控制目标控制目标描述控制点信息资产管理策略识别并归类信息资产,落实资产责任,并采用恰当控制措施对信息资产进行风险管理。1.对所有信息资产及关键信息资产进行识别,建立资产清单,并明确信息资产的使用规则。2.要有明确的责任人,建立资产问责制。3.对信息资产进行管理,包括资产类别、资产标识、资产密级、资产所有权、面临的风险和控制措施的效果等。人力资源安全策略与人员任用相关的安全控制,以便对人力资源进行有效的安全管理。包括人员任用前,任用中,任用终止的安全管理。1.在人员任用前需实施安全控制。包括对新员工、合同人员的有关背景进行调查;正式告知相关的安全规定;确保人员的安全职责已于任用前通过适当的岗位说明书及相关协议加以明确说明。2.在人员任用中需实施适当的安全控制。所有员工、合同人员及第三方人员都需遵守信息安全守则及相关规定。3.在人员任用中止与任用变更时实施必须的安全控制。至少包括终止离职或变更的员工、合同人员和第三方人员的工作职责;收回离职的员工、合同人员和第三方人员所使用的相关物品与信息资产;需删除或变更他们对信息及信息系统的所有使用权和访问权;当有关人员的岗位改变时,需重新评估新岗位的安全责任,决定是否需要对其进行新的培训。个人PC安全,包括防病毒、锁屏、弱口令、敏感数据传输安全(介质、邮件、IM)介质安全,包括介质获取、使用和存放等安全漏洞管理,包括漏洞来源获取、修复期限、修复结果确认、奖惩措施等(操作系统、应用系统、网络设备)变更管理,保证变更过程的规范性和能回退。生产系统病毒防范,包括网络层、服务器和终端的防病毒要求数据备份和恢复,包括备份周期、方式、可用性测试等。网络安全管理策略,包括网络安全架构(网络可用性、安全防护)、访问控制策略、网络监控和审计、自身防护(弱口令、远程连接方式、最小化配置、补丁等)确保对通信和操作过程进行有效的安全管理,促进建立信息处理设施的管理职责,开发适当的操作和事故处理程序,降低非授权使用和滥用系统的风险,最终确保员工能正确、安全地操作信息处理设施。通信与操作管理策略主机\中间件安全管理策略,主要包括自身防护、账户权限管理等。数据库安全管理策略、主要包括数据库自身防护、账户权限管理。密钥管理,用于数据加密的密钥安全日志管理,包括日志统一收集、内容要求、存储周期、访问管理、备份和日志分析要求等。包括:业务日志、中间件日志、系统/设备日志系统监控,包括监控内容、要求、粒度和告警处理等。安全运维效果检查,包括各安全设备运维、告警分析等。IDS/IPS/IDP、WAF、堡垒机等。网络安全访问控制策略用户帐户及权限安全管理,主要包括账户在申请、使用、注销/变更流程中的安全要求。包括业务系统、系统设备/系统、SVN、OA和邮件系统等。数据库访问权限管理、重要数据访问权限检查产品设计的安全问题,包括产品框架缺陷、设计漏洞等产品安全编码问题代码安全管理、版本控制系统上线规范管理信息安全事件管理策略把信息安全事件的损害降到最低的程度,追踪并从事件中吸取教训,明确责任部门,建立评价和惩戒的机制,促进有效地对信息安全事件进行管理。1.形成信息安全事件的监控机制,及时发现信息安全事件和系统弱点,明确事件的类型、数量和影响等。2.建立信息安全事件响应程序,保障在信息安全事件和系统弱点报告后,能够立即依照规程进行有效处理。3.在信息安全事件处理后进行分析和总结,并追究相关人员责任,以便更好的预防和处理类似安全事件。加强信息系统开发、维护时对信息安全的管理与控制,确定获取、开发、维护信息系统所应遵守的关键控制点,预防与控制信息系统的风险。信息系统获取、开发与维护策略确保对通信和操作过程进行有效的安全管理,促进建立信息处理设施的管理职责,开发适当的操作和事故处理程序,降低非授权使用和滥用系统的风险,最终确保员工能正确、安全地操作信息处理设施。通信与操作管理策略访问控制策略采用技术与管理手段建立访问控制,保障应用系统、操作系统、网络系统等的信息安全,形成分层次、分权限的访问控制。业务连续性管理策略从业务出发,制定和实施完整的业务持续计划,由管理层形成业务持续战略方针,促进建立业务连续性计划,实现业务连续性管理。1.制定业务连续性管理制度。2.定期演练并评估演练结果。合规性策略信息安全服从国家的法律、法规要求,并遵守行业规范,符合相关技术标准的要求,以此促进合规性要求。1.信息安全要符合法律、法规、规章、合同的要求和其他的安全要求。2.需符合适用的安全政策、实施标准、技术符合性和文件化的安全控制措施与要求。如ISO27001/PCIDSS/央行技术标准等。责任部门考核依据(制度)检查方法检查周期所有部门1.各部门资产管理制度2.查看资产清单1.各部门资产管理制度2.查看资产清单一年人力资源部招聘管理制度离职(转岗)管理制度查看管理制度、抽样检查、人员离职账号检查一年审计所有应用系统系统部员工信息安全行为规范终端安全测试、员工信息安全行为规范定期内网PC安全扫描(每季度)不定期抽查员工行为规范检查系统部备份介质管理程序现场查看、介质使用记录审查一年系统部、开发部门漏洞管理漏洞修复跟进流程、生产网漏洞扫描系统层面每半年安全性评估及修复(系统版本漏洞管理)应用层面随时修复系统部变更管理制度历史变更事件的流程和文档审查一年系统部防病毒管理策略病毒防范情况一年系统部业务数据备份恢复策略文档审查,包括备份记录、演练记录等一年系统部网络安全管理策略、网络设备安全配置手册网络安全架构评估网络设备安全配置检查网络访问控制策略半年网络技术风险评估一年(扫描、漏扫、安全测试、配置管理等)网络外部端口扫描半年网络系统部服务器安全配置手册、中间件安全配置手册主机/中间件安全测试、安全配置检查技术风险评估一年(扫描、漏扫、安全测试、配置管理等)系统部数据库安全管理策略、数据库安全配置手册数据库安全测试、安全配置检查、技术风险评估一年(扫描、漏扫、安全测试、配置管理等)系统部密钥管理策略密钥存储方式系统部日志收集、分析情况的现场检查、堡垒机日志审查每年系统部系统部日常安全监控管理规范一年系统部各安全设备运维制度运维报告、告警处理记录的检查、堡垒机日志审查每季度系统部网络、主机访问控制策略外网端口扫描、生产网端口扫描网络访问控制策略审查防火墙策略检查系统部、业务部门、开发部门用户帐户及权限安全管理规范密码管理与RSASecureID管理制度用户账户和权限的定期审计、每年全部应用系统用户系统部、应用系统业务部门数据库访问权限管理、重要数据访问权限检查每年产品部门、开发部门产品安全设计规范产品安全设计需求评审产品上线的安全设计评审产品功能设计的安全评估新产品上线评审开发部门安全编码规范、指南产品上线安全设计线上安全测试、扫描新产品上线评审线上安全漏洞扫描一年覆盖全部系统开发部门源代码安全管理、版本控制一年3G产品安全评估新产品上线评审所有部门信息安全事件管理办法查看管理制度、抽样检查、查看跟踪整改结果一年所有部门各部门应急制度业务连续性管理办法一年所有部门一年