金融行业信息(内网)安全管理规定(参考)Word文档下载推荐.doc
《金融行业信息(内网)安全管理规定(参考)Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《金融行业信息(内网)安全管理规定(参考)Word文档下载推荐.doc(28页珍藏版)》请在冰豆网上搜索。
功能权限子类
用户权限设置分类(打√为建议分配的权限)
管理员
参数设置
控制台
远程控制
审计查看
文件
添加计算机组
√
删除计算机组
修改计算机名称
移动计算机组
添加用户组
删除用户组
修改用户组名称
移动用户组
删除计算机
移动计算机
删除用户
修改用户名称
移动用户
导出数据
打印
控制
发送通知消息
锁定/解锁
注销用户
关机/重新启动
卸载客户端
统计
应用程序统计
网页浏览统计
网络流量统计
日志
基本事件日志
应用程序日志
网页浏览日志
文档操作日志
打印日志
资产变更日志
策略日志
系统事件
备份文档
共享文档
移动存储日志
策略
基本策略
应用程序策略
网页浏览策略
设备控制策略
打印控制策略
屏幕记录策略
日志记录策略
远程控制策略
流量控制策略
网络控制策略
邮件控制策略
即时通讯文件传送策略
文件上传下载策略
文档控制策略
系统报警策略
移动存储授权策略
监控
实时屏幕快照
即时通讯
邮件
查看屏幕历史
导出屏幕历史
维护
查看远程信息
远程操作
远程文件传送
资产管理
资产查询
定义资产类别属性
修改资产属性
补丁管理
查询补丁情况
设置补丁管理参数
执行补丁操作
漏洞管理
查询漏洞检查情况
设置漏洞检查参数
软件分发
查询软件分发包信息
设置软件分发包
查询分发任务及安装情况信息
设置分发任务
执行分发任务
网络接入检测
查看接入检测
设置接入检测
设置策略
所有分类管理
应用程序类别
网站类别
时间类别
网络地址类别
网络端口类别
移动存储库
删除
删除日志数据
删除即时通讯信息
删除邮件
备份数据
备份日志
设置客户端的搜索范围
设置客户端的排除反问
生成客户端确认码
管理加密盘
格式化成加密盘
第九条项目参与人员:
(1)安全委员会
(2)总经理层(3)网管中心
(4)相关部门经理
第二章组织保障
第十条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第十一条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;
地(市)中心支行和县(市)支行设立信息安全管理岗位。
第十二条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理
第十三条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员
第十四条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和XX银行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十五条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。
上岗后,每年至少参加一次信息安全专业培训。
第十六条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:
(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
(三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十七条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
第十八条信息安全管理人员实行备案管理制度。
信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。
信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节部门计算机安全员
第十九条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案。
如有变更应做好交接工作,并及时通报科技部门。
第二十条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第二十一条部门计算机安全员在如下职责范围内开展工作:
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节技术支持人员
第二十二条本规定所称技术支持人员,是指参与XX银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第二十三条XX银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄漏或引用工作中触及的任何敏感信息。
严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第二十四条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。
提供技术服务期间,严格遵守XX银行相关安全规定与操作规程,关键操作应经授权,并有XX银行内部员工在场。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员
第二十五条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
第二十六条业务系统操作人员应承担如下安全义务:
(一)严格规程操作,防止误操作。
定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告科技部门。
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
第二十七条业务系统操作应按照“权限分散、不得交叉任职”原则
升级会员 