文件名称:访问控制-pcb技术中的pcb matrix ipc-7351 lp软件介绍及使用说明
文件大小:779KB
文件格式:PDF
更新时间:2024-07-21 21:18:43
安全规范 金融行业标准 技术规范 个人金融信息保护技术规范
7.3访问控制 加强个⼈⾦融信息访问控制管理,具体要求如下: a) 应根据“业务需要”和“Y⼩权限”原则,进⾏个⼈⾦融信 息相关的权限管理,严格控制和分配访问、使⽤个⼈⾦融信 息的权限。 b) 对于可访问和处理个⼈⾦融信息的系统应设置基于⻆⾊的 访问控制策略,禁⽌账户共⽤。 c) 传输、处理、存储个⼈⾦融信息的系统默认⽤户权限应 为“拒绝所有访问”。 d) 对个⼈⾦融信息使⽤的权限管理应设置权限指派、回收、 过期处理等安全功能。 e) 对存储或处理个⼈⾦融信息的系统或设备进⾏远程访问 时,应通过专线、VPN等⽅式访问,个⼈⾦融信息不应在远 程访问设备上留存。 f) 应对⽣产⽹络、开发测试⽹络、办公⽹络以及相关⾮⽣产 ⽹络进⾏访问控制。 g) 应对个⼈⾦融信息访问与个⼈⾦融信息的增删改査等操作 进⾏记录,并保证操作⽇志的完整 性、可⽤性及可追溯性, 操作⽇志包括但不限于业务操作⽇志、系统⽇志等;系统运 维管理类 ⽇志不应记录个⼈⾦融信息。 h) 应对存储个⼈⾦融信息的数据库及操作⽇志实施严格的⽤ 户授权与访问控制。 i) 存储或处理个⼈⾦融信息的相关物理设备或介质应在获得 审批授权后⽅可移⼊或移出机房受 控区域,留存有C2、C3 类别信息的物理设备或介质移⼊或移出区域应具有同等的安 全保障措 施。 7.4安全监测与⻛险评估 7. 4 .1监控与审计