信息技术安全管理办法(2023年最新-金融科技公司-通用-标准版本)

**金融科技集团公司信息技术安全管理办法

目录

1.总则 (3)

2.信息安全策略 (4)

2.1.安全制度管理 (4)

2.2.信息安全组织管理 (4)

2.3.资产管理 (5)

2.4.人员安全管理 (6)

2.5.物理与环境安全管理 (6)

2.6.通信与运营管理 (7)

2.7.访问控制管理 (9)

2.8.系统开发与维护管理 (10)

2.9.信息安全事故管理 (11)

2.10.业务连续性管理 (12)

2.11.合规性管理 (12)

3.信息安全标准 (13)

4.信息安全流程 (13)

5.安全审计和评估 (14)

1.总则

第1条本手册为***公司信息安全总体管理规范，为公司建设及不断完善信息安全管理体系的总体指导手册。本手册适用于公司正式员工及第三方业务人员。第2条本手册依据本公司业务发展战略而设定，为实现业务发展战略服务，在业务发展战略变动后与信息安全策略发生冲突时应服从业务发展战略的要求，并及时修订公司信息安全手册。

第3条本手册为公司信息安全总体方针和策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。第4条信息安全策略是指正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。

第5条建设原则本手册的制定必须遵守下面几项原则：

1.统一性原则：***公司应对信息安全政策和标准进行统一的规划和设

计。

2.规范性原则：信息安全政策和标准必须符合国家有关信息安全方面

的政策法规。

3.完备性原则：信息安全政策和标准体系结构清晰、层次分明，包含

的内容全面。

4.可操作性原则：信息安全政策和标准要易于在***公司内部全面推广

和执行，并易于制定最终的安全流程和实施操作方法。

5.易扩充性原则：信息安全政策和标准要易于扩充和修正。

6.前瞻性原则：信息安全政策和标准的制定要具备一定的前瞻性，能

尽量多的适应发展的需要。

第6条信息安全管理是通过建立有效的体系，实现对***公司信息风险的识别、检测、控制，提高***公司整体信息安全水平，促进公司安全、持续、稳健运行，推动业务发展，增强核心竞争力和可持续发展能力。

2.信息安全策略

2.1.安全制度管理

第7条公司信息安全制度必须得到公司管理层的理解和支持。公司信息安全制度必须由公司管理层批准后，向全公司员工和外部相关方发布和沟通。

第8条公司信息安全相应制度则应按计划的时间间隔或当发生重大变化时进行审评和修订，以确保其持续的适宜性、充分性和有效性。

2.2.信息安全组织管理

第9条信息安全组织是公司信息安全建设的基本保障，信息安全组织不仅仅包括各级信息安全管理部门，而且要渗透到公司的整个组织结构中，确保信息安全策略能够深入到业务流程的各个方面。

第10条公司管理者应通过清晰的方向、可见的承诺、明确的任务分配、信息安全职责沟通在组织内积极支持安全

第11条公司信息安全活动应由组织各部门及各种相关角色和职能的代表进行协作，应明确定义所有的信息安全职责，实施对信息处理设施的管理授权过

程，以“最小授权”、“最少知道”为原则。

第12条应定义并定期评审公司的保密或非扩散协议，该协议反应公司对于信息保护的要求。

第13条应按计划的时间间隔或当发生重大的信息安全变化时，对公司的信息安全管理方法及其实施情况（如，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审。

第14条应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险，并在允许访问前实施适当的控制，应在允许顾客访问组织的信息或资产前强调所有的被定义的安全要求。

第15条公司与第三方签订的协议中应覆盖所有相关的安全要求。这些协议可能涉及对公司的信息或信息处理设施的访问、处理、沟通或管理，或增加信息处理设施的产品和服务。

2.3.资产管理

第16条应清楚识别所有的资产，编制并保持所有重要资产清单，资产清单应包括资产的价值、重要性以及根据资产价值提供的安全保护措施。

第17条所有信息及与信息处理设施有关的资产应由组织指定的部门负责，重要资产必须指定日常维护的责任人，资产损失的责任由资产的责任人负责。

第18条应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类并制定一套与公司所采用的分类方案一致的信息标识和处置的程序，并实施。

2.4.人员安全管理

第19条应根据组织的信息安全策略，定义员工、承包方和第三方用户的安全角色和职责并形成文件。

第20条应根据相关的法律、法规和道德，对所有的求职者、承包方和第三方用户进行背景验证检查，该检查应与业务要求、被访问信息的类别及已知风险相适宜。

第21条作为公司合同责任的一部分，员工、承包方和第三方用户应统一并签署他们的雇佣合同的条款和条件。这些条款和条件应规定他们和公司对于信息安全的责任。

第22条管理者应要求所有的员工、承包方和第三方用户应用符合公司已建立的策略和程序的安全。

第23条应对公司所有员工，适当时，还包括合同方和第三方用户进行适当的意识培训、定期更新的、与他们工作相关的策略和程序培训，并应建立一个正式的员工违反安全的惩戒过程。

第24条应清晰定义和分配进行雇佣变更或终结的责任，当结束雇佣关系、合同或协议时，员工、承包方和第三方用户应归还所使用的公司资产，当雇佣关系、合同或协议终止时，应废除所有员工、承包方和第三方用户对信息和信息处理设施的访问权限，或根据变化调整。

2.5.物理与环境安全管理

第25条应使用安全边界（障碍物，如墙、控制进入大门的卡或人工接待台）来保护包含信息信息处理设施的区域，确保只有经过授权的人才能访问。