信息安全风险管理制度.doc

1、信息安全风险管理制度 信息安全风险管理办法 北京国都信业科技 2021年10月 前言 本程序所规定的是北京国都信业科技企业的信息安全风险管理原则，在具体实施过程中，各部门可结合本部门的实际状况，依据本程序的要求制定相应的文件，以便指导本部门的实施操作。 本制度自实施之日起，马上生效。 本制度由北京国都信业科技企业信息管理部起草。 本制度由北京国都信业科技企业信息管理部归口管理。 1目的 为规范北京国都信业科技企业〔以下简称“本公司〞〕信息安全风险管理体系，建立、健全信息安全管理制度，确定信息安全方针和目标，全面覆盖信息安全风险点，对信息安

2、全风险进行有效管理，并继续改善信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4使命 信息管理部作为本公司信息安全管理的主管部门，负责实施信息安全管理体系必要的程序并维持其有效运行，制定信息安全相关策略、制度、规定，对信息管理活动各环节进行安全监督和检查，信息安全培训、宣扬，信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点，包括用户管理、身份验证、身份管理、用户管理、风

3、险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 为确保本公司信息安全管理，设置信息管理部岗位分工及使命时，应全面合计信息管理工作实际必需要及责任划分，制定具体的岗位分工及使命说明，对信息 管理人员权限进行分级管理，信息管理关键岗位有设置AB 角。应配备专职安全管理员，关键区域或部位的安全管理员符合机要人员管理要求，对涉密人员签订了保密协议。 信息管理人员的雇佣符合如下要求： ●信息管理人员的专业知识和业务水平达到本公司要求； ●具体审核科技人员工作经历，信息管理人员应无不良记录； ●针对正式信息管理人员、临时聘用或合同制信息管理人

4、员及顾问，采用 不同的管理措施。 在员工工作使命说明书中除了要说明岗位的一般使命和规范以外，还要加入与此岗位相关的信息安全管理规范，具体内容参看各个安全管理规范中的适用范围部分。人员入职必需签订保密协议，在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 依据工作岗位对从业者的能力必需求、从业者本身的实际能力以及从业者所面临信息安全风险，确定培训内容。合计不同层次的使命、能力、文化程度以及所面临的风险，信息安全主管部门应该依据培训必需求组织培训，制定培训计划，培训计划包括：培训项目、主要内容、主要负责人、培训日程安排、培训方式等，培训前要写好培训

5、方案，并通知相关人员，培训后要进行考核。 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 本公司人员离职手续中应该包括如下安全相关的内容： a)收回所有的密码，并确认密码的正确性； b)收回所有的物理安全设备，包括钥匙和证件； c)收回所有工作资料，包括纸介质和电子介质； d)进行调离谈话，申明其调离后的保密义务； e)离职后应该立即更改所有此离职人员曾掌握过的密码或密钥。 关于本公司辞退人员，必需在第一时间完成上述工作，通知其辞退后，所有的工作交接内容必需有专人陪同，必需填写《工作交接单》；关于辞退人员应该跟踪其工作动向

6、采用合理的手段阻止其就职于竞争对手组织，如保密协议中的条款。 外部人员访问要遵守本公司相关安全管理规定。对必需要访问本公司的外部人员发放通行证，通行证应该针对访问地点的安全敏感度设置不同的安全级别。外部人员访问敏感地点应该有专人陪同。关于必需要长时间访问的外部人员应该建立档案，档案应与通行证对应。 外来人员携带电脑要接入企业网，必需征得信息管理部同意方可接入。员工有义务向外来人员说明网络接入安全要求。 信息管理安全制度建设与信息管理安全风险相结合，信息管理安全制度全面涵盖了信息管理安全的风险点，包括：安全管理策略、制度、机房、软件、硬件、网络、数据、文档等方面，并针

7、对信息资产进行了风险程度评估，生成了信息资产风险评估文件。 应依据制度的密级要求程度，对制度进行密级分级管理。 为更好的落实应用系统的安全保护体系，建立了应用系统的分类及分级保护体系，依据系统类别及级别进行安全评估，制定不同的防范措施，对应用系统按照重要程度执行等级保护。 为了更好地规范应用系统保护措施，依据《信息管理安全等级保护实施指南》为本公司信息管理进行了分级。经过定级，并上报给公安部门共有一个三级系统，七个二级系统。 在系统建设之初,依据该系统的安全保护定级,按照信息管理安全总体方案的要求，结合信息管理安全建设项目计划，分期分步落实安全措

8、施,如下列图1。 图1 安全制定与实施流程图 上图为安全制定与实施的流程图。关于系统的安全制定与实施流程，最重要的三个阶段为： 安全方案具体制定阶段、技术措施实现阶段和管理措施实现阶段。 关于安全保护等级为三级的信息管理,要求严格依据安全制定与实施流程,确保各阶段的输入和产出文件,确保系统的安全性。 图2 安全运行与维护阶段工作流程 ●运行维护使命 关于信息安全保护等级为三级和二级的信息管理,信息管理部配备专门的人员对其的运行进行维护。 ●运行管理过程控制 a)建立操作规程 将操作过程或流程规范化，并形成指

9、导运行管理人员工作的操作规程，操作规程作为正式文件处理。 b)操作过程记录 对运行管理人员按照操作规程执行的操作过程形成相关的记录文件，可以是日志文件，记录操作的时间和人员、正常或异常等信息。 通过信息管理管理平台,对系统变更流程进行控制,包括: ●变更内容审核和审批 对变更目的、内容、影响、时间和地点以及人员权限进行审核，以确保变更合理、科学的实施。按照机构建立的审批流程对变更方案进行审批。 ●建立变更过程日志 按照批准的变更方案实施变更，对变更过程各类系统状态、各种操作活动等建立操作记录或日志。 ●形成变更结果报告 收集变更过程的各

10、类相关文档，整理、分析和总结各类数据，形成变更结果报告，并归档储存。活动输出：变更结果报告。 关于二级或二级以上的系统,应严格遵循变更管理过程控制规定,在信息管理管理平台中,遵循变更流程进行操作。 ●安全关键点分析 对影响系统、业务安全性的关键要素进行分析，确定安全状态监控的对象，这些对象可能包括主机、服务器、存储、防火墙、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象；也可能包括安全标准和法律法规等外部对象。 ●形成监控对象列表 依据确定的监控对象，分析监控的必要性和可行性、监控的开销和成本等因素，形成监控对象列表。活动输

11、出：监控对象列表。 ●状态分析 对安全状态信息进行分析，及时发现险情、隐患或安全事件，并记录这些安全事件，分析其发展趋势。 ●影响分析 依据对安全状况变化的分析，分析这些变化对安全的影响，通过推断他们的影响决定是否有必要作出响应。 ●形成安全状态分析报告 依据安全状态分析和影响分析的结果，形成安全状态分析报告，上报安全事件或提出变更必需求。活动输出：安全状态分析报告。 关于安全保护等级为三级的信息管理，必需要对系统的运行状态、容量使用状况等严格进行实时监控。 ●安全事件调查和分析 针对各类安全事件列表，调查本系统内安全事件的类型、安全事

12、件对业务的影响范围和程度以及安全事件的敏感程度等信息，分析对安全事件进行响应恢复所必需要的时间。 ●安全事件等级划分 依据以上调查和分析结果，依据信息安全事件造成的损失程度，信息管理遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，确定事件等级，制定安全事件的报告程序。 三级以上的信息管理,必需严格遵循安全事件处理流程,即时调查解决问题并进行上报。 图3 信息管理中止流程 5.7.5.2信息转移、暂存和清除 ●识别要转移、暂存和清除的信息资产 依据要终止的信息管理的信息资产清单，识别重要信息资产

13、所处的位置以及当前状态等，列出必需转移、暂存和清除的信息资产的清单。 ●信息资产转移、暂存和清除 依据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。如果是涉密信息，应该按照国家相关部门的规定进行转移、暂存和清除。 ●处理过程记录 记录信息转移、暂存和清除的过程，包括参加的人员，转移、暂存和清除的方式以及目前信息所处的位置等。 ●软硬件设备识别 依据要终止的信息管理的设备清单，识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等，列出必需迁移、废弃的设备的清单。 ●制定硬件设备处理方案 依据规定和实际状况制定设备处理方案，包

14、括重用设备、废弃设备、敏感信息的清除方法等。 ●处理方案审批 包括重用设备、废弃设备、敏感信息的清除方法等的设备处理方案应该经过主管领导检察和批准。 ●设备处理和记录 依据设备处理方案对设备进行处理，如果是涉密信息的设备，其处理过程应符合国家相关部门的规定；记录设备处理过程，包括参加的人员、处理的方式、是否有残余信息的检查结果等。 ●识别要清除或销毁的介质依据要终止的信息管理的存储介质清单，识别载有重要信息的存储介质、所处的位置以及当前状态等，列出必需清除或销毁的存储介质清单。 ●确定存储介质处理方法和流程 依据存储介质所承载信息的敏感程度确定对存

15、储介质的处理方式和处理流程。存储介质的处理包括数据清除和存储介质销毁等。关于存储涉密信息的介质应按照国家相关部门的规定进行处理。 ●处理方案审批 包括存储介质的处理方式和处理流程等的处理方案应该经过主管领导检察和批准。 ●存储介质处理和记录 依据存储介质处理方案对存储介质进行处理，记录处理过程，包括参加的人员、处理的方式、是否有残余信息的检查结果等。 应强化对外包商、外包项目以及外包服务的安全管理。进行外包商资质检察、外包项目过程风险审计、外包服务人员日常管理。具体管理制度及办法可参照外包管理制度。 强化对全体员工的信息安全教育和培训，定期执行信息安

16、全风险教育培训，不断加强员工的信息安全意识和能力。培训对象应包括但不限于：研发部、信息管理部、业务部门、审计部等。 采用强化对客户的信息安全风险宣扬教育工作，宣扬方式包括但不限于： ●网站信息安全风险知识宣扬； ●业务办理单客户关注事项； ●营业厅银行相关知识宣扬教育。 为尽可能小地影响用户和用户业务的状况下使IT系统尽快恢复，从而维持优良的服务质量和可用性级别，本公司制定了信息安全事件响应处理制度，明确安全事件处理流程。对信息安全事件的处理应满足如下要求： ●信息管理安全事件报告制度和处理流程应清楚、明确和完善； ●信息管理安全事件报告制度和处理

17、流程应遵从信息管理安全制度； ●信息管理安全事件应进行分级管理； ●信息管理安全事件响应流程应定期进行演练； ●内审部门应对演练过程进行审计； ●对演练中存在的问题应及时进行整改； ●信息管理安全事件制度中应包括信息披露的相关要求，对披露对象和内 容应进行明确的规定。 内外审计应全程贯穿信息安全活动，包括信息安全管理制度的制定，信息安全管理制度执行状况，信息安全事件响应流程，信息安全风险披露等： ●信息管理安全制度应经过内审部门审计评估，相关制度依据审计报告进 行修改； ●对信息管理安全制度执行状况进行过审计，并依据审计结果更新制度； ●对信息安全事件响应演练过程进行审计，对演练中存在的问题及时整改。 为强化全体员工的信息安全意识，有效防止信息安全事故的发生，对违反信息安全方针、制定文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它状况下有意轻视信息安全程序的员工的威慑，必需制定信息安全违规处罚制度。 6附则 本制度由北京国都信业科技企业信息管理部负责解释和修订。 本制度自发文之日起施行。