銀行業(yè)信息安全管理手冊

信息科技部

信息安全管理體系手冊

A版

目錄

1目的和合用范圍.................................................錯誤!未定義書簽。

2引用原則.......................................................錯誤!未定義書簽。

3術語和定義.....................................................錯誤!未定義書簽。

4信息安全管理體系...............................................錯誤!未定義書簽。

4.1總規(guī)定.......................................................錯誤!未定義書簽。

4.2建立和管理ISMS............................................................................................錯誤!未定義書簽。

建立ISMS................................................................................................................錯誤!未定義書簽。

4.2.2ISMS實行及運作............................................錯誤!未定義書簽。

4.2.3ISMS口勺監(jiān)督檢查與評審......................................錯誤!未定義書簽。

4.2.4ISMS保持與改善............................................錯誤!未定義書簽。

4.3.2文獻控制...................................................錯誤!未定義書簽。

4.3.3記錄控制...................................................錯誤!未定義書簽。

5管理職責.......................................................錯誤!未定義書簽。

5.1管理承諾....................................................錯誤!未定義書簽。

5.2資源管理.....................................................錯誤!未定義書簽。

6.內部ISMS審核................................................錯誤!未定義書簽。

7ISMS管理評審.................................................錯誤!未定義書簽。

7.1總則.........................................................錯誤!未定義書簽.

7.2管理評審的輸入...............................................錯誤!未定義書簽。

7.3管理評審的輸出...............................................錯誤!未定義書簽。

8ISMS持續(xù)改善錯誤!未定義書簽。

8.1持續(xù)改善錯誤!未定義書簽。

8.2糾正措施錯誤!未定義書簽。

8.3防止措施錯誤!未定義書簽。

修訂歷史記錄

版本日期修訂者修訂描述

1.0

1目的和合用范圍

目的

為建立、健全##銀行信息科技部信息安全管理體系（簡稱ISMS）,確定信息安

全方針和目H勺，對信息安全風險進行有效管理，保證信息科技部全體員工理解并

遵照執(zhí)行信息安全管理體系文獻、持續(xù)改善ISMS有效性，特制定本手冊。

范圍

本手冊合用于##銀行信息科技部（信息科技部位于##銀行第八層）安全管理

活動。

2引用原則

TSO/TEC27001:2023〈信息技術一一安全技術一一信息安全管理體系一一規(guī)定》

1S0/1EC27002:2023〈信息技術——安全技術——信息安全管理實行細則》

3術語和定義

3.1本手冊中使用術語的定義采用ISO/IEC27001：2023《信息技術——安全技

術一一信息安全管理體系一一規(guī)定》中的I定義

3.2縮寫

ISMS:InformationSecutityManagementSystems信息安全管理體系。

SoA：StatementofApplicability合用性闡明

PDCA:Plan、D0^Chock、Act

4信息安全管理體系

4.1總規(guī)定

##銀行信息科技部根據(jù)ISO/IEC27001:2023原則在整體業(yè)務活動和所面

臨風險的環(huán)境下建立、實行、運行、監(jiān)視、評審、保持和改善文獻化H勺信息

安全管理體系。ISMS所波及的過程基于如下PDCA模式：

有關方有關方

4.2建立和管理ISMS

建立ISMS

.1ISMSH勺范圍和周界

1）祥#銀行重要從事個人服務、企業(yè)服務、卡服務等，信息科技部為金融服

務提供IT基礎架構II勺支持服務，保證整體金融業(yè)務過程的有序開展；

2）##銀行總行信息科技部所有物理區(qū)域及人員；

.2根據(jù)業(yè)務、組織、位置、資產和技術等方面叫特性，#祥銀行信息科技部在

確定ISMS方針時，應考慮如下方面的規(guī)定：

1）包括設定目的的框架和建立信息安全工作口勺總方向和原則。

2）考慮業(yè)務和法律法規(guī)的規(guī)定，及協(xié)議中H勺安全義務。

3）##銀行信息科技部根據(jù)戰(zhàn)略性風險管理環(huán)境下，建立和保持ISMS。

4）建立風險評估的準則。

5）信息安全方針設定完畢后，應獲得管理者的同意。

.3信息安全管理體系方針

增強科技風險意識，提高風險管理水平;

滿足監(jiān)管機構規(guī)定，持續(xù)履行社會責任。

為滿足適使用方法律法規(guī)及有關方需求，使得生產和經營更有效的運行，使

得客戶信息保苗傳播更為安全，##銀行信息科技部根據(jù)IS0/IEC27001:2023

原則，建立信息安全管理體系，以保證##銀行信息科技部及行內所有有關信息

的保密性、完畢性、可用性，實現(xiàn)業(yè)務可持續(xù)發(fā)展口勺目的。井井銀行信息科技部

承諾：

1）##銀行信息科技部建立并完善信息安全管理體系；

2）識別并滿足適使用方法律法規(guī)和有關方信息安全規(guī)定，充足履行社會責

任；

3）對ISMS進行測量、監(jiān)視、評審活動，定期按照事先設定口勺風險評估準則，

對##銀行信息科技部進夕亍風險評估、ISMS評審、采用糾正防止措施，保證體

系的持續(xù)有效；

4）采用先進有效日勺設施和技術，處理、傳遞、存儲和保護各類信息，實現(xiàn)

信息共享；

5）對##銀行信息科技部全體員工，進行持續(xù)口勺信息安全教育和培訓，不

停增強員工H勺信息安全意識和能力；

6）制定并保持完善的業(yè)務持續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。

上述方針由#祥銀行信息科技部最高管理者公布，并定期評審其合用性、充

足性，必要時予以修訂。

.4風險評估的系統(tǒng)措施

##銀行信息科技部建立信息安全風險評估控制程序并組織實行。風險評估

控制程序包括可接受風險準則和可接受水平，所選擇的評估措施應保證風險評估

能產生可比較附和可反復II勺成果。詳細H勺風險評估過程執(zhí)行《信息安全風險評估

控制程序》

.5風險識別

在已確定的ISMS范圍內，對所有的信息資產進行列表識別。信息資產包括

軟件、系統(tǒng)、數(shù)據(jù)'文檔、硬件'設施、人力資源及服務。對每一項信息資產，根

據(jù)重要信息資產判斷根據(jù)確定與否為重要信息資產，形成《重要信息資產清單》。

.6評估風險

1）針對每一項重要信息資產，參照《信息安全威脅列表》及以往的I安全事

故（事件）記錄、信息資產所處的環(huán)境等原因，識別出所有重要信息資產所面臨

的）威脅；

2）針對每一項威脅，考慮既有的控制措施，參照《信息安全微弱點列表》

識別出被該威脅也許運用H勺微弱點。

3）綜合考慮以上2點，按照《威脅發(fā)生也許性等級表》中口勺鑒定準則對每

一種威脅發(fā)生H勺也許性進行賦值；

4）根據(jù)《威脅影響程度判斷準則》，判斷一種威脅發(fā)生后也許對信息資產在

保密性（C）、完整性（I）和可用性（A）方面的損害，進而對信息科技部業(yè)務導

致的影響，來給威脅影響賦值取C、I、A的最大值為威脅影響程度H勺賦值；

5）風險大小計算考慮威脅產生安全故障的也許性及其所導致影響程度兩者

的結合，根據(jù)《風險矩陣計算表》來得到風險等級；

6）對于信息安全風險，在考慮控制措施與費用平衡的原則下制定《風險接

受準則》，按照該準則確定何種等級的風險為不可接受風險。

.7風險處理措施H勺識別與評價

盧井銀行信息科技部根據(jù)風險評估門勺成果，形成《風險處理計劃》，該計劃

應明確風險處理負責人、措施及時間。

對于信息安全風險，應考慮控制措施與費用的平衡原則，選用如下合適的措

施；

a）采用合適的內部控制措施；

b）接受某些風險（小也許將所有風險減少為零）；

c）回避某些風險（如物理隔離）

d）轉移某些風險（如將風險轉移給保險者、供方、分包商）。

.8選擇控制U口勺與控制措施

a）信息安全管理委員會根據(jù)信息安全方針、業(yè)務發(fā)展規(guī)定及風險評估的成

果，制定信息安全目的，將目口勺進行分解貫徹到負責人。信息安全目口勺應獲得信

息安全最高管理者口勺同意。

b）控制目的及控制措施的選擇原則來源于ISO/IEC27001:2023原則附錄A,

詳細控制措施可以參照18027002:2023《信息技術一一安全技術一一信息安全管

理實行細則》。首甘銀行信息科技部根據(jù)信息安全管理的需要，可以選擇原則之

外的其他控制措施。

.9合用性申明SoA

信息科技部負責編制《信息安全按合用性申明》（SoA）o該申明包括如下方

面的內容：

a）所選擇控制月的J與控制措施H勺概要描述；

b）目前已經實行的控制；

c）對IS0/IEC27001:2023附錄A中未選用的控制目的及控制措施理由口勺闡

明。該申明的I詳細內容見《信息安全合用性申明》

ISMS實行及運作

.1為保證ISMS有效實行，對己識別的風險進行有效處理，開展如下活動：

1）形成《風險處理計劃》，以確定合適口勺管理措施、職責及安全控制措施的

優(yōu)先級；

2）為實現(xiàn)已確定H勺安全目的、實行《風險處理計戈J》，明確各崗位H勺信息安

全職責；

3）實行所選擇的控制措施，以實現(xiàn)控制目H勺；

4）進行信息安全培訓，提高全員信息安全意識和能力；

5）對信息安全體系的運作進行管理；

6）對信息安全所需資源進行管理；

7）實行控制程序，對信息安全事故（或征兆）進行迅速反應。

.2信息安全組織機構

##銀行信息科技部明確人員職責（包括信息安全職責）并形成文獻。

1）信息科技部組織有關職能人員，成立信息安全委員會，形成##銀行信

息科技部信息安全管理最高機構。

2）各ISMS負責人員根據(jù)##銀行信息科技部的職責明確，形成書面文獻。

.3信息安全職責和權限

1）##銀行信息科技部總經理為最高管理者，最高管理者指定：苗志勇為

信息安全管理者代表，無論該組員在其他方面的職責怎樣，對信息安全負有如下

職責：

a）建立弁實行信息安全管理體系必要H勺程序并維持其有效運行。

b）對信息安全管理體系的運行狀況和必要的改善拮施向信息安全管理委員

會或最高管理者匯報（總經理）

c）針對體系運行期間保證定期的監(jiān)視體系運行狀況、評審體系的有效性、持

續(xù)改善文獻化口勺ISMSo

d）管理者代表監(jiān)督全體員工對信息安全體系文獻H勺執(zhí)行狀況。

.4檢測安全事態(tài)、響應安全事件及其他控制措施

a）根據(jù)SoA中規(guī)定的安全目H勺、控制措施（包括安全運行的多種控制程序）

規(guī)定實行信息安全控制措施。

b）迅速檢測過程運行成果中日勺錯誤

c）實行實時監(jiān)控，對識別試圖的和得逞H勺安全違規(guī)和事件進行堅決處理。

d）通過使用指標，協(xié)助檢查安全事態(tài)并防止安全事件。

。）確定處理安全違規(guī)的措施與否有效。

ISMS的監(jiān)督檢查與評審

.1##銀行信息科技部通過實行定期的安全檢查、內部審核、定期的技術審查

等控制措施并匯報成果以實現(xiàn)：

a）及時發(fā)現(xiàn)信息安全體系的事故和隱患；

b）定期檢查信息處理設施，及時理解信息處理系統(tǒng)遭受的各類襲擊；

c）使管理者掌握信息安全活動與否有效，并根據(jù)優(yōu)先級別確定所要采用的措

施；

d）對于歷史事件進行記錄并留存檔案，枳累信息安全事態(tài)事故等方面的經

驗，總結信息安全事態(tài)事件出現(xiàn)口勺征兆，防患于未然。

.2根據(jù)以上活動的成果以及來自有關方於J提議和反饋，由最高管理者主持，定

期（每年至少一次）對ISMS的有效性進行評審，其中包括信息安全范圍、方針公

目的及控制措施有效性口勺評審。管理評審的詳細規(guī)定，見本手冊第七章。

.3信息科技部應組織有關區(qū)域負責人按照《信息安全風險評估管理程序》的規(guī)

定對風險處理后的殘存風險進行定期評審，以驗證殘存風險與否到達可接受口勺水

平，對如下方面變更狀況應及時進行風險評估：

a）組織機構發(fā)生重大變更；

b）信息處理技術發(fā)生重大變更；

c）##銀行信息科技部業(yè)務目口勺及流程發(fā)生重大變更；

d）發(fā)現(xiàn)信息資產面臨重大威脅，；

e）外部環(huán)境，如法律法規(guī)或信息安全原則發(fā)生重大變更。

.4保持上述活動和措施的記錄

以上活動的詳細程序規(guī)定于如下文獻中：

《記錄控制程序》《信息安全風險評估控制程序》《內部審核控制程序》《部

門職位闡明書》

ISMS保持與改善

##銀行信息科技部開展如下活動，以保證ISMS的持續(xù)改善：

a）實行每年管理評審、內部審核、安全檢查等活動以確定需改的J項目；

b）按照《內部審核控制程序》、《糾正防止措施程序》《防止措施控制程序》

的規(guī)定采用合適的糾正和防止措施；吸取其他商業(yè)銀行及外資企業(yè)安全

事故的經驗

c）對信息安全目的及分解進行管理，保證改善到達預期效果；（信息安全目

H勺及指標的分解）

d）為保證信息安全管理體系持續(xù)有效，各區(qū)域負責人及內審小組通過合適

口勺手段保持在##銀行信息科技部內部對信息安全措施口勺執(zhí)行狀況與成

果進行有效溝通。包括獲取外部信息安全專家內提議、電信運行商等組

織的聯(lián)絡及識別信息安全規(guī)定等。如：管理評審會議、內部審核匯報、

信息科技部內文獻體系、內部網絡和郵件系統(tǒng)、法律法規(guī)評估匯報等。

e）以上詳細程序規(guī)定于如下文獻中：

《法律法規(guī)獲取和識別控制程序》

注：上述活動輸出：會議記要和匯報

文獻控制

##銀行信息科技部制定信息安全管理體系所規(guī)定文獻的管理程序，保證信

息安全管理體系文獻得到如下所需的控制：

a）文獻口勺作成、發(fā)行、修訂、廢棄等事項得到對應授權的查閱、同意，保

證文獻是合適的、可行的:

b）文獻H勺標識和修訂狀態(tài)清晰、易于識別，保證使用H勺文書是目前H勺有效

版本；

c）為了文書的有效性，要定期確認記載內容與否過時，根據(jù)需要決定保持

或修改并再次得到對應的同意；

d）保證信息安全B、J外部原則、對應法律、法規(guī)得到明確的標識和管理：

e）以上規(guī)定的詳細內容見：

《文獻控制程序》

《法律法規(guī)獲取和識別控制程序》

記錄控制

.1信息安全管理體系所規(guī)定的記錄是體系符合原則規(guī)定和有效運行的證據(jù)。#

#銀行信息科技部負責制定并維持易讀、易識別、可以便檢索乂考慮法律、法規(guī)

規(guī)定的記錄管理規(guī)定。該規(guī)定應指定記錄的標識、存儲、保護、檢索、保管、廢

棄等事項。

.2信息安全體系口勺記錄包括4.2中所列出口勺所有過程時成果及與ISMS有關的安

全事故。##銀行信息科技部應根據(jù)記錄管理規(guī)定的規(guī)定采用合適||勺方式妥善保

管信息安全體系中所規(guī)定的記錄。

.3該程序詳細規(guī)定見《記錄控制程序》

5管理職責

5.1管理承諾

信息安全最高管理者為保證建立、維持并持續(xù)改善信息安全管理體系特做出

如下承諾：

a）制定信息安全方針；

b）保證信息安全目的和計劃得以制定：

c）建立信息安全的角色和職責；

d）通過合適的溝通方式，向全體員工傳達滿足信息安全目的、符合信息安

全方針以及法律、法規(guī)規(guī)定和持續(xù)改善口勺重要性；

e）提供合適的I資源以滿足信息安全管理體系H勺需求；

f）決定接受風險的準則，對可接受風險U勺水平進行決策；

g）確定信息安全內部審核的執(zhí)行；

h）實行信息安全的I管理評審；

5.2資源管理

資源提供

##銀行信息科技部應確定并提供所需H勺資源，以滿足如下需求:

a）建立、實行、運行、監(jiān)視、評審、保持和改善ISMS（信息安全管理體系）

b）保證信息安全管理程序支持業(yè)務流程H勺規(guī)定；

c）識別和滿足法律法規(guī)規(guī)定、以及協(xié)議中日勺安全義務；

d）切實實行已經有的控制措施，保持合適H勺安全

e）必要時，進行評審，并對評審成果做出合適的反應；

f）在需要時，改善信息安全體系H勺有效性。

培訓、意識和能力

##銀行應定期對信息科技部員工H勺能力進行培訓、意識及能力H勺提高，保

證所有分派有ISMS職責口勺人員具有執(zhí)行所規(guī)定任務口勺能力，提高方式應具有如

下幾點：

a）確定從事ISMS工作人員的崗位職責及所必要H勺能力

b）提供培訓或采用其他措施（如聘任有能力口勺人員）以滿足這些需求

c）評價所采用的措施的有效性

d）保持教育、培訓、技能、經歷和資格的記錄（記錄應建立并加以保持，

以提供符合ISMS規(guī)定和有效運行H勺證據(jù)）

##銀行信息科技部也要保證所有有關人員意識到其信息安全活動的合適

性和重要性，以及怎樣達為到ISMS目的做出奉獻。

6.內部ISMS審核

##銀行信息科技部應按照計劃的時間間隔進行內部審核，管理者代表負責

制定內審計劃并組織實行，以鑒定TSMS規(guī)定的安全目的、控制措施、過程和程

序與否：

a）符合IS0/IEC27001:2023原則和有關法律法規(guī)規(guī)定；

b）符合已識別的信息安全規(guī)定；

c）有效實行和保持；

d）完畢預期的目的。

6.1內部審核程序

信息安全管理者代表制定信息安全管理體系年度審核計劃，該計劃應覆蓋整個

ISMS體系并得到信息安全管理體系最高管理者的同意（井井銀行信息科技部總

經理）

內部審核以本手冊、對應的規(guī)程、作業(yè)指導書為基準。選定的內審員應是理解

行內'業(yè)務流程、熟悉安全體系原則并通過培訓獲得信息安全內審員資格日勺本部員

工。內審員資格需獲得信息安全管理者代表的同意。

進行內審時，管理者代表要有計劃的進行如下的事項：

a）審核員aJ選定和教育及培訓；

b）制定審核計劃，指定審核員（審核員應與被審查對象無直接責任關系）；

c）準備必要的I有關文獻。

審核中發(fā)現(xiàn)的不符合事項，要向責任區(qū)域負責人匯報，由責任區(qū)域負責人明確

糾正措施的實行計劃。

要對該糾正措施口勺實行計劃，進行合適的I跟蹤，確認與否有效實行。

以上的工作完畢后，須經管理者代表確認后，審核流程方可關閉。

假如發(fā)現(xiàn)信息安全重大不符合或征兆時，或者管理者弋表判斷必要時，可調整

年度審核計劃。

對審核的成果進行合適H勺匯總整頓，作為管理評審的輸入材料。

6.2內部審核需保留如下記錄

a）被審查對象范圍

b）審核日期

c）審核員

d）被審核方

e）根據(jù)的文獻

f）詳細審核事項及其審查成果

g）不符合內容和程度（嚴重或輕微及觀測事項）

h）不符合事項的糾正措施和實行期限

i）糾正措施的實行狀況及其效果，其他必要事項、審核結束確實鑿證據(jù)

以上程序詳見《內部審核控制程序》

7ISMS管理評審

7.1總則

信息安全最高管理者為確認信息安全管理體系的合適性、充足性和有效性,

每六個月對信息安全管理體系進行一次評審。該管理評審應包括對信息安全管理

體系與否需改善或變更H勺評價。管理評審H勺成果應形成書面記錄，該記錄按時規(guī)

定進行保留。

7.2管理評審的輸入

在管理評審時，管理者代表應組織有關人員提供如卜.資料，供最高管理者和

信息安全委員會進行評審：

a）ISMS體系內、外部審核的成果;

b）有關方的反饋（投訴、埋怨、提議）；

c）可以用來改善ISMS業(yè)績和有效性口勺新技術、產品或程序；

d）信息安全Fl的到達狀況，糾正和防止措施口勺實行狀況；

e）信息安全事故或征兆，以往風險評估時未充足考慮到的微弱點或威脅；