银行业信息安全管理体系手册

银行业信息安全管理体系手册内容摘要：

评估控制程序并组织实施。 风险评估控制程序包括可接受风险准则和可接受水平，所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。 具体的风险评估过程执行 《信息安全风险评估控制程序》 信息安全管理体系文件 ISMS01A NO NO 确定 ISMS 范围 资产识别与重要信息资产确定 威胁识别与评价 已有控制措施确认 薄弱点识别与评价 风险评估（测量） 是否接受 保持已有的控制措施 选择安全目标及控制措施 实 施 残余风险评审 是否接受 YES 信息安全管理体系文件 ISMS01A 风险识别 在已确定的 ISMS 范围内，对所有的信息资产 进行列表识别。 信息资产包括软件 \系统 、数据 \文档、硬件 \设施 、 人力资源及服务。 对每一项信息资 产，根据重要信息资产判断依据确定是否为重要信息资产，形成《重要信息资产清单》。 评估风险 1）针对每一项重要信息资产，参考《信息安全威胁列表》及以往的安全事故（事件）记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临的威胁； 2）针对每一项威胁，考虑现有的控制措施，参考《信息安全薄弱点列表》识别出被该威胁可能利用的薄弱点。 3）综合考虑以上 2 点，按照《威胁发生可能性等级表》中的判定准则对每一个威胁发生的可能性进行赋值； 4）根据《威胁影响程度判断准则》，判断一个威胁发生后可 能对信息资产在保密性（ C）、完整性（ I）和可用性（ A）方面的损害，进而对 信息科技部 业务造成的影响， 来给威胁影响赋值取 C、 I、 A 的最大值为威胁影响程度的赋值； 5） 风险大小计算考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合，根据《风险矩阵计算表》来得到风险等级； 6）对于信息安全风险，在考虑控制措施与费用平衡的原则下制定《风险接受准则》，按照该准则确定何种等级的风险为不可接受风险。 风险处理方法的识别与评价 阜新 银行 信息科技部 根据 风险评估的结果，形成《风险处理计划》，该计划应明 确风险处理责任 人 、方法及时间。 对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施； a) 采用适当的内部控制措施； b) 接受某些风险（不可能将所有风险降低为零）； c) 回避某些风险（如物理隔离） d) 转移某些风险（如将风险转移给保险者、供方、分包商）。 选择控制目标与控制措施 信息安全管理体系文件 ISMS01A a)信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结果，制定信息安全目标，将目标进行分解落实到责任人。 信息安全目标应获得信息安全 最高管理者 的批准。 b)控制目标及控制措施的选择原则来源于 ISO/IEC27001:2020 标准附录 A，具体控制措施可以参考 ISO27002:2020《信息技术 —— 安全技术 —— 信息安全管理实施细则》。 阜新 银行 信息科技部 根据信息安全管理的需要，可以选择标准之外的其他控制措施。 适用性声明 SoA 信息科技部 负责编制《信息安全按适用性声明》（ SoA）。 该声明包括以下方面的内容： a) 所选择控制目标与控制措施的概要描述； b) 当前已经实施的控制； c) 对 ISO/IEC27001:2020 附录 A 中未选用的控制目标及控制措施理由的说明。 该声明的详细内容见《信息安全适用性声明》 ISMS 实施及运作 为确保 ISMS 有效实施，对已识别的风险进行有效处理， 开展以下活动： 1）形成《风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级； 2）为实现已确定的安全目标、实施《风险处理计划》，明确各岗位的信息安全职责； 3）实施所选择的控制措施，以实现控制目标； 4） 进行信息安全培训，提高全员信息安全意识和能力； 5）对信息安全体系的运作进行管理； 6）对信息安全所需资源进行管理； 7）实施控制程序，对信息安全事故（或征兆）进行迅速反应。 信息安全组织机构 阜新 银行 信息科技部 明确人员职责（包括信息安全职责）并形成文件。 1） 信息科技部 组织 相关职能 人员，成立信息安全委员会，形成 阜新 银行 信息科技部 信息安全管理最高机构。 信息安全管理体系文件 ISMS01A 2） 各 ISMS 负责人员根据 阜新 银行 信息科技部 的职责明确，形成书面文件。 信息安全职责和权限 1） 阜新 银行 信息科技部 总经理为最高管理者，最高 管理 者指定： 苗志勇 为信息安全管理者代表 ，无论该成员在其他方面的职责如何，对信息安全负有以下职责： a)建立并实施信息安全管理体系必要的程序并维持其有效运行。 b)对信息安全管理体系的运行情况和必要的改善措施 向 信息安全管理委员会或 最高管理者 报告（总经理） c)针对体系运行期间保证定期的监视体系运行情况、评审体系的有效性、持续改进文件化的 ISMS。 d)管理者代表监督全体员工对信息安全体系文件 的执行状况。 检测安全事态、响应安全事件及其他控制措施 a)根据 SoA 中规定的安全目标、控制措施（包括安全运行的各种控制程序）要求实施信息安全控制措施。 b)迅速 检测过程运行结果中的错误 c)实施实时监控，对识别试图的和得逞的安全违规和事件进行果断处 理。 d)通过使用指标，帮助。