XX银行IT外包服务安全管理办法
XX银行IT外包管理办法(试行)
第一章总则
第一条为规范XX银行股份有限公司(以下简称“我行”)1T 外包服务管理,控制第三方服务和外包屮的相关风险,依据《商业银行信息科技风险管理指引》.《商业银行外包风险管理指引》对IT外包的有关要求,特制定本管理办法。
第二条IT外包是指企业战略性选择外部专业技术和服务资源,以协助内部部门和人员来承担企业IT系统或系统Z上的业务流程的运营.维护和支持的IT服务。
第三条本管理办法在XX银行总行及各分支机构范围内具有强制效力,任何例外或违背的情况都需上报XX银行信息化委员会,以供复查与风险审批。
第二章IT外包服务的目标与原则
第四条IT外包活动的目标是通过借助外包服务商的核心竞争力.创新能力和专业技能等优势资源,有效开展信息系统开发或技术服务等活动,实现紧跟技术前沿,创新服务手段,提升服务质量。
第五条通过外包服务合理配置资源,节省我行人.财.物力支出,节约时间,提高效率,达到规模效益。
第六条通过外包服务规避我行IT运营风险,降低损失。
第七条通过外包服务实现我行科技管理和服务过程中的持续改进。
第八条信息科技项目外包应遵循以下原则:
(一)
不得将信息科技管理责任外包,应合理谨慎监督外包职能的履行;
(二)
应根据业务发展的实际需要,在合理控制外包成本.收益.风险
的基础上,开展信息科技项目外包活动。
第九条重要或敏感信息科技项目外包时,必须提交信息化委员
会批准。
第条重大信息科技项目外包时,应根据监管部门要求,及时报
告和报备。
第三章IT外包服务的管理组织
第一条我行IT外包管理组织架构应当包括决策机构.管理机构.执行机构.监督检查机构和风险管理机构。
第二条IT外包管理的决策机构是信息化委员会,其管理职责
主要包括:
(一)
制定/维护信息科技外包计划;
(二)
制定/维护信息科技外包管理策略/制度;
批准所有重要IT业务的外包安排;
(四)
定期审阅IT外包安排的有关报告;
第三条IT外包的管理机构是集屮采购委员会,其管理职责主要包括:
(一)
对制度执行情况进行监督检查;
(二)
配合完成内部审计/行业监管;
(三)
组织外包项目的招标工作;
(四)
对外包服务商能力进行综合评定,选定合适的外包服务商;
(五)
参与执行外包项目突发事件应急处置。
第四条信息科技外包的执行角色是信息科技部各外包项目相关责任人,其承担项目经理角色,参与IT外包项目调研.立项.规划.实施.收尾等各阶段的管理工作,同时协助风险管理部对各阶段工作进行风险评估,具体职责包括:
(一)
对外包服务商进行评估;
签订外包协议/保密协议;
(三)
对外包项目技术文档进行归档管理。
(四)
编写/报告信息科技外包管理工作报告;
㈤
对外包开发人员进行控制和管理;(六)
针对突发事件制定/执行应急处置预案;
第五条合规部负责信息IT外包相关制度合规性和外包合同的审核.参与重要外包合同的起草.审查和变更。
第六条信息科技外包的监督机构是审计部,审计部应指定岗位人员履行监督职责,包括:
(一)
对信息科技外包管理进行内部审计检查;
(二)
配合外部审计机构对信息科技外包管理进行外部审计检查;
(三)
向董事会/信息化委员会报告内审检查情况。
第七条信息科技外包的风险管理机构是风险管理部,风险管理部应指定岗位人员履行风险管理职责,包括:
(一)
制定/维护信息科技风险管理制度;
(二)
对外包开发项目进行风险评估;
(三)
配合内/外部审计机构对信息科技外包管理进行内/外部审计检查;
(四)
定期收集/汇总/报告信息科技外包风险指标数据。
第八条IT外包管理过程应包括:IT外包决策论证.IT外包商选择.IT外包商协议签订.IT外包服务实施管理与控制.IT外包实施风险控制与质量监督.IT外包服务应急管理.变更与终止.评价与退出。
第四章IT外包服务的分类和决策论证
第九条我行IT外包业务分软件研发外包.人力资源外包以及服务外包。
(一)
应用研发外包:指涉及信息系统开发的所有外包活动。具体包括信息系统项目开发?系统变更开发等领域。具体描述如下:L信息系统项目开发:指我行为了实现业务创新和内部管理等要求而开展的各类新增信息系统项目。主要包括应用软件开发和与Z相配套的信息系统基础建设等项目。
2.系统变更开发:指在系统运行维护过程中,为使信息系统
能够满足业务发展及相关管理和控制要求,通过软件开发.版本升
级等途径,对系统功能进行增加.升级.删除等完善工作,以及对系统运行过程中发现的缺陷进行修复的相关工作。
(二)
人力资源外包:指为购买外部人力资源参与我行信息科技规划.建设.运营服务的专业技术人才。
(三)
服务外包:指为支撑XX银行信息系统的安全平稳运行而开展的外包活动。具体包括应用服务外包和维护保障外包。
1.网络安全外包:指为确保XX银行信息安全合规体系运营建设相关的风险评估.应急响应.安全运维值守等网络安全服务工作。
2.IT系统运行维护服务外包:指对网络.主机.服务器.存储. 安全.机房设施等IT系统基础设施的硬件保障与维护.运行监控与
维护.系统管理等服务。
第二条我行应根据审慎经营原则制定其IT外包战略发展规划,审慎决定与其风险管理水平相适应的外包管理活动范围,在最终确定某项外包业务时,应从业务类型.影响范围.项目相关性. 资金预算等多个方面进行评估以选择相应级别的IT外包商。
第二一条我行应关注IT外包活动的战略风险.声誉风险.合规风险.操作风险.国家风险等风险。
第五章IT外包商选择
第二二条我行信息科技部根据外包项目要求.技术特点.合作历
史?公司方资质状况等,应公正.公平.公开.择优.信用的形式,选取合适的IT外包商。
第二三条根据IT外包项目的重要性,我行IT外包业务分一般普通类.管理渠道类.核心业务类三种以及人力资源外包。信息科技部根据IT外包业务类型,组织制订IT外包商选择标准,并报集屮采购管理委员会审批确认。
第二四条一般普通类业务IT外包商选择标准包括但不限于如下内容:
(一)
产品或服务价格
1.IT外包商提供的产品或服务满足我行外包要求,性价比咼O
(二)
客户服务体系
1.已在本地建立了完备的客户服务体系,配置专门的机构和人员,能及时?有效地为我行提供优质服务。
第二五条管理渠道类业务IT外包商选择标准在遵循普通类业务IT外包商选择标准同时,还需包括如下内容:
(一)
管理能力
1.已建立完备的企业质量管理体系,通过国家认可的第三方认证机构认证并有效运行一年以上;
2.企业的主要负责人应具有5年以上从事电子信息技术领域
企业管理经历,主要技术负责人应获得电子信息类高级职称且从事外包项目技术工作不少于5年,财务负责人应具有财务系列中级以上职称。
(二)
财务稳健性
1.企业产权关系明确,注册资金分别为系统集成原则要求400 万元以上.开发200万元以上.服务100万元以上;
2.企业经济状况良好,财务数据真实可信,并须经国家认可
的会计师事务所审计。
(三)
经营声誉和企业文化
1.企业有良好的资信和公众形彖,拥有知识产权.符合国家有关法律法规的行为。
(四)
技术服务实力
1.有明确的业务领域,在主要业务领域内技术实力.市场占有
率等居国内前列;
2.对主要业务领域的业务流程有深入研究,有自主知识产权
的基础业务软件平台或其他先进的开发平台,有自主开发的软件产品和工具且在已完成的项冃屮加以应用;
3.主要技术人员应具有相关专业资格证书,从事外包项目相关人员至少需要有两年以上从业经验。
第二六条核心业务类IT外包商选择标准在遵循以上两类业务的要求同时,还需考虑以下内容:
(一)
专业经验和成功案例,对银行业务的的熟悉程度
1.近三年内承担的同行业同等规模或以上的外包项目按合同要求质量合格,已通过验收并投入实际应用;
2.近三年内承担的同行业同等规模或以上外包项目有较高的
技术含量且至少应部分使用了有企业自主知识产权的软件;
3.近三年内承担的同行业同等规模或以上外包项目未出现过
验收未获通过的外包项目或者应由企业承担责任的用户重大投诉;
4.主要业务领域的典型项目在技术水平.经济效益和社会效益等方面居国内同行业的领先水平。
(二)
自身应对突发事件的风险处理能力
1.IT外包商自身在组织架构.管理规范.技术体系三个层次是否有健全的风险处置体系和应急保障方案,以应对不可预知的市场风险。
第二七条人力资源外包主要依据我行项目需求,对外包商提供的人员专业素质能力,如学历背景.工作经验.专业证书以及其他相关综合素质作为考量选择标准。
第二八条人力资源外包分资深顾问.项目经理.高级工程师?工程师.实习生等五个级别。每个级别由外包商提供建议,并经我行
信息科技部相关领导面试确认后按市场行情.外包公司工资水平. 人力资源能力情况提供待遇。人力资源费用参考历年及当年一般市场行情,可根据社会平均工资增长情况?市场行情.外包公司水平.外包人员能力情况进行浮动。
第二九条我行信息科技部应依据IT外包项目特点和选择方式,建立编写项目标书公开招标或以邀标的方式分发至投标IT外包商,参与投标的IT外包商原则上不少于三家。除采用公开招标或邀标方式外,还可以根据实际情况采用比价方式,参与比价的 IT 外包商原则上不少于两家,或采用单一来源谈判方式。
第三条投标IT外包商在指定期限内按照项目标书及相关材料,提交投标书,投标书应覆盖而不仅限于公司资质.财务状况. 人员资质?解决方案.实施计划.商务报价等。所有资质在投标屮均需提供相应的复印件以供查证,关键资质需提供原件。
第三一条我行集屮采购委员会根据IT外包商评估标准,组织相关人员,重大IT外包项目可选择性邀请其它职能部门完成评标工作:
(一)
评标工作将参照《屮华人民共和国招标投标法》,遵循“公平.公正.择优.信用”的原则进行,根据招标项目的特点依法组建项目评标委员会,全面充分地审阅.研究投标文件,并根据投标公司的概述.答辩,对其投标文件进行审查.质疑.评估和比较;
(二)
我行将按对各投标IT外包商综合评估的优劣顺序,优先选择
综合评估最优的投标公司进行商务谈判。如双方能达成一致,将确定其为中标人;如未达成一致,则选择综合评估次优的投标IT 外包商进行商务谈判,依此类推,我行再进行第二轮商务谈判;
(三)
按照招投标规定,信息科技部配合集屮采购委员会.项目评标成员完成选定最终合作公司。
(四)
IT外包商项目组使用的技术规范.文档标准.管理过程应符合
合同规定的要求,或符合双方达成一致的要求。
第三二条具体IT外包项目招投标工作事宜依据我行招投标管
理办法。
第三三条IT服务外包商的选择和合同执行应定期审核,保证
我行能够获得最具成本效益的外包服务。
第六章IT外包服务协议签订
第三四条信息科技部根据外包需求以及我行相关管理规范起草IT外包协议初稿,经合规部门审查后由分管科技工作的行领导签署IT外包协议。
第三五条IT外包协议必须符合以下要求:
(一)
必须符合国家有关法律和金融法规;
(二)
为保证项目的正常完成,IT外包协议中应规定结算方式,一
般根据银行的信誉和公司的实力,银行方根据项目的规模确定预付款比例,并留5%-10%的质量保证金,质保期根据项目的规模一般为一年至三年;人力外包按照实际核算工作量支付费用。
(三)
为保证银行业务系统的正常开通,在合同违约条款屮应明确项目期限的罚则;
(四)
合同屮必须明确信息安全保密条款,IT外包商对银行信息和
接口数据负有保密责任;
㈤
合同屮应规定售后服务方式,时限和责任。
第三六条IT外包协议包括但不限于如下内容:
(一)
服务范围和具体要求;
(二)
规定信息所有权和保密协议,允许我行获得专有授权访问服务商的资源,以保护客户和其他信息;
(三)
包括IT外包服务商违约赔偿我行损失的条款;
(四)
IT外包服务商完全遵守我行有关信息科技风险的策略和流
程;
㈤
IT外包服务商就外包的业务提供的业务连续性保障,以及当
服务供应商出现困难时的软件持续可用性;(六)
外包安排的变更流程,规定我行或服务供应商选择变更或终止外包安排的条件,如在发生以下情况时变更外包安排:
1.服务供应商或我行的所有权/控制权发生变化;
2.服务供应商重要人员的变动;
3.服务供应商或我行的业务经营发生重大变化;
4.服务供应商提供的服务不充分,造成我行不能履行其监管义务。
第三七条为了明确双方的权利与义务,降低日后服务过程的风险。在IT外包协议签订过程中,必须包含服务水平指标的相关内容。
第三八条我行信息科技部在签订IT外包协议时,考虑为服务水平设定可衡量的指标,包括以下一项或多项内容:
(一)
客户支持的及时性:如桌面式问题报告及问题解决保障流程,服务提供商提供7X24小时支持和问题跟进流程,问题保证在报告后半小时得到相应,在4小时内得到解决。
(二)
系统可用性:包含一段时间内的有效性保障。
(三)
业务连续性和灾难恢复:该保障一般包括在灾难发生条件下的恢复条款.设备冗余.备份和存储计划。
(四)
系统响应时间:该指标定义了系统响应一个用户操作请求所用的最大时间。
㈤
系统吞吐量:该指标定义了系统传送给用户数据时的速率。
(六)
用户使用数目:该指标定义了在保障系统响应时间和系统吞吐量前提下所允许的最大的用户使用服务数目。
(七)
人力技能素养:该指标定义了 IT外包商提供的人员专业素质能力。
第三九条服务水平指标的衡量应与服务报酬直接挂钩。对于未达到服务水平的情况,我行可拒付相关时段的服务费用,直至要求赔偿。
第四条除服务水平中常用的指标之外,还需明确双方各自的权利与义务和责任.包括交付品验收?问题处理.变更管理.考核指标.处罚.可被审计.知识产权等。
第四一条定义问题升级管理流程,问题升级是指当某一层级的IT外包商服务人员不能解决我行客户的问题时将问题移交给上一级
或其它相关部门。
第四二条我行信息科技部应根据需要对服务水平指标及内容进行重审,并根据重审情况进行必要的改进。
第七章IT外包服务实施管理与控制
第四三条在外包服务实施过程屮,信息科技部应协调并监督 IT 外包服务商按照进度和质量要求实施外包服务。
第四四条信息科技部应与IT外包服务商建立通畅的信息交流机制,进行有效沟通,及时了解和掌握IT外包服务商的服务情况。
第四五条IT外包服务商人员在提供服务时,如需在一段时期内进入我行营业或办公场所,相关部门应做好大楼进岀.安全保密. 访问权限?制度遵守?网络连接等相关方面的控制工作
第四六条IT外包商必须派出合适的人员参加我行外包项目,如果我行认为IT外包商派出的人员不能胜任工作,我行有权要求
IT外包商更换项目人员,IT外包商确认了我行的理由后,必须一周内更换符合我行要求的合格人员。
第四七条IT外包商有义务对派驻我行项目人员进行有效管理,定期进行考核。
第四八条我行信息科技部需注重和IT外包商的知识交接,定期形成服务文档,并按需对用户进行培训。
第四九条我行信息科技部及项目的发起部门和使用部门需注重对IT外包商交付品的验收,必须由我行相关部门相关岗位负责人/
项目负责人进行必要的验收测试后方可签字。
第五条我行信息科技部需对IT外包商进行必要的讲解,使其了解我行的安全管理?风险管理等相关政策。
第五一条信息科技部应会同相关业务部门根据IT外包协议屮约定的条款,评估IT外包服务商为我行提供服务的质量,根据服务质量评估结果,督促服务商采取整改措施。
第五二条IT外包协议条款需发生变更时,变更的IT外包协议条款应以《补充协议》的形式予以规范约束,一般情况可由IT 外包协议签订双方签署。如变更内容存在涉及金额.变更内容较多且内容分重要.可能存在其他潜在风险等情况时,《补充协议》必须按照合同审核及签署流程进行签署。
第五三条外包服务如出现异常需终止IT外包协议时,双方应在法律规定范围内,以IT外包协议条款约定的解决方式予以解
决。
第五四条软件开发外包过程管理
(一)
开发人员要严格按照统一规定使用配置管理工具管理开发代码.文档,严格按照项目流程开发.修改代码,遵循开发规范。在项目完毕后,开发人员要交付自己工作成果的完整清单,并不得擅自在过程屮带走项目成果;
(二)
软件开发完毕由相关业务部门组织进行验收评估.信息科技部
配合,对未通过验收测试的软件产品制定相应的补救措施和计划;
(三)
信息科技部应做好软件开发外包服务进度的跟踪.测试.验收以及产品上线的工作,上线前应检查开发商提供的系统操作手册. 程序说明书.数据结构说明书.维护手册等技术文档资料。安装投产后,即严格控制代码的访问及变更。
第五五条服务外包过程管理
(一)
在服务外包过程屮,服务商要按照行内相关内控要求提供服务,原则上不允许进行远程登录维护,如需要远程登录维护,则须进行访问控制,例如使用VPN;
(二)
服务供应商必须对每一次维护都要递交维护项目的详细记录和维护报告(内容包括软件的运行.硬件变更情况.例行保养情况. 故障发生时间.现彖.原因和处理方法与处理结果),并定期提交给服务外包主管部门。
第五六条软件开发外包服务结束后,信息科技部应严格遵照内部控制要求做好系统源代码的管理和控制,确保其安全性?准确性.完整性和一致性。
第五七条如需外包服务商给予培训支持的,信息科技部应组织相关人员进行必要的培训。
第八章IT外包风险管理和监督控制
第五八条我行信息科技部需要持续对IT外包商服务质量监控,要求IT外包商定期(每周或每月或每季)提交服务汇报,进
行性能评估,信息科技部同时进行自我评估,如果IT外包商发生
和服务协议发生偏离和表现不足的情况,需要及时进行整改和处理。信息科技部与IT外包服务商建立有效的联络.沟通和信息交流机制,对IT外包服务商进行日常管理。女山
(一)
服务商依据服务水平指标及内容,提供每周工作汇报
(二)
与服务商进行定期(如每月)的工作小结会议,对问题进行跟进;
(三)
与服务商管理层的定期(如每季)会议,讨论重大问题;
(四)
对服务商的不定期的现场访问和审计:
㈤
对服务商进行年度表现的用户调查和评估。
第五九条我行信息科技部将敏感的信息系统以及其他涉及商业秘密和客户隐私数据的管理与传递等内容进行外包时,应确保我行客户资料等敏感信息的安全,遵守国家有关法律法规,符合监管要求,经过我行信息科技部高级管理层或其他决策机构批准,并在实施外包前报银监会及其派岀机构和法律法规规定需要报告的机构备
案。
第六条确保我行客户资料等敏感信息的安全,包括但不限于采取以下措施:
(一)
实现重要和敏感信息与外包服务商的有效隔离;
(二)
按照“最小授权”原则对外包服务商相关人员授权;
(三)
要求外包服务商保证其相关人员遵守保密规定;
(四)
严格禁止外包服务商再次转包;
㈤
确保在终止外包协议时收回或销毁外包服务商保存的所有客户资料等敏感信息。
第六一条对于系统设计开发的外包,需参考我行软件代码质量规范对IT外包商进行质量保证(以下简称“QA”)活动,若IT 外包商有QA人员,则其QA活动必须通知我行QA人员审核,并要求外包服务商提供功能规则说明书?系统设计规则说明书?操作运行手册等。如无独立QA人员,由我行指派QA人员负责QA活动。
第六二条我行开展IT外包活动时,应依据监管要求,向所在地银行业监管机构报送相关材料。
第六三条我行开展IT外包活动时,应依据监管要求,在IT
外包项目立项.实施.收尾等其他必要阶段进行相应的风险评估。风险管理部负责IT外包项目的风险评估,信息科技部及相关业务部门配合执行。
第六四条IT外包服务风险评估的主要包括但不限于如下内容:
(一)
外包活动是否在监管法律法规许可范围之内;
(二)
提供相应外包服务的市场环境是否成熟稳定;
(三)
外包是否导致我行核心竞争力流失;
(四)
外包是否导致我行过度依赖外包服务商;
㈤
外包活动是否涉及重要敏感信息泄露? IT外包商所服务的其他客户敏感信息未经许可被我行获得等数据安全问题;(六)外包是否需要外包服务商(人员)直接操作生产环境或进行生产变更;(七)
IT外包商异常退出或关键外包技术人员流失是否无可替代,
是否导致我行某个或某些生产系统屮断;(八)
IT外包商财务稳定性和专业技术经验是否可靠,是否存在集
信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。
第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风 险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华 人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系 统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关 的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主 管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个 人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其 他外部机构和个人均应遵守本规定。 第二章组织保障
第六条各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员,实行 A、B 岗制度;地(市) 中心支行和县(市)支行设立信息安全管理岗位。 第八条除科技部门外,各单位其他部门均应指定至少一名部门计 算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息 安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定 受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管 理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核 合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。
信息安全管理体系研究 摘要:随着信息技术的不断应用,信息安全管理已经逐渐成为各企业或各机构管理体系的重要组成部分。了解信息安全对企业发展的重要性,制定科学合理的方案构建完善的信息安全管理体系,是当前企业发展中需要解决的问题之一。 关键词:信息;管理体系;安全 一、概述 信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作,保持信息的保密性、完整性和可用性。其中,保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产。因此,做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。 二、信息安全管理体系 2.1 信息安全管理体系介绍根据网络安全相关统计表明,网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上,因此解决网络信息的安全问题,除从技术层面进行改进外,还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程,在建设信息安全管理体系时,应对整个网络系统的各个环节进行综合考虑、规划和构架,并根据各个要素的变化情况对管理体系进行必要的调整,任何环节存在安全缺陷都可能会影响整个体系的安全。 2.2 信息安全管理体系的功能信息安全管理是指导企业对于信息安全风险相互协调的活动,这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等。企业要实现对信息资产进行安全、高效、动态的管理,就需要建立科学、完善、标准的信息安全管理体系。因此,一个有效的信息安全管理体系应该具备以下功能:对企业的重要信息资产进行全面的保护,维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件,当信息系统受到非法入侵时,能使相关的业务损失降到最低,并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制,以应对新的安全威胁。 三、信息安全管理体系的构建 3.1 信息安全管理框架的建立
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息数据安全管理制度 随着医院信息化的发展,医院在用数据库不断增大,数据库内部关系也变的更加复杂,为保证医院数据库内部数据的完整性和严谨性,以及保证与财务报表的统一性,特制定《信息数据安全管理制度》。 1.医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、药品、材料、价格、费用等信息的数字化表现形式。 2.医院信息数据的安全性直接关系到医院决策和患者的利益,任何人在未经授权的情况下不得擅自改动和查询医院的信息数据。 3.信息数据故障原因主要有两种: ⑴系统升级、变更、数据库死锁、软件设计缺陷等系统原因引起的信息数据丢失、关联错误。对于以上原因引起的信息错误,经临床科室反映后,医学工程信息部人员及时做出调整和修改,以保证信息系统的正常运行。 ⑵人为的错记、漏记等原因引起的信息数据错误。对于以上原因引起的信息错误,经当事科室要求,确实需要修改数据,根据不同情况,按照以下规定进行修改: 患者性质属于自费、参考医保:请当事科室护士或者医生(建议由经手人)来医学工程信息部信息管理办公室详细
填写信息数据修改审批记录单,做好各项审批工作,并配合信息数据维护人员完成该项数据的修改工作。 ①患者性质属于医保、农保或惠民:在院病人参照①所示规定进行修改;出院病人则按照医保、农保、惠民政策的规定,经该病人所属辖管机构审批后方可进行修改,否则不予以修改,在取得审批同意书后再参照①所示规定执行。 ②如涉及跨月数据(所有病人),则必须先上报财务核算部,经过财务核算部审核同意后,方可遵照①、②所示规定进行修改;修改完成后,医学工程信息部应对修改结果形成书面报告,经医学工程信息部主任(副主任)签字确认后,再由当事科室将修改报告送至财务核算部,财务核算部收到报告后及时对该月报表进行调整。 ③医学工程信息部信息管理部门每月出具数据修改报表,交由各管理部门,方便各管理部门对我院的信息系统运行情况进行监管。 4.信息数据查询统计规定 ⑴因单位内部工作以及迎接检查等情况的需要,确实需要查询(统计)数据的,医学工程信息部人员可由相关部门提交申请单后,由医学工程信息部主任、副主任签字确认后对相关信息数据进行查询、统计以及调整。 ⑵公安、司法机关等公检法系统需查阅信息数据时,应出具采集证据的法定证明。
桌面安全管理制度 总则 为加强XX农村商业银行个人桌面终端的安全使用,保证个人桌面终端操作系统、周边硬件、应用系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统带来的安全风险,制定本办法。 本办法适用于办公网所有桌面终端管理。公司范围内个人桌面终端设备上线直至报废前的使用过程,应按本办法相关规定进行管理。 个人桌面终端定义:接入XX农村商业银行网络的用于办公的各类计算机及所属设备。 网络准入 ?准入条件 接入OA办公网计算机必须安装桌面安全管理系统客户端软件; 当设备无法安装桌面系统软件,如打印机及CE终端等,各部门设备负责人员需要事先申报,见附件一(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备进行mac认证处理;XPE终端及pc设备使用OA账户用户名和密码认证,成功后进入正常网络; ?准入管理 个人桌面终端设备接入公司办公网络前,由使用人根据工作需要提出增加终端的申请,并经相关部门人员审批后通过桌面系统需求变更单报送相关部门批准后方可接入。
禁止未安装桌面管理系统客户端及未审批的设备接入办公网络; 桌面系统管理人员,定期对日志进行审查,查看是否有未安装桌面管理系统客户端,并对非法接入设备定位及规范处理; 禁止使用他人帐号登陆网络准入系统,禁止将帐号提供给他人使用。 Mac认证设备需要更换端口时,各部门设备负责人员需要事先申报,见附表二(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备变更进行记录; 各区域准入服务器管理人员,需要定期对准入系统数据库进行备份,防止服务器宕机造成用户数据丢失,引发网络准入失效。 桌面安全 ?基本安全 使用人离开座位,应锁闭计算机屏幕,下班后,应关闭计算机;新购入的终端设备必须经过相关部门登记、编号、贴标签卡后,才能交使用者领用,相关部门设备负责人员需配合用户注册桌面管理系统软件并完善信息。 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门提出申请并按相关报废流程办理,对已批准报废的个人桌面终端设备,应在桌面关系统资产统计中及时删除。 个人桌面终端设备上安装、运行的软件都必须为正版软件,未经授权的软件不得在个人桌面终端设备上安装、运行。桌面系统管
目录 总则 (2) 第一章组织保障 (2) 第一节信息安全管理人员 (3) 第二节网络管理员 (4) 第三节系统管理员 (4) 第四节一般计算机用户 (5) 第二章机房环境和设备资产管理 (6) 第一节机房安全管理 (6) 第二节柜面和核心业务处理环境安全管理 (7) 第三节设备资产管理 (7) 第三章网络安全管理 (8) 第一节网络规划、建设中的安全管理 (8) 第二节网络运行安全管理 (8) 第三节网间互联安全管理 (10) 第四节接入国际互联网管理 (10) 第四章计算机系统安全管理 (10) 第一节计算机系统开发与集成 (11) 第二节计算机系统运行 (11) 第三节业务操作 (12) 第四节计算机系统废止 (13) 第五章客户端安全管理 (13) 第六章信息安全保护 (14) 第一节使用管理 (14) 第七章文档、数据与密码应用安全管理 (14) 第一节技术文档 (14) 第二节存储介质 (15) 第三节数据安全 (15) 第四节口令密码 (16) 第五节密码技术应用管理 (16) 第八章信息通报、灾难备份与应急管理 (18) 第一节信息通报 (18) 第二节灾难备份管理 (18) 第三节应急管理 (19) 第九章安全监测、检查、评估与审计 (20) 第一节安全监测 (20) 第二节安全检查 (20) 第三节安全评估 (21) 第四节安全审计 (21) 第十章奖励与处罚 (22) 第十一章附则 (22)
银行信息安全管理办法(试行) 总则 为强化我行信息安全管理,防范计算机信息技术风险,保障(以 下简称我行)计算机网络与信息系统安全和稳定运行,根据《中华人 民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本办法。 第一条本规定所称信息安全管理,是指在我行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第二条我行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人 信息安全责任制。 第三条本规定适用于我行各部门、员工宿舍所有使用我行网络或 信息资源的个人均应遵守本办法。 第一章组织保障 第四条综合部下设信息安全保卫管理部,成立信息安全领导小组,全权负责协调本单位信息安全管理工作,决定本单位信息安全重大事宜。 组长:史亚萍
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展,计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大,需对网络数据流进行特征分析,得出网络入侵、攻击和病毒的行为模式,以采取相应的预防措施。宏观网络的数据流日趋增大,其特征在多方面都有体现。为了系统效率,只需对能体现网络安全事件发生程度与危害的重点特征进行分析,并得出反映网络安全事件的重点特征,形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来,面对日益严峻的网络安全形式,网络安全技术成为国内外网络安全专家研究的焦点。长期以来,防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段,但随着安全事件的日益增多,被动防御已经不能满足我们的需要。这种情况下,系统化、自动化的网络安全管理需求逐渐升温,其中,如何实现网络安全信息融合,如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上,而对发现的漏洞如何进行安全级别的评估分析还十分有限,大多采用基于专家经验的评估方法,定性地对漏洞的严重性等级进行划分,其评估结果并不随着时间、地点的变化而变化,不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象,使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大,以便采取措施降低系统的风险水平。因此,我们认为:漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息,在此基础上,建立一个基于信息融合的网络安全评估分析模型,得到准确的评估结果 2 相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSE-CMM[4]较早地建立了信息安全保障评价指标体系[5,6]。Rayford B.Vaughn[7]和Nabil Seddigh[8]等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。在国内,国家信息中心[9,10]研究了网络信息
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)
数据安全管理制度及流程 数据安全管理制度: 1、在安装成功MySQL之后立即删除https://www.doczj.com/doc/1b14184267.html,er表中除本地主机root帐户之外的全部帐户。 2、为服务器本地root账户设置一个复杂的密码,应同时包含字母和数字,并定期更换。开发用于连接数据库的账户必须单独建立,密码由运维主管掌握。 3、定期更新的数据库root账户密码会告知技术总监、数据库主管,其他人员需要了解root账户密码时,需要书面向技术总监提出申请,批准后可以获得密码。 4、每天定时为数据库做全局备份,并保存在非系统盘中。每天定时为数据库做异地备份,固定保存在局域网中其他安全的计算机中。 5、进行数据恢复前,需要由数据库管理员登记正式的、书面的数据恢复报告,并提交技术总监与数据主管批准。每次的数据恢复都应记录备案。数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。 6、进行数据物理删除前,需要由数据库管理员登记正式的、书面的数据清理报告,并提交技术总监与数据主管批准。每次的数据清理都应记录备案。 7、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。 数据库修改流程: 1、对数据库结构、数据库表或表字段进行修改前,由申请人向技术经理提交申
请,技术经理确认可以修改后,通过邮件向数据库主管提出申请。双方协商无误后,进行数据库修改。修改结束后,数据库主管通过邮件向技术经理说明处理细节及处理结果。 2、针对数据库图录数据的修改,均需通过产品经理向数据库主管提出邮件申请。双方确认申请无误后,进行数据库修改。修改结束后,数据库主管通过邮件向产品经理说明处理细节及处理结果。 3、业务部门提出的数据查询、统计、分析请求,需统一提交给产品经理,由产品经理确认可以提供后,向数据库主管发出邮件请求。数据库主管在数据库中处理后,将所需数据通过邮件发送给产品经理(如数据文件过大,将通过移动存储拷贝)。
XX村镇银行系统和数据安全管理规定 一、总论 为加强我行系统和数据安全,特制定本规定。 本规定针对我行所有业务系统,包括公文管理、财会、资金、信贷登记、统计等各类管理、办公用系统和综合业务系统。本规定所称数据是指计算机系统上有关民生银行运营的所有文件、数据库、报表、银行发文、签报等,保存形式包括硬盘、各种备份介质(磁盘、磁带、光盘、打印纸)等。 二、系统安全 1、管理信息系统服务器特权用户(超级用户)的密码应有专人保管。管理信息系统服务器的开发、运行、系统管理原则上要分开。 2、服务器的访问日志应严格记录、定期备份、妥善保管,以便出现异常情况时追查。 3、每台计算机均应设立设备责任人;设备管理部门对于设备情况均应登记在册,登记项目应包括以下各项:计算机序列号、型号、IP地址、设备责任人是否配备调制解调器等;对于与外部连网的计算机,如与人民银行、市政府部门以及通过宽带方式上国际互联网等,应严格按照《XX村镇银行网络管理规定》办理。 三、数据安全 1、业务系统无论卸载何种数据,均应有相关业务部门的书面报告并经科技主管领导批准后方可卸载;从业务系统卸载的数据可以是总帐、分户
帐等帐务信息,除客户号、客户名称之外的任何客户信息不得随意卸载;严禁从业务系统或信息系统卸载任何涉及密码、密钥、口令等机密信息的数据,包括客户、柜员、操作员、行员等的身份识别密码和交易密码。 2、数据保密级别分为绝密、机密、秘密、一般;行里已定保密级别的信息按规定的级别处理;系统中的系统管理员口令、数据库管理员的口令为绝密信息,其他涉及密码的信息为机密信息,涉及民生银行运营的信息至少定为机密信息。 3、各类信息均应设立访问控制列表(ACL),按信息级别和访问者级别进行访问权限的检查;密码、密钥要严格管理,严禁泄露,保存密码、密钥的载体如磁盘、纸张等要保存在安全的地方。 四、数据传输 1、针对信息传输的各个环节设计相应的安全措施,对信息传输服务器严格管理;保密级别为机密及以上的信息传输要采用密文传送;有关信息传输的管理人员、发送、接收人员要备案。 2、信息载体(数据盘、磁带、光盘、报表、图形)的管理信息系统中的信息要建立定期备份制度,每周至少一次;要定期检验备份介质的可用性;介质的管理要安全保存,方便恢复。 五、应用程序使用与应用程序安全 系统客户端应用程序应由使用部门和科技人员的同意方可安装,并在科技室备案;客户端的使用人员应严格管理,一人一用户一密码,严禁一个用户名多个人使用或一个人使用多个用户名。(信息系统使用从计算机产生的书面资料,如报表、文件、打印的计算机、网络配置信息等,要妥善
健康医疗大数据信息安全体系研究 1 绪论 1.1 概述 对健康医疗大数据的信息安全体系进行研究,从信息安全目前面临的问题和如何解决信息安全问题两个方面入手,讨论如何构建健康医疗大数据信息安全体系,得出相关的结论。 健康医疗大数据的良好利用,对整个健康卫生领域的发展是非常有帮助的。有一个完善的信息安全体系是保证良好利用的前提。一个健全的信息安全体系,才可以让健康医疗大数据更好地提高医疗服务的水平,造福社会。一个健全的信息安全体系可以增强医疗健康大数据技术保障能力,有利于信息安全基础性工作,加快医疗健康大数据安全软硬件技术产品研发和标准制定,提高医疗健康大数据平台信息安全监测、预警和应对能力。在平衡创新发展与信息安全关系的同时,有利于建立医疗健康大数据安全管理规则、管理模式与管理流程,引导医疗健康大数据安全可控和有序发展[1]。信息安全体系由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。在此框架中,以信息安全策略为指导,融和了安全技术、安全风险管理、安全组织与管理和运行保障4个方面的安全体系,以此达到系统可用性、可控性、抗攻击性、完整性、保密性的安全防护目标 1.2国内外研究现状 1.2.1 国外研究现状 作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。英国国家医疗服务体系在2016年7月份决定停止care.data健康医疗大数据平台的决定,信息安全得不到保障是关闭的重要原因之一。《对数据安全、同意和选择退出的审查》是由英国“国家健康和医疗数据守护者”发布。2015年9月,英国卫生大臣也委托其与英国医疗治疗委员会紧密合作,共同提出新的数据安全标准、测评数据安全合理的新方法,以及获取同意共享数据的新模式[2]。为了应对信息安全问题,很多国家从立法、制度、技术三个方面推出了相应的应对策略,制定国家大数据战略。美国、英国、法国、日本等发达国家均将大数据视为强化国家竞争力的关键因素之一,非常重视数据安全体系建设方面的研究。 国外比较成熟的关于信息安全体系建设的研究主要是关于服务信息化建设,提高对信息安全的认识,全面推行安全等级保护,定期进行信息系统安全风险评估以及安全加固,加强人才队伍建设。实施信息安全保护工作过程中应该注意的是明确要保护的目标,建立信息安全管理保障体系,加强信息安全意识和管理能力。ISO的安全体系结构主要内容:①安全服务:包括认证服务、访问控制、数据保密服务、数据完整性服务和抗抵赖服务;②安全机制:ISO安全体系结构中定义了一些安全机制.包括加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制、公证机制等;③安全管理:其重
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有 特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 分发对象文档权限说明 XXX内部员工只读 2.文件版本信息 版本日期拟稿和修改说明 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版 本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等 有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或 信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据 管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和 非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配 置文件中的数据、配置信息等。
金融行业的信息安全技术体系浅析 【摘要】互联网正在影响着人们的生活,信息安全成为个人和企业的头等大事,为了防止不法分子通过各种手段侵害用户权益,信息安全技术已成为金融行业中最重要部分。本文主要阐述了信息安全的重要性,介绍了金融行业采用的常见信息安全技术,并针对存在的安全风险和解决措施展开了探讨。 【关键词】金融;信息安全技术;计算机;风险 金融行业的信息安全技术体系是否完善,关系到金融行业的发展。随着科技的不断进步和经济水平的发展,人们的消费习惯也在逐渐变化,如网上购物,网上汇款等。基于互联网的网上银行则充分满足了用户的需求,由此可见,信息安全技术对于用户和金融行业而言是至关重要的。 一、信息安全的重要性 互联网正在影响着人们的生活,人们对于网络的依赖性与日俱增。同时,信息安全也成为个人和企业的头等大事。一旦信息安全技术不到位,给个人、企业甚至国家造成的损失可能是无法估量的。各行各业都要重视信息安全,尤其是金融行业的信息安全技术体系需要不断完善,确保用户的信息资源的安全性,避免不法分子利用用户的信息去做违法犯
罪的事情,损害用户的权益。 如今,计算机所承载的内容和任务越来越繁重,不管是个人还是集体,许多重要的工作都要由计算机来完成。信息在处理的过程中存在极大的安全隐患,许多不法分子常常通过各种高科技手段窃取或篡改信息。因此,信息安全技术体系一定要不断完善,使保密措施更加多元化。 二、金融行业采用的信息安全技术有哪些 1.身份识别 在信息安全系统中,身份识别是最基本的安全功能,通过身份验证的用户才能进一步申请系统的相关服务。静态密码已不能满足更高的需求,动态口令、数字证书等一系列身份认证方式成为信息安全技术不断向前发展的标志。 2.存取权限控制 信息安全技术已经从最初的防守变成主动出击,主要针对不法分子。为确保用户信息和资源的安全,控制存取权限,谨防不法分子别有居心对用户资源进行使用,维护用户的合法权益。 3.数字签名 数字签名,也可称作公钥数字签名,用于辨别和验证签署人的身份。若要伪造可谓难上加难,数字签名可作为信息真实有效的证明。 4.数据完整性保护
XXXXXX村镇银行征信合规与信息安全管理办法 第一章总则 第一条为加强XXXXXX村镇银行(下文简称我行)征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》等有关规定,结合我行实际,制定本办法。 第二条本办法所称征信合规与信息安全,是指我行从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。 第三条本办法所称征信系统,是指由征信中心按中国人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为银行业金融机构、个人和企业提供信用报告查询服务的数据库系统。.
第四条本办法所称借款人,是指向我行申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。 第五条本办法所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。第六条本办法所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。 第七条本办法所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。 第二章部门职责 第八条我行征信业务管理工作,实行统一领导、分工负责的原则。 第九条我行成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。领导小组由主管征信工作的行长助理担任组长,成员由业务拓展部、风险管理部、内审合规部等职能的部. 门和各分支机构组成。领导小组办公室设置在内审合规部,部门负责人为办公室主任。 第十条征信信息安全工作领导小组负责协调全行核心业务系