海通恒信国际租赁有限公司信息系统风险操作管理办法.pdfVIP

信息技术部[009]-2016-1.0 海通恒信国际租赁有限公司 信息系统风险操作管理办法 二零一六年七月 信息技术部[009]-2016-1.0 修改记录 修改日期 版本号 修改段落及内容 修改人 2016.07.28 V1.1 新增 洪辉 信息技术部[009]-2016-1.0 海通恒信国际租赁有限公司 信息系统风险操作管理办法 第一章 总 则 第一条 为规范海通恒信国际租赁有限公司（以下简称“海通恒信”）信息系统风险 的管理，明确信息系统风险管理的具体操作方法，提高应对信息系统在运行过程中出现 的各种突发事件的应急处置能力,降低信息系统风险对于公司正常业务开展造成的影响， 特制订本操作规程。 第二条 本操作规程主要依据监管机构《商业银行信息科技风险管理指引》、《银行 业金融机构信息科技外包风险监管指引》、公司《计算机系统管理办法》等制度进行编 写。 第三条 信息技术部负责对本办法进行定期审阅、更新、发布，以符合业务发展的 需要。 第四条 本办法所称的信息系统，由计算机设备、网络设施、计算机软件、业务数 据等组成。 第五条 信息系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事件、 网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件。 （一）网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议 缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信 息系统当前运行造成潜在危害的事件。 （二）信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、 假冒、泄漏等而导致的事件。 （三）信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公 共利益的不良信息内容的事件。 （四）网络故障事件：因电信、网络设备等原因造成大部分网络线路中断，用户无 法登录信息系统的事件。 信息技术部[009]-2016-1.0 （五）服务器故障事件：因系统服务器故障而导致的信息系统无法运行的事件。 （六）软件故障事件：因系统软件或应用软件故障而导致的信息系统无法运行的事 件。 （七）灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。 （八）其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对 信息系统当前运行造成潜在危害的事件。 第二章 安全事件管理 第六条 根据事件发生所造成的不同影响程度，信息安全事件将划分为A.B.C 三个 类别，划分的主要依据为事件是否处于工作时段、对重要业务系统持续时间等要素，具 体划分如下表： 类别 影响描述 事件描述  工作时段：预计业务系统不能正常使用