金融行业信息(内网)安全管理规定(参考).doc
- 文档编号:2243053
- 上传时间:2023-05-03
- 格式:DOC
- 页数:28
- 大小:271KB
金融行业信息(内网)安全管理规定(参考).doc
《金融行业信息(内网)安全管理规定(参考).doc》由会员分享,可在线阅读,更多相关《金融行业信息(内网)安全管理规定(参考).doc(28页珍藏版)》请在冰点文库上搜索。
金融行业
信息(内网)安全管理规定
ViaControl信息安全管理规定(参考)
第一章总则
第一条 为了强化XX银行的信息安全管理,防范计算机信息技术风险,保障我行的电子文档安全,保障员工规范利用公司网络资源,保障网络及终端的软硬件资产安全,提高网络系统维护的响应能力和速度,保障公司计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合本公司的实际,特制定本规定。
第二条本规定所称信息安全管理,是指在XX银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条XX银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条XX银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于XX银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用XX银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第六条信息安全管理制度辅助实施工具采用上海互普信息技术有限公司生产的ViaControl威盾网络保安系统。
第七条任何单位和个人不得以任何理由逃避该安全制度的管理,不得利用联网计算机从事危害本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。
不得从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息网络系统的全面安全。
第八条ViaControl控制台权限划分:
功能权限大类
功能权限子类
用户权限设置分类(打√为建议分配的权限)
管理员
参数设置
控制台
远程控制
审计查看
文件
添加计算机组
√
√
删除计算机组
√
√
修改计算机名称
√
√
移动计算机组
√
√
添加用户组
√
√
删除用户组
√
√
修改用户组名称
√
√
移动用户组
√
√
删除计算机
√
√
修改计算机名称
√
√
移动计算机
√
√
删除用户
√
√
修改用户名称
√
√
移动用户
√
√
导出数据
√
√
√
打印
√
√
√
控制
发送通知消息
√
√
√
锁定/解锁
√
√
√
注销用户
√
√
关机/重新启动
√
√
卸载客户端
√
√
√
统计
应用程序统计
√
√
网页浏览统计
√
√
网络流量统计
√
√
日志
基本事件日志
√
√
应用程序日志
√
√
网页浏览日志
√
√
文档操作日志
√
√
打印日志
√
√
资产变更日志
√
√
策略日志
√
√
系统事件
√
√
备份文档
√
√
共享文档
√
√
移动存储日志
√
√
策略
基本策略
√
√
应用程序策略
√
√
网页浏览策略
√
√
设备控制策略
√
√
打印控制策略
√
√
屏幕记录策略
√
√
日志记录策略
√
√
远程控制策略
√
√
流量控制策略
√
√
网络控制策略
√
√
邮件控制策略
√
√
即时通讯文件传送策略
√
√
文件上传下载策略
√
√
文档控制策略
√
√
系统报警策略
√
√
移动存储授权策略
√
√
监控
实时屏幕快照
√
√
√
即时通讯
√
√
邮件
√
√
查看屏幕历史
√
√
√
导出屏幕历史
√
√
√
维护
查看远程信息
√
√
√
√
远程操作
√
√
√
远程控制
√
√
√
远程文件传送
√
√
√
资产管理
资产查询
√
√
√
定义资产类别属性
√
√
修改资产属性
√
√
补丁管理
查询补丁情况
√
√
设置补丁管理参数
√
√
执行补丁操作
√
查询补丁情况
√
√
漏洞管理
查询漏洞检查情况
√
√
设置漏洞检查参数
√
√
软件分发
查询软件分发包信息
√
√
设置软件分发包
√
√
查询分发任务及安装情况信息
√
√
设置分发任务
√
√
执行分发任务
√
网络接入检测
查看接入检测
√
√
设置接入检测
√
√
设置策略
√
√
所有分类管理
应用程序类别
√
√
网站类别
√
√
时间类别
√
√
网络地址类别
√
√
网络端口类别
√
√
移动存储库
√
√
删除
删除日志数据
√
删除即时通讯信息
√
删除邮件
√
备份数据
备份日志
√
√
备份数据
√
√
参数设置
设置客户端的搜索范围
√
√
设置客户端的排除反问
√
√
生成客户端确认码
√
√
√
管理加密盘
√
√
格式化成加密盘
√
√
第九条项目参与人员:
(1)安全委员会
(2)总经理层(3)网管中心 (4)相关部门经理
第二章组织保障
第十条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第十一条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第十二条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理
第十三条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员
第十四条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和XX银行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十五条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。
上岗后,每年至少参加一次信息安全专业培训。
第十六条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:
(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
(三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十七条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
第十八条信息安全管理人员实行备案管理制度。
信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。
信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节部门计算机安全员
第十九条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案。
如有变更应做好交接工作,并及时通报科技部门。
第二十条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第二十一条部门计算机安全员在如下职责范围内开展工作:
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节技术支持人员
第二十二条本规定所称技术支持人员,是指参与XX银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第二十三条XX银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄漏或引用工作中触及的任何敏感信息。
严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第二十四条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。
提供技术服务期间,严格遵守XX银行相关安全规定与操作规程,关键操作应经授权,并有XX银行内部员工在场。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员
第二十五条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
第二十六条业务系统操作人员应承担如下安全义务:
(一)严格规程操作,防止误操作。
定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告科技部门。
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
第二十七条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。
技术支持人员不得兼任业务系统操作人员。
第五节一般计算机用户
第二十八条本规定所称一般计算机用户是指使用计算机设备的所有人员。
第二十九条一般计算机用户应承担如下安全义务:
(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门计算机安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。
(三)未经科技部门检测和授权,不得将接入XX银行内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入XX银行内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第四章网络安全管理
第一节网络规划、建设中的安全管理
第三十条总行科技司负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。
第三十一条各单位科技部门按照总行科技司的统一规划和总体部署,组织实施网络建设、改造工程。
各单位局域网的建设与改造方案应报上一级科技部门审核、备案,投产前应通过本单位组织的安全测试。
第三十二条各单位的网络建设和改造应符合如下基本安全要求:
(一)符合XX银行网络安全管理要求,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪和审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
第二节网络运行安全管理
第三十三条各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。
网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
第三十四条网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第三十五条各单位科技部门应严格网络接入管理。
任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。
第三十六条各单位科技部门应严格网络变更管理。
网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。
实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。
第三十七条各单位应严格远程访问控制。
确因工作需要进行远程访问的部门和人员应向科技部门提出书面申请,并采取相应的安全防护措施。
第三十八条信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。
检测、扫描和评估结果属敏感信息,不得向外界提供。
未经总行科技司授权,任何外部单位与人员不得检测、扫描XX银行内部网络。
第三十九条各单位以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。
未经总行科技司批准,不得在XX银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节网间互联安全管理
第四十条本规定所称网间互联是指为满足XX银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。
第四十一条网间互联由总行科技司统一规划,按照相关标准组织实施。
未经总行科技司核准,任何单位不得自行与外部机构实施网间互联。
第四节接入国际互联网管理
第四十二条XX银行内部网络与国际互联网实行安全隔离。
所有接入XX银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
第四十三条计算机接入国际互联网应通过本单位保密工作委员会办公室批准,并确保安装有XX银行选定的防病毒软件和最新补丁程序。
科技部门凭相关批准证明实施联网,并做好备案。
曾接入XX银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技部门确保该计算机已删除敏感工作信息后方可实施接入。
第四十四条未经科技部门安全检测,曾接入国际互联网的计算机不得直接接入XX银行内部网络。
从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
第四十五条使用国际互联网的所有用户应遵守国家有关法律法规和XX银行相关管理规定,不得从事任何违法违规活动。
第五章计算机系统安全管理
第四十六条本规定所指的计算机系统是XX银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节计算机系统规划与立项
第四十七条计算机系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足XX银行信息安全保障总体规划的相关要求。
项目技术方案应包括以下基本安全内容:
(一)业务需求部门提出的安全需求。
(二)安全需求分析和实现。
(三)运行平台的安全策略与设计。
第四十八条各单位科技部门负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节计算机系统开发与集成
第四十九条计算机系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整实现。
第五十条计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交XX银行科技部门。
外部开发单位还应与XX银行签署相关知识产权保护协议和保密协议,不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。
第五十一条计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第五十二条计算机系统开发、测试、修改工作不得在生产环境中进行。
第五十三条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节计算机系统运行
第五十四条各单位计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行。
具体要求如下:
(一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技部门审查。
(二)计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定,报科技部门备案。
(三)科技部门应提出明确的测试方案和测试报告审查意见。
必要时,可组织专家评审或实施计算机系统漏洞扫描检测。
第五十五条各单位科技部门应明确系统管理员,具体负责计算机系统的日常运行管理,并建立重要计算机系统运行维护档案,详细记录系统变更及操作过程。
重要业务系统的系统设置要求双人在场。
第五十六条系统管理员不得兼任业务操作人员。
系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第五十七条未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节业务操作
第五十八条业务部门负责计算机系统用户和权限设定,科技部门根据授权进行相关设定操作。
第五十九条业务操作人员严格按照安全操作规程进行业务操作、数据备份,并配合科技部门保障信息安全。
一旦发现计算机系统运行异常及时向本部门领导和科技部门报告。
第六十条业务操作人员设置本人口令密码。
重要计算机系统业务操作人员的密码应由业务部门领导和系统管理员分段设立。
第六十一条凡是能够执行录入、复核制度的计算机系统,业务操作人员不得一人兼录入、复核两职。
未经业务部门主管领导批准,不得代岗、兼岗。
第六十二条业务操作人员离开操作用机时,应按序退出计算机系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节计算机系统废止
第六十三条实行计算机系统废止申报、备案制度。
使用计算机系统的业务部门根据需要向科技部门提出废止申请,由科技部门组织进行安全检查后予以废止,同时备案。
第六十四条对已经废止的计算机系统软件和数据备份介质,科技部门按业务规定在一定期限内妥善保存。
超过保存期限后需要销毁的,应在本单位保密工作委员会监督下予以不可恢复性销毁。
第六章客户端安全管理
第六十五条本规定所称客户端是指XX银行计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面终端、单机运行(哑)终端、远程接入终端、便携式计算机等。
第六十六条各单位应建立完善的客户端管理制度,记录所有客户端设备信息和软件配置信息。
第六十七条客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。
第六十八条客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
第六十九条确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第七章信息安全专用产品、服务管理
第一节资质审查与选型购置
第七十条本规定所称信息安全专用产品,是指XX银行安装使用的专用安全软件、硬件产品。
本规定所称信息安全服务,是指XX银行向社会购买的专业化安全服务。
第七十一条总行科技司负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由集中采购部门按照政府集中采购程序选购。
第七十二条各单位购置扫描、检测类信息安全专用产品应报总行科技司批准、备案。
第二节使用管理
第七十三条各单位科技部门应建立信息安全专用产品登记使用制度,建立信息安全类固定资产使用登记簿并由专人负责管理。
扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。
第七十四条各单位科技部门随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。
如发现重大问题,立即采取控制措施并按规定程序报告。
第七十五条各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。
第七十六条各单位科技部门应及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。
第七十七条防火墙、入侵检测等安全专用产品原则上应在本地配置。
如需要进行远程配置,由科技部门或经科技部门授权在可信网络内并采取了必要的安全控制措施后进行操作。
第八章文档、数据与密码应用安全管理
第一节技术文档
第七十八条本规定所称技术文档是指XX银行网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
第七十九条各单位科技部门负责将技术文档统一归档,实行借阅登记制度。
未经科技部门领导批准,任何人不得将技术文档转借、复制和对外公布。
第二节存储介质
第八十条各单位应建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。
所有存储介质应保存在安全的物理环境中并有明晰的标识。
重要信息系统备份介质应按规定异地存放。
第八十一条各单位应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。
重要信息的存取需要授权和记录。
第八十二条各单位所有部门和个人应加强对移动存储设备(U盘、软盘、移动硬盘)的管理。
第八十三条各单位应建立存储介质销毁制度,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第三节数据安全
第八十四条本规定中所称的数据是指以电子形式存储的XX银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第八十五条各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技部门负责审核安全需求并提供一定的技术实现手段。
第八十六条各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 行业 信息 安全管理 规定 参考