《银行计算机系统信息安全管理实施细则模版.docx》由会员分享,可在线阅读,更多相关《银行计算机系统信息安全管理实施细则模版.docx(25页珍藏版)》请在金锄头文库上搜索。
1、计算机系统信息安全管理实施细则第一章 总 则 第一条 为加强江苏全省银行计算机系统信息安全管理,防范计算机信息技术风险,保障计算机网络与信息系统安全稳定运行,根据银行信息系统信息安全等级保护实施指引(试行)(银发2011173号)、中国银行计算机系统信息安全管理规定(银发2010276号)等规定,特制定本实施细则。第二条 本细则所称计算机系统信息安全管理(以下简称信息安全管理),是指在银行计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。第三条 信息安全管理工作实行统一领导、分级管理。银行xxx分行统一领导全省分支机构的信息安全
2、管理,各地市中心支行、县(市)支行负责本单位和辖内信息安全管理。第四条 信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。第五条 本细则适用于银行xxx分行机关、分行营管部、各地市中心支行及县(市)支行(以下统称各单位)。第二章 组织保障第六条 各单位应设立由本单位领导和业务、技术相关部门主要负责人组成的信息安全领导小组,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。各单位信息安全领导小组办公室设在本单位科技部门,负责开展本单位信息安全管理日常工作。第七条 各单位科技部门应设立信息安全管理部门或岗
3、位。银行xxx分行科技处配备专职信息安全管理员,地市中心支行和县(市)支行设立信息安全管理岗位。第八条 各单位每个部门应指定至少1名部门计算机安全员,具体负责本部门的信息安全管理工作,协同科技部门开展信息安全管理工作。第三章 人员管理第一节 人员管理第九条 各单位应规范人员录用过程,由组织人事部门和科技部门共同对被录用科技人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。第十条 凡是因违反国家法律法规和金融机构有关规定受到过处罚或处分的人员,不得从事信息安全管理工作。所有被录用人员必须与所在单位签署保密协议。第十一条 各单位应规范人员离岗过程,严格办理调离手续,取回各种身份证
4、件、钥匙、徽章等以及本单位提供的软硬件设备,及时终止离岗员工的所有访问权限。关键岗位人员离岗,应签订保密承诺书承诺离岗后的保密义务。第十二条 各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。信息安全管理员第十三条 各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。第十四条 银行xxx分行应每年至少组织信息安全管理员进行一次信息安全培训。第十五条 信息安全管理员履行以下职责:(一)组织落实上级信息安全管理规定和本单位及辖内信息安全保障工作,制定信息安全管理制度,协调部门计算机安全员工作;(二)审核信息化建设项目中的安全方案,组织实施信息安全项目建设、维护
5、、管理信息安全专用设施;(三)督促检查网络和信息系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件;(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。第十六条 信息安全管理员在履行职责时,确因工作需要查询相关涉密信息,应按银行相关保密规定执行。第十七条 对信息安全管理员应实行备案管理。信息安全管理员的配备和变更情况,应及时报上一级科技部门备案。部门计算机安全员第十八条 各部门应指派政治思想过硬、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案,如有变更应及时通报。
6、第十九条 各部门应优先选派部门计算机安全员参加本单位科技部门组织的计算机技术培训,部门计算机安全员应积极配合信息安全管理员工作。第二十条 部门计算机安全员履行以下职责:(一)配合本单位科技部门完成本部门计算机病毒防治、补丁升级、非法外联防范、移动存储介质管控等工作;(二)提出本部门信息安全保障需求,及时与科技部门沟通本部门信息安全情况;(三)负责本部门网络使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。技术支持人员第二十一条 本细则所称技术支持人员,是指负责或参与各单位机房环境、网络、计算机系统等建设、运行、维护的人员,包括内部技术支持人员和外部技术
7、支持人员。第二十二条 各单位科技部门设立的内部技术支持人员,包括系统管理员、网络管理员、数据库管理员、安全管理员、机房管理员等岗位,并实行A、B角负责制,制定相应岗位职责。第二十三条 计算机系统的开发人员不能兼任系统管理员或业务操作员,系统管理员不得兼任业务操作员,安全管理员不能兼任网络管理员、重要计算机系统管理员和数据库管理员等。第二十四条 内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应履行以下职责: (一)严格遵守各项安全保密规定;(二)严格权限访问,未经业务部门书面授权,不得擅自修改系统业务应用设置或修改系统生成的任何业务数据;(三)检测和监控生产系统安全运行状况,
8、定期进行风险评估、应急演练,发现安全隐患或故障及时报告本部门主管领导,并及时响应和处置。(四)严格遵守网络和信息系统管理规定,保障信息系统稳定运行。第二十五条 外部技术支持人员应严格履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,应严格遵守银行相关安全规定与操作规程。业务操作人员第二十六条 本细则所称业务操作人员,是指直接使用计算机系统处理业务的业务部门工作人员。第二十七条 业务操作人员履行以下职责:(一)严格按规程操作,定期修改并妥善保管操作密码,按需、适时进行必要的数据备份;(二)一旦发现计算机系统出现异常,应及时通报科技部门;(三)不得在业务操作终端上安装与业务处理无关的计
9、算机软件和硬件,不得擅自修改计算机系统及其运行环境参数。第二十八条 计算机系统业务操作应按照“权限分散、相互制约”原则,合理划分操作角色,严格进行授权管理。技术支持人员不得兼任业务操作人员。一般计算机用户第二十九条 本细则所称一般计算机用户,是指使用计算机及外设的所有人员。第三十条 一般计算机用户履行以下职责:(一)及时更新所用计算机安全专用系统客户端软件,并安装必要的补丁程序,按规定使用移动存储介质,自觉接受本部门计算机安全员的指导与管理;(二)不得安装与工作无关的计算机软件和硬件,不得擅自修改计算机系统及其运行环境参数。第三十一条 不得私自改变计算机用途,不得将一台计算机跨接不同网络。未经
10、科技部门核准(办公网和互联网还应由保密部门核准),所有计算机用户不得将计算机设备接入银行任何网络。 第二节 教育培训第三十二条 各单位应定期对各岗位人员进行安全技能及安全认知的考核。第三十三条 各单位应制定安全教育培训计划,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。第三十四条 各单位科技部门负责对本单位部门计算机安全员进行培训,部门计算机安全员应积极参加。第三节 授权和审批第三十五条 各单位应根据银行分支机构的职责以及银行xxx分行有关科技工作授权和审批的规定,明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等科技管理关键活动进行审批。第三十六条 各单位
11、应针对科技管理关键活动建立审批流程,并由批准人签章确认。第四节 沟通和合作第三十七条 各单位应加强与公安、金融、供电、电信等单位及银行其他单位之间的合作与沟通。第三十八条 各单位应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。 第四章 机房环境和设备资产管理第一节 机房安全管理第三十九条 本细则所称机房,是指网络与计算机设备放置、运行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。第四十条 各单位机房的规划、建设、改造、运行、维护,应遵守国家及银行计算机机房管理相关规定。第四十一条 各单位应建立集中的计算机机房,统一为各计算机系统提供运行环境。机房设施配
12、备应符合国家计算机机房有关标准要求。第四十二条 各单位机房建设(改造)的方案应报上一级科技部门备案。必要时,由上一级科技部门会同有关部门组织审核。第四十三条 各单位机房建设的设计与实施,应选择具备符合国家相关资质要求的企业,必要时可引入监理机制。未经验收或验收不合格的机房,不得正式投入使用。第四十四条 各单位应指派专人担任机房管理员,定期巡查机房运行状况。机房管理员应经过相关专业培训,掌握机房各类设备的操作要领。第四十五条 各单位应定期对机房设施进行维修保养,加强对易损、易失效设备或部件的维护保养。机房视频监控的值守由科技部门与大楼保卫部门协商确定。第二节 柜面和核心业务处理环境安全管理第四十
13、六条 对外提供柜面服务的场所与核心业务处理环境,应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加强技术防范。第三节 设备资产管理第四十七条 各单位应做好计算机设备登记工作,严格设备资产管理,明确计算机设备使用者或管理者及其安全责任。应编制并保存设备资产清单,包括资产责任部门、重要程度和所处位置等内容。第四十八条 各单位应根据计算机设备的重要程度,采取相应等级的安全保护措施,防止未经授权使用设备或信息。有特殊安全保密要求的计算机设备,应放置在机房特殊功能区,并遵守相关安全保密规定。第五章 网络安全管理第一节 网络规划、建设中的安全管理第四十九条 银行总行科技部门负责网络和网络安全的统一
14、规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址段和域名等)分配。涉密网络和涉密信息系统的规划、建设按照国家涉密信息系统分级保护相关标准和规定执行。第五十条 各单位科技部门应按照银行总、分行的统一规划和部署,组织实施网络建设、改造工程。网络建设与改造方案应报上一级科技部门审核,投产前应通过安全性测试。第五十一条 各单位的网络建设和改造应符合以下安全要求:(一)符合银行网络架构规划和安全管理要求,保障网络传输与应用安全;(二)具备必要的网络监控、审计等管理功能;(三)针对不同的网络安全域,采取相应的网络边界控制措施。第二节 网络运行安全管理第五十二条 各单位科技部门应配备网络管理
15、员,负责网络日常监测,检查网络安全运行状况,定期检查网络日志,管理网络资源及其配置信息,建立健全网络安全运行维护档案,及时发现和解决网络异常情况。网络日志应至少妥善保存3个月。第五十三条 网络管理员应定期参加网络安全技术培训,具备一定的网络攻击防范技能。紧急情况下,经本部门主管领导批准后,可采取“先断网、后处理”的紧急应对措施。第五十四条 各单位科技部门应严格网络接入管理。任何设备接入网络前,应经过科技部门审核,审核批准后方可接入网络并分配相应的网络资源。第五十五条 各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。网络变更原则上应安排在非工作时间进行。实施有可能影响网络正常运行的重大网络变更,应报上一级科技部门审批后执行,提前通知所有使用部门,并安排在节假日进行,同时做好配置参数的备份和应急恢复准备,在实施完成后及时将变更情况报上一级科技部门备案。第五十六条 各单位应严格远程访问控制,确因工作需要进行远程访问的,应由访问发起单位科技部门核准,提请被访问单位科技部门开启远程访问服务,并采取单列账户、最小权限分
