【法规名称】
【颁布部门】 中国银行
【发文字号】 中银科[2002]38号
【颁布时间】 2002-11-29
【实施时间】 2002-11-29
【效力属性】 有效
【法规编号】 79871 什么是编号?
【正 文】
第2页 中国银行关于发送《中国银行计算机信息安全策略纲要(试行)》的通知
|
[接上页] |全||术||全||构| |专||保||检|--- |家||障||查| |小||机||机| |组||构||构| --------- 安全管理组织架构 计算机安全工作委员会:总行主管科技的行领导及计算机信息安全相关部门(信科部、保卫部、监察室、人力资源部、稽核部、财会部、零售业务部、银行卡中心等部门)的一名总经理室成员组成,责任是贯彻落实国家和人民银行关于计算机安全工作的方针和政策;研究决定我行计算机安全的重大事项;制定我行计算机安全措施的实施策略和原则;组织开展中国银行计算机安全普及教育;研究我行计算机安全工作的重大事项;组织领导计算机安全相关部门工作。 计算机安全专家小组:由行内外金融计算机安全专家组成,在我行计算机安全工作委员会办公室的领导下,从理论上、技术上指导我行计算机安全技术体系建立,对我行目前安全体系的风险进行评估和鉴定。 计算机技术保障机构:由中国银行总行信息科技部、全辖计算机运行中心、软件开发中心人员组成,负责制定我行全辖信息安全建设规划、组织实施有效的技术措施、协调落实全辖信息安全工作的开展,实现信息系统的建设和维护支持工作。 计算机安全检查机构:由信科部、保卫部、稽核部、监察部等部门组成,在计算机安全工作委员会的领导下,监督检查我行信息系统建设过程中安全制度的执行情况,协调解决计算机安全问题。 计算机综合应用机构:由中国银行业务部门及管理部门组成,在计算机安全工作委员会的指引下,安全合规地使用信息系统,为客户提供服务。 2.3人员安全管理 人员安全管理的目标是通过设立银行安全管理制度及岗位责任制,为保证最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险。 人员是银行信息系统安全的决定性因素。与信息安全相关的岗位职责分配的基本原则为: 职责分离原则:在人员岗位建立时,相关的信息系统访问的安全责任应该确定,不相容的职责应分离。接触信息系统的人员应承担与其工作性质相应的安全责任,各类人员不得从事超越自己职责以外的任何工作。 有限授权原则:任何人员对信息资源的访问权利应受到限制,应对超越职责的访问进行控制。 相互制约原则:安全环节的管理应采取相互制约原则,做到职责分明,各司其职,相互配合和制约。 任期审计原则:应记录并监控员工在任职期内的信息资源访问活动。 信息系统关键岗位员工(是指计算机系统运行过程中直接从事生产系统或周围设施管理的人员)必须是我行正式签订劳动合同的员工,上岗前要对其进行培训,并使其充分了解信息系统安全的至关重要性。对各类计算机系统的相关人员应实施有针对性、有计划的计算机安全教育和培训。员工通过培训应明确与本职工作有关的计算机安全知识和责任。 定期考核员工的工作表现,调整与其岗位不符的安全职责权限或调离违反岗位安全规则的员工。 员工离职前,应交还手中持有的与信息系统相关的文档、物品,应交接其负责的工作。一经离职,银行人力资源部门要立即通知信息资源控制部门,相应的信息系统合法身份及权限应立即注销,视调离保密岗位人员的重要程度,及时调整系统的安全保密措施。 所有员工必须定期签订信息安全及保密承诺。相关安全教育由人力资源部门统一安排。 2.4标准化和规范化管理 标准化和规范化安全的目标是通过建立中国银行内部业务处理、操作流程、信息系统管理和技术等一系列标准化和规范化的过程,奠定中国银行信息系统安全的基础。 标准化、规范化是信息系统安全的基础。 中国银行综合业务管理部门应该根据各业务对银行资产保护的需要,制订应用系统的安全等级,建立我行各项业务的标准、规范化处理流程和业务数据标准,以及确定各级员工对信息资源访问的权限标准。 中国银行信息技术管理部门应该规范信息系统的工程建设,依照国家或银行业的安全管理政策和标准,逐步建立中国银行信息系统安全的各项管理规范和相关技术标准,规范基础设施建设、系统和网络平台建立、应用系统开发、运行管理等重要环节,创建中国银行信息系统安全的基础。 2.5设备与物理环境安全 设备与物理环境安全的目标是保护中国银行计算机设备、设施(含网络)以及信息系统的物理环境免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!