银行业信息安全管理体系手册

信息安全管理系统文件ISMS-01-A信息技术部信息安全管理系统文档a版目录1目标和服务范围32参考基准33术语和定义34信息安全管理系统34.1一般要求34.2建立和管理ISMS44.2.1创建ISMS44.2.2 ISMS实施和操作84.2.3 ISMS监督检查和审查94.2.4维护和改进ISMS 104.3.2文件控制104.3.3记录控制115管理职责115.1管理承诺115.2资源管理126.内部ISMS审核127 ISMS管理审查147.1一般规则147.2输入管理复查147.3管理审查结果148 ISMS持续改进158.1持续改善158.2纠正措施158.3预防措施15修订历史记录版本日期修改者修改说明1.01目标和复盖范围目的为建立和改进银行信息技术部门信息安全管理系统(ISMS)，我们开发了本指南，以确定信息安全策略和目标，有效管理信息安全风险，让信息技术部门全体员工了解和实施信息安全管理系统文件，并不断提高ISMS效果范围本手册适用于银行信息技术部门(信息技术部门位于银行8楼)的安全管理活动。2参考依据ISO/IEC 27001:2005信息技术安全技术信息安全管理系统要求ISO/IEC 27002:2005信息技术安全技术信息安全管理实施规则3术语和定义3.1本指南中使用的术语定义使用iso/iec 27001: 2005 信息技术安全技术信息安全管理体系要求中的定义3.2缩写isms : information secu tity management systems信息安全管理系统。SoA:应用程序可用性说明PDCA:Plan，DO，Check，Act4信息安全管理系统4.1一般要求银行信息技术部门根据ISO/IEC 27001:2005标准，在总体业务活动和面临风险的环境中构建、实施、运营、监视、审查、维护和改进记录的信息安全管理系统。ISMS处理的过程基于以下PDCA模式：创建ISMS维护和改进ISMSISMS实施和操作监视审查ISMS相关人员受管理的信息安全相关人员信息安全要求期望、法律和法规计划(d)措施实施检查4.2创建和管理ISMS4.2.1创建ISMS4.2.1.1 ISMS的范围和周长1) # #银行主要从事个人服务、企业服务、卡服务等，信息技术部门为金融服务提供IT基础结构的支持服务，以确保整个金融业务流程的秩序。2) # #银行总部信息技术部的所有物理区域和人员；4.2.1.2根据业务、组织、位置、资产和技术等特征，银行信息技术部在确定ISMS准则时必须考虑以下要求：1)包括目标设置框架和信息安全工作制定的总体方向和原则。2)考虑工作和法律法规的要求以及合同中的安全义务。3) # #银行信息技术部门根据战略风险管理环境建立和维护ISMS。4)制定风险评估准则。5)设置完信息安全策略后，必须获得管理员的批准。4.2.1.3信息安全管理系统指南提高对科技风险的认识提高风险管理水平满足监管机构要求，继续履行社会责任。为了满足相关法律法规和相关各方的要求，优化生产和运营，使客户信息的保留和传输更加安全，银行信息技术部按照ISO/IEC27001:2005标准构建了确保所有相关信息的机密性、完整性和可用性的信息安全管理系统，从而确保了业务的可持续发展。银行信息技术部承诺：1) # #银行信息技术部建立和完善信息安全管理系统。2)确定并满足相关法律和相关当事人的信息安全要求，充分履行社会责任。3)对ISMS进行测量、监视、审查活动，并根据预设的风险评估准则对# #银行信息技术部进行风险评估、ISMS审查、纠正预防措施，以确保系统的持续有效；4)采用先进的设施和技术处理、传递、存储和保护各种信息，以便共享信息；5)对银行信息技术部全体员工进行持续的信息安全培训和培训，不断加强员工的信息安全意识和能力。6)制定并维护健康的业务连续性计划，以实现可持续发展。上述方针由银行信息技术部首席执行官发布，定期审查其适用性、妥当性，必要时修改。4.2.1.4风险评估的系统方法银行信息技术部门建立信息安全风险评估控制程序，组织实施。风险评估控制程序包括可接受的风险标准和可接受的水平，选择的评估方法要求风险评估产生可比较和可重复的结果。特定风险评估流程将执行信息安全风险评估控制程序否确定ISMS范围识别资产和确定重要信息资产威胁识别和评估已确认控制活动弱点识别和评价风险评估(测量)是否接受保留现有控制措施选择安全目标和控制措施实施复查剩馀风险是否接受耶斯否4.2.1.5识别风险识别已确认的ISMS范围内的所有信息资产的列表。信息资产包括软件系统、数据文档、硬件设施、人力资源和服务。对于每个信息资产，根据重要信息资产判断标准确定是否是重要信息资产，构成重要信息资产清单。4.2.1.6风险评估1)对所有重要信息资产，参考信息安全威胁列表和以前的安全事件(事故)记录、信息资产所在的环境等，确定所有重要信息资产的威胁。2)对于每个威胁，请参考信息安全薄弱点列表以考虑现有控制措施，确定该威胁可能利用的漏洞。3)综合考虑上述两个事项，对各威胁发生的可能性按照威胁发生可能性等级表的判断标准分配值。4)根据威胁影响程度判断准则，确定威胁对信息资产机密性(c)、完整性(I)和可用性(a)的影响，确定对信息技术部门业务的影响，并将威胁影响分配(c、I、a的最大值分配给威胁影响级别)。5)风险大小计算考虑了威胁造成安全障碍的可能性及其影响程度，根据风险矩阵计算表获得风险级别。6)对于信息安全风险，请考虑控制措施和成本平衡，建立风险接受准则以确定哪些级别的风险是不可接受的。4.2.1.7风险处理方法的识别和评估银行信息技术部根据风险评估结果组成风险处理计划，该计划需要明确风险处理负责人、方法和时间。对于信息安全风险，应考虑控制措施和成本平衡原则，选择以下适当措施：a)采取适当的内部控制措施；b)接受特定风险(不能将所有风险减少到零)；c)特定的风险规避(例如物理隔离)d)特定风险(例如，将风险转移给保险人、提供者和分包商)。4.2.1.8选择控制目标和控制措施a)信息安全管理委员会根据信息安全策略、业务发展要求和风险评估的结果，制定将目标划分给负责人的信息安全目标。信息安全目标需要得到信息安全最高管理者的批准。b)控制目标和控制措施选择原则来自ISO/IEC27001:2005标准附录a，具体控制措施可参阅iso 27002:5信息技术安全技术信息安全管理实施细则。银行信息技术部门可以根据信息安全管理的需要选择标准以外的其他控制措施。4.2.1.9合格声明SoA信息技术部负责信息安全按适用性声明 (SoA)的准备工作。声明包括：一)选定控制目标和控制措施的简要说明；b)目前实施的控制；C) ISO/IEC27001:2005附录a中未选择的控制目标和控制措施的理由说明。有关声明的详细信息，请参阅信息安全适用性声明4.2.2 ISMS实施和操作4.2.2.1要有效处理确定的风险以确保有效实施ISMS，请执行以下活动：1)形成风险处理计划，确定适当管理措施、责任和安全控制措施的优先顺序；2)为实现确定的安全目标，实施风险处理计划，明确每个职位的信息安全责任。3)实施选定的控制措施，实现控制目标。4)实施信息安全教育，提高整体信息安全意识和能力；5)管理信息安全系统的运行。六)信息安全所需的资源管理；7)实施控制程序，以便快速响应信息安全事件(或征兆)。4.2.2.2信息安全机构银行信息技术部明确包括信息安全责任在内的人事责任，并编制文件。1)信息科学技术部组织相关职能院，成立信息安全委员会，形成# #银行信息科学技术部信息安全管理最高机关。2)每个ISMS主管根据# #银行信息技术部门的职责制作了书面文档。4.2.2.3信息安全责任和权限1) # #银行信息技术部总经理是首席经理，首席执行官指定：苗志勇是信息安全经理，无论其成员的其他角色如何，对信息安全都负有以下责任：a)建立和实施信息安全管理系统所需的程序，以保持有效运行。b)向信息安全管理委员会或首席执行官报告信息安全管理系统的运行和必要的改善措施(总经理)c)在系统运行期间，确保定期监视系统运行，审查系统有效性，不断改进文件处理的ISMS。d)经理代表监督全体员工信息安全系统文件的执行。4.2.2.4安全状况检测、安全事件响应和其他控制措施a)根据控制措施要求(包括SoA中规定的安全目标和安全执行的各种控制程序)实施信息安全控制措施。b)快速检测流程执行结果中的错误c)实施实时监控以确定已尝试和已成功的安全违规和事件。d)利用指标确认安全事态，帮助预防安全事故。e)确定安全违规更正操作是否有效。4.2.3监督、检查和审查ISMS4.2.3.1 # #银行信息技术部执行定期安全检查、内部审计、定期技术审查等控制措施，并报告结果，以：a)及时发现信息安全系统的事故和隐患；b)定期检查信息处理设施，及时了解信息处理系统遭受的各种攻击。c)让管理员确定信息安全活动是否有效，并根据优先级确定要采取的措施。d)记录和保存历史事件，积累信息安全事故等经验，总结信息安全事件的发生征兆，防患于未然。4.2.3.2根据上述活动结果以及利益相关方的建议和反馈，由最高管理者主持，定期(每年至少一次)审查ISMS的有效性，包括对信息安全范围、准则、目标和控制措施的有效性的审查。管理评审的具体要求见本指南第7章。4.2.3.3信息技术部应根据有关地区负责人信息安全风险评估管理程序的要求定期审查风险处理后的剩馀风险，以确保剩馀风险达到可接受的水平，并对以下变更情况及时进行风险评估：一)组织的重大变化；b)信息处理技术的重大变化；C) # #银行信息技术部门的业务目标和流程发生了重大变化；d)发现信息资产面临重大威胁；e)对法律法规或信息安全标准进行了重大更改的外部环境。4.2.3.4保持上述活动和措施的记录上述活动的详细程序载于以下文件：记录控制程序 信息安全风险评估控制程序 内部审核控制程序 部门职位说明书4.2.4维护和改进ISMS银行信息技术部门为确保ISMS的持续改进，将进行以下活动：a)实施年度管理审查、内部审计、安全检查等活动，以确定要更改的项目。b)根据内部审核控制程序，纠正预防措施程序 预防措施控制程序的要求，采取适当的纠正和预防措施。其他商业银行和外商投资企业安全事故的经验c)管理信息安全目标和分解，以确保改进达到预期的效果。(信息安全目标和指标分解)d)为了确保信息安全管理系统的持续效率，各地区负责人和内部审计小组通过适当的手段# #在银行信息技术部内有效地沟通信息安全措施的实施和结果。包括外部信息安全专家的建议、确定通信运营商等组织的联系方式和信息安全要求。管理审查会议、内部审计报告、信息技术部内部文件系统、内部网络和邮件系统、法律和法规评估报告等。e)上述详细程序载于以下文件：法律法规获取和识别控制程序注：上述活动输出：会议记录和报告4.3.2文件控制银行信息技术部对信息安全管理系统要求的文件制定管理程序，确保信息安全管理系统文件受到以下控制：a)文件的撰写、发行、修订、作废等事项，将经过适当的许可审查、批准，以确保该文件适当且可行。b)文档的标识和修订状态清晰方便，确保使用中的文档是当前有效的版本。c)为了验证文档，定期检查记录内容是否过时，根据需要保留或修改，并决定再次获得适当的批准。d)明确确定和管理确保