中国建设银行员工应知信息安全制度汇.doc

中国建设银行员工应知信息安全管理制度汇编及导读信息技术管理部2010-5-31目 录1 中国建设银行计算机系统用户口令（密码）安全管理规定（试行）（建总发2006115号）41.1出台背景41.2主要内容41.3文件原文52中国建设银行互联网使用安全管理规定（试行）（建总发2006209号）52.1出台背景52.2主要内容62.3文件原文63中国建设银行计算机病毒防治管理办法（试行）（建总函 (2001) 746号）73.1出台背景73.2主要内容73.3文件原文74 中国建设银行数据信息使用安全管理办法（试行） （建总发2006162号）74.1出台背景74.2主要内容84.3文件原文85中国建设银行信息系统用户安全管理规定（试行）(建总发2009137号)95.1出台背景95.2主要内容95.3文件原文96中国建设银行移动办公安全管理规范（建总发2005239号）96.1出台背景96.2主要内容106.3文件原文107中国建设银行信息系统安全事件报告制度（建总发2004158号）107.1出台背景107.2主要内容117.3文件原文118中国建设银行生产数据使用安全管理规定（建总发201065号）118.1出台背景118.2主要内容128.3文件原文129中国建设银行工作人员违规失职行为处理办法（建总发2008116号）129.1出台背景129.2主要内容139.3文件原文1310中国建设银行桌面办公系统使用安全管理规定（试行）（建总发200562号）1310.1出台背景1310.2主要内容1310.3文件原文141 中国建设银行计算机系统用户口令（密码）安全管理规定（试行）（建总发2006115号）1.1 出台背景用户口令（密码）是最常用的一种认证方式，但为了记忆的方便，很多人采用弱口令，也有的人将口令记录在办公桌面或贴在计算机机箱、终端屏幕上，更有人将计算机系统用户口令借给他人，这些行为都给系统带来相当大的安全隐患。如果计算机用户口令泄露，则可能导致系统被恶意入侵者完全控制、远程执行命令、导致配置文件被非法篡改，甚至导致整个计算机网络无法使用。因此，为了加强我行桌面计算机系统、应用系统、前端计算机系统、主机系统、网络设备、安全设备等用户的口令设置，防范、化解通过盗用、猜测计算机系统用户口令等方式非法访问我行计算机系统的风险，保障我行计算机系统安全，总行制定发布了该规定。1.2 主要内容该规定首先提出了用户口令的基本要求，然后又分别对主机系统、网络和安全设备、前端计算机系统、应用系统、桌面计算机系统提出了口令设置、保管、更换和管理的要求。整个文档结构体现出了“横向内容并列，纵向依次递进”的特点。总则主要介绍了用户口令的内涵及用户口令的管理原则。岗位及职责阐述了口令安全管理人员、计算机用户口令持有人、系统管理（维护）人员、网络和安全设备管理（维护）人员、应用系统管理（维护）人员、应用系统开发项目经理的口令管理的相关职责。第三章口令基本安全要求从口令长度、口令字符复杂度、口令历史、口令最大尝试次数，口令最长有效期提出了对所有设备与程序都有效通用的安全要求。第四章针对主机系统、网络和安全设备用户口令的特殊安全要求提出口令设置要遵循的原则，并对口令的保管，更换及用户的管理提出具体的要求。第五章前端计算机系统用户口令安全要求提出了前端计算机系统开机口令的设置及更换的要求，并对前端计算机系统超级用户口令和安装前端应用系统时所创建的用户的口令的设置、保存、更换提出了具体要求。第六章应用系统用户口令安全要求提出应用系统用户的设置、更换的要求。第七章桌面计算机系统用户口令安全要求提出桌面计算机的口令设置、更换的要求。检查和监督则对各级信息技术部门提出口令检查的要求和方法，并要求对检查出的问题进行整改。对于严重违反本安全管理规定的，依照中国建设银行工作人员违规行为处理办法给予警告至开除处分。这对规定的执行起到促进和推动作用。1.3 文件原文2 中国建设银行互联网使用安全管理规定（试行）（建总发2006209号）2.1 出台背景对于一般用户而言，互联网为学习、工作、交流、获取和传递信息提供了便利；对于商业银行等机构而言，则可以通过互联网等公众网络基础设施，向其客户提供各种金融业务服务，如网上银行提高了商业银行等金融机构的社会和经济效益。同时，互联网也是一把双刃剑，一是网络信息的健康性有待甄别，二是大量的网络攻击可能对银行内网带来安全隐患。为加强全行互联网使用安全管理，提高互联网使用安全管理规范化水平，明确互联网使用用户的义务和责任，有效防范不正当使用互联网带来的风险，完善信息安全管理体系和网络安全技术规范，总行制定了该规定。2.2 主要内容该规定从机构和岗位职责着手，提出了互联网的接入、应用服务提供、内部信息系统访问、员工访问互联网的安全要求，涉及了互联网应用的各个方面，充分体现了“谁使用谁负责”的管理原则。第二章“机构和岗位职责”，明确了行长办公室、人力资源部、总行互联网应用业务部门、总行信息技术部、各一级分行信息技术部、互联网使用人员所在部门、互联网使用人员在互联网使用方面的职责。通过多方配合，极大提高了互联网使用的规范性。第三章“互联网接入总体安全控制要求”，规定了各级分行开通互联网接入的安全管理要求。明确接入互联网必须经总行审批同意，必须通过完善的访问控制策略、加强监控、定期检查日志记录、加固接入平台等措施保护互联网接入的安全可靠。“总体安全控制要求”从源头上降低了互联网带来的风险。第四章“使用互联网提供应用服务安全要求”，规定了网上银行系统、网站、邮件服务器的安全要求，保证应用系统提供服务的真实性、可靠性、稳定性和持续性。第五章“通过互联网访问内部信息系统安全要求”，规定了各级行通过互联网访问我行内部信息系统服务的流程及方法。第六章“员工访问互联网安全要求”，明确互联网使用用户的义务和责任，有效防范由于不正当使用而带来的风险。第七章“检查和监督”，要求各级行定期对互联网接入和用户使用情况进行检查，并对检查出的问题进行整改。对于严重违反本安全管理规定的，依照中国建设银行工作人员违规行为处理办法给予警告至开除处分，构成犯罪的，由有关部门依法追究其法律责任。这对于该规定的执行起到促进和推动作用。2.3 文件原文3 中国建设银行计算机病毒防治管理办法（试行）（建总函 (2001) 746号）3.1 出台背景计算机病毒是信息系统最大的威胁源之一，国家为此出台了计算机病毒防治管理办法，公安部、中国人民银行在金融机构计算机信息系统安全保护工作暂行规定中也对计算机病毒防治提出要求。针对我行计算机数量日益增加、网络连通范围不断扩大的现状，为进一步提高全行计算机病毒防治水平，总行制定了该管理办法。3.2 主要内容该办法解释了计算机病毒的内涵及病毒防治的管理原则，规定了总行信息技术部、各级行信息技术部门、各级行计算机应用部门、各计算机应用部门和员工在计算机病毒防治工作中的职责，明确提出对于违反该办法的单位和个人，将依照有关规定进行处理。3.3 文件原文4 中国建设银行数据信息使用安全管理办法（试行） （建总发2006162号）4.1 出台背景随着金融业务电子化的不断深入，业务对信息系统的依赖程度越来越高。伴随着银行日常经营活动的不断开展，信息系统中产生并保留了大量的信息和数据。这些信息和数据信息不再是枯燥的数字和字符，而是重要的企业资产，一旦因安全防护不利，重要信息被篡改或泄露都将对企业的经营发展带来严重的不利影响。例如2005年6月，美国万事达卡公司约4000万个信用卡账户的资料被恶意黑客窃取，对万事达公司造成了严重的经济损失和负面影响。2005年，我行在香港联交所上市。根据监管要求，必须严格控制股价敏感信息，依法合规地向投资者、香港联交所及社会公众进行信息披露。在香港，已有公司由于数据信息管理不严格，造成敏感信息泄露，导致股价波动大，受到了监管机构的查处。为了在防止商业机密数据的泄露的同时，保证相关数据信息在经营管理决策中能得到有效利用，同时又符合监管机构的要求，总行制定了该办法。4.2 主要内容该办法对数据信息进行了定义和分类；规定了数据所有者、高级用户、数据相关用户、非相关用户的数据使用权限；对于总行信息中心管理的信息系统及报表，包括管理信息平台、信贷管理信息系统信息、个人征信信息、企业征信和银行信贷登记咨询系统信息、内部网站、通过管理信息平台按月向总行各部门、分行发布的共享报表、信息参考、银监会客户风险信息、依托人行信贷登记咨询系统查询企业集团信贷信息，规定了查询、打印、保存等使用权限；规定了数据信息提供程序。该办法重点规定了数据使用过程中安全管理办法，保证数据在使用过程中的安全。4.3 文件原文5 中国建设银行信息系统用户安全管理规定（试行）(建总发2009137号)5.1 出台背景随着我行信息系统的增加，系统中的各类用户也随之增多，导致用户权限边界不清晰，存在系统容易泄密或内部非法使用的风险，为提高我行用户安全管理规范化水平，特制定该规定。5.2 主要内容该规定提出了用户管理的范畴，包括用户身份管理、认证凭证管理和用户使用管理，明确了信息技术部门、应用系统的业务主管部门在用户安全管理中的岗位职责。用户身份管理包括用户身份信息的增加、变更、注销各个环节的安全管理。认证凭证管理包括凭证制作、凭证入库、凭证分配、凭证状态维护、凭证回收以及实物凭证的管理流程。用户使用管理规定了用户在使用过程中的安全要求。5.3 文件原文6 中国建设银行移动办公安全管理规范（建总发2005239号）6.1 出台背景移动办公系统开通了从互联网访问我行企业内部网的VPN加密隧道，使我行员工能够通过互联网访问我行企业内部邮件、OA系统和信息网站，极大地方便了我行员工的公务出行。但是，作为一种互联网接入系统，移动办公在提高工作效率的同时，也带来了较高的安全风险，为此总行制定了该规范。6.2 主要内容该规范首先规定了我行移动办公系统的访问范围及使用对象，明确移动办公应遵循“统一管理、集中认证、分布接入、分级维护”的安全管理策略；明确了办公自动化系统主管部、保密主管部门、各级技术部门、人力资源部门、业务部门及移动办公用户的职责；规定了移动办公申请、审批及开通流程，并详细移动办公重新开通流程，移动办公设备丢失控管流程，移动办公注销流程的管理流程。通过符合移动办公安全策略的要求、VPN网关的要求、移动办公认证的要求，保证移动办公系统平台的安全。从VPN客户端、移动办公桌面、用户使用三个方面提出了安全要求，保证移动客户端的安全。该规范体现了“横向内容并列，纵向层次划分”的特点。6.3 文件原文7 中国建设银行信息系统安全事件报告制度（建总发2004158号）7.1 出台背景中华人民共和国计算机信息系统安全保护条例规定“对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告”，人民银行也颁布了银行计算机安全事件报告制度。为加强全行信息系统安全事件报告的管理，提高信息系统安全事件报告的制度化、规范化水平，及时掌握全行网络和信息系统安全状况，为协调组织相关力量进行信息系统安全事件的应急响应处理奠定基础，降低信息安全事件带来的损失和影响，保障全行网络和信息系统安全稳定运行，总行制定了该制度。7.2 主要内容该制度规定了信息安全事件的定义及类型、安全事件的报告原则、总行信息技术管理部及各级行信息技术部门的安全事件报告职责、信息安全事件的报告时间及方式的要求、报告内容和责任等。7.3 文件原文8 中国建设银行生产数据使用安全管理规定（建总发201065号）8.1 出台背景2007年，为规范信息技术管理条线内在非生产环境中使用生产数据，防范泄漏生产数据的风险隐患，保障建行生产数据的安全，总行印发了中国建设银行生产数据使用安全管理规定，明确了信息技术管理条线内部生产数据的受理及处置流程。2009年2月，全国人大常委会审议通过的刑法修正案(七)草案明确了金融机构在客户信息管理方面的法律责任，即“对于非法使用客户信息的个人及其主管人员将处罚金、拘役直至三年以下有期徒刑等处罚”。与此同时，为满足客户营销以及国家有关部门监管等要求，各业务条线从生产环境中下载使用生产数据的需求越来越多。为此，总行2009年下发了关于规范受理生产数据使用申请流程的通知，要求全行高度重视生产数据特别是包含客户信息等敏感数据的安全管理，严格生产数据使用前、使用中和使用后的审批、使用和销毁等程序，确保生产数据的安全。2010年，总行将上述两个文件进行了修订合并，进一步明确生产数据中敏感数据的范围，扩充了适用范围，规范了总分行各级机构之间生产数据使用申请的管理流程，统一了全行生产数据使用的安全管理要求，形成了中国建设银行生产数据使用安全管理规定。8.2 主要内容该规定对生产数据进行了分类，定义了严禁脱离生产环境使用的生产数据类型，对于可脱离生产环境使用的数据又分别明确了何为敏感信息、何为非敏感信息；将生产数据使用申请、审批、提取过程中涉及的部门划分为使用部门、业务主管部门和管理部门，其中生产数据管理部门内设需求审核岗、合规审核岗和数据操作岗；规范了生产数据生产数据申请审批、提取和安全预处理、清理销毁以及监督检查等流程及员工应履行的有关手续。8.3 文件原文9 中国建设银行工作人员违规失职行为处理办法（建总发2008116号）9.1 出台背景为强化和完善制度约束，强化内部控制、防范金融风险，提高遵章守纪的主动性和自觉性，总行曾多次制定或修订关于员工违规失职行为的处理办法。2002年，废止原中国建设银行关于对工作人员违反金融规章制度行为处理的暂行办法的同时，制定了中国建设银行工作人员违规行为处理办法（建总发200226号）；2004年，废止建总发200226号文，制定中国建设银行工作人员违规行为处理办法（建总发2004187号）；目前，仍在执行的是总行2008年制定的中国建设银行工作人员违规失职行为处理办法（建总发2008116号），俗称288条。该办法分十八节列举了违反各类规章制度的违规失职行为以及处理办法。9.2 主要内容该办法第二章第十二节详细描述了违反有关信息技术应用与管理的违规失职行为和处理办法，所列举的违规失职行为包括危害国家安全和社会稳定的行为、危害建设银行信息安全的行为、危害建设银行网络安全的行为、危害建设银行桌面安全的行为、危害建设银行移动办公安全的行为、危害建设银行生产经营系统运行安全的行为等。9.3 文件原文10 中国建设银行桌面办公系统使用安全管理规定（试行）（建总发200562号）10.1 出台背景桌面计算机是员工日常办公的重要工具，也是我行内网中保有量最多的计算机系统。为了防范我行内网中的计算机安全风险，总行早在2001年就发布了关于加强企业内部网安全工作的通知（建信技200167号）。2005年，为加强全行桌面办公用计算机系统的安全管理工作，规范个人桌面计算机系统的定制、使用、维护流程，保障桌面办公系统及企业网的安全稳定运行，同时，也是为了配合当时个人信息与桌面安全系统（PDS）在全行推广实施，总行组织制定了中国建设银行桌面办公系统使用安全管理规定（试行），目的在于实现桌面办公系统使用安全的标准化。10.2 主要内容该规定规范了个人桌面计算机系统的定制、使用、维护的管理流程和标准，并将此规定的执行情况纳入计算机安全工作的检查考核内容。规定中，第四章“使用管理”部分重点对桌面计算机用户、硬件、软件和信息管理提出了具体的安全要求，是员工使用桌面计算机的安全准则。10.3 文件原文