银行计算机网络安全管理规定模版.docx

银行计算机网络安全管理规定模版1. 引言随着信息化、网络化的不断发展，银行计算机网络的安全问题日益突出为确保银行计算机网络安全，保护客户资产安全，根据《中国人民银行关于完善商业银行网络安全管理有关事项的通知》等相关规定，本银行制定本规定本规定适用于本银行所有工作人员、在本银行业务办理的客户和本银行授权外包机构2. 网络系统安全管理2.1. 网络系统规划与架构1. 网络架构和配置应符合银行计算机网络安全要求和国家有关规定2. 网络设备接口应不漏洞及时升级,并应开启安全加固技术3. 网络拓扑、域名及IP地址的使用应符合国家有关规定,并在网络拓扑调整后及时更新相应的安全策略和防护措施4. 本银行内部网络与外部信任网络之间应当进行隔离，并采取必要措施保障本银行网络的安全 ### 2.2. 网络安全设备管理5. 网络安全设备（如防火墙、IDS/IPS等）应符合国家认证标准，各项参数应设定合理安全设备的日志要进行定期检查备份6. 安全设备和检查工具应定期检查，及时发现漏洞和风险隐患，保证安全设备和检测工具的正常运行7. 安全设备应有正常的维护合同或技术支持合同，并在合同期内得到及时有效的维护保障 ### 2.3. 网络接入控制管理8. 客户端应提供安全访问控制机制，网络管理员应按需求分别制定相应的访问控制策略。

9. 管理员对网络所有用户的访问权限进行分类管理，包括客户端、管理员、维护人员等，对用户的访问行为进行完整的记录10. 相应设备应设置相应的访问限制，防止客户利用非法方法绕过安全控制策略进行访问 ### 2.4. 网络运维管理11. 网络运维设备应有备份策略，并定期进行备份恢复测试，以确保数据的完整性和可用性12. 网络设备的配置变更应按照有关规范操作流程进行，并进行相应记录，定期检查网络设备的配置完整性13. 安全管理人员应定期对网络运行状态进行分析和检查，发现问题及时解决3. 安全应用管理3.1. 系统安全配置管理1. 系统应以安全等级保护要求为基础，制定相应安全策略2. 安全策略应包括用户管理、口令管理、访问控制、安全保护、日志审计等方面3. 对于敏感的数据、系统都应设置相应的权限和访问控制策略，避免机密泄露和不必要的风险 ### 3.2. 系统操作管理4. 系统管理员应按规定进行日常操作，严格执行系统管理安全流程5. 对于部门或系统管理员进行的操作应进行记录，并及时审计，发现问题及时处理6. 系统管理员应定期对系统进行完整备份，以确保数据的完整性和可用性 ### 3.3. 应用访问控制管理7. 对于应用进行适应性管理，包括访问控制、防攻击、数据备份、数据恢复等方面，确保应用的安全和可用性。

8. 应用应定期进行密码策略更新，及时发现漏洞和风险隐患，保证应用的正常运行和数据安全9. 对于重要的应用系统应建立应急预案和应急响应机制，确保系统的稳定运行和安全4. 安全事件处理及监控4.1. 安全事件处理1. 对于系统安全事件应及时进行处理，包括系统攻击、病毒、黑客入侵等2. 发现安全事件后应立即采取相应的措施进行处理，在确定安全事件的性质和数量后及时向上级报告3. 对于安全事件的处理应进行改进和总结，通过定期演练和模拟强化员工安全意识，提高应对安全事件的能力 ### 4.2. 安全监控4. 对于网络安全相关的日志采集、分析和管理应建立相应的安全监控系统和应急处理系统5. 安全监控系统应每天进行日志检查，定期分析和处理网络安全事件，确保网络的安全稳定运行6. 对于报警和唤醒的安全事件应及时进行处理，做好应急预案5. 补充规定本规定在执行过程中，如果需要修改，应由本行网络安全管理部门负责推动，相关部门协助并上报管理层审核，修改后重新发布并执行6. 生效时间本规定于发布之日起生效，同时废止以前的安全规定银行各部门应确保掌握本规定的内容并贯彻执行3 / 3。