銀行信息科技信息系統(tǒng)分級(jí)管理辦法模版

銀行信息科技信息系統(tǒng)分級(jí)管理辦法

隨著信息技術(shù)的高速發(fā)展和網(wǎng)絡(luò)應(yīng)用的迅速普及，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息資源更成為國(guó)家經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展的重要戰(zhàn)略資源之一。為了滿足某銀行信息安全發(fā)展需要，特制定《信息系統(tǒng)分級(jí)管理辦法》。

信息系統(tǒng)分級(jí)管理辦法的監(jiān)管級(jí)別劃分為五個(gè)級(jí)別。

第一級(jí)、用戶自主保護(hù)級(jí)完全由用戶自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。

第二級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo)，支持用戶具有更強(qiáng)的自主保護(hù)能力，特別是具有訪問(wèn)審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對(duì)象的訪問(wèn)審計(jì)跟蹤記錄，記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息，所有和安全相關(guān)的操作都能夠被記錄下來(lái)，以便當(dāng)系統(tǒng)發(fā)生安全問(wèn)題時(shí)，可以根據(jù)審計(jì)記錄，分析追查事故責(zé)任人，使所有的用戶對(duì)自己行為的合規(guī)性負(fù)責(zé)。

第三級(jí)、安全標(biāo)記保護(hù)級(jí)除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外，還它要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督、審計(jì)。通過(guò)對(duì)訪問(wèn)者和訪問(wèn)對(duì)象指定不同安全標(biāo)記，監(jiān)督、限制訪問(wèn)者的權(quán)限實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)控制。

第四級(jí)、結(jié)構(gòu)化保護(hù)級(jí)將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問(wèn)者和訪問(wèn)對(duì)象，支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取，使之具有相當(dāng)?shù)目節(jié)B透能力。本級(jí)的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。

第五級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)，仲裁訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行專控，保護(hù)信息不能被非授權(quán)獲取。因此本級(jí)的安全保護(hù)機(jī)制不易被攻擊、被篡改，具有極強(qiáng)的抗?jié)B透的保護(hù)能力。

在等級(jí)保護(hù)的實(shí)際操作中，強(qiáng)調(diào)從五個(gè)部分進(jìn)行保護(hù)，即：

物理部分：包括周邊環(huán)境，門禁檢查，防火、防水、防潮、防鼠、

蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設(shè)備的標(biāo)識(shí)、使用、存放和管理等。

支撐系統(tǒng)：包括計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和通信系統(tǒng)。網(wǎng)絡(luò)部分：包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護(hù)、網(wǎng)絡(luò)設(shè)備的

管理和報(bào)警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理。

應(yīng)用系統(tǒng)：包括系統(tǒng)登錄、權(quán)限劃分與識(shí)別、數(shù)據(jù)備份與容災(zāi)處理，運(yùn)行管理和訪問(wèn)控制，密碼保護(hù)機(jī)制和信息存儲(chǔ)管理。

管理制度：包括管理的組織機(jī)構(gòu)和各級(jí)的職責(zé)、權(quán)限劃分和責(zé)任追究制度，人員的管理和培訓(xùn)、教育制度設(shè)備的管理和引進(jìn)、退出制度，環(huán)境管理和監(jiān)控，安防和巡查制度，應(yīng)急響應(yīng)制度和程序，規(guī)章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。

此處所指信息系統(tǒng)是指某銀行正式投產(chǎn)的各種業(yè)務(wù)生產(chǎn)系統(tǒng)以及程序開(kāi)發(fā)所使用的系統(tǒng)環(huán)境。

根據(jù)信息系統(tǒng)的使用范圍和重要性，將某銀行所有的信息系統(tǒng)分為三級(jí)。一級(jí)系統(tǒng)使用范圍最廣、影響力最深，包括：綜合業(yè)務(wù)系統(tǒng)、卡業(yè)務(wù)系統(tǒng)、支付系統(tǒng)、代收付、反洗錢系統(tǒng)、身份證聯(lián)網(wǎng)核查、支票影像系統(tǒng)、電電子商業(yè)匯票系統(tǒng)等；二級(jí)系統(tǒng)使用范圍和影像力次之，包括：信貸管理系統(tǒng)、個(gè)人征信、企業(yè)征信、1104系統(tǒng)、數(shù)據(jù)上報(bào)平臺(tái)、后臺(tái)管理系統(tǒng)、對(duì)賬系統(tǒng)等；三級(jí)系統(tǒng)影響力較低或只為本行內(nèi)部使用，包括OA辦公系統(tǒng)、運(yùn)維管理系統(tǒng)等。

本辦法適用人員為某銀行所有科技人員。

科技部門負(fù)責(zé)的每一個(gè)信息系統(tǒng)都要建立A、B雙崗負(fù)責(zé)制度，即每個(gè)系統(tǒng)都由A、B兩人進(jìn)行管理。A崗人員為主要負(fù)責(zé)人，B崗人員為次要負(fù)責(zé)人。

各生產(chǎn)系統(tǒng)只能由負(fù)責(zé)該系統(tǒng)的A崗科技人員進(jìn)行登陸及相關(guān)操作，A崗負(fù)責(zé)人不在崗時(shí)，可由B崗人員進(jìn)行操作。

各系統(tǒng)負(fù)責(zé)人員（A、B崗）均不得任意刪除、更改、增加所負(fù)責(zé)系統(tǒng)的生產(chǎn)程序、數(shù)據(jù)及其它相關(guān)文件。確實(shí)需要新增、更改和刪除程序或數(shù)據(jù)的，要在《生產(chǎn)系統(tǒng)變更登記簿》上進(jìn)行登記，部門負(fù)責(zé)人簽字確認(rèn)后方可進(jìn)行操作。

開(kāi)發(fā)環(huán)境的程序可根據(jù)實(shí)際情況進(jìn)行更改和增加，但不得刪除，修改前必須備份原程序。處于開(kāi)發(fā)階段，還未正式投產(chǎn)的系統(tǒng)在修改、刪除、新增時(shí)可以不進(jìn)行登記，由系統(tǒng)負(fù)責(zé)人自行做好程序的備份。各系統(tǒng)負(fù)責(zé)人員（A崗）要對(duì)所負(fù)責(zé)系統(tǒng)的程序、數(shù)據(jù)庫(kù)進(jìn)行定期備份，備份時(shí)要由B崗負(fù)責(zé)協(xié)助和監(jiān)督。備份完成后，要進(jìn)行登記，并分別由A、B崗簽字確認(rèn)。備份的程序要由備份人員安全、妥善保

存。

對(duì)于所有備份的生產(chǎn)系統(tǒng)的數(shù)據(jù)要安全、妥善保存，不得進(jìn)傳播、毀壞、刪改等危險(xiǎn)操作，也不能任意使用該數(shù)據(jù)。根據(jù)實(shí)際工作情況，確實(shí)需要使用生產(chǎn)系統(tǒng)數(shù)據(jù)的，要進(jìn)行登記，經(jīng)部門負(fù)責(zé)人簽字后方可使用。

不得任意使用PLSQL對(duì)各生產(chǎn)系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行登陸。根據(jù)業(yè)務(wù)需要，確實(shí)需要使用PLSQL進(jìn)行登陸的，要到各組指定安裝PLSQL的計(jì)算機(jī)上進(jìn)行，操作時(shí)必須由B崗人員進(jìn)行監(jiān)督。

在對(duì)生產(chǎn)系統(tǒng)進(jìn)行操作時(shí)，不得使用高風(fēng)險(xiǎn)的命令，如rm*、rm

-rf、shutdown、stop、mv等命令。

不得隨意修改各生產(chǎn)、開(kāi)發(fā)系統(tǒng)的用戶權(quán)限、用戶密碼、文件權(quán)限、文件屬性。

不得隨意修改各服務(wù)器的系統(tǒng)參數(shù)等信息。二〇**年六月三十日

某銀行信息科技信息系統(tǒng)密鑰管理制度第一節(jié)總則

為規(guī)范和加強(qiáng)我行信息系統(tǒng)密鑰管理，保證銀行信息系統(tǒng)數(shù)據(jù)安全，制定本密鑰管理制度。

術(shù)語(yǔ)定義

總行信息系統(tǒng)密鑰：指總行所轄范圍內(nèi)所有信息系統(tǒng)所使用的對(duì)稱密鑰。

第三方信息系統(tǒng)密鑰：指與行外機(jī)構(gòu)約定由我行制作的與行外機(jī)構(gòu)互聯(lián)信息系統(tǒng)行外機(jī)構(gòu)端系統(tǒng)所使用的對(duì)稱密鑰。

總行密鑰管理必須遵照本制度規(guī)定開(kāi)展密鑰管理工作，執(zhí)行以下原則：

集中制作：總行召集各相關(guān)密鑰管理人員定期在總行集中制作各類信息系統(tǒng)密鑰。

統(tǒng)一存放：各類密鑰必須統(tǒng)一存放在行內(nèi)密鑰專用保險(xiǎn)柜中。

分權(quán)管理：同一密鑰的多個(gè)成份應(yīng)由對(duì)應(yīng)數(shù)量的密鑰管理人員分別管理。

過(guò)程控制：建立完善的監(jiān)督控制機(jī)制，合法、合規(guī)執(zhí)行密鑰管理過(guò)程中各項(xiàng)操作。

及時(shí)更新：對(duì)存在風(fēng)險(xiǎn)的密鑰必須及時(shí)更新。第二節(jié)密鑰管理內(nèi)容和范圍

總行密鑰管理內(nèi)容和范圍

負(fù)責(zé)總行及第三方信息系統(tǒng)密鑰的制作和申請(qǐng)等。

管理、接收、銷毀總行信息系統(tǒng)各類密鑰明文碼單、密鑰備份文件、密鑰備份IC卡。

在專用硬件設(shè)備和系統(tǒng)上實(shí)地注入由總行信息系統(tǒng)密鑰。第三節(jié)總行密鑰管理部門的職責(zé)及崗位設(shè)置

對(duì)口業(yè)務(wù)管理部門和科技開(kāi)發(fā)部為總行的密鑰管理部門，設(shè)置專門崗位管理密鑰。

總行相關(guān)業(yè)務(wù)部門負(fù)責(zé)發(fā)起本行、第三方信息系統(tǒng)密鑰的制作申請(qǐng)、接收申請(qǐng)、使用申請(qǐng)、銷毀申請(qǐng)工作，負(fù)責(zé)組織協(xié)調(diào)科技開(kāi)發(fā)部密鑰管理崗?fù)瓿杀静块T主管信息系統(tǒng)密鑰的各項(xiàng)操作工作。

總行科技開(kāi)發(fā)部崗位設(shè)置及職責(zé)密鑰管理協(xié)調(diào)崗工作職責(zé)

負(fù)責(zé)受理和制作總行及第三方信息系統(tǒng)密鑰制作申請(qǐng)；

負(fù)責(zé)信息系統(tǒng)密鑰體系發(fā)展的技術(shù)跟蹤，為密鑰管理的適時(shí)調(diào)整提供建議和依據(jù)。

密鑰管理崗工作職責(zé)

審核總行業(yè)務(wù)部門提出的由總行科技開(kāi)發(fā)部具體負(fù)責(zé)管理密鑰分量的制作、接收、使用、銷毀申請(qǐng)；

負(fù)責(zé)制作、使用、銷毀總行信息系統(tǒng)密鑰第三段明文碼單，并負(fù)責(zé)制作、使用、銷毀上述密鑰備份件。

審計(jì)部負(fù)責(zé)依據(jù)本制度對(duì)全行密鑰管理相關(guān)工作進(jìn)行獨(dú)立監(jiān)督檢查，并根據(jù)審計(jì)結(jié)果提出意見(jiàn)和建議。

第五節(jié)人員管理

總行密鑰管理部門密鑰管理崗位發(fā)生人員更換，必須在該機(jī)