银行业信息安全管理体系手册

1、信息安全管理体系文件isms-01-a信息科技部信息安全管理体系手册a版目录1 目的和适用范围32 引用标准33 术语和定义34信息安全管理体系34.1 总要求34.2建立和管理isms44.2.1建立 isms44.2.2 isms实施及运作84.2.3 isms的监督检查与评审94.2.4 isms保持与改进104.3.2 文件控制104.3.3 记录控制115 管理职责115.1 管理承诺115.2 资源管理126.内部isms审核127 isms 管理评审147.1 总则147.2 管理评审的输入147.3 管理评审的输出148 isms持续改进158.1 持续改进158.2 纠正措施

2、158.3 预防措施15修订历史记录版本日期修订者修订描述1.01 目的和适用范围目的为建立、健全银行信息科技部信息安全管理体系（简称isms），确定信息安全方针和目标，对信息安全风险进行有效管理，确保信息科技部全体员工理解并遵照执行信息安全管理体系文件、持续改进isms有效性，特制定本手册。范围本手册适用于银行信息科技部（信息科技部位于银行第八层）安全管理活动。2 引用标准iso/iec 27001:2005 iso/iec 27002:20053 术语和定义3.1本手册中使用术语的定义采用iso/iec 27001：2005信息技术安全技术信息安全管理体系要求中的定义3.2 缩写isms:

3、information secutity management systems 信息安全管理体系。soa：statement of applicability 适用性说明pdca:plan、do、check、act4 信息安全管理体系4.1 总要求银行信息科技部根据iso/iec 27001:2005标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。isms所涉及的过程基于以下pdca模式：建立isms保持和改进isms实施和运作isms监控&评审 isms相关方已被管理的信息安全相关方信息安全要求&期望、法律法规策划（d）措施实施检查 4

4、.2建立和管理isms4.2.1建立 isms4.2.1.1 isms的范围和周界 1) 银行主要从事个人服务、企业服务、卡服务等，信息科技部为金融服务提供it基础架构的支持服务，确保整体金融业务过程的有序开展；2) 银行总行信息科技部所有物理区域及人员；4.2.1.2 根据业务、组织、位置、资产和技术等方面的特性，银行信息科技部在确定isms方针时，应考虑以下方面的要求：1）包括设定目标的框架和建立信息安全工作的总方向和原则。2）考虑业务和法律法规的要求，及合同中的安全义务。3）银行信息科技部根据战略性风险管理环境下，建立和保持isms。4）建立风险评估的准则。5）信息安全方针设定完成后，应

5、获得管理者的批准。4.2.1.3 信息安全管理体系方针增强科技风险意识，提升风险管理水平；满足监管机构要求，持续履行社会责任。为满足适用法律法规及相关方需求，使得生产和经营更有效的运行，使得客户信息保存传输更为安全，银行信息科技部依据iso/iec27001:2005标准，建立信息安全管理体系，以保证银行信息科技部及行内所有有关信息的保密性、完成性、可用性，实现业务可持续发展的目的。银行信息科技部承诺：1）银行信息科技部建立并完善信息安全管理体系；2）识别并满足适用法律法规和相关方信息安全要求，充分履行社会责任；3）对isms进行测量、监视、评审活动，定期按照事先设定的风险评估准则，对银行信息

6、科技部进行风险评估、isms评审、采取纠正预防措施，保证体系的持续有效；4）采用先进有效的设施和技术，处理、传递、存储和保护各类信息，实现信息共享；5）对银行信息科技部全体员工，进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；6）制定并保持完善的业务连续性计划，实现可持续发展。上述方针由银行信息科技部最高管理者发布，并定期评审其适用性、充分性，必要时予以修订。4.2.1.4 风险评估的系统方法银行信息科技部建立信息安全风险评估控制程序并组织实施。风险评估控制程序包括可接受风险准则和可接受水平，所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。具体的风险评估过程执行信息

7、安全风险评估控制程序no确定isms范围资产识别与重要信息资产确定威胁识别与评价已有控制措施确认薄弱点识别与评价风险评估（测量）是否接受保持已有的控制措施选择安全目标及控制措施实 施残余风险评审是否接受yesno4.2.1.5 风险识别在已确定的isms范围内，对所有的信息资产进行列表识别。信息资产包括软件系统、数据文档、硬件设施、人力资源及服务。对每一项信息资产，根据重要信息资产判断依据确定是否为重要信息资产，形成重要信息资产清单。4.2.1.6 评估风险1）针对每一项重要信息资产，参考信息安全威胁列表及以往的安全事故（事件）记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临的威胁

8、；2）针对每一项威胁，考虑现有的控制措施，参考信息安全薄弱点列表识别出被该威胁可能利用的薄弱点。3）综合考虑以上2点，按照威胁发生可能性等级表中的判定准则对每一个威胁发生的可能性进行赋值；4）根据威胁影响程度判断准则，判断一个威胁发生后可能对信息资产在保密性（c）、完整性（i）和可用性（a）方面的损害，进而对信息科技部业务造成的影响，来给威胁影响赋值取c、i、a的最大值为威胁影响程度的赋值；5）风险大小计算考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合，根据风险矩阵计算表来得到风险等级；6）对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风

9、险为不可接受风险。4.2.1.7 风险处理方法的识别与评价银行信息科技部根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任人、方法及时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施；a) 采用适当的内部控制措施；b) 接受某些风险（不可能将所有风险降低为零）；c) 回避某些风险（如物理隔离）d) 转移某些风险（如将风险转移给保险者、供方、分包商）。4.2.1.8 选择控制目标与控制措施a)信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结果，制定信息安全目标，将目标进行分解落实到责任人。信息安全目标应获得信息安全最高管理者的批准。b)控制目标及

10、控制措施的选择原则来源于iso/iec27001:2005标准附录a，具体控制措施可以参考iso27002:2005信息技术安全技术信息安全管理实施细则。银行信息科技部根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2.1.9 适用性声明soa信息科技部负责编制信息安全按适用性声明（soa）。该声明包括以下方面的内容：a) 所选择控制目标与控制措施的概要描述；b) 当前已经实施的控制；c) 对iso/iec27001:2005附录a中未选用的控制目标及控制措施理由的说明。该声明的详细内容见信息安全适用性声明4.2.2 isms实施及运作4.2.2.1为确保isms有效实施，对已识别

11、的风险进行有效处理，开展以下活动：1）形成风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；2）为实现已确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责；3）实施所选择的控制措施，以实现控制目标；4）进行信息安全培训，提高全员信息安全意识和能力；5）对信息安全体系的运作进行管理；6）对信息安全所需资源进行管理；7）实施控制程序，对信息安全事故（或征兆）进行迅速反应。4.2.2.2 信息安全组织机构银行信息科技部明确人员职责（包括信息安全职责）并形成文件。1） 信息科技部组织相关职能人员，成立信息安全委员会，形成银行信息科技部信息安全管理最高机构。2） 各isms负责人员

12、根据银行信息科技部的职责明确，形成书面文件。4.2.2.3 信息安全职责和权限1）银行信息科技部总经理为最高管理者，最高管理者指定：苗志勇为信息安全管理者代表，无论该成员在其他方面的职责如何，对信息安全负有以下职责：a)建立并实施信息安全管理体系必要的程序并维持其有效运行。b)对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员会或最高管理者报告（总经理）c)针对体系运行期间保证定期的监视体系运行情况、评审体系的有效性、持续改进文件化的isms。d)管理者代表监督全体员工对信息安全体系文件的执行状况。4.2.2.4 检测安全事态、响应安全事件及其他控制措施a)根据soa中规定的安全目

13、标、控制措施（包括安全运行的各种控制程序）要求实施信息安全控制措施。b)迅速检测过程运行结果中的错误c)实施实时监控，对识别试图的和得逞的安全违规和事件进行果断处理。d)通过使用指标，帮助检查安全事态并预防安全事件。e)确定解决安全违规的措施是否有效。4.2.3 isms的监督检查与评审4.2.3.1 银行信息科技部通过实施定期的安全检查、内部审核、定期的技术审查等控制措施并报告结果以实现：a)及时发现信息安全体系的事故和隐患；b)定期检查信息处理设施，及时了解信息处理系统遭受的各类攻击；c)使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；d)对于历史事件进行记录并留存档案

14、，积累信息安全事态事故等方面的经验，总结信息安全事态事件出现的征兆，防患于未然。4.2.3.2 根据以上活动的结果以及来自相关方的建议和反馈，由最高管理者主持，定期（每年至少一次）对isms的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求，见本手册第七章。4.2.3.3 信息科技部应组织有关区域负责人按照信息安全风险评估管理程序的要求对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a）组织机构发生重大变更；b）信息处理技术发生重大变更；c）银行信息科技部业务目标及流程发生重大变更；d）发现

15、信息资产面临重大威胁；e）外部环境，如法律法规或信息安全标准发生重大变更。4.2.3.4保持上述活动和措施的记录以上活动的详细程序规定于以下文件中：记录控制程序信息安全风险评估控制程序内部审核控制程序部门职位说明书4.2.4 isms保持与改进银行信息科技部开展以下活动，以确保isms的持续改进：a) 实施每年管理评审、内部审核、安全检查等活动以确定需改的项目；b) 按照内部审核控制程序、纠正预防措施程序预防措施控制程序的要求采取适当的纠正和预防措施；吸取其他商业银行及外资企业安全事故的经验c) 对信息安全目标及分解进行管理，确保改进达到预期效果；（信息安全目标及指标的分解）d) 为确保信息安

16、全管理体系持续有效，各区域负责人及内审小组通过适当的手段保持在银行信息科技部内部对信息安全措施的执行情况与结果进行有效沟通。包括获取外部信息安全专家的建议、电信运营商等组织的联系及识别信息安全要求等。如：管理评审会议、内部审核报告、信息科技部内文件体系、内部网络和邮件系统、法律法规评估报告等。e) 以上详细程序规定于以下文件中：法律法规获取和识别控制程序注：上述活动输出：会议记要和报告4.3.2 文件控制银行信息科技部制定信息安全管理体系所要求文件的管理程序，保证信息安全管理体系文件得到以下所需的控制：a) 文件的作成、发行、修订、废弃等事项得到相应授权的查阅、批准，确保文件是合适的、可行的；

17、b) 文件的标识和修订状态清晰、易于识别，确保使用的文书是当前的有效版本；c) 为了文书的有效性，要定期确认记载内容是否过时，根据需要决定保持或修改并再次得到相应的批准；d) 确保信息安全的外部标准、相应法律、法规得到明确的标识和管理；e) 以上规定的详细内容见：文件控制程序法律法规获取和识别控制程序4.3.3 记录控制4.3.3.1 信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。银行信息科技部负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理规定。该规定应指定记录的标识、存储、保护、检索、保管、废弃等事项。4.3.3.2 信息安全体系的记录包括4.2中所列

18、出的所有过程的结果及与isms相关的安全事故。银行信息科技部应根据记录管理规定的要求采取适当的方式妥善保管信息安全体系中所要求的记录。4.3.3.3 该程序详细规定见记录控制程序5 管理职责5.1 管理承诺信息安全最高管理者为确保建立、维持并持续改善信息安全管理体系特做出以下承诺：a) 制定信息安全方针；b) 确保信息安全目标和计划得以制定；c) 建立信息安全的角色和职责；d) 通过适当的沟通方式，向全体员工传达满足信息安全目标、符合信息安全方针以及法律、法规要求和持续改进的重要性；e) 提供适当的资源以满足信息安全管理体系的需求；f) 决定接受风险的准则，对可接受风险的水平进行决策；g) 确

19、定信息安全内部审核的执行；h) 实施信息安全的管理评审；5.2 资源管理5.2.1 资源提供银行信息科技部应确定并提供所需的资源，以满足以下需求：a) 建立、实施、运行、监视、评审、保持和改进isms（信息安全管理体系）b) 确保信息安全管理程序支持业务流程的要求；c) 识别和满足法律法规要求、以及合同中的安全义务；d) 切实实施已有的控制措施，保持适当的安全e) 必要时，进行评审，并对评审结果做出适当的反应；f) 在需要时，改进信息安全体系的有效性。5.2.2培训、意识和能力银行应定期对信息科技部员工的能力进行培训、意识及能力的提升，确保所有分配有isms职责的人员具有执行所要求任务的能力，

20、提升方式应具备以下几点：a) 确定从事isms工作人员的岗位职责及所必要的能力b) 提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求c) 评价所采取的措施的有效性d) 保持教育、培训、技能、经历和资格的记录（记录应建立并加以保持，以提供符合isms要求和有效运行的证据）银行信息科技部也要确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何达为到isms目标做出贡献。6.内部isms审核银行信息科技部应按照计划的时间间隔进行内部审核，管理者代表负责制定内审计划并组织实施，以判定isms规定的安全目标、控制措施、过程和程序是否：a) 符合iso/iec27001:2005标准和

21、有关法律法规要求；b) 符合已识别的信息安全要求；c) 有效实施和保持；d) 完成预期的目标。6.1 内部审核程序6.1.1 信息安全管理者代表制定信息安全管理体系年度审核计划，该计划应覆盖整个isms体系并得到信息安全管理体系最高管理者的批准（银行信息科技部总经理）6.1.2 内部审核以本手册、相应的规程、作业指导书为基准。选定的内审员应是了解行内业务流程、熟悉安全体系标准并经过培训取得信息安全内审员资格的本部员工。内审员资格需取得信息安全管理者代表的批准。6.1.3 进行内审时，管理者代表要有计划的进行以下的事项：a) 审核员的选定和教育及培训；b) 制定审核计划，指定审核员（审核员应与被

22、审核对象无直接责任关系）；c) 准备必要的相关文件。6.1.4 审核中发现的不符合事项，要向责任区域负责人报告，由责任区域负责人明确纠正措施的实施计划。6.1.5 要对该纠正措施的实施计划，进行适宜的跟踪，确认是否有效实施。6.1.6 以上的工作完成后，须经管理者代表确认后，审核流程方可关闭。6.1.7 如果发现信息安全重大不符合或征兆时，或者管理者代表判断必要时，可调整年度审核计划。6.1.8 对审核的结果进行适当的汇总整理，作为管理评审的输入材料。6.2 内部审核需保留以下记录a) 被审核对象范围b) 审核日期c) 审核员d) 被审核方e) 依据的文件f) 具体审核事项及其审查结果g) 不

23、符合内容和程度（严重或轻微及观察事项）h) 不符合事项的纠正措施和实施期限i) 纠正措施的实施状况及其效果，其他必要事项、审核结束的确凿证据以上程序详见内部审核控制程序7 isms 管理评审7.1 总则 信息安全最高管理者为确认信息安全管理体系的适宜性、充分性和有效性，每半年对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价。管理评审的结果应形成书面记录，该记录按4.3.3的要求进行保存。7.2 管理评审的输入 在管理评审时，管理者代表应组织相关人员提供以下资料，供最高管理者和信息安全委员会进行评审：a) isms体系内、外部审核的结果；b) 相关方的反馈（投诉、抱怨、建议）；c) 可以用来改进isms业绩和有效性的新技术、产品或程序；d) 信息安全目标达成情况，纠正和预防措施的实施情况；e) 信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁；f) 上次管理评审时决定事项的实施情况；g) 可能影响信息安全管理体系变更的事项（标准、法律法规、相关方要求）；h) 对信息安全管理体系改善的建议。7.3 管理评审的输出 信息安全管理最高管理者对以下事项做出必要的指示：a) 信息安全管理体系有效性的改善事项；b) 信息安全