北京联华中安信息安全管理策略.docx

北京联华中安信息安全管理策略为满足北京联华中安信息技术有限公司信息安全管理、信息安全保障和合规的需要，根据北京联华中安信息安全管理方针，特制订本管理策略。目的是指导公司通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的补救措施，使风险水平降低到可以接受的程度。一、安全管理制度的策略使信息安全管理的发展方向和相关工作能够满足公司业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到公司信息安全所有相关单位中。策略一：建立和发布信息安全管理文档体系1、策略目标：使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。2、策略内容：建立联华中安信息安全管理文档体系，发布到相关单位。3、策略描述：根据北京联华中安信息安全管理方针中的方针、原则和公司特点，制订出一套文档体系，包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相关单位发布。总体发布范围包括与以上信息资产相关的联华中安所有部门、联华中安下属机构和关联公司，以及与公司有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。策略二：更新安全制度1、策略目标：安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。2、策略内容：定期和不定期审阅和更新安全制度。3、策略描述：由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。二、信息安全组织管理策略通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。策略一：在组织内建立信息安全管理架构1、策略目标： 在组织内有效地管理信息安全。2、策略内容：联华中安应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。3、策略描述：通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。策略二：管理外部组织对信息资产的访问1、策略目标： 确保被外部组织访问的信息资产得到了安全保护。2、策略内容：组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。3、策略说明：任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。三、人员安全管理策略本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。策略一：人员任用前的管理1、策略目标：在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。2、策略内容：确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。3、策略说明：在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。联华中安的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。 策略二：人员任用中的管理1、策略目标：落实信息安全管理职责，确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。2、策略内容：应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。3、策略说明：如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们可能会有意或无意地对组织的信息安全造成破坏，因此，需要在信息安全管理职责方面，对员工加以有效的限制和必要的激励，并持续进行信息安全教育与培训，可以减少信息安全事故的发生。策略三：任用的中止与变更1、策略目标：当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对公司信息资产的使用权。2、策略内容：从联华中安退出的员工、合同方人员和第三方人员要归还其所使用的设备，并删除他们对我行信息及信息系统的所有使用权；对于职责发生变化的员工、合同方人员和第三方人员，按照“最小授权”原则，要对其所拥有的信息资产访问权做相应的变更。3、策略说明：信息资产总是与特定的使用主体相关，当使用主体的职责发生变化时，与其职责相关的访问权限应当及时做出相应变化。在实施此策略时，负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通，共同负责对员工及合同方人员的任用终止处理；对于合同方的终止职责处理，要与合同方代表进行协作，其他情况下的用户可能由他们的来处理。当资产的访问权和使用权发生变更及公司人员及运行发生变化时，要及时通知各相关方。四、系统开发与维护管理策略本节的六个安全策略旨在确定联华中安获取、开发、维护信息系统所应遵守的关键控制点。在信息系统获取和开发过程中就需要加强对信息安全的管理与控制，只有集成在软件开发过程中的安全措施，才能真正起到预防与控制风险的作用，而且在软件开发生命周期中，越早引入控制措施，将来运行与维护费用就越少。策略一：确定信息系统的安全需求1、策略目标：确保将安全作为信息系统建设的重要组成部分。2、策略内容：应用系统的所有安全需求都需要在项目需求分析阶段被确认，并且作为一个信息系统的总体构架的重要组成部分，要得到对其合理性的证明、并获得用户认可，同时要记录在案。3、策略说明：信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全，信息系统的安全控制应该在系统开发设计阶段予以实现，要确保安全性已构成信息系统的一部分，公司应该在信息系统开发前，或在项目开始阶段，识别所有的安全要求，并作为系统设计不可缺少的一部分，进行确认与调整。策略二：在应用中建立安全措施1、策略目标： 避免应用系统在运行过程中发生故障，并防止在应用软件系统中的用户数据的丢失、改动或者滥用。2、策略内容：应当把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。这些措施应当包括对输入数据、内部处理和输出数据的检验。3、策略说明：要保证应用系统的安全，需要在软件开发过程中，集成适当的安全控制技术措施，而且要在应用系统需求和应用系统设计中进行明确的表达。信息安全管理人员或IT审计人员需要在需求评审阶段，着重检查必要的输入、处理和输出控制措施是否集成在系统中。策略三：实施密码控制1、策略目标：保护信息的保密性、完整性和有效性。2、策略内容：对于面临非授权访问威胁的信息，当其它管理措施无法对其进行有效保护时，应当用密码系统和密码技术进行保护。3、策略说明：为防止公司敏感信息的泄露，可以利用加密技术对其进行处理后进行存储与传输；为防止重要信息被篡改或伪造，可以利用加密的办法对信息的完整性进行鉴别；在电子商务过程中，可以通过加密技术的应用（如数字签名）进行交易双方身份真实性认证，并防止抵赖行为的发生。策略四：保护系统文件的安全1、策略目标：为确保IT项目和支持行为以安全的方式进行，应当控制对系统文件的访问。2、策略内容：应当维护系统文件中信息的完整性，这是应用程序系统、用户及开发人员的共同责任。3、策略说明：系统文件是一种全局文件，可视为所有用户程序所用的文件（另一种解释是一种仅供操作系统访问的文件）。系统文件面临的典型威胁是使用错误的程序版本，从而导致数据的错误处理与数据破坏，以及由于测试目的使用操作数据而导致的信息泄露。因此要采取措施保护系统文件的安全。策略五：保证开发和支持过程的安全1、策略目标：维护应用程序系统中的软件和信息的安全。2、策略内容：公司应当对项目和支持环境进行严格控制，即对应用系统、操作系统及软件包的更改及软件外包活动进行安全控制。3、策略说明：在应用系统的开发与维护过程中，应用程序的未授权修改、未进行评审的操作系统的更改、未加限制的软件包的更改等都会给公司的应用系统带来安全风险。所以要对应用软件开发与支持过程中的安全加以控制。策略六：对技术脆弱性进行管理1、策略目标：减少由利用公开的技术脆弱点带来的风险。2、策略内容：应及时获得公司所使用的信息系统的技术脆弱点的信息，评估公司对此类技术脆弱点的保护，并采取适当的措施。3、策略说明：技术脆弱点管理应该以一种有效的、系统的、可反复的方式连同可确保其有效性的措施来实施。这些考虑应包括在用操作系统和任何其它的应用。五、业务连续性管理策略制定和实施一个完整的业务持续计划应从理解自身业务的开始，进行业务影响分析和风险评估，在此基础上由管理高层形成本我行的业务持续战略方针，然后规划业务持续计划，进行计划的测试与实施，最后进行计划的维护与更新，并通过审计保证计划不断改进和完善。本策略的制定旨在促进我行建立业务连续性计划，实现业务连续性管理。策略一：建立业务连续性管理程序1、策略目标：保护公司的关键业务流程不会因信息