篇一:银行业信息安全管理体系手册
信息科技部
信息安全管理体系手册
A版
2011年6月1日 发布 2011年6月1日 实施
目录
1 目的和适用范围 ........................................................................................................................... 3 2 引用标准....................................................................................................................................... 3 3 术语和定义................................................................................................................................... 3 4信息安全管理体系 ........................................................................................................................ 3 4.1 总要求 ....................................................................................................................................... 3 4.2建立和管理ISMS ....................................................................................................................... 4 4.2.1建立 ISMS ............................................................................................................................... 4 4.2.2 ISMS实施及运作..................................................................................................................... 8 4.2.3 ISMS的监督检查与评审 ......................................................................................................... 9 4.2.4 ISMS保持与改进................................................................................................................... 10 4.3.2 文件控制 .............................................................................................................................. 10 4.3.3 记录控制 .............................................................................................................................. 11 5 管理职责..................................................................................................................................... 11 5.1 管理承诺 ................................................................................................................................. 11 5.2 资源管理 ................................................................................................................................. 12 6.内部ISMS审核 ........................................................................................................................... 13 7 ISMS 管理评审 ............................................................................................................................ 14 7.1 总则 ......................................................................................................................................... 14 7.2 管理评审的输入 ...................................................................................................................... 14 7.3 管理评审的输出 ...................................................................................................................... 15 8 ISMS持续改进 ............................................................................................................................. 15 8.1 持续改进 ................................................................................................................................. 15 8.2 纠正措施 ................................................................................................................................. 15 8.3 预防措施 ................................................................................................................................. 16
1 目的和适用范围
目的
为建立、健全阜新银行信息科技部信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保信息科技部全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS有效性,特制定本手册。
范围
本手册适用于阜新银行信息科技部(信息科技部位于阜新银行第八层)安全管理活动。
2 引用标准
ISO/IEC 27001:2005 <信息技术——安全技术——信息安全管理体系——要求> ISO/IEC 27002:2005<信息技术——安全技术——信息安全管理实施细则>
3 术语和定义
3.1本手册中使用术语的定义采用ISO/IEC 27001:2005《信息技术——安全技术——信息安全管理体系——要求》中的定义 3.2 缩写
ISMS:Information Secutity Management Systems 信息安全管理体系。 SoA:Statement of Applicability 适用性说明 PDCA:Plan、DO、Check、Act
4 信息安全管理体系
4.1 总要求
阜新银行信息科技部根据ISO/IEC 27001:2005标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息
安全管理体系。ISMS所涉及的过程基于以下PDCA模式:
4.2建立和管理ISMS
检查
4.2.1建立 ISMS
4.2.1.1 ISMS的范围和周界
1) 阜新银行主要从事个人服务、企业服务、卡服务等,信息科技部为金融服务提供IT基础架构的支持服务,确保整体金融业务过程的有序开展; 2) 阜新银行总行信息科技部所有物理区域及人员;
4.2.1.2 根据业务、组织、位置、资产和技术等方面的特性,阜新银行信息科技部在确定ISMS方针时,应考虑以下方面的要求:
1)包括设定目标的框架和建立信息安全工作的总方向和原则。 2)考虑业务和法律法规的要求,及合同中的安全义务。
3)阜新银行信息科技部根据战略性风险管理环境下,建立和保持ISMS。 4)建立风险评估的准则。
5)信息安全方针设定完成后,应获得管理者的批准。
4.2.1.3 信息安全管理体系方针
增强科技风险意识,提升风险管理水平;
满足监管机构要求,持续履行社会责任。
为满足适用法律法规及相关方需求,使得生产和经营更有效的运行,使得客户信息保存传输更为安全,阜新银行信息科技部依据ISO/IEC27001:2005标准,建立信息安全管理体系,以保证阜新银行信息科技部及行内所有有关信息的保密性、完成性、可用性,实现业务可持续发展的目的。阜新银行信息科技部承诺:
1)阜新银行信息科技部建立并完善信息安全管理体系;
2)识别并满足适用法律法规和相关方信息安全要求,充分履行社会责任; 3)对ISMS进行测量、监视、评审活动,定期按照事先设定的风险评估准则,对阜新银行信息科技部进行风险评估、ISMS评审、采取纠正预防措施,保证体系的持续有效;
4)采用先进有效的设施和技术,处理、传递、存储和保护各类信息,实现信息共享;
5)对阜新银行信息科技部全体员工,进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
6)制定并保持完善的业务连续性计划,实现可持续发展。
上述方针由阜新银行信息科技部最高管理者发布,并定期评审其适用性、充分性,必要时予以修订。 4.2.1.4 风险评估的系统方法
阜新银行信息科技部建立信息安全风险评估控制程序并组织实施。风险评估
控制程序包括可接受风险准则和可接受水平,所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。具体的风险评估过程执行《信息安全风险评估控制程序》
篇二:银行卡信息安全
近来频频发生的客户银行卡被盗刷、客户身份外泄等事件令监管层十分关注。昨日,银监会发布《商业银行信息科技风险管理指引》(以下简称《指引》)。该《指引》特别强调,商业银行应严防客户信息外泄,同时应对有可能造成客户信息外泄的ATM机、POS机等终端用户设备进行全面的安全检查。
本次《指引》将替代2006年银监会曾下发的《银行业金融机构信息系统风险管理指引》。新《指引》的最大亮点是,银监会将监管目标直接锁定为商业银行。
《指引》强调,从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。对此,银监会相关负责人透露,对敏感信息保护要求的提出,特别是对外包服务环节信息保护的要求,将促使商业银行进一步加强客户信息保护,为广大储户提供更加安全的服务。
对于有可能直接导致银行客户信息外泄的终端设备,《指引》提出,商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
今年以来,很多地区出现了客户银行卡信息泄露、银行卡遭遇盗刷的情况。据报道,一些银行卡使用者虽然“卡不离身”,但卡内信息仍被不法之徒复制,从而造成客户资金损失。另有不少人士反映,自己在银行办理信用卡之后,常能收到各类推销电话,而银行作为客户敏感信息的第一接收者,很难撇清自身的权责。
此外,银监会也注意到银行内部的信息风险。《指引》强调,银行应设立首席信息官,对内部信息数据进行统筹管理;同时,银行内部用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,对于试图破解其他领域访问密码的内部用户,银行应对其进行及时调查;另外,商业银行应对所有员工违反安全规定的行为采取零容忍政策。
“在银行电子化、网络化和信息化进程提速的背景下,敏感数据泄露将给银行带来法律风险和声誉风险。”对此,中央财经大学中国银行业研究中心主任郭田勇表示。他认为,信息安全性对银行业来说愈发重要,加强对客户信息安全风险防控,以及首席信息官的设立更是及时、必要的。
荷兰银行在中国爆出2000万客户存款被盗,广发银行的业务员把客户的信息资料卖给深发展,电信运营商客户资料泄露引发今年3·15一场集体对山东移动的声讨??触目惊心的电信、金融和企业机密信息外泄事件,给企业安全拉响了警钟。
企业安全隐患已经从单纯的病毒入侵发展到针对企业数据和信息的攻击,“大约有80%的企
业其实都发生过数据泄露事件,而这些泄密事件中,绝大部分又都是内部泄密。”赛门铁克大中国区总裁吴锡源向记者介绍,几年前,病毒和黑客是企业安全的最大威胁,如今数据信息的丢失和被窃已成为企业面临的最大安全威胁。“从今年3·15之后,各地移动,商业银行都在积极上马防数据丢失系统,成了企业安全支出里增长比较快的。”
企业机密信息为何频频泄露?
个人电脑成“肉鸡”,可能你的私密信像陈冠希“艳照门”一样被传遍网络,或者像央视名嘴马斌那样因其不雅照被人用“狙击手控制软件”窃取并被敲诈??而企业的信息系统一旦成为“肉鸡”或者存在漏洞,其泄密带来的影响将更大,极有可能引发一场“大地震”,甚至让企业遭受灭顶之灾。
赛门铁克大中国区总裁吴锡源称,企业信息泄密主要分为两类:一种是客户资料泄密,另一种是企业核心资料泄密。企业核心资料(如生产、销售数据,技术专利等)则关系到企业的正常生产、经营,关系到企业的竞争力。此前,鸿海集团郭台铭控告比亚迪从鸿海挖墙脚,而跳槽者涉嫌将鸿海技术“拿”到了比亚迪,使得比亚迪在手机代工领域业务快速发展,对鸿海构成巨大威胁。而今年闹得沸沸扬扬的力拓“间谍门”事件中,就出现了中国钢铁企业的生产、经营数据被“胡士泰”们轻易拿到的现象,从而让中方在铁矿石谈判中处处陷于被动局面。
据相关数据,在国外发达市场,企业机密信息外泄,大概每一笔数据丢失对企业造成的影响会达到670万美金(包括直接损失和间接损失)。
防“内鬼”比“外鬼”重要得多
“现在企业安全防护的重心应该发生变化,来自病毒的危害给企业造成的损失是显性的,可以量化的,而数据泄密造成的损失则是无法估量的。‘80%的企业信息泄露事件都是由内部员工造成的,外部黑客攻击不超过20%.’”赛门铁克大中国区总裁吴锡源认为,保护企业核心机密,防“内鬼”要远远比防“外鬼”重要得多。
在广发行“泄密案”中,也是业务员把客户信息资料卖给深发展。证监会近段时间严打“老鼠仓”,也发现银行工作人员挪用客户资金到股市里赚一把,然后再把本金还回去的案例。“金融行业其实相比其他行业在信息安全的硬件建设上是最成熟的。像这类企业,更多是由于内部员工或者合作伙伴引起的数据丢失。”上海师范大学金融工程研究中心主任孙茂辉表示:“荷银此案的爆发,对整个银行业有一定的警示作用。目前,银行多专注于防控来自外部的风险,而内部的人员管理却流于形式。”
此外,由于企业对机密信息管理不善,也存在善意员工在不知情的情况下“泄密”。U盘、邮件、笔记本电脑、即时通讯工具都成为泄密的渠道。
CIO与“内鬼”较量升级
一些企业现有的安全防范措施,例如防火墙或入侵检测防御系统,主要是针对外部攻击,而对于来自内部的正常数据流都是完全放行的。这让企业花费大量心血的安全防范措施显得非常可笑,也让企业内部机密数据的丢失变得只要点击一下鼠标这么简单。如何防范“内鬼”
泄密,已经成为CIO最为头疼的难题之一。
一个案例生动地说明了“内鬼”外泄机密信息给企业带来的麻烦。25岁青年徐某遭银行解聘后不满银行所给的经济补偿,以将银行客户资料曝光相威胁欲敲诈800万元钱款。后来警方将徐某抓获,徐某被判处有期徒刑4年。徐某是被抓获了,但徐某被解雇时是如何轻易将银行客户资料带走的?显然是银行的信息安全防范措施不到位,也就是CIO的工作没到位。因该事件,该行CIO受到处分。
然而随着存储数据每年增长50%,想要保护所有的信息,需要付出大量的成本,而且效率极低。因此,企业需要保护的是关键信息,从源代码到用户信息及员工数据。关键在于平衡风险与机遇、在于保护数据,无论数据是在静态还是在动态之中。赛门铁克技术工程师李文纲指出,在进行安全管理前,企业首先需要回答几个简单却十分重要的问题:一是企业拥有哪些敏感信息?二是这些敏感信息存储在哪里?三是这些信息在网络和端点上是如何使用的?一旦深入了解信息如何被使用,企业便能够开始设置策略来降低风险。
吴锡源表示,企业机密信息外泄,一般都有征兆可循:首先是企业IT基础建设不到位,造成安全事故。其次就是公司本身没有一个很好的IT管理机制。第三,对这些机密信息没有做好保护,才会发生这些被盗、被偷,被植入木马。此外,这些机密信息没有好好地被管理。“抓住这些征兆,采取针对性措施,90%的信息安全事故都可以主动防范。”
视点
企业机密信息外泄四部曲
企业机密信息外泄,几乎都要经历四大步骤,就是入侵Incur-sion、探索发现Discovery、获取Capture和泄露Exfiltration.
第一步:入侵。通过木马、恶意软件等方式,侵入客户端系统。2007年到2008年,垃圾邮件增长了192%,因为很多垃圾邮件含木马程序、恶毒软件,用户不小心打开以后,基本上它就会进入到里面。2008年有75000个很活跃的僵尸或者是木马在网络间传播,说明犯罪分子的手段是先入侵,先入侵用户的电脑。
第二步:探索发现。就是到用户的系统里面“刺探军情”,对用户信息进行全面摸底。
第三步:获取。探索完了之后就是捕捉机密信息。2008年全球有两亿七千五百万的记录被盗,超过2004年到2007年的总和。相信2009年会更多。信用卡资料成重灾区,损失加起来超过6000亿美金。
第四步:泄露。盗取到机密信息后,想尽各种办法流出去,没有流出去的信息对窃密者来说是没有用的。
篇三:XX银行员工信息安全行为规范
XX银行科技开发部员工信息安全行为规范V1.0
第一章 总则
第一条 为提高总行科技开发部员工(包括行内员工、在我行工作的外部员
工)的信息安全意识,规范员工的行为,指导员工合理、安全地使用信息资产,防止有意或无意的破坏信息安全行为的发生,保护我行信息资产安全,制定本规范。
第二条 员工应主动了解本我行信息安全管理相关规定,积极参与我行组织
的信息安全培训,提升信息安全意识和技能,并严格遵守我行信息安全要求。
第二章 资产管理声明
第三条 禁止利用我行资产(包括我行配发的计算机、手机等个人终端设备)
处理个人事务,以避免我行在信息安全管理中触及个人隐私。
第四条 员工利用我行的资产所产生、处理和存储的一切信息,其所有权归
我行拥有。
第五条 我行出于对运营管理、安全管理和司法调查取证等需要,保留在任
何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。
第三章 工作环境安全要求
第六条 进入我行工作区域时,应规范佩戴我行认可的身份识别证件或按照
我行相关管理规定登记并获得许可后方可进入。
第七条 应遵守安全区域访问规定,进出非授权区域时,需按照我行相关规
定经相关责任人批准。
第八条 员工应安全保管身份识别证件,丢失后及时向发证部门报告,禁止
将身份识别证件借与他人使用;调离我行时,应主动交还我行配发的身份识别证件。
第九条 我行内调动或更换工作区域时应主动申请门禁权限变更。
第十条 若发现任何可疑人员进入我行或进行非授权活动,要立即制止,并
报告相关部门。
第十一条 启用门禁的区域进出时要防止人员尾随,进出后应及时关闭。
第四章 用户账号安全
第十二条 任何账号仅限申请账号时批准的所有者在授权范围内使用,严禁
使用账号访问未授权的资源,账号所有者承担使用该账号所产生的一切责任和后果。
第十三条 账号正式启用前,必须为账号添加密码或修改缺省密码,密码应
具有足够的安全强度;对于重要核心系统的密码,应加强密码复杂度和密码长度。
第十四条 具有足够强度密码设置要求如下:
(一) 口令最小长度:8位
(二) 口令字符组成复杂度:口令由数字、大小写字母及特殊字符,
且至少包含其中两种字符(动态口令除外);
(三) 口令历史:修改后的口令至少与前4次口令不同;
(四) 口令最大连续尝试次数:10次;口令错误次数超过最大连续尝试次数后,应具有限制用户登录的机制。
(五) 口令最长有效期限: 180 天,可根据系统重要性和用户权限采取不同的有效期;口令使用期限即将达到口令最长有效期限时,应具有提示用户修改口令的机制。
(六) 主机系统、网络设备、安全设备等超级用户口令最长有效期应为90天,其它用户口令最长有效期应符合本章口令基本要求。
第十五条 应安全保管或者随身携带实物密钥,如USBkey等,禁止随意放
置在桌面上。如发现实物密钥遗失或怀疑密码被窃取,应立即通知信息技术部门进行处理。
第十六条 应安全保管密码,如没有可靠的物理控制措施,不要将密码写在
纸上,或记录于电子文件中;禁止将密码在终端软件(如IE浏览器)上自动保存;禁止公开本人或他人的密码信息,不得猜测窃取他人账号密码。
第十七条 工作职责发生变动时,应主动申请帐号或者实物密钥权限的变更;
当不再需要某系统的访问权限时,应主动申请注销账号或者权限;对不能关闭的账号或者实物密钥,应及时移交给本部门指定责任人;在离职时,应主动移交全部账号和实物密钥。
第五章 信息设备使用
第十八条 终端计算机在配发时按照我行规范统一进行命名,使用人不得擅
自修改计算机名。
第十九条 所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等,
员工不得自行删除或修改。
第二十条 终端计算机应设定统一的屏幕保护程序,屏幕保护程序等待时间
设在10分钟以内。
第二十一条 自己使用的设备和系统应设置密码保护,如开机密码、登录密
码、屏幕保护密码。
第二十二条 离开座位时,应锁定或关闭计算机;应安全保管终端信息设备,
周末或者节假日期间禁止将便携信息设备放在桌面上。
第二十三条 原则上不要将我行配发的设备用于工作以外用途或接入办公
以外的环境,如因工作需要需与外部环境对接,再次接入办公环境时应先进行病毒的查杀。
第二十四条 未经授权不得使用移动介质,使用移动介质前,应进行病毒检
测,确认安全后方可使用。
第二十五条 使用公同终端后,应及时退出登录并关机或锁屏。
第二十六条 未经授权不得将终端设备、移动介质、实体信息和软件等带离
办公区。
第二十七条 未经授权任何人不得私自调换信息设备,禁止私自拆卸、维修
或者更换计算机硬件。
第二十八条 设备及存储介质提交维修、回收、报废前,应对设备上的重要
数据进行备份和安全销毁。
第二十九条 应保管好个人使用的信息设备,一旦丢失,应立即向本部门报
告,特别对于绑定用户账号的个人终端设备,还应立即报告信息技术部门,以及时锁定相应账号,以防止被冒用。
第六章 软件使用
第三十条 终端设备初装或重装操作系统,必须使用我行提供的操作系统,
不得随意使用其它操作系统安装包进行安装。
第三十一条 应使用我行许可的软件,禁止安装与工作无关的软件和盗版软
件,不要随意安装从互联网下载的软件,禁止私自更改、禁用、卸载我行要求使用的软件。
第三十二条 严禁使用黑客工具等影响或破坏我行信息安全的软件。 第三十三条 严禁擅自复制、传播和销售我行的计算机软件产品。
第三十四条 不得使用扫描软件、压力测试软件或自编软件对我行内网及系
统进行扫描、攻击测试和干扰。
第七章 计算机网络使用
第三十五条 禁止将未经许可的计算机设备接入我行网络。
《银行卡信息安全管理》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/show/151859.html
转载请保留,谢谢!
- 上一篇:合规检查整改报告
- 下一篇:水厂厂长工作总结