信息技术安全管理办法(2023年最新-金融科技公司-通用-标准版本).docx
《信息技术安全管理办法(2023年最新-金融科技公司-通用-标准版本).docx》由会员分享,可在线阅读,更多相关《信息技术安全管理办法(2023年最新-金融科技公司-通用-标准版本).docx(14页珍藏版)》请在冰点文库上搜索。
**金融科技集团公司
信息技术安全管理办法
目录
1. 总则 3
2. 信息安全策略 4
2.1. 安全制度管理 4
2.2. 信息安全组织管理 4
2.3. 资产管理 5
2.4. 人员安全管理 6
2.5. 物理与环境安全管理 7
2.6. 通信与运营管理 7
2.7. 访问控制管理 9
2.8. 系统开发与维护管理 11
2.9. 信息安全事故管理 12
2.10. 业务连续性管理 12
2.11. 合规性管理 12
3. 信息安全标准 13
4. 信息安全流程 14
5. 安全审计和评估 14
1.总则
第1条本手册为***公司信息安全总体管理规范,为公司建设及不断完善信息安全管理体系的总体指导手册。
本手册适用于公司正式员工及第三方业务人员。
第2条本手册依据本公司业务发展战略而设定,为实现业务发展战略服务,在业务发展战略变动后与信息安全策略发生冲突时应服从业务发展战略的要求,并及时修订公司信息安全手册。
第3条本手册为公司信息安全总体方针和策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
第4条信息安全策略是指正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。
第5条建设原则本手册的制定必须遵守下面几项原则:
1.统一性原则:
***公司应对信息安全政策和标准进行统一的规划和设计。
2.规范性原则:
信息安全政策和标准必须符合国家有关信息安全方面的政策法规。
3.完备性原则:
信息安全政策和标准体系结构清晰、层次分明,包含的内容全面。
4.可操作性原则:
信息安全政策和标准要易于在***公司内部全面推广和执行,并易于制定最终的安全流程和实施操作方法。
5.易扩充性原则:
信息安全政策和标准要易于扩充和修正。
6.前瞻性原则:
信息安全政策和标准的制定要具备一定的前瞻性,能尽量多的适应发展的需要。
第6条信息安全管理是通过建立有效的体系,实现对***公司信息风险的识别、检测、控制,提高***公司整体信息安全水平,促进公司安全、持续、稳健运行,推动业务发展,增强核心竞争力和可持续发展能力。
2.信息安全策略
2.1.安全制度管理
第7条公司信息安全制度必须得到公司管理层的理解和支持。
公司信息安全制度必须由公司管理层批准后,向全公司员工和外部相关方发布和沟通。
第8条公司信息安全相应制度则应按计划的时间间隔或当发生重大变化时进行审评和修订,以确保其持续的适宜性、充分性和有效性。
2.2.信息安全组织管理
第9条信息安全组织是公司信息安全建设的基本保障,信息安全组织不仅仅包括各级信息安全管理部门,而且要渗透到公司的整个组织结构中,确保信息安全策略能够深入到业务流程的各个方面。
第10条公司管理者应通过清晰的方向、可见的承诺、明确的任务分配、信息安全职责沟通在组织内积极支持安全
第11条公司信息安全活动应由组织各部门及各种相关角色和职能的代表进行协作,应明确定义所有的信息安全职责,实施对信息处理设施的管理授权过程,以“最小授权”、“最少知道”为原则。
第12条应定义并定期评审公司的保密或非扩散协议,该协议反应公司对于信息保护的要求。
第13条应按计划的时间间隔或当发生重大的信息安全变化时,对公司的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。
第14条应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制,应在允许顾客访问组织的信息或资产前强调所有的被定义的安全要求。
第15条公司与第三方签订的协议中应覆盖所有相关的安全要求。
这些协议可能涉及对公司的信息或信息处理设施的访问、处理、沟通或管理,或增加信息处理设施的产品和服务。
2.3.资产管理
第16条应清楚识别所有的资产,编制并保持所有重要资产清单,资产清单应包括资产的价值、重要性以及根据资产价值提供的安全保护措施。
第17条所有信息及与信息处理设施有关的资产应由组织指定的部门负责,重要资产必须指定日常维护的责任人,资产损失的责任由资产的责任人负责。
第18条应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类并制定一套与公司所采用的分类方案一致的信息标识和处置的程序,并实施。
2.4.人员安全管理
第19条应根据组织的信息安全策略,定义员工、承包方和第三方用户的安全角色和职责并形成文件。
第20条应根据相关的法律、法规和道德,对所有的求职者、承包方和第三方用户进行背景验证检查,该检查应与业务要求、被访问信息的类别及已知风险相适宜。
第21条作为公司合同责任的一部分,员工、承包方和第三方用户应统一并签署他们的雇佣合同的条款和条件。
这些条款和条件应规定他们和公司对于信息安全的责任。
第22条管理者应要求所有的员工、承包方和第三方用户应用符合公司已建立的策略和程序的安全。
第23条应对公司所有员工,适当时,还包括合同方和第三方用户进行适当的意识培训、定期更新的、与他们工作相关的策略和程序培训,并应建立一个正式的员工违反安全的惩戒过程。
第24条应清晰定义和分配进行雇佣变更或终结的责任,当结束雇佣关系、合同或协议时,员工、承包方和第三方用户应归还所使用的公司资产,当雇佣关系、合同或协议终止时,应废除所有员工、承包方和第三方用户对信息和信息处理设施的访问权限,或根据变化调整。
2.5.物理与环境安全管理
第25条应使用安全边界(障碍物,如墙、控制进入大门的卡或人工接待台)来保护包含信息信息处理设施的区域,确保只有经过授权的人才能访问。
第26条应设计并实施保护办公室、场所和设施的物理安全设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。
第27条应对设备进行选址安置或保护,以减少来自环境的威胁或危害,并减少未授权访问的机会,应保护设备免受电力中断或其他因为支持性设施失效所导致的中断,应保护承载数据或支持信息服务的电力和通讯电缆免遭中断或破坏。
第28条应正确维护设备,以确保其持续的可用性和完整性,应对场外设备进行安全防护,考虑在组织边界之外工作的不同风险。
第29条应检查包含存储介质的设备,以确保在销毁前所有敏感数据或授权软件已经被删除或安全重写。
未经授权,不得将设备、信息或软件带离。
2.6.通信与运营管理
第30条应编制并保持文件化的信息处理设施及系统的操作程序,并确保所有需要的用户可以获得,应控制信息处理设施及系统的变更,应分离职责和责任区域,以降低未授权访问、无意识修改或滥用组织资产的机会
第31条应分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险
第32条确保第三方实施、运作并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级。
应对第三方的服务和提交的报告、记录定期进行监视和评审,并定期进行审计。
第33条应管理提供服务的变更(包括保持和改进现有信息安全策略、程序和控制措施),考虑对业务系统的关键程度、涉及的过程和风险的再评估
第34条应监督、调整资源的使用情况,并反应将来能力的要求,以确保系统的性能。
应建立新的信息系统、系统升级和新版本的验收准则,并在开发过程中及接收前进行适当的系统测试
第35条应实施防范恶意代码的检测、预防和恢复,以及适当的用户意识程序,当使用移动代码获得授权时,配置管理应确保授权的移动代码按照明确定义的安全策略运行,并防止未经授权移动代码的执行
第36条应定期备份重要业务信息、数据和软件。
要有足够的备份设备确保在灾难发生或存储设备故障时恢复所有重要的业务信息、数据和软件。
其他系统也要定期备份,以符合业务连续性要求。
访问控制管理。
第37条应对网络进行充分的管理和控制,以防范威胁、保持使用网络的系统和应用程序的安全,包括传输的信息。
应识别所有网络服务的安全特性、服务等级和管理要求,并包含在网络服务协议中,无论这种服务是由内部提供的还是外包的。
第38条应建立可移动介质的管理程序,当介质不再需要时,应按照正式的程序进行安全可靠的销毁。
第39条应建立信息处理和存储程序,以防范该信息的未授权泄漏或误用,应保护系统文档免受未授权的访问。
第40条应建立正式的信息交换策略、程序和控制,以保护通过所有类型的通讯设施交换信息的安全。
应建立公司内部和外部组织之间的信息和软件交换的协议,在物理边界之外进行传输的过程中,应保护包含信息的介质免受未授权的访问、误用或破坏。
应开发并实施策略和程序,以保护与业务信息系统互联的信息。
第41条应保护公司业务系统通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。
应保护在线交易中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。
应保护公共可用系统中信息的完整性,以防止未经授权的修改。
第42条应产生记录用户活动、意外和信息安全事件的日志,并按照约定的期限进行保留,以支持将来的调查和访问控制监视。
第43条应建立监视信息处理系统使用的程序,并定期评审监视活动的结果应保护日志设施和日志信息免受破坏和未授权的访问应记录系统管理员和系统操作者的活动应记录并分析错误日志,并采取适当的措施。
公司内或统一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步。
2.7.访问控制管理
第44条应建立访问控制策略,并根据对访问的业务和安全要求进行评审。
应建立正式的用户注册和解除注册程序,以允许和撤销对于所有信息系统和服务的访问。
应限制和控制特权的使用和分配。
应通过正式的管理流程控制口令的分配。
管理者应按照策划的时间间隔通过正式的流程对用户的访问权限进行评审
第45条应要求用户在选择和使用口令时遵循良好的安全惯例。
用户应确保无人值守的设备得到适当的保护。
应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施所采用的清除屏幕策略。
第46条用户应只能访问经过明确授权使用的服务,应使用适当的鉴别方法控制远程用户的访问。
应考虑将自动设备识别作为鉴别特定区域和设备连接鉴别的方法。
应控制对诊断和配置端口的物理和逻辑访问。
第47条应隔离网络上的信息服务组、用户和信息系统。
在公共网络中,尤其是那些延展到公司边界之外的网络,应限制用户联接的能力,并与业务应用系统的访问控制策略和要求一致。
应对网络进行路由控制,以确保信息联接和信息流不违反业务应用系统的访问控制策略。
第48条应通过安全登陆程序对操作系统的访问进行控制,所有的用户应有一个唯一的识别码(用户ID)且仅供本人使用,应使用适当的鉴别技术来证实用户所声称的身份。
应使用交互式口令管理系统,并确保口令质量。
应限制并严格控制设施程序的使用和应用系统控制的使用。
在超过规定的不工作状态时限之后,应关闭终端,应使用连接时间限制以提供高风险应用程序的额外安全保障。
第49条应根据规定的访问控制策略,限制用户和支持人员对信息和应用系统功能的访问,敏感系统应使用隔离的计算环境。
第50条应建立正式的策略并实施适当的措施,以防范使用移动计算和通讯设施的风险。
应开发并实施远程工作的策略、操作计划和程序。
2.8.系统开发与维护管理
第51条确保安全成为信息系统的内置部分,新的信息系统或对现有信息系统的更新的业务要求声明中应规定安全控制的要求。
第52条应验证应用系统输入数据,以确保正确和适当应用系统中应包含确认检查,以检测数据处理过程中的错误。
应识别应用系统中确保鉴别和保护消息完整性的要求,识别并实施适当的控制。
应确认应用系统输出的数据,以确保存储的信息的处理是正确的并与环境相适宜。
第53条通过加密手段来保护信息的保密性、真实性或完整性。
为保护信息,应开发并实施加密控制的使用策略,应进行密钥管理,以支持对密码技术的使用。
第54条确保系统文档的安全,建立程序,对操作系统软件安装进行控制,应谨慎选择测试数据,并加以保护和控制,应限制对源代码库的访问。
第55条保持应用系统软件和信息的安全。
通过正式的变更控制程序,控制变更的实施。
当操作系统变更后,应评审并测试关键的业务应用系统,以确保变更不会对组织的运营或安全产生负面影响。
第56条应尽量避免对软件包的更改,对必要的更改严格控制,防止信息泄漏的机会。
应对软件外包开发进行监控。
第57条应及时获得公司各类业务所使用的信息系统的技术漏洞的信息,评估部门对此类技术漏洞的保护,并采取适当的措施。
2.9.信息安全事故管理
第58条确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。
应通过适当的管理途径尽快报告信息安全事件。
应要求所有的员工、承包方和第三方用户注意并报告系统或服务中已发现或疑似的安全弱点。
第59条应建立管理职责和程序,以快速、有效和有序的响应信息安全事故应建立能够量化和监控信息安全事故的类型、数量、成本的机制事故发生后,应根据相关法律的规定(无论是民法还是刑法)跟踪个人或组织的行动,应收集、保留证据,并以符合法律规定的形式提交。
2.10.业务连续性管理
第60条应在公司内开发并保持业务连续性管理过程,该过程阐明了业务连续性对信息安全的要求。
应识别可能导致业务过程中断的事故,以及这类中断发生的可能性和影响、中断的信息安全后果。
第61条应开发并实施计划,以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性。
应保持一个单独的业务连续性计划框架,以确保所有计划的一致性,以维护信息安全要求的一致性并识别测试和保持的优先级应定期测试并更新BCP,以确保BCP的更新和有效。
2.11.合规性管理
第62条应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新。
应实施适当的程序,以确保在使用与知识产权有关的材料和软件时符合法律法规和合同要求。
第63条应按照法律法规、合同和业务要求,保护重要记录免受损失、破坏或伪造篡改。
应确保按适用的法律法规,适用时,还有合同条款的要求来保护数据和隐私。
应阻止用户把信息处理设施用于非授权的目的。
使用密码控制时,应确保遵守相关的协议、法律法规。
第64条管理者应确保在其职责范围内的所有安全程序得到了正确实施,以符合安全策略和目标。
应定期检查信息系统与安全实施标准的符合程度。
应谨慎规划对操作系统检查所涉及的审计要求和活动并获得许可,以最小化对业务过程中断的风险。
应限制对信息系统审计工具的访问,以防止可能的误用或损坏。
3.信息安全标准
第65条定义信息安全标准是在公司信息安全策略的指导下建立的,是针对信息安全某一领域的设备管理、信息管理、系统管理或人员管理的安全相关内容制定的安全管理制度。
信息安全标准是信息安全策略在具体领域的一系列安全策略细则,并作为信息安全流程的指导文件存在。
第66条命名规范信息安全标准的命名应以《XXX公司XXX管理制度》、《XXX公司XXX管理规定》、《XXX公司XXX管理规范》为标准命名方式。
第67条起草责任人信息安全标准的起草人可以为信息安全管理部门的安全管理人员,也可以是具体分管某个系统或资源的业务或技术部门人员,信息安全标准的制定必须向信息安全管理部门提出备案。
4.信息安全流程
第68条定义信息安全流程是在公司信息安全策略和信息安全标准的指导下建立的,是针对某一具体环节的管理流程、操作手册和实施方案进行详细安全流程进行要求的信息安全管理文档。
第69条表现形式信息安全流程可以是一个操作手册,一个流程表单或一个实施方法,但必须能够明确体现或执行信息安全策略或信息安全标准所要求的策略或原则。
第70条起草责任人信息安全流程的起草人应为执行具体环节的操作人员,或为具体操作人员的管理者,信息安全流程的制定必须向信息安全管理部门提出备案。
5.安全审计和评估
第71条定义安全的审计和评估是对公司整体信息安全的一种检查和更新机制。
它既包含对信息安全的战略方针、指导原则、安全体系的架构方面进行审计和评估,也包含对信息安全架构中具体的信息系统安全、管理流程安全和资产保护安全等具体方案或具体系统的审计和评估,还包括对整体策略和具体流程的执行方面的审计和评估。
第72条审计策略安全审计和评估必须坚持独立性原则,同时审计和评估过程应坚持客观、公正、真实和自主的原则,最终审计和评估的结果必须坚持认真落实、限期整改的原则。
审计和评估的发起和过程还要符合国家相关的法律、法规要求。
第73条审计机构安全审计和评估应受到独立的检查,这样的检查可以由内部审计部门、或第三方独立机构去执行。
执行审计和评估的机构必须具备审计和评估方面的技术和经验,还要具有国家相关法律、法规要求的资质。
第74条审计方式安全审计和评估可以根据审计机构的不同或审计资质的不同,采取自审、外审、内部评估或外部评估等多种方式。
升级会员 