银行业信息安全管理手册

信息科技部

信息安全管理体系手册

A版

目录

1目的和合用范围.................................................错误!未定义书签。

2引用原则.......................................................错误!未定义书签。

3术语和定义.....................................................错误!未定义书签。

4信息安全管理体系...............................................错误!未定义书签。

4.1总规定.......................................................错误!未定义书签。

4.2建立和管理ISMS............................................................................................错误!未定义书签。

建立ISMS................................................................................................................错误!未定义书签。

4.2.2ISMS实行及运作............................................错误!未定义书签。

4.2.3ISMS口勺监督检查与评审......................................错误!未定义书签。

4.2.4ISMS保持与改善............................................错误!未定义书签。

4.3.2文献控制...................................................错误!未定义书签。

4.3.3记录控制...................................................错误!未定义书签。

5管理职责.......................................................错误!未定义书签。

5.1管理承诺....................................................错误!未定义书签。

5.2资源管理.....................................................错误!未定义书签。

6.内部ISMS审核................................................错误!未定义书签。

7ISMS管理评审.................................................错误!未定义书签。

7.1总则.........................................................错误!未定义书签.

7.2管理评审的输入...............................................错误!未定义书签。

7.3管理评审的输出...............................................错误!未定义书签。

8ISMS持续改善错误!未定义书签。

8.1持续改善错误!未定义书签。

8.2纠正措施错误!未定义书签。

8.3防止措施错误!未定义书签。

修订历史记录

版本日期修订者修订描述

1.0

1目的和合用范围

目的

为建立、健全##银行信息科技部信息安全管理体系（简称ISMS）,确定信息安

全方针和目H勺，对信息安全风险进行有效管理，保证信息科技部全体员工理解并

遵照执行信息安全管理体系文献、持续改善ISMS有效性，特制定本手册。

范围

本手册合用于##银行信息科技部（信息科技部位于##银行第八层）安全管理

活动。

2引用原则

TSO/TEC27001:2023〈信息技术一一安全技术一一信息安全管理体系一一规定》

1S0/1EC27002:2023〈信息技术——安全技术——信息安全管理实行细则》

3术语和定义

3.1本手册中使用术语的定义采用ISO/IEC27001：2023《信息技术——安全技

术一一信息安全管理体系一一规定》中的I定义

3.2缩写

ISMS:InformationSecutityManagementSystems信息安全管理体系。

SoA：StatementofApplicability合用性阐明

PDCA:Plan、D0^Chock、Act

4信息安全管理体系

4.1总规定

##银行信息科技部根据ISO/IEC27001:2023原则在整体业务活动和所面

临风险的环境下建立、实行、运行、监视、评审、保持和改善文献化H勺信息

安全管理体系。ISMS所波及的过程基于如下PDCA模式：

有关方有关方

4.2建立和管理ISMS

建立ISMS

.1ISMSH勺范围和周界

1）祥#银行重要从事个人服务、企业服务、卡服务等，信息科技部为金融服

务提供IT基础架构II勺支持服务，保证整体金融业务过程的有序开展；

2）##银行总行信息科技部所有物理区域及人员；

.2根据业务、组织、位置、资产和技术等方面叫特性，#祥银行信息科技部在

确定ISMS方针时，应考虑如下方面的规定：

1）包括设定目的的框架和建立信息安全工作口勺总方向和原则。

2）考虑业务和法律法规的规定，及协议中H勺安全义务。

3）##银行信息科技部根据战略性风险管理环境下，建立和保持ISMS。

4）建立风险评估的准则。

5）信息安全方针设定完毕后，应获得管理者的同意。

.3信息安全管理体系方针

增强科技风险意识，提高风险管理水平;

满足监管机构规定，持续履行社会责任。

为满足适使用方法律法规及有关方需求，使得生产和经营更有效的运行，使

得客户信息保苗传播更为安全，##银行信息科技部根据IS0/IEC27001:2023

原则，建立信息安全管理体系，以保证##银行信息科技部及行内所有有关信息

的保密性、完毕性、可用性，实现业务可持续发展口勺目的。井井银行信息科技部

承诺：

1）##银行信息科技部建立并完善信息安全管理体系；

2）识别并满足适使用方法律法规和有关方信息安全规定，充足履行社会责

任；

3）对ISMS进行测量、监视、评审活动，定期按照事先设定口勺风险评估准则，

对##银行信息科技部进夕亍风险评估、ISMS评审、采用纠正防止措施，保证体

系的持续有效；

4）采用先进有效日勺设施和技术，处理、传递、存储和保护各类信息，实现

信息共享；

5）对##银行信息科技部全体员工，进行持续口勺信息安全教育和培训，不

停增强员工H勺信息安全意识和能力；

6）制定并保持完善的业务持续性计划，实现可持续发展。

上述方针由#祥银行信息科技部最高管理者公布，并定期评审其合用性、充

足性，必要时予以修订。

.4风险评估的系统措施

##银行信息科技部建立信息安全风险评估控制程序并组织实行。风险评估

控制程序包括可接受风险准则和可接受水平，所选择的评估措施应保证风险评估

能产生可比较附和可反复II勺成果。详细H勺风险评估过程执行《信息安全风险评估

控制程序》

.5风险识别

在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括

软件、系统、数据'文档、硬件'设施、人力资源及服务。对每一项信息资产，根

据重要信息资产判断根据确定与否为重要信息资产，形成《重要信息资产清单》。

.6评估风险

1）针对每一项重要信息资产，参照《信息安全威胁列表》及以往的I安全事

故（事件）记录、信息资产所处的环境等原因，识别出所有重要信息资产所面临

的）威胁；

2）针对每一项威胁，考虑既有的控制措施，参照《信息安全微弱点列表》

识别出被该威胁也许运用H勺微弱点。

3）综合考虑以上2点，按照《威胁发生也许性等级表》中口勺鉴定准则对每

一种威胁发生H勺也许性进行赋值；

4）根据《威胁影响程度判断准则》，判断一种威胁发生后也许对信息资产在

保密性（C）、完整性（I）和可用性（A）方面的损害，进而对信息科技部业务导

致的影响，来给威胁影响赋值取C、I、A的最大值为威胁影响程度H勺赋值；

5）风险大小计算考虑威胁产生安全故障的也许性及其所导致影响程度两者

的结合，根据《风险矩阵计算表》来得到风险等级；

6）对于信息安全风险，在考虑控制措施与费用平衡的原则下制定《风险接

受准则》，按照该准则确定何种等级的风险为不可接受风险。

.7风险处理措施H勺识别与评价

卢井银行信息科技部根据风险评估门勺成果，形成《风险处理计划》，该计划

应明确风险处理负责人、措施及时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用如下合适的措

施；

a）采用合适的内部控制措施；

b）接受某些风险（小也许将所有风险减少为零）；

c）回避某些风险（如物理隔离）

d）转移某些风险（如将风险转移给保险者、供方、分包商）。

.8选择控制U口勺与控制措施

a）信息安全管理委员会根据信息安全方针、业务发展规定及风险评估的成

果，制定信息安全目的，将目口勺进行分解贯彻到负责人。信息安全目口勺应获得信

息安全最高管理者口勺同意。

b）控制目的及控制措施的选择原则来源于ISO/IEC27001:2023原则附录A,

详细控制措施可以参照18027002:2023《信息技术一一安全技术一一信息安全管

理实行细则》。首甘银行信息科技部根据信息安全管理的需要，可以选择原则之

外的其他控制措施。

.9合用性申明SoA

信息科技部负责编制《信息安全按合用性申明》（SoA）o该申明包括如下方

面的内容：

a）所选择控制月的J与控制措施H勺概要描述；

b）目前已经实行的控制；

c）对IS0/IEC27001:2023附录A中未选用的控制目的及控制措施理由口勺阐

明。该申明的I详细内容见《信息安全合用性申明》

ISMS实行及运作

.1为保证ISMS有效实行，对己识别的风险进行有效处理，开展如下活动：

1）形成《风险处理计划》，以确定合适口勺管理措施、职责及安全控制措施的

优先级；

2）为实现已确定H勺安全目的、实行《风险处理计戈J》，明确各岗位H勺信息安

全职责；

3）实行所选择的控制措施，以实现控制目H勺；

4）进行信息安全培训，提高全员信息安全意识和能力；

5）对信息安全体系的运作进行管理；

6）对信息安全所需资源进行管理；

7）实行控制程序，对信息安全事故（或征兆）进行迅速反应。

.2信息安全组织机构

##银行信息科技部明确人员职责（包括信息安全职责）并形成文献。

1）信息科技部组织有关职能人员，成立信息安全委员会，形成##银行信

息科技部信息安全管理最高机构。

2）各ISMS负责人员根据##银行信息科技部的职责明确，形成书面文献。

.3信息安全职责和权限

1）##银行信息科技部总经理为最高管理者，最高管理者指定：苗志勇为

信息安全管理者代表，无论该组员在其他方面的职责怎样，对信息安全负有如下

职责：

a）建立弁实行信息安全管理体系必要H勺程序并维持其有效运行。

b）对信息安全管理体系的运行状况和必要的改善拮施向信息安全管理委员

会或最高管理者汇报（总经理）

c）针对体系运行期间保证定期的监视体系运行状况、评审体系的有效性、持

续改善文献化口勺ISMSo

d）管理者代表监督全体员工对信息安全体系文献H勺执行状况。

.4检测安全事态、响应安全事件及其他控制措施

a）根据SoA中规定的安全目H勺、控制措施（包括安全运行的多种控制程序）

规定实行信息安全控制措施。

b）迅速检测过程运行成果中日勺错误

c）实行实时监控，对识别试图的和得逞H勺安全违规和事件进行坚决处理。

d）通过使用指标，协助检查安全事态并防止安全事件。

。）确定处理安全违规的措施与否有效。

ISMS的监督检查与评审

.1##银行信息科技部通过实行定期的安全检查、内部审核、定期的技术审查

等控制措施并汇报成果以实现：

a）及时发现信息安全体系的事故和隐患；

b）定期检查信息处理设施，及时理解信息处理系统遭受的各类袭击；

c）使管理者掌握信息安全活动与否有效，并根据优先级别确定所要采用的措

施；

d）对于历史事件进行记录并留存档案，枳累信息安全事态事故等方面的经

验，总结信息安全事态事件出现口勺征兆，防患于未然。

.2根据以上活动的成果以及来自有关方於J提议和反馈，由最高管理者主持，定

期（每年至少一次）对ISMS的有效性进行评审，其中包括信息安全范围、方针公

目的及控制措施有效性口勺评审。管理评审的详细规定，见本手册第七章。

.3信息科技部应组织有关区域负责人按照《信息安全风险评估管理程序》的规

定对风险处理后的残存风险进行定期评审，以验证残存风险与否到达可接受口勺水

平，对如下方面变更状况应及时进行风险评估：

a）组织机构发生重大变更；

b）信息处理技术发生重大变更；

c）##银行信息科技部业务目口勺及流程发生重大变更；

d）发现信息资产面临重大威胁，；

e）外部环境，如法律法规或信息安全原则发生重大变更。

.4保持上述活动和措施的记录

以上活动的详细程序规定于如下文献中：

《记录控制程序》《信息安全风险评估控制程序》《内部审核控制程序》《部

门职位阐明书》

ISMS保持与改善

##银行信息科技部开展如下活动，以保证ISMS的持续改善：

a）实行每年管理评审、内部审核、安全检查等活动以确定需改的J项目；

b）按照《内部审核控制程序》、《纠正防止措施程序》《防止措施控制程序》

的规定采用合适的纠正和防止措施；吸取其他商业银行及外资企业安全

事故的经验

c）对信息安全目的及分解进行管理，保证改善到达预期效果；（信息安全目

H勺及指标的分解）

d）为保证信息安全管理体系持续有效，各区域负责人及内审小组通过合适

口勺手段保持在##银行信息科技部内部对信息安全措施口勺执行状况与成

果进行有效沟通。包括获取外部信息安全专家内提议、电信运行商等组

织的联络及识别信息安全规定等。如：管理评审会议、内部审核汇报、

信息科技部内文献体系、内部网络和邮件系统、法律法规评估汇报等。

e）以上详细程序规定于如下文献中：

《法律法规获取和识别控制程序》

注：上述活动输出：会议记要和汇报

文献控制

##银行信息科技部制定信息安全管理体系所规定文献的管理程序，保证信

息安全管理体系文献得到如下所需的控制：

a）文献口勺作成、发行、修订、废弃等事项得到对应授权的查阅、同意，保

证文献是合适的、可行的:

b）文献H勺标识和修订状态清晰、易于识别，保证使用H勺文书是目前H勺有效

版本；

c）为了文书的有效性，要定期确认记载内容与否过时，根据需要决定保持

或修改并再次得到对应的同意；

d）保证信息安全B、J外部原则、对应法律、法规得到明确的标识和管理：

e）以上规定的详细内容见：

《文献控制程序》

《法律法规获取和识别控制程序》

记录控制

.1信息安全管理体系所规定的记录是体系符合原则规定和有效运行的证据。#

#银行信息科技部负责制定并维持易读、易识别、可以便检索乂考虑法律、法规

规定的记录管理规定。该规定应指定记录的标识、存储、保护、检索、保管、废

弃等事项。

.2信息安全体系口勺记录包括4.2中所列出口勺所有过程时成果及与ISMS有关的安

全事故。##银行信息科技部应根据记录管理规定的规定采用合适||勺方式妥善保

管信息安全体系中所规定的记录。

.3该程序详细规定见《记录控制程序》

5管理职责

5.1管理承诺

信息安全最高管理者为保证建立、维持并持续改善信息安全管理体系特做出

如下承诺：

a）制定信息安全方针；

b）保证信息安全目的和计划得以制定：

c）建立信息安全的角色和职责；

d）通过合适的沟通方式，向全体员工传达满足信息安全目的、符合信息安

全方针以及法律、法规规定和持续改善口勺重要性；

e）提供合适的I资源以满足信息安全管理体系H勺需求；

f）决定接受风险的准则，对可接受风险U勺水平进行决策；

g）确定信息安全内部审核的执行；

h）实行信息安全的I管理评审；

5.2资源管理

资源提供

##银行信息科技部应确定并提供所需H勺资源，以满足如下需求:

a）建立、实行、运行、监视、评审、保持和改善ISMS（信息安全管理体系）

b）保证信息安全管理程序支持业务流程H勺规定；

c）识别和满足法律法规规定、以及协议中日勺安全义务；

d）切实实行已经有的控制措施，保持合适H勺安全

e）必要时，进行评审，并对评审成果做出合适的反应；

f）在需要时，改善信息安全体系H勺有效性。

培训、意识和能力

##银行应定期对信息科技部员工H勺能力进行培训、意识及能力H勺提高，保

证所有分派有ISMS职责口勺人员具有执行所规定任务口勺能力，提高方式应具有如

下几点：

a）确定从事ISMS工作人员的岗位职责及所必要H勺能力

b）提供培训或采用其他措施（如聘任有能力口勺人员）以满足这些需求

c）评价所采用的措施的有效性

d）保持教育、培训、技能、经历和资格的记录（记录应建立并加以保持，

以提供符合ISMS规定和有效运行H勺证据）

##银行信息科技部也要保证所有有关人员意识到其信息安全活动的合适

性和重要性，以及怎样达为到ISMS目的做出奉献。

6.内部ISMS审核

##银行信息科技部应按照计划的时间间隔进行内部审核，管理者代表负责

制定内审计划并组织实行，以鉴定TSMS规定的安全目的、控制措施、过程和程

序与否：

a）符合IS0/IEC27001:2023原则和有关法律法规规定；

b）符合已识别的信息安全规定；

c）有效实行和保持；

d）完毕预期的目的。

6.1内部审核程序

信息安全管理者代表制定信息安全管理体系年度审核计划，该计划应覆盖整个

ISMS体系并得到信息安全管理体系最高管理者的同意（井井银行信息科技部总

经理）

内部审核以本手册、对应的规程、作业指导书为基准。选定的内审员应是理解

行内'业务流程、熟悉安全体系原则并通过培训获得信息安全内审员资格日勺本部员

工。内审员资格需获得信息安全管理者代表的同意。

进行内审时，管理者代表要有计划的进行如下的事项：

a）审核员aJ选定和教育及培训；

b）制定审核计划，指定审核员（审核员应与被审查对象无直接责任关系）；

c）准备必要的I有关文献。

审核中发现的不符合事项，要向责任区域负责人汇报，由责任区域负责人明确

纠正措施的实行计划。

要对该纠正措施口勺实行计划，进行合适的I跟踪，确认与否有效实行。

以上的工作完毕后，须经管理者代表确认后，审核流程方可关闭。

假如发现信息安全重大不符合或征兆时，或者管理者弋表判断必要时，可调整

年度审核计划。

对审核的成果进行合适H勺汇总整顿，作为管理评审的输入材料。

6.2内部审核需保留如下记录

a）被审查对象范围

b）审核日期

c）审核员

d）被审核方

e）根据的文献

f）详细审核事项及其审查成果

g）不符合内容和程度（严重或轻微及观测事项）

h）不符合事项的纠正措施和实行期限

i）纠正措施的实行状况及其效果，其他必要事项、审核结束确实凿证据

以上程序详见《内部审核控制程序》

7ISMS管理评审

7.1总则

信息安全最高管理者为确认信息安全管理体系的合适性、充足性和有效性,

每六个月对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理

体系与否需改善或变更H勺评价。管理评审H勺成果应形成书面记录，该记录按时规

定进行保留。

7.2管理评审的输入

在管理评审时，管理者代表应组织有关人员提供如卜.资料，供最高管理者和

信息安全委员会进行评审：

a）ISMS体系内、外部审核的成果;

b）有关方的反馈（投诉、埋怨、提议）；

c）可以用来改善ISMS业绩和有效性口勺新技术、产品或程序；

d）信息安全Fl的到达状况，纠正和防止措施口勺实行状况；

e）信息安全事故或征兆，以往风险评估时未充足考虑到的微弱点或威胁；