银行信息安全规划的形式

信息安全规划的方法可以不同，侧重点也可以不同，但是需要围绕技术安全、管理安全、运维安全等进行全面的考虑。规划的内容基本上应该涵盖：确定信息安全的任务、目标、战略及战略部门和战略人员，并在此基础上制订出物理安全、网络安全、系统安全、运维安全、人员安全的信息安全总体规划。物理安全包括环境设备安全、信息设备安全、网络设备安全、信息资产设备的物理分布安全等；网络安全包括网络拓扑结构安全、网络访问安全等；系统安全包括操作系统安全、应用软件安全、应用策略安全等；运维安全应在控制层面和管理层面得到保障，包括备份与恢复系统安全、漏洞检查及系统补丁功能、口令管理等；人员安全包括安全管理的银行机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。

信息安全规划的形式包括信息安全战略规划、信息安全体系规划及信息安全重要内容规划，如图8-2所示。

图8-2 信息安全规划的形式

1.信息安全战略规划

进行信息安全战略规划，通过规划进行详细的信息安全战略分解，对于信息安全愿景、目标、关键指标、管理层承诺、战略实施方法及信息安全战略如何落实业务战略和科技战略等内容进行系统阐述。

1）规划内容：信息安全愿景、目标、关键指标、管理层承诺、战略实施方法及信息安全战略如何落实业务战略和科技战略。

2）承担主体：外部机构为主。

3）规划期限：每3～5年定期进行。

4）规划要点：形成专门的信息安全战略规划制度，保证其执行。在战略规划前进行安全战略的重检。每年年初对规划内容进行细化分解，年末对规划的执行情况进行评价。

2.信息安全管理体系规划(www.xing528.com)

1）规划内容：信息安全管理体系的组成、结构、相互关系。

2）承担主体：外部机构为主。

3）规划期限：每3～5年定期进行。

4）规划要点：形成专门的信息安全体系规划制度，保证其执行。在体系规划前进行安全体系的重检。每年年初对规划内容进行细化分解，年末对规划的执行情况进行评价。

3.信息安全重要内容规划

1）规划内容：信息安全重点内容（信息安全架构、信息安全专题等）。

2）承担主体：外部机构或内部人员。

3）规划期限：根据实际情况不定期进行。

4）规划要点：根据实际需要，灵活进行。每年对是否需要特定内容规划进行决策，并对规划的执行情况进行评价。