信息安全风险管理制度

1、信息安全风险管理办法北京国都信业科技有限公司2017年10月、八、刖言本程序所规定的是北京国都信业科技有限公司企业的信息 安全风险管理原则， 在具体实施过程中， 各部门可结合本部门的 实际情况， 根据本程序的要求制定相应的文件， 以便指导本部门 的实施操作。本制度自实施之日起，立即生效。本制度由北京国都信业科技有限公司企业信息管理部起草。本制度由北京国都信业科技有限公司企业信息管理部归口 管理。1 目的为规范北京国都信业科技有限公司企业（以下简称“本公司” ） 信息安全风险管理体系，建立、健全信息安全管理制度，确定信息安 全方针和目标， 全面覆盖信息安全风险点， 对信息安全风险进行有效 管理，

2、并持续改进信息安全体系建设。2 范围本制度适用于本公司信息管理部信息安全风险管理应用及活动。3 术语和定义无。4 职责信息管理部作为本公司信息安全管理的主管部门， 负责实施信息 安全管理体系必要的程序并维持其有效运行，制定信息安全相关策 略、制度、规定，对信息管理活动各环节进行安全监督和检查，信息 安全培训、宣传，信息安全事件的响应、处理及报告等工作。信息安全管理人员负责全行信息安全策略的执行和推动。5 管理规定5.1 信息安全管理内容信息安全管理内容应覆盖信息管理、信息管理相关的所有风险 点，包括用户管理、身份验证、身份管理、用户管理、风险评估、信 息资产管理、网络安全、病毒防护、敏感数据交

3、换等内容。5.2 信息管理岗位设置为保证本公司信息安全管理，设置信息管理部岗位分工及职责 时，应全面考虑信息管理工作实际需要及责任划分， 制定详细的岗位 分工及职责说明， 对信息管理人员权限进行分级管理， 信息管理关键 岗位有设置 AB 角。应配备专职安全管理员，关键区域或部位的安全 管理员符合机要人员管理要求，对涉密人员签订了保密协议。5.3 信息安全人员管理人员雇佣安全管理信息管理人员的雇佣符合如下要求： 信息管理人员的专业知识和业务水平达到本公司要求； 详细审核科技人员工作经历，信息管理人员应无不良记录； 针对正式信息管理人员、 临时聘用或合同制信息管理人员及顾 问，采取不同的管理措施。

4、人员入职安全管理在员工工作职责说明书中除了要说明岗位的一般职责和规范以 外，还要加入与此岗位相关的信息安全管理规范， 具体内容参看各个 安全管理规范中的适用范围部分。 人员入职必须签订保密协议， 在人 员的入职培训内容中应该包括信息安全管理规范的相关内容解释和 技术培训。人员安全培训根据工作岗位对从业者的能力需求、 从业者本身的实际能力以及 从业者所面临信息安全风险，确定培训内容。考虑不同层次的职责、 能力、文化程度以及所面临的风险， 信息安全主管部门应该根据培训 需求组织培训， 制定培训计划， 培训计划包括： 培训项目、主要内容、 主要负责人、培训日程安排、培训方式等，培训前要写好培训方案，

5、 并通知相关人员，培训后要进行考核。人员安全考核人事部门对人员进行的定期考核中应该包括安全管理规范的相 关内容。人员离职安全管理本公司人员离职手续中应该包括如下安全相关的内容：a) 收回所有的密码，并确认密码的正确性；b) 收回所有的物理安全设备，包括钥匙和证件；c) 收回所有工作资料，包括纸介质和电子介质；d) 进行调离谈话，申明其调离后的保密义务；e) 离职后应该立刻更改所有此离职人员曾掌握过的密码或密钥。对于本公司辞退人员， 必须在第一时间完成上述工作， 通知其辞 退后，所有的工作交接内容必须有专人陪同，需填写工作交接单 ； 对于辞退人员应该跟踪其工作动向， 采取合理的手段阻止其就职于竞

6、 争对手组织，如保密协议中的条款。外部人员访问安全管理外部人员访问要遵守本公司相关安全管理规定。 对需要访问本公 司的外部人员发放通行证， 通行证应该针对访问地点的安全敏感度设 置不同的安全级别。 外部人员访问敏感地点应该有专人陪同。 对于需 要长时间访问的外部人员应该建立档案，档案应与通行证对应。外来人员携带电脑要接入企业网， 必须征得信息管理部允许方可 接入。员工有义务向外来人员说明网络接入安全要求。5.4 信息资产风险评估信息管理安全制度建设与信息管理安全风险相结合， 信息管理安 全制度全面涵盖了信息管理安全的风险点，包括：安全管理策略、制 度、机房、软件、硬件、网络、数据、文档等方面，

7、并针对信息资产 进行了风险程度评估，生成了信息资产风险评估文件。5.5 信息管理制度密级管理应根据制度的密级要求程度，对制度进行密级分级管理。5.6 信息管理安全分级应根据信息管理的安全保护级别， 对信息管理进行安全等级划分 管理，根据安全保护等级对信息管理进行相应的管理措施。5.7 信息管理安全保护体系为更好的贯彻应用系统的安全保护体系， 建立了应用系统的分类 及分级保护体系， 根据系统类别及级别进行安全评估， 制定不同的防 范措施，对应用系统按照重要程度实行等级保护。信息管理分级为了更好地规范应用系统保护措施， 根据信息管理安全等级保 护实施指南为本公司信息管理进行了分级。经过定级，并上报

8、给公 安部门共有一个三级系统，七个二级系统。分级保护措施安全设计与实施在系统建设之初 , 根据该系统的安全保护定级 , 按照信息管理安 全总体方案的要求， 结合信息管理安全建设项目计划， 分期分步落实 安全措施 , 如下图 1。人rviiir曲总靈雄吃金岗障力3Eft -rsn c严韶卄驚口电nS-7!H3fcr产品:ftCLB 儿-4樹士 "蛊曲世*刖工*:行电 ?妙地g竜童录廉翊逊H勺*H就卢枯 竊童搭1 色權斋 拿覘樂枕甘黑frU购eH* 爭剳徙枫机1土诡厳图1安全设计与实施流程图上图为安全设计与实施的流程图。对于系统的安全设计与实施流 程，最重要的三个阶段为：安全方案详细设计

9、阶段、技术措施实现阶段和管理措施实现阶 段。对于安全保护等级为三级的信息管理，要求严格依据安全设计与 实施流程,保证各阶段的输入和产出文件，保证系统的安全性。安全运行与维护5.741安全运行与维护阶段工作流程畫全讦牺役计另秦匸二_>妄坐申掃 炖泗图2安全运行与维护阶段工作流程吏更丄秦 査更谊程也丈忡 复更站卑楓右靈土 fllfilfi申O监捋时議列星S±WSWH!iS运行管理控制运行维护职责对于信息安全保护等级为三级和二级的信息管理，信息管理部配 备专门的人员对其的运行进行维护。运行管理过程控制a）建立操作规程将操作过程或流程规范化，并形成指导运行管理人员工作的操作 规程，操作

10、规程作为正式文件处理。b) 操作过程记录 对运行管理人员按照操作规程执行的操作过程形成相关的记录 文件，可以是日志文件， 记录操作的时间和人员、 正常或异常等信息。变更管理配置通过信息管理管理平台 ,对系统变更流程进行控制 , 包括:变更内容审核和审批 对变更目的、内容、影响、时间和地点以及人员权限进行审核， 以确保变更合理、 科学的实施。 按照机构建立的审批流程对变更方案 进行审批。建立变更过程日志按照批准的变更方案实施变更， 对变更过程各类系统状态、 各种 操作活动等建立操作记录或日志。形成变更结果报告 收集变更过程的各类相关文档，整理、分析和总结各类数据，形 成变更结果报告，并归档保存。

11、活动输出：变更结果报告。对于二级或二级以上的系统 , 应严格遵循变更管理过程控制规定 在信息管理管理平台中 , 遵循变更流程进行操作。运行状态监控安全关键点分析对影响系统、 业务安全性的关键要素进行分析， 确定安全状态监 控的对象， 这些对象可能包括主机、 服务器、存储、防火墙、防病毒、 核心路由器、核心交换机、 主要通信线路、关键服务器或客户端等系 统范围内的对象；也可能包括安全标准和法律法规等外部对象。形成监控对象列表根据确定的监控对象， 分析监控的必要性和可行性、 监控的开销 和成本等因素，形成监控对象列表。活动输出：监控对象列表。状态分析 对安全状态信息进行分析，及时发现险情、隐患或安

12、全事件，并 记录这些安全事件，分析其发展趋势。影响分析根据对安全状况变化的分析， 分析这些变化对安全的影响， 通过 判断他们的影响决定是否有必要作出响应。形成安全状态分析报告 根据安全状态分析和影响分析的结果，形成安全状态分析报告， 上报安全事件或提出变更需求。活动输出：安全状态分析报告。对于安全保护等级为三级的信息管理，需要对系统的运行状态、 容量使用情况等严格进行实时监控。安全事件处置安全事件调查和分析针对各类安全事件列表， 调查本系统内安全事件的类型、 安全事件对业务的影响范围和程度以及安全事件的敏感程度等信息，分析对安全事件进行响应恢复所需要的时间。安全事件等级划分根据以上调查和分析结

13、果，根据信息安全事件造成的损失程度， 信息管理遭到破坏后对国家安全、社会秩序、公共利益以及公民、法 人和其他组织的合法权益的危害程度等因素，确定事件等级，制定安全事件的报告程序。三级以上的信息管理，需严格遵循安全事件处理流程，即时调查 解决问题并进行上报。信息管理中止 信息管理中止流程埔人主层H稈阿施并单吒上匸怛戶希驚富仙忙总聒址燃芹盘各漬单T说备才快或哽垒口试备迂仙”履痒处匡记录玄桂图3信息管理中止流程信息转移、暂存和清除识别要转移、暂存和清除的信息资产 根据要终止的信息管理的信息资产清单， 识别重要信息资产、 所 处的位置以及当前状态等， 列出需转移、 暂存和清除的信息资产的清 单。信息资

14、产转移、暂存和清除 根据信息资产的重要程度制定信息资产的转移、 暂存、清除的方 法和过程。如果是涉密信息，应该按照国家相关部门的规定进行转移、 暂存和清除。处理过程记录 记录信息转移、暂存和清除的过程，包括参与的人员，转移、暂 存和清除的方式以及目前信息所处的位置等。设备迁移或废弃软硬件设备识别 根据要终止的信息管理的设备清单， 识别要被迁移或废弃的硬件 设备、所处的位置以及当前状态等， 列出需迁移、 废弃的设备的清单。制定硬件设备处理方案 根据规定和实际情况制定设备处理方案， 包括重用设备、 废弃设 备、敏感信息的清除方法等。处理方案审批 包括重用设备、 废弃设备、 敏感信息的清除方法等的设

15、备处理方案应该经过主管领导审查和批准。设备处理和记录 根据设备处理方案对设备进行处理， 如果是涉密信息的设备， 其 处理过程应符合国家相关部门的规定； 记录设备处理过程， 包括参与 的人员、处理的方式、是否有残余信息的检查结果等。存储介质的清除或销毁识别要清除或销毁的介质 根据要终止的信息管理的存储介质清单， 识别载有重要信息的存 储介质、 所处的位置以及当前状态等， 列出需清除或销毁的存储介质 清单。确定存储介质处理方法和流程 根据存储介质所承载信息的敏感程度确定对存储介质的处理方 式和处理流程。 存储介质的处理包括数据清除和存储介质销毁等。 对 于存储涉密信息的介质应按照国家相关部门的规定

16、进行处理。处理方案审批 包括存储介质的处理方式和处理流程等的处理方案应该经过主 管领导审查和批准。存储介质处理和记录 根据存储介质处理方案对存储介质进行处理， 记录处理过程， 包 括参与的人员、处理的方式、是否有残余信息的检查结果等。5.8 外包安全管理应加强对外包商、 外包项目以及外包服务的安全管理。 进行外包 商资质审查、外包项目过程风险审计、外包服务人员日常管理。详细 管理制度及办法可参考外包管理制度。5.9 信息安全风险培训及宣传加强对全体员工的信息安全教育和培训，定期执行信息安全风险 教育培训， 不断增强员工的信息安全意识和能力。 培训对象应包括但 不限于：研发部、信息管理部、业务部

17、门、审计部等。采取加强对客户的信息安全风险宣传教育工作，宣传方式包括但 不限于：网站信息安全风险知识宣传；业务办理单客户关注事项； 营业厅银行相关知识宣传教育。5.10 信息安全事件处理为尽可能小地影响用户和用户业务的情况下使 IT 系统尽快恢 复，从而维持良好的服务质量和可用性级别， 本公司制定了信息安全 事件响应处理制度， 明确安全事件处理流程。 对信息安全事件的处理 应满足如下要求：信息管理安全事件报告制度和处理流程应清晰、明确和完善； 信息管理安全事件报告制度和处理流程应遵从信息管理安全 制度；信息管理安全事件应进行分级管理； 信息管理安全事件响应流程应定期进行演练； 内审部门应对演练过程进行审计；对演练中存在的问题应及时进行整改；信息管理安全事件制度中应包括信息披露的相关要求， 对披露 对象和内容应进行明确的规定。5.11 信息安全审计内外审计应全程贯穿信息安全活动， 包括信息安全管理制度的制 定，信息安全管理制度执行情况，信息安全事件响应流程，信息安全 风险披露等：信息管理安全制度应经过内审部门审计评估， 相关制度依据审 计报告进行修改； 对信息管理安全