信息科技部信息安全管理体系手册修订历史记16目录1 目的和适用范围 32 引用标准 33 术语和定义 34 信息安全管理体系 34.1 总要求 34.2 建立和管理 ISMS44.2.1 建立 ISMS44.2.2 ISMS 实施及运作 84.2.3 ISMS 的监督检查与评审 94.2.4 ISMS 保持与改进 104.3.2 文件控制 104.3.3 记录控制 115 管理职责 115.1 管理承诺 115.2 资源管理 126•内部 ISMS 审核 127 ISMS 管理评审 147.1 总则 147.2 管理评审的输入 147.3 管理评审的输出 158 ISMS 持续改进 158.1 持续改进 158.2 纠正措施 151 目的和适用范围目的8.3 预防措为建立、健全##银行信息科技部信息安全管理体系(简称 ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保信息科技部全体员工理解并遵照执行信息安全管理体系文件、持续改进 ISMS 有效性,特制定本手册。范围本手册适用于##银行信息科技部(信息科技部位于##银行第八层)安全管理活动。2 引用标准信息技术一一安全技术一一信息安全管理体系一一要求信息技术——安全技术——信息安全管理实施细则3 术语和定义本手册中使用术语的定义采用:《信息技术一一安全技术一一信息安全管理体系一一要求》中的定义缩写信息安全管理体系。:适用性说明、、、4 信息安全管理体系4.1 总要求##银行信息科技部根据标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。所涉及的过程基于以下模式:相关方信息安全要求&望、法律法规4.2 建立和管理 ISMS4.2.1 建立ISMS的范围和周界##银行主要从事个人服务、企业服务、卡服务等,信息科技部为金融服务提供基础架构的支持服务,确保整体金融业务过程的有序开展;##银行总行信息科技部所有物理区域及人员;根据业务、组织、位置、资产和技术等方面的特性,##银行信息科技部在确定方针时,应考虑以下方面的要求:)包括设定目标的框架和建立信息安全工作的总方向和原则。)考虑业务和法律法规的要求,及合同中的安全义务。)##银行信息科技部根据战略性风险管理环境下,建立和保持。)建立风险评估的准则。)信息安全方针设定完成后,应获得管理者的批准。信息安全管理体系方针增强科技风险意识,提升风险管理水平;满足监管机构要求,持续履行社会责任。为满足适用法律法规及相关方需求,使得生产和经营更有效的运行,使得客户信息保存传输更为安全,##银行信...
