HRBank-ISMS-02-01-V1.0 信息安全方针.docVIP

密级：内部公开 HRBank-ISMS-02-01-V1.0 第 PAGE 1 页 共 NUMPAGES 10 页 信息安全方针 总则 为保证科技发展部信息资产的保密性、完整性和可用性，保障科技发展部信息系统安全稳定运行，确保各项业务顺利开展，特制定本方针。 本信息安全方针适用于哈尔滨银行科技发展部，是科技发展部所有信息安全标准、规范、流程必须遵从的纲领性文件。 应定期或在发生重大变化时，对本方针进行评审修订，以确保本方针持续的适宜性、充分性和有效性。 信息安全方针 科技发展部的信息安全方针是：预防为主，分级保护，分层负责，持续改进。 预防为主。科技发展部信息安全工作贯彻预防为主的指导思想，采取各项主动预防措施，建立信息安全和操作风险防控体系，增强全员安全意识，完善应急机制，加强内部安全检查，做到防患于未然。 分级保护。科技发展部按照信息系统的重要程度划分相应等级，根据信息系统的等级采取相应的保护措施，保证科技发展部各信息系统得到适当等级的保护。 分层负责。科技发展部建立层次化的信息安全组织，确保责任逐层分解并落实。 持续改进。科技发展部按照PDCA模型进行信息安全管理的持续改进，保证科技发展部的信息系统在动态变化的过程中始终得到全面的保护。 信息安全管理原则 责任制原则。科技发展部信息安全管理工作实行“操作落实到人，布置落实到组，检查落实到中心，监督落实到专业组，考评落实到科技发展部”的五级风险防范责任体系。 规范化原则。遵循适用法律法规、监管部门及总行的要求，参照行业规范及国内外的信息安全标准。 统筹性原则。信息安全管理工作贯穿于科技发展部运行生产的全过程，实行技术和管理相结合，做到统筹兼顾。 实用性原则。在确保信息安全的同时，各项控制措施注重实效性和可操作性。 信息安全组织机构 科技发展部信息安全组织框架包括管理决策、监督检查、贯彻执行三个方面的职能。具体内容详见《信息安全组织建设管理规定》。 信息安全基本策略 组织安全 组织安全 目标：保证科技发展部组织的安全；保持被外部各方访问、处理、沟通的科技发展部信息及信息处理设施的安全。 策略：明确信息安全职责，严格执行审批授权；识别并定期评审反映科技发展部信息保护需要的保密或非扩散的需求；识别来自涉及外部各方的业务过程的信息和信息处理设施的风险，并在允许访问前实施适当的控制。 资产安全 资产安全 目标：识别科技发展部具有重要价值的信息资产，落实对这些信息资产的管理，并确保对这些信息资产的有效使用。 策略：对信息资产进行识别和管理；根据不同类型信息资产的特征，制定并实施正确使用信息资产的操作规程。 分级保护 目标：按信息资产的重要程度对其进行分级保护。 策略：基于信息系统价值和等级划分制定不同的安全规范与策略，根据不同信息资产所需的保护要求，进行相应程度的保护。 人力资源安全 人员安全 目标：降低人为差错、盗窃、欺诈或滥用设施的风险。 策略：制定并实施对员工的任用前、任用中、任用后各阶段的规定，确保员工行为符合要求并能够忠于职守；制定并实施对外部人员合作前、合作中和合作结束后各阶段的信息安全管理要求，确保外部人员在科技发展部工作期间履行其信息安全义务。 安全意识 目标：确保科技发展部员工和外部人员认识到信息安全的重要性，并在工作中贯彻执行信息安全方针，以降低信息安全事件的发生率。 策略：对科技发展部员工和外部人员进行充分的信息安全意识培训，明确员工在工作中的信息安全职责，使其掌握所处岗位的信息安全技能；明确外部各方在科技发展部工作时所应遵循的信息安全要求和所应履行的信息安全责任和义务。 物理及环境安全 安全区域 目标：防止未经授权的活动对安全区域的访问、破坏及干扰。 策略：明确安全区域的边界，并采取适当的控制措施，如：物理隔离、门禁系统、视频监控等。 设备设施安全 目标：防止信息处理设施的损失、损坏或信息泄露。 策略：准确识别并管理各类设备设施，并将其放置于适当的区域。 通讯和操作安全 网络安全管理 目标：维护网络服务的可用性，保证通过网络传输的信息的保密性和完整性。 策略：实施网络安全管理，划分网络安全区域，对网络设备、网络活动进行监控和管理，制定网络安全策略和操作规程，对网络信息及其支持设施进行保护。 操作安全 目标：确保设备设施和信息系统的安全操作。 策略：为所有设备设施和信息系统制定操作规程，建立事前防范、事中控制、事后纠正的动态管理机制，采用多层次的监督与检查措施。 岗位安全 目标：确保重要岗位职责分离且有AB角互为备份。 策略：以权限最小化原则进行授权，根据风险控制原则制定岗位职责、设置岗位备份，并对已获授权的部门和人员建立有效的