通常,银行信息安全方针包括信息安全定义、信息安全管理体系的范围、信息安全工作应遵循的基本原则、信息安全管理的目标和使命、信息安全管理体系实施、安全组织机构及职责、信息安全工作要求、信息安全方针维护等方面的内容。信息安全方针并没有一个统一的结构和内容,不同银行根据自身实际不同,其内容也有所差异。
以下是银行信息安全方针的一个示例。
某银行信息安全方针
经信息安全委员会审核通过,××××年××月××日通过
1.信息安全定义
信息是一种资产,就像其他重要的业务资产一样,对于组织的业务是不可或缺的,因此需要妥善保护。信息可以以多种方式存在,可以打印或书写在纸张上,以电子文档形式存储,通过邮寄或电子方式传播,以胶片形式显示或在交谈中表达出来。
信息安全就是要保护信息的保密性、完整性、可用性及其他属性,如真实性、可核查性、可靠性、防抵赖性。
2.信息安全管理体系的范围
信息安全管理体系通常适用于银行所有与软件开发、数据服务、信息技术基础设施及其他支持系统相关的业务活动。信息安全管理的范围是某银行信息技术部所负责管理和维护的,为关键业务流程提供信息技术支持相关资产。
3.信息安全工作应遵循的基本原则
(1)“分级保护”原则 应根据各业务系统的重要程度及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。
(2)“同步规划、同步建设、同步运行”原则 安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
(3)“内外并重”原则 安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。
(4)“整体规划,分步实施”原则 需要对银行信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
(5)“风险管理”原则 进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。
(6)“适度安全”原则 没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
(7)“三分技术、七分管理”原则 网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
4.信息安全管理的目标和使命
通过信息安全管理,旨在确保银行信息技术部所有的信息资产的机密性、完整性和可用性,以及信息技术部基础架构、信息系统的连续性和可用性。为银行的业务应用提供安全、稳定、连续的信息技术支撑。
1)保障业务正常和安全运行,保证业务连续性。
2)保护客户隐私,保护客户资料的机密性,维护客户的利益。
3)保护银行的商业机密和技术机密,维护银行的利益。
5.信息安全管理体系实施
银行信息技术部设立信息安全管理委员会来领导信息安全各项工作。
提高员工整体的信息安全意识,提高信息系统技术维护人员的安全技能水平和规范操作意识;所有员工都必须接受信息安全培训和教育,增强信息安全意识。
应该遵守各项法律法规要求,同时利用法律法规来保护银行信息技术部的利益。
应该选择适当的方法,识别并评估银行信息技术部面临的信息安全风险,并采取恰当措施予以处理。
建立有效的审核机制,加强对信息安全各项工作的监督与审核。
应该采取一套有效的安全事件管理机制,明确所有员工的安全责任,建立对已发生或可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。
6.安全组织机构及职责(www.xing528.com)
在信息安全方针中,可以对银行信息安全组织机构及职责进行简要描述,以对信息安全组织及人员安全管理部分进行指导。银行信息安全组织通常包括领导小组、工作小组、信息安全主管及安全员。
银行信息安全领导小组是由银行主管信息安全工作的高层领导主持,由银行信息安全主管与各部门主管组成的银行信息安全工作常设领导组织,是银行信息安全工作的最高决策机构和领导机构,全面负责银行信息安全各项工作。
银行信息安全工作小组是银行信息安全工作的执行机构,由银行信息安全主管担任组长,成员包括各部门安全管理员。
银行信息安全主管,由银行信息安全领导小组产生,具体负责信息安全管理的各项工作,并直接向信息安全领导小组汇报工作。
银行各部门安全管理员,由银行各部门产生,具体负责部门内部信息安全管理的各项工作,并直接向信息安全主管汇报工作。
7.信息安全工作要求
银行和各部门必须建立和完善信息安全管理规章制度和操作程序,规范和加强信息安全管理工作,所有员工必须遵守与其相关的信息安全规章制度。
加强内部人员的安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要和工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份,定期进行人员的安全审查。
所有员工都应签署保密协议,并接受信息安全教育培训,提高安全意识,及时报告网络与信息安全事件。
必须加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方银行和外包服务银行签署安全责任协议,明确其安全责任。
各部门必须加强信息资产管理,建立和维护信息资产清单,维护最新的网络拓扑图,建立信息资产责任制,对信息资产进行分类管理和贴标签。
加强机房和办公区域的安全管理,为设备的正常运行提供物理和环境安全保障。
建立日常维护操作规程和变更控制规程,规范日常运行维护操作,严格控制和审批任何变更行为。
加强项目建设的安全管理,配套安全系统必须与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全审批、安全验收管理。
加强防范恶意软件,所有终端及服务器必须安装防病毒系统,定期更新病毒特征代码,及时报告发现的病毒。
按照补丁跟进和发布、补丁获取、补丁测试、补丁加载、补丁验证、补丁归档这一流程进行补丁安全管理。
建立维护作业计划,严格执行维护作业计划,加强对设备、操作系统、数据库、应用系统的运行监控,编写日常运行维护报告。
部署网络层面和系统层面的访问控制、安全审计及安全监控技术措施,保障业务系统的安全运行。
增强主机系统的安全配置,定期进行安全评估和安全加固。
制定各业务系统的应急方案,定期更新、维护和测试,做好数据备份工作,确保数据的及时恢复,保证数据的安全。
加强用户账号和权限管理,按照最小特权原则为用户分配权限,避免出现共用账号的情况。
加强用户口令的管理,口令长度至少8位,并采用数字、字母和特殊字符的组合,定期修改用户口令。
加强应用系统的安全管理,包括软件开发安全管理、投产测试和上线安全管理、应用软件版本和配置管理,加强外包开发的业务系统软件的安全管理。
建立安全检查制度和安全处罚制度,对违反规章制度的部门和人员按照规定进行处罚。
8.信息安全方针维护
1)信息安全经理负责本方针的维护,并在方针执行期间提供支持。
2)各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。
3)信息安全方针必须强制执行。
4)本方针由银行信息安全管理委员会负责每年重新审订。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。