银行业访问控制管理规范(试行).docxVIP

  • 0
  • 0
  • 约5.95千字
  • 约 18页
  • 2026-07-09 发布于四川
  • 举报

银行业访问控制管理规范(试行)

第一章总则

1.1目的依据

为规范本行访问控制全生命周期管理,防范未授权访问导致的数据泄露、系统篡改、业务中断等安全风险,保障核心业务系统、客户敏感信息与金融基础设施安全,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全等级保护条例》《商业银行信息科技风险管理指引》《金融数据安全数据生命周期安全规范》等法律法规及监管要求,结合本行实际运营情况制定本规范。

1.2适用范围

本规范适用于本行总行及各级分支机构、全资子公司、控股子公司的所有访问控制管理活动,覆盖主体包括本行正式员工、劳务派遣人员、外包人员、合作伙伴人员、外部审计人员、客户等所有访问本行信息资产的实体;覆盖对象包括网络区域、信息系统、数据库、服务器、终端设备、业务数据、物理机房、重要办公区域等所有信息资产与物理资产;覆盖场景包括生产环境访问、测试环境访问、办公环境访问、远程访问、第三方接入访问等全场景访问行为。

1.3基本原则

访问控制管理严格遵循以下原则:

最小权限原则:所有主体仅被授予完成岗位职责必需的最小权限集合,权限范围与操作时长严格匹配业务需求,禁止过度授权。

职责分离原则:权限分配实现不相容岗位分离,同一主体不得同时拥有业务操作与审核、系统开发与运维、数据访问与审计等互斥权限,避免单点操作风险。

动态调整原则:权限随

文档评论(0)

1亿VIP精品文档

相关文档