一世。目的
格雷姆浸出biliey(GLBA)安全标准的目的是为了提供必要的数据保护的安全性符合十大彩票平台的GLBA安全策略。这些标准是强制性要求,并建立相应的制度,管理和物理控制的有效基准适用于覆盖数据。
II。标准
1.网络
1.2网络流量,应仅限于那些服务和端口认为是必要的,除非例外,以允许请求获得所需的服务和授权。
1.3网络与GLBA数据房子装置应漏洞至少半年一次扫描。检测到的漏洞应及时进行修复。
1.4额外的安全检测工具应在高度GLBA数据都存在的情况下予以考虑。
2.主机
2.1设备这一过程或存储GLBA信息应被安置在安全的物理位置,只有那些具有商业目的的访问。
2.2安全更新和补丁应及时自动时可能被应用,或。
2.3计算机系统的支持必须监视他们的硬件和软件公布的漏洞。
2.4的计算机反病毒软件予以实施,并及时更新,或自动在适当情况下。
基于2.5主机防火墙应在存储和访问数据GLBA系统来实现。
2.6服务和应用应该是最低的必要来完成所需的业务功能。
- 密码应来自供应商的默认值被改变。
- 系统应该是“硬”到一个公认的标准,如果有的话。
2.7数据单独访问应仅限于那些需要为经营宗旨的访问。
2.8的GLBA信息收集和存储的量应为的业务功能的高效和有效地进行所需的最低量。
2.9在可能的情况,安全(加密)传输和存储应利用,对于所有设备,包括笔记本电脑和便携式媒体,在适当情况下。设备处理或存储数据GLBA应记录所有显著安全事件信息。日志应每日进行审查,并至少保留90天。
2.10设备处理或存储数据GLBA应记录所有显著安全事件信息。日志应每日进行审查,并至少保留90天。
2.11文件将被备份并定期进行测试,并存储在两个上和场外的安全位置。
2.12的硬件,软件和数据销毁应牢固地设置在业务需求的终端。
3.用户帐户
3.1过程应建立创建和分配,维护和验证唯一系统标识符(即用户ID),用于每个用户。
3.2认证以系统标识符须由机制来实现基于数据的灵敏度来控制。
3.3在其中用户ID和密码被用于验证目的,无论是用于交互式或文件传输的目的的情况下,口令必须被加密。
4.软件开发
4.1内部开发的软件应基于安全编码指南,并审查了常见的编码漏洞。
5.政策和程序
5.1每个部门处理或存储数据GLBA应当建立安全策略和相应程序来处理如下。
- 计算机事件响应
- 计算机事故报告
5.2各部门处理或存储信息GLBA应填写在年度基础上的安全意识培训。
5.3每个外部供应商的处理或存储数据GLBA将需要以满足安全要求阐述本标准。