《银行网络系统安全管理规定》由会员分享,可在线阅读,更多相关《银行网络系统安全管理规定(7页珍藏版)》请在金锄头文库上搜索。
1、银行网络系统安全管理规定第一章总则第一条 为加强银行(以下简称我行)网络系统安全工作,保障我行网络系统可靠、 稳定、连续、高效运行,特制定本规定.第二条 本规定所指的网络系统,是指由计算机(包括相关和配套设备)为终端 设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、 技术、管理的组合。第三条本规定适用于银行。第二章 组织和职责第四条 成立网络安全管理员岗位,由分管领导主抓,接受我行相关领导小组的领 导,在我行科技部门的具体指导和组织下工作。网络安全管理员工作职责是:(1)与上级信息系统安全主管部门建立相关工作关系;(2)组织制定和执行我行网络安全的规划、策略、标准、流程
2、、应急计划、落实宣传教育与培训计划等;(3)健全并监督执行网络安全规定,定期对所属网络进行安全检查和风险分析, 提出相应的对策;(4)实施我行网络安全系统的建设.(5) 负责网络审计系统的管理和维护,认真记录、检查和保管审计日志.(6) 定期进行总结,并向领导、主管部门汇报安全工作,提交年度报告;(7) 做好我行网络系统的安全运行、维护、管理等工作.(8) 如发生网络系统的重大安全事故、事件,及时向主管领导报告。第三章 管理原则第五条综合防范原则以预防为主、综合治理、人员防范与技术防范相结合,逐级建立安全保护体系 和责任制,加强制度建设,加强安全建设,全面加强管理,逐步实现信息系统安全 管理工
3、作的科学化、规范化。第六条动态管理原则网络安全工作要按照系统工程的要求,注意各方面、各层次、各时期的相互协 调、匹配和衔接,根据系统环境的变化以及对系统安全认识的深化,及时复查、修 改、调整安全策略。第七条适度投资原则网络安全管理需要在投资与效益之间加以权衡.安全工作既要充分有效,又要适 度投资,力争取得综合最佳的安全效果。第八条以人为本原则加强人员的信息安全教育、培训和管理,强化安全意识和法治观念,提升职业 道德,掌握安全技术,做好网络安全管理工作。第九条最小特权原则(完整word版)银行网络系统安全管理规定为网络资源规定明确的使用权限,对系统的所有人员,按其职责划定必要的最 小的授权范围,
4、明确安全责任,通过技术和行政管理措施有效地阻止越权使用行为.第四章过程和方法第十条安全管理过程主要包括安全风险分析与评估、安全策略制定、安全需求 分析、安全措施实施与监理和生命周期管理等主要环节。第十一条风险分析与评估:网络安全管理员负责我行网络系统的风险分析与评 估工作,并提交风险分析与评估报告.第十二条安全策略制定:网络安全管理员负责制定、完善网络安全策略,提出 网络安全框架、管理方法,规定各部门要遵守的规范及责任,以调动、协调和组织各 方面的资源共同保障网络系统的安全.第十三条安全需求分析:依据安全风险分析与评估报告以及安全策略,网络安全 管理员进行系统的安全需求分析,保证网络安全服务和
5、安全机制的有效性和针对性, 形成安全需求分析报告。第十四条安全措施实施与监理:依据需求分析报告制定完备的实施方案,从实 施的规范、流程、资金、进度等方面进行监督与检查,对实施过程进行严格控制。第十五条生命周期管理:在计划阶段,通过风险分析明确安全需求,确定安全目 标,制定安全策略,拟定安全要求的性能指标;在实施阶段,依据安全要求选择相应 的安全措施,采购或设计安全系统,根据工程要求实施和部署,并对安全措施进行 验证与验收、认证与认可;在运行维护阶段,通过检查、检测、审计和对风险变更(完整word版)银行网络系统安全管理规定 的监视和评估,保证运行安全;在生命周期结束阶段,对网络系统和设备进行安
6、全 处置。第五章设备安全管理第十六条为保证基于网络的业务系统可靠、稳定、连续、高效运行,场地和设 施必须满足网络设备对环境的要求。第十七条对重要网络设备配备专用电源或电源保护设备,保证其正常运行。第十八条 终端设备安全管理(1)使用人员应爱护终端与之相关的网络连接设备(包括网卡、网线、集线 器、调制解调器等),按规操作,不得对其实施人为损坏.(2)终端使用人员不得擅自更改网络设置,杜绝一切影响网络正常运行的行 为发生。(3)网络中的终端计算机在使用完毕后应及时关闭计算机和电源。第十八条科技部指定专人负责网络设施的安全工作,划分安全区域,进行分级管 理,建立、健全网络设施运行监控、巡检等有关措施
7、;对通信信道(X。25、DDN、 帧中继、光纤、拨号线等)、通信引接设备(调制解调器、光端机等)进行监控、 巡检。第十九条对业务系统使用的关键网络设备建立严格的登记制度,保证设备购置、 安装、调试、维护、维修、报废等处置活动安全可控。第六章 网络安全管理第二十条我行网络分为内联网、外联网和因特网。内部网由行内广域网、局域 网组成,为我行内部办公与开展业务提供网络服务;外联网指与国家有关部门和其 他单位连接的网络;因特网用于与国际互联网互联,实现对外业务信息服务和内外 信息交换。第二一条内联网系统与因特网系统必须物理隔离。第二十二条 对通过公共通信设施传输的重要业务信息实施加密,保证信息传输 的
8、安全;对外进行公共服务的信息系统,采取严格的安全措施,保证外部用户对特 定服务的访问不危及内部信息系统的安全;对从内向外及从外到内的连接资源(如 电话拨号、ISDN、ADSL联网等)实施严格控制,建立健全管理制度,完善监控手段.第二十三条 网络安全管理员应尽可能地改善网络系统的安全策略设置,尽量减 少安全漏洞。关闭不使用的服务,对不同级别的网络用户设置相应的资源访问权限.第二十四条 网络安全管理员参与网络系统设计,负责网络安全设备、网管系统 的维护,网络安全日志的收集和分析,网络系统的安全检查,保证网络安全运行。第二十五条 网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不 可测性,计
9、算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技 术和杀毒技术.第七章运行安全管理第二十六条 网络值班人员每日填写各类运行记录,定期检查系统日志文件,对 系统安全进行及时维护,对存在的安全缺陷和漏洞及时控制和消除,对发生的安全 事件,按照相应的处置规程和应急计划进行处理.第二十七条 定期检查备份、备用资源的可用性,保证在系统崩溃等特殊情况下, 可将系统恢复至原始状态或正常状态.第二十八条 网络安全管理员应制定网络应急、灾难恢复计划及相应的实施规 程,并进行必要验证、演练。计划包括紧急措施、硬件、软件、人力等资源配备、 恢复过程等。第二十九条 网络安全检测。为使网络长期保持较高的安
10、全水平,网络安全管理 员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安 全漏洞。网络安全员在系统检测完成后,应编写检测报告,需详细记叙检测的对象、 手段、结果、建议和实施的补救措施与安全策略.检测报告存入系统档案。第八章口令管理第三十条 网络系统口令每十五天更换一次,口令要无规则,重要口令要多于 八位。第三十一条 厂方调试人员调试维护完成后一小时内,关闭或修改其所用帐号 和密码。第九章人员管理第三十条 根据最小特权原则,建立岗位责任制度和授权许可制度,明确有关人 员安全职责和权限。第三十一条 建立人员考核制度.定期从政治思想、业务水平、工作表现、安全 意识、循章守纪等方面对有关人员进行考核.第三十二条 对关键岗位的工作人员建立人员备用制度;关键岗位工作人员一旦 辞职或调离,应及时更换网络管理系统口令,注销其所有账号,撤销其出入安全区 域、接触关键网络设施的权限。信息科技部
