信息安全風(fēng)險(xiǎn)管理制度

1、精品文檔信息安全風(fēng)險(xiǎn)管理辦法北京國都信業(yè)科技有限公司2017 年 10 月.精品文檔前言本程序所規(guī)定的是北京國都信業(yè)科技有限公司企業(yè)的信息安全風(fēng)險(xiǎn)管理原則，在具體實(shí)施過程中，各部門可結(jié)合本部門的實(shí)際情況，根據(jù)本程序的要求制定相應(yīng)的文件，以便指導(dǎo)本部門的實(shí)施操作。本制度自實(shí)施之日起，立即生效。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部起草。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部歸口管理。.精品文檔1 目的為規(guī)范北京國都信業(yè)科技有限公司企業(yè)（以下簡稱“本公司” ）信息安全風(fēng)險(xiǎn)管理體系，建立、健全信息安全管理制度，確定信息安全方針和目標(biāo)，全面覆蓋信息安全風(fēng)險(xiǎn)點(diǎn)， 對信息安全風(fēng)險(xiǎn)進(jìn)行有效管

2、理， 并持續(xù)改進(jìn)信息安全體系建設(shè)。2 范圍本制度適用于本公司信息管理部信息安全風(fēng)險(xiǎn)管理應(yīng)用及活動(dòng)。3 術(shù)語和定義無。4 職責(zé)信息管理部作為本公司信息安全管理的主管部門，負(fù)責(zé)實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行，制定信息安全相關(guān)策略、制度、規(guī)定，對信息管理活動(dòng)各環(huán)節(jié)進(jìn)行安全監(jiān)督和檢查，信息安全培訓(xùn)、 宣傳，信息安全事件的響應(yīng)、處理及報(bào)告等工作。信息安全管理人員負(fù)責(zé)全行信息安全策略的執(zhí)行和推動(dòng)。5 管理規(guī)定5.1 信息安全管理內(nèi)容信息安全管理內(nèi)容應(yīng)覆蓋信息管理、 信息管理相關(guān)的所有風(fēng)險(xiǎn)點(diǎn)， 包括用戶管理、身份驗(yàn)證、身份管理、用戶管理、風(fēng)險(xiǎn)評估、信息資產(chǎn)管理、網(wǎng)絡(luò)安全、病毒防護(hù)、敏感數(shù)據(jù)交

3、換等內(nèi)容。5.2 信息管理崗位設(shè)置為保證本公司信息安全管理， 設(shè)置信息管理部崗位分工及職責(zé)時(shí)， 應(yīng)全面考慮信息管理工作實(shí)際需要及責(zé)任劃分， 制定詳細(xì)的崗位分工及職責(zé)說明， 對信息.精品文檔管理人員權(quán)限進(jìn)行分級管理，信息管理關(guān)鍵崗位有設(shè)置AB 角。應(yīng)配備專職安全管理員，關(guān)鍵區(qū)域或部位的安全管理員符合機(jī)要人員管理要求，對涉密人員簽訂了保密協(xié)議。5.3 信息安全人員管理5.3.1人員雇傭安全管理信息管理人員的雇傭符合如下要求：信息管理人員的專業(yè)知識(shí)和業(yè)務(wù)水平達(dá)到本公司要求；詳細(xì)審核科技人員工作經(jīng)歷，信息管理人員應(yīng)無不良記錄；針對正式信息管理人員、臨時(shí)聘用或合同制信息管理人員及顧問，采取不同的管理措施

4、。5.3.2人員入職安全管理在員工工作職責(zé)說明書中除了要說明崗位的一般職責(zé)和規(guī)范以外， 還要加入與此崗位相關(guān)的信息安全管理規(guī)范， 具體內(nèi)容參看各個(gè)安全管理規(guī)范中的適用范圍部分。人員入職必須簽訂保密協(xié)議， 在人員的入職培訓(xùn)內(nèi)容中應(yīng)該包括信息安全管理規(guī)范的相關(guān)內(nèi)容解釋和技術(shù)培訓(xùn)。5.3.3人員安全培訓(xùn)根據(jù)工作崗位對從業(yè)者的能力需求、 從業(yè)者本身的實(shí)際能力以及從業(yè)者所面臨信息安全風(fēng)險(xiǎn)，確定培訓(xùn)內(nèi)容?？紤]不同層次的職責(zé)、能力、文化程度以及所面臨的風(fēng)險(xiǎn)， 信息安全主管部門應(yīng)該根據(jù)培訓(xùn)需求組織培訓(xùn)， 制定培訓(xùn)計(jì)劃， 培訓(xùn)計(jì)劃包括：培訓(xùn)項(xiàng)目、主要內(nèi)容、主要負(fù)責(zé)人、培訓(xùn)日程安排、培訓(xùn)方式等，培訓(xùn)前要寫好培訓(xùn)方

5、案，并通知相關(guān)人員，培訓(xùn)后要進(jìn)行考核。5.3.4人員安全考核人事部門對人員進(jìn)行的定期考核中應(yīng)該包括安全管理規(guī)范的相關(guān)內(nèi)容。5.3.5人員離職安全管理本公司人員離職手續(xù)中應(yīng)該包括如下安全相關(guān)的內(nèi)容：.精品文檔a) 收回所有的密碼，并確認(rèn)密碼的正確性；b) 收回所有的物理安全設(shè)備，包括鑰匙和證件；c) 收回所有工作資料，包括紙介質(zhì)和電子介質(zhì)；d) 進(jìn)行調(diào)離談話，申明其調(diào)離后的保密義務(wù)；e) 離職后應(yīng)該立刻更改所有此離職人員曾掌握過的密碼或密鑰。對于本公司辭退人員， 必須在第一時(shí)間完成上述工作，通知其辭退后， 所有的工作交接內(nèi)容必須有專人陪同，需填寫工作交接單；對于辭退人員應(yīng)該跟蹤其工作動(dòng)向， 采取

6、合理的手段阻止其就職于競爭對手組織，如保密協(xié)議中的條款。5.3.6外部人員訪問安全管理外部人員訪問要遵守本公司相關(guān)安全管理規(guī)定。 對需要訪問本公司的外部人員發(fā)放通行證， 通行證應(yīng)該針對訪問地點(diǎn)的安全敏感度設(shè)置不同的安全級別。 外部人員訪問敏感地點(diǎn)應(yīng)該有專人陪同。 對于需要長時(shí)間訪問的外部人員應(yīng)該建立檔案，檔案應(yīng)與通行證對應(yīng)。外來人員攜帶電腦要接入企業(yè)網(wǎng)， 必須征得信息管理部允許方可接入。 員工有義務(wù)向外來人員說明網(wǎng)絡(luò)接入安全要求。5.4 信息資產(chǎn)風(fēng)險(xiǎn)評估信息管理安全制度建設(shè)與信息管理安全風(fēng)險(xiǎn)相結(jié)合， 信息管理安全制度全面涵蓋了信息管理安全的風(fēng)險(xiǎn)點(diǎn)， 包括：安全管理策略、 制度、機(jī)房、軟件、硬件

7、、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面，并針對信息資產(chǎn)進(jìn)行了風(fēng)險(xiǎn)程度評估，生成了信息資產(chǎn)風(fēng)險(xiǎn)評估文件。5.5 信息管理制度密級管理應(yīng)根據(jù)制度的密級要求程度，對制度進(jìn)行密級分級管理。5.6 信息管理安全分級應(yīng)根據(jù)信息管理的安全保護(hù)級別， 對信息管理進(jìn)行安全等級劃分管理， 根據(jù)安全保護(hù)等級對信息管理進(jìn)行相應(yīng)的管理措施。.精品文檔5.7 信息管理安全保護(hù)體系為更好的貫徹應(yīng)用系統(tǒng)的安全保護(hù)體系， 建立了應(yīng)用系統(tǒng)的分類及分級保護(hù)體系，根據(jù)系統(tǒng)類別及級別進(jìn)行安全評估， 制定不同的防范措施， 對應(yīng)用系統(tǒng)按照重要程度實(shí)行等級保護(hù)。5.7.1信息管理分級為了更好地規(guī)范應(yīng)用系統(tǒng)保護(hù)措施， 根據(jù)信息管理安全等級保護(hù)實(shí)施指南為本公

8、司信息管理進(jìn)行了分級。 經(jīng)過定級，并上報(bào)給公安部門共有一個(gè)三級系統(tǒng)，七個(gè)二級系統(tǒng)。5.7.2分級保護(hù)措施5.7.3安全設(shè)計(jì)與實(shí)施在系統(tǒng)建設(shè)之初 , 根據(jù)該系統(tǒng)的安全保護(hù)定級, 按照信息管理安全總體方案的要求，結(jié)合信息管理安全建設(shè)項(xiàng)目計(jì)劃，分期分步落實(shí)安全措施, 如下圖 1。圖 1 安全設(shè)計(jì)與實(shí)施流程圖上圖為安全設(shè)計(jì)與實(shí)施的流程圖。對于系統(tǒng)的安全設(shè)計(jì)與實(shí)施流程，最重要的三個(gè)階段為：安全方案詳細(xì)設(shè)計(jì)階段、技術(shù)措施實(shí)現(xiàn)階段和管理措施實(shí)現(xiàn)階段。對于安全保護(hù)等級為三級的信息管理, 要求嚴(yán)格依據(jù)安全設(shè)計(jì)與實(shí)施流程,保證各階段的輸入和產(chǎn)出文件, 保證系統(tǒng)的安全性。.精品文檔5.7.4安全運(yùn)行與維護(hù)5.7.4

9、.1 安全運(yùn)行與維護(hù)階段工作流程圖 2 安全運(yùn)行與維護(hù)階段工作流程5.7.4.2 運(yùn)行管理控制運(yùn)行維護(hù)職責(zé)對于信息安全保護(hù)等級為三級和二級的信息管理 , 信息管理部配備專門的人員對其的運(yùn)行進(jìn)行維護(hù)。運(yùn)行管理過程控制a) 建立操作規(guī)程將操作過程或流程規(guī)范化， 并形成指導(dǎo)運(yùn)行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。b) 操作過程記錄對運(yùn)行管理人員按照操作規(guī)程執(zhí)行的操作過程形成相關(guān)的記錄文件，可以是日志文件，記錄操作的時(shí)間和人員、正?；虍惓５刃畔ⅰ?精品文檔5.7.4.3 變更管理配置通過信息管理管理平臺(tái) , 對系統(tǒng)變更流程進(jìn)行控制, 包括 :變更內(nèi)容審核和審批對變更目的、內(nèi)容、影響、時(shí)間

10、和地點(diǎn)以及人員權(quán)限進(jìn)行審核，以確保變更合理、科學(xué)的實(shí)施。按照機(jī)構(gòu)建立的審批流程對變更方案進(jìn)行審批。建立變更過程日志按照批準(zhǔn)的變更方案實(shí)施變更， 對變更過程各類系統(tǒng)狀態(tài)、 各種操作活動(dòng)等建立操作記錄或日志。形成變更結(jié)果報(bào)告收集變更過程的各類相關(guān)文檔， 整理、分析和總結(jié)各類數(shù)據(jù)， 形成變更結(jié)果報(bào)告，并歸檔保存。活動(dòng)輸出：變更結(jié)果報(bào)告。對于二級或二級以上的系統(tǒng) , 應(yīng)嚴(yán)格遵循變更管理過程控制規(guī)定 , 在信息管理管理平臺(tái)中 , 遵循變更流程進(jìn)行操作。5.7.4.4 運(yùn)行狀態(tài)監(jiān)控安全關(guān)鍵點(diǎn)分析對影響系統(tǒng)、業(yè)務(wù)安全性的關(guān)鍵要素進(jìn)行分析，確定安全狀態(tài)監(jiān)控的對象，這些對象可能包括主機(jī)、服務(wù)器、存儲(chǔ)、防火墻、防

11、病毒、核心路由器、核心交換機(jī)、主要通信線路、 關(guān)鍵服務(wù)器或客戶端等系統(tǒng)范圍內(nèi)的對象；也可能包括安全標(biāo)準(zhǔn)和法律法規(guī)等外部對象。形成監(jiān)控對象列表根據(jù)確定的監(jiān)控對象， 分析監(jiān)控的必要性和可行性、 監(jiān)控的開銷和成本等因素，形成監(jiān)控對象列表?；顒?dòng)輸出：監(jiān)控對象列表。狀態(tài)分析對安全狀態(tài)信息進(jìn)行分析， 及時(shí)發(fā)現(xiàn)險(xiǎn)情、 隱患或安全事件， 并記錄這些安全事件，分析其發(fā)展趨勢。影響分析根據(jù)對安全狀況變化的分析， 分析這些變化對安全的影響， 通過判斷他們的影響決定是否有必要作出響應(yīng)。.精品文檔形成安全狀態(tài)分析報(bào)告根據(jù)安全狀態(tài)分析和影響分析的結(jié)果， 形成安全狀態(tài)分析報(bào)告， 上報(bào)安全事件或提出變更需求?；顒?dòng)輸出：安全狀

12、態(tài)分析報(bào)告。對于安全保護(hù)等級為三級的信息管理， 需要對系統(tǒng)的運(yùn)行狀態(tài)、 容量使用情況等嚴(yán)格進(jìn)行實(shí)時(shí)監(jiān)控。5.7.4.5 安全事件處置安全事件調(diào)查和分析針對各類安全事件列表， 調(diào)查本系統(tǒng)內(nèi)安全事件的類型、 安全事件對業(yè)務(wù)的影響范圍和程度以及安全事件的敏感程度等信息， 分析對安全事件進(jìn)行響應(yīng)恢復(fù)所需要的時(shí)間。安全事件等級劃分根據(jù)以上調(diào)查和分析結(jié)果， 根據(jù)信息安全事件造成的損失程度， 信息管理遭到破壞后對國家安全、 社會(huì)秩序、 公共利益以及公民、 法人和其他組織的合法權(quán)益的危害程度等因素，確定事件等級，制定安全事件的報(bào)告程序。三級以上的信息管理 , 需嚴(yán)格遵循安全事件處理流程 , 即時(shí)調(diào)查解決問題并

13、進(jìn)行上報(bào)。5.7.5信息管理中止5.7.5.1 信息管理中止流程.精品文檔圖 3 信息管理中止流程5.7.5.2 信息轉(zhuǎn)移、暫存和清除識(shí)別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn)根據(jù)要終止的信息管理的信息資產(chǎn)清單， 識(shí)別重要信息資產(chǎn)、 所處的位置以及當(dāng)前狀態(tài)等，列出需轉(zhuǎn)移、暫存和清除的信息資產(chǎn)的清單。信息資產(chǎn)轉(zhuǎn)移、暫存和清除根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過程。如果是涉密信息，應(yīng)該按照國家相關(guān)部門的規(guī)定進(jìn)行轉(zhuǎn)移、暫存和清除。處理過程記錄記錄信息轉(zhuǎn)移、暫存和清除的過程，包括參與的人員，轉(zhuǎn)移、暫存和清除的方式以及目前信息所處的位置等。5.7.5.3 設(shè)備遷移或廢棄軟硬件設(shè)備識(shí)別根據(jù)

14、要終止的信息管理的設(shè)備清單， 識(shí)別要被遷移或廢棄的硬件設(shè)備、 所處的位置以及當(dāng)前狀態(tài)等，列出需遷移、廢棄的設(shè)備的清單。制定硬件設(shè)備處理方案根據(jù)規(guī)定和實(shí)際情況制定設(shè)備處理方案， 包括重用設(shè)備、 廢棄設(shè)備、 敏感信息的清除方法等。處理方案審批包括重用設(shè)備、 廢棄設(shè)備、敏感信息的清除方法等的設(shè)備處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。設(shè)備處理和記錄根據(jù)設(shè)備處理方案對設(shè)備進(jìn)行處理， 如果是涉密信息的設(shè)備， 其處理過程應(yīng)符合國家相關(guān)部門的規(guī)定；記錄設(shè)備處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。5.7.5.4 存儲(chǔ)介質(zhì)的清除或銷毀識(shí)別要清除或銷毀的介質(zhì).精品文檔根據(jù)要終止的信息管理的存

15、儲(chǔ)介質(zhì)清單， 識(shí)別載有重要信息的存儲(chǔ)介質(zhì)、 所處的位置以及當(dāng)前狀態(tài)等，列出需清除或銷毀的存儲(chǔ)介質(zhì)清單。確定存儲(chǔ)介質(zhì)處理方法和流程根據(jù)存儲(chǔ)介質(zhì)所承載信息的敏感程度確定對存儲(chǔ)介質(zhì)的處理方式和處理流程。存儲(chǔ)介質(zhì)的處理包括數(shù)據(jù)清除和存儲(chǔ)介質(zhì)銷毀等。 對于存儲(chǔ)涉密信息的介質(zhì)應(yīng)按照國家相關(guān)部門的規(guī)定進(jìn)行處理。處理方案審批包括存儲(chǔ)介質(zhì)的處理方式和處理流程等的處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。存儲(chǔ)介質(zhì)處理和記錄根據(jù)存儲(chǔ)介質(zhì)處理方案對存儲(chǔ)介質(zhì)進(jìn)行處理， 記錄處理過程， 包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。5.8 外包安全管理應(yīng)加強(qiáng)對外包商、外包項(xiàng)目以及外包服務(wù)的安全管理。 進(jìn)行外包商資質(zhì)審

16、查、外包項(xiàng)目過程風(fēng)險(xiǎn)審計(jì)、 外包服務(wù)人員日常管理。 詳細(xì)管理制度及辦法可參考外包管理制度。5.9 信息安全風(fēng)險(xiǎn)培訓(xùn)及宣傳加強(qiáng)對全體員工的信息安全教育和培訓(xùn)，定期執(zhí)行信息安全風(fēng)險(xiǎn)教育培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力。培訓(xùn)對象應(yīng)包括但不限于：研發(fā)部、信息管理部、業(yè)務(wù)部門、審計(jì)部等。采取加強(qiáng)對客戶的信息安全風(fēng)險(xiǎn)宣傳教育工作，宣傳方式包括但不限于：網(wǎng)站信息安全風(fēng)險(xiǎn)知識(shí)宣傳；業(yè)務(wù)辦理單客戶關(guān)注事項(xiàng)；營業(yè)廳銀行相關(guān)知識(shí)宣傳教育。5.10信息安全事件處理為盡可能小地影響用戶和用戶業(yè)務(wù)的情況下使 IT 系統(tǒng)盡快恢復(fù)，從而維持良好的服務(wù)質(zhì)量和可用性級別， 本公司制定了信息安全事件響應(yīng)處理制度， 明確安全事件處理流程。對信息安全事件的處理應(yīng)滿足如下要求：.精品文檔信息管理安全事件報(bào)告制度和處理流程應(yīng)清晰、明確和完善；信息管理安全事件報(bào)告制度和處理流程應(yīng)遵從信息管理安全制度；信息管理安全事件應(yīng)進(jìn)行分級管理；信息管理安全事件響應(yīng)流程應(yīng)定期進(jìn)行演練；內(nèi)審部門應(yīng)對演練過程進(jìn)行審計(jì)；對演練中存在的問題應(yīng)及時(shí)進(jìn)行整改；信息管理安全事件制度中應(yīng)包括信息披露的相關(guān)要求，對披露對象和內(nèi)容應(yīng)進(jìn)行明確的規(guī)定。5.11信息安全審計(jì)內(nèi)外審計(jì)應(yīng)全程貫穿信息安全活動(dòng)， 包括信息安全管理制度的制定， 信息安全管理制度執(zhí)行情況，信息安全事件響應(yīng)流程，信息安全風(fēng)險(xiǎn)披露等：信息管