【法规名称】
【颁布部门】 中国银行
【发文字号】 中银科[2002]38号
【颁布时间】 2002-11-29
【实施时间】 2002-11-29
【效力属性】 有效
【法规编号】 79871 什么是编号?
【正 文】
第4页 中国银行关于发送《中国银行计算机信息安全策略纲要(试行)》的通知
|
[接上页] 对信息系统运行阶段的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,即防止信息被非法复制、非授权的修改及破坏,确保信息系统的任何查询和变更操作是经过授权及合法性验证。 软件是计算机系统运行的核心。软件的安全保护及正确运行至关重要,应严格控制计算机系统中软件的使用。软件的随意下载及运行,将使银行计算机网络系统容易产生病毒侵入,干扰系统正常运行及系统安全防护的失效。新版软件、版本升级过程要实施投产前必要的软件检验和测试。中国银行应确保银行所用软件的版本合法。 银行技术支持人员、软硬件供应商、第三方技术提供商都有可能从事技术维护服务。银行必须实施严格的访问控制机制和制度,确保只有合法的人员才能进入系统从事维护活动。 银行应建立多层次、立体式病毒防护体系,维持病毒采集、汇总、上报、升级的渠道顺畅,提高病毒检杀的响应能力,从网络、服务器、单机的各个环节有效防范病毒侵入。 信息系统的程序和数据备份至关重要。备份的周期取决于数据的变动频度及变动的重要程度,重要的系统和数据必须做到异地备份,确定备份的工作流程。要经常检测备份以保证其可用性。备份应安全存放。 对各种信息媒介应实施物理环境保护及其他各种控制措施,确保磁带、磁碟、光盘、打印数据等重要媒介不失密、不被破坏、不被篡改和不失效,维护其完整性和可用性,并授权专人负责介质的登记、存放、检验等维护工作。 计算机技术维护和操作都应有相应的文档,以确保支持的连续性和一致性。正确的操作描述文档有助于防止对安全的忽视、减少操作的失误。 当数据信息、硬件设备、软件程序结束运行使用时,视需求分别进行存档、废弃和销毁处理。存档的信息应充分考虑将来查找和检索的需要;电子信息的存档要考虑到数据生成技术的未来可用性;为满足加密信息的查询需要,应对加密密钥采取有效的存放保管措施。重要信息的销毁应在相关人员的监督下完成。 2.9应急计划 银行信息系统应急计划的目标是分析银行信息系统可能出现的紧急事件或者灾难事故,技术支持和业务部门应建立一整套应急措施,以保障银行关键核心业务的连续服务。 一旦发生重大的或灾难性事故时,计算机安全工作机构应迅速进行灾情分析,并上报计算机安全工作委员会,各信息中心或省行计算机安全工作领导小组即成为应急领导小组,负责指挥执行紧急应变计划,排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作,防止事态的扩大。 应急计划要充分考虑到信息系统可能面临的由于系统设备、软件、网络通讯而造成的紧急故障,地震、火灾等自然灾难事故,以及由计算机病毒、恶性程序代码和来自行内、外部人员非法侵入产生的安全事件。银行应建立对安全事件的快速反应机制,并使之成为应急计划的一部分。 根据银行业务服务的要求以及对事故的恢复能力,银行应确定应急措施所维持的核心业务及优先级别。 应急措施的建立将维持关键核心业务服务,银行应对构成核心业务的全部资源进行分析,明确相关的人员、设备处理能力、基础服务支持、数据和应用系统、文档及文件等资源。 银行应急方案的设立应充分考虑可能发生的事故,同时应本着实用、灵活、低成本原则。根据各核心业务的资源,确定应急方案的人员指挥架构及工作流程。应急计划要明确描述紧急事故发生、核心业务的应急处理、正常业务的恢复等各环节的流程及操作步骤。 为确保应急计划的正确启用,应确保编写正确的应急手册及对人员的培训。 为保证应急计划的有效,银行应针对不同业务系统要求,定期进行应急方案的测试演练,并适应当前系统资源的变化,及时调整、完善应急计划。 针对恶性安全事件,银行信息系统应具备相应的技术措施,提供对安全事件的快速反应机制,并及时中断安全事件对其他系统的危害,迅速搞清本系统存在的漏洞,有效防范未来事故的再次出现。 2.10信息保密安全 信息保密安全的目标是建立信息安全保密管理制度,实施有效安全技术,保护中国银行的各种密级信息,防止外泄和失密。 银行必须依照国家有关政策法规,不得将涉及国家秘密的信息系统,直接或间接地联入国际互联网或其他公共信息网络,必须采取有效隔离。员工必须遵守国家有关保密规定,不得利用电子函件传递、转发或抄送国家秘密信息和我行的商业信息。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!