《银行信息资产管理办法模版.docx》由会员分享,可在线阅读,更多相关《银行信息资产管理办法模版.docx(6页珍藏版)》请在金锄头文库上搜索。
1、银行信息资产管理办法第一章 总 则第一条 为了加强对cc银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性,特制订本管理办法。第二条 本管理办法适用于我行总部及所辖支行。第三条 基本定义:本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。第二章 组织与管理第四条 科技发展部总经理是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。第五条 全体员工理解并遵守本管理办法定义的内容。第三章
2、 资产管理要求第六条 信息资产分类信息资产依其性质不同,分为5类:人员、硬件、软件、电子数据、书面文件,依序如下:人员:系指科技人员、外包服务人员、契约人员等。硬件:系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施,例如:服务器主机、个人计算机、不断电设备等。软件:系指自行开发或委托外部单位开发的应用系统程序、外购的软件包等,例如:应用系统、操作系统、软件包、工具程序等。电子数据:系指以电子形式存在的信息数据,例如:网络设定数据、备份文件等。书面文件:系指以纸本形式存在的文书数据、报表等相关信息,例如:规范、系统文件、用户手册、训练教材等。第七条 信息资产登记根据业务流程列出信息资产清
3、单并将每项资产的名称,资产编号,所处位置,资产价值,资产负责人等相关信息记录在信息资产登记表。第八条 信息资产分级保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。第四章 信息资产安全管理第九条 安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性以及已采用的安全措施都将对资产安全属性的达成程度产生影响。第十条 威胁是指对组织意图造成伤害或损失,不论是意外或是蓄意,人为或是天灾。资产容易受到许多威胁,这些威胁来自利于脆弱性。威胁可区分为天然
4、灾害、人为的威胁、非人为的威胁;针对要鉴别的每项资产分类,依序相对应的威胁如下:人员:无知、贪念、胁迫、惰性、人力不足、恶意、疏失、传染病。硬件:毁损、窃取、灾害、故障、破坏。软件:不法使用、错误、窜改、延迟、失效、损毁、伪造。电子数据:盗卖、泄漏、错误、窜改、损毁、伪造。书面文件:泄漏、窃取、窜改、伪造、遗失、损毁。第十一条 脆弱性亦称弱点,是组织信息安全的弱点或漏。基本上脆弱性本身不会造成伤害,而是威胁利用这些脆弱性对系统进行伤害。针对要鉴别的每项资产分类,依序相对应的弱点如下:人员:包括缺乏对外部团体与信息安全相关的规范、缺乏一般办公环境的安全控管、缺乏对人员的安全管理、缺乏对人员认知的
5、倡导及教育训练、缺乏工作权责划分与人员代理机制、缺乏信息安全事件通报及处理程序。硬件:缺乏对外部团体与信息安全相关的规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序的控管、缺乏网络安全管理、缺乏数据交换的安全管理、缺乏对储存媒体的安全控管、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏对实体资产的保护与管理、缺乏取得信息系统规划及验收程序、缺乏对取得服务的安全控管、缺乏对管制区域的安全管理、缺乏信息安全事件通报及处理程序、缺乏对场外工作的安全控管。软件:缺乏对外部团体与信息安全相关的规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序的控管、缺乏网络的安全管理、缺乏数据交换的安全管理、缺乏系
6、统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、缺乏取得资讯系统规划及验收程序、缺乏对信息系统存取的安全管理、缺乏系统联机的安全管理、缺乏信息系统开发的安全管理、缺乏对取得服务的安全控管、缺乏信息系统安全防护机制、缺乏信息安全事件通报及处理程序、缺乏对电子商务的安全控管、缺乏对场外工作的安全控管。电子数据:缺乏对外部团体与信息安全相关的规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序的控管、缺乏网络的安全管理、缺乏数据交换的安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、缺乏对实体资产的保护与管理、缺乏取得信息系统规划及验收程序、缺乏对信息系统存取的安全管理、缺
7、乏信息系统开发的安全管理、缺乏对取得服务的安全控管、缺乏信息安全事件通报及处理程序、缺乏对电子商务的安全控管。书面文件:缺乏对外部团体与信息安全相关的规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序的控管、缺乏数据交换的安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、缺乏对实体资产的保护与管理、缺乏对取得服务的安全控管、缺乏对管制区域之安全管理、缺乏信息安全事件通报及处理程序。第十二条 针对可能存在的威胁和脆弱性,本行在信息资产安全管理实际操作中,强调从五个部分进行保护,即:(1)物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,
8、电源备份和管理,设备的标识、使用、存放和管理等;(2)支撑系统:包括计算机系统、操作系统、数据库系统和通信系统;(3)网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;(4)应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;(5)管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。第五章 附则第十三条 本办法由科技信息部负责解释与修订。第十四条 本办法自发布之日起施行。
