I. 目的
Gramm Leach Biliey (GLBA)安全标准的目的是提供必要的数据保护安全,以遵守澳门威尼斯十大官网的GLBA安全政策. 这些标准是强制性要求, 并建立一个有效的基线适当的制度, 行政, 以及应用于所覆盖数据的物理控制.
II. 标准
1. 网络
1.应实施基于网络的防火墙,拒绝来自“不受信任的网络和主机”的流量.
1.网络流量应仅限于那些被认为必不可少的服务和端口, 除非请求并批准了允许访问所需服务的例外情况.
1.存放有GLBA数据的设备的网络应至少每半年进行一次漏洞扫描. 发现的漏洞应及时修复.
1.在存在大量GLBA数据的情况下,应考虑使用额外的安全检测工具.
2. 主人
2.处理或存储GLBA信息的设备应放置在物理安全的位置, 只有那些有商业目的的人才可以访问.
2.安全更新和补丁应及时应用,或在可能的情况下自动应用.
2.计算机系统支持人员必须监控其硬件和软件中已公布的漏洞.
2.安装计算机杀毒软件, 并及时更新, 或者在适当的时候自动.
2.在存储和访问GLBA数据的系统上应实施基于主机的防火墙.
2.服务和应用程序应是完成所需业务功能所需的最低限度.
- 密码应从供应商的默认设置更改.
- 在可用的情况下,系统应该按照公认的标准进行“加固”.
2.个人对数据的访问仅限于出于商业目的而需要访问的人士.
2.收集和存储的GLBA信息的数量应是高效有效地开展业务职能所需的最低数量.
2.在可能的地方, 应采用安全(加密)传输和存储, 适用于所有设备, 包括笔记本电脑和便携媒体, 在适当的地方. 处理或存储GLBA数据的设备应记录所有重要的安全事件信息. 日志应每天审核一次,并保留至少90天.
2.处理或存储GLBA数据的设备应记录所有重要的安全事件信息. 日志应每天审核一次,并保留至少90天.
2.文件应定期备份和测试, 储存在一个安全的地方无论是在现场还是在场外.
2.12个硬件, 软件和数据销毁应在业务需要终止时安全处理.
3. 用户帐户
3.应建立流程来创建和分配, 维护, 并验证唯一的系统标识符(i.e. UserID).
3.对系统标识符的认证应由基于数据敏感性实施的机制控制.
3.3在使用UserID和Password进行认证的情况下, 无论是用于交互还是文件传输目的, 密码必须加密.
4. 软件开发
4.内部开发的软件应基于安全编码准则, 并审查了常见的编码漏洞.
5. 政策及程序
5.处理或存储GLBA数据的各部门应建立安全策略, 并相应的程序解决如下.
- 电脑事故应变
- 电脑事故报告
5.处理或存储GLBA信息的各部门应每年完成安全意识培训.
5.处理或存储GLBA数据的每个外部供应商都必须满足本标准中规定的安全要求.