银行信息安全体系规划和建设项目—信息安全体系.doc

中国xx银行信息安全体系规划和建设项目—信息安全体系 信息安全体系规划与建设项目组 目 录 总论 3 1 前言 3 2 内容概要 4 第一篇 信息安全战略目标与总体框架 5 第1章 中国xx银行信息安全战略 6 1 综述 6 1.1 信息安全的定义 6 1.2 信息安全的业务特性 7 1.2.1 信息安全的本质 7 1.2.2 信息安全的业务价值链 7 1.2.3 信息安全的整体保障作用 8 1.3 信息安全总体框架 9 1.3.1 xx银行信息安全总体框架 9 2 xx银行信息安全战略目标 11 2.1 xx银行信息安全战略 11 2.2 xx银行信息安全目标定位 12 2.2.1 分析模型 12 2.2.2 未来目标定位 14 2.3 xx银行信息安全工作原则 16 2.3.1 总体原则 16 2.3.2 工作准则 17 第二篇 信息安全治理体系 19 第2章 信息安全组织 20 1 综述 20 第3章 信息安全风险管理 21 1 综述 21 1.1 目标 21 1.2 范围 21 2 模块内容 22 2.1 关联对象 22 2.1.1 所有者 22 2.1.2 维护者 22 2.1.3 使用者 22 2.1.4 与其他体系的关系 22 2.2 模块框架 22 2.2.1 信息安全风险评估 23 2.2.2 信息安全过程管理 25 2.2.3 信息安全风险监督与检查 27 2.2.4 信息安全风险响应与恢复 32 2.3 模块应用 32 第4章 信息安全制度 34 1 综述 34 第三篇 信息安全运作体系 35 第5章 人员信息安全管理 36 1 综述 36 1.1 目标 36 1.2 范围 36 2 模块内容 36 2.1 模块关联对象 36 2.1.1 所有者 37 2.1.2 维护者 37 2.1.3 使用者 37 2.1.4 与其他模块的关系 37 2.2 模块框架 37 2.2.1 雇佣前 38 2.2.2 雇佣中 40 2.2.3 雇佣终止或变更 41 2.2.4 安全意识、培训和教育概念模型 43 2.3 模块应用 50 第6章 信息安全事件管理 51 1 综述 51 1.1 目标 51 1.2 范围 51 1.3 参考标准 52 2 模块内容 52 2.1 模块关联对象 52 2.1.1 所有者 52 2.1.2 维护者 52 2.1.3 使用者 53 2.1.4 与其他模块的关系 53 2.2 模块框架 53 2.2.1 计划和准备 53 2.2.2 事件响应 56 2.2.3 事后处理 57 2.3 模块应用 57 第7章 信息资产安全管理模块 59 1 综述 59 1.1 目标 59 1.2 范围 59 1.3 参考标准 59 2 模块内容 60 2.1 概述 60 2.1.1 模块关联对象 60 2.1.2 与其他模块的关系 60 2.2 模块框架 60 2.2.1 信息安全等级保护的本质 61 2.2.2 信息资产安全分类分级的粒度 61 2.2.3 信息资产安全分类分级的方法 65 2.2.4 信息资产清单管理 69 第四篇 中国xx银行信息安全技术管理 71 第8章 数据安全管理模块 72 1 综述 72 1.1 目标 72 1.2 范围 72 2 模块内容 73 2.1 模块关联对象 73 2.2 模块框架 74 2.2.1 数据的产生安全 74 2.2.2 数据的传输和使用 77 2.2.3 数据的变更和检查 78 2.2.4 数据的保存 80 2.2.5 数据的处置 82 2.3 模块应用 83 第9章 应用安全管理模块 84 1 综述 84 1.1 目标 84 1.2 范围 84 2 模块内容 84 2.1 模块关联对象 84 2.2 模块框架 86 2.2.1 项目立项阶段 88 2.2.2 系统开发阶段 89 2.2.3 系统上线阶段 90 2.2.4 系统运维阶段 90 2.2.5 系统处置阶段 91 2.3 模块应用 92 第10章 基础安全管理模块 92 1 综述 92 第五篇 中国xx银行信息安全技术手段 93 1 综述 94  示意图索引 图1 信息安全的本质 7 图2 信息安全的业务价值链 8 图3 信息安全的整体保障作用 9 图4 xx银行信息安全总体框架 10 图5 信息安全目标定位分析模型 13 图6 信息安全目标定位的迁移路径 14 图7 xx银行信息安全目标定位 15 图8 xx银行信息安全各方面的目标定位 15 图9 信息安全风险管理框架 23 图10 信息安全过程管理框架 26 图11 信息安全风险管理框架 28 图12 信息安全衡量框架 30 图13 残余风险、事件和业务持续管理 32 图14 人员安全管理概念模型 38 图15 安全意识培训和教