1、ICS 03.060 A 11 道国和国国家标准+1: -、中华人民G/T 27910-2011 金融服务信息安全指南Financial services-Information security guidelines CISO/TR 13569: 2005 , MOD) 2011-12-30发布2012-02-01实施数码防伪中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会发布GB/T 27910-2011 目次前言.皿引言.凹1 范围-2 规范性引用文件.3 术语和定义.4 符号和缩略语.8 5 公司信息安全策略.9 6 信息安全管理一一安全方案.12 7 信息安全机构.13
2、8 风险分析和评估169 安全控制实施和选择.1710 IT系统控制201 实施特定控制措施.23 12 辅助项2613 后续防护措施2914 事故处置.附录A(资料性附录)示例文档.附录B(资料性附录)Web服务安全分析示例36附录c(资料性附录风险评估说明.40附录D(资料性附录)技术控制u参考文献.52 I GB/T 27910-2011 目。吕本标准按照GB/T1. 1-2009给出的规则起草。本标准使用重新起草法修改采用国际标准ISO/TR13569: 2005(金融服务信息安全指南。考虑到我国国情,在采用ISO/TR13569: 2005时技术内容做了以下修改z一一删除了原文中的5
3、.2法律和法规符合性,因为这部分内容主要描述了国外的法律法规要求,与国内情形不同;鉴于ISO/IEC17799:2005已于2007年7月正式更改编号为ISO/IEC27002:2005,标准中对该标准的元日期引用更换为对ISO/IEC27002的元日期引用;一将原文中的一些错误进行修正,如附录D.2. 4中的E.2. 3改为D.2. 3等。为便于使用,本标准还做了下列编辑性修改z一一-删除ISO前言。与本部分规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T 22081 信息技术安全技术信息安全管理实用规则CGB/T 22081-2008 , ISO/ IEC 27002: 200
4、5 , IDT) 本标准由中国人民银行提出。本标准由全国金融标准化技术委员会CSAC/TC180)负责归口。本标准负责起草单位:中国金融电子化公司。本标准参加起草单位z中国人民银行、中国农业银行、招商银行、上海浦东发展银行、中国信息安全测评中心、中钞信用卡产业发展有限公司。本标准主要起草人:王平娃、陆书春、王韬、杨倩、李曙光、刘运、王连强、戴忠华、唐步天、李同勋、陈杰、李安安、赵志兰、贾树辉、田洁、景芸、张艳、马小琼。mu GB/T 27910-2011 引随着计算机和网络技术的引人,金融业务的实现方式发生了巨大变化,具体体现在对电子交易的依赖性不断增加,从而带来了对信息和通信技术安全进行管理
5、的需求。每天大量的资金和证券交易信息通过电子通信方式进行传输,这些通信方式均由基于业务规则的安全策略所控制。开放环境中巨额、海量的电子交易给金融机构带来了巨大风险。高度互连的网络和日益增加的技术高超的恶意攻击者给银行和银行客户加重了风险,并且当金融交易涉及重要的支付系统时,这些后果可能对国内外金融市场产生不良影响e为了在开放环境中拓展金融业务的同时,进行有效的风险管理,金融机构应该建立一个强有力且有效的企业级的信息安全方案。金融机构应像建立业务惯例和相关协议、外部采购流程、保险等适当的安全控制措施一样,来精心构建信息安全方案,降低风险,满足国内外法律法规的要求。正如巴塞尔协议给我们的警示,运营
6、、法律和法规风险可以导致或者恶化信贷和流动性风险。管理这些风险已成为金融机构信息安全方案的核心。为具体掌握风险,每一个机构必须按照其自身业务活动对其进行诠释。运营风险包括欺诈和犯罪活动、自然灾害、恐怖活动等,必须给予仔细考虑。针对小概率事件也必须制定应对计划,例如2004年12月亚洲海啸和2001年9月11日的恐怖袭击。本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案,同时它也为金融机构服务提供商提供了指南。对于面向金融业的培训机构和出版商,本标准也可作为原始文档。本标准的目标是:定义信息安全管理方案;提出方案的策略、组织和必要的结构化组件;一一提出在金融应用中基于可
7、接受的审慎业务措施来选择安全控制措施的指南;一一提出信息安全管理方案中系统化解决法律法规风险的金融服务管理需求。本标准并未面向所有金融机构提供一个单一的、一般性的解决方案。每个金融机构必须进行风险分析并选择适当的措施。本标准是提供过程管理的指南,而不是具体的解决方案。N G/T 27910一2011金融服务信息安全指南1 范围本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论,机构和方案的结构化法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容,以及在现代化金融服务机构中管理信息安全风险的要素,并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准还包括对法
8、律法规符合性问题的讨论,这需要在方案的设计和实施阶段予以考虑。本标准适用于金融机构制定信息安全方案时的参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO 9564(所有部分)银行业务个人识别码的管理与安全(Banking-Personal Identification Number (PIN) management and security) ISO 10202(所有部分)金融交易卡使用集成电路卡的金融交易系统的安全体系(Financialtransactio
9、n cards-S巳curityarchitecture of financial transaction systems using integrated circuit cards) ISO 11568(所有部分)银行业务密钥管理(零售)(Banking-Key management (retail) ISO/IEC 11770 (所有部分)信息技术安全技术密钥管理CInformationtechnology-Security techniques二Keymanagement) ISO 15782(所有部分)金融业务证书管理(Certificatemanagement for financ
10、ial services) ISO 16609: 2004银行业务采用对称加密技术进行报文鉴别的要求(Banking-Requirements for message authentication using symmetric techniques) ISO/IEC 27002信息技术安全技术信息安全管理实用规则(Informationtechnology Security techniques一Codeof practice for Information security management) ISO/IEC 18028(所有部分)信息技术安全技术IT网络安全(Informationt
11、echnology-Secu rity techniques二ITnetwork security) ISO/IEC 18033(所有部分)信息技术安全技术加密算法(Informationtechnology-Security techniques一Encryptionalgorithms) ISO 21188 用于金融服务的公钥基础设施业务和策略框架(Publickey infrastructure for finan cial services-Practices and policy framework) 3 术语和定义下列术语和定义适用于本文件。3. 1 访问控制access cont
12、rol 指仅允许经授权的人员或应用进行信息访问(或信息处理设施访问)的功能,包括物理访问控制(在未授权人员和被保护的信息资源之间放置物理障碍)和逻辑访问控制(采用其他方法进行限制)。GB/T 27910-2011 3.2 可核查性accountability 确保实体活动可追溯到惟一实体的属性。ISO 7498-2;ISO/IEC 13335-1 :2004,定义2.1J 3.3 警报alarm 安全违规、异常、危险状态的指示,需要立即关注。3.4 资产asset 对于机构有价值的任何事物。ISO/IEC 13335-1: 2004,定义2.2J3.5 审计audit 指确认控制措施得当,充分
13、满足功能,并且报告针对相应管理级别的不足之处。3.6 审计日志audit j()urnal 系统运行的时序记录,该记录足够重建、复审、检查环境的系列事物和周边行为,或导出一笔交易从起始到输出最终结果路径中的每个事件。ISO 15782-1:2003,定义3.3J3. 7 鉴别authentication 确认实体声称身份的过程。ISO/IEC TR 13335-4: 2000,定义3.1J 3.8 真实性authenticity 应用到如用户,过程,系统和信息等实体上的属性,以确认对象或资源的身份是其所声称的。3.9 3. 10 3. 11 3.12 3. 13 2 可用性availabili
14、ty 授权实体在需要时可访问和可使用的性质。ISO 7498-2;ISO/IEC 13335-1:2004,定义2.4J备份back-up 业务信息的存储,一旦遇到信息资源丢失,可确保业务的持续性。生物特征biometric 可测量的用于识别个人身份或验证声称的生物或行为特征,该特征可有效区分一个人和其他人。ANSI X9. 84: 2003J 生物特征识别biometrics 基于生物或行为特征,确认个人身份或验证其声称身份的自动方法。卡鉴别方式card authentication method CAM 一种概念,允许对金融交易卡以机读的方式进行惟一性识别,并且防止卡的复制。GB/T 27
15、910-20门3.14 3. 15 3. 16 3.17 3. 18 3. 19 3.20 3.21 分类c1assification 把信息进行划分(例如按照潜在欺骗、敏感性或信息关键度以便应用适当控制措施的方法。机密性confidentiality 信息对未授权的个人、实体或过程不可用或不可泄漏的特性。ISO 7498-2; ISO/IEC 13335-1: 2004,定义2.6;ISO15782-1:2003,定义3.19J应急计划contingency plan 使公共机构在自然或其他灾害之后能恢复运行的规程。控制措施control 见防护措施。公司信息安全策略corporate in
16、formation security policy 建立信息安全方案的意图和目标的一般声明。信用风险credit risk 一方在到期日或未来的任意时候不能偿还其债务而产生的风险。CPSS,全局性重要支付系统核心原则关键度criticality 为完成交易,对某项信息或者信息处理设施的需求度。密码学cryptography -用于加密或者信息鉴别的数学过程。3.22 密码鉴别cryptographic authentication 基于数字签名及按照ISO16609产生的报文鉴别码进行鉴别的方式,其中所用密钥是按照ISO 11568分发的,或者通过对报文的成功解密推出(该报文使用ISO/IEC
17、11770分发的密钥,通过ISO 18033与ISO/TR19038或ANSIX9. 52加密)。3.23 密钥cryptographic key 用于控制加密,或者鉴别等密码过程的值。注2获得正确的密钥信息才能保证报文的正确解密或报文完整性的验证。3.24 3.25 信息破坏destruction of information 无论何种原因,导致信息不可用的任何情形。数字签名digital signature 对一个数据单元进行密码变换,以提供数据源鉴别、数据完整性和签名人抗抵赖性服务。ANSI X9. 79J 3 GB/T 27910-2011 3.26 3.27 3.28 3.29 3.
18、30 3.31 信息泄漏disclosure of information 未经授权的信息浏览或可能的浏览。双重控制dual control 利用两个或多个不同实体(通常是人)协同操作保护敏感功能和信息的过程。注1:对交易中易受攻击要素提供物理保护,各个实体负有同等的责任。单个人不可以接触和使用这些要素(如加密密钥)。注2:对手工密钥和证书的产生、传输、导人、存贮和恢复,双重控制要求实体间密钥分割。注3:当要求使用双重控制时,要特别注意确保彼此之间的独立性。见密钥分割。ISO 15782-1: 2003,定义3.31J 加密encryption 一个信息转换过程,可使信息转换到除了特定密钥持有
19、者以外,其他人均无法理解的形式。注:加密可为加密过程和解密过程(加密的逆过程)之间的信息提供保护,避免信息泄漏。防火墙firewall 防火墙是放置在两个网络之间的组件的集合。该组件具有以下共同特性:二一所有网络间的信息往来都必须经过防火墙;-一经本地安全策略定义,只有授权的通信被允许;一一防火墙本身对渗透具有免疫性。i只另IJidentification 判断实体惟一身份的过程。映像image 在信息处理系统中处理和存储文档的数字化表示。3.32 3.33 4 事故incident 任何非预期和非期望的可能导致损害交易活动或信息安全的事件,例如:一一丢失服务,设备或设施;系统故障或过载;人为
20、错误;不符合策略或指南;破坏物理安全安排;一一不可控的系统变更;一一硬件或软件故障;一一访问侵害。ISO/IEC 13335-1:2004,定义2.10J 信息处理设施information processing facility 任何信息处理系统、服务、基础设施或放置它们的物理场所。ISO/IEC 13335-1:2004,定义2.13J GB/T 27910-2011 3.34 信息information 任何以电子形式、书面形式、会议讲话或者其他媒体形式出现的,由金融机构用于做决定、转账、设置利率、放贷、处理交易及其他类似数据,包括处理系统的软件组件。3.35 3.36 信息资产info
21、rmation asset 机构的信息或者信息处理资源。信息安全information security 涉及定义、实现和维护信息或信息处理设施的机密性、完整性、可用性、抗抵赖性、可核查性、真实性和可靠性的所有方面。3.37 3.38 3.39 3.40 ISO/IEC 13335-1: 2004,定义2.14J 信息安全宫(lSO)information security officer (lSO) 负责执行和维护信息安全方案的人员。信息设备information resources 用于处理、沟通或者存储信息的设备,不管其在机构之内还是机构之外,例如电话、传真和计算机。完整性integri
22、ty 维护资产准确和完整的性质。ISO/IEC 13335-1: 2004,定义2.15J 密钥key 见密钥(cryptographickey)。3.41 3.42 3.43 3.44 3.45 空头支票kitting 使用无效支票获得信用或金钱。法律风险legal risk 由于未预期到的法律或法规的实施或者由于合同元法执行而造成损失的风险。CPSS,全局性重要支付系统核心原则保证函letter of assurance 代表信函的接受方,说明信息安全控制措施的文档,用于所持有信息的保护。流动性凤险liquidity risk 当一方没有充足的现金偿还其到期债务时而产生的风险,虽然未来的某
23、些时候可能有能力偿还。CPSS,全局性重要支付系统核心原则报文鉴别码message authentication code ,MAC 发送方附加在报文之后的代码,它是对报文进行密码处理的结果。注:如果接收方能够产生相同代码,那么就可以确信报文没有被修改,并由适当的密钥持有人所产生。5 GB/T 27910-2011 3.46 3.47 3.48 3.49 3.50 3.51 3.52 3.53 3.54 信息更改modification of information 信息的未授权变更或者意外变更,不论其是否被检测到。须知need to know 对具有某些职责的人员,限制其对信息和信息处理资源
24、进行访问的一个安全概念。网络network 若干用户共享的通信和信息处理系统的集合。抗抵赖性non-repudiation 证明一个活动或事件已经发生,且不可否认的能力。ISO/IEC 13335-1:2004,定义2.16J操作风险operational risk 由与设备运行相关的因素导致的信贷或流动性风险,例如技术故障或操作错误。CPSS,全局性重要支付系统核心原则信息所有者owner of information 负责收集和维护特定信息的人或者功能。口令password 用于鉴别用户的字符串。审慎业务实践prudent business practice 被普遍接受的必要的业务实践集。
25、可靠性reliability 计划行为和结果的一致性。ISO/IEC 13335-1: 2004,定义2.17J3.55 3.56 3.57 6 残余风险residual risk 风险处置后仍残余的风险。ISO/IEC 13335-1: 2004,定义2.18J 凤险risk 威胁利用一个或一组资产的脆弱性对机构造成损害的潜在可能性。注2可根据事件的概率和结果的组合来衡量。ISO/IEC 13335-1: 2004,定义3.19J凤险接受risk acceptance 与策略例外相联系的经核准的风险。3.58 3.59 3.60 3.61 3.62 3.63 3.64 3.65 3.66 3
26、.67 3.68 3.69 G/T 27910-2011 凤险分析risk analysis 估计风险程度的系统过程。ISO/IEC 13335-1: 2004,定义2.20J凤险评估risk assessnnent 风险识别,风险分析和风险评价的整个过程。ISO/IEC 13335-1: 2004,定义2.21J凤险评价risk evaluation 按照事先制定的准则分析风险级别、确定需要实施风险处置领域的过程。凤险识别risk identification 通过分析业务目标、威胁和脆弱性等进行识别风险的过程,以此作为进一步分析的基础。凤险管理risk nnanagennent 识别、控制
27、、清除或最小化不确定事件的全部过程,该不确定事件可影响信息和通信系统资源。ISO/IEC 13335-1: 2004,定义3.22J风险处置risk treatnnent 选择和实施措施以改变风险的过程。防护措施safeguard 处置风险的实践、规程或机制。注防护措施术语可等同于术语控制措施。ISO/IEC 13335-1: 2004,定义2.24J安全security 系统免于未授权访问、或遭受不可控损失和影响的性质和状态。注1:实践中绝对的安全是不存在的,系统的安全性是相对的。注2:在一个以各种状态展现的安全系统中,安全是在各种操作下所保持的特定状态。服务器server 给其他计算机提供
28、若干服务的计算机,例如处理通信、文件存储接口或打印设施等。登录sign-on 完成用户身份识别和鉴别。知识分割split knowledge 把关键信息拆分多个部分,使得必须具备最小数量的部分才能执行一项活动。注:知识分割常用于双重控制的实施。储值卡stored value card 能够存储和转移电子现金的介质。7 GB/T 27910-2011 3. 70 系统性凤险町stemicrisk 由于参与者无法履行义务或系统自行中断,导致其他系统参与者或金融系统其他部分的其他参与者在必要时无法履行义务的风险。3.71 3. 72 注:这样的错误将导致流动性或信贷问题的广泛扩散,结果将威胁系统或金
29、融市场的稳定性。CPSS,全局性重要支付系统核心原则威胁threat 导致系统或机构受损的事故的潜在原因。ISO/IEC 13335-1: 2004,定义2.25J令牌token 用户控制的包含在电子商务中用于鉴别和访问控制的信息的设备(例如磁盘,智能卡,计算机文件。3. 73 用户IDuser ID 用于惟一标识系统中每个用户的字符巾。3.74 脆弱性vulnerability 可能被一个或多个威胁所利用的一个或一组资产的脆弱性。lSO/IEC 13335-1: 2004,定义2.26J4 符号和缩瞄语ATM 自动柜员机CEO 首席执行官CFO 首席财务官CIO 首席信息官CISO 首席信息
30、安全官COO 首席运营官CPSS 支付和结算系统委员会CTO 首席技术官D肌1Z非军事区ETF 电子资金转账FTP 文件传输控制HTTP 超文本传输协议HTTPS 安全超文本传输协议ICT 信息和通信技术IDS 入侵检测系统IP 网际协议IPSEC IP安全协议IT 信息技术LAN 局域网8 GB/T 27910-2011 LEAP 轻量级扩展代理平台MAC 报文鉴别码OS 操作系统PC 个人电脑PDA 个人数字助理PEAP 保护扩展鉴别协议PIN 个人识别码POTS 普通老式电话业务RF 射频SMTP 简单邮件传输协议SSH 安全壳SSL 安全套接层USB 通用串口总线VPN 虚拟专网VTA
31、M 虚拟终端存取方法WAN 广域网Wi-Fi 无线相容性认证标准WS Web服务XML 可扩展标记语言5 公司信息安全策略5. 1 目的现今所有金融服务机构高度依赖信息技术(lT)以及信息通信技术(ICT)的应用,因此需要保护信息和管理信息资产的安全。为使管理者履行他们的职责,必须考虑信息安全并且使信息安全管理成为机构管理计划的组成部分。制定信息安全方案是一个审慎业务实践,它帮助金融服务机构识别和管理风险。本标准推荐一个通用的,基于策略方法来实施信息安全管理的指南,使得金融机构根据其业务目标提炼出其所需要的信息安全管理方案,保护IT资产的策略和规程应支持业务目标。基于策略的方法适用于不同规模、
32、不同的管理风格和不同组织形式的机构。本标准提供指南而非具体的解决方案,这些指南可用于信息安全管理的各个方面,并在制定和维护信息安全方案方面提供协助。其他相关文献,特别是ISO/IEC27002,提供了通用的、对实施和保护很有价值的具体信息,比较而言,本标准将讨论法律法规的要求,当金融机构建立基于策略的信息安全管理方案时必须考虑这些要求。5.2 制定安全策略在确立机构信息安全目标和评估法律法规影响之后,应制定与已确立商业目标一致的行动计划。这个计划用于作为制定一个公司信息安全策略(策略)1)的路线图。公司制定一个考虑到公司目标及其组织特殊性的策略是很关键的。该安全策略应与公司业务、文化和业务运营
33、的法律法规环境相一致。策略的制定对确保风险管理安全方案处理结果的适用性和有效性是至关重要的。机构管理者应对策略的制定和有效实施提供支持。安全策略同公司商业目标结合1) 本文裆通篇中策略代表公司信息安全策略。9 GB/T 27910-2011 时,该策略将有助于资源使用效率的最大化,并且确保对一系列不同信息系统环境有一个一致的安全方法。5.3 文档层次5.3. 1 综述5.3. 1. 1 概要本指南描述了三个层次的信息安全方案文档。分别为公司信息安全策略(策略)文档,安全实践文档和可操作的安全规程文档2)。文档的层次和每层的含义如图l所示。由上层管理者发布的安全要求,定义一般安全原则支持和分解的
34、一般安全原则,该原则提供清楚的方法以达到安全在一定技术水平上的对实践的归纳,提供实施所要求规程的指南图1方案文档信息安全文档应从高层的机构目标到底层的实施安全策略的设备的具体安全设置。一般性信息和特定信息最好由多个层次文档进行涵盖。层次数量应保持最少,本指南推荐三层:策略文档、安全实践文档和可操作的安全规程文挡。当最新出现的技术引人机构时可要求附加文档。策略文档经常是简单的一页,规程文档可包含很多页以说明机构内单独的、特殊的环境、业务单元和策略。在某些情况下,一个单一的、有明确界限的系统也可有自己的安全实践文档。所有的实践和规程应采用从宏观描述到详细描述的结构,并同公司风险评估和整体策略保持一
35、致。5.3. 1. 2 公司信息安全策略策略文档是信息安全方案的所有文档系列中最小的。典型情况下,策略用很少的文字来说明:管理者把各种形式的信息作为应保护的有价值的公司资源。策略应覆盖较广的范围,尽可能简明扼要的阐述,但应提供被保护资产的详细信息,例如客户数据,雇员记录,合作伙伴的约定和过程。例如,一个非常简单的策略文档可包含这样的单一声明公司所有信息资产的机密性、可用性和完整性应通过合适的安全控制措施得到保护。2) 这个术语和层次没有定义。机构可以使用更多的层次和不同的术语。10 G/T 27910-2011 策略文档是一个概要的文档、应在一定范围内可理解,是信息安全方案的文档中对机构的影响
36、最大的文档。在特定的时间内,应仅存在一份策略文档实例并应在全机构颁布。它应由负责信息安全的董事会成员,例如首席执行官CCEO)和首席信息官CCIO)签署。策略文档本质上应是公开的,并广泛分发,可为所有公司股东得到。它应强调保护和提供信息资产是管理者和所有雇员的责任,最高级别管理者应得到安全方面的培训并对安全问题有清醒认识。所有股东应清晰认识到以下内容z策略文档是由公司官员和董事会人员直接授权的。策略文档应根据本地和国际相关法律法规的约束说明机构的运营目标,根据国内和国际标准认可的合理原则和实践构建信息安全方案的基础。策略文档应基本保持固定。仅当战略目标转变时、已知业务风险变更时或影响公司运营法
37、律法规环境的事件出现时,它才应变更。公司官员和董事会人员指明变更的控制参数和规程。5.3. 1. 3 代表当制定策略时,来自各种职能部门的代表应参与。制定组应包括董事会董事、执行官、法律代表、风险管理委员会和审计委员会成员。在策略的形成过程中,制定组将从专家和业务人员处获得有关方面的信息,例如信息技术、物理安全和财务功能。5.3.1.4 信息分类实施信息安全策略的一个方面是信息分类。类似于军事系统分为最高机密、机密和非密一样,金融机构的信息也有不同的价值。信息资产分类的结果将指出何时应实施好的、更好的或最好的控制,有很多不同类型的分类体系,对金融机构来说,重要的是定义信息分类级别和信息分类对制
38、定可接受风险决策的影响。例如,某个风险对公开信息是可接受的但对高一级分类信息则是不可接受的。信息分类的一个好处是管理者可告知雇员:期望雇员如何处理信息。如果一个文档、文件或数据库包含不同级别的信息,应根据其中含有的最高级别信息对应的规程处置。认识到信息级别在它使用周期中可变化是很重要的。这些变化应置于机构策略控制下。5.3.2 安全实践文挡安全实践文档衍生于策略文档。这些文档描述了机构应遵守的一般安全条款。在创建信息安全方案中它们反映最高级别管理者的意图和设置的目标,文档目的是通过独立的技术方法实施策略。每个安全实践文档在范围上比策略文档狭窄。每个实践文档在技术上中立并且包含机构安全要求的描述
39、内容。特定实践文档的大小是变化的和依赖主题的。实践文挡的数量应保持最少。文档需要的数量依机构规模和业务需要以及机构活动范围和复杂性而有所区别。影响机构的法律法规同样影响所需实践文档的数量。实践文档不是公开的3)。它本质上是通用目的、技术中立的。与策略文档相比缺乏概括性,因仅应用于机构的某个方面,所以可能对机构没有整体影响。例如,一个简单的实践文档仅包含如下简单内容:对公司信息资产的访问应以与资产敏感性相对应的方式鉴别。双因素鉴别(基于生物特征识别和基于口令)是可接受的最低鉴别级别。在访问被资产所有者分类为机密的资产时仅应采用三因素鉴别。双因素鉴别(基于生物特征识别和基于口令)的访问控制系统应遵
40、守如下规则虽然实践文档的权限衍生于必须严格遵守的策略,但比策略文档更具有可变性。这是因为当识别3) 可能有时需要为规则制定者提供实践文档。的名词三因素通常解释为你有什么,你知道什么和你是什么。你有什么一可以是一张卡或一个标志。你知道什么可以是PIN或口令。生物特征可以代表你是什么。11 GB/T 27910-2011 出新的风险,应用了新的控制措施时,它们容易频繁地发生变更。每个实践文档有其严格限制的读者,因为它通常影响机构或业务单元的一个特定部分而不影响机构的整体安全管理方案。实践文档包含一个指导读者和每个实践文档的所有者的章节,这是有好处的。实践所有者可能是一位业务经理、一位IT经理或运行
41、主管。文档中包含给定实践信息的分类方法也有好处,分类的目录指明了要求的信息保护级别。5.3.3 可操作的安全规程文档可操作的安全规程文档衍生于一个或多个安全实践文档。它们的长度随规程的主题和复杂性而不同。在所有文档中这些文档的范围最狭窄。它们是策略如何实施的专业技术性描述。这些文档应用于实际的业务系统中,特定供货商的产品细节都包含在依赖平台的文档中。应根据需要制定相应的规程文档。制定文档时应保证文档是完整的、准确的和恰当的,并且不能同其他实践或策略冲突。在一个非常简单的规程文档中可能包含如下内容:使用pwadmin命令确保用户口令满足公司访问控制和鉴别实践文档中建立的标准。接下来的命令是.规程
42、文档应符合机构整体策略和规程所依据的实践。规程文档不能与基于策略的实践冲突,并应对法规限制、外部生产标准和其他规程文档予以考虑。规程文档应包括:先前的包含任何残余风险标识的安全风险分析和管理审查结果、随后行动的结果(诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动监控和审查列表以及安全相关事故的报告。6 信息安全管理一一安全方案6. 1 概要实施策略需要信息安全方案。在公司管理的最高层次上,公司管理的企业文化和强制控制措施应和员工交流,并定期强调这些企业文化和控制措施的重要性。信息安全既是个人的责任,也是基于团队合作的过程。信息安全方案的制定、维护、改进和监控需要机构内多个专业部门的
43、协同参与。业务经理和信息安全职员应紧密协作。诸如审计、保险、法规符合性、物理安全、培训11、职员、法律等方面的规定应用于支持信息安全方案。6.2 方案建立本标准最重要的建议是机构应建立一个信息安全方案。在公司管理的最高层次上,方案应遵循机构建立的策略。信息安全方案应提供符合策略的、覆盖整个机构的信息安全建立和维护机制。制定一个详细的信息安全过程和规程可能要求机构内不同业务职能角色的合作,包括审计、风险、符合性、保险、负责法律法规符合性的官员以及合伙人和客户。6.3 安全意识安全意识方案应包括安全教育和安全意识,确保所有雇员了解与他们和他们周围人的活动相联系的安全问题并保持警觉。方案的结构应能使
44、雇员知道他们的安全职责,应给对安全方面有兴趣的雇员提供资源并鼓励他们扩充知识。6.4 审查应指派一个或更多的机构官员承担对信息安全方案的责任,及时审查和更新方案,同时当新的威胁和技术出现时,确保必要的防护资金投入。方案应包括建立履行信息安全方案所需要的职责的详细的GB/T 27910-20门过程和规程,以检查和报告信息安全方案的合理性及符合性。各个层次的管理者,包括执行层,可得到所有的监控和审查报告。应明确对任何策略例外或偏差进行考虑的规程并形成文档。还应有对产品必要的审计、符合性记录和监控安全审计日志信息的规程。应引起特别关注的是:识别审计日志信息的风险、为减少这些风险制定的要求,以及那些为
45、确保信息安全资产得到充分保护所规定的要求。6.5 事故管理所有信息安全事件应迅速报告、文档化并根据机构实践予以解决。当未预期到的信息安全事件很可能破坏业务运营和威胁信息安全时,它们就成为必须说明的信息安全事故。安全专家在重新评估风险和选择实施安全控制中都使用事故和事件。进行信息安全方案改进时也使用事件和事故。6.6 监控应建立正式的机制报告入侵、系统故障和其他安全事故,应在审查过程中使用安全事故论证结果和事故管理文档结论,以影响防护措施投资和保护资产的控制措施,使其在过期后能得到重新评价和变更。6. 7 符合性应由独立的审查确保实践符合已建立的策略并且有充分和有效的控制措施。任何被许可免除的审
46、查应及时文档化并限定时间以便可定期重新评估。6.8 维护已制定的控制措施,如防火墙和病毒扫描软件应定期更新以便有效防护新威胁。6.9 灾难恢复信息安全方案应标明在破坏事件中对机构持续业务运营活动起关键作用的信息资产。应在方案中对灾难后业务的恢复制定详细的书面计划。在制定计划时,应考虑掌握关键技能的员工、法律协定、信息备份系统以及可用作替代的支持关键业务活动的处理资源和场所等方面,并且这些灾难恢复计划应定期检查和评估。7 信息安全机构7. 1 承诺机构范围内信息安全方案目标的承诺,应基于机构对信息安全需要的理解。机构应通过愿意为信息安全活动投入资源和说明其信息安全需要来证明履行其承诺,机构最高层
47、应关注信息安全对机构的意义,以及信息安全的范围和程度。信息安全目标应在整个机构发布。每个雇员和承包商应知道他们的角色、责任和他们对信息安全的贡献,应赋予他们适当的权力去完成这些目标。7.2 机构结构7.2.1 角色和责任信息安全方案的目的是确保信息资产的机密性、完整性、可用性。达成这些目标是一项跨专业部门的工作。应适当划分责任并分配给相应角色。规程应确保所有重要的工作以有效方式执行并完成。GB/T 27910-2011 7.2.2 管理者金融机构的管理者对机构和股东负有监督机构业务管理实践的责任。有效的信息安全实践构成审慎业务实践,并体现其对建立公众信任的重视。管理者应传达信息安全是机构的重要目标的观念,并支持信息安全方案。7.2.3 审计委员会金融机构审计委员会在监管中协助
