xxxx银行
信息科技应用安全管理办法
第一章 总 则
第一条 为提高xxxx银行(以下简称“我行”)信息科技安全管理水平,实现应用系统安全规范化管理,确保各类应用系统安全、可靠、稳定运行,根据《商业银行信息科技风险管理指引》、《信息安全技术 网络安全等级保护基本要求》等制度,结合我行应用系统建设的实际情况,制定本办法。
第二条 本办法所指应用系统是指承载我行各类业务开展的在正式生产环境运行的应用系统,包括综合业务类、渠道管理类、客户管理类和产品管理类等自主研发或外部采购的应用系统。
第三条 本办法适用于我行信息科技应用安全管理相关的工作。
第二章 部门及职责
第四条 我行应用安全管理的主管部门为总行信息科技部,负责对我行应用系统的身份认证、访问控制、数据加密、防篡改、抗抵赖、日志审计等方面的控制方案和措施进行统一规划;负责本办法的审议,并监督本办法的落地和实施。
第五条 信息科技部综合管理中心负责应用安全管理办
法的制定、修订,负责应用安全管理策略的制定;软件开发中心负责根据应用安全策略对软件研发中的安全技术进行选型和实现;需求测试中心负责根据应用安全策略进行安全需求分析与测试;技术支持中心负责应用安全运行所需基础安全设施、基础软硬件的选型部署和运维。
第六条 信息科技部综合管理中心设有安全管理岗,其主要职责为:
(一)负责应用安全管理策略的制定、修订和评审; (二)负责参与应用系统研发过程中的安全需求收集、分析和测试。
(三)负责对应用系统定期进行漏洞扫描,并及时对漏洞进行登记和管理。
(四)负责对我行各类应用系统定期进行渗透测试,并出具渗透测试报告和改进建议。
(五)负责对我行重要信息系统安全评估,并出具安全评估报告。
软件开发中心设有软件开发岗,其主要职责为: (一)负责配合安全管理岗执行应用安全策略; (二)负责根据应用安全策略,选取合适安全开发平台、架构和技术并运用到软件研发过程中,保证安全策略的落地和生效;
(三)负责根据安全管理岗提供的漏洞修复报告、渗透测试报告等建议,选取修复技术并制定修复方案。
需求测试中心设有需求分析岗和软件测试岗,其职责分别为:
(一)需求分析岗主要职责:负责协助安全管理岗进行软件研发需求阶段的安全需求分析,并将安全需求分析结果纳入需求设计说明书;
(二)软件测试岗主要职责为:负责协助安全管理岗进行软件研发测试阶段的安全功能测试,并将安全测试结果纳入测试报告。
技术支持中心设有应用管理岗,其主要职责为: (一)负责应用系统投产所需的基础安全环境的选型、测试和部署;
(二)负责应用系统运行环境的日常运维和监测; (三)负责协助安全管理岗完成应用系统漏洞修复。
第三章 应用安全管理策略
第七条 应用系统应具有用户身份标识和识别机制:身份识别需具有唯一性;鉴别信息需具有一定复杂度,包括但不限于用户口令、令牌、指纹及人脸等生物信息。
第八条 用户鉴别信息应具有一定时效性,要求定期更换。
第九条 用户身份鉴别信息丢失或失效时应用系统须提供鉴别信息重置或其他技术保证系统安全。
某银行信息科技应用安全管理办法
