信息安全协作控制程序.docVIP

信息安全管理体系文件 ISMSP-11-A 信息科技部 信息安全协作控制程序 A版 2011年6 目录 TOC \o 1-4 \h \z \u 1 目的 3 2 范围 3 3 相关文件 3 4 职责 3 5 程序 3 5.1 信息管理 3 5.2 信息的沟通方式 3 5.3 内部信息沟通 4 5.4 外部信息沟通 5 5.5 外部机构的协作 6 6 记录 7 修订历史记录 版本 日期 修订者 修订描述 1.0 1 目的 为与行业监管部门保持良好的沟通报告机制，保证公安机关在必要时介入安全事件的调查过程高效开展，保持全行范围及与其它第三方进行及时沟通，特制订本程序。 2 范围 本程序适用于阜新银行信息科技部与全行范围、监管部门、公安机关及其他第三方对有关信息安全事件、事故的沟通与协作。 3 相关文件 《物理访问控制程序》 《系统访问控制程序》 《应急预案》 4 职责 4.1 信息科技部总经理负责信息安全协作及信息沟通的管理，各岗位负责信息沟通的具体实施； 4.2 信息安全管理委员会负责重大信息安全事件、事故的协调与协作的管理； 5 程序 5.1 信息管理 信息协商与交流体现在全行各部门、各层次以及监管机构和第三方机构的协作与合作上，要通过信息协商与交流，促进信息科技部内部对管理承诺的理解和沟通，不断满足顾客及相关方的要求，以实现目标、指标的持续改进。信息科技部运用各种信息沟通方式，及时、迅速地传送或传达到各岗位、各层次，完成相关信息的收集、汇总、统计、分析、处理、传递和归档工作，确保信息沟通有效运行，避免因信息交流的延误而导致科技信息风险的发生。 5.2 信息的沟通方式 文件； 从上级及外部接收的文件； 总行发文； 支行上报的文件。 各类会议； 网络平台：OA系统、E-mail； 各类行业资料。 5.3 内部信息沟通 5.3.1 行政信息的收集与传递 5.3.1.1 国家颁发的法律、法规和上级下达的文件和制度，外部来的各类文件，通过行内发文或OA系统进行传递和管理。 5.3.1.2 各管理岗位和支行的请示、报告及需要以信息科技部名义发布的文件，通过拟文、会签、核稿、批准后发布、办理归档。 5.3.1.3 员工合理化建议。员工的合理化建议可通过书面或电子邮件直接提交信息科技部总经理。 5.3.1.4 通知、通报、简报等以及社会媒体信息由总行相关职能部门进行公布、传达，凡需发布到全体职工的信息，由信息科技部总经理指派相关人员组织落实，并做好相应记录。 5.3.2 运维信息的收集与传递 5.3.2.1 信息科技部管理制度所要求的各类运行记录和报告，应根据管理规定的要求进行必要的报告和归档； 5.3.2.2 信息安全管理委员会对科技信息风险管理的各类会议记录，按照会议要求及时传递至相关岗位人员。 5.3.3 标准化信息的收集与传递 各类标准由相关专业职能部门负责与专业的第三方咨询机构或专业技术厂商进行沟通，搜集科技信息相关风险管理的标准，并通过传阅或组织内部培训的方式传达至相关人员。 5.3.4安全、 5.3.4 上级发布的事故快报，由总行下发，信息科技部组织学习贯彻。本部门发生的人身伤亡事故、大面积停电事故、重大设备损坏事故等重大事故，由信息科技部总经理向行领导汇报后，组织召开事故分析会并进行通报，并以发文或安全快报形式及时上报至监管机构，必要时下发到相关支行。 5.3.4 重要工作和重要活动、重要人员的活动、重大突发性事件等重大紧急信息，由信息科技部即时向总行领导汇报，根据总行领导的意见，将处理意见传递到相关单位，并向上级有关监管机构汇报。 5.3.5 发生网络与信息安全事件时，根据判别标准属于一、二级安全事件的情况，在启动应急预案的同时，信息科技部总经理应立即用电话、当面汇报等方式向行领导报告，报告内容包括(1)事件发生的时间、地点、单位；(2)事件简述、损失初步情况；(3)事件发生原因的初步判断。经行领导批准后，立即向上级监管机构进行报告，必要时应向公安机关报告，并由信息科技部总经理协同相关人员配合公安机关的调查工作。 5.3.6 5.3.6.1信息科技部成立以总经理、信息安全管理者代表、各岗位负责人组成的信息安全管理委员会，进行信息安全协调和协作，以： a) 确保安全活动的执行符合信息安全方针； b) 确定怎样处理不符合事项； c) 批准信息安全的方法和过程，如风险评估、信息分类； d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露； e) 评估信息安全控制措施实施的充分性和协调性； f) 有效的推动组织内信息安全教育、培训和意识； g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当