信息安全風(fēng)險管理制度

1、信息安全風(fēng)險管理辦法北京國都信業(yè)科技有限公司2017 年 10 月前言本程序所規(guī)定的是北京國都信業(yè)科技有限公司企業(yè)的信息安全風(fēng)險管理原則，在具體實施過程中，各部門可結(jié)合本部門的實際情況，根據(jù)本程序的要求制定相應(yīng)的文件，以便指導(dǎo)本部門的實施操作。本制度自實施之日起，立即生效。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部起草。本制度由北京國都信業(yè)科技有限公司企業(yè)信息管理部歸口管理。北京國都信業(yè)科技有限公司1目的為規(guī)范北京國都信業(yè)科技有限公司企業(yè)（以下簡稱“本公司”）信息安全風(fēng)險管理體系，建立、健全信息安全管理制度，確定信息安全方針和目標(biāo)，全面覆蓋信息安全風(fēng)險點， 對信息安全風(fēng)險進行有效管理， 并

2、持續(xù)改進信息安全體系建設(shè)。2范圍本制度適用于本公司信息管理部信息安全風(fēng)險管理應(yīng)用及活動。3術(shù)語和定義無。4職責(zé)信息管理部作為本公司信息安全管理的主管部門，負(fù)責(zé)實施信息安全管理體系必要的程序并維持其有效運行，制定信息安全相關(guān)策略、制度、規(guī)定，對信息管理活動各環(huán)節(jié)進行安全監(jiān)督和檢查，信息安全培訓(xùn)、 宣傳，信息安全事件的響應(yīng)、處理及報告等工作。信息安全管理人員負(fù)責(zé)全行信息安全策略的執(zhí)行和推動。5管理規(guī)定5.1 信息安全管理內(nèi)容信息安全管理內(nèi)容應(yīng)覆蓋信息管理、信息管理相關(guān)的所有風(fēng)險點， 包括用戶管理、身份驗證、身份管理、用戶管理、風(fēng)險評估、信息資產(chǎn)管理、網(wǎng)絡(luò)安全、病毒防護、敏感數(shù)據(jù)交換等內(nèi)容。5.2

3、信息管理崗位設(shè)置為保證本公司信息安全管理， 設(shè)置信息管理部崗位分工及職責(zé)時，應(yīng)全面考慮信息管理工作實際需要及責(zé)任劃分，制定詳細的崗位分工及職責(zé)說明，對信息北京國都信業(yè)科技有限公司管理人員權(quán)限進行分級管理，信息管理關(guān)鍵崗位有設(shè)置ab 角。應(yīng)配備專職安全管理員，關(guān)鍵區(qū)域或部位的安全管理員符合機要人員管理要求，對涉密人員簽訂了保密協(xié)議。5.3 信息安全人員管理5.3.1人員雇傭安全管理信息管理人員的雇傭符合如下要求：信息管理人員的專業(yè)知識和業(yè)務(wù)水平達到本公司要求；詳細審核科技人員工作經(jīng)歷，信息管理人員應(yīng)無不良記錄；針對正式信息管理人員、臨時聘用或合同制信息管理人員及顧問，采取不同的管理措施。5.3.

4、2人員入職安全管理在員工工作職責(zé)說明書中除了要說明崗位的一般職責(zé)和規(guī)范以外，還要加入與此崗位相關(guān)的信息安全管理規(guī)范， 具體內(nèi)容參看各個安全管理規(guī)范中的適用范圍部分。人員入職必須簽訂保密協(xié)議， 在人員的入職培訓(xùn)內(nèi)容中應(yīng)該包括信息安全管理規(guī)范的相關(guān)內(nèi)容解釋和技術(shù)培訓(xùn)。5.3.3人員安全培訓(xùn)根據(jù)工作崗位對從業(yè)者的能力需求、 從業(yè)者本身的實際能力以及從業(yè)者所面臨信息安全風(fēng)險，確定培訓(xùn)內(nèi)容?？紤]不同層次的職責(zé)、能力、文化程度以及所面臨的風(fēng)險， 信息安全主管部門應(yīng)該根據(jù)培訓(xùn)需求組織培訓(xùn)，制定培訓(xùn)計劃， 培訓(xùn)計劃包括：培訓(xùn)項目、主要內(nèi)容、主要負(fù)責(zé)人、培訓(xùn)日程安排、培訓(xùn)方式等，培訓(xùn)前要寫好培訓(xùn)方案，并通知相關(guān)

5、人員，培訓(xùn)后要進行考核。5.3.4人員安全考核人事部門對人員進行的定期考核中應(yīng)該包括安全管理規(guī)范的相關(guān)內(nèi)容。5.3.5人員離職安全管理本公司人員離職手續(xù)中應(yīng)該包括如下安全相關(guān)的內(nèi)容：北京國都信業(yè)科技有限公司a) 收回所有的密碼，并確認(rèn)密碼的正確性；b) 收回所有的物理安全設(shè)備，包括鑰匙和證件；c) 收回所有工作資料，包括紙介質(zhì)和電子介質(zhì)；d) 進行調(diào)離談話，申明其調(diào)離后的保密義務(wù)；e) 離職后應(yīng)該立刻更改所有此離職人員曾掌握過的密碼或密鑰。對于本公司辭退人員， 必須在第一時間完成上述工作，通知其辭退后， 所有的工作交接內(nèi)容必須有專人陪同，需填寫工作交接單；對于辭退人員應(yīng)該跟蹤其工作動向， 采取

6、合理的手段阻止其就職于競爭對手組織，如保密協(xié)議中的條款。5.3.6外部人員訪問安全管理外部人員訪問要遵守本公司相關(guān)安全管理規(guī)定。對需要訪問本公司的外部人員發(fā)放通行證， 通行證應(yīng)該針對訪問地點的安全敏感度設(shè)置不同的安全級別。外部人員訪問敏感地點應(yīng)該有專人陪同。對于需要長時間訪問的外部人員應(yīng)該建立檔案，檔案應(yīng)與通行證對應(yīng)。外來人員攜帶電腦要接入企業(yè)網(wǎng)，必須征得信息管理部允許方可接入。員工有義務(wù)向外來人員說明網(wǎng)絡(luò)接入安全要求。5.4 信息資產(chǎn)風(fēng)險評估信息管理安全制度建設(shè)與信息管理安全風(fēng)險相結(jié)合，信息管理安全制度全面涵蓋了信息管理安全的風(fēng)險點，包括：安全管理策略、 制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、

7、文檔等方面，并針對信息資產(chǎn)進行了風(fēng)險程度評估，生成了信息資產(chǎn)風(fēng)險評估文件。5.5 信息管理制度密級管理應(yīng)根據(jù)制度的密級要求程度，對制度進行密級分級管理。5.6 信息管理安全分級應(yīng)根據(jù)信息管理的安全保護級別，對信息管理進行安全等級劃分管理，根據(jù)安全保護等級對信息管理進行相應(yīng)的管理措施。北京國都信業(yè)科技有限公司5.7 信息管理安全保護體系為更好的貫徹應(yīng)用系統(tǒng)的安全保護體系，建立了應(yīng)用系統(tǒng)的分類及分級保護體系，根據(jù)系統(tǒng)類別及級別進行安全評估，制定不同的防范措施， 對應(yīng)用系統(tǒng)按照重要程度實行等級保護。5.7.1信息管理分級為了更好地規(guī)范應(yīng)用系統(tǒng)保護措施， 根據(jù) 信息管理安全等級保護實施指南為本公司信息

8、管理進行了分級。 經(jīng)過定級，并上報給公安部門共有一個三級系統(tǒng)，七個二級系統(tǒng)。5.7.2分級保護措施5.7.3安全設(shè)計與實施在系統(tǒng)建設(shè)之初 , 根據(jù)該系統(tǒng)的安全保護定級, 按照信息管理安全總體方案的要求，結(jié)合信息管理安全建設(shè)項目計劃，分期分步落實安全措施, 如下圖 1。圖 1 安全設(shè)計與實施流程圖上圖為安全設(shè)計與實施的流程圖。對于系統(tǒng)的安全設(shè)計與實施流程，最重要的三個階段為：安全方案詳細設(shè)計階段、技術(shù)措施實現(xiàn)階段和管理措施實現(xiàn)階段。對于安全保護等級為三級的信息管理, 要求嚴(yán)格依據(jù)安全設(shè)計與實施流程,保證各階段的輸入和產(chǎn)出文件, 保證系統(tǒng)的安全性。北京國都信業(yè)科技有限公司5.7.4安全運行與維護5

9、.7.4.1 安全運行與維護階段工作流程圖 2 安全運行與維護階段工作流程5.7.4.2 運行管理控制運行維護職責(zé)對于信息安全保護等級為三級和二級的信息管理, 信息管理部配備專門的人員對其的運行進行維護。運行管理過程控制a) 建立操作規(guī)程將操作過程或流程規(guī)范化， 并形成指導(dǎo)運行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。b) 操作過程記錄對運行管理人員按照操作規(guī)程執(zhí)行的操作過程形成相關(guān)的記錄文件，可以是日志文件，記錄操作的時間和人員、正?；虍惓５刃畔?。北京國都信業(yè)科技有限公司5.7.4.3 變更管理配置通過信息管理管理平臺 , 對系統(tǒng)變更流程進行控制 , 包括: 變更內(nèi)容審核和審批對變更

10、目的、內(nèi)容、影響、時間和地點以及人員權(quán)限進行審核，以確保變更合理、科學(xué)的實施。按照機構(gòu)建立的審批流程對變更方案進行審批。建立變更過程日志按照批準(zhǔn)的變更方案實施變更， 對變更過程各類系統(tǒng)狀態(tài)、 各種操作活動等建立操作記錄或日志。形成變更結(jié)果報告收集變更過程的各類相關(guān)文檔，整理、分析和總結(jié)各類數(shù)據(jù)， 形成變更結(jié)果報告，并歸檔保存。活動輸出：變更結(jié)果報告。對于二級或二級以上的系統(tǒng), 應(yīng)嚴(yán)格遵循變更管理過程控制規(guī)定, 在信息管理管理平臺中 , 遵循變更流程進行操作。5.7.4.4 運行狀態(tài)監(jiān)控安全關(guān)鍵點分析對影響系統(tǒng)、業(yè)務(wù)安全性的關(guān)鍵要素進行分析，確定安全狀態(tài)監(jiān)控的對象，這些對象可能包括主機、服務(wù)器、

11、存儲、防火墻、防病毒、核心路由器、核心交換機、主要通信線路、 關(guān)鍵服務(wù)器或客戶端等系統(tǒng)范圍內(nèi)的對象；也可能包括安全標(biāo)準(zhǔn)和法律法規(guī)等外部對象。形成監(jiān)控對象列表根據(jù)確定的監(jiān)控對象， 分析監(jiān)控的必要性和可行性、 監(jiān)控的開銷和成本等因素，形成監(jiān)控對象列表。活動輸出：監(jiān)控對象列表。狀態(tài)分析對安全狀態(tài)信息進行分析， 及時發(fā)現(xiàn)險情、 隱患或安全事件， 并記錄這些安全事件，分析其發(fā)展趨勢。影響分析根據(jù)對安全狀況變化的分析， 分析這些變化對安全的影響， 通過判斷他們的影響決定是否有必要作出響應(yīng)。北京國都信業(yè)科技有限公司形成安全狀態(tài)分析報告根據(jù)安全狀態(tài)分析和影響分析的結(jié)果，形成安全狀態(tài)分析報告， 上報安全事件或提

12、出變更需求?；顒虞敵觯喊踩珷顟B(tài)分析報告。對于安全保護等級為三級的信息管理，需要對系統(tǒng)的運行狀態(tài)、 容量使用情況等嚴(yán)格進行實時監(jiān)控。5.7.4.5 安全事件處置安全事件調(diào)查和分析針對各類安全事件列表， 調(diào)查本系統(tǒng)內(nèi)安全事件的類型、 安全事件對業(yè)務(wù)的影響范圍和程度以及安全事件的敏感程度等信息，分析對安全事件進行響應(yīng)恢復(fù)所需要的時間。安全事件等級劃分根據(jù)以上調(diào)查和分析結(jié)果， 根據(jù)信息安全事件造成的損失程度，信息管理遭到破壞后對國家安全、 社會秩序、 公共利益以及公民、 法人和其他組織的合法權(quán)益的危害程度等因素，確定事件等級，制定安全事件的報告程序。三級以上的信息管理, 需嚴(yán)格遵循安全事件處理流程,

13、即時調(diào)查解決問題并進行上報。5.7.5信息管理中止5.7.5.1 信息管理中止流程北京國都信業(yè)科技有限公司圖 3 信息管理中止流程5.7.5.2 信息轉(zhuǎn)移、暫存和清除識別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn)根據(jù)要終止的信息管理的信息資產(chǎn)清單，識別重要信息資產(chǎn)、 所處的位置以及當(dāng)前狀態(tài)等，列出需轉(zhuǎn)移、暫存和清除的信息資產(chǎn)的清單。信息資產(chǎn)轉(zhuǎn)移、暫存和清除根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過程。如果是涉密信息，應(yīng)該按照國家相關(guān)部門的規(guī)定進行轉(zhuǎn)移、暫存和清除。處理過程記錄記錄信息轉(zhuǎn)移、暫存和清除的過程，包括參與的人員，轉(zhuǎn)移、暫存和清除的方式以及目前信息所處的位置等。5.7.5.3 設(shè)

14、備遷移或廢棄軟硬件設(shè)備識別根據(jù)要終止的信息管理的設(shè)備清單，識別要被遷移或廢棄的硬件設(shè)備、所處的位置以及當(dāng)前狀態(tài)等，列出需遷移、廢棄的設(shè)備的清單。制定硬件設(shè)備處理方案根據(jù)規(guī)定和實際情況制定設(shè)備處理方案，包括重用設(shè)備、 廢棄設(shè)備、 敏感信息的清除方法等。處理方案審批包括重用設(shè)備、 廢棄設(shè)備、敏感信息的清除方法等的設(shè)備處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。設(shè)備處理和記錄根據(jù)設(shè)備處理方案對設(shè)備進行處理，如果是涉密信息的設(shè)備， 其處理過程應(yīng)符合國家相關(guān)部門的規(guī)定；記錄設(shè)備處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。5.7.5.4 存儲介質(zhì)的清除或銷毀識別要清除或銷毀的介質(zhì)北京國都信業(yè)

15、科技有限公司根據(jù)要終止的信息管理的存儲介質(zhì)清單，識別載有重要信息的存儲介質(zhì)、 所處的位置以及當(dāng)前狀態(tài)等，列出需清除或銷毀的存儲介質(zhì)清單。確定存儲介質(zhì)處理方法和流程根據(jù)存儲介質(zhì)所承載信息的敏感程度確定對存儲介質(zhì)的處理方式和處理流程。存儲介質(zhì)的處理包括數(shù)據(jù)清除和存儲介質(zhì)銷毀等。對于存儲涉密信息的介質(zhì)應(yīng)按照國家相關(guān)部門的規(guī)定進行處理。處理方案審批包括存儲介質(zhì)的處理方式和處理流程等的處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。存儲介質(zhì)處理和記錄根據(jù)存儲介質(zhì)處理方案對存儲介質(zhì)進行處理，記錄處理過程， 包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。5.8 外包安全管理應(yīng)加強對外包商、外包項目以及外包服務(wù)

16、的安全管理。 進行外包商資質(zhì)審查、外包項目過程風(fēng)險審計、 外包服務(wù)人員日常管理。 詳細管理制度及辦法可參考外包管理制度。5.9 信息安全風(fēng)險培訓(xùn)及宣傳加強對全體員工的信息安全教育和培訓(xùn)，定期執(zhí)行信息安全風(fēng)險教育培訓(xùn)，不斷增強員工的信息安全意識和能力。培訓(xùn)對象應(yīng)包括但不限于： 研發(fā)部、信息管理部、業(yè)務(wù)部門、審計部等。采取加強對客戶的信息安全風(fēng)險宣傳教育工作，宣傳方式包括但不限于：網(wǎng)站信息安全風(fēng)險知識宣傳；業(yè)務(wù)辦理單客戶關(guān)注事項；營業(yè)廳銀行相關(guān)知識宣傳教育。5.10信息安全事件處理為盡可能小地影響用戶和用戶業(yè)務(wù)的情況下使it 系統(tǒng)盡快恢復(fù)，從而維持良好的服務(wù)質(zhì)量和可用性級別， 本公司制定了信息安全事件響應(yīng)處理制度，明確安全事件處理流程。對信息安全事件的處理應(yīng)滿足如下要求：北京國都信業(yè)科技有限公司信息管理安全事件報告制度和處理流程應(yīng)清晰、明確和完善；信息管理安全事件報告制度和處理流程應(yīng)遵從信息管理安全制度；信息管理安全事件應(yīng)進行分級管理；信息管理安全事件響應(yīng)流程應(yīng)定期進行演練；內(nèi)審部門應(yīng)對演練過程進行審計；對演練中存在的問題應(yīng)及時進行整改；信息管理安全事件制度中應(yīng)包括信息披露的相關(guān)要求，對披露對象和內(nèi)容應(yīng)進行明確的規(guī)定。5.11信息安全審計內(nèi)外審計應(yīng)全程貫穿信息安全活動，包括信息安全管理制度的制定， 信息安全管理制度執(zhí)行情況，信息安全事件響應(yīng)流程，信息安全風(fēng)險披露等：信