欢迎来到天天文库
浏览记录
ID:29337110
大小:131.50 KB
页数:16页
时间:2018-12-18
《银行业信息安全管理体系手册》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、信息安全管理体系文件ISMS-01-A信息科技部信息安全管理体系手册A版信息安全管理体系文件ISMS-01-A目录1目的和适用范围32引用标准33术语和定义34信息安全管理体系34.1总要求34.2建立和管理ISMS44.2.1建立ISMS44.2.2ISMS实施及运作84.2.3ISMS的监督检查与评审94.2.4ISMS保持与改进104.3.2文件控制104.3.3记录控制115管理职责115.1管理承诺115.2资源管理126.内部ISMS审核127ISMS管理评审147.1总则147.2管理评审的输入147.3管理评审的输出148ISMS持续改进158.1持续改进15
2、8.2纠正措施158.3预防措施15修订历史记录版本日期修订者修订描述1.0信息安全管理体系文件ISMS-01-A1目的和适用范围目的为建立、健全##银行信息科技部信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保信息科技部全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS有效性,特制定本手册。范围本手册适用于##银行信息科技部(信息科技部位于##银行第八层)安全管理活动。2引用标准ISO/IEC27001:2005<信息技术——安全技术——信息安全管理体系——要求>ISO/IEC27002:2005<信息技术——安全技术——
3、信息安全管理实施细则>3术语和定义3.1本手册中使用术语的定义采用ISO/IEC27001:2005《信息技术——安全技术——信息安全管理体系——要求》中的定义3.2缩写ISMS:InformationSecutityManagementSystems信息安全管理体系。SoA:StatementofApplicability适用性说明PDCA:Plan、DO、Check、Act4信息安全管理体系4.1总要求##银行信息科技部根据ISO/IEC27001:2005标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。ISMS所涉
4、及的过程基于以下PDCA模式:信息安全管理体系文件ISMS-01-A建立ISMS保持和改进ISMS实施和运作ISMS监控&评审ISMS相关方已被管理的信息安全相关方信息安全要求&期望、法律法规策划(D)措施实施检查4.2建立和管理ISMS4.2.1建立ISMS4.2.1.1ISMS的范围和周界1)##银行主要从事个人服务、企业服务、卡服务等,信息科技部为金融服务提供IT基础架构的支持服务,确保整体金融业务过程的有序开展;2)##银行总行信息科技部所有物理区域及人员;4.2.1.2根据业务、组织、位置、资产和技术等方面的特性,##银行信息科技部在确定ISMS方针时,应考虑以下方
5、面的要求:1)包括设定目标的框架和建立信息安全工作的总方向和原则。2)考虑业务和法律法规的要求,及合同中的安全义务。3)##银行信息科技部根据战略性风险管理环境下,建立和保持ISMS。4)建立风险评估的准则。5)信息安全方针设定完成后,应获得管理者的批准。4.2.1.3信息安全管理体系方针增强科技风险意识,提升风险管理水平;满足监管机构要求,持续履行社会责任。信息安全管理体系文件ISMS-01-A为满足适用法律法规及相关方需求,使得生产和经营更有效的运行,使得客户信息保存传输更为安全,##银行信息科技部依据ISO/IEC27001:2005标准,建立信息安全管理体系,以保证#
6、#银行信息科技部及行内所有有关信息的保密性、完成性、可用性,实现业务可持续发展的目的。##银行信息科技部承诺:1)##银行信息科技部建立并完善信息安全管理体系;2)识别并满足适用法律法规和相关方信息安全要求,充分履行社会责任;3)对ISMS进行测量、监视、评审活动,定期按照事先设定的风险评估准则,对##银行信息科技部进行风险评估、ISMS评审、采取纠正预防措施,保证体系的持续有效;4)采用先进有效的设施和技术,处理、传递、存储和保护各类信息,实现信息共享;5)对##银行信息科技部全体员工,进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;6)制定并保持完善的业务
7、连续性计划,实现可持续发展。上述方针由##银行信息科技部最高管理者发布,并定期评审其适用性、充分性,必要时予以修订。4.2.1.4风险评估的系统方法##银行信息科技部建立信息安全风险评估控制程序并组织实施。风险评估控制程序包括可接受风险准则和可接受水平,所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。具体的风险评估过程执行《信息安全风险评估控制程序》信息安全管理体系文件ISMS-01-ANO确定ISMS范围资产识别与重要信息资产确定威胁识别与评价已有控制措施确认薄弱点识别与评价风险评估(测量
此文档下载收益归作者所有