信息安全管理策略
- 格式:doc
- 大小:104.50 KB
- 文档页数:19
信息安全管理策略总则为满足XX银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《XX银行信息安全管理方针》,特制订本管理策略。
目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。
安全制度管理策略1.11.21.3 策略二:更新安全制度策略目标:安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。
策略内容:定期和不定期审阅和更新安全制度。
策略描述:由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显着变化时进行检查、更新。
信息安全组织管理策略1.4 目的通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。
与组织有关的策略分内部组织和外部组织两部分来描述。
1.5确定安全1.6策略内容:组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低,任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信,都应采取有效的措施进行安全控制。
策略说明:任何一个组织都不避免与外界有业务往来与信息沟通,经常需要向外部用户开放其信息和信息处理设施,因此,需要对外部访问者给组织信息资产带来的安全风险进行评估,根据风险水平,确定所需的控制。
必要时,需要与外部组织与个人签订协议,并向其声明组织的信息安全方针与策略。
资产管理策略1.7 目的组织要有效地控制安全风险,首先要识别信息资产,并进行科学而有效的分类,然后在各个管理层面对资产落实责任,采用恰当的控制措施对信息资产进行风险管理,本章通过以下二个策略实施对信息资产的有效管理。
1.81.9策略描述:信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。
确定资产的类别,进行必要的标识,对其进行周期性评审,确保其与组织的内外环境的变化相适应,这些都应是资产所有者的职责。
我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估,其保护级别也根据这三个方面得出。
人员安全管理策略1.10 目的本节通过建立四个具体策略,以明确组织内与人员任用相关的安全控制,以便对人力资源进行有效的安全管理,包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。
1.11 策略一:人员任用前的管理1.12策略内容:应通过建立管理职责、必要的培训和奖惩措施,使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务,并在日常工作中遵循组织的信息安全政策的要求。
策略说明:如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责,他们可能会有意或无意地对组织的信息安全造成破坏,因此,需要在信息安全管理职责方面,对员工加以有效的限制和必要的激励,并持续进行信息安全教育与培训,可以减少信息安全事故的发生。
1.13 策略三:任用的中止与变更策略目标:当任用关系中止或职责发生变化时,要建立规范的程序,确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。
策略内容:1.141.15策略目标:防止对我行的工作场所和信息的非授权物理访问、损坏和干扰。
策略内容:重要的或敏感的信息处理设施要放置在安全区域内,建立适当的安全屏障和入口控制,在物理上避免非授权访问、干扰;同时,需要建立必要的措施防止自然灾害和人为破坏造成的损失。
策略说明:可以通过在我行边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护;安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问;为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。
还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。
1.16 策略二:保证设备安全1.171.18策略目标:确保正确、安全的操作信息处理设施。
策略内容:应当为所有的信息处理设施建立必要的管理和操作的职责及程序。
策略说明:与信息处理和通信设施相关的系统活动应具备形成文件的程序,例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等;对信息处理设施和系统的变更应加以控制;应实施责任分割,以减少疏忽或故意误用系统的风险;为了减少意外变更或未授权访问运行软件和业务数据的风险,应分离开发、测试和运行设施。
1.19 策略二:管理第三方服务策略目标:在符合双方商定的协议下,保证第三方在实施服务过程中,保持信息安全和服务交付的适当水平。
1.20应做出对对于每一个新的和正在进行的信息处理活动都应识别容量要求,确保在必要时及时改进系统的可用性和效率。
对系统未来容量的推测应考虑新业务、系统要求以及我行信息当前处理能力及未来发展的趋势。
管理人员要确保验收新系统的要求和准则被明确地定义,形成文件并经过测试。
新信息系统升级和新版本只有在获得正式验收后,才能作为产品。
1.21 策略四:防范恶意和移动代码策略目标:保护软件和信息的完整性。
策略内容:我行应采取预防措施,以防范和检测恶意代码和未授权的移动代码引入到我行的信息处理设施中来。
1.22对1.23策略目标:确保网络中的信息和支持性基础设施得到保护。
策略内容:应对我行的网络进行充分的管理和控制,以防范非法访问网络信息与非授权连接网络服务,保护信息与信息服务的安全。
策略说明:加强网络管理与控制,以防范威胁、保持使用网络的系统和应用程序的安全,包括信息传输;应识别所有网络服务的安全特性、服务等级和管理要求,并包含在网络服务协议中,无论这种服务是由内部提供的还是外包的。
1.24 策略七:对存储介质的处理策略目标:防止由于对存储介质管理不当,造成未授权泄漏、修改、移动或损坏,并对业务活动造成不利影响。
1.25按照交如果1.26 策略九:系统监测策略目标:检测未经授权的信息处理活动。
策略内容:应对信息系统进行监测,记录信息安全事件,并使用操作员日志和故障日志以确保识别出信息系统的问题。
策略说明:应建立监测信息处理系统使用的策略与程序,定期评审监测活动的结果;通过系统操作日志、错误日志记录系统操作者的活动和系统出现错误的情况,以监测安全事件;我行的监测和日志记录活动应遵守所有相关法律的要求,并要防止对日志的非授权变更和删除。
访问控制管理策略1.27“物1.281.29 策略二:用户访问管理策略目标:确保只有授权用户才能访问系统,预防对信息系统的非授权访问。
策略内容:应建立正式的程序,来控制对信息系统和服务的用户访问权的分配。
策略说明:访问控制程序应涵盖用户访问生命周期内的各个阶段,从新用户初始注册、日常使用,到不再需要访问信息系统和服务时的用户帐号的最终撤销;应特别注意对特权用户的分配加以控制,因为特权用户可以修改或绕过系统的控制措施。
1.30 策略三:用户职责备方面,的风险。
1.31隔离;要求进行了限制。
策略说明:与网络服务的未授权和不安全连接可以影响整个组织。
对于敏感或关键业务应用的网络连接或与高风险位置的用户的网络连接而言,采取严格的控制措施就显得特别重要。
控制大型网络的安全的有效方法是将该网络分成独立的逻辑网络域,将网络隔离成若干域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求,还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响。
由于无线网的边界很难定义,非授权访问的风险较高,我行应特别加强对无线网的管理,需要考虑限制使用无线网,或将无线网与内部和专用网络进行隔离。
1.32 策略五:操作系统访问控制策略目标:防止对操作系统的非授权访问。
1.33略,应根据规定的访问控制策略,限制用户和支持人员对信息和应用系统功能的访问。
对访问的限制应基于各个业务应用要求,访问控制策略也应与我行的访问策略一致。
对敏感应用系统,可以考虑在独立的计算环境中运行。
1.34 策略七:移动计算和远程工作策略目标:在使用移动计算和远程工作设施时,确保信息的安全。
策略内容:当我行需要使用移动计算和远程工作时,应建立必要保护措施,以避免非保护的环境中的工作风险。
策略说明:当使用移动计算和通信设施时,例如,笔记本电脑、掌上机、智能卡和移动电话,应特别小心确保业务信息不被泄露。
移动计算的保护措施有物理保护、访问控制、密码技术、备份和病毒预防的要求。
对远程工作场地的合适保护应到位,以防止偷窃设备和信息、未授权泄露信息、未授权远程访问我行内部系统或滥用设施等。
1.351.36信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全,信息系统的安全控制应该在系统开发设计阶段予以实现,要确保安全性已构成信息系统的一部分,我行应该在信息系统开发前,或在项目开始阶段,识别所有的安全要求,并作为系统设计不可缺少的一部分,进行确认与调整。
1.37 策略二:在应用中建立安全措施策略目标:避免应用系统在运行过程中发生故障,并防止在应用软件系统中的用户数据的丢失、改动或者滥用。
策略内容:应当把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。
这些措施应当包括对输入数据、内部处理和输出数据的检验。
策略说明:1.38行保护。
1.39策略目标:为确保IT项目和支持行为以安全的方式进行,应当控制对系统文件的访问。
策略内容:应当维护系统文件中信息的完整性,这是应用程序系统、用户及开发人员的共同责任。
策略说明:系统文件是一种全局文件,可视为所有用户程序所用的文件(另一种解释是一种仅供操作系统访问的文件)。
系统文件面临的典型威胁是使用错误的程序版本,从而导致数据的错误处理与数据破坏,以及由于测试目的使用操作数据而导致的信息泄露。
因此要采取措施保护系统文件的安全。
1.40 策略五:保证开发和支持过程的安全策略目标:1.41包括在用操作系统和任何其它的应用。
信息安全事故管理策略1.42 目的安全事故就是能导致资产丢失与损害的任何事件,为把信息安全事件的损害降到最低的程度,追踪并从事件中吸取教训,我行应明确有关事故、故障和薄弱点的部门,并根据安全事件与故障的反应过程建立一个报告、反应、评价和惩戒的机制。
通过以下二个策略的建立,促进我行有效地对信息安全事件进行管理。
1.43 策略一:报告信息安全事件和系统弱点策略目标:确保与信息系统有关的安全事件和系统弱点能得到及时报告,以便采取必要的纠正措施。
1.44应当应用一个连续性的改进过程,对信息安全事件进行响应、监视、评估和总体管理。
从对信息安全事件评估中获取的信息,应该用来识别再发生的事件和重大影响的事件。
如果需要证据的话,则应该搜集证据以满足法律的要求。