- 目录
第1篇 信息科技部-安全管理中心-监控规划岗工作职责与职位要求
职位描述:
1、负责科技层面监控系统的建设和规划、保障监控系统的正常运行;
2、负责业务层面监控系统的建设和规划、保障监控系统的正常运行;
3、负责监控策略、指标的优化和调试;
4、协助一道防线、二道防线建立自动化监控方案,减少人力投入;
5、监控、督办、汇报各类问题,保证相关人员的信息一致性;
职位要求:
1、全日制本科及以上学历
2、5年及以上相关工作经验,有银行相关工作经验,有监控系统部署架构经验
3、熟悉计算机软硬件系统的产品设计、开发、可行性研究及软件开发、测试、评估、操作管理;熟悉linu_系统;熟悉oracle数据库应用开发;熟悉监控系统部署方案以及告警策略及优化
第2篇 信息科技部-安全管理中心-安全运营岗工作职责与职位要求
职位描述:
职责描述:
1、参与优化安全防御体系,研究和实践使用有效技术解决银行业务系统的安全相关问题。
2、跟踪和分析各类安全问题和安全事件,如网站入侵调查,病毒木马,ddos攻击等。
3、跟踪和分析新的安全漏洞和技术,定期对系统、应用、网络进行安全检测和风险评估。
4、编写防御工具和分析工具,对新技术、新方法、新软件进行评估和应用,完成网络和系统安全加固。
5、协助各项信息安全相关工作,确保信息安全管控措施有效执行。
职位要求:
1、全日制本科及以上学历,计算机相关专业优先;
2、相关工作经验3年以上,有银行相关项目及从业经验为佳;
3、责任心强、工作细致、沟通能力强,有良好的团队协作及问题解决能力。
第3篇 信息科技部-安全管理中心团队负责人工作职责与职位要求
职位描述:
工作职责:
1、根据总行审计部、风险管理部和信息科技部的战略目标,负责全行信息安全中心的整体规划和设计;
2、建立信息安全体系,将安全工作标准化、公开化。落实多层级的项目管理机制,确保安全体系落地执行;
3、负责研究、分析监管动态、行业信息安全技术发展趋势、同业信息安全动态,对行内信息安全管理水平的提升提出建设性意见;
4、通过对安全工作与安全项目信息汇总、分析,为决策层提供可行性建议和支持;
5、协助开展安全管理工作,对安全工作进行评定,发现存在的风险,督促落实安全问题的解决工作;
6、负责团队的组建和培养,带领团队完成项目任务。
职位要求:
1、计算机相关专业本科以上学历,6年以上安全工作经验;
2、具备扎实的安全理论基础,了解各类安全技术原理,精通业内主流安全趋势,熟悉业界安全攻防动态;
3、具备扎实的信息安全管理理论知识,能把握到监管、合规风向,从而完善信息安全治理方向。
4、具备银行业/互联网企业安全规划和安全系统的建设经验;
5、具备优秀的逻辑思维能力,善于分析问题和解决问题。
6、具备团队管理经验,有相同岗位任职者优先。
第4篇 信息科技部-安全管理中心-安全架构岗工作职责与职位要求
职位描述:
职位描述:
1.负责对基础架构、重要业务进行安全评估,提供可落地的解决方案;
2.负责网络、系统及应用的检测与防护的安全研究工作;
3.指导并参与各类安全系统的研发工作,对现有安全系统进行优化和改进;
4.负责对重点项目进行安全评审,识别架构中的安全风险,提出改进建议;
5.负责对各类疑难安全问题、安全事件的分析及应急响应。
6.负责信息安全体系与架构落地推进。
职位要求:
1.计算机相关专业本科以上学历,五年以上安全工作经验;
2.具备扎实的安全理论基础,精通主流安全漏洞原理,熟悉业界安全攻防动态;
3.熟悉主流的安全技术与产品,如:ids、siem、waf、日志分析、db审计等;
4.具备互联网企业安全规划和安全系统的建设经验;
5.至少熟悉一种编程语言(如:java、python、php等),有一定的开发能力;
6.具备优秀的逻辑思维能力,善于解决问题和分析问题。
第5篇 信息科技物理环境安全管理办法
第一章 总则
第一条 目的:为了适应__农村商业银行(以下简称我行)物理与环境安全管理的需要,保障我行生产和办公系统的正常运行,特制定本管理办法。
第二条 依据:本管理办法依据《__农村商业银行信息安全管理策略》制定。
第三条 范围:本管理办法适用于我行及所辖分支行。
第二章 基本要求
第四条 我行员工应根据我行运营需要对资产进行保护。我行的资产保护要求通过以下目标来实现:
(一)确保所有资产的物理和环境保护能得到我行的有效控制。
(二)减少擅自访问或损坏影响我行控制的资产的风险。
(三)防止我行控制的资产被人擅自删除或移动。
第五条 安全控制措施包括以下各项:
(一)我行的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)我行的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条 我行的安全区域包括中心机房、档案室、终端设备存放室、网络设备存放室、领导办公室、公共办公区、来访接待区。
第七条 物理安全边界 所有进入我行安全区域的人员都需经过授权,我行员工之外的人员进入我行安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第八条 安全区域出入控制措施:
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴我行发出的临时出入卡或访客证。
(三)我行工作人员的控制措施
1、我行工作人员都必须在显眼处佩带胸卡;
2、我行工作人员调离我行时,其实际进入权也同时相应取消;
(四)审查访问
科技信息部应定期(每三个月)审查访问我行中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第九条 交接区安全
(一)我行应设立交接区,同时:
1、向我行发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在危害。
第四章 设备安全
第十条 设备安置与保护
(一)我行中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十一条 支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源 (ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。 (三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十二条 电缆安全
(一)敷设到我行内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括: (1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子; (2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施; (3)使用纤维光缆; (4)使用电磁防辐射装置保护电缆; (5)对于电缆连接的未授权装置要主动实施技术清除、物理检查; (6)控制对配线盘和电缆室的访问;
第十三条 设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。 (三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和行政服务公司应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和行政服务公司定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十四条 场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十五条 设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息: 1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。 2、我行内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。 3、磁带和磁盘必须在处置前实际销毁和核对。 4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十六条 设备的移动
(一)应考虑如下措施: 1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所; 2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员; 3、应设置设备移动的时间限制,并在返还时执行符合性检查; 4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十七条 本管理办法由电子银行部负责解释和修订。
第十八条 本管理办法自发布之日起施行。
第6篇 信息科技部-安全管理中心-安全规划岗工作职责与职位要求
职位描述:
1、负责信息安全策略(制度、流程、运行机制)的建设和维护,并组织落实
2、负责信息科技风险的识别与评估,制定风险控制方案,针对信息系统开展风险评估
3、配合监管及内外部安全审计,了解常见安全漏洞、熟悉安全评估、熟悉各类安全控制手段,完善运维环境安全系统建设和管理
4、负责全行信息科技安全检查的各项工作,跟进并落实相关问题的整改
5、定期组织信息安全培训,及全员的安全意识教育
职位要求:
1、全日制本科及以上学历
2、5年及以上相关工作经验,了解iso27001、iso20000,对信息安全以及it服务管理体系有深入理解;
掌握信息安全、it开发、运维等专业知识,
3、熟悉银行业信息科技监管要求和标准
4、熟悉计算机软硬件系统的产品设计、开发、可行性研究及软件开发、测试、评估、操作管理;熟悉linu_系统;熟悉oracle数据库应用开发。