账户信息安全的组织体系

账户信息安全的组织体系

一、建立账户信息安全管理制度体系

建立一个完善的账户信息安全制度体系是开展账户信息安全管理的前提，账户信息安全管理制度体系通常包括以下方面：

(一)账户信息安全管理规定。提出本单位账户信息安全管理工作原则,建立内部组织管理架构,明确账户信息安全管理基本要求。

(二)账户信息安全管理操作流程。围绕账户信息访问、存储、使用、传输、加密、销毁等环节,明确各岗位风险管理工作职责。

(三)账户信息安全日常监督检查机制。定期审核操作日志、文档记录等资料,评估本单位账户信息安全管理方面的不足,并及时调整和优化账户信息安全管理工作机制。

(四)账户信息安全应急处理流程。明确本单位在发生账户信息风险事件时,有关部门和岗位的应急处置工作,并定期开展应急演练,提高风险事件处置效率。

(五)与业务合作单位约定账户信息安全管理权责义务,明确账户信息安全管理工作要求。

二、人员及组织管理

在建立基本的制度体系基础上，在组织管理方面，还需设置本单位的账户信息安全管理岗位,设计和制定本单位账户信息安全管理制度和流程，推进和落实各项账户信息安全管理工作,组织账户信息安全事件的应急处置。

在人员管理方面,对于本单位有权访问账户信息员工,需注重入职前背景审查、签署保密协议、安全意识培训、离职及时收回访问权限以及违规员工处理等账户信息安全管理工作。

三、访问控制

在逻辑访问控制方面，按照“业务需要”原则，根据开展业务所必须访问的最低账户信息需求设置数据访问和使用权限，确保各个系统用户账号和登录密码的唯一性，并设置诸如密码容错、待机锁屏等访问控制措施，注重用户配置文件以及交易日志等方面的管理。

在物理访问控制方面，设置专人管理存储或处理账户信息的高安全区域，并设置门禁系统与其他业务、办公区域相隔离，建立录像监控、访客登记、设备出入审核等管理措施。