银行网络系统安全管理规定

1、银行网络系统平安治理规定第一章 总那么第一条 为增强银行(以下简称我行)网络系统平安工作,保证我 行网络系统可靠、稳定、连续、高效运行,特制定本规定.第二条 本规定所指的网络系统,是指由计算机(包括相关和配套 设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、 处理、存储和传输的设备、技术、治理的组合.第三条 本规定适用于银行.第二章 组织和责任第四条 成立网络平安治理员岗位,由分管领导主抓,接受我行相 关领导小组的领导,在我行科技部门的具体指导和组织下工作. 网络 平安治理员工作责任是：(1)与上级信息系统平安主管部门建立相关工作关系；(2)组织制定和执行我行网络平安的规划、策略、

2、标准、流程、应急方案、落实宣传教育与培训方案等；(3)健全并监督执行网络平安规定,定期对所属网络进行平安检查和风险分析,提出相应的对策；(4)实施我行网络平安系统的建设.(5)负责网络审计系统的治理和维护,认真记录、检查和保管 审计日志.(6)定期进行总结,并向领导、主管部门汇报平安工作,提交 年度报告；(7)做好我行网络系统的平安运行、维护、治理等工作.(8)如发生网络系统的重大平安事故、事件,及时向主管领导 报告.第三章治理原那么第五条综合防范原那么以预防为主、综合治理、人员防范与技术防范相结合,逐级建立 平安保护体系和责任制,增强制度建设,增强平安建设,全面增强管 理,逐步实现信息系统平

3、安治理工作的科学化、标准化.第六条动态治理原那么网络平安工作要根据系统工程的要求,注意各方面、各层次、各 时期的相互协调、匹配和衔接,根据系统环境的变化以及对系统平安 熟悉的深化,及时复查、修改、调整平安策略.第七条适度投资原那么网络平安治理需要在投资与效益之间加以权衡.平安工作既要充 分有效,又要适度投资,力争取得综合最正确的平安效果.第八条以人为本原那么增强人员的信息平安教育、培训和治理,强化平安意识和法治观 念,提升职业道德,掌握平安技术,做好网络平安治理工作.第九条最小特权原那么为网络资源规定明确的使用权限, 对系统的所有人员,按其责任 划定必要的最小的授权范围,明确平安责任,通过技术

4、和行政治理措 施有效地阻止越权使用行为.第四章 过程和方法第十条平安治理过程主要包括平安风险分析与评估、平安策略制 定、平安需求分析、平安举措实施与监理和生命周期治理等主要环节.第十一条风险分析与评估：网络平安治理员负责我行网络系统的 风险分析与评估工作,并提交风险分析与评估报告.第十二条 平安策略制定：网络平安治理员负责制定、完善网络安 全策略,提出网络平安框架、治理方法,规定各部门要遵守的标准及 责任,以调动、协调和组织各方面的资源共同保证网络系统的平安.第十三条平安需求分析：依据平安风险分析与评估报告以及平安 策略,网络平安治理员进行系统的平安需求分析, 保证网络平安效劳 和平安机制的有

5、效性和针对性,形成平安需求分析报告.第十四条 平安举措实施与监理：依据需求分析报告制定完备的实 施方案,从实施的标准、流程、资金、进度等方面进行监督与检查, 对实施过程进行严格限制.第十五条 生命周期治理：在方案阶段,通过风险分析明确平安需 求,确定平安目标,制定平安策略,拟定平安要求的性能指标；在实 施阶段,依据平安要求选择相应的平安举措,采购或设计平安系统, 根据工程要求实施和部署,并对平安举措进行验证与验收、认证与认 可；在运行维护阶段,通过检查、检测、审计和对风险变更的监视和 评估,保证运行平安；在生命周期结束阶段,对网络系统和设备进行 平安处置.第五章 设备平安治理第十六条 为保证基

6、于网络的业务系统可靠、稳定、连续、高效运 行,场地和设施必须满足网络设备对环境的要求.第十七条 对重要网络设备配备专用电源或电源保护设备, 保证其 正常运行.第十八条终端设备平安治理(1)使用人员应保护终端与之相关的网络连接设备 (包括网卡、 网线、集线器、调制解调器等),按规操作,不得对其实施人为损坏.(2)终端使用人员不得擅自更改网络设置, 杜绝一切影响网络正常运行的行为发生3网络中的终端计算机在使用完毕后应及时关闭计算机和电源.第十八条 科技部指定专人负责网络设施的平安工作, 划分平安区 域,进行分级治理,建立、健全网络设施运行监控、巡检等有关举措； 对通信信道X.25、DDN帧中继、光

7、纤、拨号线等、通信引接设备 调制解调器、光端机等进行监控、巡检.第十九条 对业务系统使用的关键网络设备建立严格的登记制度, 保证设备购置、安装、调试、维护、维修、报废等处置活动平安可控.第六章 网络平安治理第二十条 我行网络分为内联网、外联网和因特网.内部网由行内 广域网、局域网组成,为我行内部办公与开展业务提供网络效劳；外 联网指与国家有关部门和其他单位连接的网络； 因特网用于与国际互 联网互联,实现对外业务信息效劳和内外信息交换.第二十一条 内联网系统与因特网系统必须物理隔离.第二十二条对通过公共通信设施传输的重要业务信息实施加密,保证信息传输的平安；对外进行公共效劳的信息系统,采取严格

8、的平安举措,保证外部用户对特定效劳的访问不危及内部信息系统的 平安；对从内向外及从外到内的连接资源如 拨号、ISDN ADSL联网等实施严格限制,建立健全治理制度,完善监控手段第二十三条网络平安治理员应尽可能地改善网络系统的平安策 略设置,尽量减少平安漏洞.关闭不使用的效劳,对不同级别的网络 用户设置相应的资源访问权限.第二十四条 网络平安治理员参与网络系统设计,负责网络平安 设备、网管系统的维护,网络平安日志的收集和分析,网络系统的安 全检查,保证网络平安运行.第二十五条 网络反病毒.病毒的危害性巨大,对系统和信息的 破坏程度具有不可测性,计算机用户和系统治理员应针对具体情况采 取预防病毒技

9、术、检测病毒技术和杀毒技术.第七章 运行平安治理第二十六条 网络值班人员每日填写各类运行记录,定期检查系 统日志文件,对系统平安进行及时维护,对存在的平安缺陷和漏洞及 时限制和消除,对发生的平安事件,根据相应的处置规程和应急方案 进行处理.第二十七条 定期检查备份、备用资源的可用性,保证在系统崩 溃等特殊情况下,可将系统恢复至原始状态或正常状态.第二十八条 网络平安治理员应制定网络应急、灾难恢复方案及相应的实施规程,并进行必要验证、演练.方案包括紧急举措、硬件、 软件、人力等资源配备、恢复过程等.第二十九条网络平安检测.为使网络长期保持较高的平安水平, 网络平安治理员应当用网络平安检测工具对网络系统进行平安性分 析,及时发现并修正存在的平安漏洞.网络平安员在系统检测完成后, 应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施 的补救举措与平安策略.检测报告存入系统档案.第八章 口令治理第三十条 网络系统口令每十五天更换一次,口令要无规那么,重 要口令要多于八位.第三十一条 厂方调试人员调试维护完成后一小时内,关闭或修 改其所用帐号和密码.第九章人员治理第三十条根据最小特权原那么,建立岗位责任制度和授权许可制 度,明确有关人员