文档介绍：该【信息安全与业务连续性 】是由【青山代下】上传分享，文档一共【7】页，该文档可以免费在线阅读，需要了解更多关于【信息安全与业务连续性 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..(一)系统安全充分利用各主机系统、操作系统等系统层面的安全机制,对各系统的用户权限、优先访问权限进行科学分配,并制定了安全的密码及密码更新机制;对系统资源、文件的访问实现有效控制和日志记录。主要服务器将采用双机方式部署,提高系统可用性。所有坐席终端机均安装正版主流Windows操作系统,并且保障在本工程服务期间使用的坐席终端机专机专用。所有坐席终端机均采用白名单方式控制应用软件的安装,所有安装在终端上的软件均需得到行方书面确认方可进行。确保所有坐席终端机上安装的软件的合法性。不会安装与业务无关的软件,预装杀毒软件。所有操作人员均使用受限用户的形式登录坐席终端机操作系统,系统管理员用户由我方指派系统维护员掌握。所有坐席终端机均封闭可能进行数据传输的所有外设接口,包括但不限于USB接口、软盘驱动器、光盘驱动器、并口等。所有坐席终端机通过软件安装控制方式,限制数据的截屏、下载等操作。禁用光驱、软驱;禁用USB及其他外部接口的存储功能;所有人员日常使用受限用户账号登录系统;必须关闭默认共享;禁止使用远程桌面登录计算机;开启针对所有用户登录行为的审计功能。我司所有坐席终端机均安装正版的Windows操作系统,对于PC应用软件管理均采用了组策略的方式进行管理,通过组策略来控制PC上应用软件的安装。我们对PC及服务器均不配备软驱、eSATA口,并对BIOS都设置有密码,密码用分权方式进行管理,同时,所有服:..PC设备的USB口一律关闭,并且在操作系统中进行配置,防止未经授权的数据拷贝行为。BIOS中关闭USB、CD及网络启动方式,并且对BIOS的操作需要经客户方同意后才会进行操作,如果需要使用设备上的U口传输数据,需要联系客户方,经客户方同意后,才会进行U口的开启,使用完毕后立即对U口进行关闭,并且需要填写相关的操作记录。所有生产网络与互联网网络都是物理隔离的,所以无法从任何生产网设备上向外发送邮件,或通过即时通讯软件进行通讯。另外通过组策略也禁止了生产机器上安装任何电子邮件客户端及即时通讯或局域网聊天工具。使用公司白名单上的软件,不私自安装没有版权软件。如确需购买白名单以外的软件安装使用,必须通过正常流程购买。使用公司统一的操作系统,不私自安装盗版操作系统,不私自架设文件服务器。不私自设置涉及客户数据的共享文件夹。禁止员工以任何方法强制关闭常驻内存的安全软件的进程,禁止卸载统一安装的安全软件。员工必须使用自己的账户登录电脑系统并定期更换登录密码。除非有特殊情况,员工不应授权他人使用自己的桌面办公系统。保护好笔记本电脑,放在办公桌上时建议加电脑锁;出差时,在旅馆、机场、火车、路上时机不离身;保护好笔记本电脑里的数据,设置好登录加密,或者硬盘数据加密。员工桌面计算机系统上必须安装和使用公司统一部署的企业防病毒客户端软件,禁止私自卸载删除。:..毒软件客户端。接收银行数据及处理分派数据的电脑需单独提供,由专人独立使用并定期更换电脑密码。(二)网络安全禁止办公电脑连接外网。禁止私自变更办公计算机的IP地址。催收人员不得携带手机等移动设备进入办公场所。建立统一的访问控制机制,服务(器)之间的网络访问均通过防火墙的源地址、源端口、目标地址、目标端口进行访问控制,在确保访问的合法性和有效性的前提下实现业务的安全运行。系统采用独立的语音和数据传输网络,防止恶意窃听和窃取,系统网络如需与外部网络连接,通过防火墙进行访问控制,阻止非法请求。所有网络及安全设备以最小权限策略为基础,申请审批后方可打开相应端口和访问策略。所有网络及安全设备都进行了必要升级,升级软件的版本为相对稳定的版本,修补了重要安全漏洞。所有网络及安全设备关闭不需要开启的服务和协议,避免服务及协议的漏洞来降低网络安全。防火墙主要安全功能是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。防火墙安全策略中默认策略和端口全部关闭,须按照需求开启。也就是说,除遵循防火墙的基本安全需求的访问(高安全级别可以:..其他访问都是禁止状态。通过对网络及安全设备添加访问控制列表来避免授权用户访问非授权设备、端口等或非授权用户访问等现象的发生。(三)数据安全我司建立了完善的数据管理机制,对工程过程中所涉及数据信息的采集、存储、使用、分发、销毁等环境进行整体统一管控,(除需移交银行的数据信息外)我司保留的其他所有影像、数据资料的时限不超过7个工作日。未经授权许可不得查询,由采购人直接或间接提供的所有信息,无论以纸质、电子化、口头或其他形式,与采购人以及客户有关的一切资料、材料、数据、事实、文件、电子邮件信息等材料所使用的网络无路径、权限登陆外网,无法使用网络硬盘、网络空间、邮箱免费邮箱传输任何数据。凡涉及到数据传输文件均设置行方需求的密码。所有数据均按银行指定形式存储、传输、备份。根据权限最小化原则,集中存储区域以数据访问的需求按员工ID设立访问控制机制。计算机操作人员不得擅自让无关人员阅读计算机内贮存的工作信息。各类设备、信息、软件或纸制文档在未经授权情况下不得带离作业场所。计算机操作人员不得越权运行、查阅与自己工作无关的程序及数据。我方只存储、处理、传输双方约定的相关信息。:..我方确保相关数据访问权限得到最小化控制。任何人员不得私自记录客户个人信息、行方管理及业务需求。不在工作场合以外谈论工作相关信息。(四)传输与存储安全1、传输规范禁止使用蓝牙、NFC等不安全数据传输方式。催收人员不得携带未经编页的笔记本、纸张进入办公场所。以安全方式进行数据传递、数据解密、分派催收任务、渠道查询等专项工作。与银行间数据传输必须使用安全的专线加密传输。不打开任何未知文件类型的邮件附件、可执行附件(如bat、、vbs),包括邮件内容中的不明链接。不发送、转发与业务无关邮件,禁止转发邮件接龙等类型邮件。公司邮箱账号除专人外其他人禁止使用。往来邮件必须设置密码发送。2、存储规范严格执行公司和分公司相关信息安全管理规定,严禁通过拍照、摄像、影印、抄录、复制、截屏等任何方式私自保存客户申请资料信息。所有含客户敏感信息的数据,使用完毕或不再具有实际使用价值后,需当日永久删除。对于一定要存储的,应遵循公司相关规定且获得授权,并做好信息防护,加密存储。不得将存放有企业敏感信息、内部事项、涉密信息的移动存储介质拿出办公室、甚至转借给无权获悉此类信息的人员、或交由他人保管。:..(五)权限安全管理采用WORM机制记录日志,确保日志不可删除或修改;操作系统日志、网络通讯类日志以及应用类日志保存期限不少于三个月,数据库日志保存期限不少于一年。我方制定专门用于系统***与安全加固的管理流程,每季度一次对网络资产(包括终端、服务器与网络/安全设备等)进行全网安全***(扫描过程必须在非工作时段内进行并完成),并对检测出的安全漏洞进行加固;安全***工具应采用国内外安全厂家提供的、满足国家标准的信息安全技术网络脆弱性扫描产品技术需求的安全***产品;加固过程实施前必须进行安全加固方案评审与测试,确保加固后网络资产的业务连续性与安全性;扫描与加固过程保留日志与记录,以备行方进行稽查。所有的服务器、工作站以及坐席终端的BIOS设置为不能从软盘、USB、CD、网络或其它的附加驱动器进行启动。按照我司系统权限管理规定,对系统用户的新增、变更和删除等指定有权人进行审核,再交行方审批并配置用户,并对所有需求权限变更及审批进行登记存档。严格管理计算机与工作系统账号与密码。不得将此信息透露给其他人员。工作人员每月修改计算机及工作系统的密码。用户权限管理符合岗位制衡、按岗定权、按需定权、最小授权、等原则,并建立权限冲突机制。每年至少对用户权限两次审查,并备案登记。:..工程结束),相关用户权限必须在提出申请后半个工作日内进行相应的变更或删除。接触存储或处理行方信息的信息系统的我方员工须得到高级运营经理的授权。除已授权的人员外,其他人员不得接触存储或处理行方信息的信息系统。任何接触储存或处理行方信息的信息系统的员工都必须使用自己的用户ID和密码。ID密码每三个月需求更改一次,且密码不得与他人分享。禁止使用公共ID和密码。在使用新的或经过密码重置的系统或电脑时,必须在第一时间修改初始密码,并保障至少每90天更换一次密码。输入密码时,应保持必要的警惕性,防止被人非法获取自己所拥有的密码。严格按照所使用系统或终端的具体需求定期更改自己的密码。员工不应以任何方式将密码透露给其他人员,具体包括但不限于:严禁在E-MAIL中出现任何关于密码的信息。严禁通过手机或电话等方式泄露密码。严禁在任何人面前谈及自己设定的密码。严禁在任何调查问卷或是表格中提供。员工离开工位时,需及时签退系统并锁屏。