改进机制与管理体系方针、目标、法律法规要求保持一致； 依据管理体系方针及总体目标，指导制定并审批体系运行绩
外来人员安全 管理办法(二阶)
外来人员安全管 理实施细则(三阶)
•2019/8/19
Security Team
员工保密协议(三阶) 员工背景调查表(三阶) 员工离职申请表(三阶) 员工离职工作交接及权限回收
表(三阶) 人员培训管理流程图(三阶)
安全培训记录表(三阶) 外来人员驻场申请表(三阶)
外来人员保密协议(三阶) 外来人员背景调查表(三阶) 外来人员离场申请表(三阶) 外来人员离场工作交接及权限
体系文件
总纲
•2019/8/19
人员安全管理 资产安全管理 访问控制管理 环境安全管理 系统和网络安全管理 数据安全管理 终端安全管理 开发安全管理 外包安全管理
Security Team
安全事件管理 符合性管理 持续改进管理
总纲文件结构
Security Team
安全管理架构及岗位 职责文件(二阶)
安全检查记录(三阶) 安全检查报告(三阶)
安全管理架构
Security Team
•2019/8/19
管理者代表职责
Security Team
总体协调、推动管理体系运行； 分配管理体系具体人员岗位，为安全管理体系的落地实施和
持续改进，协调提供所需资源； 审批管理体系文件，以确保管理体系的计划、实施、监控、
开源信改变息世界安全培训课程
——安全管理实践
SecurityTeam
内容提纲
安全管理 概述
安全管理实践 IT安全管理 实践
•2019/8/19
Security Team
背景介绍 面临的问题及挑战 体系化安全管理模式 安全管理体系回顾 管理组织架构案例 安全管理现状分析 安全管理案例场景
体系文件建立 安全管理架构及人员职责 体系化、精细化安全管理
总纲
体系管理总纲 文件(一阶)
体系适用性声明(三阶)
体系术语定义表(三阶)
体系管理者代表任命书(三阶) 安全质量负责人任命书(三阶)
安全人员岗位信息表(三阶) 人员角色职责对应表(三阶)
•2019/8/19
人员安全管理文件结构
员工安全管理 办法(二阶)
人员安全 管理
员工安全管理实 施细则(三阶)
人员培训管理实 施细则(三阶)
安全事件管理流程图(三阶) 安全事件分类分级清单(三阶)
安全事件记录表(三阶) 安全事件分析报告(三阶) 安全事件检查记录表(三阶) 安全事件处置分析报告(三阶)
•2019/8/19
符合性管理文件结构
Security Team
符合性管 理
符合性管理 办法(二阶)
符合性管理实施 细则(三阶)
法律法规清单(三阶) 符合性管理计划(三阶) 符合性检查记录(三阶) 符合性分析报告(三阶)
防火墙
防火墙
精心设计的网络防
Internet
御体系，因违规外
连形同虚设
面临的问题及挑战
最高管理层对信息安全的重视和支持力度不够 缺乏明确的信息安全方针 组织架构及职责不清晰 专职人员数量及经验不足 安全管理体系不完善 安全管理措施落实不到位 重技术轻管理的错误思想 。。。。。。
综 合 管 理 部
财 务 会 计 部
零 售 银 行 部
企
业
保
金
卫
融
部
部
•2019/8/19
某银行管理组织架构（三）
Security Team
支行行长 主抓全面工作
行长助理 协助行长处理日常工作
副行长 （主抓营销）
副行长 （主抓核算）
副行长 （主抓管理、服务）
对私客户经理岗
对私柜员岗
对私柜员岗
个人业务顾问
账号操作审查表(三阶) 网络访问管理记录表(三阶) 正版授权软件清单(三阶) 授权软件安装审批记录(三阶)
机密资源清单(三阶) 机密资源使用审批表(三阶) 机密资源销毁审批表(三阶)
机密资源交接表(三阶)
环境安全管理文件结构
Security Team
环境安全 管理
环境安全管 理办法(二阶)
办公区安全管理 实施细则(三阶)
Security Team
•2019/8/19
体系化安全管理模式
依据 安全管理体系标准 参考 安全管理实践经验 结合 本单位实际管理情况 建立 安全管理体系 实施 体系化安全管理
•2019/8/19
Security Team
体系整体框架回顾
Security Team
安全管理体系是PDCA动态持续改进的一个循环体
•2019/8/19
持续改进管理文件结构
持续改进管 理办法(二阶)
持续改进管理实 施细则(三阶)
持续改进 管理
内审与管审管 理办法(二阶)
内审与管审管理 实施细则(三阶)
•2019/8/19
安全检查管 理办法(二阶)
安全检查管理实 施细则(三阶)
Security Team 持续改进流程图(三阶) 持续改进管理计划(三阶) 持续改进记录表(三阶) 持续改进分析报告(三阶) 持续改进跟踪记录表(三阶) 内审与管审流程图(三阶) 内审与管审管理计划(三阶) 内审与管审检查记录表(三阶) 内审与管审分析报告(三阶) 内审与管审评审会议纪要(三阶) 安全检查计划/方案(三阶)
数据安全 管理
数据安全管 理办法(二阶)
•2019/8/19
日志管理实施细 则(三阶)
Security Team
数据查询使用审批表(三阶)
外部查询使用数据保密协议 (三阶)
数据脱敏记录表(三阶) 数据备份、恢复、测试记录表
(三阶) 数据迁移指导手册(三阶)
数据转储、迁移、测试验证记 录表(三阶)
数据清理、销毁记录表(三阶)
回收表(三阶)
资产安全管理文件结构
资产安全管理实 施细则(三阶)
资产安全 管理
资产安全管理 办法(二阶)
•2019/8/19
介质安全管理实 施细则(三阶)
Security Team
信息资产台账(三阶) 资产申请审批表(三阶) 资产交付使用记录表(三阶) 资产维修申请审批表(三阶) 资产处置记录表(三阶) 资产登记标识卡(三阶) 资产分类分级清单(三阶) 外部服务商保密协议(三阶) 介质领用\归还记录表(三阶) 介质抽检记录表(三阶) 介质转储记录表(三阶) 介质清理\销毁记录表(三阶)
系统和网络安全管理文件结构
系统与网络安全 管理实施细则
(三阶)
系统和网络 安全管理
系统和网络 安全管理办
法(二阶)
防病毒管理实施 细则(三阶)
漏洞管理实施细 则(三阶)
•2019/8/19
入侵检测管理实 施细则(三阶)
Security Team 网络安全域划分说明(三阶)
安全基线配置文档(三阶) 系统和网络安全评审记录表
外包商服务清单(三阶) 外包商调查评价表(三阶)
外包商评价标准(三阶) 年度外包商评分表(三阶) 外包商交接记录表(三阶) 外包商保密协议(三阶) 外包商安全检查记录表(三阶) 外包商安全分析报告(三阶)
安全事件管理文件结构
Security Team
安全事件 管理
安全事件管 理办法(二阶)
安全事件管理实 施细则(三阶)
•2019/8/19
场景五:职责不明确
Security Team
•2019/8/19
场景六:体系不完善
Security Team
•2019/8/19
场景七:制度不落地
Security Team
•2019/8/19
场景八:重技术轻管理
Security Team
•2019/8/19
一种体系文件框架
机房环境安全管 理实施细则(三阶)
办公环境安检记录表(三阶) 办公环境物品出入审批表(三阶)
办公环境施工审批表(三阶)
外来人员进出机房审批表(三阶) 机房出入登记表(三阶)
机房物品出入审批记录表(三阶) 机房环境施工审批表(三阶) 机房环境安检记录表(三阶) 环境安全分析报告(三阶)
•2019/8/19
分
你桌管的合同还没写 呢，明天给我。
领导，我接电话呢， 你问问厂商。
领导，我忙别的呢， 你去吧。
领导，还是你去吧， 我有个材料要写。
领导，我明天请假， 还是你写吧。
•2019/8/19
场景三:名为员工实为领导
Security Team
•2019/8/19
场景四:专职人员少
Security Team
对私柜员岗
对私柜员岗
对公客户经理岗
对公柜员岗
对公柜员岗
•2019/8/19
Security Team
二
IT安全管理实践
•2019/8/19
安全管理现状分析
Security Team
总行
专职人员数量
分行A
分行B
职责是否清晰
体系是否完善
制度是否落地
自上而下OR自下而上
信息科技管理委员会设信息安全领导小组 信息科技部设信息安全管理小组 安全管理小组设安全管理员 安全保卫部设保安员
Security Team
一
安全管理概述
•2019/8/19
背景介绍
技术措施需要配合正确的使用才能发挥 作用
假如你把钥匙落在锁眼上呢？
保险柜就一定安全吗？
•2019/8/19
Security Team
背景介绍
Security Team
防火墙能解决这样的问题吗？