金融行业风控部风控员网络信息安全手册.docxVIP

金融行业风控部风控员网络信息安全手册

第1章总体架构与责任体系

1.1网络安全等级保护制度

网络安全等级保护制度（简称“等保”）是依据《网络安全法》、《网络安全等级保护基本要求》（GB/T22239）构建的法定合规框架，将信息系统划分为核心、重要、一般三级，分别对应安全保护等级3级、2级、1级，并强制规定不同等级下的建设标准与整改要求。对于本部门核心交易处理系统，需按3级保护建设，要求部署国家认证的三级等保测评机构，每半年进行一次合规性检测，并建立“日监测、周通报、月总结”的动态监管机制，确保无重大事故。

具体实施中，需配置不少于10个物理安全区域的门禁系统，所有进出人员须通过生物特征识别或双因素认证，同时实行7×24小时视频监控系统全覆盖，确保物理环境安全可控。在逻辑层面，必须开启国家标准的“定级-备案-建设-运行-管理-测评”全生命周期管理流程，确保系统从立项到退役的每一个环节都有书面记录可追溯。针对关键业务连续性需求，需制定详细的灾备切换方案，确保在发生网络攻击或硬件故障时，核心交易数据能在30分钟内完成异地容灾迁移，业务中断时间不超过15分钟。

需建立严格的权限分级管理制度，普通员工仅拥有业务操作权限，严禁拥有系统管理权限，所有账号密码实行“双人复核、定期轮换、强制注销”策略，杜绝长期未修改的弱口令风险。

1.