1、科技有限公司信息安全风险管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 前言本程序所规定的是XXXX科技有限公司企业的信息安全风险管理原则，在具体实施过程中，各部门可结合本部门的实际情况，根据本程序的要求制定相应的文件，以便指导本部门的实施操作。本制度自实施之日起，立即生效。本制度由XXXX科技有限公司企业信息管理部起草。本制度由XXXX科技有限公司企业信息管理部归口管理。1 目的为规范XXXX科技有限公司企业（以下简称“本公司”）信息安全风险管理体系，建立、健全信息安全管理制度，确定信息安全方针和目标，全面覆盖信息安全风2、险点，对信息安全风险进行有效管理，并持续改进信息安全体系建设。2 范围本制度适用于本公司信息管理部信息安全风险管理应用及活动。3 术语和定义无。4 职责信息管理部作为本公司信息安全管理的主管部门，负责实施信息安全管理体系必要的程序并维持其有效运行，制定信息安全相关策略、制度、规定，对信息管理活动各环节进行安全监督和检查，信息安全培训、宣传，信息安全事件的响应、处理及报告等工作。信息安全管理人员负责全行信息安全策略的执行和推动。5 管理规定5.1 信息安全管理内容信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点，包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全3、病毒防护、敏感数据交换等内容。5.2 信息管理岗位设置为保证本公司信息安全管理，设置信息管理部岗位分工及职责时，应全面考虑信息管理工作实际需要及责任划分，制定详细的岗位分工及职责说明，对信息管理人员权限进行分级管理，信息管理关键岗位有设置AB 角。应配备专职安全管理员，关键区域或部位的安全管理员符合机要人员管理要求，对涉密人员签订了保密协议。5.3 信息安全人员管理5.3.1 人员雇佣安全管理信息管理人员的雇佣符合如下要求：l 信息管理人员的专业知识和业务水平达到本公司要求；l 详细审核科技人员工作经历，信息管理人员应无不良记录；l 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问，4、采取不同的管理措施。5.3.2 人员入职安全管理在员工工作职责说明书中除了要说明岗位的一般职责和规范以外，还要加入与此岗位相关的信息安全管理规范，具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议，在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。5.3.3 人员安全培训根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险，确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险，信息安全主管部门应该根据培训需求组织培训，制定培训计划，培训计划包括：培训项目、主要内容、主要负责人、培训日程安排、培训方式等，培训前要写5、好培训方案，并通知相关人员，培训后要进行考核。5.3.4 人员安全考核人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。5.3.5 人员离职安全管理本公司人员离职手续中应该包括如下安全相关的内容：a) 收回所有的密码，并确认密码的正确性；b) 收回所有的物理安全设备，包括钥匙和证件；c) 收回所有工作资料，包括纸介质和电子介质；d) 进行调离谈话，申明其调离后的保密义务；e) 离职后应该立刻更改所有此离职人员曾掌握过的密码或密钥。对于本公司辞退人员，必须在第一时间完成上述工作，通知其辞退后，所有的工作交接内容必须有专人陪同，需填写工作交接单；对于辞退人员应该跟踪其工作动向，采取合理6、的手段阻止其就职于竞争对手组织，如保密协议中的条款。5.3.6 外部人员访问安全管理外部人员访问要遵守本公司相关安全管理规定。对需要访问本公司的外部人员发放通行证，通行证应该针对访问地点的安全敏感度设置不同的安全级别。外部人员访问敏感地点应该有专人陪同。对于需要长时间访问的外部人员应该建立档案，档案应与通行证对应。外来人员携带电脑要接入企业网，必须征得信息管理部允许方可接入。员工有义务向外来人员说明网络接入安全要求。5.4 信息资产风险评估信息管理安全制度建设与信息管理安全风险相结合，信息管理安全制度全面涵盖了信息管理安全的风险点，包括：安全管理策略、制度、机房、软件、硬件、网络、数据、文档等7、方面，并针对信息资产进行了风险程度评估，生成了信息资产风险评估文件。5.5 信息管理制度密级管理应根据制度的密级要求程度，对制度进行密级分级管理。5.6 信息管理安全分级应根据信息管理的安全保护级别，对信息管理进行安全等级划分管理，根据安全保护等级对信息管理进行相应的管理措施。5.7 信息管理安全保护体系为更好的贯彻应用系统的安全保护体系，建立了应用系统的分类及分级保护体系，根据系统类别及级别进行安全评估，制定不同的防范措施，对应用系统按照重要程度实行等级保护。5.7.1 信息管理分级为了更好地规范应用系统保护措施，根据信息管理安全等级保护实施指南为本公司信息管理进行了分级。经过定级，并上报给8、公安部门共有一个三级系统，七个二级系统。5.7.2 分级保护措施5.7.3 安全设计与实施在系统建设之初,根据该系统的安全保护定级,按照信息管理安全总体方案的要求，结合信息管理安全建设项目计划，分期分步落实安全措施,如下图1。图1 安全设计与实施流程图上图为安全设计与实施的流程图。对于系统的安全设计与实施流程，最重要的三个阶段为：安全方案详细设计阶段、技术措施实现阶段和管理措施实现阶段。对于安全保护等级为三级的信息管理,要求严格依据安全设计与实施流程,保证各阶段的输入和产出文件,保证系统的安全性。5.7.4 安全运行与维护5.7.4.1 安全运行与维护阶段工作流程图2 安全运行与维护阶段工作流9、程5.7.4.2 运行管理控制l 运行维护职责对于信息安全保护等级为三级和二级的信息管理,信息管理部配备专门的人员对其的运行进行维护。l 运行管理过程控制a) 建立操作规程将操作过程或流程规范化，并形成指导运行管理人员工作的操作规程，操作规程作为正式文件处理。b) 操作过程记录对运行管理人员按照操作规程执行的操作过程形成相关的记录文件，可以是日志文件，记录操作的时间和人员、正常或异常等信息。5.7.4.3 变更管理配置通过信息管理管理平台,对系统变更流程进行控制,包括:l 变更内容审核和审批对变更目的、内容、影响、时间和地点以及人员权限进行审核，以确保变更合理、科学的实施。按照机构建立的审批流10、程对变更方案进行审批。l 建立变更过程日志按照批准的变更方案实施变更，对变更过程各类系统状态、各种操作活动等建立操作记录或日志。l 形成变更结果报告收集变更过程的各类相关文档，整理、分析和总结各类数据，形成变更结果报告，并归档保存。活动输出：变更结果报告。对于二级或二级以上的系统,应严格遵循变更管理过程控制规定,在信息管理管理平台中,遵循变更流程进行操作。5.7.4.4 运行状态监控l 安全关键点分析对影响系统、业务安全性的关键要素进行分析，确定安全状态监控的对象，这些对象可能包括主机、服务器、存储、防火墙、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象；也11、可能包括安全标准和法律法规等外部对象。l 形成监控对象列表根据确定的监控对象，分析监控的必要性和可行性、监控的开销和成本等因素，形成监控对象列表。活动输出：监控对象列表。l 状态分析对安全状态信息进行分析，及时发现险情、隐患或安全事件，并记录这些安全事件，分析其发展趋势。l 影响分析根据对安全状况变化的分析，分析这些变化对安全的影响，通过判断他们的影响决定是否有必要作出响应。l 形成安全状态分析报告根据安全状态分析和影响分析的结果，形成安全状态分析报告，上报安全事件或提出变更需求。活动输出：安全状态分析报告。对于安全保护等级为三级的信息管理，需要对系统的运行状态、容量使用情况等严格进行实时监控12、。5.7.4.5 安全事件处置l 安全事件调查和分析针对各类安全事件列表，调查本系统内安全事件的类型、安全事件对业务的影响范围和程度以及安全事件的敏感程度等信息，分析对安全事件进行响应恢复所需要的时间。l 安全事件等级划分根据以上调查和分析结果，根据信息安全事件造成的损失程度，信息管理遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，确定事件等级，制定安全事件的报告程序。三级以上的信息管理,需严格遵循安全事件处理流程,即时调查解决问题并进行上报。5.7.5 信息管理中止5.7.5.1 信息管理中止流程图3 信息管理中止流程5.7.5.2 信息转移、暂存13、和清除l 识别要转移、暂存和清除的信息资产根据要终止的信息管理的信息资产清单，识别重要信息资产、所处的位置以及当前状态等，列出需转移、暂存和清除的信息资产的清单。l 信息资产转移、暂存和清除根据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。如果是涉密信息，应该按照国家相关部门的规定进行转移、暂存和清除。l 处理过程记录记录信息转移、暂存和清除的过程，包括参与的人员，转移、暂存和清除的方式以及目前信息所处的位置等。5.7.5.3 设备迁移或废弃l 软硬件设备识别根据要终止的信息管理的设备清单，识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等，列出需迁移、废弃的设备的清单。l14、 制定硬件设备处理方案根据规定和实际情况制定设备处理方案，包括重用设备、废弃设备、敏感信息的清除方法等。l 处理方案审批包括重用设备、废弃设备、敏感信息的清除方法等的设备处理方案应该经过主管领导审查和批准。l 设备处理和记录根据设备处理方案对设备进行处理，如果是涉密信息的设备，其处理过程应符合国家相关部门的规定；记录设备处理过程，包括参与的人员、处理的方式、是否有残余信息的检查结果等。5.7.5.4 存储介质的清除或销毁l 识别要清除或销毁的介质根据要终止的信息管理的存储介质清单，识别载有重要信息的存储介质、所处的位置以及当前状态等，列出需清除或销毁的存储介质清单。l 确定存储介质处理方法和流15、程根据存储介质所承载信息的敏感程度确定对存储介质的处理方式和处理流程。存储介质的处理包括数据清除和存储介质销毁等。对于存储涉密信息的介质应按照国家相关部门的规定进行处理。l 处理方案审批包括存储介质的处理方式和处理流程等的处理方案应该经过主管领导审查和批准。l 存储介质处理和记录根据存储介质处理方案对存储介质进行处理，记录处理过程，包括参与的人员、处理的方式、是否有残余信息的检查结果等。5.8 外包安全管理应加强对外包商、外包项目以及外包服务的安全管理。进行外包商资质审查、外包项目过程风险审计、外包服务人员日常管理。详细管理制度及办法可参考外包管理制度。5.9 信息安全风险培训及宣传加强对全体16、员工的信息安全教育和培训，定期执行信息安全风险教育培训，不断增强员工的信息安全意识和能力。培训对象应包括但不限于：研发部、信息管理部、业务部门、审计部等。采取加强对客户的信息安全风险宣传教育工作，宣传方式包括但不限于：l 网站信息安全风险知识宣传；l 业务办理单客户关注事项；l 营业厅银行相关知识宣传教育。5.10 信息安全事件处理为尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复，从而维持良好的服务质量和可用性级别，本公司制定了信息安全事件响应处理制度，明确安全事件处理流程。对信息安全事件的处理应满足如下要求：l 信息管理安全事件报告制度和处理流程应清晰、明确和完善；l 信息管理安全事17、件报告制度和处理流程应遵从信息管理安全制度；l 信息管理安全事件应进行分级管理；l 信息管理安全事件响应流程应定期进行演练；l 内审部门应对演练过程进行审计；l 对演练中存在的问题应及时进行整改；l 信息管理安全事件制度中应包括信息披露的相关要求，对披露对象和内容应进行明确的规定。5.11 信息安全审计内外审计应全程贯穿信息安全活动，包括信息安全管理制度的制定，信息安全管理制度执行情况，信息安全事件响应流程，信息安全风险披露等：l 信息管理安全制度应经过内审部门审计评估，相关制度依据审计报告进行修改；l 对信息管理安全制度执行情况进行过审计，并根据审计结果更新制度；l 对信息安全事件响应演练过程进行审计，对演练中存在的问题及时整改。5.12 信息安全违规处罚为强化全体员工的信息安全意识，有效防止信息安全事故的发生，对违反信息安全方针、制定文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，需制定信息安全违规处罚制度。6 附则本制度由XXXX科技有限公司企业信息管理部负责解释和修订。本制度自发文之日起施行。