信息安全管理策略

信息安全管理策略為滿足XX銀行(以下簡(jiǎn)稱“我行”)信息安全管理、信息安全保障和合規(guī)的需要，根據(jù)《XX銀行信息安全管理方針》，特制訂本管理策略。目的是指導(dǎo)我行通過(guò)各項(xiàng)管理制度與措施，識(shí)別各方面的信息安全風(fēng)險(xiǎn)，并采取適當(dāng)?shù)难a(bǔ)救措施，使風(fēng)險(xiǎn)水平降低到可以接受的使信息安全管理的發(fā)展方向和相關(guān)工作能夠滿足我行業(yè)務(wù)要求、國(guó)家法律和規(guī)定的要求。安全制度管理應(yīng)建立一套完善的、能夠滿足以上要求的文檔體系，并定期更新，發(fā)布到我行信息安全所有相關(guān)單位中。1.2策略一：建立和發(fā)布信息安全管理文檔體系使相關(guān)單位人員了解到信息安全管理文檔的內(nèi)容，安全工作有據(jù)可依。建立我行信息安全管理文檔體系，發(fā)布到相關(guān)單位。XX包括信息安全策略、制度和實(shí)施指南等，通過(guò)培訓(xùn)、會(huì)議、辦公系統(tǒng)或電子郵件等方式向相總體發(fā)布范圍包括與以上信息資產(chǎn)相關(guān)的我行所有部門、我行下屬機(jī)構(gòu)和關(guān)聯(lián)公司，以及與我行有關(guān)的集成商、軟件開(kāi)發(fā)商、產(chǎn)品提供商、顧問(wèn)、商業(yè)合作伙伴、臨時(shí)工作人員和其他等第三方機(jī)構(gòu)或人員。1.3策略二：更新安全制度安全制度能夠適應(yīng)我行信息安全管理因各方面情況變化而產(chǎn)生的變化，在長(zhǎng)期滿足要定期和不定期審閱和更新安全制度。由相關(guān)團(tuán)隊(duì)定期進(jìn)行安全制度的檢查、更新，或在信息系統(tǒng)與相關(guān)環(huán)境發(fā)生顯著變化時(shí)通過(guò)建立與組織相關(guān)的以下二個(gè)安全策略，促進(jìn)組織建立合理的信息安全管理組織結(jié)構(gòu)與功能，以協(xié)調(diào)、監(jiān)控安全目標(biāo)的實(shí)現(xiàn)。與組織有關(guān)的策略分內(nèi)部組織和外部組織兩部分來(lái)1.5策略一：在組織內(nèi)建立信息安全管理架構(gòu)在組織內(nèi)有效地管理信息安全。我行應(yīng)建立專門的信息安全組織體系，以管理信息安全事務(wù)，指導(dǎo)信息安全實(shí)踐。通過(guò)建立信息安全管理組織，啟動(dòng)和控制組織范圍內(nèi)的信息安全工作的實(shí)施，批準(zhǔn)信息安全方針、確定安全工作分工和相應(yīng)人員，以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。根據(jù)需要，還可以建立與外部安全專家或組織(包括相關(guān)權(quán)威人士)的聯(lián)系，以便跟蹤行業(yè)趨勢(shì)、各類標(biāo)準(zhǔn)和評(píng)估方法；當(dāng)處理信息安全事故時(shí)，提供合適的聯(lián)系人和聯(lián)系方式，以快速及時(shí)地對(duì)安全事件進(jìn)行響應(yīng)；鼓勵(lì)采用多學(xué)科方法來(lái)解決信息安全問(wèn)題。1.6策略二：管理外部組織對(duì)信息資產(chǎn)的訪問(wèn)確保被外部組織訪問(wèn)的信息資產(chǎn)得到了安全保護(hù)。組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于客戶、第三方的訪問(wèn)或引入外部各方的產(chǎn)品或服務(wù)而降低，任何外部各方對(duì)組織信息處理設(shè)施的訪問(wèn)、對(duì)信息資產(chǎn)的處理和通信，都應(yīng)采取有效的措施進(jìn)行安全控制。任何一個(gè)組織都不避免與外界有業(yè)務(wù)往來(lái)與信息溝通，經(jīng)常需要向外部用戶開(kāi)放其信息和信息處理設(shè)施，因此，需要對(duì)外部訪問(wèn)者給組織信息資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，根據(jù)風(fēng)險(xiǎn)水平，確定所需的控制。必要時(shí)，需要與外部組織與個(gè)人簽訂協(xié)議，并向其聲明組織的與策略。組織要有效地控制安全風(fēng)險(xiǎn)，首先要識(shí)別信息資產(chǎn)，并進(jìn)行科學(xué)而有效的分類，然后在各個(gè)管理層面對(duì)資產(chǎn)落實(shí)責(zé)任，采用恰當(dāng)?shù)目刂拼胧?duì)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)管理，本章通過(guò)以下二個(gè)策略實(shí)施對(duì)信息資產(chǎn)的有效管理。1.8策略一：為信息資產(chǎn)建立問(wèn)責(zé)制應(yīng)當(dāng)對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、建立資產(chǎn)清單和使用規(guī)則，明確定義信息資產(chǎn)責(zé)任人及其職責(zé)，為信息資產(chǎn)建立問(wèn)責(zé)制。對(duì)于我行的所有資產(chǎn)要標(biāo)識(shí)出責(zé)任人，通?？啥x出信息資產(chǎn)的所有者、管理者和使用者，并明確不同責(zé)任主體的職責(zé)。對(duì)信息資產(chǎn)的安全控制可以由信息資產(chǎn)所有者委派具體的管理者來(lái)承擔(dān)，但所有者和使用者仍對(duì)資產(chǎn)承擔(dān)適當(dāng)保護(hù)的責(zé)任。1.9策略二：對(duì)信息資產(chǎn)進(jìn)行分類通過(guò)對(duì)信息資產(chǎn)的分類，明確其可以得到適當(dāng)程度的保護(hù)。應(yīng)按照信息資產(chǎn)的價(jià)值、法律要求及對(duì)我行的敏感程度和關(guān)鍵程度進(jìn)行分類和進(jìn)行標(biāo)信息的分類及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響。確定資產(chǎn)的類別，進(jìn)行必要的標(biāo)識(shí)，對(duì)其進(jìn)行周期性評(píng)審，確保其與組織的內(nèi)外環(huán)境的變化相適應(yīng)，這些都應(yīng)是資產(chǎn)所有者的職責(zé)。我行的信息資產(chǎn)分類可以從機(jī)密性、完整性、可用性等三方面進(jìn)行評(píng)估，其保護(hù)級(jí)別也根據(jù)這三個(gè)方面得出。本節(jié)通過(guò)建立四個(gè)具體策略，以明確組織內(nèi)與人員任用相關(guān)的安全控制，以便對(duì)人力資源進(jìn)行有效的安全管理，包括內(nèi)部員工及與組織相關(guān)的外部人員的任用前、任用中、任用后相關(guān)的安全職責(zé)、行為規(guī)范。1.11策略一：人員任用前的管理在對(duì)人員正式任用前，要明確新員工、合同方人員和第三方與其崗位角色相匹配的安全責(zé)任，并進(jìn)行相關(guān)背景調(diào)查，以減少對(duì)信息資產(chǎn)非授權(quán)使用和濫用的風(fēng)險(xiǎn)。確保人員的安全職責(zé)已于任用前通過(guò)適當(dāng)?shù)膮f(xié)議及崗位說(shuō)明書加以明確說(shuō)明，并對(duì)新員工、合同方的有關(guān)背景進(jìn)行驗(yàn)證檢查，對(duì)第三方的訪問(wèn)權(quán)限加以明確聲明和嚴(yán)格管理。在新員工及其他外部人員正式進(jìn)入組織前，就明確其安全職責(zé)、強(qiáng)調(diào)安全責(zé)任、進(jìn)行背景調(diào)查，這在信息安全管理中具有重要的意義。通過(guò)對(duì)所有應(yīng)聘者、合同方人員進(jìn)行必要篩選，對(duì)第三方用戶加以限制，可以為組織的信息安全把好第一道關(guān)。員工、合同方人員和信息處理設(shè)施的第三方人員根據(jù)其安全角色和職責(zé)，要簽署相關(guān)協(xié)議，以明確聲明其對(duì)信息安我行的第三方人員主要有：借調(diào)或借用外部人員、軟件開(kāi)發(fā)人員以及其他外部服務(wù)人員1.12策略二：人員任用中的管理落實(shí)信息安全管理職責(zé)，確保我行的員工在整個(gè)任用期內(nèi)的行為都符合信息安全政策的。策略內(nèi)容：應(yīng)通過(guò)建立管理職責(zé)、必要的培訓(xùn)和獎(jiǎng)懲措施，使所有的員工、合同方人員和第三方人員了解工作中面臨的信息安全風(fēng)險(xiǎn)、相關(guān)責(zé)任和義務(wù)，并在日常工作中遵循組織的信息安全政策的要求。如果員工、合同方人員和第三方人員沒(méi)有意識(shí)到他們工作中應(yīng)當(dāng)承擔(dān)的安全職責(zé)，他們可能會(huì)有意或無(wú)意地對(duì)組織的信息安全造成破壞，因此，需要在信息安全管理職責(zé)方面，對(duì)員工加以有效的限制和必要的激勵(lì)，并持續(xù)進(jìn)行信息安全教育與培訓(xùn)，可以減少信息安全事故的發(fā)生。1.13策略三：任用的中止與變更當(dāng)任用關(guān)系中止或職責(zé)發(fā)生變化時(shí)，要建立規(guī)范的程序，確保凍結(jié)或取消員工、合同方人員和第三方人員所擁有的、與其目前職責(zé)不相符的對(duì)我行信息資產(chǎn)的使用權(quán)。從我行退出的員工、合同方人員和第三方人員要?dú)w還其所使用的設(shè)備，并刪除他們對(duì)我行信息及信息系統(tǒng)的所有使用權(quán)；對(duì)于職責(zé)發(fā)生變化的員工、合同方人員和第三方人員，按照“最小授權(quán)”原則，要對(duì)其所擁有的信息資產(chǎn)訪問(wèn)權(quán)做相應(yīng)的變更。信息資產(chǎn)總是與特定的使用主體相關(guān)，當(dāng)使用主體的職責(zé)發(fā)生變化時(shí)，與其職責(zé)相關(guān)的訪問(wèn)權(quán)限應(yīng)當(dāng)及時(shí)做出相應(yīng)變化。在實(shí)施此策略時(shí)，負(fù)責(zé)信息安全的管理人員需要與負(fù)責(zé)人力資源的管理人員要協(xié)作與溝通，共同負(fù)責(zé)對(duì)員工及合同方人員的任用終止處理；對(duì)于合同方的終止職責(zé)處理，要與合同當(dāng)資產(chǎn)的訪問(wèn)權(quán)和使用權(quán)發(fā)生變更及我行人員及運(yùn)行發(fā)生變化時(shí)，要及時(shí)通知各相關(guān)本章的以下二個(gè)策略主要是保護(hù)我行的信息、信息系統(tǒng)和基礎(chǔ)設(shè)施等免受非法的物理訪1.15策略一：建立物理安全區(qū)域策略目標(biāo)：重要的或敏感的信息處理設(shè)施要放置在安全區(qū)域內(nèi)，建立適當(dāng)?shù)陌踩琳虾腿肟诳刂疲谖锢砩媳苊夥鞘跈?quán)訪問(wèn)、干擾；同時(shí)，需要建立必要的措施防止自然災(zāi)害和人為破壞造成的損失?？梢酝ㄟ^(guò)在我行邊界和信息處理設(shè)施周圍設(shè)置一個(gè)或多個(gè)物理屏障來(lái)實(shí)現(xiàn)對(duì)安全區(qū)域的物理保護(hù)；安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問(wèn)；為重要的工作區(qū)域、公共訪問(wèn)區(qū)、貨物交接區(qū)的安全工作建立規(guī)范與指南。還應(yīng)采取措施防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然災(zāi)難或人為災(zāi)1.16策略二：保證設(shè)備安全應(yīng)保護(hù)設(shè)備免受物理的和環(huán)境的威脅。防止設(shè)備的丟失、損壞、失竊或危及資產(chǎn)安全以及造成我行活動(dòng)的中斷。策略說(shuō)明：對(duì)設(shè)備(包括離開(kāi)我行使用和財(cái)產(chǎn)移動(dòng))的保護(hù)是減少未授權(quán)訪問(wèn)信息的風(fēng)險(xiǎn)和防止丟失或損壞所必需的，還應(yīng)當(dāng)考慮設(shè)備安放位置和報(bào)廢處置方法的安全性。同時(shí)，還需要專門的控制用來(lái)防止物理威脅以及保護(hù)支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))，及考慮采取措施保證電源布纜和通信布纜免受竊聽(tīng)或損壞。本章通過(guò)建立以下九個(gè)策略，確保我行對(duì)通信和操作過(guò)程進(jìn)行有效的安全管理，通過(guò)促進(jìn)我行建立信息處理設(shè)施的管理職責(zé)，開(kāi)發(fā)適當(dāng)?shù)牟僮骱褪鹿侍幚沓绦?，以降低非授?quán)使用和濫用系統(tǒng)的風(fēng)險(xiǎn)，總體目標(biāo)是確保員工能正確、安全地操作信息處理設(shè)施。1.18策略一：建立操作職責(zé)和程序確保正確、安全的操作信息處理設(shè)施。應(yīng)當(dāng)為所有的信息處理設(shè)施建立必要的管理和操作的職責(zé)及程序。與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動(dòng)應(yīng)具備形成文件的程序，例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序、備份、設(shè)備維護(hù)、介質(zhì)處理、計(jì)算機(jī)機(jī)房、郵件處置管理和物理安全等；對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制；應(yīng)實(shí)施責(zé)任分割，以減少疏忽或故意誤用系統(tǒng)的風(fēng)險(xiǎn)；為了減少意外變更或未授權(quán)訪問(wèn)運(yùn)行軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)，應(yīng)分離開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施。1.19策略二：管理第三方服務(wù)在符合雙方商定的協(xié)議下，保證第三方在實(shí)施服務(wù)過(guò)程中，保持信息安全和服務(wù)交付的我行應(yīng)檢查第三方服務(wù)協(xié)議的實(shí)施，監(jiān)視協(xié)議執(zhí)行的符合性，并管理服務(wù)變更，以確保交付的服務(wù)滿足與第三方商定的所有要求。第三方交付的服務(wù)應(yīng)包括商定的安全計(jì)劃、服務(wù)定義和服務(wù)管理各方面；我行應(yīng)當(dāng)定期監(jiān)督、檢查和審核第三方提供的服務(wù)、報(bào)告和記錄，對(duì)服務(wù)變更進(jìn)行有效管理；我行還應(yīng)當(dāng)確保第三方保持足夠的服務(wù)能力和可用性計(jì)劃，以確保商定的服務(wù)在大的服務(wù)故障或?yàn)?zāi)難后1.20策略三：系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小。為確保足夠能力和資源的可用性，以提供所需的系統(tǒng)性能，需要預(yù)先對(duì)系統(tǒng)進(jìn)行規(guī)劃和準(zhǔn)備工作；應(yīng)做出對(duì)于未來(lái)容量需求的預(yù)測(cè)，以減少系統(tǒng)過(guò)載的風(fēng)險(xiǎn)；新系統(tǒng)的運(yùn)行要求應(yīng)在驗(yàn)收和使用之前建立、形成文件并進(jìn)行測(cè)試。對(duì)于每一個(gè)新的和正在進(jìn)行的信息處理活動(dòng)都應(yīng)識(shí)別容量要求，確保在必要時(shí)及時(shí)改進(jìn)系統(tǒng)的可用性和效率。對(duì)系統(tǒng)未來(lái)容量的推測(cè)應(yīng)考慮新業(yè)務(wù)、系統(tǒng)要求以及我行信息當(dāng)前處能力及未來(lái)發(fā)展的趨勢(shì)。管理人員要確保驗(yàn)收新系統(tǒng)的要求和準(zhǔn)則被明確地定義，形成文件并經(jīng)過(guò)測(cè)試。新信息系統(tǒng)升級(jí)和新版本只有在獲得正式驗(yàn)收后，才能作為產(chǎn)品。1.21策略四：防范惡意和移動(dòng)代碼保護(hù)軟件和信息的完整性。我行應(yīng)采取預(yù)防措施，以防范和檢測(cè)惡意代碼和未授權(quán)的移動(dòng)代碼引入到我行的信息處軟件和信息處理設(shè)施易感染惡意代碼(例如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬和邏輯炸彈)，要讓用戶了解惡意代碼的危險(xiǎn)。管理人員要實(shí)施適當(dāng)?shù)目刂拼胧苑婪?、檢測(cè)并1.22策略五：備份保持信息和信息處理設(shè)施的完整性及可用性。應(yīng)按照已設(shè)的備份策略，定期對(duì)我行的重要信息和軟件進(jìn)行備份，并定期進(jìn)行恢復(fù)測(cè)應(yīng)提供足夠的備份設(shè)施，以確保所有必要的信息和軟件能在災(zāi)難或介質(zhì)故障后進(jìn)行恢復(fù)。為使備份和恢復(fù)過(guò)程更容易，備份可安排為自動(dòng)進(jìn)行；各個(gè)系統(tǒng)的備份計(jì)劃應(yīng)定期測(cè)試以確保他們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求；對(duì)于重要的系統(tǒng)，備份計(jì)劃應(yīng)包括在發(fā)生災(zāi)難時(shí)恢復(fù)整個(gè)系統(tǒng)所必需的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)；應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對(duì)要永久保存的檔案拷貝的任何要求。1.23策略六：網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。應(yīng)對(duì)我行的網(wǎng)絡(luò)進(jìn)行充分的管理和控制，以防范非法訪問(wèn)網(wǎng)絡(luò)信息與非授權(quán)連接網(wǎng)絡(luò)服務(wù)，保護(hù)信息與信息服務(wù)的安全。加強(qiáng)網(wǎng)絡(luò)管理與控制，以防范威脅、保持使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全，包括信息傳輸；應(yīng)識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)和管理要求，并包含在網(wǎng)絡(luò)服務(wù)協(xié)議中，無(wú)論這種服務(wù)是由內(nèi)部提供的還是外包的。1.24策略七：對(duì)存儲(chǔ)介質(zhì)的處理防止由于對(duì)存儲(chǔ)介質(zhì)管理不當(dāng)，造成未授權(quán)泄漏、修改、移動(dòng)或損壞，并對(duì)業(yè)務(wù)活動(dòng)造成不利影響。儲(chǔ)介質(zhì)中的數(shù)據(jù)和系統(tǒng)文件免遭未授權(quán)泄露、修改和破壞，應(yīng)建立適當(dāng)?shù)氖褂?、保存、刪除和銷毀的操作策略和相關(guān)程序。1.25策略八：信息交換保護(hù)在我行內(nèi)及與外部團(tuán)體進(jìn)行信息和軟件交換的安全。我行內(nèi)及我行與外部團(tuán)隊(duì)的信息和軟件的交換應(yīng)當(dāng)基于正式的交換策略，采取必要的安全控制措施，按照交換協(xié)議執(zhí)行，同時(shí)還應(yīng)服從任何相關(guān)法律法規(guī)的要求。如果在使用信息交換設(shè)施時(shí)缺乏安全意識(shí)、必要的策略和安全控制措施，可能會(huì)造成重要信息的泄露；如果通信設(shè)施失靈、過(guò)載或中斷，則可能中斷業(yè)務(wù)運(yùn)行并損壞信息；如果上述通信設(shè)施被未授權(quán)用戶所訪問(wèn)，也可能損害信息。因此，要建立策略和程序，以保護(hù)信息交換過(guò)程中信息和包含信息的物理介質(zhì)的安全。1.26策略九：系統(tǒng)監(jiān)測(cè)策略目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。應(yīng)對(duì)信息系統(tǒng)進(jìn)行監(jiān)測(cè)，記錄信息安全事件，并使用操作員日志和故障日志以確保識(shí)別出信息系統(tǒng)的問(wèn)題。應(yīng)建立監(jiān)測(cè)信息處理系統(tǒng)使用的策略與程序，定期評(píng)審監(jiān)測(cè)活動(dòng)的結(jié)果；通過(guò)系統(tǒng)操作日志、錯(cuò)誤日志記錄系統(tǒng)操作者的活動(dòng)和系統(tǒng)出現(xiàn)錯(cuò)誤的情況，以監(jiān)測(cè)安全事件；我行的監(jiān)測(cè)和日志記錄活動(dòng)應(yīng)遵守所有相關(guān)法律的要求，并要防止對(duì)日志的非授權(quán)變更和刪除。訪問(wèn)控制是對(duì)主體訪問(wèn)客體的權(quán)限或能力的一種限制，分為物理訪問(wèn)控制邏輯訪問(wèn)控制。物理訪問(wèn)控制在“物理與環(huán)境安全策略”一章中已有涉及，在這里的訪問(wèn)控制主要是指邏輯訪問(wèn)控制。在網(wǎng)絡(luò)廣泛互聯(lián)的今天，采用技術(shù)與管理手段建立邏輯訪問(wèn)控制己是保障信息安全的重要手段，本章通過(guò)建立以下八個(gè)策略，以推動(dòng)我行對(duì)訪問(wèn)控制的有效安全管理。1.28策略一：根據(jù)業(yè)務(wù)要求進(jìn)行訪問(wèn)控制建立必要的規(guī)則，控制用戶對(duì)信息的訪問(wèn)。應(yīng)在我行業(yè)務(wù)和安全要求的基礎(chǔ)上，控制對(duì)信息、信息處理設(shè)施和業(yè)務(wù)過(guò)程的訪問(wèn)。我行需要將滿足業(yè)務(wù)需要的訪問(wèn)控制規(guī)則向用戶和服務(wù)提供者明確地加以說(shuō)明；我行應(yīng)清晰地?cái)⑹雒總€(gè)用戶或一組用戶的訪問(wèn)控制規(guī)則和權(quán)利，應(yīng)當(dāng)把邏輯訪問(wèn)控制和物理訪問(wèn)控制綜合起來(lái)考慮；訪問(wèn)控制規(guī)則應(yīng)由正式的程序支持，并清晰地定義職責(zé)和范圍。1.29策略二：用戶訪問(wèn)管理確保只有授權(quán)用戶才能訪問(wèn)系統(tǒng)，預(yù)防對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)。應(yīng)建立正式的程序，來(lái)控制對(duì)信息系統(tǒng)和服務(wù)的用戶訪問(wèn)權(quán)的分配。訪問(wèn)控制程序應(yīng)涵蓋用戶訪問(wèn)生命周期內(nèi)的各個(gè)階段，從新用戶初始注冊(cè)、日常使用，到不再需要訪問(wèn)信息系統(tǒng)和服務(wù)時(shí)的用戶帳號(hào)的最終撤銷；應(yīng)特別注意對(duì)特權(quán)用戶的分配加1.30策略三：用戶職責(zé)防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問(wèn)和其他危害的行為。應(yīng)使用戶認(rèn)知其維護(hù)有效的訪問(wèn)控制的職責(zé)，特別是關(guān)于口令使用和無(wú)人值守的用戶設(shè)已授權(quán)用戶的合作對(duì)實(shí)現(xiàn)有效的安全十分重要，首先應(yīng)要求用戶在選擇及使用口令和保護(hù)無(wú)人值守的用戶設(shè)備方面，遵循良好的安全習(xí)慣；實(shí)施桌面清空和屏幕清空策略以降低未授權(quán)訪問(wèn)或破壞紙、介質(zhì)和信息處理設(shè)施的風(fēng)險(xiǎn)。1.31策略四：網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)服務(wù)的非授權(quán)訪問(wèn)。對(duì)內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)均應(yīng)加以控制，以確保我行內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的接口進(jìn)行有效的控制或隔離；對(duì)網(wǎng)絡(luò)環(huán)境中用戶和設(shè)備身份應(yīng)用了合適的鑒別機(jī)制；用戶對(duì)我行信息服務(wù)的訪問(wèn)已根據(jù)控制規(guī)則和業(yè)務(wù)要求進(jìn)行了限制。與網(wǎng)絡(luò)服務(wù)的未授權(quán)和不安全連接可以影響整個(gè)組織。對(duì)于敏感或關(guān)鍵業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)連接或與高風(fēng)險(xiǎn)位置的用戶的網(wǎng)絡(luò)連接而言，采取嚴(yán)格的控制措施就顯得特別重要。控制大型網(wǎng)絡(luò)的安全的有效方法是將該網(wǎng)絡(luò)分成獨(dú)立的邏輯網(wǎng)絡(luò)域，將網(wǎng)絡(luò)隔離成若干域的準(zhǔn)則應(yīng)基于風(fēng)險(xiǎn)評(píng)估和每個(gè)域內(nèi)的不同訪問(wèn)控制策略和訪問(wèn)要求，還要考慮到相關(guān)成本和加入適合的網(wǎng)絡(luò)路由或網(wǎng)關(guān)技術(shù)的性能影響。由于無(wú)線網(wǎng)的邊界很難定義，非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)較高，我行應(yīng)特別加強(qiáng)對(duì)無(wú)線網(wǎng)的管1.32策略五：操作系統(tǒng)訪問(wèn)控制對(duì)操作系統(tǒng)的非授權(quán)訪問(wèn)。應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問(wèn)，這些措施包括但不限于：按照已定義的訪問(wèn)控制策略鑒別授權(quán)用戶；記錄成功和失敗的系統(tǒng)鑒別企圖；記錄專用系統(tǒng)特殊權(quán)限的使用；當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)；提供合適的身份鑒別手段；必要時(shí)，限制用戶的連一般而言，目前的各種操作系統(tǒng)都加強(qiáng)了訪問(wèn)控制的功能，我行應(yīng)當(dāng)盡量啟用操作系統(tǒng)提供的訪問(wèn)控制功能。只有當(dāng)操作系統(tǒng)訪問(wèn)控制功能不能滿足業(yè)務(wù)需要時(shí)，才尋求專門訪問(wèn)1.33策略六：應(yīng)用系統(tǒng)和信息訪問(wèn)控制防止對(duì)應(yīng)用系統(tǒng)和信息的非授權(quán)訪問(wèn)。對(duì)應(yīng)用軟件和信息的邏輯訪問(wèn)只限于已授權(quán)的用戶，應(yīng)用系統(tǒng)的措施包括但不限于：按照定義的訪問(wèn)控制策略，控制用戶訪問(wèn)信息和應(yīng)用系統(tǒng)功能；防止能夠越過(guò)系統(tǒng)控制或應(yīng)用控制的任何實(shí)用程序、操作系統(tǒng)軟件和惡意軟件進(jìn)行未授權(quán)訪問(wèn)；不損壞共享信息資源的其應(yīng)根據(jù)規(guī)定的訪問(wèn)控制策略，限制用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)。對(duì)訪問(wèn)的限制應(yīng)基于各個(gè)業(yè)務(wù)應(yīng)用要求，訪問(wèn)控制策略也應(yīng)與我行的訪問(wèn)策略一致。對(duì)敏感應(yīng)用1.34策略七：移動(dòng)計(jì)算和遠(yuǎn)程工作當(dāng)我行需要使用移動(dòng)計(jì)算和遠(yuǎn)程工作時(shí)，應(yīng)建立必要保護(hù)措施，以避免非保護(hù)的環(huán)境中當(dāng)使用移動(dòng)計(jì)算和通信設(shè)施時(shí)，例如，筆記本電腦、掌上機(jī)、智能卡和移動(dòng)電話，應(yīng)特別小心確保業(yè)務(wù)信息不被泄露。移動(dòng)計(jì)算的保護(hù)措施有物理保護(hù)、訪問(wèn)控制、密碼技術(shù)、備份和病毒預(yù)防的要求。對(duì)遠(yuǎn)程工作場(chǎng)地的合適保護(hù)應(yīng)到位，以防止偷竊設(shè)備和信息、未授權(quán)泄露信息、未授權(quán)遠(yuǎn)程訪問(wèn)我行內(nèi)部系統(tǒng)或?yàn)E用設(shè)施等。本章的六個(gè)安全策略旨在確定我行獲取、開(kāi)發(fā)、維護(hù)信息系統(tǒng)所應(yīng)遵守的關(guān)鍵控制點(diǎn)。在信息系統(tǒng)獲取和開(kāi)發(fā)過(guò)程中就需要加強(qiáng)對(duì)信息安全的管理與控制，只有集成在軟件開(kāi)1.36策略一：確定信息系統(tǒng)的安全需求策略目標(biāo)：確保將安全作為信息系統(tǒng)建設(shè)的重要組成部分。策略內(nèi)容：應(yīng)用系統(tǒng)的所有安全需求都需要在項(xiàng)目需求分析階段被確認(rèn)，并且作為一個(gè)信息系統(tǒng)的總體構(gòu)架的重要組成部分，要得到對(duì)其合理性的證明、并獲得用戶認(rèn)可，同時(shí)要記錄在案。信息系統(tǒng)安全包括基礎(chǔ)架構(gòu)軟件、外購(gòu)業(yè)務(wù)應(yīng)用軟件和用戶自主開(kāi)發(fā)的軟件的安全，信息系統(tǒng)的安全控制應(yīng)該在系統(tǒng)開(kāi)發(fā)設(shè)計(jì)階段予以實(shí)現(xiàn)，要確保安全性已構(gòu)成信息系統(tǒng)的一部分，我行應(yīng)該在信息系統(tǒng)開(kāi)發(fā)前，或在項(xiàng)目開(kāi)始階段，識(shí)別所有的安全要求，并作為系統(tǒng)設(shè)計(jì)不可缺少的一部分，進(jìn)行確認(rèn)與調(diào)整。1.37策略二：在應(yīng)用中建立安全措施避免應(yīng)用系統(tǒng)在運(yùn)行過(guò)程中發(fā)生故障，并防止在應(yīng)用軟件系統(tǒng)中的用戶數(shù)據(jù)的丟失、應(yīng)當(dāng)把適當(dāng)?shù)募夹g(shù)控制措施、查驗(yàn)追蹤和活動(dòng)日志等控制手段設(shè)計(jì)到應(yīng)用軟件系統(tǒng)中。這些措施應(yīng)當(dāng)包括對(duì)輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的檢驗(yàn)。要保證應(yīng)用系統(tǒng)的安全，需要在軟件開(kāi)發(fā)過(guò)程中，集成適當(dāng)?shù)陌踩刂萍夹g(shù)措施，而且要在應(yīng)用系統(tǒng)需求和應(yīng)用系統(tǒng)設(shè)計(jì)中進(jìn)行明確的表達(dá)。信息安全管理人員或IT審計(jì)人員需要在需求評(píng)審階段，著重檢查必要的輸入、處理和輸出控制措施是否集成在系統(tǒng)中。1.38策略三：實(shí)施密碼控制保護(hù)信息的保密性、完整性和有效性。對(duì)于面臨非授權(quán)訪問(wèn)威脅的信息，當(dāng)其它管理措施無(wú)法對(duì)其進(jìn)行有效保護(hù)時(shí)，應(yīng)當(dāng)用密碼系統(tǒng)和密碼技術(shù)進(jìn)行保護(hù)。為防止我行敏感信息的泄露，可以利用加密技術(shù)對(duì)其進(jìn)行處理后進(jìn)行存儲(chǔ)與傳輸；為防止重要信息被篡改或偽造，可以利用加密的辦法對(duì)信息的完整性進(jìn)行鑒別；在電子商務(wù)過(guò)程中，可以通過(guò)加密技術(shù)的應(yīng)用(如數(shù)字簽名)進(jìn)行交易雙方身份真實(shí)性認(rèn)證，并防止抵賴行1.39策略四：保護(hù)系統(tǒng)文件的安全應(yīng)當(dāng)維護(hù)系統(tǒng)文件中信息的完整性，這是應(yīng)用程序系統(tǒng)、用戶及開(kāi)發(fā)人員的共同責(zé)任。系統(tǒng)文件是一種全局文件，可視為所有用戶程序所用的文件(另一種解釋是一種僅供操作系統(tǒng)訪問(wèn)的文件)。系統(tǒng)文件面臨的典型威脅是使用錯(cuò)誤的程序版本，從而導(dǎo)致數(shù)據(jù)的錯(cuò)誤處理與數(shù)據(jù)破壞，以及由于測(cè)試目的使用操作數(shù)據(jù)而導(dǎo)致的信息泄露。因此要采取措施保1.40策略五：保證開(kāi)發(fā)和支持過(guò)程的安全維護(hù)應(yīng)用程序系統(tǒng)中的軟件和信息的安全。我行應(yīng)當(dāng)對(duì)項(xiàng)目和支持環(huán)境進(jìn)行嚴(yán)格控制，即對(duì)應(yīng)用系統(tǒng)、操作系統(tǒng)及軟件包的更改及軟件外包活動(dòng)進(jìn)行安全控制。在應(yīng)用系統(tǒng)的開(kāi)發(fā)與維護(hù)過(guò)程中，應(yīng)用程序的未授權(quán)修改、未進(jìn)行評(píng)審的操作系統(tǒng)的更改、未加限制的軟件包的更改等都會(huì)給我行的應(yīng)用系統(tǒng)帶來(lái)安全風(fēng)險(xiǎn)。所以要對(duì)應(yīng)用軟件開(kāi)發(fā)與支持過(guò)程中的安全加以控制。1.41策略六：對(duì)技術(shù)脆弱性進(jìn)行管理減少由利用公開(kāi)的技術(shù)脆弱點(diǎn)帶來(lái)的風(fēng)險(xiǎn)。應(yīng)及時(shí)獲得我行所使用的信息系統(tǒng)的技術(shù)脆弱點(diǎn)的信息，評(píng)估我行對(duì)此類技術(shù)脆弱點(diǎn)的保護(hù)，并采取適當(dāng)?shù)拇胧＜夹g(shù)脆弱點(diǎn)管理應(yīng)該以一種有效的、系統(tǒng)的、可反復(fù)的方式連同可確保其有效性的措施來(lái)實(shí)施。這些考慮應(yīng)包括在用操作系統(tǒng)和任何其它的應(yīng)用。安全事故就是能導(dǎo)致資產(chǎn)丟失與損害的任何事件，為把信息安全事件的損害降到最低的程度，追蹤并從事件中吸取教訓(xùn)，我行應(yīng)明確有關(guān)事故、故障和薄弱點(diǎn)的部門，并根據(jù)安全事件與故障的反應(yīng)過(guò)程建立一個(gè)報(bào)告、反應(yīng)、評(píng)價(jià)和懲戒的機(jī)制。1.43策略一：報(bào)告信息安全事件和系統(tǒng)弱點(diǎn)策略目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和系統(tǒng)弱點(diǎn)能得到及時(shí)報(bào)告，以便采取必要的糾正措策略內(nèi)容：我行應(yīng)建立有正式的報(bào)告信息安全事件和系統(tǒng)弱點(diǎn)的程序，并讓所有的員工、合同方人員和第三方人員加以了解和執(zhí)行。我行通過(guò)建立正式的信息安全事件報(bào)告程序，在收到信息安全事件和系統(tǒng)弱點(diǎn)報(bào)告后，可立即著手采取相應(yīng)措施對(duì)安全事件進(jìn)行響應(yīng)。報(bào)告程序應(yīng)建立報(bào)告信息安全事件的聯(lián)系點(diǎn)，使我行內(nèi)的每個(gè)人都知道這個(gè)聯(lián)系點(diǎn)，并確保該聯(lián)系點(diǎn)持續(xù)可用，并能提供充分且及時(shí)1.44策略二：信息安全事件管理和改進(jìn)確保使用持續(xù)有效的方法管理信息安全事件。一旦信息安全事件和弱點(diǎn)報(bào)告上來(lái)，應(yīng)該立即明確責(zé)任，按照規(guī)程進(jìn)行有效處理；我行還應(yīng)建立能夠量化和監(jiān)控信息安全事件的類型、數(shù)量、成本的機(jī)制。應(yīng)當(dāng)應(yīng)用一個(gè)連續(xù)性的改進(jìn)過(guò)程，對(duì)信息安全事件進(jìn)行響應(yīng)、監(jiān)視、評(píng)估和總體管理。從對(duì)信息安全事件評(píng)估中獲取的信息，應(yīng)該用來(lái)識(shí)別再發(fā)生的事件和重大影響的事件。如果需要證據(jù)的話，則應(yīng)該搜集證據(jù)以滿足法律的要求。制定和實(shí)施一個(gè)完整的業(yè)務(wù)持續(xù)計(jì)劃應(yīng)從理解自身業(yè)務(wù)的開(kāi)始，進(jìn)行業(yè)務(wù)影響分析和風(fēng)續(xù)戰(zhàn)略方針，然后規(guī)劃業(yè)務(wù)持續(xù)計(jì)劃，進(jìn)行計(jì)劃的測(cè)試與實(shí)施，最后進(jìn)行計(jì)劃的維護(hù)與更新，并通過(guò)審計(jì)保證計(jì)劃不斷改進(jìn)和完管理。1.46策略一：建立業(yè)務(wù)連續(xù)性