信息科技部信息安全管理體系手冊A版目錄TOC\o"1-5"\h\z\u1目的和適用范圍 32引用標準 33術語和定義 34信息安全管理體系 34.1總要求 34.2建立和管理ISMS 44.2.1建立ISMS 44.2.2ISMS實施及運作 84.2.3ISMS的監督檢查與評審 94.2.4ISMS保持與改進 104.3.2文件控制 104.3.3記錄控制 115管理職責 115.1管理承諾 115.2資源管理 126.內部ISMS審核 127ISMS管理評審 147.1總則 147.2管理評審的輸入 147.3管理評審的輸出 148ISMS持續改進 158.1持續改進 158.2糾正措施 158.3預防措施 15修訂歷史記錄版本日期修訂者修訂描述1.01目的和適用范圍目的為建立、健全＃＃銀行信息科技部信息安全管理體系（簡稱ISMS），確定信息安全方針和目標，對信息安全風險進行有效管理，確保信息科技部全體員工理解并遵照執行信息安全管理體系文件、持續改進ISMS有效性，特制定本手冊。范圍本手冊適用于＃＃銀行信息科技部（信息科技部位于＃＃銀行第八層）安全管理活動。2引用標準ISO/IEC27001:2005<信息技術——安全技術——信息安全管理體系——要求>ISO/IEC27002:2005<信息技術——安全技術——信息安全管理實施細則>3術語和定義3.1本手冊中使用術語的定義采用ISO/IEC27001：2005《信息技術——安全技術——信息安全管理體系——要求》中的定義3.2縮寫ISMS:InformationSecutityManagementSystems信息安全管理體系。SoA：StatementofApplicability適用性說明PDCA:Plan、DO、Check、Act信息安全管理體系4.1總要求＃＃銀行信息科技部根據ISO/IEC27001:2005標準在整體業務活動和所面臨風險的環境下建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系。ISMS所涉及的過程基于以下PDCA模式：建立ISMS建立ISMS保持和改進ISMS實施和運作ISMS監控&評審ISMS相關方已被管理的信息安全相關方信息安全要求&期望、法律法規策劃（D）措施實施檢查4.2建立和管理ISMS4.2.1建立ISMS4.2.1.1ISMS的范圍和周界1)＃＃銀行主要從事個人服務、企業服務、卡服務等，信息科技部為金融服務提供IT基礎架構的支持服務，確保整體金融業務過程的有序開展；2)＃＃銀行總行信息科技部所有物理區域及人員；4.2.1.2根據業務、組織、位置、資產和技術等方面的特性，＃＃銀行信息科技部在確定ISMS方針時，應考慮以下方面的要求： 1）包括設定目標的框架和建立信息安全工作的總方向和原則。 2）考慮業務和法律法規的要求，及合同中的安全義務。 3）＃＃銀行信息科技部根據戰略性風險管理環境下，建立和保持ISMS。 4）建立風險評估的準則。 5）信息安全方針設定完成后，應獲得管理者的批準。4.2.1.3信息安全管理體系方針增強科技風險意識，提升風險管理水平；滿足監管機構要求，持續履行社會責任。為滿足適用法律法規及相關方需求，使得生產和經營更有效的運行，使得客戶信息保存傳輸更為安全，＃＃銀行信息科技部依據ISO/IEC27001:2005標準，建立信息安全管理體系，以保證＃＃銀行信息科技部及行內所有有關信息的保密性、完成性、可用性，實現業務可持續發展的目的。＃＃銀行信息科技部承諾：1）＃＃銀行信息科技部建立并完善信息安全管理體系；2）識別并滿足適用法律法規和相關方信息安全要求，充分履行社會責任；3）對ISMS進行測量、監視、評審活動，定期按照事先設定的風險評估準則，對＃＃銀行信息科技部進行風險評估、ISMS評審、采取糾正預防措施，保證體系的持續有效；4）采用先進有效的設施和技術，處理、傳遞、存儲和保護各類信息，實現信息共享；5）對＃＃銀行信息科技部全體員工，進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；6）制定并保持完善的業務連續性計劃，實現可持續發展。上述方針由＃＃銀行信息科技部最高管理者發布，并定期評審其適用性、充分性，必要時予以修訂。4.2.1.4風險評估的系統方法 ＃＃銀行信息科技部建立信息安全風險評估控制程序并組織實施。風險評估控制程序包括可接受風險準則和可接受水平，所選擇的評估方法應確保風險評估能產生可比較的和可重復的結果。具體的風險評估過程執行《信息安全風險評估控制程序》NONO確定ISMS范圍資產識別與重要信息資產確定威脅識別與評價已有控制措施確認薄弱點識別與評價風險評估（測量）是否接受保持已有的控制措施選擇安全目標及控制措施實施殘余風險評審是否接受YESYESNONO 4.2.1.5風險識別 在已確定的ISMS范圍內，對所有的信息資產進行列表識別。信息資產包括軟件\系統、數據\文檔、硬件\設施、人力資源及服務。對每一項信息資產，根據重要信息資產判斷依據確定是否為重要信息資產，形成《重要信息資產清單》。4.2.1.6評估風險 1）針對每一項重要信息資產，參考《信息安全威脅列表》及以往的安全事故（事件）記錄、信息資產所處的環境等因素，識別出所有重要信息資產所面臨的威脅； 2）針對每一項威脅，考慮現有的控制措施，參考《信息安全薄弱點列表》識別出被該威脅可能利用的薄弱點。 3）綜合考慮以上2點，按照《威脅發生可能性等級表》中的判定準則對每一個威脅發生的可能性進行賦值； 4）根據《威脅影響程度判斷準則》，判斷一個威脅發生后可能對信息資產在保密性（C）、完整性（I）和可用性（A）方面的損害，進而對信息科技部業務造成的影響，來給威脅影響賦值取C、I、A的最大值為威脅影響程度的賦值； 5）風險大小計算考慮威脅產生安全故障的可能性及其所造成影響程度兩者的結合，根據《風險矩陣計算表》來得到風險等級； 6）對于信息安全風險，在考慮控制措施與費用平衡的原則下制定《風險接受準則》，按照該準則確定何種等級的風險為不可接受風險。4.2.1.7風險處理方法的識別與評價 ＃＃銀行信息科技部根據風險評估的結果，形成《風險處理計劃》，該計劃應明確風險處理責任人、方法及時間。 對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施；采用適當的內部控制措施；接受某些風險（不可能將所有風險降低為零）；回避某些風險（如物理隔離）轉移某些風險（如將風險轉移給保險者、供方、分包商）。4.2.1.8選擇控制目標與控制措施 a)信息安全管理委員會根據信息安全方針、業務發展要求及風險評估的結果，制定信息安全目標，將目標進行分解落實到責任人。信息安全目標應獲得信息安全最高管理者的批準。 b)控制目標及控制措施的選擇原則來源于ISO/IEC27001:2005標準附錄A，具體控制措施可以參考ISO27002:2005《信息技術——安全技術——信息安全管理實施細則》。＃＃銀行信息科技部根據信息安全管理的需要，可以選擇標準之外的其他控制措施。4.2.1.9適用性聲明SoA信息科技部負責編制《信息安全按適用性聲明》（SoA）。該聲明包括以下方面的內容：所選擇控制目標與控制措施的概要描述；當前已經實施的控制；對ISO/IEC27001:2005附錄A中未選用的控制目標及控制措施理由的說明。該聲明的詳細內容見《信息安全適用性聲明》4.2.2ISMS實施及運作4.2.2.1為確保ISMS有效實施，對已識別的風險進行有效處理，開展以下活動： 1）形成《風險處理計劃》，以確定適當的管理措施、職責及安全控制措施的優先級； 2）為實現已確定的安全目標、實施《風險處理計劃》，明確各崗位的信息安全職責； 3）實施所選擇的控制措施，以實現控制目標； 4）進行信息安全培訓，提高全員信息安全意識和能力； 5）對信息安全體系的運作進行管理； 6）對信息安全所需資源進行管理； 7）實施控制程序，對信息安全事故（或征兆）進行迅速反應。4.2.2.2信息安全組織機構 ＃＃銀行信息科技部明確人員職責（包括信息安全職責）并形成文件。信息科技部組織相關職能人員，成立信息安全委員會，形成＃＃銀行信息科技部信息安全管理最高機構。各ISMS負責人員根據＃＃銀行信息科技部的職責明確，形成書面文件。4.2.2.3信息安全職責和權限 1）＃＃銀行信息科技部總經理為最高管理者，最高管理者指定：苗志勇為信息安全管理者代表，無論該成員在其他方面的職責如何，對信息安全負有以下職責： a)建立并實施信息安全管理體系必要的程序并維持其有效運行。 b)對信息安全管理體系的運行情況和必要的改善措施向信息安全管理委員會或最高管理者報告（總經理） c)針對體系運行期間保證定期的監視體系運行情況、評審體系的有效性、持續改進文件化的ISMS。 d)管理者代表監督全體員工對信息安全體系文件的執行狀況。4.2.2.4檢測安全事態、響應安全事件及其他控制措施 a)根據SoA中規定的安全目標、控制措施（包括安全運行的各種控制程序）要求實施信息安全控制措施。 b)迅速檢測過程運行結果中的錯誤 c)實施實時監控，對識別試圖的和得逞的安全違規和事件進行果斷處理。 d)通過使用指標，幫助檢查安全事態并預防安全事件。 e)確定解決安全違規的措施是否有效。4.2.3ISMS的監督檢查與評審4.2.3.1＃＃銀行信息科技部通過實施定期的安全檢查、內部審核、定期的技術審查等控制措施并報告結果以實現： a)及時發現信息安全體系的事故和隱患； b)定期檢查信息處理設施，及時了解信息處理系統遭受的各類攻擊； c)使管理者掌握信息安全活動是否有效，并根據優先級別確定所要采取的措施； d)對于歷史事件進行記錄并留存檔案，積累信息安全事態事故等方面的經驗，總結信息安全事態事件出現的征兆，防患于未然。4.2.3.2根據以上活動的結果以及來自相關方的建議和反饋，由最高管理者主持，定期（每年至少一次）對ISMS的有效性進行評審，其中包括信息安全范圍、方針、目標及控制措施有效性的評審。管理評審的具體要求，見本手冊第七章。4.2.3.3信息科技部應組織有關區域負責人按照《信息安全風險評估管理程序》的要求對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估： a）組織機構發生重大變更； b）信息處理技術發生重大變更； c）＃＃銀行信息科技部業務目標及流程發生重大變更； d）發現信息資產面臨重大威脅； e）外部環境，如法律法規或信息安全標準發生重大變更。4.2.3.4保持上述活動和措施的記錄 以上活動的詳細程序規定于以下文件中： 《記錄控制程序》《信息安全風險評估控制程序》《內部審核控制程序》《部門職位說明書》4.2.4ISMS保持與改進＃＃銀行信息科技部開展以下活動，以確保ISMS的持續改進：實施每年管理評審、內部審核、安全檢查等活動以確定需改的項目；按照《內部審核控制程序》、《糾正預防措施程序 》《預防措施控制程序》的要求采取適當的糾正和預防措施；吸取其他商業銀行及外資企業安全事故的經驗對信息安全目標及分解進行管理，確保改進達到預期效果；（信息安全目標及指標的分解）為確保信息安全管理體系持續有效，各區域負責人及內審小組通過適當的手段保持在＃＃銀行信息科技部內部對信息安全措施的執行情況與結果進行有效溝通。包括獲取外部信息安全專家的建議、電信運營商等組織的聯系及識別信息安全要求等。如：管理評審會議、內部審核報告、信息科技部內文件體系、內部網絡和郵件系統、法律法規評估報告等。以上詳細程序規定于以下文件中：《法律法規獲取和識別控制程序》注：上述活動輸出：會議記要和報告4.3.2文件控制 ＃＃銀行信息科技部制定信息安全管理體系所要求文件的管理程序，保證信息安全管理體系文件得到以下所需的控制：文件的作成、發行、修訂、廢棄等事項得到相應授權的查閱、批準，確保文件是合適的、可行的；文件的標識和修訂狀態清晰、易于識別，確保使用的文書是當前的有效版本；為了文書的有效性，要定期確認記載內容是否過時，根據需要決定保持或修改并再次得到相應的批準；確保信息安全的外部標準、相應法律、法規得到明確的標識和管理；以上規定的詳細內容見：《文件控制程序》《法律法規獲取和識別控制程序》4.3.3記錄控制4.3.3.1信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的證據。＃＃銀行信息科技部負責制定并維持易讀、易識別、可方便檢索又考慮法律、法規要求的記錄管理規定。該規定應指定記錄的標識、存儲、保護、檢索、保管、廢棄等事項。4.3.3.2信息安全體系的記錄包括4.2中所列出的所有過程的結果及與ISMS相關的安全事故。＃＃銀行信息科技部應根據記錄管理規定的要求采取適當的方式妥善保管信息安全體系中所要求的記錄。4.3.3.3該程序詳細規定見《記錄控制程序》5管理職責5.1管理承諾 信息安全最高管理者為確保建立、維持并持續改善信息安全管理體系特做出以下承諾：制定信息安全方針；確保信息安全目標和計劃得以制定；建立信息安全的角色和職責；通過適當的溝通方式，向全體員工傳達滿足信息安全目標、符合信息安全方針以及法律、法規要求和持續改進的重要性；提供適當的資源以滿足信息安全管理體系的需求；決定接受風險的準則，對可接受風險的水平進行決策；確定信息安全內部審核的執行；實施信息安全的管理評審；5.2資源管理5.2.1資源提供 ＃＃銀行信息科技部應確定并提供所需的資源，以滿足以下需求：建立、實施、運行、監視、評審、保持和改進ISMS（信息安全管理體系）確保信息安全管理程序支持業務流程的要求；識別和滿足法律法規要求、以及合同中的安全義務；切實實施已有的控制措施，保持適當的安全必要時，進行評審，并對評審結果做出適當的反應；在需要時，改進信息安全體系的有效性。5.2.2培訓、意識和能力＃＃銀行應定期對信息科技部員工的能力進行培訓、意識及能力的提升，確保所有分配有ISMS職責的人員具有執行所要求任務的能力，提升方式應具備以下幾點：確定從事ISMS工作人員的崗位職責及所必要的能力提供培訓或采取其他措施（如聘用有能力的人員）以滿足這些需求評價所采取的措施的有效性保持教育、培訓、技能、經歷和資格的記錄（記錄應建立并加以保持，以提供符合ISMS要求和有效運行的證據）＃＃銀行信息科技部也要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何達為到ISMS目標做出貢獻。6.內部ISMS審核 ＃＃銀行信息科技部應按照計劃的時間間隔進行內部審核，管理者代表負責制定內審計劃并組織實施，以判定ISMS規定的安全目標、控制措施、過程和程序是否：符合ISO/IEC27001:2005標準和有關法律法規要求；符合已識別的信息安全要求；有效實施和保持；完成預期的目標。6.1內部審核程序6.1.1信息安全管理者代表制定信息安全管理體系年度審核計劃，該計劃應覆蓋整個ISMS體系并得到信息安全管理體系最高管理者的批準（＃＃銀行信息科技部總經理）6.1.2內部審核以本手冊、相應的規程、作業指導書為基準。選定的內審員應是了解行內業務流程、熟悉安全體系標準并經過培訓取得信息安全內審員資格的本部員工。內審員資格需取得信息安全管理者代表的批準。6.1.3進行內審時，管理者代表要有計劃的進行以下的事項：a)審核員的選定和教育及培訓；b)制定審核計劃，指定審核員（審核員應與被審核對象無直接責任關系）；c)準備必要的相關文件。6.1.4審核中發現的不符合事項，要向責任區域負責人報告，由責任區域負責人明確糾正措施的實施計劃。6.1.5要對該糾正措施的實施計劃，進行適宜的跟蹤，確認是否有效實施。6.1.6以上的工作完成后，須經管理者代表確認后，審核流程方可關閉。6.1.7如果發現信息安全重大不符合或征兆時，或者管理者代表判斷必要時，可調整年度審核計劃。6.1.8對審核的結果進行適當的匯總整理，作為管理評審的輸入材料。6.2內部審核需保留以下記錄被審核對象范圍審核日期審核員被審核方依據的文件具體審核事項及其審查結果不符合內容和程度（嚴重或輕微及觀察事項）不符合事項的糾正措施和實施期限糾正措施的實施狀況及其效果，其他必要事項、審核結束的確鑿證據以上程序詳見《內部審核控制程序》7ISMS管理評審7.1總則信息安全最高管理者為確認信息安全管理體系的適宜性、充分性和有效性，每半年對信息安全管理體系進行一次評審。該管理評審應包括對信息安全管理體系是否需改進或變更的評價。管理評審的結果應形成書面記錄，該記錄按4.3.3的要求進行保存。7.2管理評審的輸入在管理評審時，管理者代表應組織相關人員提供以下資料，供最高管理者和信息安全委員會進行評審：ISMS體系內、外部審核的結果；相關方的反饋（投訴、抱怨、建議）；可以用來改進ISMS業績和有效性的新技術、產品或程序；信息安全目標達成情況，糾正和預防措施的實施情況；信