【法规名称】
【颁布部门】 中国银行
【发文字号】 中银科[2002]38号
【颁布时间】 2002-11-29
【实施时间】 2002-11-29
【效力属性】 有效
【法规编号】 79871 什么是编号?
【正 文】
第3页 中国银行关于发送《中国银行计算机信息安全策略纲要(试行)》的通知
|
[接上页] 安全计划和安全管理必须实施于信息系统基础设施建设的需求计划、部署实现、安装启用、终止结束等完整工程生命周期的各个阶段。 信息系统有关物理环境的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准,配备防火、防雷、防水、防静电、防鼠等机房安全设施,有效防止数据泄密,维持系统不间断的运行能力,确保信息系统运行的安全可靠。 应对突发事故,实体安全建立应急计划,配备应急电源,实施系统主机及重要设备的备份、冗余技术保护措施;对数据应做到异地备份或做到异地存放;应对灾难事故,实体安全建立灾难中心,实现物理实体的恢复机制。根据实际情况定期实施主备机的切换和应急方案的演练。 限制和规定计算中心、重要信息设备所在地的人员进出活动。 对重要安全设备产品的选择,必须符合国家有关技术规范或经过专业测评机构检测不低于本行业计算机安全管理技术规范中的最低安全要求,并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。 严格确定信息设备的合法使用人。建立详细的设备使用运行日志及故障维修记录,实施定期的设备维护、保养操作。 2.6应用系统安全 应用系统安全的目标是保证中国银行各业务应用系统开发过程以及最终产品的安全性,安全建设必须与应用系统建设同步进行。 应用系统安全决定了银行资金的安全,应用系统安全化建设是中国银行业务发展的重要组成部分。 质量管理和安全监控必须实施于应用系统从计划到运行全周期的各阶段(即需求计划阶段、系统设计阶段、技术实现阶段、安装测试以及投产运行阶段)。 应用系统的总体需求计划阶段,应全面评估系统的安全风险,分析系统的潜在威胁,根据银行信息资源的保护等级策略,确立系统的访问控制、身份认证、信息加密、审计跟踪、稽核检查等安全需求,并征求保卫部、监察部、稽核部意见,确立应用系统的安全策略。 在应用系统的总体架构设计的过程中,应实施安全需求设计,并确立安全服务机制、项目开发人员安全技术要求和操作规程。 应用系统的实现阶段,应根据安全需求设计实施安全技术,对应用系统技术实现过程进行质量管理,防止技术开发人员故意保留“后门”,保证系统最终产品的安全性质量。 在应用系统建设的各阶段,必须保证中国银行应用软件的完整性,即确保软件的变更是经过授权及合法性的验证;必须形成各阶段相应的系统功能设计及技术实施的规范性文档,以及重要的系统安全策略,安全规划、应急计划、风险分析、安全服务机制等安全性文档,并随着系统实现的进程应保持文档变更的同步及准确。 应用系统投产运行之前,必须充分进行局部功能、整体功能、压力测试,以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重要安全性测试,测试的结果应记录文档。 只有正式经过管理、操作、技术控制等安全鉴定获准的应用项目,可以投入生产运行。 2.7通信网络安全 网络安全的目标是有效防范网络体系的安全风险,为中国银行应用系统发展提供安全、可靠、稳定的网络管理和技术平台。 通信网络安全建设是中国银行业务发展的基础,通信网络安全管理和网络安全技术的配合是获得网络整体安全的基本保障。 通信网络架构的安全可靠性设计、网络建设的安全投入应依照国家或银行业制定的各项安全管理规定和安全产品技术标准,充分考虑银行应用的发展规划和安全保护等级。 对于依赖网络架构安全性的业务和应用系统,必须视其安全级别,实施相应的访问控制、身份认证、抗抵赖、加密、审计等信息安全服务机制,以提高业务和应用系统的安全防护能力。 在中国银行内部网络与外部网络的接入口、内部区域网的接入口、重要业务系统的外联接入口,必须视信息资源的保护等级,实施相应安全级别的隔离防火墙、认证、审计、动态检测等安全技术措施,防范银行信息资源被非法访问、篡改和破坏。任何员工不得在未经银行安全管理认可的情况下,擅自从银行内部网络的计算机直接访问银行外部网络。 2.8运行安全 运行安全的目标是保证中国银行的信息系统日常运行的安全稳定,对信息系统的运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等方面实施安全性管理。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!