银行网络系统安全管理规定.docxVIP

银行网络 系统安全管理规定 第一章  总则 第一条 为加强银行（以下简称我行）网络系统安全工作，保障 我行网络系统可靠、稳定、连续、高效运行，特制定本规定。 第二条 本规定所指的网络系统，是指由计算机（包括相关和配 套设备）为终端设备，利用计算机、通信、网络等技术进行信息采 集、处理、存储和传输的设备、技术、管理的组合。 第三条 本规定适用于银行。 第二章  组织和职责 第四条 成立网络安全管理员岗位，由分管领导主抓，接受我行 相关领导小组的领导，在我行科技部门的具体指导和组织下工作。 网络安全管理员工作职责是： 与上级信息系统安全主管部门建立相关工作关系； 组织制定和执行我行网络安全的规划、策略、标准、流程、 应急计划、落实宣传教育与培训计划等； 健全并监督执行网络安全规定，定期对所属网络进行安全 检查和风险分析，提出相应的对策； 1 实施我行网络安全系统的建设。 负责网络审计系统的管理和维护，认真记录、检查和保管 审计日志。 定期进行总结，并向领导、主管部门汇报安全工作，提交 年度报告； 做好我行网络系统的安全运行、维护、管理等工作。 如发生网络系统的重大安全事故、事件，及时向主管领导 报告。 第三章 第五条 综合防范原则  管理原则 以预防为主、综合治理、人员防范与技术防范相结合，逐级建 立安全保护体系和责任制，加强制度建设，加强安全建设，全面加 强管理，逐步实现信息系统安全管理工作的科学化、规范化。 第六条 动态管理原则 网络安全工作要按照系统工程的要求，注意各方面、各层次、 各时期的相互协调、匹配和衔接，根据系统环境的变化以及对系统 安全认识的深化，及时复查、修改、调整安全策略。 第七条 适度投资原则 网络安全管理需要在投资与效益之间加以权衡。安全工作既要 充分有效，又要适度投资，力争取得综合最佳的安全效果。 2 第八条 以人为本原则 加强人员的信息安全教育、培训和管理，强化安全意识和法治 观念，提升职业道德，掌握安全技术，做好网络安全管理工作。 第九条 最小特权原则 为网络资源规定明确的使用权限，对系统的所有人员，按其职 责划定必要的最小的授权范围，明确安全责任，通过技术和行政管 理措施有效地阻止越权使用行为。 第四章  过程和方法 第十条 安全管理过程主要包括安全风险分析与评估、安全策略 制定、安全需求分析、安全措施实施与监理和生命周期管理等主要 环节。 第十一条 风险分析与评估：网络安全管理员负责我行网络系统 的风险分析与评估工作，并提交风险分析与评估报告。 第十二条 安全策略制定：网络安全管理员负责制定、完善网络 安全策略，提出网络安全框架、管理方法，规定各部门要遵守的规 范及责任，以调动、协调和组织各方面的资源共同保障网络系统的 安全。 第十三条 安全需求分析：依据安全风险分析与评估报告以及安 3 全策略，网络安全管理员进行系统的安全需求分析，保证网络安全 服务和安全机制的有效性和针对性，形成安全需求分析报告。 第十四条 安全措施实施与监理：依据需求分析报告制定完备的 实施方案，从实施的规范、流程、资金、进度等方面进行监督与检 查，对实施过程进行严格控制。 第十五条 生命周期管理：在计划阶段，通过风险分析明确安全 需求，确定安全目标，制定安全策略，拟定安全要求的性能指标； 在实施阶段，依据安全要求选择相应的安全措施，采购或设计安全 系统，根据工程要求实施和部署，并对安全措施进行验证与验收、 认证与认可；在运行维护阶段，通过检查、检测、审计和对风险变 更的监视和评估，保证运行安全；在生命周期结束阶段，对网络系 统和设备进行安全处置。 第五章  设备安全管理 第十六条 为保证基于网络的业务系统可靠、稳定、连续、高效 运行，场地和设施必须满足网络设备对环境的要求。 第十七条 对重要网络设备配备专用电源或电源保护设备，保证 其正常运行。 第十八条 终端设备安全管理 （1）  使用人员应爱护终端与之相关的网络连接设备（包括网 4 卡、网线、集线器、调制解调器等），按规操作，不得对其实施人为 损坏。 （2）  终端使用人员不得擅自更改网络设置，杜绝一切影响网 络正常运行的行为发生。 （3） 电源。  网络中的终端计算机在使用完毕后应及时关闭计算机和 第十八条 科技部指定专人负责网络设施的安全工作，划分安全 区域，进行分级管理，建立、健全网络设施运行监控、巡检等有关 措施；对通信信道（X.25、DDN、帧中继、光纤、拨号线等）、通信 引接设备（调制解调器、光端机等）进行监控、巡检。 第十九条 对业务系统使用的关键网络设备建立严格的登记制度， 保证设备购置、安装、调试、维护、维修、报废等处置活动安全可 控。 第六章  网络安全管理 第二十条 我行网络分为内联网、外联网和因特网。内部网由行 内广域网、局域