ISO27001-2013信息安全管理体系管理手册及程序文件

IS027001-2013信息安全管理体系管

理手册及程序文件IS027001-2013信息安全管理体系管理手册[GBT22080-2016管理手册】1概述1.1背景2颁布令1.3授权书2总则1目的2范围3使命和愿景4信息安全方针5信息安全管理体系方针6裁剪说明7依据文件8定义与缩写3信息安全管理体系1体系概述2文件要求3体系文件架构4文件控制5记录控制4管理职责1管理者承诺.2资源提供.3内部审核4管理评审5体系改进1持续改进2纠正和预防措施

信息安全管理体系文件清单一阶文件HRBB-ISMS-01-01信息安全管理手册HRBB-ISMS-01-02适用性声明SOA二阶文件体系运行HRBB-ISMS-02-01信息安全方针HRBB-ISMS-02-02信息安全管理体系术语定义HRBB-ISMS-02-03信息安全风险评估管理程序HRBB-ISMS-02-04文件控制管理程序HRBB-ISMS-02-05记录控制管理程序HRBB-ISMS-02-06信息安全管理评审程序HRBB-ISMS-02-07信息安全内部审核管理程序HRBB-ISMS-02-08信息安全目标与度量管理程序HRBB-ISMS-02-09纠正预防控制管理程序信息安全管理HRBB-ISMS-02-10信息安全组织建设管理程序HRBB-ISMS-02-11第三方信息安全管理程序HRBB-ISMS-02-12信息资产安全管理程序HRBB-ISMS-02-13人员信息安全管理程序HRBB-ISMS-02-14物理和环境安全管理程序HRBB-ISMS-02-15信息安全事件管理程序HRBB-ISMS-02-16业务连续性管理程序HRBB-ISMS-02-17法律法规符合性管理程序

信息安全技术HRBB-ISMS-02-18网络和系统安全管理程序HRBB-ISMS-02-19信息系统访问控制管理规定HRBB-ISMS-02-20信息系统开发与项目安全管理程序HRBB-ISMS-02-21日常运行安全管理程序HRBB-ISMS-02-22数据备份与恢复管理程序HRBB-ISMS-02-23介质管理与销毁管理规定信息安全检查HRBB-ISMS-02-24安全检查与审计管理程序HRBB-ISMS-02-25安全职责考核管理程序1、1、本手册是XX科技信息公司发展部（以下简称“科技发展部”）根据《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》标准的要求，结合科技发展部现状和发展需求制定，经科技发展部信息安全工作指挥小组审核，由最高管理者批准颁布并执行。本手册规定了科技发展部信息安全管理体系范围内的管理职责、内部审核、管理评审和信息安全管理体系改进等方面的内容。a）背景XX科技信息公司是一家新兴的股份制公司，成立于2007年2月，总部位于中国XX省深圳市，现设有170余个营业机构，截至2019年末，资产总额10亿元，科技发展部是公司生产运营与科技单元的职能部门，主要负责IT系统规划、IT支持、信息安全、项目管理等工作。科技发展部下辖运行维护中心和IT研发中心，运行维护中心主要负责生产核心系统、其它信息系统和信息科技基础设施的运行、维护和升级，灾难备份中心管理等工作；IT研发中心负责业务系统开发、系统测试及上线、系统维护和创新研究等工作。科技发展部高度重视信息安全工作，不断在安全组织和安全管理制度建设、安全技术应用等方面持续开展工作。b)颁布令为提高XX科技信息公司科技发展部的信息安全管理水平，保障科技发展部贯彻落实“生产安全、运行稳定、支持有力、服务高效、操作严谨、管理规范”的基本要求，发挥“服务、管理、内控、效益”四大功能，树立哈尔滨银行的“技术实力精湛、精细化管理、企业文化”形象，防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，科技发展部开展贯彻(GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》的工作，建立文件化的信息安全管理体系，制定了《信息安全管理手册》。本手册是科技发展部信息安全管理的纲领性文件，是指导科技发展部建立并实施信息安全管理体系的纲领和行动准则，用于贯彻科技发展部的信息安全管理方针，实现科技发展部信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本手册的要求，自觉贯彻管理方针，严格执行本手册的各项规定，努力实现科技发展部生产运行和日常办公的安全。本手册自颁布之日起生效执行。XX科技信息公司总经理C)授权书为了贯彻执行信息安全管理体系，满足WB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》的要求，加强对信息安全管理体系建设和持续运行的领导工作，特任命—李柏伦—同志为哈尔滨银行科技发展部信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：＞领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估；＞协调与信息安全管理体系有关的各项工作；＞确保在科技发展部内提高员工信息安全意识；＞督促信息安全管理体系内部审核和信息安全检查的开展；＞协助最高管理者进行信息安全管理体系的管理评审；＞向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。总经理:目的本手册为XX科技信息公司科技发展部信息安全管理体系（ISMS）的建立和运行提供指导，并保证科技发展部的信息安全管理体系符合《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》的要求，从而确保：（一）科技发展部信息的保密性、完整性和可用性。（二）科技发展部各项业务的连续性。（三）科技发展部信息安全管理体系符合中华人民共和国、中国人民银行、公安部、中国银行业监督管理委员会、哈尔滨银行总行的各种强制性规定、规则及适用的相关惯例、准则和协议。范围本手册所描述的信息安全管理体系适用于哈尔滨银行科技发展部。科技发展部信息安全管理体系覆盖科技发展部所有部门，涵盖科技发展部职责范围内信息系统运行维护、计算机设备管理、人员信息安全、数据安全等在内的各项信息安全管理相关活动。科技发展部信息安全管理体系的建设遵循（GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》，并接受外部权威机构认证审核，认证范围是哈尔滨银行科技发展部。C)使命和愿景利用信息科技促进我行发展战略的实现，在金融产品和服务创新工作中，发挥IT在技术创新方面的先导作用，加强IT在我行风险防范和合规管理方面的支持，力争实现信息科技三年内达到股份制银行中等水平，五年内步入领先行列的发展目标。信息安全方针科技发展部的信息安全管理遵循哈尔滨银行的“细节决定成败，合规创造价值，责任成就事业”管理理念和“违规就是风险，安全就是效益”风险理念。科技发展部的信息安全方针是：预防为主，分级保护，分层负责,持续改进。预防为主：科技发展部信息安全工作贯彻预防为主的指导思想，采取各项主动预防措施，建立信息安全和操作风险防控体系，增强全员安全意识，完善应急机制，加强内部安全检查，做到防患于未然。分级保护：科技发展部按照信息系统的重要程度划分相应等级，根据信息系统的等级采取相应的保护措施，保证科技发展部各信息系统得到适当等级的保护。分层负责：科技发展部建立层次化的信息安全组织，确保责任逐层分解并落实。持续改进：科技发展部按照PDCA模型进行信息安全管理的持续改进，保证信息系统在动态变化的过程中始终得到全面的保护。信息安全管理体系方针科技发展部信息安全管理体系的方针是：在哈尔滨银行的全面风险管理框架下，识别业务和法律法规及合同中的安全要求，确定信息安全风险评价的准则，通过建设信息安全管理体系，有效控制信息安全风险，保障科技发展部生产运行和日常办公的安全。裁剪说明《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》的条款对于科技发展部信息安全管理体系的适用关系，详见《适用性声明》。依据文件本手册制定参考并依据了下列文件资料，更详细参见《法律法规符合性管理规定》。a.法律法规：是指中华人民共和国颁布的、所有相关且具有约束和指导作用的法律、法规。b.国际惯例：是指公司开办国际业务必须遵循的具有约束和指导作用的国际通用惯例。C.标准：(1)遵循标准：《GB/T22080-2016/ISO/IEC27001:2013信息(2)参照标准：《GB/T22081-2016/IS0/IEC27002:2013信息技术安全技术信息安全管理实用规则》定义与缩写《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》、《GB/T22081-2016/IS0/IEC27002:2013信息技术安全技术信息安全管理实用规则》文中所述定义和术语均适用于本手册。此外，本手册还使用《信息安全管理体系术语定义》中的定义与缩写。信息安全管理体系体系概述科技发展部按照《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》的要求，同时考虑银行服务行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理,建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，保障科技发展部信息的保密性、完整性和可用性，确保各项业务的连续性。为建立和实施信息安全管理体系，科技发展部信息安全管理采用过程方法，把与信息安全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体系。具体包括：a.识别并确定科技发展部信息安全管理体系相关的策略、目标、过程和程序，改进信息安全以达到期望的结果。b.依据“过程模式”确定上述过程的顺序和相互关系。c.将过程充分展开，明确信息安全控制点，编制形成信息安全管理体系文件。d.配置适当的资源，提供必要的支持和信息，以保证过程的有效运作。e.持续度量、监控和分析这些过程，并进行必要的改进。文件要求科技发展部信息安全管理体系文件包括：第一章《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》所要求的信息安全管理手册。第二章《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》所要求的程序文件和作业指导书。第三章《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》所要求的记录。第四章科技发展部为确保信息安全所要求的其他相关文件。c)体系文件架构科技发展部信息安全管理体系文件包括四个层次：即信息安全管理手册、管理规定/规程/程序类文件、实施细则/管理细则/操作指南图1信息安全体系文件架构图各层级文件所关注的内容依次如下：第一条一阶文件：关于信息安全管理体系的策略声明文件，即体系管理手册。第二条二阶文件：关于《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》各个控制域的标准指南文件，体现信息安全管理体系在各个方面的目标规范和基本要求。第三条三阶文件：关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制和对具体业务工作的安全管理要求。第四条四阶文件：关于信息安全体系运行的各类记录和报告，体现各项工作能够按照三阶文件的具体要求有效开展。文件控制科技发展部对与信息安全管理体系要求有关的文件进行严格控制，以满足《GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求》，具体要求包括：a.确保文件编制、评审、批准、发放、使用、修改、作废得到有效的控制。b.确保文件清晰可辨，版本标示清楚，易于识别和检索。c.确保在使用时可获得最新、有效版本的适用文件。d.确保外来文件得到识别，对文件的分发加以控制。e.对不同媒体和不同种类的文件，采取相应的控制。f.防止作废文件的非授权使用，保留作废文件时，对这些文件进行明确的标识。科技发展部对信息安全管理体系文件的控制、公文管理、电子文件及保密文件的控制做出规定，相关控制要求参见《文件控制管理规定》。记录控制为提供符合要求且表明信息安全管理体系有效运行的证据，保证管理过程的可追溯性，科技发展部通过编制并实施《记录控制管理规定》及相关文件，规定了信息安全相关记录的标识、收集、归档、保管、借阅、销毁和检查等要求，确保信息安全相关记录能够保持清晰、易于识别和检索。在体系运行期间各部门应保持相应的信息安全记录控制清单并明确责任人，同时遵守记录的保存期限及存档要求。管理职责管理者承诺经哈尔滨银行行长授权，科技发展部管理者代表对建立、实施信息安全管理体系并持续改进作出承诺：第一条通过内部网络、刊物、会议、培训等形式，向全体员工传达满足客户和法律法规、监管要求及哈尔滨银行总行要求的重要性，持续加强员工的信息安全意识，使员工积极参与提高信息安全水平的相关活动。第二条制定信息安全方针，以明确科技发展部信息安全管理的宗旨和方向。第三条实施管理评审，确保信息安全管理体系的适宜性、充分性和有效性。具体参见《信息安全管理评审规定》。第四条确保与建立和改进信息安全管理体系所需资源的充分获得和有效配置。资源提供为了保证信息安全管理体系的建立、实施、运行、监控、评审和维护，最高管理者代表需确保提供并合理配置了所需的资源，并确保承担信息安全管理体系工作的人员具备相应能力。具体要求包括：（一）组织科技发展部成立信息安全工作指挥小组及其办公室，确定科技发展部范围内从事信息安全管理工作的专职、兼职人员，以保证体系的运行。科技发展部确定从事信息安全工作的人员所必要的能力，提供所需的教育和培训，评价所采取措施的有效性，确保员工意识到所从事活动的重要性以及如何为实现信息安全方针做出贡献。（二）职责科技发展部确保内部的职责权限得到有效定义和划分，确保科技发展部信息安全管理体系得到有效运行。科技发展部的信息安全管理体系的机构设置详见《信息安全组织建设管理规定》。（三）培训、意识和能力制定并实施人力资源管理文件，确保被分配信息安全管理体系规定职责的所有人员，都有能力执行所要求的任务，为此必须：a.确定承担信息安全管理体系工作的岗位人员所必要的能力要求。b.提供必要的职业技术教育和技能培训或采取其他的措施来满足这些要求。C.评价所采取措施的有效性。d.保留教育、培训、技能、经验和资历的记录。内部审核科技发展部规定了开展体系内部审核的原则、频次、实施步骤等内容，旨在通过内部审核，及时发现科技发展部信息安全管理体系在符合性、有效性等方面存在的问题，及时采取纠正措施，保持科技发展部信息安全管理体系的适宜性、充分性和有效性。内部审核适用于科技发展部各部门与信息安全管理有关的所有活动的审核。具体参见《信息安全内部审核管理规定》。管理评审每年(间隔不超过12个月)定期由科技发展部管理者代表主持召开科技发展部信息安全管理体系管理评审会议，评价信息安全管理体系的适宜性、充分性、有效性。具体工作依照《信息安全管理评审规定》。管理评审需要输入文件，输入文件由各部门编制，应包括但不限于：内部审核报告、纠正预防措施需求及实施情况报告、上次管理评审决议的落实情况、信息安全方针的修订需求等。管理评审会议的参加人员包括科技发展部及各中心负责人和相关人员。管理评审的结果以决议形式下发，科技发展部及时组织学习并落实，以确保有关决议的要求得到满足。管理评审活动相关记录由信息安全工作指挥小组办公室负责保存。体系改进持续改进通过对内部审核等各项监测活动结果的分析，采集内外部与信息安全管理有关的信息，为信息安全管理体系改进提供信息、，识别改进的区域。通过管理评审，识别科技发展部信息安全管理体系改进的需要，寻找改进的机会，明确改进的领域和具体的改进计划。以科技发展部使命和远景，以及信息安全方针为准则，识别偏离信息安全方针的原因或现行体系与适应其环境方面的差距，制定改进的具体措施。实施改进措施并验证其结果，保持改进计划及其实施过程和结果的相关记录。纠正和预防措施纠正和预防适用于科技发展部对信息安全管理活动中发现的不符合项和潜在的不符合项，制定、实施纠正措施和预防措施的过程，旨在防止潜在不符合项的发生和不符合项的再次发生，促进信息安全管理体系有效性的持续改进。详细参见《纠正预防控制管理规定》。

附件一:信息安全管理体系文件清单一阶文件HRBB-ISMS-01-01信息安全管理手册HRBB-ISMS-01-02适用性声明SOA二阶文件体系运行HRBB-ISMS-02-01信息安全方针HRBB-ISMS-02-02信息安全管理体系术语定义HRBB-ISMS-02-03信息安全风险评估管理程序HRBB-ISMS-02-04文件控制管理程序HRBB-ISMS-02-05记录控制管理程序HRBB-ISMS-02-06信息安全管理评审程序HRBB-ISMS-02-07信息安全内部审核管理程序HRBB-ISMS-02-08信息安全目标与度量管理程序HRBB-ISMS-02-09纠正预防控制管理程序信息安全管理HRBB-ISMS-02-10信息安全组织建设管理程序HRBB-ISMS-02-11第三方信息安全管理程序HRBB-ISMS-02-12信息资产安全管理程序HRBB-ISMS-02-13人员信息安全管理程序HRBB-ISMS-02-14物理和环境安全管理程序HRBB-ISMS-02-15信息安全事件管理程序HRBB-ISMS-02-16业务连续性管理程序

HRBB-ISMS-02-17法律法规符合性管理程序信息安全技术HRBB-ISMS-02-18网络和系统安全管理程序HRBB-ISMS-02-19信息系统访问控制管理规定HRBB-ISMS-02-20信息系统开发与项目安全管理程序HRBB-ISMS-02-21日常运行安全管理程序HRBB-ISMS-02-22数据备份与恢复管理程序HRBB-ISMS-02-23介质管理与销毁管理规定信息安全检查HRBB-ISMS-02-24安全检查与审计管理程序HRBB-ISMS-02-25安全职责考核管理程序适用性声明SoA标准款项控制项是否选择控制措施说明控制描述SOC相关文件说明A.5安全方针A.5.1信息安全方针依据业务发展要求以及相关的法律法规为信息安全提供管理指导和支持A.5.I.1信息安全方针文件是信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。科技发展部通过制定、发布并维护与科技发展部整体目标一致的清晰的信息安全方针来表明管理层对信息安全的支持和承诺。《信息安全管理手册》《信息安全方针》A.5.1.2信息安全方针的评审是宜按计划的时间间隔或当重大变化发生时进行信息安全方针评申，以确保它持续的适宜性、充分性和有效性。在每年的管理评审中或发生重大变化时,科技发展部对信息安全方针的持续适宜性、充分性和有效性进行评价，必要时进行修订。《信息安全管理手册》《信息安全方针》《信息安全管理评审规定》A.6信息安全组织A.6.1内部组织管理科技发展部内部信息安全A.6.1.1信息安全的管理承诺是管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。科技发展部管理者代表对建立、实施、运作、监视、评审并持续改进信息安全管理体系做出承诺，并通过一系列的活动提供证实。《信息安全管理手册》《信息安全组织建设管理规定》A.6.1.2信息安全协调是信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。信息安全工作指挥小组办公室负责组织各部门的相关角色和工作职能的代表进行沟通协作，管理者代表负责组织、发起信息安全工作指挥小组会议。《信息安全管理手册》《信息安全组织建设管理规定》

A.6.1.3信息安全职责的分配是所有的信息安全职责应予以清晰地定义。科技发展部设立了完整的信息安全管理组织，分为决策监督、管理审计和贯彻执行三个方面，并针对信息安全工作指挥小组、信息安全工作指挥小组办公室、安全管理部、各部门、各职能组、安全管理员和全体员工的职责进行了明确定义。《信息安全管理手册》《信息安全组织建设管理规定》A.6.1.4信息处理设施的授权过程是应为新的信息处理设施定义和实施一个管理授权过程。科技发展部要求新的信息处理设施（计算机设备、网络设备、基础环境设施等）投入使用必须经过相关部门评估，确保符合安全策略要求才能投入使用。《网络和系统安全管理规定》A.6.1.5保密性协议是应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。科技发展部要求所有员工签订《员工安全保密责任书》，要求第三方人员签订《第三方人员信息安全承诺书》。《人员信息安全管理规定》《第三方信息安全管理规定》A.6.1.6与政府部门的联系是应保持与政府相关部门的适当联系。科技发展部风险管理岗负责与外部权威机构保持适当联系•《信息安全管理手册》A.6.1.7与特定利益集团的联系是应保持与特定利益集团、其他安全专家组和专业协会的适当联系。科技发展部风险管理岗负责与特定利益团体保持适当联系。《信息安全组织建设管理规定》A.6.L8信息安全的独立评审是组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和规程）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。科技发展部按计划的时间间隔或发生重大变化时，对组织的信息安全管理方法及其实施情况（如，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审.《信息安全管理手册》《信息安全组织建设管理规定》《信息安全管理评审规定》《信息安全内部审核管理规定》《信息安全管理评审实施细则》A.6.2外部各方识别行内协作方、第三方访问的风险，明确对行内协作方、第三方访问控制的要求，并控制行内协作方、第三方带来的风险，保持被行内协作方、第三方访问、处理、共享、管理的组织信息及信息处理设施的安全

A.6.2.1与外部各方相关风险的识别是应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。科技发展部在引入第三方前对其可能导致的信息安全风险进行评估，并在批准第三方访问信息资产前实施适当的控制，在《第三方人员信息安全承诺书》中规定访问和工作安排的条款和条件确保第三方意识到其义务，并接受与访问、处理、交流或管理科技发展部信息资产相关的责任和义务。《第三方信息安全管理规定》《哈尔滨银行信息化外包管理办法》A.6.2.2处理与顾客有关的安全问题是应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。科技发展部各部门负责对对口的行内协作人员传达信息安全管理要求。《信息资产安全管理规定》A.6.2.3处理第三方协议中的安全问题是涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。行内协作人员对各区域的物理访问须经过科技发展部相关负责人的授权，并遵循信息安全相关要求执行。《信息资产安全管理规定》《第三方信息安全管理规定》A.7资产管理A.7.1对资产负责对科技发展部的信息资产进行有效保护A.7.1.1资产清单是应清晰的识别所有资产，编制并维护所有重要资产的清单.科技发展部在要求各部门识别信息资产并为信息资产赋予CIA属性值，编制并保持所有重要资产列表。《信息资产安全管理规定》A.7.1.2资产责任人是与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。科技发展部明确各部门负责人为部门信息资产第一责任人，针对各项资产指定直接责任人并履行相应的管理职责。《信息资产安全管理规定》A.7.1.3资产的可接受使用是与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施。科技发展部已定义对于各类信息资产的可接受使用规则，并要求所有员工以此为依据执行。《信息资产安全管理规定》A.7.2信息分类按照法律法规要求和对科技发展部的重要程度对信息进行分类，确定保护要求和等级，以确保对信息资产采取适当的保护

A.7.2.1分类指南是信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。科技发展部明确了信息资产的分类分级标准并要求员工以此对信息资产进行分类。《信息资产安全管理规定》A.7.2.2信息的标记和处理是应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理规程。科技发展部明确了信息资产的标记策略，并要求对信息资产进行标记。《信息资产安全管理规定》A.8人力资源管理A.8.1任用之前确保员工、行内协作方、第三方人员理解其责任，并能胜任其任务，以降低资产被盗窃、非授权访问和误用的风险A.8.1.1角色和职责是雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。科技发展部明确了员工、行内协作人员和第三方人员的信息安全角色和职责并已形成相关文件。《人员信息安全管理规定》《第三方信息安全管理规定》《信息资产安全管理规定》A.8.1.2审查是关于所有任用的候选者、承包方人员和第三方人员的背景验证核查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。科技发展部根据相关的法律、法规和道德，配合哈尔滨银行相关部门对所有的求职者和第三方人员进行背景验证检查，该检杳与业务要求、接触信息的类别及己知风险相适宜。《人员信息安全管理规定》《第三方信息安全管理规定》A.8.1.3任用条款和条件是作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件应声明他们和组织的信息安全职责。科技发展部在《人员信息安全管理规定》中规定了员工、行内协作人员、第三方人员有关信息安全的责任。《人员信息安全管理规定》《第三方信息安全管理规定》A.8.2任用中确保员工、行内协作方、第三方人员知道信息安全威胁、他们的职责和义务，并准备好在其正常工作过程中支持组织的安全方针，并较少人为错误的风险A.8.2.1管理职责是管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力。科技发展部管理层要求所有的员工、行内协作人员和第三方人员符合科技发展部已建立的方针和策略的安全要求。《信息安全管理手册》《人员信息安全管理规定》《第三方信息安全管理规定》《信息资产安全管理规定》

A.8.2.2信息安全意识、教育和培训是组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训。科技发展部要求对全体员工和第三方人员（适当时）进行信息安全意识培训。信息安全方针、策略、文件变更后，科技发展部及时将变更信息传达到全体员工。科技发展部风险管理组和各部门通过组织实施培训，确保员工信息安全意识的提高，并具有胜任所承担信息安全工作的能力。《人员信息安全管理规定》《第三方信息安全管理规定》A.8.2.3纪律处理过程是对于安全违规的雇员，应有一个正式的纪律处理过程。科技发展部要求对违反科技发展部信息安全方针、策略和文件要求的员工，从其行为造成的影响程度出发进行处罚。《安全职责考核管理规定》A.8.3任用的终止或变更确保员工、行内协作方、第三方人员在离职或服务结束前根据科技发展部的要求终止其职责、归还相关资产并撤销其相应的访问权限A.8.3.1终止职责是任用终止或任用变更的职责应清晰地定义和分配。科技发展部要求在员工离职前和第三方人员履行完合同义务前，进行明确终止责任的沟通，明确《信息安全责任书》或《保密承诺书》以及聘用条款及条件中的信息安全职责要在员工离职后和第三方人员履行完合同义务后，持续一定时期有效。《人员信息安全管理规定》《第三方信息安全管理规定》A.8.3.2资产的归还是所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。科技发展部要求员工离职或工作岗位变动时，应先办理资产归还手续。《人员信息安全管理规定》《第三方信息安全管理规定》《信息资产安全管理规定》

A.8.3.3撤销访问权是所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。科技发展部在要求员工离职或工作岗位变动时，第三方及行内协作人员完成相应工作后及时解除访问权限，或根据变化作相应调整。《人员信息安全管理规定》《第三方信息安全管理规定》《信息资产安全管理规定》《信息系统访问控制管理规定》《网络和系统安全管理规定》A.9物理和环境安全A.9.1安全区域防止对科技发展部场所和信息的未授权物理访问、损坏和干扰A.9.1.1物理安全周边是应使用安全周边（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。科技发展部对各类人员在机房、生产运维区、办公区、公共区等物理场所的行为进行相应的管理。《物理和环境安全管理规定》A.9.1.2物理入口控制是安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。科技发展部要求对各区域的进出口进行保护，确保只有经过授权的人员才可以访问。《物理和环境安全管理规定》A.9.1.3办公室、房间和设施的安全防护是应为办公室、房间和设施设计并采取物理安全措施。科技发展部在对办公室、房间和设施的保护要求遵照执行。《物理和环境安全管理规定》A.9.1.4外部和环境威胁的安全防护是为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。科技发展部对于机房、生产运维区等重要区域已设计并实施了针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。《物理和环境安全管理规定》A.9.1.5在安全区域工作是应设计和应用用于安全区域工作的物理保护和指南。科技发展部制定并实施在各区域内工作的安全要求。《物理和环境安全管理规定》A.9.1.6公共访问、交接区安全是访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。科技发展部要求对于办公区和公共区进行控制，对于机房、生产运维区等重要区域，通过对信息处理设施加以隔离以防止非授权的访问。《物理和环境安全管理规定》A.9.2设备安全防止科技发展部信息资产的丢失、损坏、失窃等危及信息资产安全以及导致各类业务的中断

A.9.2.1设备安置和保护是应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。科技发展部要求对机房及设备实施选址安置和保护，以减少来自环境的威胁或危害，并减少未授权访问的机会.《物理和环境安全管理规定》《环境设施和计算机设备管理实施细则》A.9.2.2支持性设施是应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。科技发展部采取冗余供电、UPS、等设施降低电力中断的风险，同时通过配置空调等其它支持性设施以避免因为支持性设施失效所导致的中断。《物理和环境安全管理规定》《环境设施和计算机设备管理实施细则》A.9.2.3布缆安全是应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。科技发展部采取相应措施保护电力和通讯电缆，避免因此带来的服务中断或数据泄密。为防止相互干扰，电源电缆与通信电缆分开。《物理和环境安全管理规定》《网络和系统安全管理规定》A.9.2.4设备维护是设备应予以正确地维护，以确保其持续的可用性和完整性。科技发展部各类设备的管理部门定期对各类设备的保养。《物理和环境安全管理规定》《网络和系统安全管理规定》《环境设施和计算机设备管理实施细则》A.9.2.5组织场所外的设备安全是应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险。科技发展部对笔记本计算机和可移动介质等离场设备进行安全防护。《日常运行安全管理规定》A.9.2.6设备的安全处置或再利用是包含储存介质的设备的所有项目应进行核查，以确保在处置之前，任何敏感信息和注册软件已被删除或安全地写覆盖。科技发展部检查所有包含存储介质的设备，以确保在设备报废或弃置前所有敏感数据或授权软件已经被移除或安全重写。《物理和环境安全管理规定》《环境设施和计算机设备管理实施细则》A.9.2.7资产的移动是设备、信息或软件在授权之前不应带出组织场所。科技发展部明确未经允许时，属于科技发展部的信息资产不得随意带出科技发展部区域.《物理和环境安全管理规定》A.10通信和操作管理A.1O.1操作规程和职责确保正确、安全的操作信息处理设施A.IO.l.l文件化操作程序是操作规程应形成文件、保持并对所有需要的用户可用。科技发展部在要求建立操作手册，并针对不同类型的操作手册设置相应的访问权限。《日常运行安全管理规定》

A.10.1.2变更管理是对信息处理设施和系统的变更应加以控制。科技发展部通过变更管理的相关要求对信息处理设施和信息系统的变更应有适当的控制。《日常运行安全管理规定》《HRBank-RM-02-O2-V1.0变更管理流程》A.10.1.3责任分割是各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。科技发展部对岗位职责和工作区域进行分离，以降低未授权访问、无意识修改或滥用组织资产的机会。《日常运行安全管理规定》A.10.1.4开发、测试和运营设施分离是开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。科技发展部在对开发、测试和运行设施实施分离，以减少未授权访问或改变运行系统的风险。《日常运行安全管理规定》《信息系统开发与项目安全管理规定》A.10.2第三方服务交付管理实施和保持符合第三方交付协议的信息安全和服务交付的适当水平A.10.2.1服务交付是应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。科技发展部对第三方的服务（包括协议中所明确的安全要求、服务定义以及服务管理等方面）进行管理和验收，确保第三方保持充分的服务能力，并且具备有效的工作计•划。《第三方信息安全管理规定》A.10.2.2第三方服务的监视和评审是应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行。科技发展部要求第三方的对口部门负责监督、管理第三方服务交付物的质量，并定期对第三方进行评审，以保证第三方服务及交付物的质量和安全性。此外，对第三方进行定期的信息安全检查，以确保本规定和相应保密协议等安全控制措施的落实。《第三方信息安全管理规定》《哈尔滨银行信息化外包管理办法》A.10.2.3第三方服务的变更管理是应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的再评估。科技发展部在对第三方服务变更实施管理，降低第三方服务变更所可能产生的风险。《第三方信息安全管理规定》A.10.3系统规划和验收进行预先的规划和准备，以确保足够容量和资源的可用性以提供所需的系统性能

A.10.3.1容量管理是资源的使用应加以监视、调整，并作出对于未来容量要求的预测，以确保拥有所需的系统性能。科技发展部机房容量、电力供应、网络容量、系统容量、存储和备份设备容量进行容量管理，并提交性能和容量报表，制定性能和容量监控阀值，并进行分析和预测，提出系统扩容及优化方案.《日常运行安全管理规定》《哈尔滨银行信息系统性能及容量管理办法》《哈尔滨银行网络安全管理办法》A.10.3.2系统验收是应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。科技发展部制定了信息系统、系统升级和新版本的验收准则，并在开发过程中及接收前进行适当的系统测试。《日常运行安全管理规定》《信息系统开发与项目安全管理规定》《哈尔滨银行信息化建设管理办法》A.10.4防范恶意和移动代码采取预防措施，防范和检测恶意代码和未授权的移动代码A.10.4.1控制恶意代码是应实施恶意代码的检测、预防和恢复的控制措施，以及适当的提高用户安全意识的规程。科技发展部通过安装统一的防病毒软件实施防范恶意代码的检测、预防和恢复，并进行适当的用户意识教育。《日常运行安全管理规定》A.10.4.2控制移动代码是当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行，应阻止执行未授权的移动代码。科技发展部在要求授权使用移动代码时，确保已授权移动代码的运行符合明确定义的信息安全策略，未经授权的移动代码被阻止执行。《日常运行安全管理规定》A.10.5备份通过备份保持信息和信息处理设施的完整性和可用性A.10.5.1信息备份是应按照己设的备份策略，定期备份和测试信息和软件。科技发展部各部门根据备份方案对各类数据进行备份，定期对备份介质进行有效性测试。《数据备份与恢复管理规定》《备份存储设备及介质管理实施细则》A.10.6网络安全管理确保网络中的信息的安全性并保护支持性的基础设施A.10.6.1网络控制是应充分管理和控制网络，以防止威胁的发生，维护使用网络的系统和应用程序的安全，包括传输中的信息。科技发展部对网络进行管理和控制，防范威胁，确保使用网络的信息系统和数据的安全。《网络和系统安全管理规定》《网络安全技术管理实施细则》

A.10.6.2网络服务安全是安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的。科技发展部识别网络服务的安全特性、服务等级和管理要求，并将这些要求体现在相应的网络服务协议或合同中.《网络和系统安全管理规定》《网络安全技术管理实施细则》A.10.7介质处置控制和保护物理介质，防止遭受未授权泄漏、修改、移动或销毁以及业务的中断A.10.7.1可移动介质的管理是应有适当的可移动介质的管理规程。科技发展部要求对可移动介质的使用进行适当的管理。《日常运行安全管理规定》《生产环境可移动介质管理实施细则》A.10.7.2介质的处置是不再需要的介质，应使用正式的规程可靠并安全地处置，当介质不再需要时，科技发展部对其进行可靠的销毁。《物理和环境安全管理规定》《生产环境可移动介质管理实施细则》A.10.7.3信息处理规程是应建立信息的处理及存储规程，以防止信息的未授权的泄漏或不当使用。科技发展部对各类信息资产的处理、保护和流转途径进行管理，防范信息未授权泄漏或误用提出明确的要求并遵照执行。《信息资产安全管理规定》A.10.7.4系统文件的安个是应保护系统文件以防止未授权的访问。科技发展部在对系统文件进行保护，避免系统文件遭受未授权访问。《网络和系统安全管理规定》A.10.8信息的交换基于正式的交换策略、规程和控制措施，以保护通过各种类型通信设备实施的信息交换A.10.8.1信息交换策略和规程是应有正式的交换策略、规程和控制措施，以保护通过使用各种类型通信设施的信息交换。科技发展部对信息交换进行控制，以保护通过各类通讯设施交换信息的安全《信息资产安全管理规定》A.10.8.2交换协议是应建立组织与外部方交换信息和软件的协议。科技发展部定义信息交换的基本要求。《信息资产安全管理规定》《第三方信息安全管理规定》A.10.8.3传输中的物理介质是包含信息的介质在组织的物理边界以外运送时，应防止未授权的访问、不当使用或毁坏。科技发展部在对科技发展部物理边界外物理介质的传输进行管理，防止未授权的访问、不当使用或毁坏。《信息资产安全管理规定》

A.10.8.4电子消息发送是包含在电子消息发送中的信息应给予适当的保护。科技发展部对电子消息（电子邮件、内部邮件等）实施适当的保护。《信息资产安全管理规定》A.10.8.5业务信息系统是应建立并实施策略和规程，以保护与业务信息系统互联相关的信科技发展部对业务信息系统互联提出了相应要求（传输的加密、能否使用互联网等）。《信息资产安全管理规定》A.10.9电子商务服务确保电子商务服务的安全及其安全使用A.10.9.1电子商务NA包含在使用公共网络的电子商务中的信息应受保护，以防止欺诈活动、合同争议以及未授权的泄露和修改。科技发展部对包括网银在内的所有通过公共网络传输信息的业务系统都要采用信息加密等措施，来保证信息交换的安全，以防止欺诈、合同争议、未授权的泄漏和修改A.10.9.2在线交易NA在线交易中的信息应受保护，以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。科技发展部对所有在线交易业务系统都要采用严格的访问控制、信息加密等措施来保证信息交换的安全，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。A.10.9.3公共可用信息\.\在公共可用系统中可用信息的完整性应受保护，以防止未授权的修改。科技发展部对公共可用系统及信息的完整性进行保护，以防止未经授权的修改。同时，网上公开信息的修改发布遵循业务部门的相关管理规定，只有经过授权流程后才能修改相应信息。A.10.10监视监视系统、记录信息安全时间，使用操作员日志和故障日志来确保识别出信息系统的问题A.10.10.1审计记录是应产生记录用户活动、异常情况和信息安全事态的审计日志，并要保持一个已设的周期以支持将来的调查和访问控制监视。科技发展部明确了记录用户活动、意外和信息安全事件的日志管理要求，并要求对日志进行妥善的保存。《日常运行安全管理规定》《文件控制管理规定》《记录控制管理规定》

A.10.10.2监视系统的使用是应建立信息处理设施的监视使用规程，并经常评审监视活动的结果。科技发展部对监视系统的使用提出要求。《日常运行安全管理规定》A.10.10.3日志信息的保护是记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。科技发展部对日志信息以及日志设施的保护提出要求。《日常运行安全管理规定》《物理和环境安全管理规定》A.10.10.4管理员和操作员日志是系统管理员和系统操作员活动应记入日志。科技发展部要求记录并保存管理员和操作员日志，并要求相关部门定期对管理员和操作员的日志进行审核。《日常运行安全管理规定》《信息系统访问控制管理规定》A.10.10.5故隙日志是故障应被记录、分析，并采取适当的措施。科技发展部各部门对日志（包含故障日志）进行审计和分析，并进行记录，在日志中发现异常信息时，及时进行报告。《日常运行安全管理规定》A.10.10.6时钟同步是一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。科技发展部对各区域重要信息处理设施的时钟进行同步，并要求配套的门禁、摄像监控等安保系统的时钟也与重要信息处理设施保持时钟同步。《日常运行安全管理规定》《网络和系统安全管理规定》A.ll访问控制A.U.l访问控制的业务要求对信息、信息处理设施和业务过程的访问在业务和安全要求的基础上进行控制A.ll.1.1访问控制策略是访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。科技发展部建立了文件化的访问控制策略，并对访问的业务和安全要求进行评审。《信息系统访问控制管理规定》A.11.2用户访问管理通过正式的规程来授权用户访问信息系统，并防止未授权的访问A.l1.2.1用户注册是应有正式的用户注册及注销规程，来授权和撤销对所有信息系统及服务的访问。科技发展部对正式的用户注册与注销建立了明确的流程。《信息系统访问控制管理规定》A.11.2.2特殊权限管理是应限制和控制特殊权限的分配及使用。科技发展部限制和控制特殊权限的使用和分配。《信息系统访问控制管理规定》A.l1.2.3用户口令管理是应通过正式的管理过程控制口令的分配。科技发展部通过管理流程控制口令的分配。《信息系统访问控制管理规定》A.11.2.4用户访问权的复查是管理者应定期使用正式过程对用户的访问权进行复查。科技发展部按照规定的时间间隔通过正式的流程对用户的访问权限进行评审。《信息系统访问控制管理规定》

A.11.3用户职责防止未授权用户对信息和信息处理设施的访问、损害或窃取A.l1.3.1口令使用是应要求用户在选择及使用口令时，遵循良好的安全习惯。科技发展部要求用户在选择和使用口令时遵循良好的安全惯例，口令必须符合科技发展部的要求（长度、复杂度、定期更换等）.《信息系统访问控制管理规定》A.11.3.2无人值守的用户设备是用户应确保无人值守的用户设备有适当的保护。科技发展部采取屏幕锁定等措施确保无人值守的设备得到适当的保护。《信息系统访问控制管理规定》A.l1.3.3清空桌面和屏幕策略是应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。科技发展部要求员工在离开座位时应清空桌面上的文件及可移动存储介质，并且锁定信息处理设施屏幕。《信息系统访问控制管理规定》《日常运行安全管理规定》A.11.4网络访问控制对内部和外部网络服务的访问均应加以控制A.l1.4.1使用网络服务的策略是用户应仅能访问已获专门授权使用的服务。科技发展部明确要求用户只能访问经过明确授权使用的服务。《网络和系统安全管理规定》《网络安全技术管理实施细则》A.l1.4.2外部连接的用户鉴别是应使用适当的鉴别方法以控制远程用户的访问。科技发展部使用适当的鉴别方法来控制远程用户的访问。《网络和系统安全管理规定》《网络接入管理实施细则》A.l1.4.3网络上的设备标识是应考虑自动设备标识，将其作为鉴别特定位置和设备连接的方法。科技发展部要求对所有网络设备进行标识，作为鉴别特定区域和设备连接鉴别的方法.《网络和系统安全管理规定》《网络安全技术管理实施细则》A.11.4.4远程诊断和配置端口的保护是对于诊断和配置端口的物理和逻辑访问应加以控制。科技发展部对远程诊断和配置端口的物理和逻辑访问进行控制.《网络和系统安全管理规定》《网络安全技术管理实施细则》A.11.4.5网络隔离是应在网络中隔离信息服务、用户及信息系统。科技发展部在网络中隔离不同级别的信息服务、用户和信息系统。《网络和系统安全管理规定》《网络安全技术管理实施细则》A.l1.4.6网络连接控制是对于共享的网络，特别是越过组织边界的网络，用户的联网能力应按照访问控制策略和业务应用要求加以限制（见11.1）。在公共网络中，尤其是那些延展到科技发展部边界之外的网络，科技发展部限制用户联接信息系统的能力，并与业务应用系统的访问控制策略和要求一致（见11.1）。《网络和系统安全管理规定》《网络安全技术管理实施细则》

A.11.4.7网络路由控制是应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制策略。科技发展部在对网络进行路由控制，确保链接和信息流不违反业务应用系统的访问控制策略。《网络和系统安全管理规定》A.11.5操作系统访问控制使用安全设施和相应措施防止对操作系统的未授权访问A.l1.5.1安全登录规程是访问操作系统应通过安全登录规程加以控制。科技发展部要求用户对操作系统的访问应通过安全登录规程加以控制。《信息系统访问控制管理规定》A.11.5.2用户标识和鉴别是所有用户应有唯一的、专供其个人使用的标识符（用户ID）,应选择一种适当的鉴别技术证实用户所宣称的身份。科技发展部要求所有用户只有一个唯一的识别码（用户ID）且仅供本人使用，并使用适当的鉴别技术来证实用户所声称的身份。《信息系统访问控制管理规定》A.11.53口令管理系统是口令管理系统应是交互式的，并应确保优质的口令。科技发展部信息系统均使用交互式口令管理系统，并确保使用优质的口令。《信息系统访问控制管理规定》A.l1.5.4系统实用工具的使用是对于可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制。科技发展部对可能超越信息系统控制措施的实用工具的使用加以限制并严格控制，系统工具必须在获得相应的授权后方可进行使用。《信息系统访问控制管理规定》A.l1.5.5会话超时是不活动会话应在一个设定的休止期后关闭。科技发展部通过设定会话超时退出机制确保不活动的会话在到达设定的时间后关闭。《信息系统访问控制管理规定》A.l1.5.6联机时间的限定是应使用联机时间的限制，为高风险应用程序提供额外的安全。科技发展部通过设置用户联机时间限制等措施为用户登录及访问系统和应用程序的连接安全有效提供额外保障。《信息系统访问控制管理规定》A.l1.6应用和信息访问控制通过使用安全设施及逻辑访问规则来防止对应用系统的未授权访问A.l1.6.1信息访问限制是用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制.科技发展部在《信息系统访问控制管理规定》和《信息资产安全管理规定》中要求限制用户和支持人员对信息系统的访问。《信息系统访问控制管理规定》《信息资产安全管理规定》

A.11.6.2敏感系统隔离是敏感系统应有专用的（隔离的）运算环境。科技发展部在《信息系统访问控制管理规定》和《网络和系统安全管理规定》中要求敏感系统拥有专用的（隔离的）运算环境。《信息系统访问控制管理规定》《网络和系统安全管理规定》A.11.7移动计算和远程工作确保使用移动计算和远程工作设施时的信息安全A.l1.7.1移动计算和通是应有正式策略并且采用适当的安全措施，以防范使用移动计算和通信设施时所造成的风险。科技发展部在《信息系统访问控制管理规定》中要求对移动计算和通信实施管理。《信息系统访问控制管理规定》《网络和系统安全管理规定》A.11.7.2远程工作是应为远程工作活动开发和实施策略、操作计划和规程。科技发展部在《网络和系统安全管理规定》和《信息系统访问控件管理规定》中要求对远程接入和第三方网络接入、无线网络接入进行管理并实施适当的控制。《信息系统访问控制管理规定》《网络和系统安全管理规定》A.12信息系统获取、开发和维护A.12.1信息系统的安全要求确保安全是信息系统的一个有机组成部分A.12.1.1安全要求分析和说明是在新的信息系统或增强已有信息系统的业务要求陈述中，应规定对安全控制措施的要求。科技发展部在《信息系统开发和项目安全管理规定》中要求新的信息系统或对现有信息系统的更新的业务要求应满足安全控制的要求,《信息系统开发和项目安全管理规定》A.12.2应用中的正确处理防止应用系统中的信息的差错、遗失、未授权的修改或误用A.12.2.1输入数据确认是应对输入应用系统的数据加以确认，以确保数据是正确且恰当的。科技发展部在《信息系统开发和项目安全管理规定》中要求验证应用系统输入数据，以确保输入数据的正确和适当。《信息系统开发和项目安全管理规定》A.12.2.2内部处理的控制是确认核查应整合到应用中，以检测由于处理的差错或故意的行为造成的信息的任何讹误。科技发展部在《信息系统开发和项目安全管理规定》中要求各应用系统中实现确认检查，以检测数据处理过程中的错误。《信息系统开发和项目安全管理规定》A.12.2.3消息完整性是否应用中的确保真实性和保护消息完整性的要求应得到识别，适当的控制措施也应得到识别并实施。科技发展部在《信息系统开发和项目安全管理规定》中要求应用系统中实现鉴别和保护消息完整性的要求，以识别并实施适当的控制。《信息系统开发和项目安全管理规定》

A.12.2.4输出数据确认是杏从应用系统输出的数据应加以确认，以确保对所存储信息的处理是正确的且适于环境的。科技发展部在《信息系统开发和项目安全管理规定》中要求考虑应用系统输出数据确认的要求，以确保存储的信息的处理是正确的并与环境相适宜。《信息系统开发和项目安全管理规定》A.12.3密码控制通过密码方法保护信息的保密性、真实性或完整性A.12.3.1使用密码控制的策略是应开发和实施使用密码控制措施来保护信息的策略。科技发展部在《信息系统开发和项目安全管理规定》中规定开发和实施加密控制的具体要求。《信息系统开发和项目安全管理规定》《日常运行安全管理规定》A.12.3.2密钥管理是应有密钥管理以支持组织使用密码技术。科技发展部在《日常运行安全管理规定》中要求对用于数据加解密的密钥进行管理。《日常运行安全管理规定》A.12.4系统文件的安全确保系统文件的安全A.12.4.1运行软件的控制是应有规程来控制在运行系统上安装软件。科技发展部在《信息系统访问控制管理规定》和《网络和系统安全管理规定》要求严格控制信息系统软件的安装。《信息系统访问控制管理规定》《网络和系统安全管理规定》A.12.4.2系统测试数据的保护是测试数据应认真地加以选择、保护和控制。科技发展部对测试数据要求加以保护和控制，对于借用生产数据的操作依据《哈尔滨银行计算机系统生产数据安全管理办法》执行.《信息系统开发和项目安全管理规定》《哈尔滨银行计算机系统生产数据安全管理办法》A.12.4.3对程序源代码的访问控制是应限制访问程序源代码...科技发展部限制对源代码库的访问.《信息系统开发和项目安全管理规定》A.12.5开发和支持过程中的安全严格控制支持环境以维护应用系统软件和信息的安全A.12.5.1变更控制规程是应使用正式的变更控制规程来控制变更的实施。科技发展部通过变更管理的相关要求对信息系统支持过程中的变更实施控制。《信息系统开发和项目安全管理规定》A.12.5.2操作系统变更后应用的技术评审是当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。当操作系统变更后，科技发展部评审并测试关犍的业务应用系统，以确保变更不会对组织的运营或安全产生负面影响。《哈尔滨银行重要信息系统投产及变更管理办法》

A.12.5.3软件包变更的限制是应对软件包的修改进行劝阻，只限于必要的变更，且对所有的变更加以严格控制。科技发展部严格禁止在应用系统维护过程中对软件包内容进行更改。《信息系统开发和项目安全管理规定》A.12.5.4信息泄露是应防止信息泄露的可能性.科技发展部对各类信息进行安全管理（电子邮件发送、传真等方式），防止信息泄露。《信息系统访问控制管理规定》《信息资产安全管理规定》《第三方信息安全管理规定》《哈尔滨银行电子邮件系统安全管理办法》A.12.5.5外包软件开发是组织应管理和监视外包软件的开发。科技发展部依据《信息系统开发和项目安全管理规定》、《第三方信息安全管理规定》对软件委外开发进行管理控制《信息系统访问控制管理规定》《第三方信息安全管理规定》A.12.6技术脆弱性管理降低利用公布的技术脆弱性导致的风险A.12.6.1技术脆弱性的控制是应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。科技发展部在《网络和应用安全管理规定》、《日常运行安全管理规定》和《信息系统开发与项目安全管理规定》中要求通过安装补丁、加固系统等方式对技术脆弱性进行控制。《网络和系统安全管理规定》《信息系统开发和项口安全管理规定》《日常运行安全管理规定》《信息系统漏洞扫描实施细则》A.13信息安全事件管理A.13.1报告信息安全事态和弱点确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施A.13.1.1报告信息安全事态是信息安全事态应尽可能快地通过适当的管理渠道进行报告。科技发展部要求员工、行内协作人员和第三方人员在发现事件后尽快上报事件。《第三方信息安全管理规定》《人员信息安全管理规定》《哈尔滨银行信息安全事件报告管理办法》

A.13.1.2报告安全弱点是应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。科技发展部要求所有的员工、行内协作人员和第三方人员注意并报告系统或服务中已发现或疑似的安全隐患，并对发现的隐患保密。《信息安全事件管理规定》《第三方信息安全管理规定》《哈尔滨银行信息安全事件报告管理办法》A.13.2信息安全事件和改进的管理确保采用一致和有效的方法对信息安全事件进行管理A.13.2.1责任和规程是应建立管理职责和规程，以确保快速、有效和有序地响应信息安全事件。科技发展部建立了信息安全事件上报和处理流程，并明确分配了各部门在信息安全事件上报和处理过程中的责任.《信息安全事件管理规定》《哈尔滨银行信息安全事件报告管理办法》A.13.2.2对信息安全事件的总结是应有一套机制量化和监视信息安全事件的类型、数量和代价。科技发展部在信息安全事件处理完成后，对事件进行总结，并定期进行统计和分析。《信息安全事件管理规定》《哈尔滨银行信息安全事件报告管理办法》A.13.2.3证据的收集是当一个信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使其符合相关管辖区域对证据的要求。科技发展部要求信息安全事件发生后，发现人应注意事件相关证据的保存。《信息安全事件管理规定》《哈尔滨银行信息安全事件报告管理办法》A.14业务连续性管理A.14.1业务连续性管理的信息安全方面防止业务活动中断，保护关键业务免受信息系统重大失误或灾难的影响，并确保及时恢复A.14.1.1在业务连续性管理过程中包含信息安全是应为贯穿于组织的业务连续性开发和保持一个管理过程，以解决组织的业务连续性所需的信息安全要求。科技发展部在建立了《业务连续性管理规定》，该流程阐明了组织的业务连续性中信息安全的要求。《业务连续性管理规定》A.14.1.2业务连续性和风险评估是应识别能引起业务过程中断的事态，连同这种中断发生的概率和影响，以及它们对信息安全所造成的后果。科技发展部采取业务影响分析和风险评估识别能引起业务过程中断的隐患，识别中断发生的概率和影响以及对信息安全造成的影响.《业务连续性管理规定》

A.14.1.3制定和实施包含信息安全的连续性计划是应制定和实施计划来保持或恢复运行，以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。科技发展部要求关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。《业务连续性管理规定》A.14.1.4业务连续性计划框架是应保持一个唯一的业务连续性计划框架，以确保所有计划是一致的，能够协调地解决信息安全要求，并为测试和维护确定优先级。科技发展部建立统一的业务连续性计划框架，确保所有连续性计划的一致性，以维护信息安全的要求并识别演练和恢复的优先级。《业务连续性管理规定》A.14.1.5测试、维护和再评估业务连续性计划是业务连续性计划应定期测试和更新，以确保其及时性和有效性。科技发展部定期采取适当的方式演练业务连续性计划，并根据演练情况进行评估和更新.《业务连续性管理规定》A.15符合性A.15.1符合法律要求避免违反法律、法令、法规或合同义务以及任何安全要求A.15.1.1可用法律的识别是对每一个信息系统和组织而言，所有相关的法令、法规和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。科技发展部对适用的法律法规进行识别，根据相关法律法规形成信息安全管理要求，并定期实施更新。《法律法规符合性管理规定》A.15.1.2知识产权（IPR）是应实施适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。科技发展部要求在使用与知识产权有关的材料和软件时符合法律法规和合同要求。《法律法规符合性管理规定》《日常运行安全管理规定》《软件资产管理实施细则》A.15.1.3保护组织的记是应防止重要的记录遗失、毁坏和伪造，以满足法令、法规、合同和业务的要求。科技发展部按照相关的法律、法规和合同条款的要求，保护重要记录免受损失、破坏或伪造篡改。《法律法规符合性管理规定》《信息资产安全管理规定》《文件控制管理规定》《记录控制管理规定》

A.15.1.4数据保护和个人信息的隐私是应依照相关的法律、法规和合同条款的要求，确保数据保护和隐私。科技发展部依照相关的法律、法规和合同条款的要求，保护数据和个人隐私。《法律法规符合性管理规定》《信息资产安全管理规定》A.15.1.5防止滥用信息处理设施是应禁止用户使用信息处理设施用于未授权的目的。科技发展部阻止用户把信息处理设施用于非授权的目的。《法律法规符合性管理规定》《信息系统访问控制管理规定》《网络和应用安全管理规定》A.15.1.6密码控制措施的规则是使用密码控制措施应遵从相关的协议、法律和法规。科技发展部在使用密码控制时遵守相关的协议、法律法规。《法律法规符合性管理规定》A.15.2符合安全策略和标准以及技术符合性定期评审信息系统的安全确保符合科技发展部的安全策略及标准A.15.2.1符合安全策略和标准是管理人员应确保在其职责范围内的所有安全规程被正确地执行，以确保符合安全策略及标准。科技发展部每年至少开展一次体系内部审核，每次审核的范围覆盖整个科技发展部，确保职责范围内的所有安全程序正确完成，符合安全方针和策略要求。《安全审计与检查管理规定》《法律法规符合性管理规定》A.15.2.2技术符合性核*是信息系统应被定期核查是否符合安全实施标准。科技发展部定期开展信息安全检查，检查形式包括部门自查和科技发展部全面检查，检查内容包含技术符合性核查。《安全审计与检查管理规定》《法律法规符合性管理规定》《信息系统漏洞扫描实施细则》A.15.3信息系统审计考虑将信息系统审计过程的有效性最大化，干扰最小化A.15.3.1信息系统审计控制措施是涉及对运行系统核查的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。科技发展部要求各类涉及生产系统的检查、审计均必须获得授权后方可实施，以最小化