- 1 - 信息安全管理策略 一. 总则 为满足XX 银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《XX 银行信息安全管理方针》,特制订本管理策略。目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。 二. 安全制度管理策略 2 .1 目的 使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系,并定期更新,发布到我行信息安全所有相关单位中。 2 .2 策略一:建立和发布信息安全管理文档体系 ➢ 策略目标: 使相关单位人员了解到信息安全管理文档的内容,安全工作有据可依。 ➢ 策略内容: 建立我行信息安全管理文档体系,发布到相关单位。 ➢ 策略描述: - 2 - 根据《XX 银行信息安全管理方针》中的方针、原则和我行特点,制订出一套文档体系,包括信息安全策略、制度和实施指南等,通过培训、会议、办公系统或电子邮件等方式向相关单位发布。 总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。 2 .3 策略二:更新安全制度 ➢ 策略目标: 安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。 ➢ 策略内容: 定期和不定期审阅和更新安全制度。 ➢ 策略描述: 由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显著变化时进行检查、更新。 三. 信息安全组织管理策略 3 .1 目的 通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功 能,以协 调 、监 控 安全目标的实现 。与组织有关的策略分 内部组织和外 部组织两 部分 来描述。 3 .2 策略一:在组织内建立信息安全管理架构 ➢ 策略目标: 在组织内有效 地 管理信息安全。 - 3 - ➢ 策略内容: 我行应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。 ➢ 策略描述: 通过建立信息安全管理组织,启动和控制组织范围内的信息安全工作的实施,批准信息安全方针、确定安全工作分工和相应人员,以及协调和评审整个组织安全的实施。 根据需要,还可以建立与外部安全专家或组织(包括相关权威...
