1、信息安全風(fēng)險(xiǎn)管理辦法國(guó)都信業(yè)科技2017年10月刖吞本程序所規(guī)定的是國(guó)都信業(yè)科技企業(yè)的信息安全風(fēng)險(xiǎn)管理原則，在具 體實(shí)施過(guò)程中，各部門可結(jié)合本部門的實(shí)際情況，根據(jù)本程序的要求制定 相應(yīng)的文件，以便指導(dǎo)本部門的實(shí)施操作。本制度自實(shí)施之日起，立即生效。本制度由國(guó)都信業(yè)科技企業(yè)信息管理部起草。本制度由國(guó)都信業(yè)科技企業(yè)信息管理部歸口管理1 目的為規(guī)國(guó)都信業(yè)科技企業(yè)（以下簡(jiǎn)稱“本公司” ）信息安全風(fēng)險(xiǎn)管理體系，建 立、健全信息安全管理制度， 確定信息安全方針和目標(biāo)， 全面覆蓋信息安全風(fēng)險(xiǎn) 點(diǎn)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，并持續(xù)改進(jìn)信息安全體系建設(shè)。2圍本制度適用于本公司信息管理部信息安全風(fēng)險(xiǎn)管理應(yīng)用及活

2、動(dòng)。3 術(shù)語(yǔ)和定義無(wú)。4 職責(zé)信息管理部作為本公司信息安全管理的主管部門，負(fù)責(zé)實(shí)施信息安全管理 體系必要的程序并維持其有效運(yùn)行，制定信息安全相關(guān)策略、制度、規(guī)定，對(duì) 信息管理活動(dòng)各環(huán)節(jié)進(jìn)行安全監(jiān)督和檢查，信息安全培訓(xùn)、宣傳，信息安全事 件的響應(yīng)、處理及報(bào)告等工作。信息安全管理人員負(fù)責(zé)全行信息安全策略的執(zhí)行和推動(dòng)。5 管理規(guī)定5.1 信息安全管理容信息安全管理容應(yīng)覆蓋信息管理、 信息管理相關(guān)的所有風(fēng)險(xiǎn)點(diǎn)， 包括用戶管 理、身份驗(yàn)證、身份管理、用戶管理、風(fēng)險(xiǎn)評(píng)估、信息資產(chǎn)管理、網(wǎng)絡(luò)安全、病 毒防護(hù)、敏感數(shù)據(jù)交換等容。5.2 信息管理崗位設(shè)置為保證本公司信息安全管理， 設(shè)置信息管理部崗位分工及職責(zé)時(shí)

3、， 應(yīng)全面考 慮信息管理工作實(shí)際需要及責(zé)任劃分， 制定詳細(xì)的崗位分工及職責(zé)說(shuō)明， 對(duì)信息 管理人員權(quán)限進(jìn)行分級(jí)管理，信息管理關(guān)鍵崗位有設(shè)置 AB 角。應(yīng)配備專職安全 管理員，關(guān)鍵區(qū)域或部位的安全管理員符合機(jī)要人員管理要求， 對(duì)涉密人員簽訂 了協(xié)議。5.3 信息安全人員管理5.3.1 人員雇傭安全管理信息管理人員的雇傭符合如下要求： 信息管理人員的專業(yè)知識(shí)和業(yè)務(wù)水平達(dá)到本公司要求； 詳細(xì)審核科技人員工作經(jīng)歷，信息管理人員應(yīng)無(wú)不良記錄； 針對(duì)正式信息管理人員、臨時(shí)聘用或合同制信息管理人員及顧問(wèn)，采取 不同的管理措施。5.3.2 人員入職安全管理在員工工作職責(zé)說(shuō)明書中除了要說(shuō)明崗位的一般職責(zé)和規(guī)以外

4、， 還要加入與 此崗位相關(guān)的信息安全管理規(guī)， 具體容參看各個(gè)安全管理規(guī)中的適用圍部分。 人 員入職必須簽訂協(xié)議， 在人員的入職培訓(xùn)容中應(yīng)該包括信息安全管理規(guī)的相關(guān)容 解釋和技術(shù)培訓(xùn)。5.3.3 人員安全培訓(xùn)根據(jù)工作崗位對(duì)從業(yè)者的能力需求、 從業(yè)者本身的實(shí)際能力以及從業(yè)者所面 臨信息安全風(fēng)險(xiǎn)，確定培訓(xùn)容。考慮不同層次的職責(zé)、能力、文化程度以及所面 臨的風(fēng)險(xiǎn)，信息安全主管部門應(yīng)該根據(jù)培訓(xùn)需求組織培訓(xùn)， 制定培訓(xùn)計(jì)劃， 培訓(xùn) 計(jì)劃包括：培訓(xùn)項(xiàng)目、主要容、主要負(fù)責(zé)人、培訓(xùn)日程安排、培訓(xùn)方式等，培訓(xùn) 前要寫好培訓(xùn)方案，并通知相關(guān)人員，培訓(xùn)后要進(jìn)行考核。5.3.4 人員安全考核人事部門對(duì)人員進(jìn)行的定期考核

5、中應(yīng)該包括安全管理規(guī)的相關(guān)容。5.3.5 人員離職安全管理本公司人員離職手續(xù)中應(yīng)該包括如下安全相關(guān)的容：a) 收回所有的密碼，并確認(rèn)密碼的正確性；b) 收回所有的物理安全設(shè)備，包括鑰匙和證件；c) 收回所有工作資料，包括紙介質(zhì)和電子介質(zhì)；d) 進(jìn)行調(diào)離談話，申明其調(diào)離后的義務(wù)；e) 離職后應(yīng)該立刻更改所有此離職人員曾掌握過(guò)的密碼或密鑰。對(duì)于本公司辭退人員， 必須在第一時(shí)間完成上述工作， 通知其辭退后， 所有 的工作交接容必須有專人陪同，需填寫工作交接單 ；對(duì)于辭退人員應(yīng)該跟蹤 其工作動(dòng)向，采取合理的手段阻止其就職于競(jìng)爭(zhēng)對(duì)手組織，如協(xié)議中的條款。5.3.6 外部人員訪問(wèn)安全管理外部人員訪問(wèn)要遵守

6、本公司相關(guān)安全管理規(guī)定。 對(duì)需要訪問(wèn)本公司的外部人 員發(fā)放通行證， 通行證應(yīng)該針對(duì)訪問(wèn)地點(diǎn)的安全敏感度設(shè)置不同的安全級(jí)別。 外 部人員訪問(wèn)敏感地點(diǎn)應(yīng)該有專人陪同。 對(duì)于需要長(zhǎng)時(shí)間訪問(wèn)的外部人員應(yīng)該建立 檔案，檔案應(yīng)與通行證對(duì)應(yīng)。外來(lái)人員攜帶電腦要接入企業(yè)網(wǎng)， 必須征得信息管理部允許方可接入。 員工 有義務(wù)向外來(lái)人員說(shuō)明網(wǎng)絡(luò)接入安全要求。5.4 信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估信息管理安全制度建設(shè)與信息管理安全風(fēng)險(xiǎn)相結(jié)合， 信息管理安全制度全面 涵蓋了信息管理安全的風(fēng)險(xiǎn)點(diǎn)， 包括：安全管理策略、 制度、機(jī)房、軟件、硬件、 網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面，并針對(duì)信息資產(chǎn)進(jìn)行了風(fēng)險(xiǎn)程度評(píng)估，生成了信息資 產(chǎn)風(fēng)險(xiǎn)評(píng)估文件。5

7、.5 信息管理制度密級(jí)管理應(yīng)根據(jù)制度的密級(jí)要求程度，對(duì)制度進(jìn)行密級(jí)分級(jí)管理。5.6 信息管理安全分級(jí)應(yīng)根據(jù)信息管理的安全保護(hù)級(jí)別， 對(duì)信息管理進(jìn)行安全等級(jí)劃分管理， 根據(jù) 安全保護(hù)等級(jí)對(duì)信息管理進(jìn)行相應(yīng)的管理措施。5.7 信息管理安全保護(hù)體系為更好的貫徹應(yīng)用系統(tǒng)的安全保護(hù)體系， 建立了應(yīng)用系統(tǒng)的分類及分級(jí)保護(hù)體系，根據(jù)系統(tǒng)類別及級(jí)別進(jìn)行安全評(píng)估，制定不同的防措施，對(duì)應(yīng)用系統(tǒng)按照重要程度實(shí)行等級(jí)保護(hù)。信息管理分級(jí)為了更好地規(guī)應(yīng)用系統(tǒng)保護(hù)措施，根據(jù)信息管理安全等級(jí)保護(hù)實(shí)施指南 為本公司信息管理進(jìn)行了分級(jí)。經(jīng)過(guò)定級(jí)，并上報(bào)給公安部門共有一個(gè)三級(jí)系統(tǒng), 七個(gè)二級(jí)系統(tǒng)。分級(jí)保護(hù)措施安全設(shè)計(jì)與實(shí)施在系統(tǒng)建

8、設(shè)之初，根據(jù)該系統(tǒng)的安全保護(hù)定級(jí)，按照信息管理安全總體方案 的要求，結(jié)合信息管理安全建設(shè)項(xiàng)目計(jì)劃，分期分步落實(shí)安全措施，如下圖1。MlHl洞總聶撞吃全烷肄力HE 磴必*晦董士說(shuō)/口討閒 S -fM-n叱嚴(yán)口電懺 產(chǎn)甜擔(dān)卓左出it11 r世 FLM?# M ft 抖羽週璉把整相丘ifiiS tM 4E 臨杵1-亂卡總第厲! 直尸枯皿*；世卡皿帽埸計(jì)巾矚i*L圖1安全設(shè)計(jì)與實(shí)施流程圖上圖為安全設(shè)計(jì)與實(shí)施的流程圖。 對(duì)于系統(tǒng)的安全設(shè)計(jì)與實(shí)施流程，最重要 的三個(gè)階段為：安全方案詳細(xì)設(shè)計(jì)階段、技術(shù)措施實(shí)現(xiàn)階段和管理措施實(shí)現(xiàn)階段。對(duì)于安全保護(hù)等級(jí)為三級(jí)的信息管理，要求嚴(yán)格依據(jù)安全設(shè)計(jì)與實(shí)施流程， 保證各階

9、段的輸入和產(chǎn)出文件，保證系統(tǒng)的安全性。安全運(yùn)行與維護(hù)5.741安全運(yùn)行與維護(hù)階段工作流程安土計(jì)好霞汁案wh曾圣曲搏啊n一t要計(jì)円-T i'，訂! +變更Z秦夏更專1卑恨右安坐宰挿5WUlitraibl A雯土牡豪垃矗二）監(jiān)曲對(duì)錄擁菱安上桃杏計(jì)皈帽書安士狀應(yīng)卜斫摧告安全耳處冃.首穎衆(zhòng) 安f件眩報(bào)務(wù)圖2安全運(yùn)行與維護(hù)階段工作流程運(yùn)行管理控制運(yùn)行維護(hù)職責(zé)對(duì)于信息安全保護(hù)等級(jí)為三級(jí)和二級(jí)的信息管理 ，信息管理部配備專門的人 員對(duì)其的運(yùn)行進(jìn)行維護(hù)。運(yùn)行管理過(guò)程控制a）建立操作規(guī)程將操作過(guò)程或流程規(guī)化，并形成指導(dǎo)運(yùn)行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。b）操作過(guò)程記錄對(duì)運(yùn)行管理人員按

10、照操作規(guī)程執(zhí)行的操作過(guò)程形成相關(guān)的記錄文件，可以是日志文件，記錄操作的時(shí)間和人員、正常或異常等信息。5.7.4.3 變更管理配置通過(guò)信息管理管理平臺(tái) , 對(duì)系統(tǒng)變更流程進(jìn)行控制 , 包括: 變更容審核和審批對(duì)變更目的、容、影響、時(shí)間和地點(diǎn)以及人員權(quán)限進(jìn)行審核，以確保變更合 理、科學(xué)的實(shí)施。按照機(jī)構(gòu)建立的審批流程對(duì)變更方案進(jìn)行審批。建立變更過(guò)程日志按照批準(zhǔn)的變更方案實(shí)施變更， 對(duì)變更過(guò)程各類系統(tǒng)狀態(tài)、 各種操作活動(dòng)等 建立操作記錄或日志。形成變更結(jié)果報(bào)告收集變更過(guò)程的各類相關(guān)文檔， 整理、分析和總結(jié)各類數(shù)據(jù)， 形成變更結(jié)果 報(bào)告，并歸檔保存。活動(dòng)輸出：變更結(jié)果報(bào)告。對(duì)于二級(jí)或二級(jí)以上的系統(tǒng) ,

11、應(yīng)嚴(yán)格遵循變更管理過(guò)程控制規(guī)定 ,在信息管 理管理平臺(tái)中 , 遵循變更流程進(jìn)行操作。5.7.4.4 運(yùn)行狀態(tài)監(jiān)控安全關(guān)鍵點(diǎn)分析對(duì)影響系統(tǒng)、業(yè)務(wù)安全性的關(guān)鍵要素進(jìn)行分析，確定安全狀態(tài)監(jiān)控的對(duì)象， 這些對(duì)象可能包括主機(jī)、服務(wù)器、存儲(chǔ)、防火墻、防病毒、核心路由器、核心交 換機(jī)、主要通信線路、 關(guān)鍵服務(wù)器或客戶端等系統(tǒng)圍的對(duì)象； 也可能包括安全標(biāo) 準(zhǔn)和法律法規(guī)等外部對(duì)象。形成監(jiān)控對(duì)象列表根據(jù)確定的監(jiān)控對(duì)象， 分析監(jiān)控的必要性和可行性、 監(jiān)控的開銷和成本等因 素，形成監(jiān)控對(duì)象列表。活動(dòng)輸出：監(jiān)控對(duì)象列表。狀態(tài)分析對(duì)安全狀態(tài)信息進(jìn)行分析， 及時(shí)發(fā)現(xiàn)險(xiǎn)情、 隱患或安全事件， 并記錄這些安 全事件，分析其發(fā)展

12、趨勢(shì)。影響分析根據(jù)對(duì)安全狀況變化的分析， 分析這些變化對(duì)安全的影響， 通過(guò)判斷他們的 影響決定是否有必要作出響應(yīng) 形成安全狀態(tài)分析報(bào)告根據(jù)安全狀態(tài)分析和影響分析的結(jié)果，形成安全狀態(tài)分析報(bào)告，上報(bào)安全事 件或提出變更需求。活動(dòng)輸出：安全狀態(tài)分析報(bào)告。對(duì)于安全保護(hù)等級(jí)為三級(jí)的信息管理，需要對(duì)系統(tǒng)的運(yùn)行狀態(tài)、容量使用情 況等嚴(yán)格進(jìn)行實(shí)時(shí)監(jiān)控。5.745安全事件處置安全事件調(diào)查和分析針對(duì)各類安全事件列表，調(diào)查本系統(tǒng)安全事件的類型、安全事件對(duì)業(yè)務(wù)的影 響圍和程度以及安全事件的敏感程度等信息，分析對(duì)安全事件進(jìn)行響應(yīng)恢復(fù)所需 要的時(shí)間。安全事件等級(jí)劃分根據(jù)以上調(diào)查和分析結(jié)果，根據(jù)信息安全事件造成的損失程度，

13、信息管理遭 到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán) 益的危害程度等因素，確定事件等級(jí)，制定安全事件的報(bào)告程序。三級(jí)以上的信息管理，需嚴(yán)格遵循安全事件處理流程，即時(shí)調(diào)查解決問(wèn)題并 進(jìn)行上報(bào)。信息管理中止 信息管理中止流程二誼詡連山喪車詳缶弐城、噫存忖苣記錄乂嚴(yán)圖 3 信息管理中止流程5.7.5.2 信息轉(zhuǎn)移、暫存和清除識(shí)別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn) 根據(jù)要終止的信息管理的信息資產(chǎn)清單， 識(shí)別重要信息資產(chǎn)、 所處的位置以 及當(dāng)前狀態(tài)等，列出需轉(zhuǎn)移、暫存和清除的信息資產(chǎn)的清單。信息資產(chǎn)轉(zhuǎn)移、暫存和清除 根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過(guò)程

14、。 如果是涉密信息，應(yīng)該按照國(guó)家相關(guān)部門的規(guī)定進(jìn)行轉(zhuǎn)移、暫存和清除。處理過(guò)程記錄 記錄信息轉(zhuǎn)移、暫存和清除的過(guò)程，包括參與的人員，轉(zhuǎn)移、暫存和清除的 方式以及目前信息所處的位置等。5.7.5.3 設(shè)備遷移或廢棄軟硬件設(shè)備識(shí)別 根據(jù)要終止的信息管理的設(shè)備清單， 識(shí)別要被遷移或廢棄的硬件設(shè)備、 所處 的位置以及當(dāng)前狀態(tài)等，列出需遷移、廢棄的設(shè)備的清單。制定硬件設(shè)備處理方案 根據(jù)規(guī)定和實(shí)際情況制定設(shè)備處理方案， 包括重用設(shè)備、 廢棄設(shè)備、 敏感信 息的清除方法等。處理方案審批 包括重用設(shè)備、 廢棄設(shè)備、敏感信息的清除方法等的設(shè)備處理方案應(yīng)該經(jīng)過(guò) 主管領(lǐng)導(dǎo)審查和批準(zhǔn)。設(shè)備處理和記錄 根據(jù)設(shè)備處理方案對(duì)

15、設(shè)備進(jìn)行處理， 如果是涉密信息的設(shè)備， 其處理過(guò)程應(yīng) 符合國(guó)家相關(guān)部門的規(guī)定；記錄設(shè)備處理過(guò)程，包括參與的人員、處理的方式、 是否有殘余信息的檢查結(jié)果等。5.7.5.4 存儲(chǔ)介質(zhì)的清除或銷毀識(shí)別要清除或銷毀的介質(zhì)根據(jù)要終止的信息管理的存儲(chǔ)介質(zhì)清單， 識(shí)別載有重要信息的存儲(chǔ)介質(zhì)、 所 處的位置以及當(dāng)前狀態(tài)等，列出需清除或銷毀的存儲(chǔ)介質(zhì)清單。確定存儲(chǔ)介質(zhì)處理方法和流程 根據(jù)存儲(chǔ)介質(zhì)所承載信息的敏感程度確定對(duì)存儲(chǔ)介質(zhì)的處理方式和處理流 程。存儲(chǔ)介質(zhì)的處理包括數(shù)據(jù)清除和存儲(chǔ)介質(zhì)銷毀等。 對(duì)于存儲(chǔ)涉密信息的介質(zhì) 應(yīng)按照國(guó)家相關(guān)部門的規(guī)定進(jìn)行處理。處理方案審批 包括存儲(chǔ)介質(zhì)的處理方式和處理流程等的處理方案

16、應(yīng)該經(jīng)過(guò)主管領(lǐng)導(dǎo)審查 和批準(zhǔn)。存儲(chǔ)介質(zhì)處理和記錄 根據(jù)存儲(chǔ)介質(zhì)處理方案對(duì)存儲(chǔ)介質(zhì)進(jìn)行處理， 記錄處理過(guò)程， 包括參與的人 員、處理的方式、是否有殘余信息的檢查結(jié)果等。5.8 外包安全管理應(yīng)加強(qiáng)對(duì)外包商、外包項(xiàng)目以及外包服務(wù)的安全管理。 進(jìn)行外包商資質(zhì)審查、 外包項(xiàng)目過(guò)程風(fēng)險(xiǎn)審計(jì)、 外包服務(wù)人員日常管理。 詳細(xì)管理制度及辦法可參考外 包管理制度。5.9 信息安全風(fēng)險(xiǎn)培訓(xùn)及宣傳加強(qiáng)對(duì)全體員工的信息安全教育和培訓(xùn)，定期執(zhí)行信息安全風(fēng)險(xiǎn)教育培訓(xùn)， 不斷增強(qiáng)員工的信息安全意識(shí)和能力。 培訓(xùn)對(duì)象應(yīng)包括但不限于： 研發(fā)部、 信息 管理部、業(yè)務(wù)部門、審計(jì)部等。采取加強(qiáng)對(duì)客戶的信息安全風(fēng)險(xiǎn)宣傳教育工作，宣傳方式

17、包括但不限于： 信息安全風(fēng)險(xiǎn)知識(shí)宣傳；業(yè)務(wù)辦理單客戶關(guān)注事項(xiàng)； 營(yíng)業(yè)廳銀行相關(guān)知識(shí)宣傳教育。5.10 信息安全事件處理為盡可能小地影響用戶和用戶業(yè)務(wù)的情況下使 IT 系統(tǒng)盡快恢復(fù)，從而維持 良好的服務(wù)質(zhì)量和可用性級(jí)別， 本公司制定了信息安全事件響應(yīng)處理制度， 明確 安全事件處理流程。對(duì)信息安全事件的處理應(yīng)滿足如下要求：信息管理安全事件報(bào)告制度和處理流程應(yīng)清晰、明確和完善； 信息管理安全事件報(bào)告制度和處理流程應(yīng)遵從信息管理安全制度； 信息管理安全事件應(yīng)進(jìn)行分級(jí)管理； 信息管理安全事件響應(yīng)流程應(yīng)定期進(jìn)行演練； 審部門應(yīng)對(duì)演練過(guò)程進(jìn)行審計(jì)； 對(duì)演練中存在的問(wèn)題應(yīng)及時(shí)進(jìn)行整改； 信息管理安全事件制度中應(yīng)包括信息披露的相關(guān)要求，對(duì)披露對(duì)象和容 應(yīng)進(jìn)行明確的規(guī)定。5.11 信息安全審計(jì)外審計(jì)應(yīng)全程貫穿信息安全活動(dòng)， 包括信息安全管理制度的制定， 信息安全 管理制度執(zhí)行情況，信息安全事件響應(yīng)流程，信息安全風(fēng)險(xiǎn)披露等：