信息安全管理策略

《信息安全管理策略》由会员分享，可在线阅读，更多相关《信息安全管理策略（23页珍藏版）》请在金锄头文库上搜索。

1、信息安全管理方略一. 总则为满足X银行(如下简称“我行”)信息安全管理、信息安全保障和合规的需要，根据银行信息安全管理方针,特制定本管理方略。目的是指引我行通过各项管理制度与措施，辨认各方面的信息安全风险,并采用合适的补救措施,使风险水平减少到可以接受的限度。二. 安全制度管理方略2.1 目的使信息安全管理的发展方向和有关工作可以满足我行业务规定、国家法律和规定的规定。安全制度管理应建立一套完善的、可以满足以上规定的文档体系，并定期更新，发布到我行信息安全所有有关单位中。2.2 方略一：建立和发布信息安全管理文档体系 方略目的:使有关单位人员理解到信息安全管理文档的内容,安全工作有据可依。 方

2、略内容:建立我行信息安全管理文档体系,发布到有关单位。 方略描述:根据X银行信息安全管理方针中的方针、原则和我行特点，制定出一套文档体系,涉及信息安全方略、制度和实行指南等，通过培训、会议、办公系统或电子邮件等方式向有关单位发布。总体发布范畴涉及与以上信息资产有关的我行所有部门、我行下属机构和关联公司，以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合伙伙伴、临时工作人员和其她等第三方机构或人员。2.3 方略二：更新安全制度 方略目的：安全制度可以适应我行信息安全管理因各方面状况变化而产生的变化,在长期满足规定。 方略内容：定期和不定期审视和更新安全制度。 方略描述:由有关团队定期进

3、行安全制度的检查、更新,或在信息系统与有关环境发生明显变化时进行检查、更新。三. 信息安全组织管理方略3.1 目的通过建立与组织有关的如下二个安全方略,增进组织建立合理的信息安全管理组织构造与功能，以协调、监控安全目的的实现。与组织有关的方略分内部组织和外部组织两部分来描述。3.2 方略一:在组织内建立信息安全管理架构 方略目的: 在组织内有效地管理信息安全。 方略内容:我行应建立专门的信息安全组织体系,以管理信息安全事务,指引信息安全实践。 方略描述:通过建立信息安全管理组织，启动和控制组织范畴内的信息安全工作的实行,批准信息安全方针、拟定安全工作分工和相应人员,以及协调和评审整个组织安全的

4、实行。根据需要,还可以建立与外部安全专家或组织(涉及有关权威人士）的联系，以便跟踪行业趋势、各类原则和评估措施；当解决信息安全事故时，提供合适的联系人和联系方式，以迅速及时地对安全事件进行响应;鼓励采用多学科措施来解决信息安全问题。3.3 方略二：管理外部组织对信息资产的访问 方略目的： 保证被外部组织访问的信息资产得到了安全保护。 方略内容:组织的信息解决设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而减少,任何外部各方对组织信息解决设施的访问、对信息资产的解决和通信，都应采用有效的措施进行安全控制。 方略阐明：任何一种组织都不避免与外界有业务往来与信息沟通,常常需

5、要向外部顾客开放其信息和信息解决设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估,根据风险水平，拟定所需的控制。必要时，需要与外部组织与个人签订合同,并向其声明组织的信息安全方针与方略。四. 资产管理方略4.1 目的组织要有效地控制安全风险，一方面要辨认信息资产，并进行科学而有效的分类，然后在各个管理层面对资产贯彻责任,采用恰当的控制措施对信息资产进行风险管理,本章通过如下二个方略实行对信息资产的有效管理。4.2 方略一:为信息资产建立问责制 方略目的:对组织的信息资产建立责任,为实行合适保护奠定基本。 方略内容:应当对所有信息资产进行辨认、建立资产清单和使用规则，明拟定义信息

6、资产负责人及其职责,为信息资产建立问责制。 方略阐明:对于我行的所有资产要标记出负责人,一般可定义出信息资产的所有者、管理者和使用者，并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承当,但所有者和使用者仍对资产承当合适保护的责任。4.3 方略二：对信息资产进行分类 方略目的:通过对信息资产的分类,明确其可以得到合适限度的保护。 方略内容:应按照信息资产的价值、法律规定及对我行的敏感限度和核心限度进行分类和进行标记。 方略描述：信息的分类及有关保护控制要考虑到共享或限制信息的业务需求以及与这种需求有关的业务影响。拟定资产的类别,进行必要的标记，对其进行周期性

7、评审,保证其与组织的内外环境的变化相适应,这些都应是资产所有者的职责。我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估,其保护级别也根据这三个方面得出。五. 人员安全管理方略5.1 目的本节通过建立四个具体方略，以明确组织内与人员任用有关的安全控制，以便对人力资源进行有效的安全管理,涉及内部员工及与组织有关的外部人员的任用前、任用中、任用后有关的安全职责、行为规范。5.2 方略一：人员任用前的管理 方略目的:在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行有关背景调查,以减少对信息资产非授权使用和滥用的风险。 方略内容:保证人员的安全职责已

8、于任用前通过合适的合同及岗位阐明书加以明确阐明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。 方略阐明：在新员工及其她外部人员正式进入组织前,就明确其安全职责、强调安全责任、进行背景调查,这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方顾客加以限制,可觉得组织的信息安全把好第一道关。员工、合同方人员和信息解决设施的第三方人员根据其安全角色和职责,要签订有关合同,以明确声明其对信息安全的职责。我行的第三方人员重要有：借调或借用外部人员、软件开发人员以及其她外部服务人员等。5.3 方略二:人员任用中的管理 方略目的：贯彻信

9、息安全管理职责，保证我行的员工在整个任用期内的行为都符合信息安全政策的规定。 方略内容:应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员理解工作中面临的信息安全风险、有关责任和义务,并在平常工作中遵循组织的信息安全政策的规定。 方略阐明：如果员工、合同方人员和第三方人员没故意识到她们工作中应当承当的安全职责,她们也许会故意或无意地对组织的信息安全导致破坏，因此,需要在信息安全管理职责方面,对员工加以有效的限制和必要的鼓励,并持续进行信息安全教育与培训，可以减少信息安全事故的发生。5.4 方略三：任用的中断与变更 方略目的:当任用关系中断或职责发生变化时,要建立规范

10、的程序，保证冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。 方略内容:从我行退出的员工、合同方人员和第三方人员要归还其所使用的设备,并删除她们对我行信息及信息系统的所有使用权;对于职责发生变化的员工、合同方人员和第三方人员，按照“最小授权”原则,要对其所拥有的信息资产访问权做相应的变更。 方略阐明：信息资产总是与特定的使用主体有关，当使用主体的职责发生变化时，与其职责有关的访问权限应当及时做出相应变化。在实行此方略时,负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通，共同负责对员工及合同方人员的任用终结解决;对于合同方的终结职责解决，

11、要与合同方代表进行协作，其她状况下的顾客也许由她们的来解决。当资产的访问权和使用权发生变更及我行人员及运营发生变化时,要及时告知各有关方。六. 物理与环境安全管理方略6.1 目的本章的如下二个方略重要是保护我行的信息、信息系统和基本设施等免受非法的物理访问、自然灾害和环境危害。6.2 方略一：建立物理安全区域 方略目的:避免对我行的工作场合和信息的非授权物理访问、损坏和干扰。 方略内容：重要的或敏感的信息解决设施要放置在安全区域内,建立合适的安全屏障和入口控制,在物理上避免非授权访问、干扰；同步,需要建立必要的措施避免自然灾害和人为破坏导致的损失。 方略阐明：可以通过在我行边界和信息解决设施周

12、边设立一种或多种物理屏障来实现对安全区域的物理保护；安全区域应由适合的入口控制所保护,以保证只有授权的人员才容许访问；为重要的工作区域、公共访问区、货品交接区的安全工作建立规范与指南。还应采用措施避免火灾、洪水、地震、爆炸、社会动乱和其她形式的自然劫难或人为劫难带来的破坏。6.3 方略二：保证设备安全 方略目的:应保护设备免受物理的和环境的威胁。 方略内容：避免设备的丢失、损坏、失窃或危及资产安全以及导致我行活动的中断。 方略阐明：对设备（涉及离开我行使用和财产移动)的保护是减少未授权访问信息的风险和避免丢失或损坏所必需的,还应当考虑设备安放位置和报废处置措施的安全性。同步,还需要专门的控制用

13、来避免物理威胁以及保护支持性设施（例如电、供水、排污、加热/通风和空调)，及考虑采用措施保证电源布缆和通信布缆免受窃听或损坏。七. 通信与运营管理方略7.1 目的本章通过建立如下九个方略,保证我行对通信和操作过程进行有效的安全管理，通过增进我行建立信息解决设施的管理职责，开发合适的操作和事故解决程序，以减少非授权使用和滥用系统的风险,总体目的是保证员工能对的、安全地操作信息解决设施。7.2 方略一：建立操作职责和程序 方略目的:保证对的、安全的操作信息解决设施。 方略内容：应当为所有的信息解决设施建立必要的管理和操作的职责及程序。 方略阐明:与信息解决和通信设施有关的系统活动应具有形成文献的程

14、序,例如计算机启动和关机程序、备份、设备维护、介质解决、计算机机房、邮件处置管理和物理安全等;对信息解决设施和系统的变更应加以控制；应实行责任分割,以减少疏忽或故意误用系统的风险;为了减少意外变更或未授权访问运营软件和业务数据的风险，应分离开发、测试和运营设施。7.3 方略二:管理第三方服务 方略目的:在符合双方商定的合同下,保证第三方在实行服务过程中,保持信息安全和服务交付的合适水平。 方略内容:我行应检查第三方服务合同的实行,监视合同执行的符合性,并管理服务变更，以保证交付的服务满足与第三方商定的所有规定。 方略阐明:第三方交付的服务应涉及商定的安全筹划、服务定义和服务管理各方面;我行应当

15、定期监督、检查和审核第三方提供的服务、报告和记录，对服务变更进行有效管理；我行还应当保证第三方保持足够的服务能力和可用性筹划，以保证商定的服务在大的服务故障或劫难后继续得以保持。7.4 方略三：系统规划和验收 方略目的:将系统失效的风险降至最小。 方略内容：为保证足够能力和资源的可用性，以提供所需的系统性能,需要预先对系统进行规划和准备工作；应做出对于将来容量需求的预测,以减少系统过载的风险；新系统的运营规定应在验收和使用之前建立、形成文献并进行测试。 方略阐明:对于每一种新的和正在进行的信息解决活动都应辨认容量规定，保证在必要时及时改善系统的可用性和效率。对系统将来容量的推测应考虑新业务、系统规定以及我行信息目前解决能力及将来发展的趋势。管理人员要保证验收新系统的规定和准则被明确地定义，形成文献并通过测试。新信息系统升级和新版本只有在获得正式验收后,才干作为产品。7.5 方略四:防备歹意和移动代码 方略目的:保护软件和信息的完整性。 方略内容：我行应采用避免措施，以防备和检测歹意代码和未授权的移