分级密钥管理制度
总则
1、目的:为了有效防范应用系统密钥使用过程中的潜在风险,规范和加强密钥管理,保证应用系统数据安全,制定本管理制度。
2、适用范围:适用于核心系统、前置系统、网上银行系统、电话银行系统、外围业务系统及与行外机构互联系统等使用加密技术对敏感信息进行安全保护的密钥。
3、管理原则:
分级管理:根据密钥的重要性将密钥分级,不同级别的密钥由不同级别的管理人员来管理。
分权管理:同一个密钥的多个分量应由对应数量的密钥管理人员分别保管。
技术分离管理:对于密钥分量的管理,由业务部门设置专人进行保存与管理,技术部门人员不得参与明文密钥分量的保管。
过程控制:建立完善的监督控制机制,合法合规地执行密钥管理过程中的各项操作。
及时更新:对于存在风险的密钥要做到定期及时更新。
密钥分级管理
密钥级别划分
1、绝密级:该密钥的失密会对全行系统安全造成严重影响,是密钥最高级别。
2、机密级:该密钥的失密会对一个较大的区域或一个主要系统的安全造成严重影响。
3、秘密级:该密钥的失密仅仅会在一个较小的范围内造成影响或者虽然范围较大但是影响小。
各级密钥管理要求
1、绝密级密钥:需要行内三位不同部门的主管行长每人掌控一个密钥成分。
2、机密级密钥:需要两位主管级别或主管级别以上领导掌管,每人掌控一个密钥成分。
3、秘密级密钥:需要两位行内正式员工管理,每人掌控一个密钥成分。
密钥管理部门责任及岗位设置
科技发展部职责
1、负责制度的制定、密钥录入中的组织协调工作。
2、提供密钥操作所需要的技术环境和密钥操作过程中的技术保障。
业务部门职责
1、向行外机构申请本部门负责的应用系统所使用的密钥后,设置专门岗位人员持有并管理密钥。
2、紧急特殊情况下的密钥交接需要在相关领导的监督下交接密钥,并填写相关工作交接清单进行书面确认。
岗位职责
1、科技部加密平台技术员(至少2人):负责加密平台的维护及初始化密钥,为录入密钥的业务人员提供技术支持。
2、各密钥管理部门密钥管理员(至少2人):负责建立并维护密钥管理档案,对密钥相关资料进行保存,并在紧急情况下由备用人员完成相应工作。
密钥的产生
1、新增业务密钥需求:如新增业务需要增加密钥,而该密钥由行外机构分发密钥码单,则应由需求部门向该行外机构提出申请,并且需要密钥管理人员双人复核确认密钥封存完好后方可投入使用。
2、自行制作密钥:若需自行制作密钥,应由需求部门指定的密钥管理岗位人员制作,确保周围环境的安全与密钥保密。
密钥的保管与使用
1、纸质备份:密钥管理人员应将所管理的密钥进行纸质备份,并用信封密封放置在安全地点。
2、回避制度:密钥管理人员在对密钥成份明文进行任何操作时,其他人员需要回避。
3、密封与签字:完成密钥录入后,密钥责任人当场对密钥成份和IC卡进行密封并在封口处签字。
4、授权管理:密钥管理责任人可以将其负责的部分或全部密钥管理权限授权他人代为执行,但相关责任不变;同一密钥的不同密钥成份不能授权给同一人;被授权人不能将相关权限再授权给其他人员。
密钥的应急处理与销毁
1、应急处理:发现密钥丢失、失密等情况相关人员必须马上向相关部门逐级汇报,对已经泄漏或者怀疑泄漏的密钥要及时废除并更换新的密钥。
2、销毁程序:密钥到达有效期或需要更换新密钥时,必须将所有旧密钥及备份销毁,包括纸质密钥文件、密钥IC卡中的密钥、加密机中密钥、电子密钥文件等,销毁密钥应集中进行,并由密钥管理部门领导和科技部领导同时批准才可执行。
与密钥管理相关的加密设备管理
1、禁止未经授权的操作:禁止未经授权人员对装载生产密钥的加密机设备进行操作。
2、授权操作:非本行加密机管理人员需要登录生产加密机设备进行操作时,应说明具体操作内容,在主管领导批准以后,由科技发展部门加密机管理人员陪同下进行相关操作。
3、定期备份:仅授权操作人员能够登录加密平台进行相关密钥管理操作;加密平台维护人员需要定期对加密机平台密钥库进行备份。
4、维修与报废:加密设备的维修、更换、报废必须经过高管层授权,应由科技发展部员工全程现场监督、复核,原则上不允许外出维修,特殊情况需要外出维修需删除数据、拆出涉密部件,由监督人填写系统变更申请单,在得到允许后方可实施。
附则
1、解释与修订:本密钥管理制度由科技发展部负责解释与修订。
2、施行日期:本密钥管理制度自发行日起施行。
相关问题与解答栏目
问题1:如何应对突发情况导致的密钥泄露?
答:发现密钥丢失或失密时,相关人员必须立即向相关部门逐级汇报,已泄漏或怀疑泄漏的密钥应及时废除并更换新的密钥,所有涉及的旧密钥及其备份(包括纸质文件、IC卡中的密钥、加密机中的密钥和电子密钥文件)都应集中销毁,销毁过程需要得到密钥管理部门领导和科技部领导的批准。
问题2:什么情况下需要进行密钥的应急使用?
答:在紧急情况下,如果需要马上使用密钥而相关责任人不能履行职责时,可以经其上级领导授权,指定其他人员申请使用密钥,此过程应有详细的记录和监督机制,以确保应急使用的合法性和安全性。
各位小伙伴们,我刚刚为大家分享了有关“分级密钥管理制度”的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/686089.html
微信扫一扫 