1、信息安全管理策略信息安全管理策略總則為滿足XX銀行（以下簡稱“我行”）信息安 全管理、信息安全保障和合規的需要，根據 XX 銀行信息安全管理方針，特制訂本管理策略。 目的是指導我行通過各項管理制度與措施，識別 各方面的信息安全風險，并采取適當的補救措施， 使風險水平降低到可以接受的程度。安全制度管理策略2.1目的使信息安全管理的發展方向和相關工作能夠 滿足我行業務要求、國家法律和規定的要求。安 全制度管理應建立一套完善的、能夠滿足以上要 求的文檔體系，并定期更新，發布到我行信息安 全所有相關單位中。2.2策略一：建立和發布信息安全管理文檔體系策略目標：使相關單位人員了解到信息安全管理文檔的內

2、容，安全工作有據可依。策略內容：建立我行信息安全管理文檔體系，發布到相 關單位。策略描述：根據XX銀行信息安全管理方針中的方針、 原則和我行特點，制訂出一套文檔體系，包括信 息安全策略、制度和實施指南等，通過培訓、會 議、辦公系統或電子郵件等方式向相關單位發布。總體發布范圍包括與以上信息資產相關的我 行所有部門、我行下屬機構和關聯公司，以及與 我行有關的集成商、軟件開發商、產品提供商、 顧問、商業合作伙伴、臨時工作人員和其他等第 三方機構或人員。2.3策略二：更新安全制度策略目標:安全制度能夠適應我行信息安全管理因各方 面情況變化而產生的變化，在長期滿足要求。策略內容：定期和不定期審閱和更新安

3、全制度。策略描述:由相關團隊定期進行安全制度的檢查、 更新, 或在信息系統與相關環境發生顯著變化時進行檢 查、更新三. 信息安全組織管理策略3.1目的通過建立與組織相關的以下二個安全策略， 促進組織建立合理的信息安全管理組織結構與功 能，以協調、監控安全目標的實現。與組織有關 的策略分內部組織和外部組織兩部分來描述。3.2策略一：在組織內建立信息安全管理架構策略目標:在組織內有效地管理信息安全策略內容:我行應建立專門的信息安全組織體系，以管 理信息安全事務，指導信息安全實踐。策略描述：通過建立信息安全管理組織，啟動和控制組 織范圍內的信息安全工作的實施，批準信息安全 方針、確定安全工作分工和相

4、應人員，以及協調 和評審整個組織安全的實施。根據需要，還可以建立與外部安全專家或組 織（包括相關權威人士）的聯系，以便跟蹤行業 趨勢、各類標準和評估方法；當處理信息安全事 故時，提供合適的聯系人和聯系方式，以快速及 時地對安全事件進行響應；鼓勵采用多學科方法 來解決信息安全問題。3.3策略二：管理外部組織對信息資產的訪問策略目標: 確保被外部組織訪問的信息資產得到了安全保護O策略內容:組織的信息處理設施和信息資產的安全不應 由于客戶、第三方的訪問或引入外部各方的產品 或服務而降低，任何外部各方對組織信息處理設 施的訪問、對信息資產的處理和通信，都應采取 有效的措施進行安全控制。策略說明：任何一

5、個組織都不避免與外界有業務往來與 信息溝通，經常需要向外部用戶開放其信息和信 息處理設施，因此，需要對外部訪問者給組織信 息資產帶來的安全風險進行評估，根據風險水平 ，確定所需的控制。必要時，需要與外部組織與 個人簽訂協議，并向其聲明組織的信息安全方針 與策略。四. 資產管理策略4.1目的組織要有效地控制安全風險，首先要識別信 息資產，并進行科學而有效的分類，然后在各個 管理層面對資產落實責任，采用恰當的控制措施對信息資產進行風險管理，本章通過以下二個策 略實施對信息資產的有效管理4.2策略一：為信息資產建立問責制策略目標:對組織的信息資產建立責任，為實施適當保護奠定基礎策略內容:應當對所有信

6、息資產進行識別、建立資產清單和使用規則，明確定義信息資產責任人及其職 責，為信息資產建立問責制。策略說明：對于我行的所有資產要標識出責任人，通常 可定義出信息資產的所有者、管理者和使用者， 并明確不同責任主體的職責。對信息資產的安全 控制可以由信息資產所有者委派具體的管理者來 承擔，但所有者和使用者仍對資產承擔適當保護 的責任。4.3策略二：對信息資產進行分類策略目標:通過對信息資產的分類，明確其可以得到適 當程度的保護。策略內容：應按照信息資產的價值、法律要求及對我行 的敏感程度和關鍵程度進行分類和進行標識。策略描述：信息的分類及相關保護控制要考慮到共享或 限制信息的業務需求以及與這種需求相

7、關的業務 影響。確定資產的類別，進行必要的標識，對其 進行周期性評審，確保其與組織的內外環境的變 化相適應，這些都應是資產所有者的職責。我行的信息資產分類可以從機密性、完整性 、可用性等三方面進行評估，其保護級別也根據 這三個方面得出。五. 人員安全管理策略5.1目的本節通過建立四個具體策略，以明確組織內與 人員任用相關的安全控制，以便對人力資源進行 有效的安全管理，包括內部員工及與組織相關的 外部人員的任用前、任用中、任用后相關的安全 職責、行為規范。5.2策略一：人員任用前的管理策略目標：在對人員正式任用前，要明確新員工、合同 方人員和第三方與其崗位角色相匹配的安全責任 ，并進行相關背景調

8、查，以減少對信息資產非授 權使用和濫用的風險。策略內容：確保人員的安全職責已于任用前通過適當的 協議及崗位說明書加以明確說明，并對新員工、 合同方的有關背景進行驗證檢查，對第三方的訪 問權限加以明確聲明和嚴格管理。策略說明：在新員工及其他外部人員正式進入組織前， 就明確其安全職責、強調安全責任、進行背景調 查，這在信息安全管理中具有重要的意義。通過 對所有應聘者、合同方人員進行必要篩選，對第 三方用戶加以限制，可以為組織的信息安全把好 第一道關。員工、合同方人員和信息處理設施的 第三方人員根據其安全角色和職責，要簽署相關 協議，以明確聲明其對信息安全的職責。我行的第三方人員主要有：借調或借用外

9、部 人員、軟件開發人員以及其他外部服務人員等。5.3策略二：人員任用中的管理策略目標：落實信息安全管理職責，確保我行的員工在 整個任用期內的行為都符合信息安全政策的要求O策略內容：應通過建立管理職責、必要的培訓和獎懲措 施，使所有的員工、合同方人員和第三方人員了 解工作中面臨的信息安全風險、相關責任和義務 ，并在日常工作中遵循組織的信息安全政策的要 求。策略說明：如果員工、合同方人員和第三方人員沒有意 識到他們工作中應當承擔的安全職責，他們可能 會有意或無意地對組織的信息安全造成破壞，因 此，需要在信息安全管理職責方面，對員工加以 有效的限制和必要的激勵，并持續進行信息安全 教育與培訓，可以減

10、少信息安全事故的發生。5.4策略三：任用的中止與變更策略目標：當任用關系中止或職責發生變化時，要建立 規范的程序，確保凍結或取消員工、合同方人員 和第三方人員所擁有的、與其目前職責不相符的 對我行信息資產的使用權。策略內容：從我行退出的員工、合同方人員和第三方人 員要歸還其所使用的設備，并刪除他們對我行信 息及信息系統的所有使用權；對于職責發生變化 的員工、合同方人員和第三方人員，按照“最小 授權”原則，要對其所擁有的信息資產訪問權做 相應的變更。策略說明：信息資產總是與特定的使用主體相關，當使 用主體的職責發生變化時，與其職責相關的訪問 權限應當及時做出相應變化。在實施此策略時，負責信息安全

11、的管理人員 需要與負責人力資源的管理人員要協作與溝通， 共同負責對員工及合同方人員的任用終止處理； 對于合同方的終止職責處理，要與合同方代表進 行協作，其他情況下的用戶可能由他們的來處理。當資產的訪問權和使用權發生變更及我行人 員及運行發生變化時，要及時通知各相關方。六. 物理與環境安全管理策略6.1目的本章的以下二個策略主要是保護我行的信息 、信息系統和基礎設施等免受非法的物理訪問、 自然災害和環境危害。6.2策略一：建立物理安全區域策略目標：防止對我行的工作場所和信息的非授權物 理訪問、損壞和干擾。策略內容：重要的或敏感的信息處理設施要放置在安全 區域內，建立適當的安全屏障和入口控制，在物

12、 理上避免非授權訪問、干擾；同時，需要建立必 要的措施防止自然災害和人為破壞造成的損失。策略說明：可以通過在我行邊界和信息處理設施周圍設 置一個或多個物理屏障來實現對安全區域的物理 保護；安全區域應由適合的入口控制所保護，以 確保只有授權的人員才允許訪問；為重要的工作 區域、公共訪問區、貨物交接區的安全工作建立 規范與指南。還應采取措施防止火災、洪水、地震、爆炸 、社會動蕩和其他形式的自然災難或人為災難帶 來的破壞。6.3策略二：保證設備安全策略目標：應保護設備免受物理的和環境的威脅。策略內容：防止設備的丟失、損壞、失竊或危及資產安 全以及造成我行活動的中斷。策略說明：對設備（包括離開我行使用

13、和財產移動）的 保護是減少未授權訪問信息的風險和防止丟失或 損壞所必需的，還應當考慮設備安放位置和報廢 處置方法的安全性。同時，還需要專門的控制用 來防止物理威脅以及保護支持性設施（例如電、 供水、排污、加熱/通風和空調），及考慮采取 措施保證電源布纜和通信布纜免受竊聽或損壞。七. 通信與運營管理策略7.1目的本章通過建立以下九個策略，確保我行對通信 和操作過程進行有效的安全管理，通過促進我行 建立信息處理設施的管理職責，開發適當的操作 和事故處理程序，以降低非授權使用和濫用系統 的風險，總體目標是確保員工能正確、安全地操 作信息處理設施。7.2策略一：建立操作職責和程序策略目標: 確保正確、

14、安全的操作信息處理設施。策略內容：應當為所有的信息處理設施建立必要的管理 和操作的職責及程序。策略說明：與信息處理和通信設施相關的系統活動應具 備形成文件的程序，例如計算機啟動和關機程序 、備份、設備維護、介質處理、計算機機房、郵 件處置管理和物理安全等；對信息處理設施和系 統的變更應加以控制；應實施責任分割，以減少 疏忽或故意誤用系統的風險；為了減少意外變更 或未授權訪問運行軟件和業務數據的風險，應分 離開發、測試和運行設施。7.3策略二：管理第三方服務策略目標：在符合雙方商定的協議下，保證第三方在實 施服務過程中，保持信息安全和服務交付的適當 水平。策略內容：我行應檢查第三方服務協議的實施

15、，監視協 議執行的符合性，并管理服務變更，以確保交付 的服務滿足與第三方商定的所有要求。策略說明：第三方交付的服務應包括商定的安全計劃、 服務定義和服務管理各方面；我行應當定期監督 、檢查和審核第三方提供的服務、報告和記錄， 對服務變更進行有效管理；我行還應當確保第三 方保持足夠的服務能力和可用性計劃，以確保商 定的服務在大的服務故障或災難后繼續得以保持7.4策略三：系統規劃和驗收策略目標：將系統失效的風險降至最小。策略內容：為確保足夠能力和資源的可用性，以提供所 需的系統性能，需要預先對系統進行規劃和準備 工作；應做出對于未來容量需求的預測，以減少 系統過載的風險；新系統的運行要求應在驗收和

16、 使用之前建立、形成文件并進行測試。策略說明：對于每一個新的和正在進行的信息處理活動 都應識別容量要求，確保在必要時及時改進系統 的可用性和效率。對系統未來容量的推測應考慮 新業務、系統要求以及我行信息當前處理能力及 未來發展的趨勢。管理人員要確保驗收新系統的要求和準則被 明確地定義，形成文件并經過測試。新信息系統 升級和新版本只有在獲得正式驗收后，才能作為 產品。7.5策略四：防范惡意和移動代碼策略目標：保護軟件和信息的完整性。策略內容：我行應采取預防措施，以防范和檢測惡意代 碼和未授權的移動代碼引入到我行的信息處理設 施中來。策略說明：軟件和信息處理設施易感染惡意代碼（例如 計算機病毒、網

17、絡蠕蟲、特洛伊木馬和邏輯炸彈），要讓用戶了解惡意代碼的危險。管理人員要 實施適當的控制措施，以防范、檢測并刪除惡意 代碼。7.6策略五：備份策略目標：保持信息和信息處理設施的完整性及可用性策略內容：應按照已設的備份策略，定期對我行的重要 信息和軟件進行備份，并定期進行恢復測試。 策略說明：應提供足夠的備份設施，以確保所有必要的 信息和軟件能在災難或介質故障后進行恢復。為 使備份和恢復過程更容易，備份可安排為自動進 行；各個系統的備份計劃應定期測試以確保他們 滿足業務連續性計劃的要求；對于重要的系統， 備份計劃應包括在發生災難時恢復整個系統所必 需的所有系統信息、應用和數據；應確定最重要 業務信

18、息的保存周期以及對要永久保存的檔案拷 貝的任何要求。7.7策略六：網絡安全管理策略目標：確保網絡中的信息和支持性基礎設施得到保 護。策略內容：應對我行的網絡講行充分的管理和控制，以 防范非法訪問網絡信息與非授權連接網絡服務， 保護信息與信息服務的安全。策略說明：加強網絡管理與控制，以防范威脅、保持使 用網絡的系統和應用程序的安全，包括信息傳輸 ；應識別所有網絡服務的安全特性、服務等級和 管理要求，并包含在網絡服務協議中，無論這種 服務是由內部提供的還是外包的。7.8策略七：對存儲介質的處理策略目標：防止由于對存儲介質管理不當，造成未授權 泄漏、修改、移動或損壞，并對業務活動造成不 利影響。策略

19、內容：我行應當對存儲介質的使用、移動、保管及 處置等操作進行有效管理。策略說明：存儲介質包括硬盤、磁帶、閃盤、可移動硬 件驅動器、CD DV和打印的介質。為使存儲介 質中的數據和系統文件免遭未授權泄露、修改和 破壞，應建立適當的使用、保存、刪除和銷毀的 操作策略和相關程序。7.9策略八：信息交換策略目標：保護在我行內及與外部團體進行信息和軟件 交換的安全。策略內容：我行內及我行與外部團隊的信息和軟件的交 換應當基于正式的交換策略，采取必要的安全控 制措施，按照交換協議執行，同時還應服從任何 相關法律法規的要求。策略說明：如果在使用信息交換設施時缺乏安全意識、 必要的策略和安全控制措施，可能會造

20、成重要信 息的泄露；如果通信設施失靈、過載或中斷，則 可能中斷業務運行并損壞信息；如果上述通信設 施被未授權用戶所訪問，也可能損害信息。因此 ，要建立策略和程序，以保護信息交換過程中信 息和包含信息的物理介質的安全7.10策略九：系統監測策略目標：檢測未經授權的信息處理活動。策略內容：應對信息系統進行監測，記錄信息安全事件 ，并使用操作員日志和故障日志以確保識別出信 息系統的問題。策略說明：應建立監測信息處理系統使用的策略與程序 ，定期評審監測活動的結果；通過系統操作日志 、錯誤日志記錄系統操作者的活動和系統出現錯 誤的情況，以監測安全事件；我行的監測和日志 記錄活動應遵守所有相關法律的要求，

21、并要防止 對日志的非授權變更和刪除。八. 訪問控制管理策略8.1目的訪問控制是對主體訪問客體的權限或能力的 一種限制，分為物理訪問控制邏輯訪問控制。物 理訪問控制在“物理與環境安全策略”一章中已 有涉及，在這里的訪問控制主要是指邏輯訪問控 制。在網絡廣泛互聯的今天，采用技術與管理手 段建立邏輯訪問控制己是保障信息安全的重要手 段，本章通過建立以下八個策略，以推動我行對 訪問控制的有效安全管理。8.2策略一：根據業務要求進行訪問控制策略目標：建立必要的規則，控制用戶對信息的訪問。策略內容：應在我行業務和安全要求的基礎上，控制對 信息、信息處理設施和業務過程的訪問。策略說明：我行需要將滿足業務需要

22、的訪問控制規則向 用戶和服務提供者明確地加以說明；我行應清晰 地敘述每個用戶或一組用戶的訪問控制規則和權 利，應當把邏輯訪問控制和物理訪問控制綜合起 來考慮；訪問控制規則應由正式的程序支持，并 清晰地定義職責和范圍。8.3策略二：用戶訪問管理策略目標：確保只有授權用戶才能訪問系統，預防對信 息系統的非授權訪問。策略內容：應建立正式的程序，來控制對信息系統和服 務的用戶訪問權的分配。策略說明：訪問控制程序應涵蓋用戶訪問生命周期內的 各個階段，從新用戶初始注冊、日常使用，到不 再需要訪問信息系統和服務時的用戶帳號的最終 撤銷；應特別注意對特權用戶的分配加以控制， 因為特權用戶可以修改或繞過系統的控

23、制措施。8.4策略三：用戶職責策略目標：防止未授權用戶對信息和信息處理設施的訪 問和其他危害的行為。策略內容：應使用戶認知其維護有效的訪問控制的職 責，特別是關于口令使用和無人值守的用戶設備 保護方面的職責。策略說明：已授權用戶的合作對實現有效的安全十分重 要，首先應要求用戶在選擇及使用口令和保護無 人值守的用戶設備方面，遵循良好的安全習慣； 實施桌面清空和屏幕清空策略以降低未授權訪問 或破壞紙、介質和信息處理設施的風險。8.5策略四：網絡訪問控制策略目標：防止對網絡服務的非授權訪問。策略內容：對內部和外部網絡服務的訪問均應加以控 制，以確保我行內部網絡與外部網絡之間的接口 進行有效的控制或隔

24、離；對網絡環境中用戶和設 備身份應用了合適的鑒別機制；用戶對我行信息 服務的訪問已根據控制規則和業務要求進行了限 制。策略說明：與網絡服務的未授權和不安全連接可以影響 整個組織。對于敏感或關鍵業務應用的網絡連接 或與高風險位置的用戶的網絡連接而言，采取嚴 格的控制措施就顯得特別重要。控制大型網絡的安全的有效方法是將該網絡 分成獨立的邏輯網絡域，將網絡隔離成若干域的 準則應基于風險評估和每個域內的不同訪問控制 策略和訪問要求，還要考慮到相關成本和加入適 合的網絡路由或網關技術的性能影響。由于無線網的邊界很難定義，非授權訪問的 風險較高，我行應特別加強對無線網的管理，需 要考慮限制使用無線網，或將

25、無線網與內部和專 用網絡進行隔離。8.6策略五：操作系統訪問控制策略目標：防止對操作系統的非授權訪問。策略內容：應啟用安全措施限制授權用戶對操作系統的 訪問，這些措施包括但不限于：按照已定義的訪 問控制策略鑒別授權用戶；記錄成功和失敗的系 統鑒別企圖；記錄專用系統特殊權限的使用；當 違反系統安全策略時發布警報；提供合適的身份 鑒別手段；必要時，限制用戶的連接次數。策略說明：一般而言，目前的各種操作系統都加強了訪 問控制的功能，我行應當盡量啟用操作系統提供 的訪問控制功能。只有當操作系統訪問控制功能 不能滿足業務需要時，才尋求專門訪問控制解決 方案。8.7策略六：應用系統和信息訪問控制策略目標：

26、防止對應用系統和信息的非授權訪問。策略內容：對應用軟件和信息的邏輯訪問只限于已授權 的用戶，應用系統的措施包括但不限于：按照定 義的訪問控制策略，控制用戶訪問信息和應用系 統功能；防止能夠越過系統控制或應用控制的任 何實用程序、操作系統軟件和惡意軟件進行未授 權訪問；不損壞共享信息資源的其他系統的安全;策略說明：應根據規定的訪問控制策略，限制用戶和支 持人員對信息和應用系統功能的訪問。對訪問的 限制應基于各個業務應用要求，訪問控制策略也 應與我行的訪問策略一致。對敏感應用系統，可 以考慮在獨立的計算環境中運行。8.8策略七：移動計算和遠程工作策略目標：在使用移動計算和遠程工作設施時，確保信 息

27、的安全。策略內容：當我行需要使用移動計算和遠程工作時，應 建立必要保護措施，以避免非保護的環境中的工 作風險。策略說明：當使用移動計算和通信設施時，例如，筆記 本電腦、掌上機、智能卡和移動電話，應特別小 心確保業務信息不被泄露。移動計算的保護措施 有物理保護、訪問控制、密碼技術、備份和病毒 預防的要求。對遠程工作場地的合適保護應到位, 以防止偷竊設備和信息、未授權泄露信息、未授 權遠程訪問我行內部系統或濫用設施等。九. 系統開發與維護管理策略9.1目的本章的六個安全策略旨在確定我行獲取、開 發、維護信息系統所應遵守的關鍵控制點。在信息系統獲取和開發過程中就需要加強對 信息安全的管理與控制，只有

28、集成在軟件開發過 程中的安全措施，才能真正起到預防與控制風險 的作用，而且在軟件開發生命周期中，越早引入 控制措施，將來運行與維護費用就越少。9.2策略一：確定信息系統的安全需求策略目標：確保將安全作為信息系統建設的重要組成部 分。策略內容：應用系統的所有安全需求都需要在項目需求 分析階段被確認，并且作為一個信息系統的總體 構架的重要組成部分，要得到對其合理性的證明、 并獲得用戶認可，同時要記錄在案。策略說明：信息系統安全包括基礎架構軟件、外購業務 應用軟件和用戶自主開發的軟件的安全，信息系 統的安全控制應該在系統開發設計階段予以實 現，要確保安全性已構成信息系統的一部分，我 行應該在信息系統

29、開發前，或在項目開始階段， 識別所有的安全要求，并作為系統設計不可缺少 的一部分，進行確認與調整。9.3策略二：在應用中建立安全措施策略目標：避免應用系統在運行過程中發生故障，并防 止在應用軟件系統中的用戶數據的丟失、改動或 者濫用。策略內容：應當把適當的技術控制措施、查驗追蹤和活 動日志等控制手段設計到應用軟件系統中。這些 措施應當包括對輸入數據、內部處理和輸出數據 的檢驗。策略說明：要保證應用系統的安全，需要在軟件開發過 程中，集成適當的安全控制技術措施，而且要在 應用系統需求和應用系統設計中進行明確的表 達。信息安全管理人員或IT審計人員需要在需求 評審階段，著重檢查必要的輸入、處理和輸

30、出控 制措施是否集成在系統中。9.4策略三：實施密碼控制策略目標: 保護信息的保密性、完整性和有效性。策略內容：對于面臨非授權訪問威脅的信息，當其它管 理措施無法對其進行有效保護時，應當用密碼系 統和密碼技術進行保護。策略說明：為防止我行敏感信息的泄露，可以利用加密 技術對其進行處理后進行存儲與傳輸；為防止重 要信息被篡改或偽造，可以利用加密的辦法對信 息的完整性進行鑒別；在電子商務過程中，可以 通過加密技術的應用（如數字簽名）進行交易雙 方身份真實性認證，并防止抵賴行為的發生。9.5策略四：保護系統文件的安全策略目標：為確保IT項目和支持行為以安全的方式進行 ，應當控制對系統文件的訪問。策略

31、內容：應當維護系統文件中信息的完整性，這是應 用程序系統、用戶及開發人員的共同責任。策略說明：系統文件是一種全局文件，可視為所有用戶 程序所用的文件（另一種解釋是一種僅供操作系 統訪問的文件）。系統文件面臨的典型威脅是使 用錯誤的程序版本，從而導致數據的錯誤處理與 數據破壞，以及由于測試目的使用操作數據而導 致的信息泄露。因此要采取措施保護系統文件的 安全。9.6策略五：保證開發和支持過程的安全策略目標：維護應用程序系統中的軟件和信息的安全。策略內容：我行應當對項目和支持環境進行嚴格控制， 即對應用系統、操作系統及軟件包的更改及軟件 外包活動進行安全控制。策略說明：在應用系統的開發與維護過程中

32、，應用程序 的未授權修改、未進行評審的操作系統的更改、 未加限制的軟件包的更改等都會給我行的應用系 統帶來安全風險。所以要對應用軟件開發與支持 過程中的安全加以控制。9.7策略六：對技術脆弱性進行管理策略目標：減少由利用公開的技術脆弱點帶來的風險。 策略內容：應及時獲得我行所使用的信息系統的技術脆 弱點的信息，評估我行對此類技術脆弱點的保護 ，并采取適當的措施。策略說明：技術脆弱點管理應該以一種有效的、系統的 、可反復的方式連同可確保其有效性的措施來實 施。這些考慮應包括在用操作系統和任何其它的 應用。十.信息安全事故管理策略10.1目的安全事故就是能導致資產丟失與損害的任何 事件，為把信息安

33、全事件的損害降到最低的程度 ，追蹤并從事件中吸取教訓，我行應明確有關事 故、故障和薄弱點的部門，并根據安全事件與故 障的反應過程建立一個報告、反應、評價和懲戒 的機制。通過以下二個策略的建立，促進我行有效地 對信息安全事件進行管理。10.2策略一：報告信息安全事件和系統弱點策略目標：確保與信息系統有關的安全事件和系統弱點 能得到及時報告，以便采取必要的糾正措施。策略內容：我行應建立有正式的報告信息安全事件和系 統弱點的程序，并讓所有的員工、合同方人員和 第三方人員加以了解和執行。策略說明：我行通過建立正式的信息安全事件報告程序， 在收到信息安全事件和系統弱點報告后，可立即 著手采取相應措施對安

34、全事件進行響應。報告程 序應建立報告信息安全事件的聯系點，使我行內 的每個人都知道這個聯系點，并確保該聯系點持 續可用，并能提供充分且及時的響應。10.3策略二：信息安全事件管理和改進策略目標：確保使用持續有效的方法管理信息安全事件。策略內容：一旦信息安全事件和弱點報告上來，應該立即 明確責任，按照規程進行有效處理；我行還應建 立能夠量化和監控信息安全事件的類型、數量、 成本的機制。策略說明：應當應用一個連續性的改進過程，對信息安全 事件進行響應、監視、評估和總體管理。從對信 息安全事件評估中獲取的信息，應該用來識別再 發生的事件和重大影響的事件。如果需要證據的 話，則應該搜集證據以滿足法律的要求。十一 .業務連續性管理策略11.1目的制定和實施一個完整的業務持續計劃應從理 解自身業務的開始，進行業務影響分析和風險評估，在此基礎上由管理高層形成本我行的業務持 續戰略方針，然后規劃業務持續計劃，進行計劃 的測試與實施，最后進行計劃的維護與更新，并 通過審計保證計劃不斷改進和完善。本策略的制定旨在促進我行建立業務連續性計劃 ，實現業務連續性管理。11.2策略一：建立業務連續性管理程序策略目標：保護我行的關鍵業務流程不會因信息系