1、信息安全管理策略信息安全管理策略總則為滿足XX銀行（以下簡稱“我行”）信息安 全管理、信息安全保障和合規(guī)的需要，根據(jù) XX 銀行信息安全管理方針，特制訂本管理策略。 目的是指導我行通過各項管理制度與措施，識別 各方面的信息安全風險，并采取適當?shù)难a救措施， 使風險水平降低到可以接受的程度。安全制度管理策略2.1目的使信息安全管理的發(fā)展方向和相關工作能夠 滿足我行業(yè)務要求、國家法律和規(guī)定的要求。安 全制度管理應建立一套完善的、能夠滿足以上要 求的文檔體系，并定期更新，發(fā)布到我行信息安 全所有相關單位中。2.2策略一：建立和發(fā)布信息安全管理文檔體系策略目標：使相關單位人員了解到信息安全管理文檔的內

2、容，安全工作有據(jù)可依。策略內容：建立我行信息安全管理文檔體系，發(fā)布到相 關單位。策略描述：根據(jù)XX銀行信息安全管理方針中的方針、 原則和我行特點，制訂出一套文檔體系，包括信 息安全策略、制度和實施指南等，通過培訓、會 議、辦公系統(tǒng)或電子郵件等方式向相關單位發(fā)布。總體發(fā)布范圍包括與以上信息資產(chǎn)相關的我 行所有部門、我行下屬機構和關聯(lián)公司，以及與 我行有關的集成商、軟件開發(fā)商、產(chǎn)品提供商、 顧問、商業(yè)合作伙伴、臨時工作人員和其他等第 三方機構或人員。2.3策略二：更新安全制度策略目標:安全制度能夠適應我行信息安全管理因各方 面情況變化而產(chǎn)生的變化，在長期滿足要求。策略內容：定期和不定期審閱和更新安

3、全制度。策略描述:由相關團隊定期進行安全制度的檢查、 更新, 或在信息系統(tǒng)與相關環(huán)境發(fā)生顯著變化時進行檢 查、更新三. 信息安全組織管理策略3.1目的通過建立與組織相關的以下二個安全策略， 促進組織建立合理的信息安全管理組織結構與功 能，以協(xié)調、監(jiān)控安全目標的實現(xiàn)。與組織有關 的策略分內部組織和外部組織兩部分來描述。3.2策略一：在組織內建立信息安全管理架構策略目標:在組織內有效地管理信息安全策略內容:我行應建立專門的信息安全組織體系，以管 理信息安全事務，指導信息安全實踐。策略描述：通過建立信息安全管理組織，啟動和控制組 織范圍內的信息安全工作的實施，批準信息安全 方針、確定安全工作分工和相

4、應人員，以及協(xié)調 和評審整個組織安全的實施。根據(jù)需要，還可以建立與外部安全專家或組 織（包括相關權威人士）的聯(lián)系，以便跟蹤行業(yè) 趨勢、各類標準和評估方法；當處理信息安全事 故時，提供合適的聯(lián)系人和聯(lián)系方式，以快速及 時地對安全事件進行響應；鼓勵采用多學科方法 來解決信息安全問題。3.3策略二：管理外部組織對信息資產(chǎn)的訪問策略目標: 確保被外部組織訪問的信息資產(chǎn)得到了安全保護O策略內容:組織的信息處理設施和信息資產(chǎn)的安全不應 由于客戶、第三方的訪問或引入外部各方的產(chǎn)品 或服務而降低，任何外部各方對組織信息處理設 施的訪問、對信息資產(chǎn)的處理和通信，都應采取 有效的措施進行安全控制。策略說明：任何一

5、個組織都不避免與外界有業(yè)務往來與 信息溝通，經(jīng)常需要向外部用戶開放其信息和信 息處理設施，因此，需要對外部訪問者給組織信 息資產(chǎn)帶來的安全風險進行評估，根據(jù)風險水平 ，確定所需的控制。必要時，需要與外部組織與 個人簽訂協(xié)議，并向其聲明組織的信息安全方針 與策略。四. 資產(chǎn)管理策略4.1目的組織要有效地控制安全風險，首先要識別信 息資產(chǎn)，并進行科學而有效的分類，然后在各個 管理層面對資產(chǎn)落實責任，采用恰當?shù)目刂拼胧π畔①Y產(chǎn)進行風險管理，本章通過以下二個策 略實施對信息資產(chǎn)的有效管理4.2策略一：為信息資產(chǎn)建立問責制策略目標:對組織的信息資產(chǎn)建立責任，為實施適當保護奠定基礎策略內容:應當對所有信

6、息資產(chǎn)進行識別、建立資產(chǎn)清單和使用規(guī)則，明確定義信息資產(chǎn)責任人及其職 責，為信息資產(chǎn)建立問責制。策略說明：對于我行的所有資產(chǎn)要標識出責任人，通常 可定義出信息資產(chǎn)的所有者、管理者和使用者， 并明確不同責任主體的職責。對信息資產(chǎn)的安全 控制可以由信息資產(chǎn)所有者委派具體的管理者來 承擔，但所有者和使用者仍對資產(chǎn)承擔適當保護 的責任。4.3策略二：對信息資產(chǎn)進行分類策略目標:通過對信息資產(chǎn)的分類，明確其可以得到適 當程度的保護。策略內容：應按照信息資產(chǎn)的價值、法律要求及對我行 的敏感程度和關鍵程度進行分類和進行標識。策略描述：信息的分類及相關保護控制要考慮到共享或 限制信息的業(yè)務需求以及與這種需求相

7、關的業(yè)務 影響。確定資產(chǎn)的類別，進行必要的標識，對其 進行周期性評審，確保其與組織的內外環(huán)境的變 化相適應，這些都應是資產(chǎn)所有者的職責。我行的信息資產(chǎn)分類可以從機密性、完整性 、可用性等三方面進行評估，其保護級別也根據(jù) 這三個方面得出。五. 人員安全管理策略5.1目的本節(jié)通過建立四個具體策略，以明確組織內與 人員任用相關的安全控制，以便對人力資源進行 有效的安全管理，包括內部員工及與組織相關的 外部人員的任用前、任用中、任用后相關的安全 職責、行為規(guī)范。5.2策略一：人員任用前的管理策略目標：在對人員正式任用前，要明確新員工、合同 方人員和第三方與其崗位角色相匹配的安全責任 ，并進行相關背景調

8、查，以減少對信息資產(chǎn)非授 權使用和濫用的風險。策略內容：確保人員的安全職責已于任用前通過適當?shù)?協(xié)議及崗位說明書加以明確說明，并對新員工、 合同方的有關背景進行驗證檢查，對第三方的訪 問權限加以明確聲明和嚴格管理。策略說明：在新員工及其他外部人員正式進入組織前， 就明確其安全職責、強調安全責任、進行背景調 查，這在信息安全管理中具有重要的意義。通過 對所有應聘者、合同方人員進行必要篩選，對第 三方用戶加以限制，可以為組織的信息安全把好 第一道關。員工、合同方人員和信息處理設施的 第三方人員根據(jù)其安全角色和職責，要簽署相關 協(xié)議，以明確聲明其對信息安全的職責。我行的第三方人員主要有：借調或借用外

9、部 人員、軟件開發(fā)人員以及其他外部服務人員等。5.3策略二：人員任用中的管理策略目標：落實信息安全管理職責，確保我行的員工在 整個任用期內的行為都符合信息安全政策的要求O策略內容：應通過建立管理職責、必要的培訓和獎懲措 施，使所有的員工、合同方人員和第三方人員了 解工作中面臨的信息安全風險、相關責任和義務 ，并在日常工作中遵循組織的信息安全政策的要 求。策略說明：如果員工、合同方人員和第三方人員沒有意 識到他們工作中應當承擔的安全職責，他們可能 會有意或無意地對組織的信息安全造成破壞，因 此，需要在信息安全管理職責方面，對員工加以 有效的限制和必要的激勵，并持續(xù)進行信息安全 教育與培訓，可以減

10、少信息安全事故的發(fā)生。5.4策略三：任用的中止與變更策略目標：當任用關系中止或職責發(fā)生變化時，要建立 規(guī)范的程序，確保凍結或取消員工、合同方人員 和第三方人員所擁有的、與其目前職責不相符的 對我行信息資產(chǎn)的使用權。策略內容：從我行退出的員工、合同方人員和第三方人 員要歸還其所使用的設備，并刪除他們對我行信 息及信息系統(tǒng)的所有使用權；對于職責發(fā)生變化 的員工、合同方人員和第三方人員，按照“最小 授權”原則，要對其所擁有的信息資產(chǎn)訪問權做 相應的變更。策略說明：信息資產(chǎn)總是與特定的使用主體相關，當使 用主體的職責發(fā)生變化時，與其職責相關的訪問 權限應當及時做出相應變化。在實施此策略時，負責信息安全

11、的管理人員 需要與負責人力資源的管理人員要協(xié)作與溝通， 共同負責對員工及合同方人員的任用終止處理； 對于合同方的終止職責處理，要與合同方代表進 行協(xié)作，其他情況下的用戶可能由他們的來處理。當資產(chǎn)的訪問權和使用權發(fā)生變更及我行人 員及運行發(fā)生變化時，要及時通知各相關方。六. 物理與環(huán)境安全管理策略6.1目的本章的以下二個策略主要是保護我行的信息 、信息系統(tǒng)和基礎設施等免受非法的物理訪問、 自然災害和環(huán)境危害。6.2策略一：建立物理安全區(qū)域策略目標：防止對我行的工作場所和信息的非授權物 理訪問、損壞和干擾。策略內容：重要的或敏感的信息處理設施要放置在安全 區(qū)域內，建立適當?shù)陌踩琳虾腿肟诳刂疲谖?/p>

12、 理上避免非授權訪問、干擾；同時，需要建立必 要的措施防止自然災害和人為破壞造成的損失。策略說明：可以通過在我行邊界和信息處理設施周圍設 置一個或多個物理屏障來實現(xiàn)對安全區(qū)域的物理 保護；安全區(qū)域應由適合的入口控制所保護，以 確保只有授權的人員才允許訪問；為重要的工作 區(qū)域、公共訪問區(qū)、貨物交接區(qū)的安全工作建立 規(guī)范與指南。還應采取措施防止火災、洪水、地震、爆炸 、社會動蕩和其他形式的自然災難或人為災難帶 來的破壞。6.3策略二：保證設備安全策略目標：應保護設備免受物理的和環(huán)境的威脅。策略內容：防止設備的丟失、損壞、失竊或危及資產(chǎn)安 全以及造成我行活動的中斷。策略說明：對設備（包括離開我行使用

13、和財產(chǎn)移動）的 保護是減少未授權訪問信息的風險和防止丟失或 損壞所必需的，還應當考慮設備安放位置和報廢 處置方法的安全性。同時，還需要專門的控制用 來防止物理威脅以及保護支持性設施（例如電、 供水、排污、加熱/通風和空調），及考慮采取 措施保證電源布纜和通信布纜免受竊聽或損壞。七. 通信與運營管理策略7.1目的本章通過建立以下九個策略，確保我行對通信 和操作過程進行有效的安全管理，通過促進我行 建立信息處理設施的管理職責，開發(fā)適當?shù)牟僮?和事故處理程序，以降低非授權使用和濫用系統(tǒng) 的風險，總體目標是確保員工能正確、安全地操 作信息處理設施。7.2策略一：建立操作職責和程序策略目標: 確保正確、

14、安全的操作信息處理設施。策略內容：應當為所有的信息處理設施建立必要的管理 和操作的職責及程序。策略說明：與信息處理和通信設施相關的系統(tǒng)活動應具 備形成文件的程序，例如計算機啟動和關機程序 、備份、設備維護、介質處理、計算機機房、郵 件處置管理和物理安全等；對信息處理設施和系 統(tǒng)的變更應加以控制；應實施責任分割，以減少 疏忽或故意誤用系統(tǒng)的風險；為了減少意外變更 或未授權訪問運行軟件和業(yè)務數(shù)據(jù)的風險，應分 離開發(fā)、測試和運行設施。7.3策略二：管理第三方服務策略目標：在符合雙方商定的協(xié)議下，保證第三方在實 施服務過程中，保持信息安全和服務交付的適當 水平。策略內容：我行應檢查第三方服務協(xié)議的實施

15、，監(jiān)視協(xié) 議執(zhí)行的符合性，并管理服務變更，以確保交付 的服務滿足與第三方商定的所有要求。策略說明：第三方交付的服務應包括商定的安全計劃、 服務定義和服務管理各方面；我行應當定期監(jiān)督 、檢查和審核第三方提供的服務、報告和記錄， 對服務變更進行有效管理；我行還應當確保第三 方保持足夠的服務能力和可用性計劃，以確保商 定的服務在大的服務故障或災難后繼續(xù)得以保持7.4策略三：系統(tǒng)規(guī)劃和驗收策略目標：將系統(tǒng)失效的風險降至最小。策略內容：為確保足夠能力和資源的可用性，以提供所 需的系統(tǒng)性能，需要預先對系統(tǒng)進行規(guī)劃和準備 工作；應做出對于未來容量需求的預測，以減少 系統(tǒng)過載的風險；新系統(tǒng)的運行要求應在驗收和

16、 使用之前建立、形成文件并進行測試。策略說明：對于每一個新的和正在進行的信息處理活動 都應識別容量要求，確保在必要時及時改進系統(tǒng) 的可用性和效率。對系統(tǒng)未來容量的推測應考慮 新業(yè)務、系統(tǒng)要求以及我行信息當前處理能力及 未來發(fā)展的趨勢。管理人員要確保驗收新系統(tǒng)的要求和準則被 明確地定義，形成文件并經(jīng)過測試。新信息系統(tǒng) 升級和新版本只有在獲得正式驗收后，才能作為 產(chǎn)品。7.5策略四：防范惡意和移動代碼策略目標：保護軟件和信息的完整性。策略內容：我行應采取預防措施，以防范和檢測惡意代 碼和未授權的移動代碼引入到我行的信息處理設 施中來。策略說明：軟件和信息處理設施易感染惡意代碼（例如 計算機病毒、網(wǎng)

17、絡蠕蟲、特洛伊木馬和邏輯炸彈），要讓用戶了解惡意代碼的危險。管理人員要 實施適當?shù)目刂拼胧?，以防范、檢測并刪除惡意 代碼。7.6策略五：備份策略目標：保持信息和信息處理設施的完整性及可用性策略內容：應按照已設的備份策略，定期對我行的重要 信息和軟件進行備份，并定期進行恢復測試。 策略說明：應提供足夠的備份設施，以確保所有必要的 信息和軟件能在災難或介質故障后進行恢復。為 使備份和恢復過程更容易，備份可安排為自動進 行；各個系統(tǒng)的備份計劃應定期測試以確保他們 滿足業(yè)務連續(xù)性計劃的要求；對于重要的系統(tǒng)， 備份計劃應包括在發(fā)生災難時恢復整個系統(tǒng)所必 需的所有系統(tǒng)信息、應用和數(shù)據(jù)；應確定最重要 業(yè)務信

18、息的保存周期以及對要永久保存的檔案拷 貝的任何要求。7.7策略六：網(wǎng)絡安全管理策略目標：確保網(wǎng)絡中的信息和支持性基礎設施得到保 護。策略內容：應對我行的網(wǎng)絡講行充分的管理和控制，以 防范非法訪問網(wǎng)絡信息與非授權連接網(wǎng)絡服務， 保護信息與信息服務的安全。策略說明：加強網(wǎng)絡管理與控制，以防范威脅、保持使 用網(wǎng)絡的系統(tǒng)和應用程序的安全，包括信息傳輸 ；應識別所有網(wǎng)絡服務的安全特性、服務等級和 管理要求，并包含在網(wǎng)絡服務協(xié)議中，無論這種 服務是由內部提供的還是外包的。7.8策略七：對存儲介質的處理策略目標：防止由于對存儲介質管理不當，造成未授權 泄漏、修改、移動或損壞，并對業(yè)務活動造成不 利影響。策略

19、內容：我行應當對存儲介質的使用、移動、保管及 處置等操作進行有效管理。策略說明：存儲介質包括硬盤、磁帶、閃盤、可移動硬 件驅動器、CD DV和打印的介質。為使存儲介 質中的數(shù)據(jù)和系統(tǒng)文件免遭未授權泄露、修改和 破壞，應建立適當?shù)氖褂?、保存、刪除和銷毀的 操作策略和相關程序。7.9策略八：信息交換策略目標：保護在我行內及與外部團體進行信息和軟件 交換的安全。策略內容：我行內及我行與外部團隊的信息和軟件的交 換應當基于正式的交換策略，采取必要的安全控 制措施，按照交換協(xié)議執(zhí)行，同時還應服從任何 相關法律法規(guī)的要求。策略說明：如果在使用信息交換設施時缺乏安全意識、 必要的策略和安全控制措施，可能會造

20、成重要信 息的泄露；如果通信設施失靈、過載或中斷，則 可能中斷業(yè)務運行并損壞信息；如果上述通信設 施被未授權用戶所訪問，也可能損害信息。因此 ，要建立策略和程序，以保護信息交換過程中信 息和包含信息的物理介質的安全7.10策略九：系統(tǒng)監(jiān)測策略目標：檢測未經(jīng)授權的信息處理活動。策略內容：應對信息系統(tǒng)進行監(jiān)測，記錄信息安全事件 ，并使用操作員日志和故障日志以確保識別出信 息系統(tǒng)的問題。策略說明：應建立監(jiān)測信息處理系統(tǒng)使用的策略與程序 ，定期評審監(jiān)測活動的結果；通過系統(tǒng)操作日志 、錯誤日志記錄系統(tǒng)操作者的活動和系統(tǒng)出現(xiàn)錯 誤的情況，以監(jiān)測安全事件；我行的監(jiān)測和日志 記錄活動應遵守所有相關法律的要求，

21、并要防止 對日志的非授權變更和刪除。八. 訪問控制管理策略8.1目的訪問控制是對主體訪問客體的權限或能力的 一種限制，分為物理訪問控制邏輯訪問控制。物 理訪問控制在“物理與環(huán)境安全策略”一章中已 有涉及，在這里的訪問控制主要是指邏輯訪問控 制。在網(wǎng)絡廣泛互聯(lián)的今天，采用技術與管理手 段建立邏輯訪問控制己是保障信息安全的重要手 段，本章通過建立以下八個策略，以推動我行對 訪問控制的有效安全管理。8.2策略一：根據(jù)業(yè)務要求進行訪問控制策略目標：建立必要的規(guī)則，控制用戶對信息的訪問。策略內容：應在我行業(yè)務和安全要求的基礎上，控制對 信息、信息處理設施和業(yè)務過程的訪問。策略說明：我行需要將滿足業(yè)務需要

22、的訪問控制規(guī)則向 用戶和服務提供者明確地加以說明；我行應清晰 地敘述每個用戶或一組用戶的訪問控制規(guī)則和權 利，應當把邏輯訪問控制和物理訪問控制綜合起 來考慮；訪問控制規(guī)則應由正式的程序支持，并 清晰地定義職責和范圍。8.3策略二：用戶訪問管理策略目標：確保只有授權用戶才能訪問系統(tǒng)，預防對信 息系統(tǒng)的非授權訪問。策略內容：應建立正式的程序，來控制對信息系統(tǒng)和服 務的用戶訪問權的分配。策略說明：訪問控制程序應涵蓋用戶訪問生命周期內的 各個階段，從新用戶初始注冊、日常使用，到不 再需要訪問信息系統(tǒng)和服務時的用戶帳號的最終 撤銷；應特別注意對特權用戶的分配加以控制， 因為特權用戶可以修改或繞過系統(tǒng)的控

23、制措施。8.4策略三：用戶職責策略目標：防止未授權用戶對信息和信息處理設施的訪 問和其他危害的行為。策略內容：應使用戶認知其維護有效的訪問控制的職 責，特別是關于口令使用和無人值守的用戶設備 保護方面的職責。策略說明：已授權用戶的合作對實現(xiàn)有效的安全十分重 要，首先應要求用戶在選擇及使用口令和保護無 人值守的用戶設備方面，遵循良好的安全習慣； 實施桌面清空和屏幕清空策略以降低未授權訪問 或破壞紙、介質和信息處理設施的風險。8.5策略四：網(wǎng)絡訪問控制策略目標：防止對網(wǎng)絡服務的非授權訪問。策略內容：對內部和外部網(wǎng)絡服務的訪問均應加以控 制，以確保我行內部網(wǎng)絡與外部網(wǎng)絡之間的接口 進行有效的控制或隔

24、離；對網(wǎng)絡環(huán)境中用戶和設 備身份應用了合適的鑒別機制；用戶對我行信息 服務的訪問已根據(jù)控制規(guī)則和業(yè)務要求進行了限 制。策略說明：與網(wǎng)絡服務的未授權和不安全連接可以影響 整個組織。對于敏感或關鍵業(yè)務應用的網(wǎng)絡連接 或與高風險位置的用戶的網(wǎng)絡連接而言，采取嚴 格的控制措施就顯得特別重要?？刂拼笮途W(wǎng)絡的安全的有效方法是將該網(wǎng)絡 分成獨立的邏輯網(wǎng)絡域，將網(wǎng)絡隔離成若干域的 準則應基于風險評估和每個域內的不同訪問控制 策略和訪問要求，還要考慮到相關成本和加入適 合的網(wǎng)絡路由或網(wǎng)關技術的性能影響。由于無線網(wǎng)的邊界很難定義，非授權訪問的 風險較高，我行應特別加強對無線網(wǎng)的管理，需 要考慮限制使用無線網(wǎng)，或將

25、無線網(wǎng)與內部和專 用網(wǎng)絡進行隔離。8.6策略五：操作系統(tǒng)訪問控制策略目標：防止對操作系統(tǒng)的非授權訪問。策略內容：應啟用安全措施限制授權用戶對操作系統(tǒng)的 訪問，這些措施包括但不限于：按照已定義的訪 問控制策略鑒別授權用戶；記錄成功和失敗的系 統(tǒng)鑒別企圖；記錄專用系統(tǒng)特殊權限的使用；當 違反系統(tǒng)安全策略時發(fā)布警報；提供合適的身份 鑒別手段；必要時，限制用戶的連接次數(shù)。策略說明：一般而言，目前的各種操作系統(tǒng)都加強了訪 問控制的功能，我行應當盡量啟用操作系統(tǒng)提供 的訪問控制功能。只有當操作系統(tǒng)訪問控制功能 不能滿足業(yè)務需要時，才尋求專門訪問控制解決 方案。8.7策略六：應用系統(tǒng)和信息訪問控制策略目標：

26、防止對應用系統(tǒng)和信息的非授權訪問。策略內容：對應用軟件和信息的邏輯訪問只限于已授權 的用戶，應用系統(tǒng)的措施包括但不限于：按照定 義的訪問控制策略，控制用戶訪問信息和應用系 統(tǒng)功能；防止能夠越過系統(tǒng)控制或應用控制的任 何實用程序、操作系統(tǒng)軟件和惡意軟件進行未授 權訪問；不損壞共享信息資源的其他系統(tǒng)的安全;策略說明：應根據(jù)規(guī)定的訪問控制策略，限制用戶和支 持人員對信息和應用系統(tǒng)功能的訪問。對訪問的 限制應基于各個業(yè)務應用要求，訪問控制策略也 應與我行的訪問策略一致。對敏感應用系統(tǒng)，可 以考慮在獨立的計算環(huán)境中運行。8.8策略七：移動計算和遠程工作策略目標：在使用移動計算和遠程工作設施時，確保信 息

27、的安全。策略內容：當我行需要使用移動計算和遠程工作時，應 建立必要保護措施，以避免非保護的環(huán)境中的工 作風險。策略說明：當使用移動計算和通信設施時，例如，筆記 本電腦、掌上機、智能卡和移動電話，應特別小 心確保業(yè)務信息不被泄露。移動計算的保護措施 有物理保護、訪問控制、密碼技術、備份和病毒 預防的要求。對遠程工作場地的合適保護應到位, 以防止偷竊設備和信息、未授權泄露信息、未授 權遠程訪問我行內部系統(tǒng)或濫用設施等。九. 系統(tǒng)開發(fā)與維護管理策略9.1目的本章的六個安全策略旨在確定我行獲取、開 發(fā)、維護信息系統(tǒng)所應遵守的關鍵控制點。在信息系統(tǒng)獲取和開發(fā)過程中就需要加強對 信息安全的管理與控制，只有

28、集成在軟件開發(fā)過 程中的安全措施，才能真正起到預防與控制風險 的作用，而且在軟件開發(fā)生命周期中，越早引入 控制措施，將來運行與維護費用就越少。9.2策略一：確定信息系統(tǒng)的安全需求策略目標：確保將安全作為信息系統(tǒng)建設的重要組成部 分。策略內容：應用系統(tǒng)的所有安全需求都需要在項目需求 分析階段被確認，并且作為一個信息系統(tǒng)的總體 構架的重要組成部分，要得到對其合理性的證明、 并獲得用戶認可，同時要記錄在案。策略說明：信息系統(tǒng)安全包括基礎架構軟件、外購業(yè)務 應用軟件和用戶自主開發(fā)的軟件的安全，信息系 統(tǒng)的安全控制應該在系統(tǒng)開發(fā)設計階段予以實 現(xiàn)，要確保安全性已構成信息系統(tǒng)的一部分，我 行應該在信息系統(tǒng)

29、開發(fā)前，或在項目開始階段， 識別所有的安全要求，并作為系統(tǒng)設計不可缺少 的一部分，進行確認與調整。9.3策略二：在應用中建立安全措施策略目標：避免應用系統(tǒng)在運行過程中發(fā)生故障，并防 止在應用軟件系統(tǒng)中的用戶數(shù)據(jù)的丟失、改動或 者濫用。策略內容：應當把適當?shù)募夹g控制措施、查驗追蹤和活 動日志等控制手段設計到應用軟件系統(tǒng)中。這些 措施應當包括對輸入數(shù)據(jù)、內部處理和輸出數(shù)據(jù) 的檢驗。策略說明：要保證應用系統(tǒng)的安全，需要在軟件開發(fā)過 程中，集成適當?shù)陌踩刂萍夹g措施，而且要在 應用系統(tǒng)需求和應用系統(tǒng)設計中進行明確的表 達。信息安全管理人員或IT審計人員需要在需求 評審階段，著重檢查必要的輸入、處理和輸

30、出控 制措施是否集成在系統(tǒng)中。9.4策略三：實施密碼控制策略目標: 保護信息的保密性、完整性和有效性。策略內容：對于面臨非授權訪問威脅的信息，當其它管 理措施無法對其進行有效保護時，應當用密碼系 統(tǒng)和密碼技術進行保護。策略說明：為防止我行敏感信息的泄露，可以利用加密 技術對其進行處理后進行存儲與傳輸；為防止重 要信息被篡改或偽造，可以利用加密的辦法對信 息的完整性進行鑒別；在電子商務過程中，可以 通過加密技術的應用（如數(shù)字簽名）進行交易雙 方身份真實性認證，并防止抵賴行為的發(fā)生。9.5策略四：保護系統(tǒng)文件的安全策略目標：為確保IT項目和支持行為以安全的方式進行 ，應當控制對系統(tǒng)文件的訪問。策略

31、內容：應當維護系統(tǒng)文件中信息的完整性，這是應 用程序系統(tǒng)、用戶及開發(fā)人員的共同責任。策略說明：系統(tǒng)文件是一種全局文件，可視為所有用戶 程序所用的文件（另一種解釋是一種僅供操作系 統(tǒng)訪問的文件）。系統(tǒng)文件面臨的典型威脅是使 用錯誤的程序版本，從而導致數(shù)據(jù)的錯誤處理與 數(shù)據(jù)破壞，以及由于測試目的使用操作數(shù)據(jù)而導 致的信息泄露。因此要采取措施保護系統(tǒng)文件的 安全。9.6策略五：保證開發(fā)和支持過程的安全策略目標：維護應用程序系統(tǒng)中的軟件和信息的安全。策略內容：我行應當對項目和支持環(huán)境進行嚴格控制， 即對應用系統(tǒng)、操作系統(tǒng)及軟件包的更改及軟件 外包活動進行安全控制。策略說明：在應用系統(tǒng)的開發(fā)與維護過程中

32、，應用程序 的未授權修改、未進行評審的操作系統(tǒng)的更改、 未加限制的軟件包的更改等都會給我行的應用系 統(tǒng)帶來安全風險。所以要對應用軟件開發(fā)與支持 過程中的安全加以控制。9.7策略六：對技術脆弱性進行管理策略目標：減少由利用公開的技術脆弱點帶來的風險。 策略內容：應及時獲得我行所使用的信息系統(tǒng)的技術脆 弱點的信息，評估我行對此類技術脆弱點的保護 ，并采取適當?shù)拇胧?。策略說明：技術脆弱點管理應該以一種有效的、系統(tǒng)的 、可反復的方式連同可確保其有效性的措施來實 施。這些考慮應包括在用操作系統(tǒng)和任何其它的 應用。十.信息安全事故管理策略10.1目的安全事故就是能導致資產(chǎn)丟失與損害的任何 事件，為把信息安

33、全事件的損害降到最低的程度 ，追蹤并從事件中吸取教訓，我行應明確有關事 故、故障和薄弱點的部門，并根據(jù)安全事件與故 障的反應過程建立一個報告、反應、評價和懲戒 的機制。通過以下二個策略的建立，促進我行有效地 對信息安全事件進行管理。10.2策略一：報告信息安全事件和系統(tǒng)弱點策略目標：確保與信息系統(tǒng)有關的安全事件和系統(tǒng)弱點 能得到及時報告，以便采取必要的糾正措施。策略內容：我行應建立有正式的報告信息安全事件和系 統(tǒng)弱點的程序，并讓所有的員工、合同方人員和 第三方人員加以了解和執(zhí)行。策略說明：我行通過建立正式的信息安全事件報告程序， 在收到信息安全事件和系統(tǒng)弱點報告后，可立即 著手采取相應措施對安

34、全事件進行響應。報告程 序應建立報告信息安全事件的聯(lián)系點，使我行內 的每個人都知道這個聯(lián)系點，并確保該聯(lián)系點持 續(xù)可用，并能提供充分且及時的響應。10.3策略二：信息安全事件管理和改進策略目標：確保使用持續(xù)有效的方法管理信息安全事件。策略內容：一旦信息安全事件和弱點報告上來，應該立即 明確責任，按照規(guī)程進行有效處理；我行還應建 立能夠量化和監(jiān)控信息安全事件的類型、數(shù)量、 成本的機制。策略說明：應當應用一個連續(xù)性的改進過程，對信息安全 事件進行響應、監(jiān)視、評估和總體管理。從對信 息安全事件評估中獲取的信息，應該用來識別再 發(fā)生的事件和重大影響的事件。如果需要證據(jù)的 話，則應該搜集證據(jù)以滿足法律的要求。十一 .業(yè)務連續(xù)性管理策略11.1目的制定和實施一個完整的業(yè)務持續(xù)計劃應從理 解自身業(yè)務的開始，進行業(yè)務影響分析和風險評估，在此基礎上由管理高層形成本我行的業(yè)務持 續(xù)戰(zhàn)略方針，然后規(guī)劃業(yè)務持續(xù)計劃，進行計劃 的測試與實施，最后進行計劃的維護與更新，并 通過審計保證計劃不斷改進和完善。本策略的制定旨在促進我行建立業(yè)務連續(xù)性計劃 ，實現(xiàn)業(yè)務連續(xù)性管理。11.2策略一：建立業(yè)務連續(xù)性管理程序策略目標：保護我行的關鍵業(yè)務流程不會因信息系