金融行业信息(内网)安全管理规定(参考)

金融行业信息(内网)安全管理规定ViaControl信息安全管理规定(参考)第一章总则第一条为了强化XX银行的信息安全管理，防范计算机信息技术风险，保障我行的电子文档安全，保障员工规范利用公司网络资源，保障网络及终端的软硬件资产安全，提高网络系统维护的响应能力和速度，保障公司计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，结合本公司的实际，特制定本规定。第二条本规定所称信息安全管理，是指在XX银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。第三条XX银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。第四条XX银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。第五条本规定适用于XX银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。所有使用XX银行网络或信息资源的其他外部机构和个人均应遵守本规定。第六条信息安全管理制度辅助实施工具采用上海互普信息技术有限公司生产的ViaControl威盾网络保安系统。第七条任何单位和个人不得以任何理由逃避该安全制度的管理，不得利用联网计算机从事危害本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CERNET或其它互联网在内的）服务器、工作站。不得从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息网络系统的全面安全。第八条ViaControl控制台权限划分：功能权限大类功能权限子类用户权限设置分类(打√为建议分配的权限)管理员参数设置控制台远程控制审计查看文件添加计算机组√√删除计算机组√√修改计算机名称√√移动计算机组√√添加用户组√√删除用户组√√修改用户组名称√√移动用户组√√删除计算机√√修改计算机名称√√移动计算机√√删除用户√√修改用户名称√√移动用户√√导出数据√√√打印√√√控制发送通知消息√√√锁定/解锁√√√注销用户√√关机/重新启动√√卸载客户端√√√统计应用程序统计√√网页浏览统计√√网络流量统计√√日志基本事件日志√√应用程序日志√√网页浏览日志√√文档操作日志√√打印日志√√资产变更日志√√策略日志√√系统事件√√备份文档√√共享文档√√移动存储日志√√策略基本策略√√应用程序策略√√网页浏览策略√√设备控制策略√√打印控制策略√√屏幕记录策略√√日志记录策略√√远程控制策略√√流量控制策略√√网络控制策略√√邮件控制策略√√即时通讯文件传送策略√√文件上传下载策略√√文档控制策略√√系统报警策略√√移动存储授权策略√√监控实时屏幕快照√√√即时通讯√√邮件√√查看屏幕历史√√√导出屏幕历史√√√维护查看远程信息√√√√远程操作√√√远程控制√√√远程文件传送√√√资产管理资产查询√√√定义资产类别属性√√修改资产属性√√补丁管理查询补丁情况√√设置补丁管理参数√√执行补丁操作√查询补丁情况√√漏洞管理查询漏洞检查情况√√设置漏洞检查参数√√软件分发查询软件分发包信息√√设置软件分发包√√查询分发任务及安装情况信息√√设置分发任务√√执行分发任务√网络接入检测查看接入检测√√设置接入检测√√设置策略√√所有分类管理应用程序类别√√网站类别√√时间类别√√网络地址类别√√网络端口类别√√移动存储库√√删除删除日志数据√删除即时通讯信息√删除邮件√备份数据备份日志√√备份数据√√参数设置设置客户端的搜索范围√√设置客户端的排除反问√√生成客户端确认码√√√管理加密盘√√格式化成加密盘√√第九条项目参与人员：（1）安全委员会（2）总经理层（3）网管中心（4）相关部门经理第二章组织保障第十条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。第十一条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。第十二条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。第三章人员管理第十三条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。第一节信息安全管理人员第十四条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和XX银行有关规定受到过处罚或处分的人员，不得从事此项工作。第十五条各单位信息安全管理人员应经过总行或分行、营业管理部、省会（首府）城市中心支行组织的专业培训与审核，培训与审核合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。第十六条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调部门计算机安全员工作，监督检查信息安全保障工作。（二）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设，维护、管理信息安全专用设施。（三）检测网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第十七条信息安全管理人员在履行职责时，确因工作需要查询相关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申请，获得批准后方可查询。第十八条信息安全管理人员实行备案管理制度。信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。信息安全管理人员调离原岗位时应办理交接手续，并履行其调离后的保密义务。第二节部门计算机安全员第十九条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员，并报本单位科技部门备案。如有变更应做好交接工作，并及时通报科技部门。第二十条部门计算机安全员配合信息安全管理人员工作，并参加各项信息安全技能培训。第二十一条部门计算机安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。（二）负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。（三）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。第三节技术支持人员第二十二条本规定所称技术支持人员，是指参与XX银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。第二十三条XX银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。（二）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。（三）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。第二十四条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。提供技术服务期间，严格遵守XX银行相关安全规定与操作规程，关键操作应经授权，并有XX银行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。第四节业务系统操作人员第二十五条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。第二十六条业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。定期修改操作密码并妥善保管，按需、适时进行必要的数据备份。（二）发现业务系统出现异常及时报告科技部门。（三）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。第二十七条业务系统操作应按照“权限分散、不得交叉任职”原则，严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。第五节一般计算机用户第二十八条本规定所称一般计算机用户是指使用计算机设备的所有人员。第二十九条一般计算机用户应承担如下安全义务：（一）及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部门计算机安全员的指导与管理。（二）不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。（三）未经科技部门检测和授权，不得将接入XX银行内部网络的所用计算机转接入国际互联网；不得将便携式计算机接入XX银行内部网络；不得随意将个人计算机带入机房或私自拷贝任何信息。第四章网络安全管理第一节网络规划、建设中的安全管理第三十条总行科技司负责网络和网络安全的统一规划、建设部署、策略配置和网络资源（网络设备、通讯线路、IP地址和域名等）分配。第三十一条各单位科技部门按照总行科技司的统一规划和总体部署，组织实施网络建设、改造工程。各单位局域网的建设与改造方案应报上一级科技部门审核、备案，投产前应通过本单位组织的安全测试。第三十二条各单位的网络建设和改造应符合如下基本安全要求：(一)符合XX银行网络安全管理要求，保障网络传输与应用安全。(二)具备必要的网络监测、跟踪和审计等管理功能。(三)针对不同的网络安全域，采取必要的安全隔离措施。第二节网络运行安全管理第三十三条各单位科技部门应建立健全网络安全运行制度，配备专（兼）职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。第三十四条网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能，紧急情况下，经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。第三十五条各单位科技部门应严格网络接入管理。任何设备接入网络前，接入方案、设备的安全性等应经过审核与必要的检测，审核（检测）通过后方可接入并分配相应的网络资源。第三十六条各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在节假日进行，同时做好配置参数的备份和应急恢复准备。第三十七条各单位应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技部门提出书面申请，并采取相应的安全防护措施。第三十八条信息安全管理人员经本部门主管领导批准，有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经总行科技司授权，任何外部单位与人员不得检测、扫描XX银行内部网络。第三十九条各单位以不影响业务的正常网络传输为原则，合理控制多媒体网络应用规模和范围。未经总行科技司批准，不得在XX银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。第三节网间互联安全管理第四十条本规定所称网间互联是指为满足XX银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。第四十一条网间互联由总行科技司统一规划，按照相关标准组织实施。未经总行科技司核准，任何单位不得自行与外部机构实施网间互联。第四节接入国际互联网管理第四十二条XX银行内部网络与国际互联网实行安全隔离。所有接入XX银行内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第四十三条计算机接入国际互联网应通过本单位保密工作委员会办公室批准，并确保安装有XX银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网，并做好备案。曾接入X