1、信息安全風險管理辦法國都信業科技2017年10月刖吞本程序所規定的是國都信業科技企業的信息安全風險管理原則，在具 體實施過程中，各部門可結合本部門的實際情況，根據本程序的要求制定 相應的文件，以便指導本部門的實施操作。本制度自實施之日起，立即生效。本制度由國都信業科技企業信息管理部起草。本制度由國都信業科技企業信息管理部歸口管理1 目的為規國都信業科技企業（以下簡稱“本公司” ）信息安全風險管理體系，建 立、健全信息安全管理制度， 確定信息安全方針和目標， 全面覆蓋信息安全風險 點，對信息安全風險進行有效管理，并持續改進信息安全體系建設。2圍本制度適用于本公司信息管理部信息安全風險管理應用及活

2、動。3 術語和定義無。4 職責信息管理部作為本公司信息安全管理的主管部門，負責實施信息安全管理 體系必要的程序并維持其有效運行，制定信息安全相關策略、制度、規定，對 信息管理活動各環節進行安全監督和檢查，信息安全培訓、宣傳，信息安全事 件的響應、處理及報告等工作。信息安全管理人員負責全行信息安全策略的執行和推動。5 管理規定5.1 信息安全管理容信息安全管理容應覆蓋信息管理、 信息管理相關的所有風險點， 包括用戶管 理、身份驗證、身份管理、用戶管理、風險評估、信息資產管理、網絡安全、病 毒防護、敏感數據交換等容。5.2 信息管理崗位設置為保證本公司信息安全管理， 設置信息管理部崗位分工及職責時

3、， 應全面考 慮信息管理工作實際需要及責任劃分， 制定詳細的崗位分工及職責說明， 對信息 管理人員權限進行分級管理，信息管理關鍵崗位有設置 AB 角。應配備專職安全 管理員，關鍵區域或部位的安全管理員符合機要人員管理要求， 對涉密人員簽訂 了協議。5.3 信息安全人員管理5.3.1 人員雇傭安全管理信息管理人員的雇傭符合如下要求： 信息管理人員的專業知識和業務水平達到本公司要求； 詳細審核科技人員工作經歷，信息管理人員應無不良記錄； 針對正式信息管理人員、臨時聘用或合同制信息管理人員及顧問，采取 不同的管理措施。5.3.2 人員入職安全管理在員工工作職責說明書中除了要說明崗位的一般職責和規以外

4、， 還要加入與 此崗位相關的信息安全管理規， 具體容參看各個安全管理規中的適用圍部分。 人 員入職必須簽訂協議， 在人員的入職培訓容中應該包括信息安全管理規的相關容 解釋和技術培訓。5.3.3 人員安全培訓根據工作崗位對從業者的能力需求、 從業者本身的實際能力以及從業者所面 臨信息安全風險，確定培訓容。考慮不同層次的職責、能力、文化程度以及所面 臨的風險，信息安全主管部門應該根據培訓需求組織培訓， 制定培訓計劃， 培訓 計劃包括：培訓項目、主要容、主要負責人、培訓日程安排、培訓方式等，培訓 前要寫好培訓方案，并通知相關人員，培訓后要進行考核。5.3.4 人員安全考核人事部門對人員進行的定期考核

5、中應該包括安全管理規的相關容。5.3.5 人員離職安全管理本公司人員離職手續中應該包括如下安全相關的容：a) 收回所有的密碼，并確認密碼的正確性；b) 收回所有的物理安全設備，包括鑰匙和證件；c) 收回所有工作資料，包括紙介質和電子介質；d) 進行調離談話，申明其調離后的義務；e) 離職后應該立刻更改所有此離職人員曾掌握過的密碼或密鑰。對于本公司辭退人員， 必須在第一時間完成上述工作， 通知其辭退后， 所有 的工作交接容必須有專人陪同，需填寫工作交接單 ；對于辭退人員應該跟蹤 其工作動向，采取合理的手段阻止其就職于競爭對手組織，如協議中的條款。5.3.6 外部人員訪問安全管理外部人員訪問要遵守

6、本公司相關安全管理規定。 對需要訪問本公司的外部人 員發放通行證， 通行證應該針對訪問地點的安全敏感度設置不同的安全級別。 外 部人員訪問敏感地點應該有專人陪同。 對于需要長時間訪問的外部人員應該建立 檔案，檔案應與通行證對應。外來人員攜帶電腦要接入企業網， 必須征得信息管理部允許方可接入。 員工 有義務向外來人員說明網絡接入安全要求。5.4 信息資產風險評估信息管理安全制度建設與信息管理安全風險相結合， 信息管理安全制度全面 涵蓋了信息管理安全的風險點， 包括：安全管理策略、 制度、機房、軟件、硬件、 網絡、數據、文檔等方面，并針對信息資產進行了風險程度評估，生成了信息資 產風險評估文件。5

7、.5 信息管理制度密級管理應根據制度的密級要求程度，對制度進行密級分級管理。5.6 信息管理安全分級應根據信息管理的安全保護級別， 對信息管理進行安全等級劃分管理， 根據 安全保護等級對信息管理進行相應的管理措施。5.7 信息管理安全保護體系為更好的貫徹應用系統的安全保護體系， 建立了應用系統的分類及分級保護體系，根據系統類別及級別進行安全評估，制定不同的防措施，對應用系統按照重要程度實行等級保護。信息管理分級為了更好地規應用系統保護措施，根據信息管理安全等級保護實施指南 為本公司信息管理進行了分級。經過定級，并上報給公安部門共有一個三級系統, 七個二級系統。分級保護措施安全設計與實施在系統建

8、設之初，根據該系統的安全保護定級，按照信息管理安全總體方案 的要求，結合信息管理安全建設項目計劃，分期分步落實安全措施，如下圖1。MlHl洞總聶撞吃全烷肄力HE 磴必*晦董士說/口討閒 S -fM-n叱嚴口電懺 產甜擔卓左出it11 r世 FLM?# M ft 抖羽週璉把整相丘ifiiS tM 4E 臨杵1-亂卡總第厲! 直尸枯皿*；世卡皿帽埸計巾矚i*L圖1安全設計與實施流程圖上圖為安全設計與實施的流程圖。 對于系統的安全設計與實施流程，最重要 的三個階段為：安全方案詳細設計階段、技術措施實現階段和管理措施實現階段。對于安全保護等級為三級的信息管理，要求嚴格依據安全設計與實施流程， 保證各階

9、段的輸入和產出文件，保證系統的安全性。安全運行與維護5.741安全運行與維護階段工作流程安土計好霞汁案wh曾圣曲搏啊n一t要計円-T i'，訂! +變更Z秦夏更專1卑恨右安坐宰挿5WUlitraibl A雯土牡豪垃矗二）監曲對錄擁菱安上桃杏計皈帽書安士狀應卜斫摧告安全耳處冃.首穎衆 安f件眩報務圖2安全運行與維護階段工作流程運行管理控制運行維護職責對于信息安全保護等級為三級和二級的信息管理 ，信息管理部配備專門的人 員對其的運行進行維護。運行管理過程控制a）建立操作規程將操作過程或流程規化，并形成指導運行管理人員工作的操作規程，操作規程作為正式文件處理。b）操作過程記錄對運行管理人員按

10、照操作規程執行的操作過程形成相關的記錄文件，可以是日志文件，記錄操作的時間和人員、正常或異常等信息。5.7.4.3 變更管理配置通過信息管理管理平臺 , 對系統變更流程進行控制 , 包括: 變更容審核和審批對變更目的、容、影響、時間和地點以及人員權限進行審核，以確保變更合 理、科學的實施。按照機構建立的審批流程對變更方案進行審批。建立變更過程日志按照批準的變更方案實施變更， 對變更過程各類系統狀態、 各種操作活動等 建立操作記錄或日志。形成變更結果報告收集變更過程的各類相關文檔， 整理、分析和總結各類數據， 形成變更結果 報告，并歸檔保存。活動輸出：變更結果報告。對于二級或二級以上的系統 ,

11、應嚴格遵循變更管理過程控制規定 ,在信息管 理管理平臺中 , 遵循變更流程進行操作。5.7.4.4 運行狀態監控安全關鍵點分析對影響系統、業務安全性的關鍵要素進行分析，確定安全狀態監控的對象， 這些對象可能包括主機、服務器、存儲、防火墻、防病毒、核心路由器、核心交 換機、主要通信線路、 關鍵服務器或客戶端等系統圍的對象； 也可能包括安全標 準和法律法規等外部對象。形成監控對象列表根據確定的監控對象， 分析監控的必要性和可行性、 監控的開銷和成本等因 素，形成監控對象列表。活動輸出：監控對象列表。狀態分析對安全狀態信息進行分析， 及時發現險情、 隱患或安全事件， 并記錄這些安 全事件，分析其發展

12、趨勢。影響分析根據對安全狀況變化的分析， 分析這些變化對安全的影響， 通過判斷他們的 影響決定是否有必要作出響應 形成安全狀態分析報告根據安全狀態分析和影響分析的結果，形成安全狀態分析報告，上報安全事 件或提出變更需求。活動輸出：安全狀態分析報告。對于安全保護等級為三級的信息管理，需要對系統的運行狀態、容量使用情 況等嚴格進行實時監控。5.745安全事件處置安全事件調查和分析針對各類安全事件列表，調查本系統安全事件的類型、安全事件對業務的影 響圍和程度以及安全事件的敏感程度等信息，分析對安全事件進行響應恢復所需 要的時間。安全事件等級劃分根據以上調查和分析結果，根據信息安全事件造成的損失程度，

13、信息管理遭 到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權 益的危害程度等因素，確定事件等級，制定安全事件的報告程序。三級以上的信息管理，需嚴格遵循安全事件處理流程，即時調查解決問題并 進行上報。信息管理中止 信息管理中止流程二誼詡連山喪車詳缶弐城、噫存忖苣記錄乂嚴圖 3 信息管理中止流程5.7.5.2 信息轉移、暫存和清除識別要轉移、暫存和清除的信息資產 根據要終止的信息管理的信息資產清單， 識別重要信息資產、 所處的位置以 及當前狀態等，列出需轉移、暫存和清除的信息資產的清單。信息資產轉移、暫存和清除 根據信息資產的重要程度制定信息資產的轉移、暫存、清除的方法和過程

14、。 如果是涉密信息，應該按照國家相關部門的規定進行轉移、暫存和清除。處理過程記錄 記錄信息轉移、暫存和清除的過程，包括參與的人員，轉移、暫存和清除的 方式以及目前信息所處的位置等。5.7.5.3 設備遷移或廢棄軟硬件設備識別 根據要終止的信息管理的設備清單， 識別要被遷移或廢棄的硬件設備、 所處 的位置以及當前狀態等，列出需遷移、廢棄的設備的清單。制定硬件設備處理方案 根據規定和實際情況制定設備處理方案， 包括重用設備、 廢棄設備、 敏感信 息的清除方法等。處理方案審批 包括重用設備、 廢棄設備、敏感信息的清除方法等的設備處理方案應該經過 主管領導審查和批準。設備處理和記錄 根據設備處理方案對

15、設備進行處理， 如果是涉密信息的設備， 其處理過程應 符合國家相關部門的規定；記錄設備處理過程，包括參與的人員、處理的方式、 是否有殘余信息的檢查結果等。5.7.5.4 存儲介質的清除或銷毀識別要清除或銷毀的介質根據要終止的信息管理的存儲介質清單， 識別載有重要信息的存儲介質、 所 處的位置以及當前狀態等，列出需清除或銷毀的存儲介質清單。確定存儲介質處理方法和流程 根據存儲介質所承載信息的敏感程度確定對存儲介質的處理方式和處理流 程。存儲介質的處理包括數據清除和存儲介質銷毀等。 對于存儲涉密信息的介質 應按照國家相關部門的規定進行處理。處理方案審批 包括存儲介質的處理方式和處理流程等的處理方案

16、應該經過主管領導審查 和批準。存儲介質處理和記錄 根據存儲介質處理方案對存儲介質進行處理， 記錄處理過程， 包括參與的人 員、處理的方式、是否有殘余信息的檢查結果等。5.8 外包安全管理應加強對外包商、外包項目以及外包服務的安全管理。 進行外包商資質審查、 外包項目過程風險審計、 外包服務人員日常管理。 詳細管理制度及辦法可參考外 包管理制度。5.9 信息安全風險培訓及宣傳加強對全體員工的信息安全教育和培訓，定期執行信息安全風險教育培訓， 不斷增強員工的信息安全意識和能力。 培訓對象應包括但不限于： 研發部、 信息 管理部、業務部門、審計部等。采取加強對客戶的信息安全風險宣傳教育工作，宣傳方式

17、包括但不限于： 信息安全風險知識宣傳；業務辦理單客戶關注事項； 營業廳銀行相關知識宣傳教育。5.10 信息安全事件處理為盡可能小地影響用戶和用戶業務的情況下使 IT 系統盡快恢復，從而維持 良好的服務質量和可用性級別， 本公司制定了信息安全事件響應處理制度， 明確 安全事件處理流程。對信息安全事件的處理應滿足如下要求：信息管理安全事件報告制度和處理流程應清晰、明確和完善； 信息管理安全事件報告制度和處理流程應遵從信息管理安全制度； 信息管理安全事件應進行分級管理； 信息管理安全事件響應流程應定期進行演練； 審部門應對演練過程進行審計； 對演練中存在的問題應及時進行整改； 信息管理安全事件制度中應包括信息披露的相關要求，對披露對象和容 應進行明確的規定。5.11 信息安全審計外審計應全程貫穿信息安全活動， 包括信息安全管理制度的制定， 信息安全 管理制度執行情況，信息安全事件響應流程，信息安全風險披露等：