安全策略

-1-

信息安全管理策略

一.总则

为满足XX银行（以下简称“我行”）信息安全管理、信息安全保障和合规的需要,根据

《XX银行信息安全管理方针》，特制订本管理策略。目的是指导我行通过各项管理制度与措

施，识别各方面的信息安全风险,并采取适当的补救措施，使风险水平降低到可以接受的程度.

二.安全制度管理策略

2.1目的

使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。

安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到我行

信息安全所有相关单位中。

2.2策略一:建立和发布信息安全管理文档体系

➢策略目标：

使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。

➢策略内容:

建立我行信息安全管理文档体系，发布到相关单位。

➢策略描述：

根据《XX银行信息安全管理方针》中的方针、原则和我行特点，制订出一套文档体系，

包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相

关单位发布。

-2-

总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及

与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其

他等第三方机构或人员.

2.3策略二：更新安全制度

➢策略目标:

安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。

➢策略内容:

定期和不定期审阅和更新安全制度。

➢策略描述：

由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时

进行检查、更新。

三.信息安全组织管理策略

3.1目的

通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构

与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来

描述.

3.2策略一：在组织内建立信息安全管理架构

➢策略目标：

在组织内有效地管理信息安全.

➢策略内容：

我行应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

➢策略描述：

-3-

通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息

安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。

根据需要,还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪

行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式,

以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题.

3.3策略二：管理外部组织对信息资产的访问

➢策略目标：

确保被外部组织访问的信息资产得到了安全保护。

➢策略内容:

组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的

产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，

都应采取有效的措施进行安全控制。

➢策略说明：

任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息

和信息处理设施,因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据

风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的

信息安全方针与策略。

四.资产管理策略

4.1目的

组织要有效地控制安全风险，首先要识别信息资产,并进行科学而有效的分类，然后在各

个管理层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，本章通过以下

二个策略实施对信息资产的有效管理。

-4-

4.2策略一：为信息资产建立问责制

➢策略目标：

对组织的信息资产建立责任，为实施适当保护奠定基础。

➢策略内容：

应当对所有信息资产进行识别、建立资产清单和使用规则，明确定义信息资产责任人及

其职责，为信息资产建立问责制.

➢策略说明：

对于我行的所有资产要标识出责任人,通常可定义出信息资产的所有者、管理者和使用

者，并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的

管理者来承担，但所有者和使用者仍对资产承担适当保护的责任。

4.3策略二:对信息资产进行分类

➢策略目标：

通过对信息资产的分类，明确其可以得到适当程度的保护。

➢策略内容：

应按照信息资产的价值、法律要求及对我行的敏感程度和关键程度进行分类和进行标识

。

➢策略描述：

信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的

业务影响.确定资产的类别，进行必要的标识,对其进行周期性评审，确保其与组织的内外环

境的变化相适应,这些都应是资产所有者的职责.

我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估，其保护级别也

根据这三个方面得出。

-5-

五.人员安全管理策略

5.1目的

本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资

源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后

相关的安全职责、行为规范。

5.2策略一：人员任用前的管理

➢策略目标:

在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全

责任,并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险.

➢策略内容：

确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明,并对新员

工、合同方的有关背景进行验证检查,对第三方的访问权限加以明确声明和严格管理.

➢策略说明：

在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背

景调查，这在信息安全管理中具有重要的意义.通过对所有应聘者、合同方人员进行必要筛

选,对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信

息处理设施的第三方人员根据其安全角色和职责,要签署相关协议，以明确声明其对信息安

全的职责。

我行的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员

等。

5.3策略二：人员任用中的管理

➢策略目标:

-6-

落实信息安全管理职责,确保我行的员工在整个任用期内的行为都符合信息安全政策的

要求。

➢策略内容：

应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人

员了解工作中面临的信息安全风险、相关责任和义务,并在日常工作中遵循组织的信息安全

政策的要求。

➢策略说明：

如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们

可能会有意或无意地对组织的信息安全造成破坏，因此,需要在信息安全管理职责方面，对

员工加以有效的限制和必要的激励，并持续进行信息安全教育与培训，可以减少信息安全事

故的发生。

5.4策略三：任用的中止与变更

➢策略目标：

当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方

人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。

➢策略内容：

从我行退出的员工、合同方人员和第三方人员要归还其所使用的设备，并删除他们对我

行信息及信息系统的所有使用权；对于职责发生变化的员工、合同方人员和第三方人员，按

照“最小授权”原则，要对其所拥有的信息资产访问权做相应的变更。

➢策略说明：

信息资产总是与特定的使用主体相关,当使用主体的职责发生变化时，与其职责相关的

访问权限应当及时做出相应变化。

在实施此策略时,负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟

通，共同负责对员工及合同方人员的任用终止处理;对于合同方的终止职责处理，要与合同

方代表进行协作,其他情况下的用户可能由他们的来处理。

当资产的访问权和使用权发生变更及我行人员及运行发生变化时，要及时通知各相关方

。

-7-

六.物理与环境安全管理策略

6.1目的

本章的以下二个策略主要是保护我行的信息、信息系统和基础设施等免受非法的物理访

问、自然灾害和环境危害。

6.2策略一：建立物理安全区域

➢策略目标：

防止对我行的工作场所和信息的非授权物理访问、损坏和干扰。

➢策略内容：

重要的或敏感的信息处理设施要放置在安全区域内,建立适当的安全屏障和入口控制，

在物理上避免非授权访问、干扰；同时，需要建立必要的措施防止自然灾害和人为破坏造成

的损失.

➢策略说明：

可以通过在我行边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的

物理保护；安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问；为重

要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南.

还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾

难带来的破坏。

6.3策略二：保证设备安全

➢策略目标：

应保护设备免受物理的和环境的威胁.

➢策略内容：

防止设备的丢失、损坏、失窃或危及资产安全以及造成我行活动的中断。

➢策略说明：

-8-

对设备（包括离开我行使用和财产移动）的保护是减少未授权访问信息的风险和防止丢

失或损坏所必需的，还应当考虑设备安放位置和报废处置方法的安全性.同时，还需要专门

的控制用来防止物理威胁以及保护支持性设施（例如电、供水、排污、加热/通风和空调）,

及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。

七.通信与运营管理策略

7.1目的

本章通过建立以下九个策略，确保我行对通信和操作过程进行有效的安全管理,通过促进

我行建立信息处理设施的管理职责，开发适当的操作和事故处理程序，以降低非授权使用和

滥用系统的风险，总体目标是确保员工能正确、安全地操作信息处理设施。

7.2策略一：建立操作职责和程序

➢策略目标：

确保正确、安全的操作信息处理设施.

➢策略内容：

应当为所有的信息处理设施建立必要的管理和操作的职责及程序。

➢策略说明:

与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机

程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等；对信息处理

设施和系统的变更应加以控制；应实施责任分割，以减少疏忽或故意误用系统的风险；为了

减少意外变更或未授权访问运行软件和业务数据的风险,应分离开发、测试和运行设施。

7.3策略二：管理第三方服务

➢策略目标：

-9-

在符合双方商定的协议下,保证第三方在实施服务过程中，保持信息安全和服务交付的

适当水平。

➢策略内容:

我行应检查第三方服务协议的实施，监视协议执行的符合性,并管理服务变更，以确保

交付的服务满足与第三方商定的所有要求。

➢策略说明：

第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面；我行应当定期

监督、检查和审核第三方提供的服务、报告和记录，对服务变更进行有效管理；我行还应当

确保第三方保持足够的服务能力和可用性计划，以确保商定的服务在大的服务故障或灾难后

继续得以保持。

7.4策略三：系统规划和验收

➢策略目标:

将系统失效的风险降至最小.

➢策略内容：

为确保足够能力和资源的可用性,以提供所需的系统性能，需要预先对系统进行规划和

准备工作；应做出对于未来容量需求的预测，以减少系统过载的风险;新系统的运行要求应

在验收和使用之前建立、形成文件并进行测试。

➢策略说明:

对于每一个新的和正在进行的信息处理活动都应识别容量要求,确保在必要时及时改进

系统的可用性和效率。对系统未来容量的推测应考虑新业务、系统要求以及我行信息当前处

理能力及未来发展的趋势。

管理人员要确保验收新系统的要求和准则被明确地定义，形成文件并经过测试。新信息

系统升级和新版本只有在获得正式验收后,才能作为产品。

7.5策略四：防范恶意和移动代码

➢策略目标:

-10-

保护软件和信息的完整性。

➢策略内容：

我行应采取预防措施，以防范和检测恶意代码和未授权的移动代码引入到我行的信息处

理设施中来.

➢策略说明：

软件和信息处理设施易感染恶意代码(例如计算机病毒、网络蠕虫、特洛伊木马和逻辑

炸弹），要让用户了解恶意代码的危险。管理人员要实施适当的控制措施，以防范、检测并

删除恶意代码。

7.6策略五：备份

➢策略目标：

保持信息和信息处理设施的完整性及可用性。

➢策略内容：

应按照已设的备份策略，定期对我行的重要信息和软件进行备份，并定期进行恢复测试

。

➢策略说明:

应提供足够的备份设施,以确保所有必要的信息和软件能在灾难或介质故障后进行恢复

。为使备份和恢复过程更容易，备份可安排为自动进行；各个系统的备份计划应定期测试以

确保他们满足业务连续性计划的要求；对于重要的系统，备份计划应包括在发生灾难时恢复

整个系统所必需的所有系统信息、应用和数据；应确定最重要业务信息的保存周期以及对要

永久保存的档案拷贝的任何要求。

7.7策略六：网络安全管理

➢策略目标：

确保网络中的信息和支持性基础设施得到保护。

➢策略内容：

-11-

应对我行的网络进行充分的管理和控制，以防范非法访问网络信息与非授权连接网络服

务,保护信息与信息服务的安全。

➢策略说明：

加强网络管理与控制,以防范威胁、保持使用网络的系统和应用程序的安全，包括信息

传输；应识别所有网络服务的安全特性、服务等级和管理要求,并包含在网络服务协议中，

无论这种服务是由内部提供的还是外包的。

7.8策略七：对存储介质的处理

➢策略目标：

防止由于对存储介质管理不当，造成未授权泄漏、修改、移动或损坏，并对业务活动造

成不利影响。

➢策略内容：

我行应当对存储介质的使用、移动、保管及处置等操作进行有效管理。

➢策略说明：

存储介质包括硬盘、磁带、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。为使存

储介质中的数据和系统文件免遭未授权泄露、修改和破坏，应建立适当的使用、保存、删除

和销毁的操作策略和相关程序。

7.9策略八：信息交换

➢策略目标：

保护在我行内及与外部团体进行信息和软件交换的安全。

➢策略内容：

我行内及我行与外部团队的信息和软件的交换应当基于正式的交换策略,采取必要的安

全控制措施，按照交换协议执行，同时还应服从任何相关法律法规的要求。

➢策略说明：

如果在使用信息交换设施时缺乏安全意识、必要的策略和安全控制措施，可能会造成重

要信息的泄露;如果通信设施失灵、过载或中断，则可能中断业务运行并损坏信息；如果上

-12-

述通信设施被未授权用户所访问,也可能损害信息.因此,要建立策略和程序，以保护信息交

换过程中信息和包含信息的物理介质的安全。

7.10策略九：系统监测

➢策略目标：

检测未经授权的信息处理活动。

➢策略内容：

应对信息系统进行监测，记录信息安全事件，并使用操作员日志和故障日志以确保识别

出信息系统的问题.

➢策略说明：

应建立监测信息处理系统使用的策略与程序，定期评审监测活动的结果；通过系统操作

日志、错误日志记录系统操作者的活动和系统出现错误的情况，以监测安全事件；我行的监

测和日志记录活动应遵守所有相关法律的要求,并要防止对日志的非授权变更和删除。

八.访问控制管理策略

8.1目的

访问控制是对主体访问客体的权限或能力的一种限制，分为物理访问控制逻辑访问控制。

物理访问控制在“物理与环境安全策略"一章中已有涉及,在这里的访问控制主要是指逻辑访

问控制。在网络广泛互联的今天,采用技术与管理手段建立逻辑访问控制己是保障信息安全的

重要手段，本章通过建立以下八个策略，以推动我行对访问控制的有效安全管理。

8.2策略一：根据业务要求进行访问控制

➢策略目标：

建立必要的规则，控制用户对信息的访问。

-13-

➢策略内容：

应在我行业务和安全要求的基础上，控制对信息、信息处理设施和业务过程的访问。

➢策略说明：

我行需要将满足业务需要的访问控制规则向用户和服务提供者明确地加以说明；我行应

清晰地叙述每个用户或一组用户的访问控制规则和权利，应当把逻辑访问控制和物理访问控

制综合起来考虑；访问控制规则应由正式的程序支持,并清晰地定义职责和范围。

8.3策略二：用户访问管理

➢策略目标:

确保只有授权用户才能访问系统，预防对信息系统的非授权访问。

➢策略内容：

应建立正式的程序，来控制对信息系统和服务的用户访问权的分配.

➢策略说明：

访问控制程序应涵盖用户访问生命周期内的各个阶段，从新用户初始注册、日常使用,到

不再需要访问信息系统和服务时的用户帐号的最终撤销;应特别注意对特权用户的分配加以

控制,因为特权用户可以修改或绕过系统的控制措施。

8.4策略三：用户职责

➢策略目标：

防止未授权用户对信息和信息处理设施的访问和其他危害的行为。

➢策略内容：

应使用户认知其维护有效的访问控制的职责,特别是关于口令使用和无人值守的用户设

备保护方面的职责.

➢策略说明：

-14-

已授权用户的合作对实现有效的安全十分重要,首先应要求用户在选择及使用口令和保

护无人值守的用户设备方面，遵循良好的安全习惯；实施桌面清空和屏幕清空策略以降低未

授权访问或破坏纸、介质和信息处理设施的风险。

8.5策略四：网络访问控制

➢策略目标：

防止对网络服务的非授权访问。

➢策略内容：

对内部和外部网络服务的访问均应加以控制，以确保我行内部网络与外部网络之间的接

口进行有效的控制或隔离；对网络环境中用户和设备身份应用了合适的鉴别机制；用户对我

行信息服务的访问已根据控制规则和业务要求进行了限制。

➢策略说明：

与网络服务的未授权和不安全连接可以影响整个组织。对于敏感或关键业务应用的网络

连接或与高风险位置的用户的网络连接而言，采取严格的控制措施就显得特别重要.

控制大型网络的安全的有效方法是将该网络分成独立的逻辑网络域，将网络隔离成若干

域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求，还要考虑到相关成本

和加入适合的网络路由或网关技术的性能影响。

由于无线网的边界很难定义，非授权访问的风险较高，我行应特别加强对无线网的管理，

需要考虑限制使用无线网，或将无线网与内部和专用网络进行隔离。

8.6策略五：操作系统访问控制

➢策略目标:

防止对操作系统的非授权访问。

➢策略内容：

应启用安全措施限制授权用户对操作系统的访问，这些措施包括但不限于：按照已定义

的访问控制策略鉴别授权用户；记录成功和失败的系统鉴别企图；记录专用系统特殊权限的

-15-

使用;当违反系统安全策略时发布警报；提供合适的身份鉴别手段;必要时，限制用户的连接

次数。

➢策略说明：

一般而言，目前的各种操作系统都加强了访问控制的功能，我行应当尽量启用操作系统

提供的访问控制功能。只有当操作系统访问控制功能不能满足业务需要时，才寻求专门访问

控制解决方案.

8.7策略六：应用系统和信息访问控制

➢策略目标：

防止对应用系统和信息的非授权访问。

➢策略内容：

对应用软件和信息的逻辑访问只限于已授权的用户，应用系统的措施包括但不限于：按

照定义的访问控制策略，控制用户访问信息和应用系统功能；防止能够越过系统控制或应用

控制的任何实用程序、操作系统软件和恶意软件进行未授权访问；不损坏共享信息资源的其

他系统的安全；

➢策略说明：

应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问。对访

问的限制应基于各个业务应用要求,访问控制策略也应与我行的访问策略一致。对敏感应用系

统，可以考虑在独立的计算环境中运行。

8.8策略七：移动计算和远程工作

➢策略目标:

在使用移动计算和远程工作设施时，确保信息的安全。

➢策略内容：

当我行需要使用移动计算和远程工作时,应建立必要保护措施，以避免非保护的环境中的

工作风险。

➢策略说明:

-16-

当使用移动计算和通信设施时,例如，笔记本电脑、掌上机、智能卡和移动电话，应特别

小心确保业务信息不被泄露。移动计算的保护措施有物理保护、访问控制、密码技术、备份

和病毒预防的要求。对远程工作场地的合适保护应到位,以防止偷窃设备和信息、未授权泄露

信息、未授权远程访问我行内部系统或滥用设施等.

九.系统开发与维护管理策略

9.1目的

本章的六个安全策略旨在确定我行获取、开发、维护信息系统所应遵守的关键控制点。

在信息系统获取和开发过程中就需要加强对信息安全的管理与控制，只有集成在软件开

发过程中的安全措施，才能真正起到预防与控制风险的作用，而且在软件开发生命周期中，

越早引入控制措施,将来运行与维护费用就越少.

9.2策略一：确定信息系统的安全需求

➢策略目标：

确保将安全作为信息系统建设的重要组成部分。

➢策略内容：

应用系统的所有安全需求都需要在项目需求分析阶段被确认，并且作为一个信息系统的

总体构架的重要组成部分,要得到对其合理性的证明、并获得用户认可，同时要记录在案。

➢策略说明:

信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全，信

息系统的安全控制应该在系统开发设计阶段予以实现,要确保安全性已构成信息系统的一部

分，我行应该在信息系统开发前，或在项目开始阶段，识别所有的安全要求，并作为系统设

计不可缺少的一部分，进行确认与调整。

-17-

9.3策略二：在应用中建立安全措施

➢策略目标：

避免应用系统在运行过程中发生故障，并防止在应用软件系统中的用户数据的丢失、改

动或者滥用。

➢策略内容:

应当把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。

这些措施应当包括对输入数据、内部处理和输出数据的检验。

➢策略说明：

要保证应用系统的安全，需要在软件开发过程中,集成适当的安全控制技术措施，而且要

在应用系统需求和应用系统设计中进行明确的表达。信息安全管理人员或IT审计人员需要在

需求评审阶段，着重检查必要的输入、处理和输出控制措施是否集成在系统中。

9.4策略三：实施密码控制

➢策略目标:

保护信息的保密性、完整性和有效性.

➢策略内容：

对于面临非授权访问威胁的信息，当其它管理措施无法对其进行有效保护时，应当用密

码系统和密码技术进行保护。

➢策略说明:

为防止我行敏感信息的泄露，可以利用加密技术对其进行处理后进行存储与传输；为防

止重要信息被篡改或伪造，可以利用加密的办法对信息的完整性进行鉴别;在电子商务过程中,

可以通过加密技术的应用（如数字签名）进行交易双方身份真实性认证,并防止抵赖行为的发

生。

-18-

9.5策略四：保护系统文件的安全

➢策略目标：

为确保IT项目和支持行为以安全的方式进行，应当控制对系统文件的访问.

➢策略内容:

应当维护系统文件中信息的完整性，这是应用程序系统、用户及开发人员的共同责任。

➢策略说明:

系统文件是一种全局文件，可视为所有用户程序所用的文件（另一种解释是一种仅供操

作系统访问的文件)。系统文件面临的典型威胁是使用错误的程序版本,从而导致数据的错误

处理与数据破坏，以及由于测试目的使用操作数据而导致的信息泄露。因此要采取措施保护

系统文件的安全。

9.6策略五：保证开发和支持过程的安全

➢策略目标:

维护应用程序系统中的软件和信息的安全。

➢策略内容：

我行应当对项目和支持环境进行严格控制，即对应用系统、操作系统及软件包的更改及

软件外包活动进行安全控制。

➢策略说明：

在应用系统的开发与维护过程中，应用程序的未授权修改、未进行评审的操作系统的更

改、未加限制的软件包的更改等都会给我行的应用系统带来安全风险。所以要对应用软件开

发与支持过程中的安全加以控制。

9.7策略六：对技术脆弱性进行管理

➢策略目标：

减少由利用公开的技术脆弱点带来的风险。

➢策略内容：

-19-

应及时获得我行所使用的信息系统的技术脆弱点的信息，评估我行对此类技术脆弱点的

保护，并采取适当的措施。

➢策略说明：

技术脆弱点管理应该以一种有效的、系统的、可反复的方式连同可确保其有效性的措施

来实施。这些考虑应包括在用操作系统和任何其它的应用.

十.信息安全事故管理策略

10.1目的

安全事故就是能导致资产丢失与损害的任何事件，为把信息安全事件的损害降到最低的

程度，追踪并从事件中吸取教训，我行应明确有关事故、故障和薄弱点的部门，并根据安全

事件与故障的反应过程建立一个报告、反应、评价和惩戒的机制。

通过以下二个策略的建立，促进我行有效地对信息安全事件进行管理.

10.2策略一:报告信息安全事件和系统弱点

➢策略目标：

确保与信息系统有关的安全事件和系统弱点能得到及时报告，以便采取必要的纠正措施.

➢策略内容：

我行应建立有正式的报告信息安全事件和系统弱点的程序,并让所有的员工、合同方人员

和第三方人员加以了解和执行。

➢策略说明：

我行通过建立正式的信息安全事件报告程序，在收到信息安全事件和系统弱点报告后，

可立即着手采取相应措施对安全事件进行响应。报告程序应建立报告信息安全事件的联系点,

使我行内的每个人都知道这个联系点,并确保该联系点持续可用，并能提供充分且及时的响

应。

-20-

10.3策略二:信息安全事件管理和改进

➢策略目标：

确保使用持续有效的方法管理信息安全事件。

➢策略内容：

一旦信息安全事件和弱点报告上来，应该立即明确责任，按照规程进行有效处理;我行还

应建立能够量化和监控信息安全事件的类型、数量、成本的机制。

➢策略说明：

应当应用一个连续性的改进过程,对信息安全事件进行响应、监视、评估和总体管理。从

对信息安全事件评估中获取的信息，应该用来识别再发生的事件和重大影响的事件。如果需

要证据的话,则应该搜集证据以满足法律的要求。

十一.业务连续性管理策略

11.1目的

制定和实施一个完整的业务持续计划应从理解自身业务的开始，进行业务影响分析和风

险评估，在此基础上由管理高层形成本我行的业务持续战略方针，然后规划业务持续计划，

进行计划的测试与实施，最后进行计划的维护与更新，并通过审计保证计划不断改进和完善

。本策略的制定旨在促进我行建立业务连续性计划，实现业务连续性管理。

11.2策略一：建立业务连续性管理程序

➢策略目标：

保护我行的关键业务流程不会因信息系统重大失效或自然灾害的影响而造成中断。

➢策略内容:

-21-

应当执行业务连续性管理程序，通过预防性和恢复性措施的结合，把灾难或者安全事故

所导致的破坏减少到一个可以接受的水平。

➢策略说明：

我行应建立业务连续性管理过程，通过风险评估识别我行的关键业务活动，并实施适当

的计划，以恢复与抵消非正常中断的后果.业务连续性计划的范围应包括整个业务过程，不

仅仅是IT方面的服务.

十二.合规性策略

12.1目的

我行识别出己有的法律、法规并遵守及应用，可以更可靠、更有效地保护信息安全。我

行在建立信息安全体系时,除了要遵守我行内的方针、策略、制度、操作指南的要求以外，

还要服从国家的法律、法规要求，遵守行业规范，符合相关技术标准的要求，及考虑信息审

核时对信息安全的影响等因素，这些都可以称为信息安全的符合性要求，这种要求往往是强

制性的。本章三个策略的建立旨在促进我行的合规性要求。

12.2策略一：与法律法规要求的符合性

➢策略目标：

我行应避免违反法律、法规、规章、合同的要求和其他的安全要求

➢策略内容:

信息系统的设计、运行、使用和管理要符合法律、法规及合同的要求。

➢策略说明:

对每一个信息系统和我行而言，所有相关的法律、法规和合同要求，以及为满足这些要

求我行所采用的方法，应加以明白地定义、形成文件并保持更新.特定的法律要求方面的建

议应从我行的法律顾问或者合格的法律从业人员处获得.

-22-

12.3策略二：符合安全政策和标准以及技术符合性

➢策略目标：

确保系统符合我行的安全策略及标准。

➢策略内容：

我行应定期对信息系统的安全进行合规性评审和技术评审，判断其是否符合适用的安全

政策、实施标准和文件化的安全控制措施。

➢策略说明:

管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安

全要求进行定期评审。评审结果和管理人员采取的纠正措施应被记录，且这些记录应予以维

护.

技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持）

,或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。

12.4策略三：信息系统审核考虑

➢策略目标:

将信息系统审核过程的有效性最大化，干扰最小化.

➢策略内容：

在系统审核期间，为保护审核工具的完整性和防止滥用审核工具,需要建立必要的控制措

施.

➢策略说明：

涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造

成业务过程中断的风险。

信息系统审核工具，如软件或数据文件，应与开发和运行系统分开，并且不能保存在磁

带库或用户区域内,除非给予合适级别的附加保护。

如果审核涉及到第三方，则可能存在审核工具被这些第三方滥用,以及信息被第三方我行

访问的风险。应采取措施应对任何后果，如立即改变泄露给审核人员的口令.