某银行信息科技应用安全管理办法
- 格式:doc
- 大小:32.50 KB
- 文档页数:6
xxxx银行
信息科技应用安全管理办法
第一章总则
第一条为提高xxxx银行(以下简称“我行”)信息科技安全管理水平,实现应用系统安全规范化管理,确保各类应用系统安全、可靠、稳定运行,根据《商业银行信息科技风险管理指引》、《信息安全技术网络安全等级保护基本要求》等制度,结合我行应用系统建设的实际情况,制定本办法。
第二条本办法所指应用系统是指承载我行各类业务开展的在正式生产环境运行的应用系统,包括综合业务类、渠道管理类、客户管理类和产品管理类等自主研发或外部采购的应用系统。
第三条本办法适用于我行信息科技应用安全管理相关的工作。
第二章部门及职责
第四条我行应用安全管理的主管部门为总行信息科技部,负责对我行应用系统的身份认证、访问控制、数据加密、防篡改、抗抵赖、日志审计等方面的控制方案和措施进行统一规划;负责本办法的审议,并监督本办法的落地和实施。
第五条信息科技部综合管理中心负责应用安全管理办
法的制定、修订,负责应用安全管理策略的制定;软件开发中心负责根据应用安全策略对软件研发中的安全技术进行选型和实现;需求测试中心负责根据应用安全策略进行安全需求分析与测试;技术支持中心负责应用安全运行所需基础安全设施、基础软硬件的选型部署和运维。
第六条信息科技部综合管理中心设有安全管理岗,其主要职责为:
(一)负责应用安全管理策略的制定、修订和评审;
(二)负责参与应用系统研发过程中的安全需求收集、分析和测试。
(三)负责对应用系统定期进行漏洞扫描,并及时对漏洞进行登记和管理。
(四)负责对我行各类应用系统定期进行渗透测试,并出具渗透测试报告和改进建议。
(五)负责对我行重要信息系统安全评估,并出具安全评估报告。
软件开发中心设有软件开发岗,其主要职责为:
(一)负责配合安全管理岗执行应用安全策略;
(二)负责根据应用安全策略,选取合适安全开发平台、架构和技术并运用到软件研发过程中,保证安全策略的落地和生效;
(三)负责根据安全管理岗提供的漏洞修复报告、渗透测试报告等建议,选取修复技术并制定修复方案。
需求测试中心设有需求分析岗和软件测试岗,其职责分别为:
(一)需求分析岗主要职责:负责协助安全管理岗进行软件研发需求阶段的安全需求分析,并将安全需求分析结果纳入需求设计说明书;
(二)软件测试岗主要职责为:负责协助安全管理岗进行软件研发测试阶段的安全功能测试,并将安全测试结果纳入测试报告。
技术支持中心设有应用管理岗,其主要职责为:
(一)负责应用系统投产所需的基础安全环境的选型、测试和部署;
(二)负责应用系统运行环境的日常运维和监测;
(三)负责协助安全管理岗完成应用系统漏洞修复。
第三章应用安全管理策略
第七条应用系统应具有用户身份标识和识别机制:身份识别需具有唯一性;鉴别信息需具有一定复杂度,包括但不限于用户口令、令牌、指纹及人脸等生物信息。
第八条用户鉴别信息应具有一定时效性,要求定期更换。
第九条用户身份鉴别信息丢失或失效时应用系统须提供鉴别信息重置或其他技术保证系统安全。
第十条对于面向公众的互联网应用系统,应对同一用户采用采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
第十一条对于面向公众的互联网应用系统,登录用户执行重要操作时应再次进行身份鉴别。
第十二条应用系统应提供并启用用户登录失败处理功能,设立登录失败次数,对于达到失败次数的用户采取必要限制措施,包括但不限于用户锁定、验证码和验证短信等,防止用户暴力重复试错。
第十三条应用系统应要求用户首次登录时修改默认初始口令,对于未修改默认初始口令的用户拒绝登录。
第十四条应用系统应提供访问控制功能,对登录的用户分配相应权限,权限分配应符合最小授权原则,防止越权访问。
系统管理用户与应用用户应隶属于不同人员,形成相互制约关系。
第十五条应对应用系统中的用户账号进行定期审核,多余的、过期的账号应及时删除或停用,避免共享账号的存在。
第十六条应用系统需提供数据有效性检验功能,保证通过人机接口输入或通信接口输入的内容符合系统设定要求。
第十七条应用系统应提供数据完整性保护措施,校验码技术保证重要数据在传输和存储过程中的完整性,防止重
要数据在传输和存储过程中被篡改。
第十八条应用系统应提供数据保密性保护措施,利用加解密技术保证重要数据在传输和存储过程中保密性,防止第三人读取重要数据。
第十九条应用系统应提供抗抵赖措施,对数据通信的另一方身份进行验证,并能够对另一方身份进行追溯。
第二十条应用系统应提供资源控制措施,当通信双方中乙方在一段时间内未做任何响应,另一方应能够自动结束会话。
第二十一条应用系统应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
第二十二条应用系统的审计记录应包括事件的日期和时间、用户、事件类型、事件内容、事件是否成功及其他与审计相关的信息。
第二十三条应用系统的审计记录应得到保护,定期备份,避免受到非预期的删除、修改或覆盖。
第二十四条对门户网站、网上银行等面向互联网用户的应用应建立钓鱼网站常态化监测处置机制。
第二十五条对重要信息系统和互联网应用系统的安全评估应每年进行一次,并出具安全评估报告,报告作为安全改进的重要依据。
第四章附则
第二十六条本办法由xxxx银行信息科技部负责制定、修订及解释。
第二十七条本办法自印发之日起施行。