




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
第頁外包服務(wù)管理規(guī)定TOC\o"1-3"\h\u248401、目的 2278112、適用范圍 2212303、管理規(guī)定 2191793.1機(jī)房安全 2204293.2網(wǎng)絡(luò)安全 2292553.3系統(tǒng)管理 2205813.4用戶管理 368093.5數(shù)據(jù)安全 3119723.6合同管理 4308763.7運(yùn)行時(shí)管理 4112601)變更管理 4131412)應(yīng)急響應(yīng) 5318213)運(yùn)維管理 5312484)系統(tǒng)管理 5219415)數(shù)據(jù)安全 5
目的為了提高外包業(yè)務(wù)的服務(wù)質(zhì)量,規(guī)范外包業(yè)務(wù)的管理活動(dòng),保障系統(tǒng)安全運(yùn)行,提升外包服務(wù)業(yè)務(wù)人員安全意識(shí)水平,北京訊鳥軟件有限公司(以下簡稱“公司”)依據(jù)信息安全管理標(biāo)準(zhǔn)《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的相關(guān)要求,結(jié)合自身業(yè)務(wù)系統(tǒng)實(shí)際運(yùn)行安全需求,制定了本外包服務(wù)業(yè)務(wù)的管理規(guī)定。適用范圍本規(guī)定適用于云計(jì)算及互聯(lián)網(wǎng)服務(wù)平臺(tái)的所有應(yīng)用系統(tǒng)。管理規(guī)定3.1機(jī)房安全機(jī)房應(yīng)安裝門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)。機(jī)房環(huán)境應(yīng)符合相關(guān)機(jī)房管理規(guī)定的要求。3.2網(wǎng)絡(luò)安全1)外包服務(wù)的信息系統(tǒng)所在網(wǎng)絡(luò)區(qū)域應(yīng)與其他網(wǎng)絡(luò)區(qū)域使用訪問控制列表或防火墻進(jìn)行網(wǎng)絡(luò)安全隔離。2)外包服務(wù)的網(wǎng)絡(luò)區(qū)域應(yīng)部署入侵檢測系統(tǒng),及時(shí)分析入侵事件。(增強(qiáng)性要求)3)外包服務(wù)的網(wǎng)絡(luò)區(qū)域應(yīng)安裝網(wǎng)絡(luò)監(jiān)控系統(tǒng),及時(shí)監(jiān)控網(wǎng)絡(luò)訪問情況。(增強(qiáng)性要求)3.3系統(tǒng)管理1)運(yùn)行應(yīng)用系統(tǒng)的服務(wù)器和工作站必須安裝防病毒系統(tǒng),病毒庫及時(shí)更新。2)應(yīng)用系統(tǒng)首次投產(chǎn)前,應(yīng)實(shí)施操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用漏洞掃描和滲透測試,修復(fù)高危漏洞后投產(chǎn),并向甲方提交書面報(bào)告(包括漏洞掃描結(jié)果、分析報(bào)告、漏洞修復(fù)情況等內(nèi)容)。3)應(yīng)用系統(tǒng)客戶端不允許直接連接數(shù)據(jù)庫。4)信息系統(tǒng)應(yīng)有日志審計(jì)功能,不提供刪除、修改、覆蓋日志功能。3.4用戶管理應(yīng)檢查用戶密碼復(fù)雜度,密碼不得與用戶賬號(hào)相同,密碼組成至少包含大寫字母、小寫字母、數(shù)字和特殊字符四類要素中的三種,且長度至少為8位。應(yīng)提供用戶密碼連續(xù)輸入錯(cuò)誤鎖定功能,用戶連續(xù)輸入錯(cuò)誤次數(shù)超過規(guī)定次數(shù)(最大為5次)鎖定用戶,須解鎖后才能正常使用。應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名默認(rèn)用戶,修改默認(rèn)用戶口令。對于無法修改默認(rèn)帳戶訪問權(quán)限及命名的,應(yīng)嚴(yán)格限制用戶登錄。不得明文傳輸和存儲(chǔ)用戶登錄密碼。3.5數(shù)據(jù)安全1)信息系統(tǒng)如涉及資金類交易時(shí),銀行賬號(hào)及密碼、CVV2、磁道信息、信用卡有效期等敏感數(shù)據(jù)應(yīng)加密傳輸和存儲(chǔ)。2)信息系統(tǒng)如不涉及資金類交易時(shí),不允許處理(包括采集、記錄、傳輸?shù)龋┿y行賬號(hào)密碼、CVV2、磁道信息、信用卡有效期等敏感數(shù)據(jù)。3)應(yīng)用日志不允許記錄密鑰、密碼、磁道信息、卡片校驗(yàn)碼(CVV2)等敏感數(shù)據(jù)信息。4)信息系統(tǒng)如涉及資金類交易時(shí),應(yīng)采取通信報(bào)文防篡改和防重放的校驗(yàn)措施,報(bào)文MAC校驗(yàn)范圍應(yīng)納入賬號(hào)、金額、交易流水號(hào)、交易時(shí)間等字段,并由交易報(bào)文接收方檢查交易流水號(hào)及交易時(shí)間的唯一性。5)信息系統(tǒng)如提供查詢客戶信息功能時(shí),不能未經(jīng)脫敏就批量顯示/打印/導(dǎo)出我行客戶資料敏感信息(賬戶、姓名、電話號(hào)碼、手機(jī)、身份證號(hào)碼等),不得在終端存儲(chǔ)客戶資料敏感信息。(增強(qiáng)性要求)6)系統(tǒng)使用的加密算法須符合甲方要求(對稱加密算法可選擇SM4、AES、3DES;非對稱算法可選擇SM2、RSA、DSA、D.H;雜湊算法可選擇SM3、SHA1、SHA256、MD5;安全協(xié)議可選擇SSL、TLS、SSH、SFTP、Kerberos、RADIUS,對稱加密算法的密鑰長度至少設(shè)定為128bit;非對稱的RSA算法密鑰長度至少2048bit,SM2算法至少210bit),密鑰不以明文方式存儲(chǔ),且支持密鑰更新。7)應(yīng)有安全管控措施保障甲方敏感數(shù)據(jù)安全,防范我行敏感數(shù)據(jù)被非法獲取,如:敏感數(shù)據(jù)在數(shù)據(jù)庫加密保存或脫敏保存、定期對數(shù)據(jù)庫的敏感數(shù)據(jù)進(jìn)行清理或脫敏等。3.6合同管理在合同或協(xié)議中,應(yīng)約定因應(yīng)用系統(tǒng)導(dǎo)致甲方客戶資料等敏感數(shù)據(jù)泄露的告知義務(wù)和懲罰措施。3.7運(yùn)行時(shí)管理1)變更管理a.實(shí)施變更前須評估對甲方業(yè)務(wù)和系統(tǒng)的影響,制定變更方案,經(jīng)甲方同意方可實(shí)施變更。b.提前三個(gè)工作日通知甲方變更時(shí)間。c.實(shí)施變更前,應(yīng)做好系統(tǒng)和數(shù)據(jù)的備份,應(yīng)避免在業(yè)務(wù)繁忙時(shí)段實(shí)施變更,對于實(shí)施風(fēng)險(xiǎn)較大的變更,應(yīng)在變更后對系統(tǒng)的運(yùn)行情況進(jìn)行檢查和跟蹤。應(yīng)急響應(yīng)a.明確與甲方的應(yīng)急溝通機(jī)制、應(yīng)急聯(lián)系人,發(fā)生信息安全事件應(yīng)立即通報(bào)甲方。b.制定切合實(shí)際的應(yīng)急預(yù)案,定期開展應(yīng)急演練。運(yùn)維管理a.保留完整的視頻監(jiān)控錄像、門禁權(quán)限審批記錄和門禁出入記錄,視頻監(jiān)控錄像應(yīng)至少保存3個(gè)月,門禁審批和門禁出入記錄數(shù)據(jù)應(yīng)至少保存1年。(增強(qiáng)性要求)b.應(yīng)每日定時(shí)巡檢機(jī)房、網(wǎng)絡(luò)運(yùn)行狀況,保留完整的巡檢記錄,巡檢記錄數(shù)據(jù)至少保存1年以上。系統(tǒng)管理a.定期更新操作系統(tǒng)補(bǔ)丁。(增強(qiáng)性要注)b.應(yīng)用系統(tǒng)首次投產(chǎn)后,每年實(shí)施一次操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用漏洞掃描和滲透測試,修復(fù)高危漏洞后投產(chǎn),并向甲方提交書面報(bào)告(包括漏洞掃描結(jié)果、分析報(bào)告、漏洞修復(fù)情況等內(nèi)容)。(增強(qiáng)性要求)c.應(yīng)用系統(tǒng)每次變更投產(chǎn)前,應(yīng)實(shí)施應(yīng)用漏洞掃描,修復(fù)高危漏洞后投產(chǎn),并向甲方提交書面報(bào)告(包括漏洞掃描結(jié)果、分析報(bào)告、漏洞修復(fù)情況等內(nèi)容)。d.關(guān)注互聯(lián)網(wǎng)公布的漏洞,涉及到的0day漏洞及其他高危漏洞,應(yīng)及時(shí)修復(fù),并向甲方提交書面報(bào)告(包括漏洞掃描結(jié)果、分析報(bào)告、漏洞修復(fù)情況等內(nèi)容)。(增強(qiáng)性要求)數(shù)據(jù)安全a.嚴(yán)禁未
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 小學(xué)三年級數(shù)學(xué)五千以內(nèi)加減混合兩步運(yùn)算過關(guān)監(jiān)控練習(xí)題大全附答案
- 長征觀后感范文
- 2025年菁優(yōu)高考地理解密試題
- 面試時(shí)自我介紹的范文
- 詩經(jīng)·頌·商頌·那
- 遠(yuǎn)程教育網(wǎng)絡(luò)課堂
- 重度胰腺炎患者護(hù)理
- 編制說明(征求意見稿)3D 打印生產(chǎn)線控制系統(tǒng)技術(shù)規(guī)范
- 人教寧夏 九年級 下冊 語文 第一單元《 梅嶺三章》習(xí)題課 課件
- 車間新員工入職培訓(xùn)
- 2024年重慶市公務(wù)員錄用考試《行測》真題及解析
- 電工5級練習(xí)題庫(含參考答案)
- “中華老字號(hào)”申報(bào)書
- 北京郵電大學(xué)《電子電路基礎(chǔ)實(shí)驗(yàn)》2021-2022學(xué)年期末試卷
- 預(yù)防腫瘤溶解綜合征
- 8 匆匆 說課課件
- 汽車衡智能化改造與升級
- 2024年四川成都中考生物卷試題解讀及答案詳解(精校打印版)
- 中華文明史(山東聯(lián)盟)智慧樹知到答案2024年青島理工大學(xué)
- 數(shù)據(jù)治理與數(shù)據(jù)中臺(tái)建設(shè)方案
- PICC常見并發(fā)癥處理
評論
0/150
提交評論