信息安全管理100问.docVIP

导语：随着工行各项业务快速发展，信息安全也越来越成为管理活动中十分重要的内容。近期，由于连续出现银行员工买卖客户信息的丑闻，信息安全管理更是成为各级关注的重点。本次员工行为规范教育活动中也包含有信息安全管理的相关规范和要求，即将开展的网络知识竞赛中也包含有信息安全管理相关内容。总行为此编写了《信息安全管理100问》，通过知识问答的形式，全面梳理知识要点，帮助全行员工更好学习掌握相关内容，清晰了解信息安全管理要求，进一步推动全行信息安全规范化管理。 信息安全管理知识100问 1、我行信息安全保护的工作机制和牵头部门是什么样的？ 答：根据外部监管要求，结合我行实践，自2010年开始，总行本部逐步摸索出一条由信息科技、内控合规、办公室（保密）三个专业联合推动，其他专业共同参与的信息安全保护工作机制，经过两年的实践，有效提升了总行本部信息安全保护水平。为全面提升我行信息安全保护水平，在2012年下发的《关于印发信息安全管理相关制度（2011版）的通知》中规定各一级（直属）分行、各直属学院、各直属机构、各内审分局、各境外机构“要进一步建立和完善本单位信息安全管理组织体系，明确和建立信息科技、内控合规、办公室（保密）专业联合推动，其他专业共同参与的工作机制，切实推动本单位信息安全管理工作全面深入开展。” 2、各分行可以根据本行具体情况将信息安全工作纳入哪些委员会进行工作推动。 答：《关于印发信息安全管理相关制度（2011版）的通知》中规定：“……各分行操作风险管理委员会、内控委员会和保密委员会等组织应将信息安全管理工作纳入工作范畴和议事事项。” 3、在我行信息安全保护中提到的“客户端”是指哪类机器？ 答：“客户端”是指我行统一配发给员工日常工作中所使用的，以及我行临时分配给系统外人员使用的非涉密计算机设备，包括办公台式计算机、笔记本电脑以及我行柜员用于业务操作的通用终端设备，不包括自动柜员机、网点专用上网机及其他专用定制终端。 4、“客户端”是如何分类的，具体包括哪些终端？ 答：我行“客户端”包括“办公客户端”、“生产客户端”两类。其中，“办公客户端”是指我行用于办公事务处理的客户端。“生产客户端”是指我行用户生产业务处理的客户端，包括网点通用终端等客户端设备。 5、“客户端安全管理”是如何分类的，具体包括哪些管理内容？ 答：“客户端安全管理”是指通过技术和管理手段对客户端软硬件本身以及通过客户端开展的活动进行管理的过程，包括但不限于客户端网络准入管理、客户端软硬件管理、客户端操作行为管理等方面。客户端网络准入硬管理包括对客户端接入我行网络所应满足的安全要求进行管理；客户端软硬件管理包括各类系统和工具软件使用管理，以及客户端USB、拨号、无线、红外等外设使用管理等；客户端操作行为管理包括使用移动存储设备拷贝文件管理、网络资源访问管理等。 6、信息安全管理中，经常提到的“AD域”到底是指什么？ 答：AD（即Active Directory）是一种目录服务产品，AD存储了有关网络对象信息，包括计算机、用户账号、组织单元等信息，提供DNS解析、身份认证、网络对象信息查询等服务。纳入我行“AD域”管理，是我行客户端信息安全管理的一项基础工作。 7、“客户端安全管理要求”包括哪些内容？ 答：“客户端安全管理要求”包括客户端网络准入管理要求，系统软件使用管理要求，硬件外设使用管理要求，以及客户端操作行为管理要求等方面，各项客户端安全管理要求必须得到严格遵守。 8、在我行客户端上使用软件有什么要求吗？ 答：为保证我行信息系统安全，维护我行商誉。我行下发及在我行使用的客户端只能安装、使用我行授权使用的操作系统和应用软件，禁止用户在客户端上安装、使用各类非授权软件；并严格控制安装多操作系统和虚拟机软件。 9、我行客户端上需要安装哪些安全软件才能接入内网开展工作？ 答：客户端必须安装全行统一的客户端安全管理软件、操作系统补丁升级软件、系统软件分发与资产管理软件和防病毒软件，并及时安装各种操作系统补丁，更新防病毒软件引擎和病毒码，在接入我行内网时必须登录我行AD域，不符合以上要求的办公客户端禁止接入我行网络。 10、对接入我行内网客户端上的各类硬件外设，在使用中有何要求？ 答：客户端接入内网后，禁止使用调制解调设备，合理使用USB端口、光驱设备、软驱设备、蓝牙设备、红外设备、1394端口等硬件外设，对有特殊安全要求的使用场所（如ECC操作终端等），应根据需要禁用相应的端口和外设。 11、日常使用的办公客户端可否连接进生产网段，进行生产维护工作？ 答：对于直接连接生产设备进行日常维护的客户端，原则上应使用专门配备的设备，并禁止访问互联网站点。 12、外来人员可否使用自带设备连接到我行内网？ 答：为保证我行内网安全，防止信息泄露，对于到我行开展工作的外来人员，不得