1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 人力资源/企业管理
  5. 管理学资料

公司网络安全内控管理检查方法及步骤指导.docx

公司网络安全内控管理检查方法及步骤指导.docx

    1. 1、本文档共6页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    公司网络安全内控管理检查方法及步骤指导

    检查项1:内控制度

    基本要求:网络管理内控制度建设应当纳入全面内控制度框架中;针对网络安全,应重视网络划分、网络隔离、网络访问控制、网络身份认证、网络日志、入侵防范等规章制度的建设,建立健全网络管理相关的内部控制规章制度、技术规范、操作规程等,加强对网络的管理和控制。

    检查方法、步骤:(1)现场访谈:向商业银行信息科技主管领导、内控合规部和内审部有关人员了解网络安全的内控制度制定、落实情况,内部控制监督、完善程序,相关绩效考核目标,将谈话中的关键内容记入工作底稿;(2)调阅商业银行文件汇编,调阅网络管理方面的规章制度,包括网络划分、网络隔离、网络访问控制、网络身份认证、网络日志、入侵防范等各项规章制度,了解网络安全内控制度执行情况。

    检查项2:人员管理

    基本要求:相关工作的人员应符合以下要求:(1)具备良好的职业道德,掌握履行网络系统相关岗位职责所需的专业知识和技能;(2)未经岗前培训或培训不合格者不得上岗,经考核不适宜的工作人员,应及时进行调整;人员变更登记,对调入、调出、调整人员应建立严格的登记制度。

    检查方法、步骤:(1)调阅人力资源部门相关网络管理人员的信息,查阅相关的人员信息和培训记录以及绩效考核记录;(2)调阅统一授权管理的相关文档资料,查阅网络管理人员的角色、分工和授权情况;(3)查看相关设备的操作日志;(4)调阅值班记录;(5)查阅人员变更登记表。

    检查项3:访问控制

    基本要求:(1)应明确网络通信管理部门的职责,根据制度设置相应的岗位职责并配备相关的管理人员。如设置网络基础设施管理、网络监控、网络应用管理、网络用户管理、网络安全必威体育官网网址管理、网络机房管理等岗位,明确岗位职责权限;(2)重要的网络管理岗位应实行A/B角制,对要害岗位的人员,至少有两名人员备用、替换,确保在任何情况下,都不会因人员的缺岗而影响整个系统的正常运行;(3)应落实重要岗位人员强制休假制度;(4)不相容岗位人员分离,防火墙管理员、路由器管理员、交换机管理员等岗位应由不同人员担任;(5)严格执行网络管理人员操作口令管理策略;(6)应及时更改网络设备或相关网络管理系统缺省口令;(7)口令应该定期更换;(8)应对口令周期、存储、长度、加密强度做出明确要求并通过一定的技术手段实现,应避免使用弱口令(注:弱口令是设置过于简单并且非常容易被破解的口令或密码)。

    科技人员少,信息系统种类不多的中小金融机构,可以不设置独立的网络管理部门,但应设置网络专职管理人员,且不得兼任其它管理员和信息系统安全员,并应积极创造条件,尽早达到上述要求。

    检查方法、步骤:调阅统一授权管理的相关文档资料,查阅网络管理人员的角色、分工和授权情况,对于建立了统一认证登录管理系统的机构,登录服务器查看相关的权限分配信息。检查口令策略是否执行,实际查看操作人员口令输入情况。

    检查项4:日志管理

    基本要求:网络系统日志管理应当纳入日志管理的程序;应当定期对网络日志进行分析,发现问题及时处理。应识别事件和问题的风险等级,高等级的事件和问题应当按照既定的路线进行报告。

    网络管理人员应负责网络监控记录的日常维护和报警信息的分析和处理工作,密切监视网络运行状态和网络资源非法使用行为。交换机、防火墙、路由器、入侵检测(IDS)等网络设备的通讯日志和访问日志应集中收集,专人保管,并保证日志的完整性和防篡改,相关设备管理员不得接触日志。日志应至少保存一年。信息系统安全员应定期分析网络日志,及时发现非法访问、恶意攻击、越权访问及其它风险隐患。

    检查方法、步骤:(1)约见网络管理员,询问是否及时处理网络监控记录和报警信息;(2)约见信息系统安全员,询问是否集中收集、保管各类网络日志;(3)检查相关网络设备管理员是否可接触集中保管的电子日志。日志是否能保证完整性和防篡改;(4)调阅网络系统日志,检查日志保存时间是否至少一年;(5)约见信息系统安全员,并调阅相关登记簿,检查是否定期分析网络日志。

    检查项5:第三方管理

    基本要求:(1)应与第三方服务供应商订立服务合同,对参数配置等信息的必威体育官网网址做出约束;(2)外部人员访问受控网络区域,应先提出书面申请,批准后由专人全程陪同,并登记备案;(3)对外部人员允许访问的区域、网络设备等内容应进行书面的规定,并按照规定执行。例如外来人员对网络的检查,厂商人员对网络设备维护、更换等行为都要有良好的管理办法(当第三方与网络有接触的时候,地址转换、绑定,不能使用第三方的设备)。

    检查方法、步骤:检查第三方管理办法,订立的合同,以及有关登记备案情况。

    检查项6:服务外包

    基本要求:(1)外包方评估和资质。建立服务外包评估机制,充分审查、评估承包方的经营状况、财务实力、诚信状况、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽

    您可能关注的文档

    最近下载

    文档评论(0)

    liuxing044 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >