ISO27001-2013信息安全管理体系管理手册及程序文件.docx

《ISO27001-2013信息安全管理体系管理手册及程序文件.docx》由会员分享，可在线阅读，更多相关《ISO27001-2013信息安全管理体系管理手册及程序文件.docx（197页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IS027001-2013信息安全管理体系管理手册及程序文件IS027001-2013信息安全管理体系管理手册GBT22080-2016管理手册】1概述1.1背景1. 2颁布令1.3授权书2总则2. 1目的2. 2范围2. 3使命和愿景2. 4信息安全方针2. 5信息安全管理体系方针2. 6裁剪说明2. 7依据文件2. 8定义与缩写3信息安全管理体系3. 1体系概述3. 2文件要求3. 3体系文件架构3. 4文件控制3. 5记录控制4管理职责4. 1管理者承诺4 . 2资源提供5 .3内部审核4. 4管理评审5体系改进5. 1持续改进6. 2纠正和预防措施信息安全管理体系文件清单一阶文件HRB

2、B-ISMS-01-01信息安全管理手册HRBB-ISMS-01-02 适用性声明 SOA二阶文件体系运行HRBB-ISMS-02-01信息安全方针HRBB-ISMS-02-02信息安全管理体系术语定义HRBB-ISMS-02-03信息安全风险评估管理程序HRBB-ISMS-02-04文件控制管理程序HRBB-ISMS-02-05记录控制管理程序HRBB-ISMS-02-06信息安全管理评审程序HRBB-ISMS-02-07信息安全内部审核管理程序HRBB-ISMS-02-08信息安全目标与度量管理程序HRBB-ISMS-02-09纠正预防控制管理程序信息安全管理HRBB-ISMS-02-10

3、信息安全组织建设管理程序HRBB-ISMS-02-11第三方信息安全管理程序HRBB-ISMS-02-12信息资产安全管理程序HRBB-ISMS-02-13人员信息安全管理程序HRBB-ISMS-02-14物理和环境安全管理程序HRBB-ISMS-02-15信息安全事件管理程序HRBB-ISMS-02-16业务连续性管理程序HRBB-ISMS-02-17法律法规符合性管理程序信息安全技术HRBB-ISMS-02-18网络和系统安全管理程序HRBB-ISMS-02-19信息系统访问控制管理规定HRBB-ISMS-02-20信息系统开发与项目安全管理程序HRBB-ISMS-02-21日常运行安全管

4、理程序HRBB-ISMS-02-22数据备份与恢复管理程序HRBB-ISMS-02-23介质管理与销毁管理规定信息安全检查HRBB-ISMS-02-24安全检查与审计管理程序HRBB-ISMS-02-25安全职责考核管理程序1、概述本手册是XX科技信息公司发展部（以下简称“科技发展部”）根 据GB/T22080-2016/IS0/IEC 27001:2013信息技术安全技术信息 安全管理体系要求标准的要求，结合科技发展部现状和发展需求 制定，经科技发展部信息安全工作指挥小组审核，由最高管理者批准 颁布并执行。本手册规定了科技发展部信息安全管理体系范围内的管 理职责、内部审核、管理评审和信息安全

5、管理体系改进等方面的内容。a） 背景XX科技信息公司是一家新兴的股份制公司，成立于2007年2月， 总部位于中国XX省深圳市，现设有170余个营业机构，截至2019年 末，资产总额10亿元，科技发展部是公司生产运营与科技单元的职 能部门，主要负责IT系统规划、IT支持、信息安全、项目管理等工 作。科技发展部下辖运行维护中心和IT研发中心，运行维护中心主 要负责生产核心系统、其它信息系统和信息科技基础设施的运行、维 护和升级，灾难备份中心管理等工作；IT研发中心负责业务系统开 发、系统测试及上线、系统维护和创新研究等工作。科技发展部高度重视信息安全工作，不断在安全组织和安全管理 制度建设、安全技

6、术应用等方面持续开展工作。b) 颁布令为提高XX科技信息公司科技发展部的信息安全管理水平，保障 科技发展部贯彻落实“生产安全、运行稳定、支持有力、服务高效、 操作严谨、管理规范”的基本要求，发挥“服务、管理、内控、效益” 四大功能，树立哈尔滨银行的“技术实力精湛、精细化管理、企业文 化”形象，防止由于信息系统故障、数据的丢失、敏感信息的泄密所 导致的业务中断或安全事故，科技发展部开展贯彻 (GB/T22080-2016/IS0/IEC 27001:2013 信息技术 安全技术 信息 安全管理体系要求的工作，建立文件化的信息安全管理体系，制 定了信息安全管理手册。本手册是科技发展部信息安全管理的

7、纲领性文件，是指导科技发 展部建立并实施信息安全管理体系的纲领和行动准则，用于贯彻科技 发展部的信息安全管理方针，实现科技发展部信息安全管理体系的有 效运行和持续改进。全体员工必须严格按照本手册的要求，自觉贯彻管理方针，严格 执行本手册的各项规定，努力实现科技发展部生产运行和日常办公的 安全。本手册自颁布之日起生效执行。XX科技信息公司总经理C) 授权书为了贯彻执行信息安全管理体系，满足WB/T22080-2016/IS0/IEC 27001:2013 信息技术安全技术信息安全管理体系要求的要求，加强对信息安全管理体系建设和持续 运行的领导工作，特任命李柏伦同志为哈尔滨银行科技发展部信 息安全

8、管理者代表。授权信息安全管理者代表有如下职责和权限：领导信息安全管理体系的建立、运行和维护，开展资产识别和风 险评估；协调与信息安全管理体系有关的各项工作；确保在科技发展部内提高员工信息安全意识；督促信息安全管理体系内部审核和信息安全检查的开展；协助最高管理者进行信息安全管理体系的管理评审；向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。总经理:a） 目的本手册为XX科技信息公司科技发展部信息安全管理体系（ISMS） 的建立和运行提供指导，并保证科技发展部的信息安全管理体系符合 GB/T22080-2016/IS0/IEC 27001:2013信息技术 安全技术

9、信息 安全管理体系要求的要求，从而确保：（一）科技发展部信息的保密性、完整性和可用性。（二）科技发展部各项业务的连续性。（三）科技发展部信息安全管理体系符合中华人民共和国、中国人民 银行、公安部、中国银行业监督管理委员会、哈尔滨银行总行 的各种强制性规定、规则及适用的相关惯例、准则和协议。b） 范围本手册所描述的信息安全管理体系适用于哈尔滨银行科技发展 部。科技发展部信息安全管理体系覆盖科技发展部所有部门，涵盖科 技发展部职责范围内信息系统运行维护、计算机设备管理、人员信息 安全、数据安全等在内的各项信息安全管理相关活动。科技发展部信息安全管理体系的建设遵循 （GB/T22080-2016/I

10、S0/IEC 27001:2013 信息技术 安全技术 信息 安全管理体系要求，并接受外部权威机构认证审核，认证范围是哈尔滨银行科技发展部。C) 使命和愿景利用信息科技促进我行发展战略的实现，在金融产品和服务创新 工作中，发挥IT在技术创新方面的先导作用，加强IT在我行风险防 范和合规管理方面的支持，力争实现信息科技三年内达到股份制银行 中等水平，五年内步入领先行列的发展目标。d) 信息安全方针科技发展部的信息安全管理遵循哈尔滨银行的“细节决定成败， 合规创造价值，责任成就事业”管理理念和“违规就是风险，安全就 是效益”风险理念。科技发展部的信息安全方针是：预防为主，分级保护，分层负责, 持续

11、改进。预防为主：科技发展部信息安全工作贯彻预防为主的指导思想， 采取各项主动预防措施，建立信息安全和操作风险防控体系，增强全 员安全意识，完善应急机制，加强内部安全检查，做到防患于未然。分级保护：科技发展部按照信息系统的重要程度划分相应等级， 根据信息系统的等级采取相应的保护措施，保证科技发展部各信息系 统得到适当等级的保护。分层负责：科技发展部建立层次化的信息安全组织，确保责任逐 层分解并落实。持续改进：科技发展部按照PDCA模型进行信息安全管理的持续改 进，保证信息系统在动态变化的过程中始终得到全面的保护。e) 信息安全管理体系方针科技发展部信息安全管理体系的方针是：在哈尔滨银行的全面风

12、险管理框架下，识别业务和法律法规及合同中的安全要求，确定信息 安全风险评价的准则，通过建设信息安全管理体系，有效控制信息安 全风险，保障科技发展部生产运行和日常办公的安全。f) 裁剪说明GB/T22080-2016/IS0/IEC 27001:2013 信息技术 安全技术 信息安全管理体系要求的条款对于科技发展部信息安全管理体系 的适用关系，详见适用性声明。g) 依据文件本手册制定参考并依据了下列文件资料，更详细参见法律法规 符合性管理规定。a.法律法规：是指中华人民共和国颁布的、所有相关且具有约束和 指导作用的法律、法规。b.国际惯例：是指公司开办国际业务必须遵循的具有约束和指导作 用的国际

13、通用惯例。C.标准：(1)遵循标准：GB/T 22080-2016/ISO/IEC 27001:2013 信息(2)参照标准：GB/T 22081-2016/IS0/IEC 27002:2013 信息 技术安全技术信息安全管理实用规则h) 定义与缩写GB/T 22080-2016/IS0/IEC 27001:2013 信息技术 安全技术 信息安全管理体系要求、GB/T 22081-2016/IS0/IEC 27002:2013 信息技术安全技术信息安全管理实用规则文中所述定义和术语均 适用于本手册。此外，本手册还使用信息安全管理体系术语定义 中的定义与缩写。3、 信息安全管理体系a) 体系概述

14、科技发展部按照GB/T22080-2016/IS0/IEC 27001:2013信息技 术安全技术信息安全管理体系要求的要求，同时考虑银行服务 行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理, 建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、 管理等因素处于受控状态，形成文件并加以实施、保持和持续改进， 有效防范各类安全事故或人为有意的破坏事件，保障科技发展部信息 的保密性、完整性和可用性，确保各项业务的连续性。为建立和实施信息安全管理体系，科技发展部信息安全管理采用 过程方法，把与信息安全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体

15、系。具体包括：a.识别并确定科技发展部信息安全管理体系相关的策略、目标、过 程和程序，改进信息安全以达到期望的结果。b.依据“过程模式”确定上述过程的顺序和相互关系。c.将过程充分展开，明确信息安全控制点，编制形成信息安全管理 体系文件。d.配置适当的资源，提供必要的支持和信息，以保证过程的有效运 作。e.持续度量、监控和分析这些过程，并进行必要的改进。b) 文件要求科技发展部信息安全管理体系文件包括：第一章 GB/T22080-2016/IS0/IEC 27001:2013 信息技术安全技 术信息安全管理体系要求所要求的信息安全管理手册。第二章 GB/T22080-2016/IS0/IEC

16、27001:2013 信息技术安全技 术信息安全管理体系要求所要求的程序文件和作业指导 书。第三章 GB/T22080-2016/IS0/IEC 27001:2013信息技术安全技 术信息安全管理体系要求所要求的记录。第四章科技发展部为确保信息安全所要求的其他相关文件。c) 体系文件架构科技发展部信息安全管理体系文件包括四个层次：即信息安全管理手册、管理规定/规程/程序类文件、实施细则/管理细则/操作指南图1信息安全体系文件架构图各层级文件所关注的内容依次如下：第一条一阶文件：关于信息安全管理体系的策略声明文件，即体系 管理手册。第二条 二阶文件：关于GB/T22080-2016/IS0/IE

17、C 27001:2013 信 息技术安全技术信息安全管理体系要求各个控制域的 标准指南文件，体现信息安全管理体系在各个方面的目标规 范和基本要求。第三条三阶文件：关于具体信息安全问题的规程文件，指导实现对 特定信息安全风险点的控制和对具体业务工作的安全管理 要求。第四条 四阶文件：关于信息安全体系运行的各类记录和报告，体现 各项工作能够按照三阶文件的具体要求有效开展。d) 文件控制科技发展部对与信息安全管理体系要求有关的文件进行严格控 制，以满足GB/T22080-2016/IS0/IEC 27001:2013信息技术安全 技术信息安全管理体系要求，具体要求包括：a.确保文件编制、评审、批准、

18、发放、使用、修改、作废得到有效 的控制。b.确保文件清晰可辨，版本标示清楚，易于识别和检索。c.确保在使用时可获得最新、有效版本的适用文件。d.确保外来文件得到识别，对文件的分发加以控制。e.对不同媒体和不同种类的文件，采取相应的控制。f.防止作废文件的非授权使用，保留作废文件时，对这些文件进行 明确的标识。科技发展部对信息安全管理体系文件的控制、公文管理、电子文 件及保密文件的控制做出规定，相关控制要求参见文件控制管理规 定。e) 记录控制为提供符合要求且表明信息安全管理体系有效运行的证据，保证 管理过程的可追溯性，科技发展部通过编制并实施记录控制管理规 定及相关文件，规定了信息安全相关记录

19、的标识、收集、归档、保 管、借阅、销毁和检查等要求，确保信息安全相关记录能够保持清晰、 易于识别和检索。在体系运行期间各部门应保持相应的信息安全记录 控制清单并明确责任人，同时遵守记录的保存期限及存档要求。4、 管理职责a) 管理者承诺经哈尔滨银行行长授权，科技发展部管理者代表对建立、实施信 息安全管理体系并持续改进作出承诺：第一条通过内部网络、刊物、会议、培训等形式，向全体员工传达满 足客户和法律法规、监管要求及哈尔滨银行总行要求的重要 性，持续加强员工的信息安全意识，使员工积极参与提高信息 安全水平的相关活动。第二条制定信息安全方针，以明确科技发展部信息安全管理的宗旨和 方向。第三条实施管

20、理评审，确保信息安全管理体系的适宜性、充分性和有 效性。具体参见信息安全管理评审规定。第四条确保与建立和改进信息安全管理体系所需资源的充分获得和 有效配置。b) 资源提供为了保证信息安全管理体系的建立、实施、运行、监控、评审和 维护，最高管理者代表需确保提供并合理配置了所需的资源，并确保 承担信息安全管理体系工作的人员具备相应能力。具体要求包括：（一）组织科技发展部成立信息安全工作指挥小组及其办公室，确定科技发 展部范围内从事信息安全管理工作的专职、兼职人员，以保证体系的 运行。科技发展部确定从事信息安全工作的人员所必要的能力，提供所 需的教育和培训，评价所采取措施的有效性，确保员工意识到所从

21、事 活动的重要性以及如何为实现信息安全方针做出贡献。（二）职责科技发展部确保内部的职责权限得到有效定义和划分，确保科技 发展部信息安全管理体系得到有效运行。科技发展部的信息安全管理体系的机构设置详见信息安全组织 建设管理规定。（三）培训、意识和能力制定并实施人力资源管理文件，确保被分配信息安全管理体系规 定职责的所有人员，都有能力执行所要求的任务，为此必须：a.确定承担信息安全管理体系工作的岗位人员所必要的能力要 求。b.提供必要的职业技术教育和技能培训或采取其他的措施来满 足这些要求。C.评价所采取措施的有效性。d.保留教育、培训、技能、经验和资历的记录。c) 内部审核科技发展部规定了开展体

22、系内部审核的原则、频次、实施步骤等 内容，旨在通过内部审核，及时发现科技发展部信息安全管理体系在 符合性、有效性等方面存在的问题，及时采取纠正措施，保持科技发 展部信息安全管理体系的适宜性、充分性和有效性。内部审核适用于科技发展部各部门与信息安全管理有关的所有活动 的审核。具体参见信息安全内部审核管理规定。d) 管理评审每年(间隔不超过12个月)定期由科技发展部管理者代表主持 召开科技发展部信息安全管理体系管理评审会议，评价信息安全管理 体系的适宜性、充分性、有效性。具体工作依照信息安全管理评审 规定。管理评审需要输入文件，输入文件由各部门编制，应包括但不限 于：内部审核报告、纠正预防措施需求

23、及实施情况报告、上次管理评 审决议的落实情况、信息安全方针的修订需求等。管理评审会议的参加人员包括科技发展部及各中心负责人和相 关人员。管理评审的结果以决议形式下发，科技发展部及时组织学习并落 实，以确保有关决议的要求得到满足。管理评审活动相关记录由信息安全工作指挥小组办公室负责保 存。5、 体系改进a) 持续改进通过对内部审核等各项监测活动结果的分析，采集内外部与信息 安全管理有关的信息，为信息安全管理体系改进提供信息、，识别改进 的区域。通过管理评审，识别科技发展部信息安全管理体系改进的需要， 寻找改进的机会，明确改进的领域和具体的改进计划。以科技发展部使命和远景，以及信息安全方针为准则，

24、识别偏离 信息安全方针的原因或现行体系与适应其环境方面的差距，制定改进 的具体措施。实施改进措施并验证其结果，保持改进计划及其实施过程和结果 的相关记录。b) 纠正和预防措施纠正和预防适用于科技发展部对信息安全管理活动中发现的不 符合项和潜在的不符合项，制定、实施纠正措施和预防措施的过程， 旨在防止潜在不符合项的发生和不符合项的再次发生，促进信息安全管理体系有效性的持续改进。详细参见纠正预防控制管理规定。附件一:信息安全管理体系文件清单一阶文件HRBB-ISMS-01-01信息安全管理手册HRBB-ISMS-01-02 适用性声明 SOA二阶文件体系运行HRBB-ISMS-02-01信息安全方

25、针HRBB-ISMS-02-02信息安全管理体系术语定义HRBB-ISMS-02-03信息安全风险评估管理程序HRBB-ISMS-02-04文件控制管理程序HRBB-ISMS-02-05记录控制管理程序HRBB-ISMS-02-06信息安全管理评审程序HRBB-ISMS-02-07信息安全内部审核管理程序HRBB-ISMS-02-08信息安全目标与度量管理程序HRBB-ISMS-02-09纠正预防控制管理程序信息安全管理HRBB-ISMS-02-10信息安全组织建设管理程序HRBB-ISMS-02-11第三方信息安全管理程序HRBB-ISMS-02-12信息资产安全管理程序HRBB-ISMS-

26、02-13人员信息安全管理程序HRBB-ISMS-02-14物理和环境安全管理程序HRBB-ISMS-02-15信息安全事件管理程序HRBB-ISMS-02-16业务连续性管理程序HRBB-ISMS-02-17法律法规符合性管理程序信息安全技术HRBB-ISMS-02-18网络和系统安全管理程序HRBB-ISMS-02-19信息系统访问控制管理规定HRBB-ISMS-02-20信息系统开发与项目安全管理程序HRBB-ISMS-02-21日常运行安全管理程序HRBB-ISMS-02-22数据备份与恢复管理程序HRBB-ISMS-02-23介质管理与销毁管理规定信息安全检查HRBB-ISMS-02

27、-24安全检查与审计管理程序HRBB-ISMS-02-25安全职责考核管理程序适用性声明SoA标准款项控制项是否 选择控制措施说明控制描述SOC相关文件说明A.5安全方针A.5.1信息安全方针依据业务发展要求以及相关的法律法规为信息安全提供管理指导和支 持A.5.I.1信息安全方针 文件是信息安全方针文件应 由管理者批准、发布 并传达给所有员工和 外部相关方。科技发展部通过制定、发 布并维护与科技发展部 整体目标一致的清晰的 信息安全方针来表明管 理层对信息安全的支持 和承诺。信息安全管理手册信息安全方针A.5.1.2信息安全方针 的评审是宜按计划的时间间隔 或当重大变化发生时 进行信息安全方

28、针评 申，以确保它持续的 适宜性、充分性和有 效性。在每年的管理评审中或 发生重大变化时,科技发 展部对信息安全方针的 持续适宜性、充分性和有 效性进行评价，必要时进 行修订。信息安全管理手册信息安全方针信息安全管理评 审规定A.6信息安全组织A.6.1内部组织管理科技发展部内部信息安全A.6.1.1信息安全的管 理承诺是管理者应通过清晰的 说明、可证实的承诺、 明确的信息安全职责 分配及确认，来积极 支持组织内的安全。科技发展部管理者代表 对建立、实施、运作、监 视、评审并持续改进信息 安全管理体系做出承诺， 并通过一系列的活动提 供证实。信息安全管理手 册信息安全组织建 设管理规定A.6.

29、1.2信息安全协调是信息安全活动应由来 自组织不同部门并具 备相关角色和工作职 责的代表进行协调。信息安全工作指挥小组 办公室负责组织各部门 的相关角色和工作职能 的代表进行沟通协作，管 理者代表负责组织、发起 信息安全工作指挥小组 会议。信息安全管理手册信息安全组织建 设管理规定A.6.1.3信息安全职责的分配是所有的信息安全职责 应予以清晰地定义。科技发展部设立了完整 的信息安全管理组织，分 为决策监督、管理审计和 贯彻执行三个方面，并针 对信息安全工作指挥小 组、信息安全工作指挥小 组办公室、安全管理部、 各部门、各职能组、安全 管理员和全体员工的职 责进行了明确定义。信息安全管理手 册

30、信息安全组织建 设管理规定A.6.1.4信息处理设施 的授权过程是应为新的信息处理设 施定义和实施一个管 理授权过程。科技发展部要求新的信 息处理设施（计算机设 备、网络设备、基础环境 设施等）投入使用必须经 过相关部门评估，确保符 合安全策略要求才能投 入使用。网络和系统安全 管理规定A.6.1.5保密性协议是应识别并定期评审反 映组织信息保护需要 的保密性或不泄露协 议的要求。科技发展部要求所有员 工签订员工安全保密责 任书，要求第三方人员 签订第三方人员信息安 全承诺书。人员信息安全管 理规定第三方信息安全 管理规定A.6.1.6与政府部门的联系是应保持与政府相关部 门的适当联系。科技发

31、展部风险管理岗 负责与外部权威机构保 持适当联系信息安全管理手 册A.6.1.7与特定利益集 团的联系是应保持与特定利益集 团、其他安全专家组 和专业协会的适当联 系。科技发展部风险管理岗 负责与特定利益团体保 持适当联系。信息安全组织建 设管理规定A.6.L8信息安全的独 立评审是组织管理信息安全的 方法及其实施（例如 信息安全的控制目 标、控制措施、策略、 过程和规程）应按计 划的时间间隔进行独 立评审，当安全实施 发生重大变化时，也 要进行独立评审。科技发展部按计划的时 间间隔或发生重大变化 时，对组织的信息安全管 理方法及其实施情况（如，信息安全控制目 标、控制措施、策略、过 程和程序

32、）进行独立评 审.信息安全管理手册信息安全组织建 设管理规定信息安全管理评 审规定信息安全内部审 核管理规定信息安全管理评 审实施细则A.6.2外部各方识别行内协作方、第三方访问的风险，明确对行内协作方、第三方访 问控制的要求，并控制行内协作方、第三方带来的风险，保持被行内 协作方、第三方访问、处理、共享、管理的组织信息及信息处理设施 的安全A.6.2.1与外部各方相关风险的识别是应识别涉及外部各方 业务过程中组织的信 息和信息处理设施的 风险，并在允许访问 前实施适当的控制措 施。科技发展部在引入第三 方前对其可能导致的信 息安全风险进行评估，并 在批准第三方访问信息 资产前实施适当的控制，

33、 在第三方人员信息安全 承诺书中规定访问和工 作安排的条款和条件确 保第三方意识到其义务， 并接受与访问、处理、交 流或管理科技发展部信 息资产相关的责任和义 务。第三方信息安全 管理规定哈尔滨银行信息 化外包管理办法A.6.2.2处理与顾客有 关的安全问题是应在允许顾客访问组 织信息或资产之前处 理所有确定的安全要 求。科技发展部各部门负责 对对口的行内协作人员 传达信息安全管理要求。信息资产安全管 理规定A.6.2.3处理第三方协 议中的安全问 题是涉及访问、处理或管 理组织的信息或信息 处理设施以及与之通 信的第三方协议，或 在信息处理设施中增 加产品或服务的第三 方协议，应涵盖所有 相

34、关的安全要求。行内协作人员对各区域 的物理访问须经过科技 发展部相关负责人的授 权，并遵循信息安全相关 要求执行。信息资产安全管理规定第三方信息安全 管理规定A.7资产管理A.7.1对资产负责对科技发展部的信息资产进行有效保护A.7.1.1资产清单是应清晰的识别所有资 产，编制并维护所有 重要资产的清单.科技发展部在要求各部 门识别信息资产并为信 息资产赋予CIA属性值， 编制并保持所有重要资 产列表。信息资产安全管 理规定A.7.1.2资产责任人是与信息处理设施有关 的所有信息和资产应 由组织的指定部门或 人员承担责任。科技发展部明确各部门 负责人为部门信息资产 第一责任人，针对各项资 产指

35、定直接责任人并履 行相应的管理职责。信息资产安全管 理规定A.7.1.3资产的可接受 使用是与信息处理设施有关 的信息和资产可接受 使用规则应被确定、 形成文件并加以实 施。科技发展部已定义对于 各类信息资产的可接受 使用规则，并要求所有员 工以此为依据执行。信息资产安全管 理规定A.7.2信息分类按照法律法规要求和对科技发展部的重要程度对信息进行分类，确定 保护要求和等级，以确保对信息资产采取适当的保护A.7.2.1分类指南是信息应按照它对组织 的价值、法律要求、 敏感性和关键性予以 分类。科技发展部明确了信息 资产的分类分级标准并 要求员工以此对信息资 产进行分类。信息资产安全管 理规定A

36、.7.2.2信息的标记和 处理是应按照组织所采纳的 分类机制建立和实施 一组合适的信息标记 和处理规程。科技发展部明确了信息 资产的标记策略，并要求 对信息资产进行标记。信息资产安全管 理规定A.8人力资源管理A.8.1任用之前确保员工、行内协作方、第三方人员理解其责任，并能胜任其任务， 以降低资产被盗窃、非授权访问和误用的风险A.8.1.1角色和职责是雇员、承包方人员和 第三方人员的安全角 色和职责应按照组织 的信息安全方针定义 并形成文件。科技发展部明确了员工、 行内协作人员和第三方 人员的信息安全角色和 职责并已形成相关文件。人员信息安全管 理规定第三方信息安全 管理规定信息资产安全管

37、理规定A.8.1.2审查是关于所有任用的候选 者、承包方人员和第 三方人员的背景验证 核查应按照相关法律 法规、道德规范和对 应的业务要求、被访 问信息的类别和察觉 的风险来执行。科技发展部根据相关的 法律、法规和道德，配合 哈尔滨银行相关部门对 所有的求职者和第三方 人员进行背景验证检查， 该检杳与业务要求、接触 信息的类别及己知风险 相适宜。人员信息安全管 理规定第三方信息安全 管理规定A.8.1.3任用条款和条件是作为他们合同义务的 一部分，雇员、承包 方人员和第三方人员 应同意并签署他们的 任用合同的条款和条 件，这些条款和条件 应声明他们和组织的 信息安全职责。科技发展部在人员信息

38、安全管理规定中规定了 员工、行内协作人员、第 三方人员有关信息安全 的责任。人员信息安全管 理规定第三方信息安全 管理规定A.8.2任用中确保员工、行内协作方、第三方人员知道信息安全威胁、他们的职责 和义务，并准备好在其正常工作过程中支持组织的安全方针，并较少 人为错误的风险A.8.2.1管理职责是管理者应要求雇员、 承包方人员和第三方 人员按照组织已建立 的方针策略和规程对 安全尽心尽力。科技发展部管理层要求 所有的员工、行内协作人 员和第三方人员符合科 技发展部已建立的方针 和策略的安全要求。信息安全管理手册人员信息安全管 理规定第三方信息安全 管理规定信息资产安全管 理规定A.8.2.2

39、信息安全意识、 教育和培训是组织的所有雇员，适 当时，包括承包方人 员和第三方人员，应 受到与其工作职能相 关的适当的意识培训 和组织方针策略及规 程的定期更新培训。科技发展部要求对全体 员工和第三方人员（适当 时）进行信息安全意识培 训。信息安全方针、策略、 文件变更后，科技发展部 及时将变更信息传达到 全体员工。科技发展部风 险管理组和各部门通过 组织实施培训，确保员工 信息安全意识的提高，并 具有胜任所承担信息安 全工作的能力。人员信息安全管 理规定第三方 信息安全管理规 定A.8.2.3纪律处理过程是对于安全违规的雇 员，应有一个正式的 纪律处理过程。科技发展部要求对违反 科技发展部信

40、息安全方 针、策略和文件要求的员 工，从其行为造成的影响 程度出发进行处罚。安全职责考核管 理规定A.8.3任用的终止或变更确保员工、行内协作方、第三方人员在离职或服务结束前根据科技发 展部的要求终止其职责、归还相关资产并撤销其相应的访问权限A.8.3.1终止职责是任用终止或任用变更 的职责应清晰地定义 和分配。科技发展部要求在员工 离职前和第三方人员履 行完合同义务前，进行明 确终止责任的沟通，明确信息安全责任书或 保密承诺书以及聘用 条款及条件中的信息安 全职责要在员工离职后 和第三方人员履行完合 同义务后，持续一定时期 有效。人员信息安全管 理规定第三方信息安全 管理规定A.8.3.2资

41、产的归还是所有的雇员、承包方 人员和第三方人员在 终止任用、合同或协 议时，应归还他们使 用的所有组织资产。科技发展部要求员工离 职或工作岗位变动时，应 先办理资产归还手续。人员信息安全管 理规定第三方信息安全 管理规定信息资产安全管 理规定A.8.3.3撤销访问权是所有雇员、承包方人 员和第三方人员对信 息和信息处理设施的 访问权应在任用、合 同或协议终止时删 除，或在变化时调整。科技发展部在要求员工 离职或工作岗位变动时， 第三方及行内协作人员 完成相应工作后及时解 除访问权限，或根据变化 作相应调整。人员信息安全管 理规定第三方信息安全 管理规定信息资产安全管 理规定信息系统访问控 制管

42、理规定网络和系统安全 管理规定A.9物理和环境安全A.9.1安全区域防止对科技发展部场所和信息的未授权物理访问、损坏和干扰A.9.1.1物理安全周边是应使用安全周边（诸 如墙、卡控制的入口 或有人管理的接待台 等屏障）来保护包含 信息和信息处理设施 的区域。科技发展部对各类人员 在机房、生产运维区、办 公区、公共区等物理场所 的行为进行相应的管理。物理和环境安全 管理规定A.9.1.2物理入口控制是安全区域应由适合的 入口控制所保护，以 确保只有授权的人员 才允许访问。科技发展部要求对各区 域的进出口进行保护，确 保只有经过授权的人员 才可以访问。物理和环境安全 管理规定A.9.1.3办公室、

43、房间和 设施的安全防 护是应为办公室、房间和 设施设计并采取物理 安全措施。科技发展部在对办公室、 房间和设施的保护要求 遵照执行。物理和环境安全 管理规定A.9.1.4外部和环境威 胁的安全防护是为防止火灾、洪水、 地震、爆炸、社会动 荡和其他形式的自然 或人为灾难引起的破 坏，应设计和采取物 理保护措施。科技发展部对于机房、生 产运维区等重要区域已 设计并实施了针对火灾、 水灾、地震、爆炸、骚乱 和其他形式的自然或人 为灾难的物理保护措施。物理和环境安全 管理规定A.9.1.5在安全区域工 作是应设计和应用用于安 全区域工作的物理保 护和指南。科技发展部制定并实施 在各区域内工作的安全 要

44、求。物理和环境安全 管理规定A.9.1.6公共访问、交接 区安全是访问点（例如交接区） 和未授权人员可进入 办公场所的其他点应 加以控制，如果可能， 应与信息处理设施隔 离，以避免未授权访 问。科技发展部要求对于办 公区和公共区进行控制， 对于机房、生产运维区等 重要区域，通过对信息处 理设施加以隔离以防止 非授权的访问。物理和环境安全 管理规定A.9.2设备安全防止科技发展部信息资产的丢失、损坏、失窃等危及信息资产安全以 及导致各类业务的中断A.9.2.1设备安置和保 护是应安置或保护设备， 以减少由环境威胁和 危险所造成的各种风 险以及未授权访问的 机会。科技发展部要求对机房 及设备实施选

45、址安置和 保护，以减少来自环境的 威胁或危害，并减少未授 权访问的机会.物理和环境安全 管理规定环境设施和计算 机设备管理实施细 则A.9.2.2支持性设施是应保护设备使其免于 由支持性设施的失效 而引起的电源故障和 其他中断。科技发展部采取冗余供 电、UPS、等设施降低电 力中断的风险，同时通过 配置空调等其它支持性 设施以避免因为支持性 设施失效所导致的中断。物理和环境安全 管理规定环境设施和计算 机设备管理实施细 则A.9.2.3布缆安全是应保证传输数据或支 持信息服务的电源布 缆和通信布缆免受窃 听或损坏。科技发展部采取相应措 施保护电力和通讯电缆， 避免因此带来的服务中 断或数据泄密。为防止相 互干扰，电源电缆与通信 电缆分开。物理和环境安全 管理规定网络和系统安全 管理规定A.9.2.4设备维护是设备应予以正确地维 护，以