银行信息系统安全管理办法模版.docVIP

银行信息系统安全管理办法

第一章总则

第一条为加强信息系统的安全管理工作～规范安全管理过程～建立、健全安全控制措施～保证信息系统的机密性、完整性、可用性～依据我行信息及信息系统安全管理的有关制度～特制定本规定。

第二章管理对象

第二条管理对象是对信息系统的安全定级、基础设施及环境安全、网络及通讯安全、主机及系统安全、软件安全、安全技术与使用、操作与维护安全、项目与工程安全、应用系统开发安全、密码技术及使用、外来人员安全、科技文档安全、安全监督与问题整改的管理过程。

第三章术语定义

第三条安全策略是指为保护信息及信息系统安全而制定的技术和管理方面的原则性要求。

第四条安全措施是指通过防范威胁、减少弱点、限制意外事件造成的影响等途径来削减风险的方法。

第五条访问控制是指为防止对资源的未授权使用而采取

的安全措施。

第六条信息系统密钥资源是指用于通信身份认证、终端设备识别或密码计算的加密解密密钥、我行的加解密算法及其存储介质。

第四章信息系统安全定级

第七条信息系统的安全等级由系统服务的安全等级和系统数据的安全等级综合确定～分为一级、二级、三级三个级别。

第八条科技发展部依照安全等级划分的结果～对系统进行分级保护。

第五章基础设施与环境安全

第九条物理安全区应具备符合国家相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等基本环境条件。

第十条关键设施须通过具有专业资质机构的检查和验收～并定期进行维护管理。

第十一条应建立机房管理的制度～并按照重要程度和工作性质将机房区域分级管理。

第十二条对于高低压供配电系统、发电机、UPS、空调等维持机房运转的各类配机机房环境设施应建立维护规范～并严格按照规范执行。

第十三条对机房关键设施应建立巡检的规定～每日至少

对机房关键设施进行一次巡检～巡检工作必须进行记录～并可追溯。

第十四条应对信息系统的计算机资源和定位状况进行逐项编号登记和跟踪建档～未经批准不得随意改变。

第十五条生产环境、测试环境、开发环境相互之间必须有明确的物理安全边界～物理安全区必须有明确的标志。

第十六条必须明确不同物理安全区的保护措施～如电子门禁、警卫、密码、门锁等～保证进出安全区人员的身份认证。

第十七条应根据各类人员的职责～按照安全区域最小授权原则进行分级、分时授权～并定期进行核对。

第十八条对于所有人员和货物进出安全区域的情况应有进出记录～该记录应保留一定时间以备查～外来人员进出需要审批登记。

第六章网络与通信安全

第十九条对生产运行网络设备和通信线路应进行定期的检测和维护～确保其处于可用状态。

第二十条对MODEM、路由器、交换机等通讯设备必须采取严格的管理措施～未经批准不得随意移动和接入。

第二十一条对计算机网络和数据通信设备的停用、维修、重用和作废环节～应建立安全机制有效清除或销毁敏感信息～防止泄露。

第二十二条网络管理岗位应根据网络功能不同将整个网络系统划分为相对独立的安全域～通过安全域的边界防护和安全域内的统一安全管理～确保安全域内的网络安全。

第二十三条服务器设备的接入不得跨多个安全区域。

第二十四条网络部门人员应制定便携式和移动式设备网络接入的安全策略～核心网络区域应禁止未授权的便携式和移动电脑设备接入网络。

第二十五条网络管理岗位应根据网络安全域的安全级别和通过风险分析确定的安全需求来设计、实施网络安全方案～安全管理员应定期组织对网络安全方案进行回顾～检查与实际系统的符合性。

第二十六条网络管理岗位应按照网络策略实施所负责网络的安全配置～并定期检查与规范的符合性。对网络设备配置命令和响应信息的完整性、合理性及保密性必须进行验证。

第二十七条网络管理岗必须对所有当前使用和备用的网络设备建立清单并定期检查。

第二十八条对访问生产系统的外联网络设备应集中管理～应明确外联网络设备的使用方式并对其使用情况进行详细记录。

第二十九条新建网络、网络改造或变更在投入使用前～网络部门人员应制订相应的网络安全防范措施。网络部门负责组织对新建网络或改造后网络实施安全检验～未通过检验不允

许投产使用。

第三十条严禁擅自将我行专用网络与外网直接连接。

第三十一条严格控制对安全域内设备的远程诊断管理端口的访问。

第三十二条按照我行制定的相关网络安全策略要求～对办公用户网、测试网与生产网络实施严格的物理、逻辑隔离措施。

第三十三条因特殊原因需要开通办公用户网、测试网到生产网络的访问权限时～必须做好严格的审批、登记和撤销工作～并按照有关网络安全技术规范要求做好相关的网络安全控制策略。

第三十四条应对TELNET、PCANYWHERE、WINDOWS终端服务、X-WIN