信息安全管理策略

--10-信息安全治理策略一.總則為滿足XX銀行〔以下簡稱“我行”〕信息安全治理、信息安全保障和合規(guī)的需要，依據(jù)《XX銀行信息安全治理方針》，特制訂本治理策略。目的是指導(dǎo)我行通過各項治理制度與措施，識別各方面的信息安全風(fēng)險，并實行適當(dāng)?shù)难a救措施，使風(fēng)險水平降低到可以承受的程度。二.安全制度治理策略目的使信息安全治理的進展方向和相關(guān)工作能夠滿足我行業(yè)務(wù)要求、國家法律和規(guī)定的要求。安全制度治理應(yīng)建立一套完善的、能夠滿足以上要求的文檔體系，并定期更，公布到我行信息安全全部相關(guān)單位中。策略一：建立和公布信息安全治理文檔體系策略目標(biāo)：使相關(guān)單位人員了解到信息安全治理文檔的內(nèi)容，安全工作有據(jù)可依。策略內(nèi)容：建立我行信息安全治理文檔體系，公布到相關(guān)單位。策略描述：依據(jù)《XX銀行信息安全治理方針》中的方針、原則和我行特點，制訂出一套文檔體系，包括信息安全策略、制度和實施指南等，通過培訓(xùn)、會議、辦公系統(tǒng)或電子郵件等方式向相關(guān)單位公布?？傮w公布范圍包括與以上信息資產(chǎn)相關(guān)的我行全部部門、我行下屬機構(gòu)和關(guān)聯(lián)公司，以及與我行有關(guān)的集成商、軟件開發(fā)商、產(chǎn)品供給商、參謀、商業(yè)合作伙伴、臨時工作人員和其他等第三方機構(gòu)或人員。策略二：更安全制度策略目標(biāo)：安全制度能夠適應(yīng)我行信息安全治理因各方面狀況變化而產(chǎn)生的變化，在長期滿足要求。策略內(nèi)容：定期和不定期批閱和更安全制度。策略描述：由相關(guān)團隊定期進展安全制度的檢查、更，或在信息系統(tǒng)與相關(guān)環(huán)境發(fā)生顯著變化時進展檢查、更。三. 信息安全組織治理策略目的通過建立與組織相關(guān)的以下二個安全策略，促進組織建立合理的信息安全治理組織構(gòu)造與功能，以協(xié)調(diào)、監(jiān)控安全目標(biāo)的實現(xiàn)。與組織有關(guān)的策略分內(nèi)部組織和外部組織兩局部來描述。策略一：在組織內(nèi)建立信息安全治理架構(gòu)策略目標(biāo)：在組織內(nèi)有效地治理信息安全。策略內(nèi)容：我行應(yīng)建立特地的信息安全組織體系，以治理信息安全事務(wù)，指導(dǎo)信息安全實踐。策略描述：通過建立信息安全治理組織，啟動和掌握組織范圍內(nèi)的信息安全工作的實施，批準(zhǔn)信息安全方針、確定安全工作分工和相應(yīng)人員，以及協(xié)調(diào)和評審整個組織安全的實施。依據(jù)需要，還可以建立與外部安全專家或組織〔包括相關(guān)權(quán)威人士〕的聯(lián)系，以便跟蹤行業(yè)趨勢、各類標(biāo)準(zhǔn)和評估方法；當(dāng)處理信息安全事故時，供給適宜的聯(lián)系人和聯(lián)系方式，以快速準(zhǔn)時地對安全大事進展響應(yīng)；鼓舞承受多學(xué)科方法來解決信息安全問題。策略二：治理外部組織對信息資產(chǎn)的訪問策略目標(biāo)：確保被外部組織訪問的信息資產(chǎn)得到了安全保護。策略內(nèi)容：組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于客戶、第三方的訪問或引入外部各方的產(chǎn)品或效勞而降低，任何外部各方對組織信息處理設(shè)施的訪問、對信息資產(chǎn)的處理和通信，都應(yīng)實行有效的措施進展安全掌握。策略說明：任何一個組織都不避開與外界有業(yè)務(wù)往來與信息溝通，常常需要向外部用戶開放其信息和信息處理設(shè)施，因此，需要對外部訪問者給組織信息資產(chǎn)帶來的安全風(fēng)險進展評估，依據(jù)風(fēng)險水平，確定所需的掌握。必要時，需要與外部組織與個人簽訂協(xié)議，并向其聲明組織的信息安全方針與策略。四. 資產(chǎn)治理策略目的組織要有效地掌握安全風(fēng)險，首先要識別信息資產(chǎn)，并進展科學(xué)而有效的分類，然后在各個治理層面對資產(chǎn)落實責(zé)任，承受恰當(dāng)?shù)恼莆沾胧π畔①Y產(chǎn)進展風(fēng)險治理，本章通過以下二個策略實施對信息資產(chǎn)的有效治理。策略一：為信息資產(chǎn)建立問責(zé)制策略目標(biāo)：對組織的信息資產(chǎn)建立責(zé)任，為實施適當(dāng)保護奠定根底。策略內(nèi)容：應(yīng)當(dāng)對全部信息資產(chǎn)進展識別、建立資產(chǎn)清單和使用規(guī)章，明確定義信息資產(chǎn)責(zé)任人及其職責(zé)，為信息資產(chǎn)建立問責(zé)制。策略說明：對于我行的全部資產(chǎn)要標(biāo)識出責(zé)任人，通常可定義出信息資產(chǎn)的全部者、治理者和使用者，并明確不同責(zé)任主體的職責(zé)。對信息資產(chǎn)的安全掌握可以由信息資產(chǎn)全部者委派具體的治理者來擔(dān)當(dāng)，但全部者和使用者仍對資產(chǎn)擔(dān)當(dāng)適當(dāng)保護的責(zé)任。策略二：對信息資產(chǎn)進展分類策略目標(biāo)：通過對信息資產(chǎn)的分類，明確其可以得到適當(dāng)程度的保護。策略內(nèi)容：應(yīng)依據(jù)信息資產(chǎn)的價值、法律要求及對我行的敏感程度和關(guān)鍵程度進展分類和進展標(biāo)識。策略描述：信息的分類及相關(guān)保護掌握要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響。確定資產(chǎn)的類別，進展必要的標(biāo)識，對其進展周期性評審，確保其與組織的內(nèi)外環(huán)境的變化相適應(yīng)，這些都應(yīng)是資產(chǎn)全部者的職責(zé)。我行的信息資產(chǎn)分類可以從機密性、完整性、可用性等三方面進展評估，其保護級別也依據(jù)這三個方面得出。五. 人員安全治理策略目的本節(jié)通過建立四個具體策略，以明確組織內(nèi)與人員任用相關(guān)的安全掌握，以便對人力資源進展有效的安全治理，包括內(nèi)部員工及與組織相關(guān)的外部人員的任用前、任用中、任用后相關(guān)的安全職責(zé)、行為標(biāo)準(zhǔn)。策略一：人員任用前的治理策略目標(biāo)：在對人員正式任用前，要明確員工、合同方人員和第三方與其崗位角色相匹配的安全責(zé)任，并進展相關(guān)背景調(diào)查，以削減對信息資產(chǎn)非授權(quán)使用和濫用的風(fēng)險。策略內(nèi)容：確保人員的安全職責(zé)已于任用前通過適當(dāng)?shù)膮f(xié)議及崗位說明書加以明確說明，并對員工、合同方的有關(guān)背景進展驗證檢查，對第三方的訪問權(quán)限加以明確聲明和嚴(yán)格治理。策略說明：在員工及其他外部人員正式進入組織前，就明確其安全職責(zé)、強調(diào)安全責(zé)任、進展背景調(diào)查，這在信息安全治理中具有重要的意義。通過對全部應(yīng)聘者、合同方人員進展必要篩選，對第三方用戶加以限制，可以為組織的信息安全把好第一道關(guān)。員工、合同方人員和信息處理設(shè)施的第三方人員依據(jù)其安全角色和職責(zé)，要簽署相關(guān)協(xié)議，以明確聲明其對信息安全的職責(zé)。我行的第三方人員主要有：借調(diào)或借用外部人員、軟件開發(fā)人員以及其他外部效勞人員等。策略二：人員任用中的治理策略目標(biāo)：落實信息安全治理職責(zé)，確保我行的員工在整個任用期內(nèi)的行為都符合信息安全政策的要求。策略內(nèi)容：應(yīng)通過建立治理職責(zé)、必要的培訓(xùn)和獎懲措施，使全部的員工、合同方人員和第三方人員了解工作中面臨的信息安全風(fēng)險、相關(guān)責(zé)任和義務(wù)，并在日常工作中遵循組織的信息安全政策的要求。策略說明：假設(shè)員工、合同方人員和第三方人員沒有意識到他們工作中應(yīng)當(dāng)擔(dān)當(dāng)?shù)陌踩氊?zé)，他們可能會有意或無意地對組織的信息安全造成破壞，因此，需要在信息安全治理職責(zé)方面，對員工加以有效的限制和必要的鼓勵，并持續(xù)進展信息安全教育與培訓(xùn)，可以削減信息安全事故的發(fā)生。策略三：任用的中止與變更策略目標(biāo)：當(dāng)任用關(guān)系中止或職責(zé)發(fā)生變化時，要建立標(biāo)準(zhǔn)的程序，確保凍結(jié)或取消員工、合同方人員和第三方人員所擁有的、與其目前職責(zé)不相符的對我行信息資產(chǎn)的使用權(quán)。策略內(nèi)容：從我行退出的員工、合同方人員和第三方人員要歸還其所使用的設(shè)備，并刪除他們對我行信息及信息系統(tǒng)的全部使用權(quán)；對于職責(zé)發(fā)生變化的員工、合同方人員和第三方人員，依據(jù)“最小授權(quán)”原則，要對其所擁有的信息資產(chǎn)訪問權(quán)做相應(yīng)的變更。策略說明：信息資產(chǎn)總是與特定的使用主體相關(guān)，當(dāng)使用主體的職責(zé)發(fā)生變化時，與其職責(zé)相關(guān)的訪問權(quán)限應(yīng)當(dāng)準(zhǔn)時做出相應(yīng)變化。在實施此策略時，負責(zé)信息安全的治理人員需要與負責(zé)人力資源的治理人員要協(xié)作與溝通，共同負責(zé)對員工及合同方人員的任用終止處理；對于合同方的終止職責(zé)處理，要與合同方代表進展協(xié)作，其他狀況下的用戶可能由他們的來處理。當(dāng)資產(chǎn)的訪問權(quán)和使用權(quán)發(fā)生變更及我行人員及運行發(fā)生變化時，要準(zhǔn)時通知各相關(guān)方。六. 物理與環(huán)境安全治理策略目的本章的以下二個策略主要是保護我行的信息、信息系統(tǒng)和根底設(shè)施等免受非法的物理訪問、自然災(zāi)難和環(huán)境危害。策略一：建立物理安全區(qū)域策略目標(biāo)：防止對我行的工作場所和信息的非授權(quán)物理訪問、損壞和干擾。策略內(nèi)容：重要的或敏感的信息處理設(shè)施要放置在安全區(qū)域內(nèi)，建立適當(dāng)?shù)陌踩琳虾腿肟谡莆?，在物理上避開非授權(quán)訪問、干擾；同時，需要建立必要的措施防止自然災(zāi)難和人為破壞造成的損失。策略說明：可以通過在我行邊界和信息處理設(shè)施四周設(shè)置一個或多個物理屏障來實現(xiàn)對安全區(qū)域的物理保護；安全區(qū)域應(yīng)由適合的入口掌握所保護，以確保只有授權(quán)的人員才允許訪問；為重要的工作區(qū)域、公共訪問區(qū)、貨物交接區(qū)的安全工作建立標(biāo)準(zhǔn)與指南。還應(yīng)實行措施防止火災(zāi)、洪水、地震、爆炸、社會動亂和其他形式的自然災(zāi)難或人為災(zāi)難帶來的破壞。策略二：保證設(shè)備安全策略目標(biāo)：應(yīng)保護設(shè)備免受物理的和環(huán)境的威逼。策略內(nèi)容：防止設(shè)備的喪失、損壞、失竊或危及資產(chǎn)安全以及造成我行活動的中斷。策略說明：對設(shè)備〔包括離開我行使用和財產(chǎn)移動〕的保護是削減未授權(quán)訪問信息的風(fēng)險和防止喪失或損壞所必需的，還應(yīng)當(dāng)考慮設(shè)備安放位置和報廢處置方法的安全性。同時，還需要特地的掌握用來防止物理威逼以及保護支持性設(shè)施〔/通風(fēng)和空調(diào)〕，及考慮實行措施保證電源布纜和通信布纜免受竊聽或損壞。七. 通信與運營治理策略目的本章通過建立以下九個策略，確保我行對通信和操作過程進展有效的安全治理，通過促進我行建立信息處理設(shè)施的治理職責(zé)，開發(fā)適當(dāng)?shù)牟僮骱褪鹿侍幚沓绦?，以降低非授?quán)使用和濫用系統(tǒng)的風(fēng)險，總體目標(biāo)是確保員工能正確、安全地操作信息處理設(shè)施。策略一：建立操作職責(zé)和程序策略目標(biāo)：確保正確、安全的操作信息處理設(shè)施。策略內(nèi)容：應(yīng)當(dāng)為全部的信息處理設(shè)施建立必要的治理和操作的職責(zé)及程序。策略說明：與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動應(yīng)具備形成文件的程序，例如計算機啟動和關(guān)機程序、備份、設(shè)備維護、介質(zhì)處理、計算機機房、郵件處置治理和物理安全等；對信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以掌握；應(yīng)實施責(zé)任分割，以削減疏忽或有意誤用系統(tǒng)的風(fēng)險；為了削減意外變更或未授權(quán)訪問運行軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險，應(yīng)分別開發(fā)、測試和運行設(shè)施。策略二：治理第三方效勞策略目標(biāo)：在符合雙方商定的協(xié)議下，保證第三方在實施效勞過程中，保持信息安全和效勞交付的適當(dāng)水平。策略內(nèi)容：我行應(yīng)檢查第三方效勞協(xié)議的實施，監(jiān)視協(xié)議執(zhí)行的符合性，并治理效勞變更，以確保交付的效勞滿足與第三方商定的全部要求。策略說明：第三方交付的效勞應(yīng)包括商定的安全打算、效勞定義和效勞治理各方面；我行應(yīng)當(dāng)定期監(jiān)視、檢查和審核第三方供給的效勞、報告和記錄，對效勞變更進展有效治理；我行還應(yīng)當(dāng)確保第三方保持足夠的效勞力量和可用性打算，以確保商定的效勞在大的效勞故障或災(zāi)難后連續(xù)得以保持。策略三：系統(tǒng)規(guī)劃和驗收策略目標(biāo)：將系統(tǒng)失效的風(fēng)險降至最小。策略內(nèi)容：為確保足夠力量和資源的可用性，以供給所需的系統(tǒng)性能，需要預(yù)先對系統(tǒng)進展規(guī)劃和預(yù)備工作；應(yīng)做出對于將來容量需求的推測，以削減系統(tǒng)過載的風(fēng)險；系統(tǒng)的運行要求應(yīng)在驗收和使用之前建立、形成文件并進展測試。策略說明：對于每一個的和正在進展的信息處理活動都應(yīng)識別容量要求，確保在必要時準(zhǔn)時改進系統(tǒng)的可用性和效率。對系統(tǒng)將來容量的推想應(yīng)考慮業(yè)務(wù)、系統(tǒng)要求以及我行信息當(dāng)前處理力量及將來進展的趨勢。治理人員要確保驗收系統(tǒng)的要求和準(zhǔn)則被明確地定義，形成文件并經(jīng)過測試。信息系統(tǒng)升級和版本只有在獲得正式驗收后，才能作為產(chǎn)品。策略四：防范惡意和移動代碼策略目標(biāo)：保護軟件和信息的完整性。策略內(nèi)容：我行應(yīng)實行預(yù)防措施，以防范和檢測惡意代碼和未授權(quán)的移動代碼引入到我行的信息處理設(shè)施中來。策略說明：軟件和信息處理設(shè)施易感染惡意代碼〔例如計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和規(guī)律炸彈〕，要讓用戶了解惡意代碼的危急。治理人員要實施適當(dāng)?shù)恼莆沾胧苑婪?、檢測并刪除惡意代碼。策略五：備份策略目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。策略內(nèi)容：應(yīng)依據(jù)已設(shè)的備份策略，定期對我行的重要信息和軟件進展備份，并定期進展恢復(fù)測試。策略說明：應(yīng)供給足夠的備份設(shè)施，以確保全部必要的信息和軟件能在災(zāi)難或介質(zhì)故障后進展恢復(fù)。為使備份和恢復(fù)過程更簡潔，備份可安排為自動進展；各個系統(tǒng)的備份打算應(yīng)定期測試以確保他們滿足業(yè)務(wù)連續(xù)性打算的要求；對于重要的系統(tǒng)，備份打算應(yīng)包括在發(fā)生災(zāi)難時恢復(fù)整個系統(tǒng)所必需的全部系統(tǒng)信息、應(yīng)用和數(shù)據(jù)；應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對要永久保存的檔案拷貝的任何要求。策略六：網(wǎng)絡(luò)安全治理策略目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性根底設(shè)施得到保護。策略內(nèi)容：應(yīng)對我行的網(wǎng)絡(luò)進展充分的治理和掌握，以防范非法訪問網(wǎng)絡(luò)信息與非授權(quán)連接網(wǎng)絡(luò)效勞，保護信息與信息效勞的安全。策略說明：加強網(wǎng)絡(luò)治理與掌握，以防范威逼、保持使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全，包括信息傳輸；應(yīng)識別全部網(wǎng)絡(luò)效勞的安全特性、效勞等級和治理要求，并包含在網(wǎng)絡(luò)效勞協(xié)議中，無論這種效勞是由內(nèi)部供給的還是外包的。策略七：對存儲介質(zhì)的處理策略目標(biāo)：防止由于對存儲介質(zhì)治理不當(dāng)，造成未授權(quán)泄漏、修改、移動或損壞，并對業(yè)務(wù)活動造成不利影響。策略內(nèi)容：我行應(yīng)當(dāng)對存儲介質(zhì)的使用、移動、保管及處置等操作進展有效治理。策略說明：存儲介質(zhì)包括硬盤、磁帶、閃盤、可移動硬件驅(qū)動器、CD、DVD和打印的介質(zhì)。為使存儲介質(zhì)中的數(shù)據(jù)和系統(tǒng)文件免遭未授權(quán)泄露、修改和破壞，應(yīng)建立適當(dāng)?shù)氖褂?、保存、刪除和銷毀的操作策略和相關(guān)程序。策略八：信息交換策略目標(biāo)：保護在我行內(nèi)及與外部團體進展信息和軟件交換的安全。策略內(nèi)容：我行內(nèi)及我行與外部團隊的信息和軟件的交換應(yīng)當(dāng)基于正式的交換策略，實行必要的安全掌握措施，依據(jù)交換協(xié)議執(zhí)行，同時還應(yīng)聽從任何相關(guān)法律法規(guī)的要求。策略說明：假設(shè)在使用信息交換設(shè)施時缺乏安全意識、必要的策略和安全掌握措施，可能會造成重要信息的泄露；假設(shè)通信設(shè)施失靈、過載或中斷，則可能中斷業(yè)務(wù)運行并損壞信息；假設(shè)上述通信設(shè)施被未授權(quán)用戶所訪問，也可能損害信息。因此，要建立策略和程序，以保護信息交換過程中信息和包含信息的物理介質(zhì)的安全。策略九：系統(tǒng)監(jiān)測策略目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動。策略內(nèi)容：應(yīng)對信息系統(tǒng)進展監(jiān)測，記錄信息安全大事，并使用操作員日志和故障日志以確保識別出信息系統(tǒng)的問題。策略說明：應(yīng)建立監(jiān)測信息處理系統(tǒng)使用的策略與程序，定期評審監(jiān)測活動的結(jié)果；通過系統(tǒng)操作日志、錯誤日志記錄系統(tǒng)操作者的活動和系統(tǒng)消滅錯誤的狀況，以監(jiān)測安全大事；我行的監(jiān)測和日志記錄活動應(yīng)遵守全部相關(guān)法律的要求，并要防止對日志的非授權(quán)變更和刪除。八. 訪問掌握治理策略目的訪問掌握是對主體訪問客體的權(quán)限或力量的一種限制，分為物理訪問掌握規(guī)律訪問掌握。物理訪問掌握在“物理與環(huán)境安全策略”一章中已有涉及，在這里的訪問掌握主要是指規(guī)律訪問掌握。在網(wǎng)絡(luò)廣泛互聯(lián)的今日，承受技術(shù)與治理手段建立規(guī)律訪問掌握己是保障信息安全的重要手段，本章通過建立以下八個策略，以推動我行對訪問掌握的有效安全治理。策略一：依據(jù)業(yè)務(wù)要求進展訪問掌握策略目標(biāo)：建立必要的規(guī)章，掌握用戶對信息的訪問。策略內(nèi)容：應(yīng)在我行業(yè)務(wù)和安全要求的根底上，掌握對信息、信息處理設(shè)施和業(yè)務(wù)過程的訪問。策略說明：我行需要將滿足業(yè)務(wù)需要的訪問掌握規(guī)章向用戶和效勞供給者明確地加以說明；我行應(yīng)清楚地表達每個用戶或一組用戶的訪問掌握規(guī)章和權(quán)利，應(yīng)當(dāng)把規(guī)律訪問掌握和物理訪問掌握綜合起來考慮；訪問掌握規(guī)章應(yīng)由正式的程序支持，并清楚地定義職責(zé)和范圍。策略二：用戶訪問治理策略目標(biāo)：確保只有授權(quán)用戶才能訪問系統(tǒng)，預(yù)防對信息系統(tǒng)的非授權(quán)訪問。策略內(nèi)容：應(yīng)建立正式的程序，來掌握對信息系統(tǒng)和效勞的用戶訪問權(quán)的安排。策略說明：訪問掌握程序應(yīng)涵蓋用戶訪問生命周期內(nèi)的各個階段，從用戶初始注冊、日常使用，到不再需要訪問信息系統(tǒng)和效勞時的用戶帳號的最終撤銷；應(yīng)特別留意對特權(quán)用戶的安排加以掌握，由于特權(quán)用戶可以修改或繞過系統(tǒng)的掌握措施。策略三：用戶職責(zé)策略目標(biāo)：防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問和其他危害的行為。策略內(nèi)容：應(yīng)使用戶認知其維護有效的訪問掌握的職責(zé)，特別是關(guān)于口令使用和無人值守的用戶設(shè)備保護方面的職責(zé)。策略說明：已授權(quán)用戶的合作對實現(xiàn)有效的安全格外重要，首先應(yīng)要求用戶在選擇及使用口令和保護無人值守的用戶設(shè)備方面，遵循良好的安全習(xí)慣；實施桌面清空和屏幕清空策略以降低未授權(quán)訪問或破壞紙、介質(zhì)和信息處理設(shè)施的風(fēng)險。策略四：網(wǎng)絡(luò)訪問掌握策略目標(biāo)：防止對網(wǎng)絡(luò)效勞的非授權(quán)訪問。策略內(nèi)容：對內(nèi)部和外部網(wǎng)絡(luò)效勞的訪問均應(yīng)加以掌握，以確保我行內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的接口進展有效的掌握或隔離；對網(wǎng)絡(luò)環(huán)境中用戶和設(shè)備身份應(yīng)用了適宜的鑒別機制；用戶對我行信息效勞的訪問已依據(jù)掌握規(guī)章和業(yè)務(wù)要求進展了限制。策略說明：與網(wǎng)絡(luò)效勞的未授權(quán)和擔(dān)憂全連接可以影響整個組織。對于敏感或關(guān)鍵業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)連接或與高風(fēng)險位置的用戶的網(wǎng)絡(luò)連接而言，實行嚴(yán)格的掌握措施就顯得特別重要。掌握大型網(wǎng)絡(luò)的安全的有效方法是將該網(wǎng)絡(luò)分成獨立的規(guī)律網(wǎng)絡(luò)域，將網(wǎng)絡(luò)隔離成假設(shè)干域的準(zhǔn)則應(yīng)基于風(fēng)險評估和每個域內(nèi)的不同訪問掌握策略和訪問要求，還要考慮到相關(guān)本錢和參加適合的網(wǎng)絡(luò)路由或網(wǎng)關(guān)技術(shù)的性能影響。由于無線網(wǎng)的邊界很難定義，非授權(quán)訪問的風(fēng)險較高，我行應(yīng)特別加強對無線網(wǎng)的治理，需要考慮限制使用無線網(wǎng)，或?qū)o線網(wǎng)與內(nèi)部和專用網(wǎng)絡(luò)進展隔離。策略五：操作系統(tǒng)訪問掌握策略目標(biāo)：防止對操作系統(tǒng)的非授權(quán)訪問。策略內(nèi)容：應(yīng)啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問，這些措施包括但不限于：依據(jù)已定義的訪問掌握策略鑒別授權(quán)用戶；記錄成功和失敗的系統(tǒng)鑒別企圖；記錄專用系統(tǒng)特別權(quán)限的使用；當(dāng)違反系統(tǒng)安全策略時公布警報；供給適宜的身份鑒別手段；必要時，限制用戶的連接次數(shù)。策略說明：一般而言，目前的各種操作系統(tǒng)都加強了訪問掌握的功能，我行應(yīng)當(dāng)盡量啟用操作系統(tǒng)供給的訪問掌握功能。只有當(dāng)操作系統(tǒng)訪問掌握功能不能滿足業(yè)務(wù)需要時，才尋求特地訪問掌握解決方案。策略六：應(yīng)用系統(tǒng)和信息訪問掌握策略目標(biāo)：防止對應(yīng)用系統(tǒng)和信息的非授權(quán)訪問。策略內(nèi)容：對應(yīng)用軟件和信息的規(guī)律訪問只限于已授權(quán)的用戶，應(yīng)用系統(tǒng)的措施包括但不限于：依據(jù)定義的訪問掌握策略，掌握用戶訪問信息和應(yīng)用系統(tǒng)功能；防止能夠越過系統(tǒng)掌握或應(yīng)用掌握的任何有用程序、操作系統(tǒng)軟件和惡意軟件進展未授權(quán)訪問；不損壞共享信息資源的其他系統(tǒng)的安全；策略說明：應(yīng)依據(jù)規(guī)定的訪問掌握策略，限制用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問。對訪問的限制應(yīng)基于各個業(yè)務(wù)應(yīng)用要求，訪問掌握策略也應(yīng)與我行的訪問策略全都。對敏感應(yīng)用系統(tǒng)，可以考慮在獨立的計算環(huán)境中運行。策略七：移動計算和遠程工作策略目標(biāo)：在使用移動計算和遠程工作設(shè)施時，確保信息的安全。策略內(nèi)容：當(dāng)我行需要使用移動計算和遠程工作時，應(yīng)建立必要保護措施，以避開非保護的環(huán)境中的工作風(fēng)險。策略說明：當(dāng)使用移動計算和通信設(shè)施時，例如，筆記本電腦、掌上機、智能卡和移動，應(yīng)特別留神確保業(yè)務(wù)信息不被泄露。移動計算的保護措施有物理保護、訪問掌握、密碼技術(shù)、備份和病毒預(yù)防的要求。對遠程工作場地的適宜保護應(yīng)到位，以防止偷竊設(shè)備和信息、未授權(quán)泄露信息、未授權(quán)遠程訪問我行內(nèi)部系統(tǒng)或濫用設(shè)施等。九. 系統(tǒng)開發(fā)與維護治理策略目的本章的六個安全策略旨在確定我行獵取、開發(fā)、維護信息系統(tǒng)所應(yīng)遵守的關(guān)鍵掌握點。在信息系統(tǒng)獵取和開發(fā)過程中就需要加強對信息安全的治理與掌握，只有集成在軟件開發(fā)過程中的安全措施，才能真正起到預(yù)防與掌握風(fēng)險的作用，而且在軟件開發(fā)生命周期中，越早引入掌握措施，將來運行與維護費用就越少。策略一：確定信息系統(tǒng)的安全需求策略目標(biāo)：確保將安全作為信息系統(tǒng)建設(shè)的重要組成局部。策略內(nèi)容：應(yīng)用系統(tǒng)的全部安全需求都需要在工程需求分析階段被確認，并且作為一個信息系統(tǒng)的總體構(gòu)架的重要組成局部，要得到對其合理性的證明、并獲得用戶認可，同時要記錄在案。策略說明：信息系統(tǒng)安全包括根底架構(gòu)軟件、外購業(yè)務(wù)應(yīng)用軟件和用戶自主開發(fā)的軟件的安全，信息系統(tǒng)的安全掌握應(yīng)當(dāng)在系統(tǒng)開發(fā)設(shè)計階段予以實現(xiàn)，要確保安全性已構(gòu)成信息系統(tǒng)的一局部，我行應(yīng)當(dāng)在信息系統(tǒng)開發(fā)前，或在工程開頭階段，識別全部的安全要求，并作為系統(tǒng)設(shè)計不行缺少的一局部，進展確認與調(diào)整。策略二：在應(yīng)用中建立安全措施策略目標(biāo)：避開應(yīng)用系統(tǒng)在運行過程中發(fā)生故障，并防止在應(yīng)用軟件系統(tǒng)中的用戶數(shù)據(jù)的喪失、改動或者濫用。策略內(nèi)容：應(yīng)當(dāng)把適當(dāng)?shù)募夹g(shù)掌握措施、查驗追蹤和活動日志等掌握手段設(shè)計到應(yīng)用軟件系統(tǒng)中。這些措施應(yīng)當(dāng)包括對輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的檢驗。策略說明：要保證應(yīng)用系統(tǒng)的安全，需要在軟件開發(fā)過程中，集成適當(dāng)?shù)陌踩莆占夹g(shù)措施，而且要在應(yīng)用系統(tǒng)需求和應(yīng)用系統(tǒng)設(shè)計中進展明確的表達。信息安全治理人員或IT審計人員需要在需求評審階段，著重檢查必要的輸入、處理和輸出掌握措施是否集成在系統(tǒng)中。策略三：實施密碼掌握策略目標(biāo)：保護信息的保密性、完整性和有效性。策略內(nèi)容：對于面臨非授權(quán)訪問威逼的信息，當(dāng)其它治理措施無法對其進展有效保護時，應(yīng)當(dāng)用密碼系統(tǒng)和密碼技術(shù)進展保護。策略說明：為防止我行敏感信息的泄露，可以利用加密技術(shù)對其進展處理后進展存儲與傳輸；為防止重要信息被篡改或偽造，可以利用加密的方法對信息的完整性進展鑒別；在電子商務(wù)過程中，可以通過加密技術(shù)的應(yīng)用〔如數(shù)字簽名〕進展交易雙方身份真實性認證，并防止抵賴行為的發(fā)生。策略四：保護系統(tǒng)文件的安全策略目標(biāo)：為確保IT工程和支持行為以安全的方式進展，應(yīng)當(dāng)掌握對系統(tǒng)文件的訪問。策略內(nèi)容：應(yīng)當(dāng)維護系統(tǒng)文件中信息的完整性，這是應(yīng)用程序系統(tǒng)、用戶及開發(fā)人員的共同責(zé)任。策略說明：系統(tǒng)文件是一種全局文件，可視為全部用戶程序所用的文件〔另一種解釋是一種僅供操作系統(tǒng)訪問的文件〕。系統(tǒng)文件面臨的典型威逼是使用錯誤的程序版本，從而導(dǎo)致數(shù)據(jù)的錯誤處理與數(shù)據(jù)破壞，以及由于測試目的使用操作數(shù)據(jù)而導(dǎo)致的信息泄露。因此要實行措施保護系統(tǒng)文件的安全。策略五：保證開發(fā)和支持過程的安全策略目標(biāo)：維護應(yīng)用程序系統(tǒng)中的軟件和信息的安全。策略內(nèi)容：我行應(yīng)當(dāng)對工程和支持環(huán)境進展嚴(yán)格掌握，即對應(yīng)用系統(tǒng)、操作系統(tǒng)及軟件包的更改及軟件外包活動進展安全掌握。策略說明：在應(yīng)用系統(tǒng)的開發(fā)與維護過程中，應(yīng)用程序的未授權(quán)修改、未進展評審的操作系統(tǒng)的更改、未加限制的軟件包的更改等都會給我行的應(yīng)用系統(tǒng)帶來安全風(fēng)險。所以要對應(yīng)用軟件開發(fā)與支持過程中的安全加以掌握。策略六：對技術(shù)脆弱性進展治理策略目標(biāo)：削減由利用公開的技術(shù)脆弱點帶來的風(fēng)險。策略內(nèi)容：應(yīng)準(zhǔn)時獲得我行所使用的信息系統(tǒng)的技術(shù)脆弱點的信息，評估我行對此類技術(shù)脆弱點的保護，并實行適當(dāng)?shù)拇胧２呗哉f明：技術(shù)脆弱點治理應(yīng)當(dāng)以一種有效的、系統(tǒng)的、可反復(fù)的方式連同可確保其有效性的措施來實施。這些考慮應(yīng)包括在用操作系統(tǒng)和任何其它的應(yīng)用。十. 信息安全事故治理策略目的安全事故就是能導(dǎo)致資產(chǎn)喪失與損害的任何大事，為把信息安全大事的損害降到最低的程度，追蹤并從大事中吸取教訓(xùn)，我行應(yīng)明確有關(guān)事故、故障和薄弱點的部門，并依據(jù)安全大事與故障的反響過程建立一個報告、反響、評價和懲戒的機制。通過以下二個策略的建立，促進我行有效地對信息安全大事進展治理。策略一：報告信息安全大事和系統(tǒng)弱點策略目標(biāo)：策略內(nèi)容：我行應(yīng)建立有正式的報告信息安全大事和系統(tǒng)弱點的程序，并讓全部的員工、合同方人員和第三方人員加以了解和執(zhí)行。策略說明：我行通過建立正式的信息安全大事報告程序，在收到信息安全大事和系統(tǒng)弱點報告后，可馬上著手實行相應(yīng)措施對安全大事進展響應(yīng)。報告程序應(yīng)建立報告信息安全大事的聯(lián)系點，使我行內(nèi)的每個人都知道這個聯(lián)系點，并確保該聯(lián)系點持續(xù)可用，并能供給充分且準(zhǔn)時的響應(yīng)。策略二：信息安全大事治理和改進策略目標(biāo)：確保使用持續(xù)有效的方法治理信息安全大事。策略內(nèi)容：一旦信息安全大事和弱點報告上來，應(yīng)當(dāng)馬上明確責(zé)任，依據(jù)規(guī)程進展有效處理；我行還應(yīng)建立能夠量化和監(jiān)控信息安全大事的類型、數(shù)量、本錢的機制。策略說明：應(yīng)當(dāng)應(yīng)用一個連續(xù)性的改進過程，對信息安全大事進展響應(yīng)、監(jiān)視、評估和總體治理。從對信息安全大事評估中獵取的信息，應(yīng)當(dāng)用來識別再發(fā)生的大事和重大影響的大事。假設(shè)需要證據(jù)的話，則應(yīng)當(dāng)搜集證據(jù)以滿足法律的要求。十一.業(yè)務(wù)連續(xù)性治理策略目的制定和實施一個完整的業(yè)務(wù)持續(xù)打算應(yīng)從理解自身業(yè)務(wù)的開頭，進展業(yè)務(wù)影響分析和風(fēng)險評估，在此根底上由治理高層形本錢我行的業(yè)務(wù)持續(xù)戰(zhàn)略方針，然后規(guī)劃業(yè)務(wù)持續(xù)打算，進展打算的測試與實施，最終進展打算的維護與更，并通過審計保證打算不斷改進和完善。本策略的制定旨在促進我行建立業(yè)務(wù)連續(xù)性打算，實現(xiàn)業(yè)務(wù)連續(xù)性治理。策略一：建立業(yè)務(wù)連續(xù)性治理程序策略目標(biāo)：保護我行的關(guān)鍵業(yè)務(wù)流程不會因信息