IT信息安全协作控制程序.doc

IT信息安全协作控制程序1 目的 为与行业监管部门保持良好的沟通报告机制，保证公安机关在必要时介入安全事件的调查过程高效开展，保持全行范围及与其它第三方进行及时沟通，特制订本程序。2 范围 本程序适用于IT信息与全行范围、监管部门、公安机关及其他第三方对有关信息安全事件、事故的沟通与协作。3 相关文件 物理访问控制程序 系统访问控制程序 应急预案4 职责4.1 信息总经理负责信息安全协作及信息沟通的管理，各岗位负责信息沟通的具体实施；4.2 信息安全管理委员会负责重大信息安全事件、事故的协调与协作的管理；5 程序5.1 信息管理信息协商与交流体现在全行各部门、各层次以及监管机构和第三方机构的协作与合作上，要通过信息协商与交流，促进信息内部对管理承诺的理解和沟通，不断满足顾客及相关方的要求，以实现目标、指标的持续改进。信息运用各种信息沟通方式，及时、迅速地传送或传达到各岗位、各层次，完成相关信息的收集、汇总、统计、分析、处理、传递和归档工作，确保信息沟通有效运行，避免因信息交流的延误而导致科技信息风险的发生。5.2 信息的沟通方式a) 文件；1） 从上级及外部接收的文件；2） 总行发文；3） 支行上报的文件。b) 各类会议；c) 网络平台：OA系统、E-mail；d) 各类行业资料。5.3 内部信息沟通5.3.1 行政信息的收集与传递5.3.1.1 国家颁发的法律、法规和上级下达的文件和制度，外部来的各类文件，通过行内发文或OA系统进行传递和管理。5.3.1.2 各管理岗位和支行的请示、报告及需要以信息名义发布的文件，通过拟文、会签、核稿、批准后发布、办理归档。5.3.1.3 员工合理化建议。员工的合理化建议可通过书面或电子邮件直接提交信息总经理。5.3.1.4 通知、通报、简报等以及社会媒体信息由总行相关职能部门进行公布、传达，凡需发布到全体职工的信息，由信息总经理指派相关人员组织落实，并做好相应记录。5.3.2 运维信息的收集与传递5.3.2.1 信息管理制度所要求的各类运行记录和报告，应根据管理规定的要求进行必要的报告和归档；5.3.2.2 信息安全管理委员会对科技信息风险管理的各类会议记录，按照会议要求及时传递至相关岗位人员。5.3.3 标准化信息的收集与传递各类标准由相关专业职能部门负责与专业的第三方咨询机构或专业技术厂商进行沟通，搜集科技信息相关风险管理的标准，并通过传阅或组织内部培训的方式传达至相关人员。5.3.4安全、紧急重大信息的收集与传递5.3.4.1安全信息的收集与传递上级发布的事故快报，由总行下发，信息组织学习贯彻。本部门发生的人身伤亡事故、大面积停电事故、重大设备损坏事故等重大事故，由信息总经理向行领导汇报后，组织召开事故分析会并进行通报，并以发文或安全快报形式及时上报至监管机构，必要时下发到相关支行。5.3.4.2 其他重大紧急信息的收集与传递重要工作和重要活动、重要人员的活动、重大突发性事件等重大紧急信息，由信息即时向总行领导汇报，根据总行领导的意见，将处理意见传递到相关单位，并向上级有关监管机构汇报。5.3.5网络与信息安全事件信息的收集与传递发生网络与信息安全事件时，根据判别标准属于一、二级安全事件的情况，在启动应急预案的同时，信息总经理应立即用电话、当面汇报等方式向行领导报告，报告内容包括(1)事件发生的时间、地点、单位；(2)事件简述、损失初步情况；(3)事件发生原因的初步判断。经行领导批准后，立即向上级监管机构进行报告，必要时应向公安机关报告，并由信息总经理协同相关人员配合公安机关的调查工作。5.3.6 信息安全的协调和协作5.3.6.1信息成立以总经理、信息安全管理者代表、各岗位负责人组成的信息安全管理委员会，进行信息安全协调和协作，以：a) 确保安全活动的执行符合信息安全方针；b) 确定怎样处理不符合事项；c) 批准信息安全的方法和过程，如风险评估、信息分类；d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e) 评估信息安全控制措施实施的充分性和协调性；f) 有效的推动组织内信息安全教育、培训和意识；g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。5.3.6.2 信息安全管理委员会每季度召开一次内部协调会，对上一季度的信息安全管理工作进行总结，对体系运行中存在的问题进行解决，并布置下一季度的信息安全工作。会议由科信处负责组织安排并做好会议记录。5.4 外部信息沟通5.4.1 与监管机构的沟通 在发上以下情况时，应立即与监管机构进行沟通，寻求监管机构的协助：a) 发生一、二级的信息安全事故；b) 发生人身伤亡事故；c) 监管机构要求的报告；(如:实施重要外包应提前以书面材料报告银监会或其派出机构。)d) 其他需要沟通的情况。5.4.2与信息安全权威机构和相关团体的联系5.4.2.1 建立和信息安全权威机构（如公安部门的计算机安全部门、政府的保密、机要部门）和相关团体（信息安全第三方服务机构）的联系，及时报告信息安全事件（包括可能会违背法律的信息安全事件），取得指导和支持。5.4.2.2 安排内部顾问，必要时聘请外部专家，解答遇到的有关信息安全的问题。信息提出外部联系人名单（包括外部顾问），报信息安全管理者代表批准，作为本部门的信息安全内部顾问，并下发至体系有关的各部门及支行。5.4.2.3 建立与咨询机构、认证机构、专业团体的联系，获取相关的信息安全行业信息。5.5 外部机构的协作5.5.1 监管机构的协作 发生一、二级信息安全事件后，应由信息总经理根据行领导的安排，上报监管机构，并根据监管机构的要求，提供临时办公场所，提供必要的人力协助监管机构的工作安排，有序展开应急工作。5.5.2 公安部门的协作公安部门介入调查的事件发生后，应立即停止可能涉及调查的人员的工作，不得通过任何途径访问IT系统及IT机房，并保护好当事人所负责系统的监控信息，包括监控日志、监控录像、操作记录等重要信息，以便公安部门的取证工作。信息总经理应指派一名副总经理，共同配合公安部门的调查工作，做好调查工作过程中的信息保密。调查工作期间，对所涉及的信息系统除紧急变更外，不得进行变更操作。调查工作结束后，应将调查过程形成详细的调查报告，根据事件的性质及公安机关的结论，经行领导批准，对当事人进行必要的惩戒，违反法律法规时应及时送交司法机关，追究其法律责任。5.5.3 其他第三方服务机构的协作信息应急演练计划，应包括所有可能在突发事件发生时所可能寻求协助的第三方服务机构的紧急联系人的联络方式。在紧急事件发生时，应根据应急预案的要求，联系所涉及的第三方服务机构，并按照应急预案的要求执行应急恢复活动，所有第三方服务机构参与的过程均应在监督之下执行。对应急预案没有覆盖的情况，应由信息安全管理委员会会同第三方服务机构，共同讨论应对方案，并经委员会批准后执行。日常运作过程中，如需第三方服务机构协助，应按照有关第三方物理及逻辑访问的管理规定的要求执行。事后，应由提出请求的信息员工将协助过程进行记录，并在部门内部进行沟通，作为知识管理过程的输入信息。6 记录外部联系人名单外部联系人名单类别相关业务姓名单位办公电话手机负责人