银行信息安全管理规定
中国人民银行信息安全管理规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行 A、B 岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
银行个人信息保护管理制度
银行个人信息保护管理制度第一章总则第一条为规范银行个人信息保护行为,保护客户个人信息安全,促进银行运营管理的规范化,提高服务质量,保障客户权益,制定本制度。
第二条本制度适用于银行保留、使用客户个人信息的全部行为。
第三条本制度所称个人信息是指能够识别客户个人身份的信息,包括但不限于:客户的姓名、性别、出生日期、身份证号码、住址、电话号码、银行卡号、账户信息等。
第四条银行个人信息保护的原则是合法、正当、必要的原则,确保客户个人信息的真实性、准确性,完整性和及时性。
第五条银行个人信息保护的目标是保障客户个人信息安全,防范个人信息泄露事件,构建和维护良好的信用环境。
第二章个人信息保护的组织架构和职责第六条银行应当建立完善的个人信息保护管理架构,包括设置信息保护委员会,明确信息保护管理部门,设立信息保护专责人员。
第七条信息保护委员会是银行信息保护的最高决策机构,负责制定和审议个人信息保护相关政策、制度和措施,并对个人信息保护工作进行全面监督。
第八条信息保护管理部门是具体负责信息保护的相关部门,负责指导、监督和检查银行全体员工的个人信息保护工作。
第九条信息保护专责人员是信息保护管理部门的主要负责人,负责推动信息保护工作的开展,落实信息保护政策、措施。
第十条银行全体员工都应当严格遵守个人信息保护的相关规定,保护客户个人信息的安全。
第三章个人信息的收集和使用第十一条银行在收集客户个人信息时,应当向客户告知信息收集的目的、范围和方式,并取得客户的同意。
第十二条银行在使用客户个人信息时,应当遵循合法、正当、必要的原则,并在法律法规允许的范围内使用。
第十三条银行不得擅自泄露客户个人信息,不得非法向他人出售、提供个人信息。
第十四条银行应当采取必要的技术措施和管理措施,保障客户个人信息的安全、完整和及时。
第四章个人信息保护的监督和管理第十五条银行应当建立完善的客户个人信息管理系统,统一管理客户个人信息。
第十六条银行信息保护委员会应当定期对个人信息保护工作进行检查和评估,及时纠正存在的问题。
中国人民银行信息安全管理规定(最新版)
最新版第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
银行信息安全管理规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
银行隐私安全管理制度
第一章总则第一条为了保护客户个人信息安全,防范金融风险,维护银行声誉,根据《中华人民共和国个人信息保护法》、《中华人民共和国商业银行法》等法律法规,结合本行实际情况,制定本制度。
第二条本制度适用于本行所有员工、客户以及与银行有业务往来的第三方机构。
第三条本制度遵循以下原则:(一)合法、合规原则:严格遵守国家法律法规,确保银行隐私安全管理工作合法合规。
(二)安全第一原则:将客户隐私安全放在首位,确保客户信息不被非法获取、使用、泄露、篡改或破坏。
(三)责任明确原则:明确各级人员职责,确保隐私安全管理工作落到实处。
(四)持续改进原则:不断完善隐私安全管理制度,提高管理水平。
第二章组织机构与职责第四条成立银行隐私安全管理工作领导小组,负责全行隐私安全工作的组织、协调和监督。
第五条领导小组下设办公室,负责日常管理工作,具体职责如下:(一)制定和修订银行隐私安全管理制度;(二)组织开展隐私安全培训、检查和考核;(三)协调各部门开展隐私安全相关工作;(四)处理客户投诉和纠纷;(五)定期向领导小组报告工作。
第六条各部门应设立专人负责本部门的隐私安全管理工作,具体职责如下:(一)严格执行本制度及相关法律法规;(二)加强对员工进行隐私安全教育和培训;(三)对本部门业务流程进行风险评估,制定相应的安全措施;(四)配合办公室开展检查和考核工作;(五)及时报告和处置本部门发生的隐私安全事件。
第三章客户个人信息保护第七条本行收集、使用客户个人信息应当遵循合法、正当、必要的原则,不得超出实现业务功能所必需的范围。
第八条本行应采取以下措施保护客户个人信息:(一)建立健全客户个人信息收集、存储、使用、加工、传输、提供、公开等环节的安全管理制度;(二)对客户个人信息进行分类管理,确保敏感信息得到特别保护;(三)采用技术手段,对客户个人信息进行加密存储和传输;(四)对客户个人信息进行定期检查和更新,确保信息的准确性、完整性和安全性;(五)对客户个人信息进行匿名化处理,防止个人信息被识别。
银行业信息安全管理制度
一、目的为加强银行业务的信息安全管理工作,保障银行业务的正常开展,维护客户信息安全,防止金融风险,根据国家有关法律法规和行业规范,特制定本制度。
二、适用范围本制度适用于我行所有员工、外包人员及与我行有业务往来的第三方单位。
三、职责1. 信息安全管理部门负责全行信息安全工作的组织、协调、监督和检查。
2. 各部门负责人对本部门信息安全工作负总责,确保本部门信息安全管理制度得到有效执行。
3. 员工应遵守信息安全管理制度,履行信息安全职责。
四、信息安全管理制度1. 信息安全风险评估(1)定期开展信息安全风险评估,评估结果应及时上报行领导。
(2)针对风险评估中发现的问题,制定整改措施,并跟踪整改效果。
2. 信息安全防护措施(1)加强网络安全防护,确保网络畅通、稳定。
(2)加强系统安全防护,定期对系统进行安全检查和升级。
(3)加强数据安全防护,对敏感数据进行加密存储和传输。
(4)加强员工信息安全意识培训,提高员工信息安全防范能力。
3. 信息安全事件处置(1)建立健全信息安全事件报告、调查、处理和报告制度。
(2)发生信息安全事件时,应及时启动应急预案,采取措施防止事态扩大。
(3)对信息安全事件进行调查分析,查找原因,采取相应措施,防止类似事件再次发生。
4. 信息安全保密管理(1)加强保密意识教育,提高员工保密意识。
(2)建立健全保密制度,明确保密范围、保密等级和保密期限。
(3)加强保密技术防护,确保信息不被非法获取、泄露。
5. 信息安全检查与审计(1)定期开展信息安全检查,发现问题及时整改。
(2)开展信息安全审计,确保信息安全管理制度得到有效执行。
五、奖惩1. 对在信息安全工作中表现突出的单位和个人,给予表彰和奖励。
2. 对违反信息安全管理制度,造成信息安全事件的单位和个人,依法依规追究责任。
六、附则本制度由信息安全管理部门负责解释,自发布之日起施行。
如有未尽事宜,可根据实际情况予以补充和完善。
银行机构信息安全管理制度
第一章总则第一条为加强银行机构信息安全工作,确保银行业务的连续性、稳定性,保障客户信息安全和银行资产安全,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合我行实际情况,制定本制度。
第二条本制度适用于我行所有员工、合作伙伴及客户,旨在明确信息安全责任,规范信息安全行为,提高信息安全防护能力。
第二章信息安全组织与职责第三条我行设立信息安全领导小组,负责制定信息安全战略、政策和制度,指导、监督信息安全工作的开展。
第四条信息安全管理部门负责全行信息安全的组织、协调、监督和检查工作,具体职责如下:(一)组织制定和修订信息安全管理制度、操作规程,确保信息安全工作有章可循;(二)负责信息安全培训,提高员工信息安全意识;(三)负责信息安全风险评估、漏洞扫描和应急响应等工作;(四)负责信息系统的安全配置、监控和维护;(五)负责信息安全事件的处理和报告。
第五条各部门负责人对本部门信息安全工作负总责,确保本部门信息安全制度的有效实施。
第三章信息安全策略与措施第六条信息安全策略:(一)确保客户信息安全和隐私保护;(二)保障银行业务连续性、稳定性;(三)防范和降低信息安全风险;(四)遵循国家法律法规和行业标准。
第七条信息安全措施:(一)加强员工信息安全意识培训,提高信息安全防范能力;(二)建立健全信息安全管理制度,明确信息安全责任;(三)加强信息系统安全防护,包括网络安全、数据安全、应用安全等;(四)定期进行信息安全风险评估,及时整改安全隐患;(五)建立信息安全事件报告和处理机制,确保信息安全事件得到及时处理。
第四章信息安全事件处理第八条信息安全事件报告:(一)员工发现信息安全事件时,应立即报告信息安全管理部门;(二)信息安全管理部门接到报告后,应及时进行调查、处理,并向上级领导报告。
第九条信息安全事件处理:(一)信息安全管理部门根据事件严重程度,采取相应的应急响应措施;(二)事件处理过程中,确保事件不影响银行业务的正常开展;(三)事件处理后,对事件原因进行分析,提出整改措施,防止类似事件再次发生。
银行客户信息安全管理制度
一、总则第一条为确保银行客户信息安全,防范信息泄露风险,维护客户合法权益,根据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规,结合本行实际情况,制定本制度。
第二条本制度适用于本行所有员工、外包人员以及与本行有业务往来的第三方。
第三条本行高度重视客户信息安全,将客户信息安全作为一项重要工作,建立健全客户信息安全管理体系,确保客户信息安全得到有效保障。
二、客户信息安全管理原则第四条本行遵循以下客户信息安全管理原则:(一)合法合规原则:严格遵守国家法律法规,依法保护客户信息安全。
(二)最小化原则:仅收集、使用必要的客户信息,不得过度收集。
(三)安全保护原则:采取必要措施,确保客户信息在收集、存储、使用、传输、处理等环节的安全。
(四)责任明确原则:明确各部门、各岗位在客户信息安全工作中的职责,确保信息安全责任落实到位。
三、客户信息安全管理职责第五条本行设立客户信息安全管理部门,负责全行客户信息安全的组织、协调、监督和管理工作。
第六条各部门、各岗位在客户信息安全管理中的职责如下:(一)客户信息安全管理部门:1. 制定、修订和完善客户信息安全管理制度及操作规程;2. 组织开展客户信息安全培训;3. 监督、检查客户信息安全工作落实情况;4. 负责客户信息安全事件的报告、处理和调查。
(二)业务部门:1. 严格按照客户信息安全管理制度及相关操作规程开展业务;2. 定期对客户信息安全工作进行检查,确保业务操作符合规定;3. 对客户信息安全事件进行及时报告和处理。
(三)其他部门:1. 严格遵守客户信息安全管理制度,不得泄露、篡改、损毁客户信息;2. 配合客户信息安全管理部门开展信息安全工作。
四、客户信息安全管理措施第七条本行采取以下客户信息安全管理措施:(一)加强人员管理:1. 对员工进行客户信息安全培训,提高员工信息安全意识;2. 建立员工信息安全考核制度,对违反客户信息安全规定的行为进行处罚。
银行信息安全管理规定
银行信息安全管理规定 Modified by JACK on the afternoon of December 26, 2020中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
中国人民银行信息安全管理相关规定
信息安全管理组织架构
信息安全管理委员 会
信息安全管理办公 室
信息安全管理小组
信息安全专员
信息安全风险评估与控制
定义:对信息安全风险进行识别、评估和控制的整个过程。 目的:确保信息系统的安全性和稳定性,防范潜在的安全风险和威胁。 主要内容:包括风险识别、风险评估、风险控制和监督与改进等环节。
实施主体:中国人民银行及其分支机构,以及相关业务部门和信息系统运营单位等。
信息安全的措施:信息安全措施包括防火墙、入侵检测系统、数据加密、安全审计等。
信息安全的法律法规:我国出台了多项法律法规,如《网络安全法》、《密码法》等,对保障信息安全发挥了重要作 用。
信息安全的威胁
黑客攻击:非法入侵计算机系 统,窃取、篡改或破坏数据
病毒传播:通过电子邮件、网 络等途径传播病毒,破坏计算 机系统
国际信息安全 法律法规的制
定与完善
中国人民银行 在信息安全法 律法规方面的
贡献
国际合作与交 流在信息安全 法律法规领域
的重要性
中国人民银行 与其他国家在 信息安全法律 法规方面的合 作与交流情况
感
谢
观
看
汇 报 人 :
性
修订内容:对原 有标准进行修订 和完善,包括技 术要求、管理要 求等方面,以适 应新的网络安全
形势和需求
信息安全的测试与验证
测试目的:确保系统安全控制措施 的有效性
测试方法:采用黑盒测试、白盒测 试、灰盒测试等方法进行测试
添加标题
添加标题
添加标题
添加标题
测试范围:包括但不限于系统控制 措施、系统业务应用、系统安全功 能等
信息安全培训与意识提升
信息安全培训的重要性 信息安全意识提升的方法 信息安全培训的内容和形式 信息安全意识提升的实践与效果
银行信息安全管理规定
银行信息安全管理规定1. 引言银行作为金融行业的重要组成部分,拥有大量敏感客户数据和财务信息。
为了维护银行系统的稳定和信息的安全性,银行需要严格遵守信息安全管理规定。
本文旨在制定一套银行信息安全管理规定,确保银行的信息系统和客户数据受到充分的保护。
2. 信息安全管理政策银行应制定明确的信息安全管理政策,确保信息安全策略与银行的战略目标相一致。
该政策应包括以下内容:2.1 信息安全目标银行的信息安全目标应明确界定,包括对客户数据安全、系统安全和网络安全的要求。
同时需要设定合理的目标指标和时间表,以达到这些目标。
2.2 组织与责任银行应设立信息安全管理部门,并明确每个部门和人员在信息安全方面的职责和权限。
同时,应有一个信息安全委员会负责定期审查和监督银行的信息安全工作。
2.3 信息资产分类与标记银行应对所有的信息资产进行分类,并为每个分类设定不同的访问权限和安全标记。
只有经过授权的员工才能访问对应的信息资产,以确保信息的机密性、完整性和可用性。
2.4 内部信息安全培训银行应定期组织内部信息安全培训,教育员工了解信息安全政策、规定和流程,并提高其信息安全意识。
同时,应对新加入的员工进行信息安全培训,确保其熟悉并遵守信息安全规定。
2.5 外部合作伙伴管理银行与外部合作伙伴之间的数据交换和共享应建立安全的通信机制,并与合作伙伴签署保密协议。
银行应定期审查合作伙伴的信息安全措施,并要求其符合银行的信息安全要求。
3. 风险管理与安全控制银行应对可能存在的信息安全风险进行评估,并采取相应的安全控制措施进行预防和应对。
3.1 安全策略与计划银行应建立完善的信息安全策略和计划,包括对可能存在的风险进行分析和评估,制定相应的安全控制措施,并定期对安全策略和计划进行审查和更新。
3.2 安全漏洞管理银行应建立安全漏洞管理制度,定期进行安全漏洞扫描和评估,并及时修复发现的安全漏洞。
同时,应监控最新的安全威胁和漏洞情报,并采取相应措施加以防范。
银行信息安全管理规定
银行信息安全管理规定银行信息安全一直是银行业面临的重要挑战之一。
针对信息安全问题,银行制定了一系列的信息安全管理规定。
本文将从银行信息安全管理的重要性、信息安全管理的目标和原则、信息安全管理的具体要求和措施等方面进行论述,以确保银行信息安全得到有效保障。
一、信息安全管理的重要性随着信息技术的不断发展,银行的信息系统承载着大量的客户信息和财务数据,一旦信息系统遭到攻击或窃取,将严重影响银行的声誉和利益。
因此,信息安全管理对于银行来说至关重要。
信息安全管理的重要性表现在以下几个方面:1. 保护客户权益:客户的个人信息、账户信息等必须得到妥善保护,防止泄露和不当使用。
2. 维护金融秩序:银行是金融体系的核心环节,信息安全问题关系到金融市场的稳定和秩序。
3. 提高竞争力:合理有效的信息安全管理能够增强银行的竞争力,赢得客户的信任和合作。
4. 遵守法律法规:信息安全管理的规范执行有助于银行履行合规责任。
二、信息安全管理的目标和原则信息安全管理的目标是确保银行信息系统的机密性、完整性和可用性,并维护客户和银行利益。
基于此,信息安全管理需要遵循以下原则:1. 风险管理原则:银行需要进行风险评估和风险管理,建立健全的信息安全风险管理体系。
2. 制度建设原则:银行应建立完善的信息安全管理制度,明确责任和权限,保证信息安全管理的落地执行。
3. 技术保障原则:银行需采用先进的信息安全技术手段,保护信息系统的安全运行和数据的安全存储。
4. 教育培训原则:银行应加强员工的信息安全教育和培训,提高员工的信息安全意识和技能。
三、信息安全管理的具体要求和措施1. 安全策略和制度建设银行需要根据实际情况,建立并完善信息安全策略和制度,包括信息安全管理规定、操作规程、技术规范等,明确信息安全管理的目标、原则和要求。
2. 身份认证与访问控制银行应使用有效的身份认证方式,确保用户身份真实可信。
此外,需要建立访问控制机制,限制不同用户的权限和访问范围,保护敏感信息不被未授权人员获取。
银行信息系统安全管理制度
第一章总则第一条为确保银行信息系统安全稳定运行,防范和化解各类安全风险,根据国家有关法律法规和银行业监管要求,特制定本制度。
第二条本制度适用于我行所有信息系统,包括但不限于核心业务系统、中间业务系统、辅助业务系统、互联网业务系统等。
第三条信息系统安全管理工作遵循以下原则:1. 预防为主、防治结合;2. 依法合规、技术保障;3. 安全可靠、高效便捷;4. 全员参与、责任到人。
第二章组织机构与职责第四条成立信息系统安全领导小组,负责全行信息系统安全工作的统筹规划、组织协调和监督管理。
第五条信息系统安全领导小组下设信息系统安全办公室,负责日常信息系统安全管理工作。
第六条各部门、分支机构应明确信息系统安全责任人,负责本部门、分支机构信息系统安全管理工作。
第三章安全管理制度第七条建立健全信息系统安全管理制度,包括但不限于:1. 信息系统安全保密制度;2. 信息系统安全审计制度;3. 信息系统安全事件报告和处理制度;4. 信息系统安全培训制度;5. 信息系统安全应急响应制度;6. 信息系统安全风险评估制度;7. 信息系统安全防护设备管理制度;8. 信息系统安全运维管理制度。
第八条加强信息系统安全防护,包括但不限于:1. 防火墙、入侵检测系统、漏洞扫描系统等安全设备的部署与维护;2. 操作系统、数据库、应用系统等软件的安全加固;3. 网络安全协议的使用与管理;4. 数据加密与传输安全;5. 信息系统安全审计与日志管理;6. 安全漏洞修补与补丁管理。
第九条加强信息系统安全培训,提高员工安全意识和技能,包括但不限于:1. 定期组织信息系统安全培训;2. 对新员工进行信息系统安全培训;3. 开展信息系统安全知识竞赛等活动。
第四章应急响应第十条建立信息系统安全应急响应机制,包括但不限于:1. 制定应急预案,明确应急响应流程;2. 建立应急响应队伍,负责应急响应工作;3. 定期开展应急演练,提高应急响应能力。
第五章责任追究第十一条对违反本制度的行为,依据相关法律法规和内部管理规定追究责任。
银行信息安全8项规定(3篇)
第1篇随着信息技术的高速发展,金融行业已成为信息安全风险的高发领域。
为保障金融消费者的合法权益,维护金融市场的稳定和安全,我国银行业监管部门制定了以下8项银行信息安全规定,旨在强化银行机构的信息安全责任,提升银行信息安全防护能力。
一、明确信息安全责任主体1. 银行机构应将信息安全纳入战略规划,建立健全信息安全管理体系,明确信息安全责任主体,确保信息安全工作得到有效实施。
2. 银行机构主要负责人应承担信息安全第一责任人的职责,对信息安全工作进行全面领导和管理。
二、加强信息系统安全建设3. 银行机构应按照国家相关法律法规和技术标准,建设安全可靠的信息系统,确保信息系统安全稳定运行。
4. 银行机构应采用加密、访问控制、审计等安全措施,防止信息泄露、篡改和破坏。
5. 银行机构应定期对信息系统进行安全评估,及时发现问题并整改,确保信息系统安全。
三、强化数据安全管理6. 银行机构应建立数据安全管理制度,明确数据分类、存储、传输、使用、共享、销毁等环节的安全要求。
7. 银行机构应加强对个人信息的保护,严格遵守个人信息保护法律法规,确保个人信息安全。
8. 银行机构应加强数据备份和恢复能力建设,确保在数据丢失、损坏等情况下能够及时恢复。
四、提升安全意识与技能9. 银行机构应加强员工信息安全意识培训,提高员工安全防范能力。
10. 银行机构应定期开展信息安全演练,提高应对信息安全事件的能力。
五、加强外部合作与交流11. 银行机构应与政府、行业组织、科研机构等加强合作,共同推动信息安全技术的发展。
12. 银行机构应积极参与信息安全标准制定,为我国信息安全事业贡献力量。
六、建立健全信息安全事件应对机制13. 银行机构应建立健全信息安全事件应急预案,明确事件报告、调查、处置、恢复等流程。
14. 银行机构应加强信息安全事件监测,及时发现并报告信息安全事件。
七、加强监管与执法15. 监管部门应加强对银行机构信息安全的监管,督促银行机构落实信息安全责任。
建行信息安全管理制度
第一章总则第一条为加强中国建设银行(以下简称“建行”)的信息安全管理,保障银行业务的连续性和稳定性,维护客户利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合建行实际情况,制定本制度。
第二条本制度适用于建行总部及各级分支机构的信息系统、网络设备、数据资源、应用软件以及相关工作人员。
第三条建行信息安全管理工作遵循以下原则:1. 预防为主,防治结合;2. 安全发展,持续改进;3. 系统性、全面性、动态性;4. 依法合规,责任明确。
第二章组织机构与职责第四条建行成立信息安全领导小组,负责制定信息安全战略、政策和规划,协调解决信息安全重大问题。
第五条信息安全领导小组下设信息安全办公室,负责信息安全管理的日常工作,包括但不限于:1. 制定和实施信息安全管理制度;2. 组织信息安全培训和宣传;3. 监督检查信息安全措施的落实;4. 处理信息安全事件。
第六条各级分支机构应设立信息安全管理部门,负责本机构的信息安全管理工作。
第三章信息安全管理制度第七条建行应建立完善的信息安全管理体系,包括但不限于以下内容:1. 物理安全:确保信息系统设备、网络设施及数据中心的物理安全,防止非法侵入、破坏和盗窃。
2. 网络安全:确保网络设备和系统安全,防止网络攻击、病毒感染和恶意代码侵入。
3. 数据安全:确保数据的安全性和完整性,防止数据泄露、篡改和非法使用。
4. 应用安全:确保应用系统的安全性,防止应用漏洞被利用。
5. 访问控制:实施严格的用户身份验证和访问控制,确保只有授权用户才能访问敏感信息和系统。
6. 安全审计:定期进行安全审计,检查和评估信息安全措施的有效性。
7. 应急响应:制定信息安全事件应急预案,及时响应和处理信息安全事件。
第八条建行应定期对信息安全管理制度进行审查和更新,确保其适应新的安全威胁和挑战。
第四章信息安全教育与培训第九条建行应定期组织信息安全教育和培训,提高员工的信息安全意识和技能。
银行信息安全管理制度制度
银行信息安全管理制度制度第一章总则第一条为了加强我国银行业信息安全管理,防范和打击各类网络安全威胁,保护客户个人隐私信息,维护金融市场秩序和金融体系稳定,制定本制度。
第二条本制度适用于我国所有银行机构及其分支机构,在信息系统建设、维护和操作中贯彻执行。
第三条银行应当建立完善的信息安全管理机构,明确信息安全管理的职责和权限,制定适应各自实际情况的信息安全管理制度和安全技术规范。
第四条银行应当加强对信息安全管理人员的培训和考核,提高信息安全管理人员的专业水平和技术能力。
第二章信息系统安全管理第五条银行应当建立完善的信息系统安全管理制度,确保信息系统的稳定运行和数据安全性。
第六条银行应当对信息系统进行安全评估和安全测试,发现和修复潜在的安全风险。
第七条银行应当加强对信息系统的监控和审计,及时发现和处置异常情况。
第八条银行应当建立健全的信息系统灾备和应急响应机制,确保信息系统在突发事件中的及时响应和恢复。
第三章数据安全管理第九条银行应当建立完善的数据安全管理制度,确定数据访问权限和数据保护措施。
第十条银行应当对客户个人隐私信息进行保护,严格遵守相关法律法规,不得泄露客户隐私信息。
第十一条银行应当加强对数据加密和数据备份的管理,确保数据的完整性和可用性。
第十二条银行应当建立完善的数据存储和传输安全机制,防止数据在传输和存储过程中被篡改或泄露。
第四章网络安全管理第十三条银行应当加强对网络设备和网络环境的安全管理,确保网络的稳定和安全运行。
第十四条银行应当加强对网络攻击的监测和防范,建立完善的网络安全防护体系。
第十五条银行应当定期对网络系统进行漏洞扫描和安全检测,及时修复网络安全漏洞。
第十六条银行应当建立网络安全事件的处置机制,遇到网络安全事件时能够及时响应和处置。
第五章信息安全意识培训第十七条银行应当加强对员工的信息安全意识培训,提高员工对信息安全的重视和防范意识。
第十八条银行应当定期组织信息安全知识培训和演练活动,提高员工对信息安全的应急处置能力。
信息安全管理制度_银行
一、制度目的为保障银行信息系统的安全性,规范信息系统的运行和管理,提高银行信息保护水平,防止信息泄露、损毁和滥用,特制定本制度。
二、适用范围本制度适用于本银行所有从事信息系统运行、管理、维护、研发等工作的员工,以及与银行信息系统相关的第三方服务提供商。
三、管理原则1. 遵循国家法律法规和行业标准,确保信息安全管理制度符合相关要求。
2. 坚持以风险为本,强化风险意识,提高信息安全防护能力。
3. 建立健全信息安全管理体系,实现信息安全与业务发展的同步。
4. 加强信息安全教育和培训,提高员工信息安全意识。
5. 严格执行信息安全管理制度,确保信息安全工作落到实处。
四、信息安全管理制度内容1. 信息安全组织架构设立信息安全管理部门,负责全行信息安全工作的组织、协调、监督和实施。
各部门设立信息安全责任人,负责本部门信息安全工作的组织实施。
2. 信息安全管理制度(1)制定信息安全策略,明确信息安全的总体目标和要求。
(2)制定信息安全管理制度,包括但不限于以下内容:a. 信息安全风险评估制度;b. 信息安全事件报告和处理制度;c. 信息安全培训制度;d. 信息安全审计制度;e. 信息安全应急响应制度;f. 网络安全管理制度;g. 系统安全管理制度;h. 数据安全管理制度;i. 信息系统建设与运维管理制度;j. 第三方服务提供商信息安全管理制度。
3. 信息安全防护措施(1)物理安全防护:确保信息系统设备、设施和场所的安全,防止非法侵入、破坏和盗窃。
(2)网络安全防护:采取防火墙、入侵检测、漏洞扫描等技术手段,保障网络系统安全。
(3)系统安全防护:加强操作系统、数据库、应用系统等安全配置,防止恶意代码、病毒等攻击。
(4)数据安全防护:对重要数据进行加密存储和传输,确保数据不被非法获取、篡改和泄露。
(5)身份认证与访问控制:实施严格的身份认证和访问控制机制,确保只有授权用户才能访问敏感信息。
4. 信息安全事件处理(1)及时报告信息安全事件,确保事件得到妥善处理。
商业银行信息安全组织管理规定(最新版)
商业银行信息安全组织管理规定(最新版)目录第一章总则 (1)第二章信息安全组织设计原则 (1)第三章组织架构与职责 (1)第四章信息安全沟通与汇报机制 (5)第五章附则 (7)第一章总则第一条为明确银行省分行(以下简称我行)在信息安全管理工作中的工作职责和沟通机制,确保信息安全管理分工明确、职责清晰,根据《商业银行信息科技风险管理指引》、《银行信息安全组织管理规定(2015年版)》,特制定本规定。
第二条本规定适用于省分行及各市分行。
第二章信息安全组织设计原则第三条我行应依据自身业务范围、应用服务、系统规模的特点,建立合理的信息安全管理组织架构,配备相应人员负责信息安全工作,以保障、协调、监控安全目标的实现。
第四条我行信息安全管理组织应与银监局、人民银行济南分行、省公安厅等机构建立畅通的沟通和联系机制,以随时获取监管政策与动态。
我行应与外部组织及安全机构建立合作和联动机制,快速响应我行发生的安全事件。
第五条信息安全管理组织应配备与业务和系统规模相匹配的人员和资源,保证信息安全工作的顺利开展。
第三章组织架构与职责第六条我行应建立覆盖全行的信息安全管理组织架构,明确安全活动中的工作职责,确保被访问和处理的信息及信息处理设备的安全。
我行信息安全管理组织架构由信息安全决策组织、信息安全管理组织、信息安全执行组织和信息安全监督组织构成。
第七条信息安全决策组织省分行层面应设立信息安全决策组织,作为我行信息安全管理的最高决策机构。
省分行信息安全决策组织由产品创新与科技管理委员会承担,按照委员会职能和总行相关要求,负责对安全建设目标、安全运行等重大问题进行决策,支持和推动信息安全工作在省分行层面的实施,协调省分行各部门间的安全工作开展。
第八条信息安全管理组织(一)省分行信息科技部作为全行信息安全管理组织的统筹部门,主要管理职责包括:1.根据总行要求,统筹组织全行信息安全管理体系建设,开展信息安全合规检查工作。
2.组织制定、更新和落实信息安全策略、制度和标准,推动全行信息安全制度体系建设,监督检查全行信息安全制度落实情况。
银行信息安全管理规定
银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全与稳固运行,根据《中华人民共与国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、保护及废止等过程中保障计算机信息及其有关系统、环境、网络与操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导与分级管理。
总行统一领导分支机构与直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位与辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构与直属企事业单位(下列统称“各单位”)。
所有使用人民银行网络或者信息资源的其他外部机构与个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导与有关部门要紧负责人构成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或者岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行与县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不一致的岗位或者工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全与稳定运行,根据《中华人民共与国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,就是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络与操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导与分级管理。
总行统一领导分支机构与直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位与辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构与直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其她外部机构与个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导与相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行与县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其她部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡就是因违反国家法律法规与人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。
上岗后,每年至少参加一次信息安全专业培训。
第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
(三)检测网络与信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报与预警,并提出整改意见。
统计分析与协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
第十四条信息安全管理人员实行备案管理制度。
信息安全管理人员的配备与变更情况应及时报上一级科技部门备案。
信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节部门计算机安全员第十五条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案。
如有变更应做好交接工作,并及时通报科技部门。
第十六条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第十七条部门计算机安全员在如下职责范围内开展工作:(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用与接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节技术支持人员第十八条本规定所称技术支持人员,就是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员与外包服务人员。
第十九条人民银行内部技术支持人员在履行网络与信息系统建设与日常运行维护职责过程中,应承担如下安全义务:(一)不得对外泄漏或引用工作中触及的任何敏感信息。
严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查与监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第二十条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。
提供技术服务期间,严格遵守人民银行相关安全规定与操作规程,关键操作应经授权,并有人民银行内部员工在场。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员第二十一条本规定所称业务系统操作人员就是指直接操作业务系统进行业务处理的业务部门工作人员。
第二十二条业务系统操作人员应承担如下安全义务:(一)严格规程操作,防止误操作。
定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告科技部门。
(三)不得在操作终端上安装与业务系统无关的软件与硬件,不得擅自修改业务系统及其运行环境参数设置。
第二十三条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分与授权管理。
技术支持人员不得兼任业务系统操作人员。
第五节一般计算机用户第二十四条本规定所称一般计算机用户就是指使用计算机设备的所有人员。
第二十五条一般计算机用户应承担如下安全义务:(一)及时更新所用计算机的病毒防治软件与安装补丁程序,自觉接受本部门计算机安全员的指导与管理。
(二)不得安装与办公与业务处理无关的其她计算机软件与硬件,不得修改系统与网络配置参数。
(三)未经科技部门检测与授权,不得将接入人民银行内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入人民银行内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第四章机房环境与设备资产管理第一节机房安全管理第二十六条本规定所称机房就是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十七条各单位机房的规划、建设、改造、运行、维护由科技部门负责,相关设备采购纳入政府集中采购。
机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行与维护由科技部门与保卫部门协商确定。
第二十八条各单位原则上只建设一个符合国家计算机机房有关标准与人民银行相关规定的计算机机房,为所有业务部门提供机房基础设施服务。
第二十九条机房建设、改造的方案应报上一级科技部门备案。
必要时,由上一级机构科技部门会同会计、保卫等部门进行审核。
第三十条机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司,其中总行、分行、营业管理部、省会(首府)城市中心支行、计划单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同时具有三年以上专业从事计算机机房装修装饰经验的专业公司。
重要机房建设或改造工程应引入监理制度。
第三十一条总行、分行、营业管理部、省会(首府)城市中心支行应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第三十二条各单位机房投入使用前,应经过当地公安消防部门的消防验收与本单位科技、保卫与会计部门组织的验收,并出具明确结论的验收报告。
未经验收或验收不合格的机房均不得投入使用。
第三十三条各单位应建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。
机房管理员应经过相关专业培训,熟知机房各类设备的分布与操作要领,定期巡查机房,发现问题及时报告。
机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第三十四条建立机房定期维修保养制度。
易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二节柜面与核心业务处理环境安全管理第三十五条向社会提供公众服务的柜面与核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。
第三十六条所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保存至少三个月。
第三节设备资产管理第三十七条各单位科技部门应建立完备的计算机设备登记制度,严格资产管理,明确计算机设备使用者或管理者及其安全责任。
第三十八条各单位科技部门应根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。
有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄漏的屏蔽装置等。
第五章网络安全管理第一节网络规划、建设中的安全管理第三十九条总行科技司负责网络与网络安全的统一规划、建设部署、策略配置与网络资源(网络设备、通讯线路、IP地址与域名等)分配。
第四十条各单位科技部门按照总行科技司的统一规划与总体部署,组织实施网络建设、改造工程。
各单位局域网的建设与改造方案应报上一级科技部门审核、备案,投产前应通过本单位组织的安全测试。
第四十一条各单位的网络建设与改造应符合如下基本安全要求:(一)符合人民银行网络安全管理要求,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪与审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
第二节网络运行安全管理第四十二条各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。
网络管理员负责日常监测与检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现与解决网络异常情况。
第四十三条网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第四十四条各单位科技部门应严格网络接入管理。
任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。
第四十五条各单位科技部门应严格网络变更管理。
网络管理员调整网络重要参数配置与服务端口前,应书面请示本部门主管领导,变更信息应做好记录。
实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份与应急恢复准备。