银行信息安全制度文件控制

1.信息安全制度文件的控制总体要求

信息安全制度文件（包括记录）是银行重要的信息资产，为了规范对该类信息资产的保护，应建立文件化的程序来保证以下控制得到实施：

1）文件发布前得到批准，以确保文件是充分的。

2）必要时对文件进行评审、更新并再次批准。

3）确保文件的更改和现行修订状态得到识别。

4）确保在使用中可获得有关版本的适用文件。

5）确保文件保持清晰、易于识别。

6）确保外来文件得到识别。

7）确保文件的分发得到适当的控制。

8）防止作废文件的非预期使用。无论出于何种目的，如果需要保存作废的文件，应对这些文件进行适当的标识。

2.安全制度的发布与评审

安全制度发布前的批准和更新后的再批准可以保证文件的“合法”地位，而且管理者从全局的角度来审视该文件，可以保证其充分性、可行性；安全管理层对文件的签署还可以提高文件的重视程度，便于文件的推行。

安全制度文件的评审可以保证文件的持续适宜性和充分性。通常在下列时机应该进行文件评审：

1）信息安全管理体系发生重大变化时。

2）信息安全管理体系标准发生重大变化时。

3）银行组织结构发生重大变化时。

4）信息系统发生较大变化、运作流程发生重大变化时。

5）重大安全事件发生后或者特定安全事件频繁发生时。

在信息安全制度发布前批准和更新后的再批准同样需要依据制度的不同类别明确相应的管理职责，表6-1为典型的针对不同制度类别进行管理职责定义的示例。银行在具体的实践过程中，可以结合自身的治理模式、管理结构、安全工作开展形态对管理职责进行定义。

表6-1 不同制度类别的管理职责定义示例

3.安全制度的版本控制(www.xing528.com)

内部文件版本的控制和外来文件的控制，可以保证信息安全管理文件使用者能够及时获得适当版本的文件，避免由于使用过期文件造成工作失误。对于纸面文件，通常的做法是在发放新文件的同时，收回旧版本的文件；同一版本内文件的更改，可以通过更改记录表清楚标识。对于电子文件需要根据组织具体的发布渠道和方式，采用适合组织实际情况的方法来控制，并且只要能够达到相关文件的控制要求即可。

4.安全制度文件的密级管理及授权策略

作为银行内部较为敏感的一类信息资产类别，针对安全制度文件应采取授权访问的方式，通过明确定义文件的可访问级别，防止文件不必要的扩散所造成的安全隐患。

通常，信息安全制度文件的密级可定义为公开级、内部级和机密级。公开级文档密级最低，机密级文档密级最高。

1）公开级为常规性文档，所有人都有查阅的权限。

2）内部级为银行安全管理团队内部使用的资料，仅对银行安全管理团队内部员工提供查阅权限，若其他人员需要查阅相关文档，可以申请临时授权，经批准后才能查阅。

3）机密级文档为密级最高的文档，仅对银行管理层开放，对于非授权人员，可经过特殊授权获取临时查阅权限。

4）针对文档的访问授权，可以采取如下的方式：

①临时授权：若需要查阅文档的人员不在文档发布范围之内，可以采用申请授权方式获得获取临时查阅文档的权限，如申请查阅内部级和机密级文档。

②常规授权：若文档事先已确定其发布对象，可以采用常规授权的方式。

5.安全制度文件的标识

针对信息安全管理文件其标识编码可采用六段可变位数进行描述，具体内容见表6-2。

表6-2 信息安全制度文件标识

1）第一段（XXBank）代表银行的名称。

2）第二段（Lm，2位字符）代表安全制度的阶层，m分别取值0、1、2、3。

3）第三段（XXYY，可变字符数）代表制度制定的部门。

4）第四段（XXXXXX，可变字符数）代表流程、规范、细则等制度文档的中文名。

5）第五段（Vn.n，固定4位字符）代表版本号，对于已经发布的版本都是n.0，中间版本的文件取n.1～n.9。

6）第六段（XXYY，固定4位数字）代表发布年月。