《银行IT外包安全管理指引-v模版.docx》由会员分享,可在线阅读,更多相关《银行IT外包安全管理指引-v模版.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、*银行信息科技外包安全管理指引第一章 总则第一条 为加强*银行(以下简称“本行”)信息科技外包商(以下简称“外包商”)的信息安全管理,规定外包商信息安全管理的范围和主要内容,减少因人为过失、偷窃、欺诈、滥用或误用信息处理设备所造成的信息安全风险,保证信息系统被第外包商访问时的安全,及时、有效、可控地规范外包商有关的访问监控及安全要求,依据有关银行业银行等金融机构信息科技外包风险管理指引(银监发*5号)以及国家关于法律法规与本行有关制度,拟定本管理指引。第二条 本指引适用于总行信息技术部外包商信息安全有关管理活动。第三条 本管理指引所称的信息科技外包商,包括研发类(子领域包括:软件研发、硬件研发
2、、测试)、运维(子领域包括:基础设备运维、桌面运维、应用运维、服务台运维)、咨询、人力外包及其它类外包商。各类外包商详细定义请参见信息科技外包管理办法中信息科技外包领域定义。第四条 本管理指引所称的行业重点外包商指银监会识别的行业重点外包商。第五条 各部门可以依据有关自身情形拟定单独的管理规则和管理规定,但原则上不得低于本管理指引的要求或相悖于本管理指引之内容;如有特殊情形未能满足本管理细则的,应当提出书面说明并经总行信息技术部审批通过方可施行。第二章 外包商安全管理职责与分工第六条 外包商的信息安全管理实行“谁接待,谁负责;谁引入,谁负责”的原则。接待室组和引入室组统称为外包商使用部门。外包
3、商使用部门负责监督、管理外包商在本行工作或访问期间的所有行为,并对其所对口外包商的行为、影响和后果负有所有责任。第七条 总行信息技术部安全管理室为本行外包商安全管理部门,负责组织外包商信息安全管理工作,并保证安全的顺利实施,主要职责包括:(一) 负责拟定T外包安全管理策略及办法,并督促实施;(二) 负责建立外包安全事件应急处理机制,包括管理组织、报告路线、处置方案等;(三) 负责组织调查并处理T外包重大安全事故,提出整改或补救措施,并监督执行;(四) 及时研究、分析IT外包安全事件,提出预防措施;(五) 沟通协调信息安全组织内部,以及和其他部门的工作。第八条 总行信息技术部运行调度室、外包管理
4、室为本行外包商安全管理监督部门,主要职责包括:(六) 提出I外包安全管理要求,并监督实施;(七) 监督IT外包安全事件应急处理过程与结果;(八) 监督提升IT外包商安全意识的有关措施的执行情形。第九条 总行信息技术部安全内控室为本行外包商安全审计管理部门,主要职责包括:(一) 拟定内审计划,定时对外包商进行信息安全检查,输出评估报告和整改建议;(二) 负责协助配合外包商安全内外部审计工作。第十条 如下各室组为I外包安全管理执行部门,负责对本规定有关条款的贯彻和执行,识别外包商信息安全风险,实施对外包人员信息安全风险的管控:(一) 总行信息技术部综合管理室应负责外包商的场地管理;(二) 总行研发
5、中心总行监察保卫部室应负责外包人员本行物理区域的进出管理;(三) 总行信息技术部安全管理室与网络室应负责外包商的网络安全管理;(四) 外包商使用部门: 负责执行提升外包商安全意识的有关措施; 负责执行外包商日常安全管理工作; 协助配合执行外包安全事件应急处理; 协助配合外包安全检查和审计工作。第十一条 外包商:遵循本办法有关要求,协助配合总行信息技术部外包商使用部门贯彻本办法。第三章 风险识别第十二条 各室组应识别外包商提供服务时,可能会带来以下风险(包含(但不限于):(一) 泄密;(二) 对现有系统、网络结构、访问安全监控方式造成或产生负面影响或增加新的安全漏洞;(三) 对现有系统的篡改,破
6、坏系统现有的安全架构;(四) 对业务连续性造成或产生影响,对现有系统稳定性造成破坏或中断。第四章 入场安全管理第十三条 所有外包商必须遵守本行发布的与IT风险管理和信息安全有关的方针策略、实施规范、管理细则等。第十四条 针对外包人员可能引入的信息安全风险,各室组应拟定相应的应对措施。第十五条 与行业重点外包商合作之前,外包商使用部门需对行业重点外包商人员进行背景调查;第十六条 外包商使用部门须在外包人员入场前需依据有关工作内容确定是否与其签订信息安全保密书,明确相应的保密要求,信息安全保密书由各室组接口人保留备案。其中针对外包商保密的要求至少包括(但不限于):(一) 外包人员在总行信息技术部可
7、接受的时间段里不会泄露总行信息技术部的非公开信息;(二) 外包人员需遵守总行信息技术部现有的各种信息安全管理规定;(三) 明确知识所有权的归属;(四) 违反保密协议或保密协议的后果及处理流程;第十七条 外包商使用部门须在外包人员入场时对其进行信息安全培训、发放有关安全管理手册以及与其签订操作规范承诺书等,明确相应的安全监控要求。培训内容可以包括人员信息安全的有关规定、业务有关的信息安全知识等,以便外包人员能够明确了解信息技术部的信息安全要求。第五章 外包商访问监控要求第十八条 各室组对于外包商按“必需知道”和“最小授权”原则进行访问授权。第一节 物理安全管理第十九条 信息技术部各类重要区域使用
8、部门作为物理安全管理责任部门,应对各类重要区域的访问进行管理监控。第二十条 外包人员如需进入重要区域以及办公区域,应经外包商使用部门负责人审批,在进出重要区域以及办公区域时需记录,对于重要区域需具备访问权限的外包商使用部门职工或员工全程陪同。第二十一条 总行监察保卫部应对外包人员进行身份标志,区分行内人员以及外包人员。第二十二条 总行监察保卫部应对进入本行物理区域的外包人员与其外包商使用部门进行身份确认。第二十三条 外包人员变更如离职、工作内容变化等涉及到调整区域访问权限时,外包商使用部门应及时申请变更其区域访问权限。第二节 网络安全管理第二十四条 外包人员禁止接入本行网络,如因工作需要接入,
9、必须向外包商使用部门提交申请并视情形处理;外包人员如因工作需要接入互联网,必须使用独立的网段,只允许通过我行统一的互联网出口上网,严禁私接3G上网卡、DL拨号上网以及电话拨号上网等方式连接互联网。第二十五条 外包人员携带的电脑等电子设备不得接入业务网或和我行生产设备直接相连,外包人员携带的电脑需要连入我行办公网络的必须接入到网络室分配的外单位人员专用网段。第二十六条 原则上不允许外包商对本组织内部系统和资源进行远程访问,必须通过现场的安全连接通道访问。第二十七条 外包商为履行其工作,需要通过远程方式访问到本行网络系统或设备,外包商使用部门对须事先拟定工作计划与工作方案进行有关审批通过后,才允许
10、进行远程访问。第二十八条 外包商以及外包商进行远程访问时,必须严格按照审批通过后的工作计划与工作方案进行工作,外包商使用部门负责检查监督其工作。第二十九条 外包商履行需要通过远程访问进行的工作后,外包商使用部门应及时申请停止其远程访问权限。第三十条 安全管理室应对网络状况(包括在线网络设备运行情形)进行实时监控和管理,应使用入侵检测、漏洞扫描等设备和技术定时对网络安全情形进行监控和分析,对于监控到的外包人员的异常行为(如网络扫描、探测或嗅探等行为)要及时向T外包安全管理部门上报。第三节 终端安全管理第三十一条 经许可接入我行网络的计算机设备接入我行网络前,必须安装本行规定的安全监控软件、系统安
11、全补丁和防病毒软件,及时升级病毒库,并进行病毒扫描。外包商使用部门应向外包安全管理部门申请防病毒软件安装需求。第三十二条 外包商使用部门为外包商申请工作所需的计算机设备资源并禁止外包人员未经许不可在本行设备上私装软件;外包商使用部门依据有关外包安全管理部门对外包商使用本行终端的管理要求,封闭其计算机设备的USB端口以及光存储设备,防止外包人员拷贝本行非公开数据。第三十三条 外部人员协助维护我行生产系统时,需要由各室组系统管理员在场共同进行操作,外包人员原则上不得掌握我行生产系统的用户密码。外包人员在履行工作后,陪同人员须立即申请并确认断开该外包人员的所有系统连接。第三十四条 外包人员为履行其工
12、作,需要对本行信息系统进行长期访问,由外包商使用部门为其申请账户,并全程负责检查监督其对该账户的使用情形。第三十五条 外包人员因工作变更、离岗等如需撤销或变更其拥有的系统权限,由外包商使用部门及时通知有关权限管理员进行逻辑访问权限变更工作。第三十六条 外包商使用部门应依据有关外包人职工或员工作内容的安全需求申请启用虚拟桌面。第三十七条 外包人员因工作变更、离岗等如需归还拥本部门的设备、由外包商使用部门组织归还工作。第四节敏感信息使用规定第三十八条 与外包人员进行资料文件资料交接时,外包商使用部门应按本行有关数据密级进行审批并进行资料文件资料交接登记。本行资料文件资料非授权情形下,外包人员不得对
13、其进行复印、扫描等方式进行留存。第三十九条 外包人员只允许在总行信息技术部指定的环境内访问和使用本行非公开信息以及数据。第四十条 外包人员因工作变更、离岗等如需归还拥本部门的信息资产、由外包商使用部门组织资料文件等信息资产归还工作以及数据擦除工作。第六章 外包商服务管理与检查第四十一条 I外包安全管理部门应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。第四十二条 外包商使用部门应负责监督、管理外包商服务及交付物的质量,监控外包商服务过程,并定时对外包商服务及交付物进行评估,以保证外包商服务及交付物的
14、质量和安全性。对于外包开发商交付的软件,应参照总行信息技术部软件安全有关管理办法的要求进行软件安全性的评估。第四十三条 外包商使用部门应合理管理外包商服务的变更以及由此引起的内部变更,对服务变更带来的风险进行分析,尽量将服务变更给业务带来的影响降到最低,在进行服务变更时应考虑如下内容:(一) 变更可能致使总行信息技术部面临风险,如是否会引入新的信息安全风险;(二) 变更过程中的服务资料文件资料、信息资产、服务内容交接等事项;(三) 变更过程中协议内容以及保密协议中内容条款的限制等。第四十四条 外包商安全审计管理部门应对外包商进行定时的信息安全检查,获取服务提供商自评估或第三方评估报告。以确保本
15、指引、相应保密协议等安全监控措施的贯彻。对于关联外包服务提供商定时进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。第四十五条 对于不符合本办法要求的情形,外包商使用部门应责成外包商采取整改措施,并及时向外包商安全管理部门与监督部门报告。情节严重时,应依据有关协议或者协议采取相应处罚,直至终止与外包商的合作。第七章 外包商安全行为管理第四十六条 外包商安全管理部门需对驻场以及非驻场外包商安全行为要求进行规定并建立监控与处罚机制。详细外包商安全行为要求以及监控与处罚机制请参见I外包供应商合规手册有关安全行为管理要求章节。第八章 外包安全事件应急响应第四十七条 各室组应及时向外包安全管理部门报告外包安全事件,外包安全管理部门在接收到报告后,应及时组织外包安全管理监督部门等有关部室对事件进行处置。第九章 附则第一条 本办法由总行总行信息技术部负责说明。第二条 本办法自 年 月 日起施行。