信息安全管理策略

信息安全管理策略
一 总则
为满足✠✠银行（以下简称“我行”）信息安全管理、信息安全保障和合规的需要，根据《✠✠银行信息安全管理方针》，特制订本管理策略。

目的是指导我行通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的补救措施，使风险水平降低到可以接受的程度。

二 安全制度管理策略
 目的
使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。

安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到我行信息安全所有相关单位中。

 策略一：建立和发布信息安全管理文档体系
➢策略目标：
使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。

➢策略内容：
建立我行信息安全管理文档体系，发布到相关单位。

➢策略描述：
根据《✠✠银行信息安全管理方针》中的方针、原则和我行特点，制订出一套文档体系，包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相关单位发布。

总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司，以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。

 策略二：更新安全制度
➢策略目标：
安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。

➢策略内容：
定期和不定期审阅和更新安全制度。

➢策略描述：
由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。

三 信息安全组织管理策略
 目的
通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。

与组织有关的策略分内部组织和外部组织两部分来描述。

 策略一：在组织内建立信息安全管理架构
➢策略目标：
在组织内有效地管理信息安全。

➢策略内容：
我行应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

➢策略描述：
通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。

根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。

 策略二：管理外部组织对信息资产的访问
➢策略目标：
确保被外部组织访问的信息资产得到了安全保护。

➢策略内容：
组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。

➢策略说明：
任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。

必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。

四 资产管理策略
 目的
组织要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，本章通过以下二个策略实施对信息资产的有效管理。

 策略一：为信息资产建立问责制
➢策略目标：
对组织的信息资产建立责任，为实施适当保护奠定基础。

➢策略内容：
应当对所有信息资产进行识别、建立资产清单和使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责制。

➢策略说明：
对于我行的所有资产要标识出责任人，通常可定义出信息资产的所有者、管理者和使用者，并明确不同责任主体的职责。

对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担，但所有者和使用者仍对资产承担适当保护的责任。

 策略二：对信息资产进行分类
➢策略目标：
通过对信息资产的分类，明确其可以得到适当程度的保护。

➢策略内容：
应按照信息资产的价值、法律要求及对我行的敏感程度和关键程度进行分类和进行标识。

➢策略描述：
信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。

确定资产的类别，进行必要的标识，对其进行周期性评审，确保其与组织的内外环境的变化相适应，这些都应是资产所有者的职责。

我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估，其保护级别也根据这三个方面得出。

五 人员安全管理策略
 目的
本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。

 策略一：人员任用前的管理
➢策略目标：
在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。

➢策略内容：
确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。

➢策略说明：
在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。

通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。

员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。

我行的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。

 策略二：人员任用中的管理
➢策略目标：
落实信息安全管理职责，确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。

➢策略内容：
应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。

➢策略说明：
如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们可能会有意或无意地对组织的信息安全造成破坏，因此，需要在信息安全管理职责方面，对员工加以有效的限制和必要的激励，并持续进行信息安全教育与培训，可以减少信息安全事故的发生。

 策略三：任用的中止与变更
➢策略目标：
当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。

➢策略内容：
从我行退出的员工、合同方人员和第三方人员要归还其所使用的设备，并删除他们对我行信息及信息系统的所有使用权；对于职责发生变化的员工、合同方人员和第三方人员，按照“最小授权”原则，要对其所拥有的信息资产访问权做相应的变更。

➢策略说明：
信息资产总是与特定的使用主体相关，当使用主体的职责发生变化时，与其职责相关的访问权限应当及时做出相应变化。

在实施此策略时，负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通，共同负责对员工及合同方人员的任用终止处理；对于合同方的终止职责处理，要与合同方代表进行协作，其他情况下的用户可能由他们的来处理。

当资产的访问权和使用权发生变更及我行人员及运行发生变化时，要及时通知各相关方。

六 物理与环境安全管理策略
 目的
本章的以下二个策略主要是保护我行的信息、信息系统和基础设施等免受非法的物理访问、自然灾害和环境危害。

 策略一：建立物理安全区域
➢策略目标：
防止对我行的工作场所和信息的非授权物理访问、损坏和干扰。

➢策略内容：
重要的或敏感的信息处理设施要放置在安全区域内，建立适当的安全屏障和入口控制，在物理上避免非授权访问、干扰；同时，需要建立必要的措施防止自然灾害和人为破坏造成的损失。

➢策略说明：
可以通过在我行边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护；安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问；为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。

还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。

 策略二：保证设备安全
➢策略目标：
应保护设备免受物理的和环境的威胁。

➢策略内容：
防止设备的丢失、损坏、失窃或危及资产安全以及造成我行活动的中断。

➢策略说明：
对设备（包括离开我行使用和财产移动）的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的，还应当考虑设备安放位置和报废处置方法的安全性。

同时，还需要专门的控制用来防止物理威胁以及保护支持性设施（例如电、供水、排污、加热 通风和空调），及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。

七 通信与运营管理策略
 目的
本章通过建立以下九个策略，确保我行对通信和操作过程进行有效的安全管理，通过促进我行建立信息处理设施的管理职责，开发适当的操作和事故处理程序，以降低非授权使用和滥用系统的风险，总体目标是确保员工能正确、安全地操作信息处理设施。

 策略一：建立操作职责和程序
➢策略目标：
确保正确、安全的操作信息处理设施。

➢策略内容：
应当为所有的信息处理设施建立必要的管理和操作的职责及程序。

➢策略说明：
与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等；对信息处理设
施和系统的变更应加以控制；应实施责任分割，以减少疏忽或故意误用系统的风险；为了减少意外变更或未授权访问运行软件和业务数据的风险，应分离开发、测试和运行设施。

 策略二：管理第三方服务
➢策略目标：
在符合双方商定的协议下，保证第三方在实施服务过程中，保持信息安全和服务交付的适当水平。

➢策略内容：
我行应检查第三方服务协议的实施，监视协议执行的符合性，并管理服务变更，以确保交付的服务满足与第三方商定的所有要求。

➢策略说明：
第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面；我行应当定期监督、检查和审核第三方提供的服务、报告和记录，对服务变更进行有效管理；我行还应当确保第三方保持足够的服务能力和可用性计划，以确保商定的服务在大的服务故障或灾难后继续得以保持。

 策略三：系统规划和验收
➢策略目标：
将系统失效的风险降至最小。

➢策略内容：
为确保足够能力和资源的可用性，以提供所需的系统性能，需要预先对系统进行规划和准备工作；应做出对于未来容量需求的预测，以减少系统过载的风险；新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。

➢策略说明：
对于每一个新的和正在进行的信息处理活动都应识别容量要求，确保在必要时及时改进系统的可用性和效率。

对系统未来容量的推测应考虑新业务、系统要求以及我行信息当前处理能力及未来发展的趋势。

管理人员要确保验收新系统的要求和准则被明确地定义，形成文件并经过测试。

新信息系统升级和新版本只有在获得正式验收后，才能作为产品。

 策略四：防范恶意和移动代码
➢策略目标：
保护软件和信息的完整性。

➢策略内容：
我行应采取预防措施，以防范和检测恶意代码和未授权的移动代码引入到我行的信息处理设施中来。

➢策略说明：
软件和信息处理设施易感染恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹），要让用户了解恶意代码的危险。

管理人员要实施适当的控制措施，以防范、检测并删除恶意代码。

 策略五：备份
➢策略目标：
保持信息和信息处理设施的完整性及可用性。

➢策略内容：
应按照已设的备份策略，定期对我行的重要信息和软件进行备份，并定期进行恢复测试。

➢策略说明：
应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。

为使备份和恢复过程更容易，备份可安排为自动进行；各个系统的备份计划应定期测试以确保他们满足业务连续性计划的要求；对于重要的系统，备份计划应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据；应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

 策略六：网络安全管理
➢策略目标：
确保网络中的信息和支持性基础设施得到保护。

➢策略内容：
应对我行的网络进行充分的管理和控制，以防范非法访问网络信息与非授权连接网络服务，保护信息与信息服务的安全。

➢策略说明：
加强网络管理与控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输；应识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中，无论这种服务是由内部提供的还是外包的。

 策略七：对存储介质的处理
➢策略目标：
防止由于对存储介质管理不当，造成未授权泄漏、修改、移动或损坏，并对业务活动造成不利影响。

➢策略内容：
我行应当对存储介质的使用、移动、保管及处置等操作进行有效管理。

➢策略说明：
存储介质包括硬盘、磁带、闪盘、可移动硬件驱动器、 、 ✞和打印的介质。

为使存储介质中的数据和系统文件免遭未授权泄露、修改和破坏，应建立适当的使用、保存、删除和销毁的操作策略和相关程序。

 策略八：信息交换
➢策略目标：
保护在我行内及与外部团体进行信息和软件交换的安全。

➢策略内容：
我行内及我行与外部团队的信息和软件的交换应当基于正式的交换策略，采取必要的安全控制措施，按照交换协议执行，同时还应服从任何相关法律法规的要求。

➢策略说明：
如果在使用信息交换设施时缺乏安全意识、必要的策略和安全控制措施，可能会造成重要信息的泄露；如果通信设施失灵、过载或中断，则可能中断业务运行并损坏信息；如果上述通信设施被未授权用户所访问，也可能损害信息。

因此，要建立策略和程序，以保护信息交换过程中信息和包含信息的物理介质的安全。

 策略九：系统监测
➢策略目标：
检测未经授权的信息处理活动。

➢策略内容：
应对信息系统进行监测，记录信息安全事件，并使用操作员日志和故障日志以确保识别出信息系统的问题。

➢策略说明：
应建立监测信息处理系统使用的策略与程序，定期评审监测活动的结果；通过系统操作日志、错误日志记录系统操作者的活动和系统出现错误的情况，以监测安全事件；我行的监测和日志记录活动应遵守所有相关法律的要求，并要防止对日志的非授权变更和删除。

八 访问控制管理策略
 目的
访问控制是对主体访问客体的权限或能力的一种限制，分为物理访问控制逻辑访问控制。

物理访问控制在“物理与环境安全策略”一章中已有涉及，在这里的访问控制主要是指逻辑访问控制。

在网络广泛互联的今天，采用技术与管理手段建立逻辑访问控制己是保障信息安全的重要手段，本章通过建立以下八个策略，以推动我行对访问控制的有效安全管理。

 策略一：根据业务要求进行访问控制
➢策略目标：
建立必要的规则，控制用户对信息的访问。

➢策略内容：
应在我行业务和安全要求的基础上，控制对信息、信息处理设施和业务过程的访问。

➢策略说明：
我行需要将满足业务需要的访问控制规则向用户和服务提供者明确地加以说明；我行应清晰地叙述每个用户或一组用户的访问控制规则和权利，应当把逻辑访问控制和物理访问控制综合起来考虑；访问控制规则应由正式的程序支持，并清晰地定义职责和范围。

 策略二：用户访问管理
➢策略目标：
确保只有授权用户才能访问系统，预防对信息系统的非授权访问。

➢策略内容：
应建立正式的程序，来控制对信息系统和服务的用户访问权的分配。

➢策略说明：
访问控制程序应涵盖用户访问生命周期内的各个阶段，从新用户初始注册、日常使用，到不再需要访问信息系统和服务时的用户帐号的最终撤销；应特别注意对特权用户的分配加以控制，因为特权用户可以修改或绕过系统的控制措施。

 策略三：用户职责
➢策略目标：
防止未授权用户对信息和信息处理设施的访问和其他危害的行为。

➢策略内容：
应使用户认知其维护有效的访问控制的职责，特别是关于口令使用和无人值守的用户设备保护方面的职责。

➢策略说明：
已授权用户的合作对实现有效的安全十分重要，首先应要求用户在选择及使用口令和保护无人值守的用户设备方面，遵循良好的安全习惯；实施桌面清空和屏幕清空策略以降低未授权访问或破坏纸、介质和信息处理设施的风险。

 策略四：网络访问控制
➢策略目标：
防止对网络服务的非授权访问。

➢策略内容：
对内部和外部网络服务的访问均应加以控制，以确保我行内部网络与外部网络之间的接口进行有效的控制或隔离；对网络环境中用户和设备身份应用了合适的鉴别机制；用户对我行信息服务的访问已根据控制规则和业务要求进行了限制。

➢策略说明：
与网络服务的未授权和不安全连接可以影响整个组织。

对于敏感或关键业务应用的网络连接或与高风险位置的用户的网络连接而言，采取严格的控制措施就显得特别重要。

控制大型网络的安全的有效方法是将该网络分成独立的逻辑网络域，将网络隔离成若干域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求，还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响。

由于无线网的边界很难定义，非授权访问的风险较高，我行应特别加强对无线网的管理，需要考虑限制使用无线网，或将无线网与内部和专用网络进行隔离。

 策略五：操作系统访问控制
➢策略目标：
防止对操作系统的非授权访问。

➢策略内容：
应启用安全措施限制授权用户对操作系统的访问，这些措施包括但不限于：按照已定义的访问控制策略鉴别授权用户；记录成功和失败的系统鉴别企图；记录专用系统特殊权限的使用；当违反系统安全策略时发布警报；提供合适的身份鉴别手段；必要时，限制用户的连接次数。

➢策略说明：
一般而言，目前的各种操作系统都加强了访问控制的功能，我行应当尽量启用操作系统提供的访问控制功能。

只有当操作系统访问控制功能不能满足业务需要时，才寻求专门访问控制解决方案。

 策略六：应用系统和信息访问控制
➢策略目标：
防止对应用系统和信息的非授权访问。

➢策略内容：
对应用软件和信息的逻辑访问只限于已授权的用户，应用系统的措施包括但不限于：按照定义的访问控制策略，控制用户访问信息和应用系统功能；防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问；不损坏共享信息资源的其他系统的安全；
➢策略说明：
应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问。

对访问的限制应基于各个业务应用要求，访问控制策略也应与我行的访问策略一致。

对敏感应用系统，可以考虑在独立的计算环境中运行。

 策略七：移动计算和远程工作
➢策略目标：
在使用移动计算和远程工作设施时，确保信息的安全。

➢策略内容：
当我行需要使用移动计算和远程工作时，应建立必要保护措施，以避免非保护的环境中的工作风险。

➢策略说明：
当使用移动计算和通信设施时，例如，笔记本电脑、掌上机、智能卡和移动电话，应特别小心确保业务信息不被泄露。

移动计算的保护措施有物理保护、访问控制、密码技术、备份和病毒预防的要求。

对远程工作场地的合适保护应到位，以防止偷窃设备和信息、未授权泄露信息、未授权远程访问我行内部系统或滥用设施等。

九 系统开发与维护管理策略
 目的
本章的六个安全策略旨在确定我行获取、开发、维护信息系统所应遵守的关键控制点。

在信息系统获取和开发过程中就需要加强对信息安全的管理与控制，只有集成在软件开发过程中的安全措施，才能真正起到预防与控制风险的作用，而且在软件开发生命周期中，越早引入控制措施，将来运行与维护费用就越少。

 策略一：确定信息系统的安全需求
➢策略目标：
确保将安全作为信息系统建设的重要组成部分。