信息安全管理策略

信息安全管理策略

一 总则

为满足✠✠银行（以下简称“我行”）信息安全管理、信息安全保障和合规的需要，根据《✠✠银行信息安全管理方针》，特制订本管理策略。目的是指导我行通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的补救措施，使风险水平降低到可以接受的程度。

二 安全制度管理策略

 目的

使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到我行信息安全所有相关单位中。

 策略一：建立和发布信息安全管理文档体系

➢策略目标：

使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。

➢策略内容：

建立我行信息安全管理文档体系，发布到相关单位。

➢策略描述：

根据《✠✠银行信息安全管理方针》中的方针、原则和我行特点，制订出一套文档体系，包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相关单位发布。

总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司，以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。

 策略二：更新安全制度

➢策略目标：

安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。

➢策略内容：

定期和不定期审阅和更新安全制度。

➢策略描述：

由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。

三 信息安全组织管理策略

 目的

通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。

 策略一：在组织内建立信息安全管理架构

➢策略目标：

在组织内有效地管理信息安全。

➢策略内容：

我行应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

➢策略描述：

通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。

根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。

 策略二：管理外部组织对信息资产的访问

➢策略目标：

确保被外部组织访问的信息资产得到了安全保护。

➢策略内容：

组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。

➢策略说明：

任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。

四 资产管理策略

 目的

组织要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，本章通过以下二个策略实施对信息资产的有效管理。

 策略一：为信息资产建立问责制

➢策略目标：

对组织的信息资产建立责任，为实施适当保护奠定基础。

➢策略内容：

应当对所有信息资产进行识别、建立资产清单和使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责制。

➢策略说明：

对于我行的所有资产要标识出责任人，通常可定义出信息资产的所有者、管理者和使用者，并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担，但所有者和使用者仍对资产承担适当保护的责任。

 策略二：对信息资产进行分类

➢策略目标：

通过对信息资产的分类，明确其可以得到适当程度的保护。

➢策略内容：

应按照信息资产的价值、法律要求及对我行的敏感程度和关键程度进行分类和进行标识。

➢策略描述：

信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别，进行必要的标识，对其进行周期性评审，确保其与组织的内外环境的变化相适应，这些都应是资产所有者的职责。

我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估，其保护级别也根据这三个方面得出。

五 人员安全管理策略

 目的

本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。

 策略一：人员任用前的管理

➢策略目标：

在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。

➢策略内容：

确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。

➢策略说明：

在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。

我行的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。

 策略二：人员任用中的管理

➢策略目标：

落实信息安全管理职责，确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。

➢策略内容：

应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。

➢策略说明：

如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们可能会有意或无意地对组织的信息安全造成破坏，因此，需要在信息安全管理职责方面，对员工加以有效的限制和必要的激励，并持续进行信息安全教育与培训，可以减少信息安全事故的发生。

 策略三：任用的中止与变更

➢策略目标：

当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。