IT信息安全协作控制程序.doc

IT信息安全协作控制程序 1 目的 为与行业监管部门保持良好的沟通报告机制，保证公安机关在必要时介入安全事件的调查过程高效开展，保持全行范围及与其它第三方进行及时沟通，特制订本程序。 2 范围 本程序适用于IT信息与全行范围、监管部门、公安机关及其他第三方对有关信息安全事件、事故的沟通与协作。 3 相关文件 《物理访问控制程序》 《系统访问控制程序》 《应急预案》 4 职责 4.1 信息总经理负责信息安全协作及信息沟通的管理，各岗位负责信息沟通的具体实施； 4.2 信息安全管理委员会负责重大信息安全事件、事故的协调与协作的管理； 5 程序 5.1 信息管理 信息协商与交流体现在全行各部门、各层次以及监管机构和第三方机构的协作与合作上，要通过信息协商与交流，促进信息内部对管理承诺的理解和沟通，不断满足顾客及相关方的要求，以实现目标、指标的持续改进。信息运用各种信息沟通方式，及时、迅速地传送或传达到各岗位、各层次，完成相关信息的收集、汇总、统计、分析、处理、传递和归档工作，确保信息沟通有效运行，避免因信息交流的延误而导致科技信息风险的发生。 5.2 信息的沟通方式 文件； 从上级及外部接收的文件； 总行发文； 支行上报的文件。 各类会议； 网络平台：OA系统、E-mail； 各类行业资料。 5.3 内部信息沟通 5.3.1 行政信息的收集与传递 国家颁发的法律、法规和上级下达的文件和制度，外部来的各类文件，通过行内发文或OA系统进行传递和管理。 各管理岗位和支行的请示、报告及需要以信息名义发布的文件，通过拟文、会签、核稿、批准后发布、办理归档。 员工合理化建议。员工的合理化建议可通过书面或电子邮件直接提交信息总经理。 通知、通报、简报等以及社会媒体信息由总行相关职能部门进行公布、传达，凡需发布到全体职工的信息，由信息总经理指派相关人员组织落实，并做好相应记录。 5.3.2 运维信息的收集与传递 信息管理制度所要求的各类运行记录和报告，应根据管理规定的要求进行必要的报告和归档； 信息安全管理委员会对科技信息风险管理的各类会议记录，按照会议要求及时传递至相关岗位人员。 5.3.3 标准化信息的收集与传递 各类标准由相关专业职能部门负责与专业的第三方咨询机构或专业技术厂商进行沟通，搜集科技信息相关风险管理的标准，并通过传阅或组织内部培训的方式传达至相关人员。 5.3.4安全、紧急重大信息的收集与传递 安全信息的收集与传递 上级发布的事故快报，由总行下发，信息组织学习贯彻。本部门发生的人身伤亡事故、大面积停电事故、重大设备损坏事故等重大事故，由信息总经理向行领导汇报后，组织召开事故分析会并进行通报，并以发文或安全快报形式及时上报至监管机构，必要时下发到相关支行。 其他重大紧急信息的收集与传递 重要工作和重要活动、重要人员的活动、重大突发性事件等重大紧急信息，由信息即时向总行领导汇报，根据总行领导的意见，将处理意见传递到相关单位，并向上级有关监管机构汇报。 5.3.5网络与信息安全事件信息的收集与传递 发生网络与信息安全事件时，根据判别标准属于一、二级安全事件的情况，在启动应急预案的同时，信息总经理应立即用电话、当面汇报等方式向行领导报告，报告内容包括(1)事件发生的时间、地点、单位；(2)事件简述、损失初步情况；(3)事件发生原因的初步判断。经行领导批准后，立即向上级监管机构进行报告，必要时应向公安机关报告，并由信息总经理协同相关人员配合公安机关的调查工作。 5.3.6 信息安全的协调和协作 信息成立以总经理、信息安全管理者代表、各岗位负责人组成的信息安全管理委员会，进行信息安全协调和协作，以： a) 确保安全活动的执行符合信息安全方针； b) 确定怎样处理不符合事项； c) 批准信息安全的方法和过程，如风险评估、信息分类； d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露； e) 评估信息安全控制措施实施的充分性和协调性； f) 有效的推动组织内信息安全教育、培训和意识； g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。 信息安全管理委员会每季度召开一次内部协调会，对上一季度的信息安全管理工作进行总结，对体系运行中存在的问题进行解决，并布置下一季度的信息安全工作。会议由科信处负责组织安排并做好会议记录。 5.4 外部信息沟通 5.4.1 与监管机构的沟通 在发上以下情况时，应立即与监管机构进行沟通，寻求监管机构的协助： 发生一、二级的信息安全事故； 发生人身伤亡事故； 监管机构要求的报告；(如:实施重要外包应提前以书面材料报告银监会或其派出机构。) 其他需要沟通的情况。 5.4.2与信息安全权威机构和相关团体的联系 建立和信