1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 行业资料
  5. 公共安全/安全评价

37.XX银行_重要用户和密码安全管理操作管理办法.doc

37.XX银行_重要用户和密码安全管理操作管理办法.doc

    1. 1、本文档共13页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    XX企业

    重要用户和密码安全管理操作管理办法

    信息科技部

    20xx年xx月

    目录

    TOC\o1-2\h\u11112一、总则 4

    12687二、职责与权限 5

    29786三、基本规定 6

    16678四、附则 7

    修改记录

    版次号

    生效日期

    修改原因

    A/0

    制度文件第一版首次发布

    注:以上为版本修改记录,首次发布为A/0版,编写者可以不作改动。

    总则

    为加强XX银行(以下简称“本行”)信息科技重要用户和密码的安全,满足监管和内部控制要求,对本行数据中心电子设备与信息系统的重要用户和密码安全进行规范管理,特制定本规程。

    本规程适用于XX银行总行数据中心、灾备中心以及分行数据中心的电子设备、信息系统重要用户和密码安全管理。

    重要用户是指最高权限用户和其他对重要生产数据具有访问和修改权限的用户,包括系统管理、网络管理、数据库及应用系统管理用户等。最高权限用户具有一切访问权限,其他用户具有对生产环境中的部分特定敏感信息具有访问、添加、修改、删除等权限。

    密码安全是指保证重要用户的密码仅限于特定人员知悉并严格保密,同时采用定期或不定期更改密码等方式保证密码不被无关人员获悉。

    职责与权限

    本行信息科技重要用户和密码的安全管理涉及信息科技条线部门,包括总行科技信息部、分行科技信息部。日常管理中涉及的人员岗位包括科技信息部总经理、系统管理/网络管理人员、软件开发/项目管理人员、信息安全岗/信息安全管理人员。

    总行科技信息部的职责与权限:

    负责全行信息科技重要用户和密码安全管理操作规程的制定与修订;

    负责总行数据中心、灾备中心电子设备和信息系统用户密码的安全管理。

    分行科技信息部的职责与权限:

    负责分行数据中心电子设备和信息系统用户密码的安全管理;

    参照《总行信息科技重要用户和密码安全管理操作规程》制定相应的实施细则。

    总行科技信息部总经理的职责与权限:

    负责对用户和密码安全管理策略进行审批,可以授权科技信息部副总经理进行审批;

    指定专人定期修订完善重要用户和密码安全管理相关流程及制度。

    总行系统管理/网络管理人员的职责与权限:

    负责对总行数据中心、灾备中心的电子设备、信息系统最高权限用户密码进行管理,定期或不定期更改用户密码;

    根据需求增加其他用户权限。

    总行软件开发/项目管理人员的职责与权限:

    提出新建、变更应用用户申请;

    负责对应用用户密码进行管理。

    信息安全岗/信息安全管理人员负责不定期检查信息科技重要用户密码登记及变更情况记录。

    基本规定

    总行科技信息部应指定专人对数据中心电子设备、信息系统最高权限用户及密码进行管理;密码管理本着“谁应用、谁管理”的原则进行日常管理。

    密码管理人员应定期或不定期对所负责的电子设备、信息系统用户密码进行修改。用户密码修改后,应制定用户密码封并密封交接给介质档案管理员归档保存。

    发生人员变动时应及时更改所涉及的电子设备、信息系统最高权限用户密码。

    附则

    本办法由XX银行科技信息部负责制定、修改和解释。

    本办法自印发之日起施行。

    附件1:XX银行信息科技重要用户和密码安全操作流程

    信息科技重要用户和密码安全管理流程包括:最高权限用户与密码安全管理、应用用户创建与管理、最高权限用户及密码变更管理。

    节点

    岗位

    任务名称

    操作要点

    外部合规索引

    内部合规索引

    操作风险点

    关键控制

    ⅠA1

    系统/网络管理岗

    搭建系统环境

    1)安装操作系统;

    2)安装数据库、中间件等系统软件。

    ⅠA2

    系统/网络管理岗

    管理最高权限用户

    设置密码策略,初始化用户;

    1、《商业银行内部控制指引》第二十八条

    1、《XX银行信息安全管理办法》第九十七条到第九十九条

    操作风险点1:超级用户密码泄露,被无关人员使用。

    风险类型:(信息科技系统事件信息系统)。固有风险等级:极高风险

    关键控制1:严格按照《XX银行信息科技重要用户和密码安全管理操作规程》对重要用户密码进行初始化。

    控制目标:超级用户密码严格保密。控制岗位:系统管理岗

    ⅠA3

    系统/网络管理岗

    更改最高权限用户密码

    1)更改最高权限用户密码

    2)系统管理人员变动时,立即更改。

    ⅠA4

    系统/网络管理岗

    更新《重要用户密码封》

    超级用户密码变更后更新《重要用户密码封》

    ⅡB1

    软件开发/项目管理岗

    确定需要创建的用户

    根据应用要求由软件开发/项目管理人员自行确定需要创建的用户。

    《商业银行内部控制指引》第二十八条

    《商业银行内部控制评价试行办法》第十九条、二十条

    1、《XX银行信息安全管理办法》第九十七条到第九十九条

    操作风险点

    2:需创建的用户与系统环境、应用要求等不相符。

    风险类型:(执行、交割和流程管理事件交易认定,执行和维护)。

    风险等级:高风险

    关键控制1:

    您可能关注的文档

    最近下载

    文档评论(0)

    鹏腾 + 关注
    实名认证
    内容提供者

    阿里云专项技能认证、PMP项目管理专业人员持证人

    IT 行业10年老兵,曾做过开发、架构、管理,当前在做售前

    咨询Ta 进入空间
    领域认证该用户于2024年08月21日上传了阿里云专项技能认证、PMP项目管理专业人员

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >