- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
XX企业
设备及系统权限管理操作规程
信息科技部
20xx年xx月
目录
TOC\o1-2\h\u18711一、总则 4
23640二、职责与权限 5
17194三、基本规定 6
5924四、检查监督 6
851五、附则 7
修改记录
版次号
生效日期
修改原因
A/0
制度文件第一版首次发布
注:以上为版本修改记录,首次发布为A/0版,编写者可以不作改动。
总则
为加强XX银行(以下简称“本行”)信息科技设备及系统的安全管理与稳定运行,满足监管和内部风险控制要求,对本行数据中心、灾备中心的设备及系统权限进行规范管理,特制定本规程。
本规程适用于XX银行总行数据中心、灾备中心以及分行数据中心的设备及系统权限管理。
本行权限管理分为超级管理员权限、普通管理员权限和操作员权限。
超级管理员权限是电子设备、信息系统的最高权限,也是管理员权限。
普通管理员权限是由最高权限按需建立的普通账号,并分配指定的权限、在指定的权限范围内操作使用;普通权限分为系统管理权限、网络管理权限、数据库管理权限、应用管理权限等。
操作员权限是根据具体用户分配的普通操作权限。
职责与权限
科技信息部负责人职责
负责对用户权限申请及权限管理相关策略的审批。
负责指定专人定期修订完善权限管理相关流程及制度。
系统管理/网络管理人员职责
负责管理所属机构数据中心的设备或系统的超级管理员用户,处理超级管理员用户权限内相关事务。
负责在设备或系统创建其它用户,并按照职责的划分,分配不同的用户权限。
根据实际情况定期检查权限设置情况。
负责权限变更后的登记与归档。
软件开发/项目管理人员
根据实际工作情况具有设备或系统的普通管理用户权限,在一定的权限范围内访问使用数据库并进行操作。
负责对权限范围内的应用程序进行维护操作。
信息安全管理人员
负责督促并检查权限管理流程中相关内容的记录情况。
参加对全行进行的信息安全检查活动。
基本规定
总行数据中心、灾备中心以及分行数据中心运行的所有设备及系统按照权限管理须有专人负责管理;
所有人员在权限管理范围内行使系统管理、网络管理、数据库管理、应用管理的等日常运行及维护管理职责,保证系统安全稳定的运行。
严禁人员在未授权的情况下对重要的设备、系统进行操作。
检查监督
总行信息安全管理人员负责不定期检查设备及系统权限分配记录情况。
总行信息科技部定期或不定期派专人对全行进行信息安全检查活动。对检查中发现的问题提出书面意见,由被检查的各分行科技信息部制定、落实改进措施。
附则
本办法由XX银行科技信息部负责制定、修改和解释。
本办法自印发之日起施行。
附件1:信息科技设备及系统权限管理操作流程
设备及系统权限管理操作流程包括:最高权限管理、应用用户权限管理和应用用户权限变更管理。
节点
岗位
任务名称
操作要点
外部合规索引
内部合规索引
操作风险点
关键控制
ⅠA1
系统网络/网络管理岗
搭建系统/网络环境
1.安装操作系统;
2.安装数据库、中间件等系统软件。
3.配置网络交换机、路由器、防火墙等。
ⅠA2
系统网络/网络管理岗
管理最高权限用户
对最高权限用户密码进行初始化。
1.《商业银行内部控制指引》第一百二十八条
1.《XX银行信息安全管理办法》第九十七条到第九十九条
操作风险点
1:超级用户密码泄露,被无关人员使用。
风险类型:
(信息科技系统事件信息系统)。
固有风险等级:极高风险
关键控制1:严格按照《XX银行信息科技重要用户和密码安全管理操作规程》对重要用户密码进行初始化。
控制目标:
超级用户密码严格保密。
控制岗位:
系统管理/网络管理岗
ⅠA3
系统/网络管理岗
更改最高权限用户密码
1.按照《XX银行信息安全管理办法》调整最高权限用户密码;
2.系统管理/网络管理人员变动时,立即更改。
ⅡB1
软件开发岗/项目管理岗
确定需要授予的权限
根据应用要求由软件开发/项目管理岗确定需要授予的权限。
1.《商业银行内部控制指引》第一百二十八条2.《商业银行内部控制评价试行办法》第十九条、二十条
《XX银行信息安全管理办法》第九十七条到第九十九条
操作风险点
2:需授予的权限与系统环境、应用要求等不相符。
风险类型:
(执行、交割和流程管理事件交易认定,执行和维护)。固有风险等级:中等风险
关键控制1:通过实验、论证,根据系统环境、应用程序的要求,确定需授予的权限,使新获取适当权限的用户能满足应用程序启动、停止、维护的需要。
控制目标:
超需授予的权限与系统环境、应用要求等相匹配。
控制岗位:
软件开发岗/项目管理岗
ⅡB2
软件开发岗/项目管理岗
填写《设备及系统用户权限申请表》
填写《设备及系统用户权限申请表》
您可能关注的文档
- 34.XX银行_设备及系统权限管理操作规程.pdf
- GB 10409-2019E防盗保险柜(箱).pdf
- 中国国家标准 GB 10409-2019E防盗保险柜(箱).pdf
- 中国国家标准 GB/T 7247.5-2024激光产品的安全 第5部分:生产者关于GB/T 7247.1的检查清单.pdf
- 《GB/T 7247.5-2024激光产品的安全 第5部分:生产者关于GB/T 7247.1的检查清单》.pdf
- GB/T 5169.12-2024电工电子产品着火危险试验 第12部分:灼热丝/热丝基本试验方法 材料的灼热丝可燃性指数(GWFI)试验方法.pdf
- 《GB/T 5169.12-2024电工电子产品着火危险试验 第12部分:灼热丝/热丝基本试验方法 材料的灼热丝可燃性指数(GWFI)试验方法》.pdf
- GB/T 7247.2-2024激光产品的安全 第2部分:光纤通信系统(OFCS)的安全.pdf
- 中国国家标准 GB/T 5169.12-2024电工电子产品着火危险试验 第12部分:灼热丝/热丝基本试验方法 材料的灼热丝可燃性指数(GWFI)试验方法.pdf
- GB/T 5169.13-2024电工电子产品着火危险试验 第13部分:灼热丝/热丝基本试验方法 材料的灼热丝起燃温度(GWIT)试验方法.pdf
- GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs).pdf
- 中国国家标准 GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs).pdf
- 《GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs)》.pdf
- GB/T 39560.302-2024电子电气产品中某些物质的测定 第3-2部分:燃烧-离子色谱法(C-IC)筛选聚合物和电子件中的氟、氯和溴.pdf
- 中国国家标准 GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样.pdf
- 中国国家标准 GB/T 39560.302-2024电子电气产品中某些物质的测定 第3-2部分:燃烧-离子色谱法(C-IC)筛选聚合物和电子件中的氟、氯和溴.pdf
- GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样.pdf
- 《GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样》.pdf
- 《GB/T 39560.303-2024电子电气产品中某些物质的测定 第3-3部分:配有热裂解/热脱附的气相色谱-质谱法(Py/TD-GC-MS)筛选聚合物中的多溴联苯、多溴二苯醚和邻苯二甲酸酯》.pdf
- 中国国家标准 GB/T 39560.303-2024电子电气产品中某些物质的测定 第3-3部分:配有热裂解/热脱附的气相色谱-质谱法(Py/TD-GC-MS)筛选聚合物中的多溴联苯、多溴二苯醚和邻苯二甲酸酯.pdf
文档评论(0)