首页 > 知识库 > 正文

第四章信息安全是什么 关于第四章信息安全的详细介绍

展开全部 第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:(一)安全制度管理。(二)信息安全组织管理。(三)资产管理。(四)人员安全管理。(五)物理与环境安全管理。(六)通信与运营管理。(七)访问控制管理。(八)系统开发与维护管理。(九)信息安全事故管理。(十)业务连续性管理。(十一)合规性管理。第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。(一)域内应用程序和用户组的重要程度。(二)各种通讯渠道进入域的访问点。(三)域内配置的网络设备和应用程序使用的网络协议和端口。(四)性能要求或标准。(五)域的性质,如生产域或测试域、内部域或外部域。(六)不同域之间的连通性。(七)域的可信程度。第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。第二十六条 商业银行应通过以下措施,确保所有信息系统的安全:(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。(二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。(三)加强职责划分,对关键或敏感岗位进行双重控制。(四)在关键的接合点进行输入验证或输出核对。(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。(七)以书面或电子格式保存审计痕迹。(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:(一)使用符合国家要求的加密技术和加密设备。(二)管理、使用密码设备的员工经过专业培训和严格审查。(三)加密强度满足信息机密性的要求。(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。www.shufadashi.com*??*?

信息安全等级保护管理办法的第四章 涉密信息系统的分级保护管理

第4章信息安全子系统 4.1安全操作系统 4.1.1安全操作系统的地位和作用 4.1.2安全操作系统的发展 4.1.3安全操作系统的基本内容 4.2安全数据库管理系统 4.2.1安全数据库管理系统的地位和作用 4.2.2安全数据

展开全部 第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家...

对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理

商业银行信息科技风险管理指引的第四章 信息安全

展开全部《中华人民共和国网络安全法》全文有七章: 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测

展开全部 第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。...

第4章信息系统安全保护相关法律法规 4.1中华人民共和国计算机信息系统安全保护条例 4.1.1《条例》的宗旨和法律地位 4.1.2《条例》的适用范围 4.1.3《条例》的主要内容 4.2计算机信息网络国际联网安全保护

计算机信息系统安全保护条例的第四章

第2章 信息安全体系结构规划与设计15 2.1 网络与信息系统总体结构初步分析15 2.2 信息安全需求分析18 2.2.1 物理安全18 2.2.2 系统安全19 2.2.3 网络安全23 2.2.4 数据安全30 2.2.5 应用安全31 2.2.6 安全

(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;(二)违反计算机信息系统国际联网备案制度的;(三)不按照规定时间报告计算机信息系统中发生的案件的;(四)接到公安机关要求...

请问你找到这本书了吗? 第1章 网络与信息安全基础

展开全部 去电子科技大学的论坛里面问同学们去买二手的吧

信息安全体系的目录

第4章信息安全子系统 4.1安全操作系统 4.1.1安全操作系统的地位和作用 4.1.2安全操作系统的发展 4.1.3安全操作系统的基本内容 4.2安全数据库管理系统 4.2.1安全数据库管理系统的地位和作用 4.2.2安全数据...

信息安全等级保护管理办法的第三章 等级保护的实施与管理

对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理...

中华人民共和国网络安全法 全文多少章

展开全部《中华人民共和国网络安全法》全文有七章: 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测...

信息安全标准与法律法规的目录

第4章信息系统安全保护相关法律法规 4.1中华人民共和国计算机信息系统安全保护条例 4.1.1《条例》的宗旨和法律地位 4.1.2《条例》的适用范围 4.1.3《条例》的主要内容 4.2计算机信息网络国际联网安全保护...

信息安全体系结构的目录

第2章 信息安全体系结构规划与设计15 2.1 网络与信息系统总体结构初步分析15 2.2 信息安全需求分析18 2.2.1 物理安全18 2.2.2 系统安全19 2.2.3 网络安全23 2.2.4 数据安全30 2.2.5 应用安全31 2.2.6 安全...

信息安全包括哪些方面的内容

4、控制访问权限也是对计算机网络信息安全问题的重要防护手段之一,该手段以身份认证为基础,在非法访客企图进入系统盗取数据时,以访问权限将其阻止在外。访问控制技能保障用户正常获取网络上的信息资源...

展开全部 第二十四条涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息等。第二十五条涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。第二十七条涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。第二十九条涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。第三十条涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:(一)系统设计、实施方案及审查论证意见;(二)系统承建单位资质证明材料;(三)系统建设和工程监理情况报告;(四)系统安全保密检测评估报告;(五)系统安全保密组织机构和管理制度情况;(六)其他有关材料。第三十一条涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。第三十二条涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。第三十三条国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:(一)指导、监督和检查分级保护工作的开展;(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;(四)依法对涉密信息系统集成资质单位进行监督管理;(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。扩展资料:《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。参考资料:百度百科-信息安全等级保护管理办法*www.shufadashi.com*?*?

声明:本网内容旨在传播知识仅供参考,不代表本网赞同其观点,文字及图片版权归原网站所有。

你可能还关注
热门推荐
今日推荐 更多