银行业信息安全管理体系手册Word文档下载推荐.docx
《银行业信息安全管理体系手册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《银行业信息安全管理体系手册Word文档下载推荐.docx(14页珍藏版)》请在冰豆网上搜索。
6.内部ISMS审核
7ISMS管理评审
7.1总则
7.2管理评审的输入
7.3管理评审的输出
8ISMS持续改进
8.1持续改进
8.2纠正措施
8.3预防措施
修订历史记录
版本
日期
修订者
修订描述
1.0
1目的和适用范围
目的
为建立、健全XX银行信息科技部信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保信息科技部全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS有效性,特制定本手册。
范围
本手册适用于XX银行信息科技部(信息科技部位于XX银行第八层)安全管理活动。
2引用标准
ISO/IEC27001:
2005<
信息技术——安全技术——信息安全管理体系——要求>
ISO/IEC27002:
2005<
信息技术——安全技术——信息安全管理实施细则>
3术语和定义
3.1本手册中使用术语的定义采用ISO/IEC27001:
2005《信息技术——安全技术——信息安全管理体系——要求》中的定义
3.2缩写
ISMS:
InformationSecutityManagementSystems信息安全管理体系。
SoA:
StatementofApplicability适用性说明
PDCA:
Plan、DO、Check、Act
4信息安全管理体系
4.1总要求
XX银行信息科技部根据ISO/IEC27001:
2005标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
ISMS所涉及的过程基于以下PDCA模式:
4.2建立和管理ISMS
4.2.1建立ISMS
4.2.1.1ISMS的范围和周界
1)XX银行主要从事个人服务、企业服务、卡服务等,信息科技部为金融服务提供IT基础架构的支持服务,确保整体金融业务过程的有序开展;
2)XX银行总行信息科技部所有物理区域及人员;
4.2.1.2根据业务、组织、位置、资产和技术等方面的特性,XX银行信息科技部在确定ISMS方针时,应考虑以下方面的要求:
1)包括设定目标的框架和建立信息安全工作的总方向和原则。
2)考虑业务和法律法规的要求,及合同中的安全义务。
3)XX银行信息科技部根据战略性风险管理环境下,建立和保持ISMS。
4)建立风险评估的准则。
5)信息安全方针设定完成后,应获得管理者的批准。
4.2.1.3信息安全管理体系方针
增强科技风险意识,提升风险管理水平;
满足监管机构要求,持续履行社会责任。
为满足适用法律法规及相关方需求,使得生产和经营更有效的运行,使得客户信息保存传输更为安全,XX银行信息科技部依据ISO/IEC27001:
2005标准,建立信息安全管理体系,以保证XX银行信息科技部及行内所有有关信息的保密性、完成性、可用性,实现业务可持续发展的目的。
XX银行信息科技部承诺:
1)XX银行信息科技部建立并完善信息安全管理体系;
2)识别并满足适用法律法规和相关方信息安全要求,充分履行社会责任;
3)对ISMS进行测量、监视、评审活动,定期按照事先设定的风险评估准则,对XX银行信息科技部进行风险评估、ISMS评审、采取纠正预防措施,保证体系的持续有效;
4)采用先进有效的设施和技术,处理、传递、存储和保护各类信息,实现信息共享;
5)对XX银行信息科技部全体员工,进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
6)制定并保持完善的业务连续性计划,实现可持续发展。
上述方针由XX银行信息科技部最高管理者发布,并定期评审其适用性、充分性,必要时予以修订。
4.2.1.4风险评估的系统方法
XX银行信息科技部建立信息安全风险评估控制程序并组织实施。
风险评估控制程序包括可接受风险准则和可接受水平,所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。
具体的风险评估过程执行《信息安全风险评估控制程序》
YES
NO
4.2.1.5风险识别
在已确定的ISMS范围内,对所有的信息资产进行列表识别。
信息资产包括软件\系统、数据\文档、硬件\设施、人力资源及服务。
对每一项信息资产,根据重要信息资产判断依据确定是否为重要信息资产,形成《重要信息资产清单》。
4.2.1.6评估风险
1)针对每一项重要信息资产,参考《信息安全威胁列表》及以往的安全事故(事件)记录、信息资产所处的环境等因素,识别出所有重要信息资产所面临的威胁;
2)针对每一项威胁,考虑现有的控制措施,参考《信息安全薄弱点列表》识别出被该威胁可能利用的薄弱点。
3)综合考虑以上2点,按照《威胁发生可能性等级表》中的判定准则对每一个威胁发生的可能性进行赋值;
4)根据《威胁影响程度判断准则》,判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害,进而对信息科技部业务造成的影响,来给威胁影响赋值取C、I、A的最大值为威胁影响程度的赋值;
5)风险大小计算考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合,根据《风险矩阵计算表》来得到风险等级;
6)对于信息安全风险,在考虑控制措施与费用平衡的原则下制定《风险接受准则》,按照该准则确定何种等级的风险为不可接受风险。
4.2.1.7风险处理方法的识别与评价
XX银行信息科技部根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理责任人、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施;
a)采用适当的内部控制措施;
b)接受某些风险(不可能将所有风险降低为零);
c)回避某些风险(如物理隔离)
d)转移某些风险(如将风险转移给保险者、供方、分包商)。
4.2.1.8选择控制目标与控制措施
a)信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结果,制定信息安全目标,将目标进行分解落实到责任人。
信息安全目标应获得信息安全最高管理者的批准。
b)控制目标及控制措施的选择原则来源于ISO/IEC27001:
2005标准附录A,具体控制措施可以参考ISO27002:
2005《信息技术——安全技术——信息安全管理实施细则》。
XX银行信息科技部根据信息安全管理的需要,可以选择标准之外的其他控制措施。
4.2.1.9适用性声明SoA
信息科技部负责编制《信息安全按适用性声明》(SoA)。
该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述;
b)当前已经实施的控制;
c)对ISO/IEC27001:
2005附录A中未选用的控制目标及控制措施理由的说明。
该声明的详细内容见《信息安全适用性声明》
4.2.2ISMS实施及运作
4.2.2.1为确保ISMS有效实施,对已识别的风险进行有效处理,开展以下活动:
1)形成《风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
2)为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责;
3)实施所选择的控制措施,以实现控制目标;
4)进行信息安全培训,提高全员信息安全意识和能力;
5)对信息安全体系的运作进行管理;
6)对信息安全所需资源进行管理;
7)实施控制程序,对信息安全事故(或征兆)进行迅速反应。
4.2.2.2信息安全组织机构
XX银行信息科技部明确人员职责(包括信息安全职责)并形成文件。
1)信息科技部组织相关职能人员,成立信息安全委员会,形成XX银行信息科技部信息安全管理最高机构。
2)各ISMS负责人员根据XX银行信息科技部的职责明确,形成书面文件。
4.2.2.3信息安全职责和权限
1)XX银行信息科技部总经理为最高管理者,最高管理者指定:
苗志勇为信息安全管理者代表,无论该成员在其他方面的职责如何,对信息安全负有以下职责:
a)建立并实施信息安全管理体系必要的程序并维持其有效运行。
b)对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员会或最高管理者报告(总经理)
c)针对体系运行期间保证定期的监视体系运行情况、评审体系的有效性、持续改进文件化的ISMS。
d)管理者代表监督全体员工对信息安全体系文件的执行状况。
4.2.2.4检测安全事态、响应安全事件及其他控制措施
a)根据SoA中规定的安全目标、控制措施(包括安全运行的各种控制程序)要求实施信息安全控制措施。
b)迅速检测过程运行结果中的错误
c)实施实时监控,对识别试图的和得逞的安全违规和事件进行果断处理。
d)通过使用指标,帮助检查安全事态并预防安全事件。
e)确定解决安全违规的措施是否有效。
4.2.3ISMS的监督检查与评审
4.2.3.1XX银行信息科技部通过实施定期的安全检查、内部审核、定期的技术审查等控制措施并报告结果以实现:
a)及时发现信息安全体系的事故和隐患;
b)定期检查信息处理设施,及时了解信息处理系统遭受的各类攻击;
c)使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施;
d)对于历史事件进行记录并留存档案,积累信息安全事态事故等方面的经验,总结信息安全事态事件出现的征兆,防患于未然。
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由最高管理者主持,定期(每年至少一次)对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。
管理评审的具体要求,见本手册第七章。
4.2.3.3信息科技部应组织有关区域负责人按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a)组织机构发生重大变更;
b)信息处理技术发生重大变更;
c)XX银行信息科技部业务目标及流程发生重大变更;
d)发现信息资产面临重大威胁;
e)外部环境,如法律法规或信息安全标准发生重大变更。
4.2.3.4保持上述活动和措施的记录
以上活动的详细程序规定于以下文件中:
《记录控制程序》《信息安全风险评估控制程序》《内部审核控制程序》《部门职位说明书》
4.2.4ISMS保持与改进
XX银行信息科技部开展以下活动,以确保ISMS的持续改进:
a)实施每年管理评审、内部审核、安全检查等活动以确定需改的项目;
b)按照《内部审核控制程序》、《纠正预防措施程序》《预防措施控制程序》的要求采取适当的纠正和预防措施;
吸取其他商业银行及外资企业安全事故的经验
c)对信息安全目标及分解进行管理,确保改进达到预期效果;
(信息安全目标及指标的分解)
d)为确保信息安全管理体系持续有效,各区域负责人及内审小组通过适当的手段保持在XX银行信息科技部内部对信息安全措施的执行情况与结果进行有效沟通。
包括获取外部信息安全专家的建议、电信运营商等组织的联系及识别信息安全要求等。
如:
管理评审会议、内部审核报告、