銀行網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)定

1、銀行網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)定第一章 總則第一條 為加強(qiáng)銀行（以下簡稱我行）網(wǎng)絡(luò)系統(tǒng)安全工作，保障我 行網(wǎng)絡(luò)系統(tǒng)可靠、穩(wěn)定、連續(xù)、高效運(yùn)行，特制定本規(guī)定。第二條 本規(guī)定所指的網(wǎng)絡(luò)系統(tǒng)，是指由計(jì)算機(jī)（包括相關(guān)和配套 設(shè)備）為終端設(shè)備，利用計(jì)算機(jī)、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集、 處理、存儲(chǔ)和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。第三條 本規(guī)定適用于銀行。第二章組織和職責(zé)第四條 成立網(wǎng)絡(luò)安全管理員崗位，由分管領(lǐng)導(dǎo)主抓，接受我行相 關(guān)領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)，在我行科技部門的具體指導(dǎo)和組織下工作。 網(wǎng)絡(luò) 安全管理員工作職責(zé)是：（1）與上級(jí)信息系統(tǒng)安全主管部門建立相關(guān)工作關(guān)系；（2）組織制定和執(zhí)行我行網(wǎng)絡(luò)安全的規(guī)劃、策略、標(biāo)準(zhǔn)

2、、流程、應(yīng)急計(jì)劃、落實(shí)宣傳教育與培訓(xùn)計(jì)劃等；（3）健全并監(jiān)督執(zhí)行網(wǎng)絡(luò)安全規(guī)定，定期對(duì)所屬網(wǎng)絡(luò)進(jìn)行安全檢查和風(fēng)險(xiǎn)分析，提出相應(yīng)的對(duì)策;（4）實(shí)施我行網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)。（5）負(fù)責(zé)網(wǎng)絡(luò)審計(jì)系統(tǒng)的管理和維護(hù)，認(rèn)真記錄、檢查和保管 審計(jì)日志。（6）定期進(jìn)行總結(jié)，并向領(lǐng)導(dǎo)、主管部門匯報(bào)安全工作，提交 年度報(bào)告；（7）做好我行網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行、維護(hù)、管理等工作。（8）如發(fā)生網(wǎng)絡(luò)系統(tǒng)的重大安全事故、事件，及時(shí)向主管領(lǐng)導(dǎo) 報(bào)告。第三章管理原則第五條綜合防范原則以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合，逐級(jí)建立 安全保護(hù)體系和責(zé)任制，加強(qiáng)制度建設(shè)，加強(qiáng)安全建設(shè)，全面加強(qiáng)管 理，逐步實(shí)現(xiàn)信息系統(tǒng)安全管理工

3、作的科學(xué)化、規(guī)范化。第六條動(dòng)態(tài)管理原則網(wǎng)絡(luò)安全工作要按照系統(tǒng)工程的要求，注意各方面、各層次、各 時(shí)期的相互協(xié)調(diào)、匹配和銜接，根據(jù)系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全 認(rèn)識(shí)的深化，及時(shí)復(fù)查、修改、調(diào)整安全策略。第七條適度投資原則網(wǎng)絡(luò)安全管理需要在投資與效益之間加以權(quán)衡。安全工作既要充 分有效，又要適度投資，力爭取得綜合最佳的安全效果。第八條以人為本原則加強(qiáng)人員的信息安全教育、培訓(xùn)和管理，強(qiáng)化安全意識(shí)和法治觀 念，提升職業(yè)道德，掌握安全技術(shù)，做好網(wǎng)絡(luò)安全管理工作。第九條最小特權(quán)原則為網(wǎng)絡(luò)資源規(guī)定明確的使用權(quán)限， 對(duì)系統(tǒng)的所有人員，按其職責(zé) 劃定必要的最小的授權(quán)范圍，明確安全責(zé)任，通過技術(shù)和行政管理措 施有

4、效地阻止越權(quán)使用行為。第四章 過程和方法第十條安全管理過程主要包括安全風(fēng)險(xiǎn)分析與評(píng)估、安全策略制 定、安全需求分析、安全措施實(shí)施與監(jiān)理和生命周期管理等主要環(huán)節(jié)。第十一條風(fēng)險(xiǎn)分析與評(píng)估：網(wǎng)絡(luò)安全管理員負(fù)責(zé)我行網(wǎng)絡(luò)系統(tǒng)的 風(fēng)險(xiǎn)分析與評(píng)估工作，并提交風(fēng)險(xiǎn)分析與評(píng)估報(bào)告。第十二條 安全策略制定：網(wǎng)絡(luò)安全管理員負(fù)責(zé)制定、完善網(wǎng)絡(luò)安 全策略，提出網(wǎng)絡(luò)安全框架、管理方法，規(guī)定各部門要遵守的規(guī)范及 責(zé)任，以調(diào)動(dòng)、協(xié)調(diào)和組織各方面的資源共同保障網(wǎng)絡(luò)系統(tǒng)的安全。第十三條安全需求分析：依據(jù)安全風(fēng)險(xiǎn)分析與評(píng)估報(bào)告以及安全 策略，網(wǎng)絡(luò)安全管理員進(jìn)行系統(tǒng)的安全需求分析， 保證網(wǎng)絡(luò)安全服務(wù) 和安全機(jī)制的有效性和針對(duì)性，形成

5、安全需求分析報(bào)告。第十四條 安全措施實(shí)施與監(jiān)理：依據(jù)需求分析報(bào)告制定完備的實(shí) 施方案，從實(shí)施的規(guī)范、流程、資金、進(jìn)度等方面進(jìn)行監(jiān)督與檢查， 對(duì)實(shí)施過程進(jìn)行嚴(yán)格控制。第十五條 生命周期管理：在計(jì)劃階段，通過風(fēng)險(xiǎn)分析明確安全需 求，確定安全目標(biāo)，制定安全策略，擬定安全要求的性能指標(biāo)；在實(shí) 施階段，依據(jù)安全要求選擇相應(yīng)的安全措施，采購或設(shè)計(jì)安全系統(tǒng)， 根據(jù)工程要求實(shí)施和部署，并對(duì)安全措施進(jìn)行驗(yàn)證與驗(yàn)收、認(rèn)證與認(rèn) 可；在運(yùn)行維護(hù)階段，通過檢查、檢測(cè)、審計(jì)和對(duì)風(fēng)險(xiǎn)變更的監(jiān)視和 評(píng)估，保證運(yùn)行安全；在生命周期結(jié)束階段，對(duì)網(wǎng)絡(luò)系統(tǒng)和設(shè)備進(jìn)行 安全處置。第五章 設(shè)備安全管理第十六條 為保證基于網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)可

6、靠、穩(wěn)定、連續(xù)、高效運(yùn) 行，場(chǎng)地和設(shè)施必須滿足網(wǎng)絡(luò)設(shè)備對(duì)環(huán)境的要求。第十七條 對(duì)重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備， 保證其 正常運(yùn)行。第十八條終端設(shè)備安全管理（1）使用人員應(yīng)愛護(hù)終端與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備 （包括網(wǎng)卡、 網(wǎng)線、集線器、調(diào)制解調(diào)器等），按規(guī)操作，不得對(duì)其實(shí)施人為損壞。（2）終端使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置， 杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生（3）網(wǎng)絡(luò)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電 源。第十八條 科技部指定專人負(fù)責(zé)網(wǎng)絡(luò)設(shè)施的安全工作， 劃分安全區(qū) 域，進(jìn)行分級(jí)管理，建立、健全網(wǎng)絡(luò)設(shè)施運(yùn)行監(jiān)控、巡檢等有關(guān)措施； 對(duì)通信信道（X.25、DDN幀中繼、光纖、撥號(hào)線

7、等）、通信引接設(shè)備 （調(diào)制解調(diào)器、光端機(jī)等）進(jìn)行監(jiān)控、巡檢。第十九條 對(duì)業(yè)務(wù)系統(tǒng)使用的關(guān)鍵網(wǎng)絡(luò)設(shè)備建立嚴(yán)格的登記制度， 保證設(shè)備購置、安裝、調(diào)試、維護(hù)、維修、報(bào)廢等處置活動(dòng)安全可控。第六章 網(wǎng)絡(luò)安全管理第二十條 我行網(wǎng)絡(luò)分為內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和因特網(wǎng)。內(nèi)部網(wǎng)由行內(nèi) 廣域網(wǎng)、局域網(wǎng)組成，為我行內(nèi)部辦公與開展業(yè)務(wù)提供網(wǎng)絡(luò)服務(wù)；外 聯(lián)網(wǎng)指與國家有關(guān)部門和其他單位連接的網(wǎng)絡(luò)；因特網(wǎng)用于與國際互聯(lián)網(wǎng)互聯(lián)，實(shí)現(xiàn)對(duì)外業(yè)務(wù)信息服務(wù)和內(nèi)外信息交換。第二一條 內(nèi)聯(lián)網(wǎng)系統(tǒng)與因特網(wǎng)系統(tǒng)必須物理隔離。第二十二條對(duì)通過公共通信設(shè)施傳輸?shù)闹匾獦I(yè)務(wù)信息實(shí)施加 密，保證信息傳輸?shù)陌踩?；?duì)外進(jìn)行公共服務(wù)的信息系統(tǒng)，采取嚴(yán)格 的安全措

8、施，保證外部用戶對(duì)特定服務(wù)的訪問不危及內(nèi)部信息系統(tǒng)的 安全；對(duì)從內(nèi)向外及從外到內(nèi)的連接資源（如電話撥號(hào)、ISDN ADSL聯(lián)網(wǎng)等）實(shí)施嚴(yán)格控制，建立健全管理制度，完善監(jiān)控手段第二十三條網(wǎng)絡(luò)安全管理員應(yīng)盡可能地改善網(wǎng)絡(luò)系統(tǒng)的安全策 略設(shè)置，盡量減少安全漏洞。關(guān)閉不使用的服務(wù)，對(duì)不同級(jí)別的網(wǎng)絡(luò) 用戶設(shè)置相應(yīng)的資源訪問權(quán)限。第二十四條 網(wǎng)絡(luò)安全管理員參與網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，負(fù)責(zé)網(wǎng)絡(luò)安全 設(shè)備、網(wǎng)管系統(tǒng)的維護(hù)，網(wǎng)絡(luò)安全日志的收集和分析，網(wǎng)絡(luò)系統(tǒng)的安 全檢查，保證網(wǎng)絡(luò)安全運(yùn)行。第二十五條 網(wǎng)絡(luò)反病毒。病毒的危害性巨大，對(duì)系統(tǒng)和信息的 破壞程度具有不可測(cè)性，計(jì)算機(jī)用戶和系統(tǒng)管理員應(yīng)針對(duì)具體情況采 取預(yù)防病毒技術(shù)

9、、檢測(cè)病毒技術(shù)和殺毒技術(shù)。第七章 運(yùn)行安全管理第二十六條 網(wǎng)絡(luò)值班人員每日填寫各類運(yùn)行記錄，定期檢查系 統(tǒng)日志文件，對(duì)系統(tǒng)安全進(jìn)行及時(shí)維護(hù)，對(duì)存在的安全缺陷和漏洞及 時(shí)控制和消除，對(duì)發(fā)生的安全事件，按照相應(yīng)的處置規(guī)程和應(yīng)急計(jì)劃 進(jìn)行處理。第二十七條 定期檢查備份、備用資源的可用性，保證在系統(tǒng)崩 潰等特殊情況下，可將系統(tǒng)恢復(fù)至原始狀態(tài)或正常狀態(tài)。第二十八條 網(wǎng)絡(luò)安全管理員應(yīng)制定網(wǎng)絡(luò)應(yīng)急、災(zāi)難恢復(fù)計(jì)劃及相應(yīng)的實(shí)施規(guī)程，并進(jìn)行必要驗(yàn)證、演練。計(jì)劃包括緊急措施、硬件、 軟件、人力等資源配備、恢復(fù)過程等。第二十九條網(wǎng)絡(luò)安全檢測(cè)。為使網(wǎng)絡(luò)長期保持較高的安全水平， 網(wǎng)絡(luò)安全管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分 析，及時(shí)發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)安全員在系統(tǒng)檢測(cè)完成后， 應(yīng)編寫檢測(cè)報(bào)告，需詳細(xì)記敘檢測(cè)的對(duì)象、手段、結(jié)果、建議和實(shí)施 的補(bǔ)救措施與安全策略。檢測(cè)報(bào)告存入系統(tǒng)檔案。第八章 口令管理第三十條 網(wǎng)絡(luò)系統(tǒng)口令每十五天更換一次，口令要無規(guī)則，重 要口令要多于八位。第三十一條 廠方調(diào)試人員調(diào)試維護(hù)完成后一小時(shí)內(nèi)，關(guān)閉或修 改其所用帳號(hào)和密碼。第九章人員管理第三十條根據(jù)最小特權(quán)原則，建立崗位責(zé)任制度和授權(quán)許可制 度，明確有關(guān)人員安全