限制.科技發(fā)展部在《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》和《信息資產(chǎn)安全管理規(guī)定》中要求限制用戶和支持人員對(duì)信息系統(tǒng)的訪問(wèn)?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》
A.11.6.2敏感系統(tǒng)隔離是敏感系統(tǒng)應(yīng)有專用的(隔離的)運(yùn)算環(huán)境??萍及l(fā)展部在《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》和《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》中要求敏感系統(tǒng)擁有專用的(隔離的)運(yùn)算環(huán)境?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.11.7移動(dòng)計(jì)算和遠(yuǎn)程工作確保使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全A.l1.7.1移動(dòng)計(jì)算和通是應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧?,以防范使用移?dòng)計(jì)算和通信設(shè)施時(shí)所造成的風(fēng)險(xiǎn)??萍及l(fā)展部在《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》中要求對(duì)移動(dòng)計(jì)算和通信實(shí)施管理。《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.11.7.2遠(yuǎn)程工作是應(yīng)為遠(yuǎn)程工作活動(dòng)開(kāi)發(fā)和實(shí)施策略、操作計(jì)劃和規(guī)程。科技發(fā)展部在《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》和《信息系統(tǒng)訪問(wèn)控件管理規(guī)定》中要求對(duì)遠(yuǎn)程接入和第三方網(wǎng)絡(luò)接入、無(wú)線網(wǎng)絡(luò)接入進(jìn)行管理并實(shí)施適當(dāng)?shù)目刂??!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.12信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)A.12.1信息系統(tǒng)的安全要求確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分A.12.1.1安全要求分析和說(shuō)明是在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)要求陳述中,應(yīng)規(guī)定對(duì)安全控制措施的要求??萍及l(fā)展部在《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》中要求新的信息系統(tǒng)或?qū)ΜF(xiàn)有信息系統(tǒng)的更新的業(yè)務(wù)要求應(yīng)滿足安全控制的要求,《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.2應(yīng)用中的正確處理防止應(yīng)用系統(tǒng)中的信息的差錯(cuò)、遺失、未授權(quán)的修改或誤用A.12.2.1輸入數(shù)據(jù)確認(rèn)是應(yīng)對(duì)輸入應(yīng)用系統(tǒng)的數(shù)據(jù)加以確認(rèn),以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?萍及l(fā)展部在《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》中要求驗(yàn)證應(yīng)用系統(tǒng)輸入數(shù)據(jù),以確保輸入數(shù)據(jù)的正確和適當(dāng)。《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.2.2內(nèi)部處理的控制是確認(rèn)核查應(yīng)整合到應(yīng)用中,以檢測(cè)由于處理的差錯(cuò)或故意的行為造成的信息的任何訛誤??萍及l(fā)展部在《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》中要求各應(yīng)用系統(tǒng)中實(shí)現(xiàn)確認(rèn)檢查,以檢測(cè)數(shù)據(jù)處理過(guò)程中的錯(cuò)誤。《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.2.3消息完整性是否應(yīng)用中的確保真實(shí)性和保護(hù)消息完整性的要求應(yīng)得到識(shí)別,適當(dāng)?shù)目刂拼胧┮矐?yīng)得到識(shí)別并實(shí)施??萍及l(fā)展部在《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》中要求應(yīng)用系統(tǒng)中實(shí)現(xiàn)鑒別和保護(hù)消息完整性的要求,以識(shí)別并實(shí)施適當(dāng)?shù)目刂啤!缎畔⑾到y(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》
A.12.2.4輸出數(shù)據(jù)確認(rèn)是杏從應(yīng)用系統(tǒng)輸出的數(shù)據(jù)應(yīng)加以確認(rèn),以確保對(duì)所存儲(chǔ)信息的處理是正確的且適于環(huán)境的??萍及l(fā)展部在《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》中要求考慮應(yīng)用系統(tǒng)輸出數(shù)據(jù)確認(rèn)的要求,以確保存儲(chǔ)的信息的處理是正確的并與環(huán)境相適宜?!缎畔⑾到y(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.3密碼控制通過(guò)密碼方法保護(hù)信息的保密性、真實(shí)性或完整性A.12.3.1使用密碼控制的策略是應(yīng)開(kāi)發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略。科技發(fā)展部在《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》中規(guī)定開(kāi)發(fā)和實(shí)施加密控制的具體要求?!缎畔⑾到y(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》《日常運(yùn)行安全管理規(guī)定》A.12.3.2密鑰管理是應(yīng)有密鑰管理以支持組織使用密碼技術(shù)??萍及l(fā)展部在《日常運(yùn)行安全管理規(guī)定》中要求對(duì)用于數(shù)據(jù)加解密的密鑰進(jìn)行管理。《日常運(yùn)行安全管理規(guī)定》A.12.4系統(tǒng)文件的安全確保系統(tǒng)文件的安全A.12.4.1運(yùn)行軟件的控制是應(yīng)有規(guī)程來(lái)控制在運(yùn)行系統(tǒng)上安裝軟件。科技發(fā)展部在《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》和《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》要求嚴(yán)格控制信息系統(tǒng)軟件的安裝?!缎畔⑾到y(tǒng)訪問(wèn)控制管理規(guī)定》《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》A.12.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)是測(cè)試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制??萍及l(fā)展部對(duì)測(cè)試數(shù)據(jù)要求加以保護(hù)和控制,對(duì)于借用生產(chǎn)數(shù)據(jù)的操作依據(jù)《哈爾濱銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)安全管理辦法》執(zhí)行.《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》《哈爾濱銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)安全管理辦法》A.12.4.3對(duì)程序源代碼的訪問(wèn)控制是應(yīng)限制訪問(wèn)程序源代碼...科技發(fā)展部限制對(duì)源代碼庫(kù)的訪問(wèn).《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.5開(kāi)發(fā)和支持過(guò)程中的安全嚴(yán)格控制支持環(huán)境以維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全A.12.5.1變更控制規(guī)程是應(yīng)使用正式的變更控制規(guī)程來(lái)控制變更的實(shí)施。科技發(fā)展部通過(guò)變更管理的相關(guān)要求對(duì)信息系統(tǒng)支持過(guò)程中的變更實(shí)施控制。《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.5.2操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審是當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試,以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。當(dāng)操作系統(tǒng)變更后,科技發(fā)展部評(píng)審并測(cè)試關(guān)犍的業(yè)務(wù)應(yīng)用系統(tǒng),以確保變更不會(huì)對(duì)組織的運(yùn)營(yíng)或安全產(chǎn)生負(fù)面影響?!豆枮I銀行重要信息系統(tǒng)投產(chǎn)及變更管理辦法》
A.12.5.3軟件包變更的限制是應(yīng)對(duì)軟件包的修改進(jìn)行勸阻,只限于必要的變更,且對(duì)所有的變更加以嚴(yán)格控制。科技發(fā)展部嚴(yán)格禁止在應(yīng)用系統(tǒng)維護(hù)過(guò)程中對(duì)軟件包內(nèi)容進(jìn)行更改。《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》A.12.5.4信息泄露是應(yīng)防止信息泄露的可能性.科技發(fā)展部對(duì)各類信息進(jìn)行安全管理(電子郵件發(fā)送、傳真等方式),防止信息泄露。《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》《第三方信息安全管理規(guī)定》《哈爾濱銀行電子郵件系統(tǒng)安全管理辦法》A.12.5.5外包軟件開(kāi)發(fā)是組織應(yīng)管理和監(jiān)視外包軟件的開(kāi)發(fā)??萍及l(fā)展部依據(jù)《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)目安全管理規(guī)定》、《第三方信息安全管理規(guī)定》對(duì)軟件委外開(kāi)發(fā)進(jìn)行管理控制《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》《第三方信息安全管理規(guī)定》A.12.6技術(shù)脆弱性管理降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)A.12.6.1技術(shù)脆弱性的控制是應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息,評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度,并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。科技發(fā)展部在《網(wǎng)絡(luò)和應(yīng)用安全管理規(guī)定》、《日常運(yùn)行安全管理規(guī)定》和《信息系統(tǒng)開(kāi)發(fā)與項(xiàng)目安全管理規(guī)定》中要求通過(guò)安裝補(bǔ)丁、加固系統(tǒng)等方式對(duì)技術(shù)脆弱性進(jìn)行控制。《網(wǎng)絡(luò)和系統(tǒng)安全管理規(guī)定》《信息系統(tǒng)開(kāi)發(fā)和項(xiàng)口安全管理規(guī)定》《日常運(yùn)行安全管理規(guī)定》《信息系統(tǒng)漏洞掃描實(shí)施細(xì)則》A.13信息安全事件管理A.13.1報(bào)告信息安全事態(tài)和弱點(diǎn)確保與信息系統(tǒng)有關(guān)的信息安全事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá),以便及時(shí)采取糾正措施A.13.1.1報(bào)告信息安全事態(tài)是信息安全事態(tài)應(yīng)盡可能快地通過(guò)適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告。科技發(fā)展部要求員工、行內(nèi)協(xié)作人員和第三方人員在發(fā)現(xiàn)事件后盡快上報(bào)事件?!兜谌叫畔踩芾硪?guī)定》《人員信息安全管理規(guī)定》《哈爾濱銀行信息安全事件報(bào)告管理辦法》
A.13.1.2報(bào)告安全弱點(diǎn)是應(yīng)要求信息系統(tǒng)和服務(wù)的所有雇員、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)??萍及l(fā)展部要求所有的員工、行內(nèi)協(xié)作人員和第三方人員注意并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全隱患,并對(duì)發(fā)現(xiàn)的隱患保密?!缎畔踩录芾硪?guī)定》《第三方信息安全管理規(guī)定》《哈爾濱銀行信息安全事件報(bào)告管理辦法》A.13.2信息安全事件和改進(jìn)的管理確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理A.13.2.1責(zé)任和規(guī)程是應(yīng)建立管理職責(zé)和規(guī)程,以確??焖?、有效和有序地響應(yīng)信息安全事件??萍及l(fā)展部建立了信息安全事件上報(bào)和處理流程,并明確分配了各部門(mén)在信息安全事件上報(bào)和處理過(guò)程中的責(zé)任.《信息安全事件管理規(guī)定》《哈爾濱銀行信息安全事件報(bào)告管理辦法》A.13.2.2對(duì)信息安全事件的總結(jié)是應(yīng)有一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià)??萍及l(fā)展部在信息安全事件處理完成后,對(duì)事件進(jìn)行總結(jié),并定期進(jìn)行統(tǒng)計(jì)和分析。《信息安全事件管理規(guī)定》《哈爾濱銀行信息安全事件報(bào)告管理辦法》A.13.2.3證據(jù)的收集是當(dāng)一個(gè)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí),應(yīng)收集、保留和呈遞證據(jù),以使其符合相關(guān)管轄區(qū)域?qū)ψC據(jù)的要求??萍及l(fā)展部要求信息安全事件發(fā)生后,發(fā)現(xiàn)人應(yīng)注意事件相關(guān)證據(jù)的保存。《信息安全事件管理規(guī)定》《哈爾濱銀行信息安全事件報(bào)告管理辦法》A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面防止業(yè)務(wù)活動(dòng)中斷,保護(hù)關(guān)鍵業(yè)務(wù)免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響,并確保及時(shí)恢復(fù)A.14.1.1在業(yè)務(wù)連續(xù)性管理過(guò)程中包含信息安全是應(yīng)為貫穿于組織的業(yè)務(wù)連續(xù)性開(kāi)發(fā)和保持一個(gè)管理過(guò)程,以解決組織的業(yè)務(wù)連續(xù)性所需的信息安全要求。科技發(fā)展部在建立了《業(yè)務(wù)連續(xù)性管理規(guī)定》,該流程闡明了組織的業(yè)務(wù)連續(xù)性中信息安全的要求?!稑I(yè)務(wù)連續(xù)性管理規(guī)定》A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估是應(yīng)識(shí)別能引起業(yè)務(wù)過(guò)程中斷的事態(tài),連同這種中斷發(fā)生的概率和影響,以及它們對(duì)信息安全所造成的后果??萍及l(fā)展部采取業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估識(shí)別能引起業(yè)務(wù)過(guò)程中斷的隱患,識(shí)別中斷發(fā)生的概率和影響以及對(duì)信息安全造成的影響.《業(yè)務(wù)連續(xù)性管理規(guī)定》
A.14.1.3制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃是應(yīng)制定和實(shí)施計(jì)劃來(lái)保持或恢復(fù)運(yùn)行,以在關(guān)鍵業(yè)務(wù)過(guò)程中斷或失敗后能夠在要求的水平和時(shí)間內(nèi)確保信息的可用性??萍及l(fā)展部要求關(guān)鍵業(yè)務(wù)過(guò)程中斷或失敗后能夠在要求的水平和時(shí)間內(nèi)確保信息的可用性。《業(yè)務(wù)連續(xù)性管理規(guī)定》A.14.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架是應(yīng)保持一個(gè)唯一的業(yè)務(wù)連續(xù)性計(jì)劃框架,以確保所有計(jì)劃是一致的,能夠協(xié)調(diào)地解決信息安全要求,并為測(cè)試和維護(hù)確定優(yōu)先級(jí)??萍及l(fā)展部建立統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃框架,確保所有連續(xù)性計(jì)劃的一致性,以維護(hù)信息安全的要求并識(shí)別演練和恢復(fù)的優(yōu)先級(jí)?!稑I(yè)務(wù)連續(xù)性管理規(guī)定》A.14.1.5測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃是業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測(cè)試和更新,以確保其及時(shí)性和有效性。科技發(fā)展部定期采取適當(dāng)?shù)姆绞窖菥殬I(yè)務(wù)連續(xù)性計(jì)劃,并根據(jù)演練情況進(jìn)行評(píng)估和更新.《業(yè)務(wù)連續(xù)性管理規(guī)定》A.15符合性A.15.1符合法律要求避免違反法律、法令、法規(guī)或合同義務(wù)以及任何安全要求A.15.1.1可用法律的識(shí)別是對(duì)每一個(gè)信息系統(tǒng)和組織而言,所有相關(guān)的法令、法規(guī)和合同要求,以及為滿足這些要求組織所采用的方法,應(yīng)加以明確地定義、形成文件并保持更新。科技發(fā)展部對(duì)適用的法律法規(guī)進(jìn)行識(shí)別,根據(jù)相關(guān)法律法規(guī)形成信息安全管理要求,并定期實(shí)施更新?!斗煞ㄒ?guī)符合性管理規(guī)定》A.15.1.2知識(shí)產(chǎn)權(quán)(IPR)是應(yīng)實(shí)施適當(dāng)?shù)囊?guī)程,以確保在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí),符合法律、法規(guī)和合同的要求??萍及l(fā)展部要求在使用與知識(shí)產(chǎn)權(quán)有關(guān)的材料和軟件時(shí)符合法律法規(guī)和合同要求?!斗煞ㄒ?guī)符合性管理規(guī)定》《日常運(yùn)行安全管理規(guī)定》《軟件資產(chǎn)管理實(shí)施細(xì)則》A.15.1.3保護(hù)組織的記是應(yīng)防止重要的記錄遺失、毀壞和偽造,以滿足法令、法規(guī)、合同和業(yè)務(wù)的要求。科技發(fā)展部按照相關(guān)的法律、法規(guī)和合同條款的要求,保護(hù)重要記錄免受損失、破壞或偽造篡改?!斗煞ㄒ?guī)符合性管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》《文件控制管理規(guī)定》《記錄控制管理規(guī)定》
A.15.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的隱私是應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求,確保數(shù)據(jù)保護(hù)和隱私??萍及l(fā)展部依照相關(guān)的法律、法規(guī)和合同條款的要求,保護(hù)數(shù)據(jù)和個(gè)人隱私?!斗煞ㄒ?guī)符合性管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》A.15.1.5防止濫用信息處理設(shè)施是應(yīng)禁止用戶使用信息處理設(shè)施用于未授權(quán)的目的??萍及l(fā)展部阻止用戶把信息處理設(shè)施用于非授權(quán)的目的。《法律法規(guī)符合性管理規(guī)定》《信息系統(tǒng)訪問(wèn)控制管理規(guī)定》《網(wǎng)絡(luò)和應(yīng)用安全管理規(guī)定》A.15.1.6密碼控制措施的規(guī)則是使用密碼控制措施應(yīng)遵從相關(guān)的協(xié)議、法律和法規(guī)。科技發(fā)展部在使用密碼控制時(shí)遵守相關(guān)的協(xié)議、法律法規(guī)?!斗煞ㄒ?guī)符合性管理規(guī)定》A.15.2符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性定期評(píng)審信息系統(tǒng)的安全確保符合科技發(fā)展部的安全策略及標(biāo)準(zhǔn)A.15.2.1符合安全策略和標(biāo)準(zhǔn)是管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全規(guī)程被正確地執(zhí)行,以確保符合安全策略及標(biāo)準(zhǔn)??萍及l(fā)展部每年至少開(kāi)展一次體系內(nèi)部審核,每次審核的范圍覆蓋整個(gè)科技發(fā)展部,確保職責(zé)范圍內(nèi)的所有安全程序正確完成,符合安全方針和策略要求。《安全審計(jì)與檢查管理規(guī)定》《法律法規(guī)符合性管理規(guī)定》A.15.2.2技術(shù)符合性核*是信息系統(tǒng)應(yīng)被定期核查是否符合安全實(shí)施標(biāo)準(zhǔn)??萍及l(fā)展部定期開(kāi)展信息安全檢查,檢查形式包括部門(mén)自查和科技發(fā)展部全面檢查,檢查內(nèi)容包含技術(shù)符合性核查。《安全審計(jì)與檢查管理規(guī)定》《法律法規(guī)符合性管理規(guī)定》《信息系統(tǒng)漏洞掃描實(shí)施細(xì)則》A.15.3信息系統(tǒng)審計(jì)考慮將信息系統(tǒng)審計(jì)過(guò)程的有效性最大化,干擾最小化A.15.3.1信息系統(tǒng)審計(jì)控制措施是涉及對(duì)運(yùn)行系統(tǒng)核查的審計(jì)要求和活動(dòng),應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便最小化造成業(yè)務(wù)過(guò)程中斷的風(fēng)險(xiǎn)??萍及l(fā)展部要求各類涉及生產(chǎn)系統(tǒng)的檢查、審計(jì)均必須獲得授權(quán)后方可實(shí)施,以最小化
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 專業(yè)電腦交易協(xié)議格式(2024年)版A版
- 2025年度跨境電商平臺(tái)產(chǎn)品區(qū)域代理合同協(xié)議書(shū)4篇
- 科技前沿:資金驅(qū)動(dòng)創(chuàng)新
- 2025年度倉(cāng)儲(chǔ)物流場(chǎng)地租賃保證金三方服務(wù)協(xié)議4篇
- 2025年度柴油運(yùn)輸合同書(shū)(智能化物流服務(wù))4篇
- 2025年度綠色環(huán)保型鏟車租賃合作協(xié)議4篇
- 2025年智能餐飲連鎖店合作協(xié)議范本3篇
- 2025年度特色面館連鎖品牌加盟管理規(guī)范合同范本3篇
- 2025年度商業(yè)地產(chǎn)項(xiàng)目場(chǎng)地合作運(yùn)營(yíng)協(xié)議4篇
- 專業(yè)電線電纜供應(yīng)協(xié)議模板2024版
- 【公開(kāi)課】同一直線上二力的合成+課件+2024-2025學(xué)年+人教版(2024)初中物理八年級(jí)下冊(cè)+
- 高職組全國(guó)職業(yè)院校技能大賽(嬰幼兒照護(hù)賽項(xiàng))備賽試題庫(kù)(含答案)
- 2024年公安部直屬事業(yè)單位招聘筆試參考題庫(kù)附帶答案詳解
- NB-T 47013.15-2021 承壓設(shè)備無(wú)損檢測(cè) 第15部分:相控陣超聲檢測(cè)
- 裝飾工程施工技術(shù)ppt課件(完整版)
- SJG 05-2020 基坑支護(hù)技術(shù)標(biāo)準(zhǔn)-高清現(xiàn)行
- 汽車維修價(jià)格表
- 10KV供配電工程施工組織設(shè)計(jì)
- 終端攔截攻略
- 藥物外滲處理及預(yù)防【病房護(hù)士安全警示教育培訓(xùn)課件】--ppt課件
評(píng)論
0/150
提交評(píng)論