信息安全管理体系12项管理

 
1）安全策略与制度，确保XX拥有明确的信息安全方针以及配套的策略和制度，以实现对信息安全工作的支持和承诺，保证信息安全的资金投入。
2）安全风险管理，信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。
3）人员和组织安全管理，建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员进行管理、协调信息安全监管部门与行内其它部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。
4）环境和设备安全管理，控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。
5）网络和通信安全管理，控制和保护网络和通信系统，防止其受到破坏和滥用，避免和降低由于网络和通信系统的问题对XX金融业务系统的损害。
6）主机和系统安全管理，控制和保护XX的计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对金融业务系统的损害。
7）应用和业务安全管理，对各类应用和业务系统进行安全管理，防止其收到破坏和滥用。
8）数据安全和加密管理，采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护银行业务数据的安全。
9）项目工程安全管理，保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。
10）运行和维护安全管理，保护信息系统在运行期间的安全，并确保系统维护工作的安全。
11）业务连续性管理管理，通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。
12）合规性（符合性）管理，确保信息安全保障工作符合国家法律、法规的要求；企业的信息安全方针、规定和标准得到了遵循。