信息安全管理策略

-1-信息安全管理策略一.总则为满足XX银行（以下简称“我行”）信息安全管理、信息安全保障和合规的需要，根据《XX银行信息安全管理方针》，特制订本管理策略。目的是指导我行通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的补救措施，使风险水平降低到可以接受的程度。二.安全制度管理策略2.1目的使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到我行信息安全所有相关单位中。2.2策略一：建立和发布信息安全管理文档体系策略目标：使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。策略内容：建立我行信息安全管理文档体系，发布到相关单位。策略描述：-2-根据《XX银行信息安全管理方针》中的方针、原则和我行特点，制订出一套文档体系，包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相关单位发布。总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司，以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。2.3策略二：更新安全制度策略目标：安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。策略内容：定期和不定期审阅和更新安全制度。策略描述：由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。三.信息安全组织管理策略3.1目的通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。3.2策略一：在组织内建立信息安全管理架构策略目标：在组织内有效地管理信息安全。-3-策略内容：我行应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。策略描述：通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。3.3策略二：管理外部组织对信息资产的访问策略目标：确保被外部组织访问的信息资产得到了安全保护。策略内容：组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。策略说明：任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。-4-四.资产管理策略4.1目的组织要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，本章通过以下二个策略实施对信息资产的有效管理。4.2策略一：为信息资产建立问责制策略目标：对组织的信息资产建立责任，为实施适当保护奠定基础。策略内容：应当对所有信息资产进行识别、建立资产清单和使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责制。策略说明：对于我行的所有资产要标识出责任人，通常可定义出信息资产的所有者、管理者和使用者，并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担，但所有者和使用者仍对资产承担适当保护的责任。4.3策略二：对信息资产进行分类策略目标：通过对信息资产的分类，明确其可以得到适当程度的保护。策略内容：应按照信息资产的价值、法律要求及对我行的敏感程度和关键程度进行分类和进行标识。策略描述：-5-信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别，进行必要的标识，对其进行周期性评审，确保其与组织的内外环境的变化相适应，这些都应是资产所有者的职责。我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估，其保护级别也根据这三个方面得出。五.人员安全管理策略5.1目的本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。5.2策略一：人员任用前的管理策略目标：在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。策略内容：确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。策略说明：在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。-6-我行的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。5.3策略二：人员任用中的管理策略目标：落实信息安全管理职责，确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。策略内容：应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。策略说明：如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们可能会有意或无意地对组织的信息安全造成破坏，因此，需要在信息安全管理职责方面，对员工加以有效的限制和必要的激励，并持续进行信息安全教育与培训，可以减少信息安全事故的发生。5.4策略三：任用的中止与变更策略目标：当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。策略内容：从我行退出的员工、合同方人员和第三方人员要归还其所使用的设备，并删除他们对我行信息及信息系统的所有使用权；对于职责发生变化的员工、合同方人员和第三方人员，按照“最小授权”原则，要对其所拥有的信息资产访问权做相应的变更。策略说明：-7-信息资产总是与特定的使用主体相关，当使用主体的职责发生变化时，与其职责相关的访问权限应当及时做出相应变化。在实施此策略时，负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通，共同负责对员工及合同方人员的任用终止处理；对于合同方的终止职责处理，要与合同方代表进行协作，其他情况下的用户可能由他们的来处理。当资产的访问权和使用权发生变更及我行人员及运行发生变化时，要及时通知各相关方。六.物理与环境安全管理策略6.1目的本章的以下二个策略主要是保护我行的信息、信息系统和基础设施等免受非法的物理访问、自然灾害和环境危害。6.2策略一：建立物理安全区域策略目标：防止对我行的工作场所和信息的非授权物理访问、损坏和干扰。策略内容：重要的或敏感的信息处理设施要放置在安全区域内，建立适当的安全屏障和入口控制，在物理上避免非授权访问、干扰；同时，需要建立必要的措施防止自然灾害和人为破坏造成的损失。策略说明：可以通过在我行边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护；安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问；为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。-8-还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。6.3策略二：保证设备安全策略目标：应保护设备免受物理的和环境的威胁。策略内容：防止设备的丢失、损坏、失窃或危及资产安全以及造成我行活动的中断。策略说明：对设备（包括离开我行使用和财产移动）的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的，还应当考虑设备安放位置和报废处置方法的安全性。同时，还需要专门的控制用来防止物理威胁以及保护支持性设施（例如电、供水、排污、加热/通风和空调），及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。七.通信与运营管理策略7.1目的本章通过建立以下九个策略，确保我行对通信和操作过程进行有效的安全管理，通过促进我行建立信息处理设施的管理职责，开发适当的操作和事故处理程序，以降低非授权使用和滥用系统的风险，总体目标是确保员工能正确、安全地操作信息处理设施。7.2策略一：建立操作职责和程序策略目标：确保正确、安全的操作信息处理设施。策略内容：应当为所有的信息处理设施建立必要的管理和操作的职责及程序。-9-策略说明：与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等；对信息处理设施和系统的变更应加以控制；应实施责任分割，以减少疏忽或故意误用系统的风险；为了减少意外变更或未授权访问运行软件和业务数据的风险，应分离开发、测试和运行设施。7.3策略二：管理第三方服务策略目标：在符合双方商定的协议下，保证第三方在实施服务过程中，保持信息安全和服务交付的适当水平。策略内容：我行应检查第三方服务协议的实施，监视协议执行的符合性，并管理服务变更，以确保交付的服务满足与第三方商定的所有要求。策略说明：第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面；我行应当定期监督、检查和审核第三方提供的服务、报告和记录，对服务变更进行有效管理；我行还应当确保第三方保持足够的服务能力和可用性计划，以确保商定的服务在大的服务故障或灾难后继续得以保持。7.4策略三：系统规划和验收策略目标：将系统失效的风险降至最小。策略内容：为确保足够能力和资源的可用性，以提供所需的系统性能，需要预先对系统进行规划和准备工作；应做出对于未来容量需求的预测，以减少系统过载的风险；新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。策略说明：-10-对于每一个新的和正在进行的信息处理活动都应识别容量要求，确保在必要时及时改进系统的可用性和效率。对系统未来容量的推测应考虑新业务、系统要求以及我行信息当前处理能力及未来发展的趋势。管理人员要确保验收新系统的要求和准则被明确地定义，形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后，才能作为产品。7.5策略四：防范恶意和移动代码策略目标：保护软件和信息的完整性。策略内容：我行应采取预防措施，以防范和检测恶意代码和未授权的移动代码引入到我行的信息处理设施中来。策略说明：软件和信息处理设施易感染恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹），要让用户了解恶意代码的危险。管理人员要实施适当的控制措施，以防范、检测并删除恶意代码。7.6策略五：备份策略目标：保持信息和信息处理设施的完整性及可用性。策略内容：应按照已设的备份策略，定期对我行的重要信息和软件进行备份，并定期进行恢复测试。策略说明：应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。为使备份和恢复过程更容易，备份可安排为自动进行；各个系统的备份计划应定期测试以确保他们满足业务连续性计划的要求；对于重要的系统，备份计划应包括在发生灾难时恢复-11-整个系统所必需的所有系统信息、应用和数据