信息安全管理实施细则Word文档下载推荐.docx

资源描述

信息安全管理实施细则Word文档下载推荐.docx

《信息安全管理实施细则Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《信息安全管理实施细则Word文档下载推荐.docx（13页珍藏版）》请在冰豆网上搜索。

信息安全管理实施细则Word文档下载推荐.docx

第三章管理组织与职责

第八条分行信息科技部为信息安全工作牵头管理部门，同时负责监督和检查各部门及营业机构的信息安全工作。

信息科技部设置专门的信息系统及网络安全管理人员，具体落实分行的信息安全管理工作。

第九条依照外部监管机构信息安全管理相关要求，各营业机构必须指定1至2名信息员，协调和落实分行信息安全工作。

第十条分行风险管理委员会在信息安全管理工作中的主要职责为：

（一）审议安全策略、重大事项和信息安全评估报告；

（二）听取有关信息系统安全管理工作情况的汇报。

第十一条信息科技部在信息安全管理工作中的主要职责包括：

（一）贯彻执行总行及外部监管机构的信息安全管理相关制度和规范，建立健全信息科技相关制度；

（二）根据总行信息科技工作部署，对分行信息安全工作进行具体安排和落实；

（三）组织对信息安全工作制度和技术操作策略进行审查，拟定信息安全总体策略规划，并监督执行；

（四）负责协调、督促分行各部门及营业机构的信息安全工作，参与信息系统工作建设中的安全规划，监督安全措施的执行；

（五）组织分行信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；

（六）负责接收各部门及营业机构的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；

（七）及时向信息科技主管领导和总行报告信息安全事件；

（八）跟踪先进的信息安全技术，组织信息安全知识培训和宣传工作。

第十二条信息系统管理人员的主要职责包括：

（一）负责系统的运行管理，实施系统安全运行细则；

（二）严格用户权限管理，维护系统安全正常运行；

（三）认真记录系统安全事项，及时向信息安全管理人员报告安全事件；

（四）对进行系统操作的其他人员予以安全监督。

第十三条网络安全管理人员的主要职责包括：

（一）负责网络的运行管理，监视全网运行和安全告警信息，实施网络安全策略和安全运行细则；

（二）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；

（三）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全管理人员报告安全事件；

（四）对操作网络管理功能的其他人员进行安全监督。

第十四条各业务部门作为信息系统归属部门，在信息安全管理工作中的主要职责为:

（一）负责做好本部门信息系统的使用管理；

（二）负责对涉及本部门信息系统的各类违反安全策略的行为进行分析，评估影响范围，报告信息安全管理部门;

（三）负责在基本安全策略基础上，根据本部门信息系统保护的需要，提出安全策略建议；

（四）负责根据安全策略要求，向信息安全管理部门提出相应的安全需求；

（五）负责做好本部门员工安全意识教育，防止对信息系统的不当使用；

（六）负责配合相关部门做好信息系统使用管理，并根据信息安全管理部门的要求对违规行为进行调查处理。

第十五条各营业机构信息员的主要职责包括;

（一）贯彻执行分行及外部监管机构的信息安全管理相关制度和规范；

（二）配合分行信息安全管理部门做好营业机构的日常信息安全工作，负责及时上报营业机构的信息安全事件；

（三）负责营业机构内的所有信息设备日常故障处理和维护；

（四）了解和掌握营业机构应急预案，协助分行实施应急演练；

（五）负责参与分行信息安全管理部门组织的信息安全培训。

第十六条信息科技部应建立与外部监管机构、服务商及供应商等沟通交流渠道。

分行各部门之间应加强合作与沟通，共同研究信息安全问题。

第十七条信息科技部应做好分行人员的信息安全教育工作，使其清楚掌握和了解信息安全管理制度和安全措施。

第四章信息安全保密管理

第十八条分行员工在信息应用方面不得有以下行为：

（一）以盗窃、利诱、胁迫或其它任何不正当手段，获取分行的商业秘密；

（二）违反分行有关的保密协定、要求，违反与分行签订的劳动合同，披露或者泄露分行的商业秘密；

（三）未经分行许可，将商业秘密用于指定目的以外；

（四）协助他人以不正当手段获取分行商业秘密。

第十九条员工因业务需要必须将分行商业秘密向第三方披露或者交由第三方使用的，应参照总行有关管理规定执行。

第二十条员工在工作过程中，了解到其它银行商业秘密的，应视同分行商业秘密，按照分行商业秘密管理规定执行，不得向任何第三方泄露。

第二十一条员工在工作过程中，如需接触任何分行的关键信息资产，都必须遵守有关规定和要求。

第二十二条辞职及离、退休人员信息保密规定：

（一）辞职及离、退休人员办理离岗手续时，该人员所属部门必须向其明确分行相关的商业秘密保密协议，或要求员工离岗后的信息保密义务，并监督其退还全部涉密资料；

（二）辞职及离、退休人员正式办理离岗手续后，该人员所属部门应第一时间通知信息科技部信息科技人员，对该人员使用的所有信息系统相关账户立即停用或做出相应的安全处理，如更换该账号的口令。

第五章信息资产使用管理

第二十三条员工对所使用的信息资产负有安全责任。

各种可移动或便携式硬件资产的安全责任由该资产的保管者承担。

分行信息资产的使用者需遵守如下规定：

（一）不在无安全保障的场所（包括在无安全保障的信息系统中）阅读、处理敏感信息资料；

（二）未经同意不得私自留存秘密信息、资料；

（三）不擅自销毁重要信息资料；

（四）使用的信息资料应当存放于安全的环境中。

第二十四条严禁擅自接入、移动或更换分行生产网内的计算机及相关设备；

未经信息科技人员许可不得更改网络配置；

禁止使用便携式笔记本连接生产网系统，如有特殊需求，需经过信息科技人员的确认。

第二十五条员工不得在未经许可的情况下使用他人的计算机设备。

如工作需要，需在设备所有人监控下操作，并由设备所有人承担使用过程中的安全责任。

第二十六条员工不得在未授权的情况下擅自将分行的敏感资料（包括第三方数据）进行复制、存储、传送；

不得将分行的涉密信息资产存储在不属于分行信息安全资产的存储介质中，包括公用电子邮箱、私人计算机、私人用途的移动硬盘等。

第二十七条员工应做好重要文件的备份工作。

第二十八条对路由器、交换机和线路加密器等通讯设备必须采取严格的管理措施，未经批准不得随意移动和接入。

第二十九条员工有责任及时发现并上报发生的信息安全事件，并应当在信息安全事件的处理过程中协助相关人员调查工作。

第三十条除特殊需要外，员工不得在生产网计算机上使用移动存储设备；

必要的情况下，信息科技人员有权禁用光驱和USB接口启动功能。

第三十一条员工应遵照系统管理员的要求，安装和配置系统设置，未经信息科技人员允许，不得自行更改计算机软、硬件相关配置，不得安装任何盗版软件。

第三十二条信息资产出现变更后，各部门应对资产文档进行相应的变更处理，并定期与资产管理部门对资产文档进行核对。

第三十三条信息资产管理部门及使用部门应依据信息资产的重要程度进行识别及归类，并确定保护需求。

第六章物理与环境的安全管理

第三十四条应对机房内主机、网络设备、系统软件、数据库、中间件、UPS、空调、消防、供配电、门禁系统等设备的运行状况进行全面监控。

通过机房环境监控系统，对上述基础设施设备、机房环境状况、安防系统状况进行7x24小时实时监测，监测记录及时备案，监测发现异常情况时应及时通知相关人员处理，确保异常情况及时解决。

监测记录要妥善保存，留存时间至少应在三个月以上。

第三十五条机房各功能区域应划分安全控制级别，不同级别区域采用独立的监控设备，对于各区域出入口及重要位置应采用视频监控，并将监控内容整理记录，并至少保存三个月，以备查询。

第三十六条机房管理人员每天至少进行一次各类信号的检查，确认正常与否，并做好记录，如不正常应立即查明原因并及时处理问题，迅速上报相关负责人。

第三十七条机房管理人员应每年对各类基础设施和监控设备进行一次全面检查，及时发现安全隐患并确保监控设备持续可用。

第七章网络管理

第三十八条信息安全管理部门应对生产运行系统设备和通信线路应进行定期的检测和维护，确保随时处于可用状态。

第三十九条信息安全管理部门应根据网络系统中包含的信息系统安全级别将整个网络系统划分为相对独立的安全域，通过安全域的边界防护和安全域内的统一安全管理实现安全域内的网络安全。

第四十条信息安全管理部门应根据网络安全域的安全级别和通过风险分析确定的安全需求来设计、实施网络安全方案，安全管理部门应定期组织对网络安全方案进行回顾，检查与实际系统的符合性。

第四十一条信息安全管理部门应按照网络安全技术规范实施所负责网络的安全配置，并定期检查与规范的符合性。

对网络设备配置命令和响应信息的完整性、合理性及保密性必须进行验证。

第四十二条信息安全管理部门必须对所有当前使用和备用的网络设备建立清单并定期检查。

对访问生产系统的外联网络设备应集中管理，应明确外联网络设备的使用方式并对其使用情况进行详细记录。

第四十三条新建网络、网络改造或变更在投入使用前，信息安全管理部门应制订相应的网络安全防范措施，组织对新建网络或改造后网络实施安全检验，未通过检验不允许投产使用。

第四十四条严格控制对安全域内设备的远程诊断管理端口的访问，使用前必须经过信息安全管理部门审批。

第四十五条办公网、测试网与生产网络必须采取严格的隔离措施。

第四十六条严格管理远程访问生产系统方式的使用，使用前应经过信息安全管理部门审批，限制在只可以从安全的网络进行访问并对系统进行安全配置和记录日志，信息安全管理部门应定期进行检查。

第四十七条分行各部门及营业机构使用无线网络必须通过信息安全管理部门审批。

无线网络只允许访问内部管理类系统，严禁通过无线网络访问业务运行类系统。

第四十八条分行各部门及营业机构使用VPN移动办公系统前必须通过信息安全管理部门审批，不得擅自使用。

VPN网络必须采用认证和加密传输等安全技术，并严格按照相关规定操作。

第四十九条网络系统应拥有完善的网管系统，网管系统应能够提供网络系统状态的实时监控和故障报警功能。

第五十条网络设备用户访问网络资源须经过安全认证、合理授权和日志记录。

认证应采用双因素等高安全强度的认证方式，对用户的权限应合理规划，实现角色的分离和相互制约，限制用户权限尤其是超级用户权限的滥用和误用。

信息安全管理部门应定期对网络设备用户进行检查。

第五十一条防火墙策略的制定要遵循最小授权原则和除非明确允许禁止所有其他访问的原则，只开放必须的地址、协议和端口，防火墙策略的变更应经过信息

展开阅读全文