【正文】 39 / 39。制定公司信息科技重要外包服務(wù)應(yīng)急預(yù)案，針對外包服務(wù)商的重大資源損失，重大財務(wù)損失、重要人員變動以及外包協(xié)議意外終止等外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失，模擬各類應(yīng)急場景，制定相應(yīng)的應(yīng)急流程和措施，避免或減少信息科技外包服務(wù)商重大服務(wù)缺失對公司信息科技生產(chǎn)運(yùn)行、項(xiàng)目研發(fā)等重要工作的影響；根據(jù)信息科技重要外包服務(wù)應(yīng)急預(yù)案，組織開展桌面演練和模擬演練，使相關(guān)應(yīng)急人員熟悉應(yīng)急預(yù)案，掌握應(yīng)急流程和應(yīng)急措施，針對演練發(fā)現(xiàn)的問題和不足，修訂完善應(yīng)急預(yù)案。保障敏感信息外包安全1) 從技術(shù)和管理上實(shí)現(xiàn)客戶資料與外包服務(wù)商客戶資料的有效隔離；2) 按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商人員授權(quán)；3) 在合同保密條款中補(bǔ)充明確對外包服務(wù)商保證及其相關(guān)人員的保密要求條款；4) 將涉及本公司客戶資料的外包作為重要外包，并告知相關(guān)客戶；5) 不允許外包服務(wù)商再次對外轉(zhuǎn)包；6) 在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。四、 加強(qiáng)外包管理 本課題提出規(guī)范外包項(xiàng)目的決策程序，做好外包服務(wù)商的準(zhǔn)入控制和管理，切實(shí)做好外包工作的風(fēng)險評估和檢測，強(qiáng)化外包管理規(guī)章制度的完整性和有效性，做到有據(jù)可依，才能規(guī)范行為，查缺補(bǔ)漏，調(diào)整優(yōu)化，防范風(fēng)險。降低業(yè)務(wù)中斷的可能性和影響 推進(jìn)和完善災(zāi)難備份中心建設(shè)，完成重要信息系統(tǒng)的災(zāi)難備份系統(tǒng)建設(shè)；建立災(zāi)難備份中心，加強(qiáng)重要信息系統(tǒng)的災(zāi)難應(yīng)急恢復(fù)能力；通過開展多種形式的測試與演練（匯報通知樹演練、實(shí)戰(zhàn)演練、模擬演練及桌面演練等），驗(yàn)證重要信息系統(tǒng)應(yīng)急預(yù)案和業(yè)務(wù)連續(xù)性計(jì)劃的合理性，提升業(yè)務(wù)連續(xù)性管理能力，降低業(yè)務(wù)中斷的可能性和影響。生產(chǎn)系統(tǒng)變更管理制定信息系統(tǒng)變更管理制度，并按制度規(guī)定實(shí)施信息系統(tǒng)生產(chǎn)變更管理，防范生產(chǎn)變更操作風(fēng)險，提高生產(chǎn)系統(tǒng)安全保障的綜合管理水平，包含以下管理要求：1）緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件；2）緊急變更成功后,應(yīng)通過正常的驗(yàn)收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。建立生產(chǎn)運(yùn)行故障管理及處置機(jī)制制定信息系統(tǒng)故障管理制度，明確信息系統(tǒng)故障分類分級、報告路線、應(yīng)急處置、原因分析等工作流程和管理要求，及時響應(yīng)信息系統(tǒng)運(yùn)行故障，逐級向信息科技管理人員報告故障的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。建立完善的生產(chǎn)數(shù)據(jù)備份管理機(jī)制1) 制定數(shù)據(jù)備份管理制度，規(guī)范數(shù)據(jù)備份的工作流程和管理要求，明確數(shù)據(jù)備份介質(zhì)的安全保存要求；2) 每個信息系統(tǒng)都制定數(shù)據(jù)備份策略（包括數(shù)據(jù)庫、系統(tǒng)軟件、應(yīng)用軟件、中間件等），嚴(yán)格執(zhí)行數(shù)據(jù)備份策略，安排人員檢查備份執(zhí)行情況；3) 定期開展數(shù)據(jù)備份介質(zhì)的有效性檢查和翻新，確保備份數(shù)據(jù)完整、有效；4) 采取技術(shù)手段管理數(shù)據(jù)備份介質(zhì)。公司安排信息技術(shù)員工全程陪同第三方人員，監(jiān)督其活動。(二) 信息科技運(yùn)行建立并持續(xù)完善信息科技運(yùn)行維護(hù)規(guī)章制度和流程，有效防范和控制信息科技運(yùn)行風(fēng)險，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。4) 信息系統(tǒng)在投產(chǎn)前需要對軟件質(zhì)量進(jìn)行管理，利用第三方機(jī)構(gòu)對軟件本身的性能和存在漏洞不足進(jìn)行充分評估。制定信息系統(tǒng)投產(chǎn)變更管理制度，規(guī)范信息系統(tǒng)投產(chǎn)變更的行為：1) 所有信息系統(tǒng)投產(chǎn)變更管必須得到審批，必須確保投產(chǎn)變更安全可靠。與信息系統(tǒng)開發(fā)、測試和維護(hù)管理和風(fēng)險防控機(jī)制密切相關(guān)的制度包括，項(xiàng)目管理制度、開發(fā)及測試管理規(guī)范、變更管理制度、數(shù)據(jù)維護(hù)規(guī)范、問題管理制度、軟硬件替換強(qiáng)制評估制度等。其目標(biāo)是建立并持續(xù)完善信息科技運(yùn)行維護(hù)規(guī)章制度和流程，有效防范和控制信息科技運(yùn)行風(fēng)險，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。內(nèi)部審計(jì)部門定信息科技審計(jì)制度、標(biāo)準(zhǔn)、計(jì)劃；實(shí)施信息科技審計(jì)計(jì)劃，檢查信息科技內(nèi)控機(jī)制和應(yīng)用控制的有效性；根據(jù)信息科技工作需要，對特殊事項(xiàng)進(jìn)行專項(xiàng)審計(jì)；負(fù)責(zé)信息科技外部審計(jì)相關(guān)事宜；根據(jù)內(nèi)外部審計(jì)結(jié)果，對信息科技工作中的問題提出整改意見，并督促落實(shí)。總經(jīng)理確保信息科技所需資源投入，統(tǒng)籌信息科技重大項(xiàng)目建設(shè)； 協(xié)調(diào)解決信息科技工作中的重大問題；領(lǐng)導(dǎo)、組織、協(xié)調(diào)信息科技管理委員會工作；在財務(wù)公司發(fā)生信息科技重大突發(fā)事件時，采取緊急措施，并向監(jiān)管部門報告。本課題，通過吸取小型商業(yè)銀行和財務(wù)公司信息科技治理的經(jīng)驗(yàn)，參照《 商業(yè)銀行信息科技治理建設(shè)指導(dǎo)意見》和《廣東銀行業(yè)信息科技管理實(shí)施方案（非銀行金融機(jī)構(gòu)）》，明確提出信息科技治理的最佳實(shí)踐模式,即通過健全組織結(jié)構(gòu)、明確管理職責(zé)、規(guī)范核心流程、梳理制度、加強(qiáng)風(fēng)險管理，從而有效控制信息科技風(fēng)險，確保信息科技戰(zhàn)略與業(yè)務(wù)發(fā)展目標(biāo)相適應(yīng)，增強(qiáng)財務(wù)公司核心競爭力和可持續(xù)發(fā)展能力。第六章 強(qiáng)抓信息科技治理一、 信息科技治理現(xiàn)狀和模式信息科技治理是財務(wù)公司治理的重要組成部分，是財務(wù)公司在運(yùn)用信息技術(shù)過程中，為實(shí)現(xiàn)科技信息工作既定目標(biāo)所做出的工作。(七) 信息安全服務(wù)信息安全服務(wù)由風(fēng)險評估、安全加固和安全培訓(xùn)服務(wù)等依賴專業(yè)信息安全技術(shù)人員能力實(shí)現(xiàn)的具體工作任務(wù)組成。(六) 安全事件管理與應(yīng)急響應(yīng)針對突發(fā)信息安全事件，應(yīng)當(dāng)制定相應(yīng)的處理流程，針對不同的安全事件制定針對性的應(yīng)急響應(yīng)預(yù)案，應(yīng)指定責(zé)任部門，定期進(jìn)行檢查與培訓(xùn)；同時將安全事件的等級進(jìn)行劃分，包括響應(yīng)的范圍。(五) 信息安全運(yùn)維體系建設(shè)信息系統(tǒng)運(yùn)維環(huán)節(jié)是信息系統(tǒng)生命周期中實(shí)際發(fā)揮作用的重要環(huán)節(jié)，與設(shè)計(jì)與建設(shè)環(huán)節(jié)相輔相承，目前的信息安全技術(shù)無法實(shí)現(xiàn)完全自動運(yùn)維的安全保障體系，因此運(yùn)維工作是否有利執(zhí)行是安全保障體系是否可以正常運(yùn)轉(zhuǎn)的重要環(huán)節(jié)。系統(tǒng)建設(shè)管理應(yīng)覆蓋自主開發(fā)項(xiàng)目、外包開發(fā)項(xiàng)目、工程實(shí)施項(xiàng)目及安全服務(wù)類項(xiàng)目的建設(shè)管理。人員安全管理在人員安全管理方面，可以通過對于人員錄用、調(diào)動、離崗、考核、培訓(xùn)教育和第三方人員安全幾個方面，落實(shí)國家信息安全政策要求，其中內(nèi)部人員的管理歸納形成人力資源安全管理的具體安全要求，外部人員的管理歸納形成第三方人員安全管理的具體安全要求。安全管理制度梳理財務(wù)公司一般都具有一整套的管理制度，管理制度大多與業(yè)務(wù)管理與人員管理為主，為保障信息安全方面的管理工作，需要通過安全的角度審視現(xiàn)有管理制度，對與信息安全相關(guān)的內(nèi)容進(jìn)行重新的解讀與梳理。公司應(yīng)配備專職安全管理員，安全管理員不能兼任系統(tǒng)管理員和網(wǎng)絡(luò)管理員。針對財務(wù)公司，應(yīng)結(jié)合企業(yè)的整體組織架構(gòu)，針對財務(wù)公司的實(shí)際情況，制定信息安全組織。(四) 信息安全管理體系建設(shè)信息安全管理體系建設(shè)應(yīng)通過安全組織梳理、安全管理制度梳理、人員安全管理、系統(tǒng)建設(shè)管理等幾個維護(hù)進(jìn)行設(shè)計(jì)。物理層安全物理層安全主要涉及的范疇包括環(huán)境安全（防火、防水、防雷擊等）、設(shè)備和介質(zhì)的防盜竊防破壞等方面?？傮w安全策略是執(zhí)行安全方針的解析與體現(xiàn)，可以根據(jù)工作的內(nèi)容根據(jù)財務(wù)公司的實(shí)際情況，分解為信息安全技術(shù)策略、信息安全管理策略等不同的維度安全策略，通過總體策略的制度，可以有效指導(dǎo)下一步的信息安全設(shè)計(jì)。財務(wù)公司安全保障體系框架搭建的一種方法示例如下：(二) 安全策略體系安全策略體系是指導(dǎo)財務(wù)公司信息系統(tǒng)安全設(shè)計(jì)、建設(shè)和維護(hù)管理工作的基本依據(jù)，所有相關(guān)人員應(yīng)根據(jù)工作實(shí)際情況履行相關(guān)安全策略，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全標(biāo)準(zhǔn)體系相關(guān)工作。信息安全建設(shè)應(yīng)進(jìn)行整體的信息安全規(guī)劃，分批分步驟進(jìn)行實(shí)施。根據(jù)目前財務(wù)公司基礎(chǔ)配套建設(shè)的現(xiàn)狀，如采用完全托管IT基礎(chǔ)設(shè)施的公司，應(yīng)將托管方納入信息安全建設(shè)體系，信息安全技術(shù)體系可以依托托管方進(jìn)行建設(shè)，安全保障體系、安全策略體系、安全管理體系、安全運(yùn)維體系、安全事件管理與應(yīng)急響應(yīng)、信息安全服等于有獨(dú)立機(jī)房或相對對立機(jī)房同樣標(biāo)準(zhǔn)進(jìn)行建設(shè)。這些服務(wù)業(yè)務(wù)及數(shù)據(jù)信息全面承載于財務(wù)公司的信息系統(tǒng)運(yùn)營環(huán)境， 數(shù)據(jù)信息及業(yè)務(wù)系統(tǒng)的暴露、破壞及不可用，會直接影響企業(yè)的資金運(yùn)作，這將給企業(yè)造成很大的資產(chǎn)損失，甚至將威脅企業(yè)的生存并造成大范圍的社會不良影響。第五章 信息安全建設(shè)1.2.3.4.5.一、 信息安全建設(shè)重要性和現(xiàn)狀財務(wù)公司是各大企業(yè)財務(wù)運(yùn)營的核心，在企業(yè)的發(fā)展戰(zhàn)略中，起到舉足輕重的作用，財務(wù)信息的清晰明了、運(yùn)轉(zhuǎn)得當(dāng)，將為企業(yè)的運(yùn)營發(fā)展提供有效有保障和有力的推動。要根據(jù)災(zāi)難恢復(fù)措施，定期或不定期組織數(shù)據(jù)恢復(fù)的演練。應(yīng)根據(jù)自身業(yè)務(wù)的需求，考慮數(shù)據(jù)備份的頻度和數(shù)據(jù)保管的位置。在建立容災(zāi)備份系統(tǒng)時會涉及到多種技術(shù)，如：SAN或NAS技術(shù)、遠(yuǎn)程鏡像技術(shù)、快照技術(shù)、基于IP的SAN的互連技術(shù)等。根據(jù)自身的實(shí)際情況，選擇合適的備份措施，包括磁盤鏡像、磁盤陣列、雙機(jī)容錯、數(shù)據(jù)拷貝等。(四) 機(jī)房監(jiān)控與安全防范信息系統(tǒng)機(jī)房應(yīng)設(shè)置環(huán)境監(jiān)控系統(tǒng)、設(shè)備監(jiān)控系統(tǒng)和安全防范系統(tǒng)，各系統(tǒng)的設(shè)計(jì)應(yīng)根據(jù)機(jī)房的等級，按照標(biāo)準(zhǔn)執(zhí)行，并應(yīng)符合國家現(xiàn)行有關(guān)標(biāo)準(zhǔn)的規(guī)定。其它部位或存放有大量可燃物的區(qū)域，應(yīng)設(shè)置自動噴水滅火系統(tǒng)。 信息系統(tǒng)機(jī)房的接地設(shè)施應(yīng)滿足人身安全及信息系統(tǒng)正常運(yùn)行的要求。不間斷電源系統(tǒng)應(yīng)有自動和手動旁路裝置，避免系統(tǒng)故障或維修時中斷電源。大型機(jī)房空調(diào)系統(tǒng)宜采用冷水機(jī)組空調(diào)系統(tǒng)，冷源采用水冷方式。與其它功能用房共建于同建筑內(nèi)的信息系統(tǒng)機(jī)房，宜設(shè)置獨(dú)立的空調(diào)系統(tǒng)。應(yīng)擁有局域網(wǎng)、廣域網(wǎng)接入管理、操作管理、故障處理規(guī)定，并嚴(yán)格執(zhí)行。核心網(wǎng)絡(luò)設(shè)備必須提供冗余引擎和電源，消除單點(diǎn)故障。(二) 安全性與可靠性應(yīng)劃分合理的網(wǎng)絡(luò)安全區(qū)域并實(shí)現(xiàn)有效安全控制，應(yīng)提供多種有效的安全控制機(jī)制，進(jìn)行內(nèi)部網(wǎng)絡(luò)各個部門之間的訪問控制。從目前的技術(shù)及市場情況看，辦公局域網(wǎng)桌面帶寬應(yīng)達(dá)到100M及以上，服務(wù)器區(qū)與樓層交換區(qū)的帶寬建議達(dá)到1000M及以上，市內(nèi)專線2M100M，