《金融服务 信息安全指南》标准解读-精选版.pptVIP

事故管理 所有信息安全事件应迅速报告、文档化并根据机构实践予以解决。 当未预期到的信息安全事件很可能破坏业务运营和威胁信息安全时，它们就成为必须说明的信息安全事故。 安全专家在重新评估风 险和选择实施安全控制中都使用事故和事件。 进行信息安全体系改进时也使用事件和事故。 * 监控 应建立正式的机制报告入侵、系统故障和其他安全事故。 应在审查过程中使用安全事故论证结果和事故管理文档结论，以影响防护措施投资和保护资产的控制措施，使其在过期后能得到重新评价和 变更。 * 体系维护和符合性 体系维护 已制定的控制措施，如防火墙和病毒扫描软件应定期更新以便有效防护新威胁。 符合性 应由独立的审查确保实践符合已建立的策略并且有充分和有效的控制措施。 任何被许可免除的审查应及时文档化并限定时间以便可定期重新评估。 * 灾难恢复 表明事关业务连续性的关键信息资产。 制定灾难恢复计划。 在制定计划时，应考虑掌握关键技能的员工、法律协定、信息备份系统以及可用作替代的支持关键业务活动的处理资源和场所等方面 灾难恢复计划应定期检查和评估。 云架构的多活，灾备将逐步趋向安全生产 * 信息安全机构 * 承诺（声明） 机构范围内信息安全体系目标的承诺，应基于机构对信息安全需要的理解。 机构应通过愿意为信息安全活动投入资源和说明其信息安全需要来证明履行其承诺。 机构最高层应关注信息安全对机构的 意义，以及信息安全的范围和程度。 信息安全目标应在整个机构发布，每个雇员和承包商应知道他们的角色、责任和他们对信息安全 的贡献，应赋予他们适当的权力去完成这些目标。 * 机构结构—角色和责任 应适当划分责任并分配给相应角色。 * 机构结构—管理者、审计委员会、法律部门 管理者 管理者应传达信息安全是机构的重要目标的观念，并支持信息安全体系。 审计委员会 金融机构审计委员会在监管中协助董事会，作为一个独立的部门负责目标检查、平衡内部控制和财 务报告。 信息安全体系中的监督和检查是审计委员会的一部分职责，通常通过机构内部审计部门或外 部审计师进行。 法律部门 法律部门应参与信息安全管理体系的实施，出率有关法律事务：如审查涉及雇员、客户、服务提供商、承包商和供货商的合同，涉及法律的取证等， * 机构结构—执行官 CEO应授权建立符合公认标准的信息安全体系并对其提供支持，监管主要风险评估决策，参与宣传信息安全的重要性。 很多机构设有类似的首席执行官、首席财务官(CFO)、首席技术官(CTO)和首席运营官(COO)等 角色。 许多机构开始在机构高层引入另外的角色，例如首席信息官(CIO)和首席信息安全官(CISO)。 CTO、CIO和CISO角色有很多其他变化，但每个金融机构应有一位资深官员或首席信息安全官最终向 CTO或CIO汇报工作。 * 机构结构—业务经理、雇员 业务经理 专门的业务经理和机构内的其他经理，监督和管理机构雇员和代理商，这使得他们成为信息安全体系的参与者。 每个经理应理解、支持和遵守机构的策略、实践和规程，并确保雇员、供货商和承包商也这样做。 业务经理应创造积极的氛围鼓励雇员、供货商和承包商报告信息安全相关问题。 雇员 安全体系的要求应包含在雇员雇佣合同中。 所有员工都应知道自身活动和周边活动的安全含义， 以便他们能够主动报告任何可疑的信息安全事件。 * 机构结构—外围 应在供货商服务协议和承包商协议中包含安全方案要求。 供货商和承包商应理解、支持、遵守机构 和业务部门的信息安全实践和规程，他们应遵守公司信息安全策略。 当机构因经济或其他业务原因选 择外包银行业务时，风险管理不可能外包，其责任仍属于机构。 * 信息安全角色—首席信息安全官(CISO) 首席信息安全官（CISO）负责设计、实施和管理信息安全体系，在信息安全方面对董事和执行官负有最终责任的人。 CISO职责 向执行官提出预算并说明信息安全方案的合理性； 设计符合业务战略的安全架构； 管理实施安全架构和履行信息安全职责的其他级别的人员； 完成使安全架构生效的风险评估并弥补需要关注的缺陷； 发布安全策略、实践和规程并管理一个安全意识方案； 保持对目前的威胁和脆弱性的了解，掌握解决它们的最新安全技术； 确保本机构被恰当地纳入该机构业务所开展的国家的重要基础设施保护的工作中。 * 信息安全角色—信息安全官（ISO） 信息安全官(ISO)是机构中按CISO指示,肩负制定、实施和维护信息安全体系职责。 ISO可以是CISO的助手,也可在机构业务部门控制之下，即专职、兼职都可。 ISO职责 理解安全架构、实践和规程； 制定本地实践，发布并在合适的时候更新实践； 从事风险评估； 监控和审计安全实践； 帮助IT系统从攻击中恢复； 给出改进实践和规程的建议； 跟踪