I. 目的
格兰利奇比利(GLBA)安全标准的目的是提供必要的数据保护安全,以遵守威廉希尔体育的GLBA安全政策. 这些标准是强制性要求, 并建立有效的基线适当制度, 行政, 以及应用于覆盖数据的物理控制.
II. 标准
1. 网络
1.基于网络的防火墙应被实现,以拒绝来自“不可信的网络和主机”的流量.
1.网络流量应仅限于那些被认为是必要的服务和端口, 除非请求并授予访问所需服务的例外.
1.包含GLBA数据的设备的网络应至少每半年进行一次漏洞扫描. 对发现的漏洞及时进行修复.
1.在存在高度GLBA数据的情况下,应考虑使用其他安全检测工具.
2. 宿主
2.处理或存储GLBA信息的设备应放置在物理安全的位置, 只有那些有商业目的的人才能访问.
2.安全更新和补丁应及时应用,或在可能时自动应用.
2.计算机系统支持人员必须监控其硬件和软件中已公布的漏洞.
2.安装电脑杀毒软件, 并及时更新, 或者在适当的情况下自动.
2.在存储和访问GLBA数据的系统上应实施基于主机的防火墙.
2.服务和应用程序应该是完成所需业务功能所必需的最低限度.
- 密码应从供应商默认值更改.
- 系统应该“强化”到公认的标准,如果可用的话.
2.个人对资料的查阅仅限于为商业目的而需要查阅的人士.
2.收集和存储的GLBA信息的数量应为高效和有效地开展业务职能所需的最低数量.
2.在可能的情况下, 安全(加密)传输和存储, 适用于所有设备, 包括笔记本电脑和便携式媒体, 在适当的地方. 处理或存储GLBA数据的设备应记录所有重要的安全事件信息. 日志应每天进行检查,并至少保存90天.
2.处理或存储GLBA数据的设备应记录所有重要的安全事件信息. 日志应每天进行检查,并至少保存90天.
2.文件应定期备份和测试, 储存在安全的地方不论是在现场还是场外.
2.12个硬件, 软件和数据销毁应在业务需要终止时安全处理.
3. 用户帐户
3.应建立一个过程来创建和分配, 维护, 并验证唯一的系统标识符(i.e. UserID).
3.对系统标识符的认证应由基于数据敏感性实现的机制来控制.
3.3使用UserID和Password进行身份验证的情况, 无论是交互还是文件传输目的, 密码必须加密.
4. 软件开发
4.内部开发的软件应基于安全编码准则, 并审查了常见的编码漏洞.
5. 政策及程序
5.每个处理或存储GLBA数据的部门应建立安全策略, 并相应的程序处理如下.
- 电脑事故应变
- 电脑事故报告
5.处理或存储GLBA信息的各部门应每年完成安全意识培训.
5.每个处理或存储GLBA数据的外部供应商都必须满足本标准中规定的安全要求.