商業(yè)銀行信息安全管理辦法

1 XX 銀行 信息安全管理辦法 第一章第一章 總總 則則 第一條第一條 為加強 XX 銀行 下稱 本行 信息安全管理 防范信息技術風險 保障本行計算機網絡與信息系統(tǒng)安全和穩(wěn) 定運行 根據 中華人民共和國計算機信息系統(tǒng)安全保護條 例 金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定 等 特制定本辦法 第二條第二條 本辦法所稱信息安全管理 是指在本行信息化項 目立項 建設 運行 維護及廢止等過程中保障信息及其相 關系統(tǒng) 環(huán)境 網絡和操作安全的一系列管理活動 第三條第三條 本行信息安全工作實行統(tǒng)一領導和分級管理 由 分管領導負責 按照 誰主管誰負責 誰運行誰負責 誰使用 誰負責 的原則 逐級落實部門與個人信息安全責任 第四條第四條 本辦法適用于本行 所有使用本行網絡或信息資源 的其他外部機構和個人均應遵守本辦法 第二章第二章 組織保障組織保障 第五條第五條 常設由本行領導 各部室負責人及信息安全員組成 的信息安全領導小組 負責本行信息安全管理工作 決策信息 安全重大事宜 第六條第六條 各部室 各分支機構應指定至少一名信息安全員 配合信息安全領導小組開展信息安全管理工作 具體負責信息 2 安全領導小組頒布的相關管理制度及要求在本部室的落實 第七條第七條 本行應建立與信息安全監(jiān)管機構的聯(lián)系 及時報告 各類信息安全事件并獲取專業(yè)支持 第八條第八條 本行應建立與外部信息安全專業(yè)機構 專家的聯(lián)系 及時跟蹤行業(yè)趨勢 學習各類先進的標準和評估方法 第三章第三章 人員管理人員管理 第九條第九條 本行所有工作人員根據不同的崗位或工作范圍 履 行相應的信息安全保障職責 日常員工信息安全行為準則參見 XX 銀行員工信息安全手冊 第一節(jié)第一節(jié) 信息安全管理人員信息安全管理人員 第十條第十條 本辦法所指信息安全管理人員包括本行信息安全領 導小組和信息安全工作小組成員 第十一條第十一條 應選派政治思想過硬 具有較高計算機水平的人 員從事信息安全管理工作 凡是因違反國家法律法規(guī)和本行有 關規(guī)定受到過處罰或處分的人員 不得從事此項工作 第十二條第十二條 信息安全管理人員每年至少參加一次信息安全相 關培訓 第十三條第十三條 安全工作小組在如下職責范圍內開展信息安全管 理工作 一 組織落實上級信息安全管理規(guī)定 制定信息安全管 理制度 協(xié)調信息安全領導小組成員工作 監(jiān)督檢查信息安全 管理工作 3 二 審核信息化建設項目中的安全方案 組織實施信息 安全保障項目建設 三 定期監(jiān)督網絡和信息系統(tǒng)的安全運行狀況 檢查運 行操作 備份 機房環(huán)境與文檔等安全管理情況 發(fā)現(xiàn)問題 及時通報和預警 并提出整改意見 四 統(tǒng)計分析和協(xié)調處置信息安全事件 五 定期組織信息安全宣傳教育活動 開展信息安全 檢查 評估與培訓工作 第十四條第十四條 信息安全領導小組成員在如下職責范圍內開展工 作 一 負責本行信息安全管理體系的落實 二 負責提出本行信息安全保障需求 三 負責組織開展本行信息安全檢查工作 第二節(jié)第二節(jié) 技術支持人員技術支持人員 第十五條第十五條 本辦法所稱技術支持人員 是指參與本行網絡 信息系統(tǒng) 機房環(huán)境等建設 運行 維護的內部技術支持人員 和外包服務人員 第十六條第十六條 本行內部技術支持人員在履行網絡和信息系統(tǒng)建 設和日常運行維護職責過程中 應承擔如下安全義務 一 不得對外泄漏或引用工作中觸及的任何敏感信息 二 嚴格權限訪問 未經業(yè)務主管部室授權 不得擅自改 變系統(tǒng)設置或修改系統(tǒng)生成的任何數(shù)據 三 主動檢查和監(jiān)控生產系統(tǒng)安全運行狀況 發(fā)現(xiàn)安全 4 隱患或故障及時報告本部室主管領導 并及時響應 處置 四 嚴格操作管理 測試管理 應急管理 配置管理 變更管理 檔案管理等工作制度 做好數(shù)據備份工作 第十七條第十七條 外部技術支持人員應嚴格履行外包服務合同 協(xié) 議 的各項安全承諾 簽署保密協(xié)議 提供技術服務期間 嚴 格遵守本行相關安全規(guī)定與操作規(guī)程 不得拷貝或帶走任何配 置參數(shù)信息或業(yè)務數(shù)據 不得對外泄漏或引用任何工作信息 第三節(jié)第三節(jié) 一般計算機用戶一般計算機用戶 第十八條第十八條 本規(guī)定所稱一般計算機用戶是指使用計算機設備 的所有人員 第十九條第十九條 一般計算機用戶應承擔如下安全義務 一 及時更新所用計算機的病毒防治軟件和安裝補丁程 序 自覺接受本部室信息安全員的指導與管理 二 不得安裝與辦公和業(yè)務處理無關的其他計算機軟件 和硬件 不得修改系統(tǒng)和網絡配置以屏蔽信息安全防護 三 不得在辦公用計算機上安裝任何盜版或非授權軟件 四 未經信息安全管理人員檢測和授權 不得將內部網 絡的計算機轉接入國際互聯(lián)網 不得將個人計算機接入內部網 絡或私自拷貝任何信息 第四章第四章 資產管理資產管理 第二十條第二十條 本行對所有信息資產進行識別 評估相對價值及 5 重要性 建立資產清單并說明使用規(guī)則 明確定義信息資產責 任人及其職責 細則參見 XX 銀行信息資產分類分級管理規(guī)定 第二十一條第二十一條 按照信息資產的價值 法律要求及敏感程度和 對業(yè)務關鍵程度 分別依據機密性 完整性 可用性三個屬性 對信息資產進行分類分級 并建立相應的標識和處理制度 第二十二條第二十二條 依照信息資產的分類分級采取不同的安全保護 措施 制定完善的訪問控制策略 防止未經授權的使用 第二十三條第二十三條 依據 XX 銀行介質管理規(guī)范 加強介質管理 與銷毀操作管理 確保本行數(shù)據的可用性 保密性 完整性 第五章第五章 物理環(huán)境安全管理物理環(huán)境安全管理 第一節(jié)第一節(jié) 機房安全管理機房安全管理 第二十四條第二十四條 本規(guī)定所稱機房是指信息系統(tǒng)主要設備放置 運行的場所以及供配電 通信 空調 消防 監(jiān)控等配套環(huán)境 設施 第二十五條第二十五條 本行機房的信息安全管理由本行本行信息科技 部門負責具體實施和落實 第二十六條第二十六條 建立機房設施與場地環(huán)境監(jiān)控系統(tǒng) 對機房空 調 消防 不間斷電源 UPS 供配電 門禁系統(tǒng)等重要設 施實行全面監(jiān)控 第二十七條第二十七條 建立健全機房管理制度 并指派專人擔任機房 管理員 落實機房安全責任制 機房管理員應經過相關專業(yè)培 6 訓 熟知機房各類設備的分布和操作要領 定期巡查機房 發(fā) 現(xiàn)問題及時報告 機房管理員負責保管機房建設或改造的所有 文檔 圖紙以及機房運行記錄等有關資料 并隨時提供調閱 第二十八條第二十八條 建立機房定期維修保養(yǎng)制度 易受季節(jié) 溫度 等環(huán)境因素影響的設備 已逾保修期的設備 近期維修過的設 備等應成為保養(yǎng)的重點 第二十九條第二十九條 依據 浙江省農村合作金融機構機房管理指引 進一步規(guī)范機房建設 改造和驗收過程 落實機房管理 第三十條第三十條 信息安全領導小組負責定期審核機房安全管理落 實情況 并保留相應的審核記錄和審核結果 第二節(jié)第二節(jié) 重要區(qū)域安全管理重要區(qū)域安全管理 第三十一條第三十一條 本章節(jié)所指重要區(qū)域為 本行信息中心主備機 房和運維監(jiān)控室等區(qū)域 本行信息中心負責制定和執(zhí)行運維監(jiān) 控方面的安全管理制度 第三十二條第三十二條 重要區(qū)域應嚴格出入安全管理 安裝門禁 視 頻監(jiān)視錄像系統(tǒng) 實行定時錄像監(jiān)控 并適當配置自動監(jiān)控報 警功能 第三十三條第三十三條 所有門禁 視頻監(jiān)視錄像系統(tǒng)的信息資料至少 保存三個月 第三節(jié)第三節(jié) 辦公環(huán)境安全管理辦公環(huán)境安全管理 第三十四條第三十四條 在本行大樓入口應設置門衛(wèi)或接待員 負責出 入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記 第三十五條第三十五條 本行信息中心樓層設立門禁 加強人員進出管 7 理 第三十六條第三十六條 本行信息中心員工應在公共接待區(qū)接待外來人 員 未經允許 不得私自將外來人員帶入辦公區(qū)域內 第三十七條第三十七條 未經允許 嚴禁在信息中心辦公區(qū)域內進行攝 影 攝像 錄音等記錄日常辦公行為的活動 第六章第六章 網絡安全管理網絡安全管理 第一節(jié)第一節(jié) 網絡規(guī)劃 建設中的安全管理網絡規(guī)劃 建設中的安全管理 第三十八條第三十八條 本行網絡信息科技部負責網絡和網絡安全的統(tǒng) 一規(guī)劃 建設部署 策略配置和網絡資源 網絡設備 通訊線 路 IP 地址和域名等 分配 第三十九條第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則 由信息科技 部組織實施網絡建設 改造工程 工程投產前應通過安全測試 與評估 第四十條第四十條 本行網絡建設和改造應符合如下基本安全要求 一 網絡規(guī)劃應有完整的安全策略 保障網絡傳輸與應 用安全 二 具備必要的網絡監(jiān)測 跟蹤和審計等管理功能 三 針對不同的網絡安全域 采取必要的安全隔離措施 四 能有效防止計算機病毒對網絡系統(tǒng)的侵擾和破壞 第二節(jié)第二節(jié) 網絡運行安全管理網絡運行安全管理 第四十一條第四十一條 信息科技部應建立健全網絡安全運行方面的制 8 度 配備專職網絡管理員 網絡管理員負責日常監(jiān)測和檢查網 絡 安全運行狀況 管理網絡資源及其配置信息 建立健全網絡 運行維護檔案 及時發(fā)現(xiàn)和解決網絡異常情況 第四十二條第四十二條 網絡管理員應定期參加網絡安全技術培訓 具備一定的非法入侵 病毒蔓延等網絡安全威脅的應對技能 第四十三條第四十三條 嚴格網絡接入管理 任何設備接入網絡前 接 入方案 設備的安全性等應經過網絡管理人員的審核與檢測 審 核 檢測 通過后方可接入并分配相應的網絡資源 第四十四條第四十四條 嚴格網絡變更管理 網絡管理員調整網絡重要 參數(shù)配置和服務端口時 應嚴格遵循變更管理流程 實施有可 能影響網絡正常運行的重大網絡變更 應提前通知相關業(yè)務部 門并安排在非交易時間或交易較少時間進行 同時做好配置參 數(shù)的備份和應急恢復準備 第四十五條第四十五條 嚴格遠程訪問控制 確因工作需要進行遠程訪 問的人員應向信息簡科技部提出書面申請 并采取相應的安全 防護措施 第四十六條第四十六條 信息安全管理人員負責定期對網絡進行安全檢 測 掃描和評估 檢測 掃描和評估結果屬敏感信息 不得向 外 界提供 未經授權 任何外部單位與人員不得檢測 掃描本 行網絡 第三節(jié)第三節(jié) 接入國際互聯(lián)網管理接入國際互聯(lián)網管理 第四十七條第四十七條 信息科技部負責制定本行互聯(lián)網方面管理制度 對互聯(lián)網接入進行嚴格的控制 防范來自互聯(lián)網的威脅 9 第四十八條第四十八條 本行內部業(yè)務網 辦公網與國際互聯(lián)網實行安 全隔離 所有接入內部網絡或存儲有敏感工作信息的計算機 不得直接或間接接入國際互聯(lián)網 第四十九條第四十九條 內部網絡計算機嚴禁接入國際互聯(lián)網 確有必 要接入國際互聯(lián)網的應通過信息安全工作小組審核并上報相關 領導審批 確保安裝有指定的防病毒軟件和最新補丁程序 經 審批后連接國際互聯(lián)網 的計算機 不得存留涉密金融數(shù)據信息 存有涉密金融數(shù)據信息的介質 不得在接入國際互聯(lián)網的計算 機上使用 第五十條第五十條 曾接入國際互聯(lián)網的計算機嚴禁接入內部網絡 確有必要接入內部網絡的應通過安全工作小組審核并上報相關 領導審批 經安全檢測后方能接入 從國際互聯(lián)網下載的任何 信息 未經病毒檢測不得在內部網絡上使用 第五十一條第五十一條 使用國際互聯(lián)網的所有用戶應遵守國家有關法 律法規(guī)和本行相關管理規(guī)定 不得從事任何違法違規(guī)活動 第七章第七章 訪問控制訪問控制 第五十二條第五十二條 本行負責建立訪問控制制度 對信息資產和服 務的訪問和權限分配進行控制 第五十三條第五十三條 信息資產的責任人負責確定信息資產和服務的 訪問權限 運行維護科根據授權進行相關設定操作 第五十四條第五十四條 信息系統(tǒng)用戶設置本人的用戶和密碼 并對 其訪問控制權限負責 重要信息系統(tǒng)操作人員的密碼應由系統(tǒng) 10 管理員和業(yè)務部門負責人分段設立 第五十五條第五十五條 凡是能夠執(zhí)行錄入 復核制度的信息系統(tǒng) 操 作人員不得一人兼錄入 復核兩職 未經主管領導批準 不得 代崗 兼崗 第五十六條第五十六條 應啟用安全措施限制授權用戶對操作系統(tǒng)的訪 問 包括但不限于 一 按照已定義的訪問控制策略鑒別授權用戶 二 記錄成功和失敗的系統(tǒng)訪問企圖 三 記錄專用系統(tǒng)特殊權限的使用情況 四 當違反系統(tǒng)安全策略時發(fā)布警報 五 提供合適的身份鑒別手段 六 限制用戶的連接時間 第五十七條第五十七條 對應用系統(tǒng)和信息的邏輯訪問應只限于已授權 的用戶 對應用系統(tǒng)的訪問控制措施包括但不限于 一 按照定義的訪問控制策略 控制用戶訪問信息和應 用系統(tǒng)的特定功能 二 防止能夠繞過系統(tǒng)控制或應用控制的任 何實用程序 系統(tǒng)軟件和惡意軟件對系統(tǒng)進行未授權訪問 三 為重要的敏感系統(tǒng)設立隔離的運行環(huán)境 第五十八條第五十八條 訪問控制實施細則詳見 XX 銀行信息系統(tǒng)訪 問控制管理規(guī)定 第八章第八章 信息系統(tǒng)安全管理信息系統(tǒng)安全管理 11 第五十九條第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務處理系統(tǒng) 管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等 包括數(shù)據庫 軟件和 硬件支撐環(huán)境等 第六十條第六十條 信息系統(tǒng)安全管理實施細則詳見 XX 銀行計算 機信息系統(tǒng)安全管理規(guī)定 第一節(jié)第一節(jié) 信息系統(tǒng)規(guī)劃與立項信息系統(tǒng)規(guī)劃與立項 第六十一條第六十一條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考 慮安全問題 建設方案應滿足信息安全管理的相關要求 項目 技術方案應包括以下基本安全內容 一 業(yè)務需求部室提出的安全需求 二 安全需求分析和實現(xiàn) 三 運行平臺的安全策略與設計 第六十二條第六十二條 信息安全領導小組負責派遣相關部室安全員對 項目技術方案進行安全專項審查并提出審查意見 未通過安全 審核的項目不得予以立項 第二節(jié)第二節(jié) 信息系統(tǒng)開發(fā)與集成信息系統(tǒng)開發(fā)與集成 第六十三條第六十三條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范 依據安全 需求進行安全設計 保證安全功能的完整實現(xiàn) 第六十四條第六十四條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序 源代碼及相關技術資料全部移交本行 外部開發(fā)單位還應與本 行簽署相關知識產權保護協(xié)議和保密協(xié)議 不得將信息系統(tǒng)采 用的關鍵安全技術措施和核心安全功能設計對外公開 第六十五條第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員 12 或業(yè)務系統(tǒng)操作人 員 不得在程序代碼中植入后門和惡意代碼 程序 第六十六條第六十六條 信息系統(tǒng)開發(fā) 測試 修改工作不得在生產環(huán) 境中進行 第六十七條第六十七條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒 發(fā)的涉密系統(tǒng)集成資質證書的單位或企業(yè) 并簽訂嚴格的保密 協(xié)議 第六十八條第六十八條 系統(tǒng)上線前應開展代碼審計過程檢查源代碼中 的缺點和錯誤信息 避免引發(fā)安全漏洞 第三節(jié)第三節(jié) 信息系統(tǒng)運行信息系統(tǒng)運行 第六十九條第六十九條 信息系統(tǒng)上線運行實行安全審查機制 未通過 安全審查的任何新建或改造信息系統(tǒng)不得投產運行 具體要求 如下 一 項目承建單位 部室 應組織制定安全測試方案 進行系統(tǒng)上線前的自測試并形成測試報告 報信息科技部審查 二 信息系統(tǒng)歸口責任業(yè)務部室應在信息系統(tǒng)投產運行 前同步制定相關安全操作規(guī)定 報信息科技部門 三 信息科技部應提出明確的測試方案和測試報告審查 意見 必要時 可組織專家評審或實施信息系統(tǒng)漏洞掃描檢測 第七十條第七十條 信息系統(tǒng)投入使用前信息中心應當建立相應的操 作規(guī)程和安全管理制度 以防止各類安全事故的發(fā)生 13 第七十一條第七十一條 系統(tǒng)管理員負責信息系統(tǒng)的日常運行管理 并 建立重要信息系統(tǒng)運行維護檔案 詳細記錄系統(tǒng)變更及操作過 程 重要業(yè)務系統(tǒng)的系統(tǒng)操作要求雙人在場 第七十二條第七十二條 系統(tǒng)管理員不得兼任業(yè)務操作人員 系統(tǒng)管理 員確需對業(yè)務系統(tǒng)進行維護性操作的 應征得業(yè)務系統(tǒng)歸口責 任 業(yè)務處室同意并在業(yè)務操作人員在場的情況下進行 并詳細 記錄維護內容 人員 時間等信息 第七十三條第七十三條 嚴格用戶和密碼 口令 的管理 嚴格控制各 級用戶對數(shù)據的訪問權限 第七十四條第七十四條 在信息系統(tǒng)運行維護過程中 系統(tǒng)管理人員應 遵守但不限于以下要求 一 合理配置操作系統(tǒng) 數(shù)據庫管理系統(tǒng)所 提供的安全 審計功能 以達到相應安全等級標準 二 屏蔽與應用系統(tǒng)無關的所有網絡功能 防止非法用 戶的侵入 三 及時 合理安裝正式發(fā)布的系統(tǒng)補丁 修補系統(tǒng)存 在的安全漏洞 四 啟用系統(tǒng)提供的審計功能 或使用第三方手段實現(xiàn) 審計功能 監(jiān)測系統(tǒng)運行日志 掌握系統(tǒng)運行狀況 五 按照網絡管理規(guī)范及其業(yè)務應用范圍設置設備的 IP 地址及網絡參數(shù) 非系統(tǒng)管理人員不得修改 第四節(jié)第四節(jié) 信息系統(tǒng)廢止信息系統(tǒng)廢止 第七十五條第七十五條 廢止信息系統(tǒng)及其存儲介質在報廢或重用前 14 應根據其安全級別 進行消磁或安全格式化 以避免信息泄露 第七十六條第七十六條 對已經廢止的信息系統(tǒng)軟件和數(shù)據備份介質 按業(yè)務規(guī)定在一定期限內妥善保存 超過保存期限后需要銷毀 的 應在信息安全領導小組監(jiān)督下予以不可恢復性銷毀 第九章第九章 客戶端安全管理客戶端安全管理 第七十七條第七十七條 本辦法所稱客戶端是指本行計算機用戶 網絡 與信息系統(tǒng)所使用的終端設備 包括聯(lián)網桌面終端 柜面 終端 單機運行 啞 終端 遠程接入終端 便攜式計算機設備等 第七十八條第七十八條 客戶端應安裝和使用正版軟件 不得安裝和使 用盜版軟件 不得安裝和使用與工作無關的軟件 第七十九條第七十九條 客戶端應統(tǒng)一安裝病毒防治軟件 設置用戶密 碼和屏幕保護口令等安全防護措施 確保安裝最新的病毒特征 碼和必要的補丁程序 第八十條第八十條 確因工作需要經授權可遠程接入內部網絡的用戶 應嚴格保存其身份認證介質及口令密碼 不得轉借其他人使用 第八十一條第八十一條 規(guī)范存儲本單位商密信息的計算機設備的安全 管理 包括 開發(fā)用終端 生產主機及其他計算機設備 第十章第十章 信息安全專用產品 服務管理信息安全專用產品 服務管理 第一節(jié)第一節(jié) 資質審查與選型購置資質審查與選型購置 15 第八十二條第八十二條 本規(guī)定所稱信息安全專用產品 是指本行安裝 使用的專用安全軟件 硬件產品 本規(guī)定所稱信息安全服 務 是指本行向社會購買的專業(yè)化安全服務 第八十三條第八十三條 本行負責信息安全服務提供商的資質審查和信 息安全專用產品的選型 由采購科室按照采購程序選購 第八十四條第八十四條 安全專用產品在準入審核時 供應商應提出 申請并提供下列資料 一 公安部頒發(fā)的安全專用產品銷售許可證和其他必須 的證明材料 二 產品型號 產地 功能及報價 三 產品采用的技術標準 產品功能及性能的說明書 四 生產企業(yè)概況 包括人員 設備 生產條件 隸屬 關系等 五 供應商的質量保證體系 售后服務措施等情況的說 明 第八十五條第八十五條 安全專用產品有下列情形之一的 取消其準入 資格 一 安全專用產品的功能已發(fā)生變化 但未通過檢測的 二 經使用發(fā)現(xiàn)有嚴重問題的 三 不能提供良好售后服務的 四 國家有關部門取消其銷售資格的 第二節(jié)第二節(jié) 使用管理使用管理 16 第八十六條第八十六條 掃描 檢測類信息安全專用產品僅限于信息安 全管理人員使用 第八十七條第八十七條 信息科技部定期檢查各類信息安全專用產品使 用情況 認真查看相關日志和報表信息并定期匯總分析 如發(fā) 現(xiàn)重大問題 立即采取控制措施并按規(guī)定程序報告 第八十八條第八十八條 信息科技部應及時升級維護信息安全專用產品 凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產品 應 報信息安全領導小組批準后 按照固定資產報廢審批程序處理 第十一章第十一章 文檔 數(shù)據與密碼應用安全管理文檔 數(shù)據與密碼應用安全管理 第一節(jié)第一節(jié) 技術文檔技術文檔 第八十九條第八十九條 本規(guī)定所稱技術文檔是指本行網絡 信息系統(tǒng) 和機房環(huán)境等建設與運行維護過程中形成的各種技術資料 包 括紙質文檔 電子文檔 視頻和音頻文件等 第九十條第九十條 各部室負責將技術文檔統(tǒng)一歸檔 未經本行領導 批準 任何人不得將技術文檔轉借 復制和對外公布 第二節(jié)第二節(jié) 存儲介質存儲介質 第九十一條第九十一條 建立健全磁帶 光盤 移動存儲介質 縮微膠 片 已打印文檔等存儲介質管理流程 所有存儲介質應保存在 安全的物理環(huán)境中并有明晰的標識 重要信息系統(tǒng)備份介質應 按規(guī)定異地存放 第九十二條第九十二條 做好存儲介質在物理傳輸過程中的安全控制 17 選擇可靠的傳遞方式和防盜控制措施 重要信息的存取需要授 權和記錄 第九十三條第九十三條 加強對移動存儲設備 盤 軟盤 移動硬盤 等 的使用管理 對系統(tǒng)升級專用的移動存儲設備應按照相關 規(guī)定由專人負責管理 第九十四條第九十四條 建立存儲介質銷毀機制 對載有敏感信息的存 儲介質應按照其安全等級 采用安全格式化 消磁等不可復原 的方式進行處置并做好記錄 第九十五條第九十五條 介質管理實施細則詳見 XX 銀行介質管理規(guī) 范 第三節(jié)第三節(jié) 數(shù)據安全數(shù)據安全 第九十六條第九十六條 本規(guī)定中所稱的數(shù)據是指以電子形式存儲的本 行業(yè)務數(shù)據 辦公信息 系統(tǒng)運行日志 故障維護日志以及其 他內部資料 第九十七條第九十七條 數(shù)據的所有者 部室 負責提出數(shù)據在輸入 處理 輸出等不同狀態(tài)下的安全需求 信息科技部負責審核安 全需求并提供一定的技術實現(xiàn)手段 第九十八條第九十八條 嚴格管理業(yè)務數(shù)據的增加 修改 刪除等變更 操作 進行業(yè)務數(shù)據有效性檢查 按照既定備份策略執(zhí)行數(shù)據 備 份任務 并定期測試備份數(shù)據的有效性 第九十九條第九十九條 系統(tǒng)管理員負責定期導出網絡和重要信息系統(tǒng) 日志文件并明確標識存儲內容 時間 密級等信息 日志文件 應至少保留一年 妥善保管 18 第一百條第一百條 本行信息科技部負責建立備份數(shù)據銷毀方面的管 理制度 根據數(shù)據重要性級別分類采取相應的備份數(shù)據的保 存 時限和密級 并根據介質處置相關要求進行銷毀處理 第一百零一條第一百零一條 所有數(shù)據備份介質應注意防磁 防潮 防塵 防高溫 防擠壓存放 恢復及使用備份數(shù)據時需要提供相關口 令密碼的 應把口令密碼密封后與數(shù)據備份介質一并妥善保管 第一百零二條第一百零二條 生產數(shù)據的調用提取應遵守 XX 銀行計算 機系統(tǒng)生產數(shù)據調用及維護操作規(guī)程 第四節(jié)第四節(jié) 口令密碼口令密碼 第一百零三條第一百零三條 信息科技部負責制定和維護密碼管理方面的 制度 嚴格執(zhí)行密碼安全管理策略 第一百零四條第一百零四條 系統(tǒng)管理員 數(shù)據庫管理員 網絡管理員 業(yè)務操作人員的用戶均須設置口令密碼 至少每三個月更換一 次 口令密碼的強度應滿足必要的安全性要求 第一百零五條第一百零五條 敏感信息系統(tǒng)和設備的口令密碼設置應在安 全的環(huán)境下進行 必要時應將口令密碼筆錄 密封交相關部室 保管 未經本行分管領導許可 任何人不得擅自拆閱密封的口 令密碼 拆閱后的口令密碼使用后應立即更改并再次密封存放 第一百零六條第一百零六條 應根據實際情況在一定時限內妥善保存重要 信息系統(tǒng)升級改造前的口令密碼 第五節(jié)第五節(jié) 密碼技術應用管理密碼技術應用管理 19 第一百零七條第一百零七條 本行涉密網絡和信息系統(tǒng)應嚴格 按照國家 密碼政策規(guī)定 采用相應的加密措施 非涉密網絡和信息 系統(tǒng) 應依據本行實際需求和統(tǒng)一安全策略 合理選擇加密措施 第一百零八條第一百零八條 密碼產品和加密算法的選擇應符合國家 相 關密碼管理政策規(guī)定 密碼產品自身的物理和邏輯安全性應符 合本行的相關安全要求 第一百零九條第一百零九條 本行信息科技部負責建立和執(zhí)行密鑰管理方 面的制度 選擇密碼管理人員必須是本單位在編的正式員工 并逐級進行備案 規(guī)范管理密鑰產生 存儲 分發(fā) 使用 廢 除 歸檔 銷毀等過程 第一百一十條第一百一十條 應在安全環(huán)境中進行關鍵密鑰的備份工作 并設置遇緊急情況下密鑰報廢 銷毀機制 第一百一十一條第一百一十一條 各類密鑰應定期更換 對已泄漏或懷疑泄 漏的密鑰應及時廢除 過期密鑰應安全歸檔或定期銷毀 第十二章第十二章 第三方訪問和外包服務安全管理第三方訪問和外包服務安全管理 第一節(jié)第一節(jié) 第三方訪問控制第三方訪問控制 第一百一十二條第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單 位和個人物理訪問本行計算機房 或者通過網絡連 接邏輯訪問 本行數(shù)據庫和信息系統(tǒng)等活動 第一百一十三條第一百一十三條 信息科技部負責在第三方與本行合作前對 其資質進行調查 本行內部信息系統(tǒng)和相關網絡的第三方訪問 授權需經本行領導的審批授權 未經授權的任何第三方訪問均 20 視為非法入侵行為 第一百一十四條第一百一十四條 允許被第三方訪問的本行信息系統(tǒng)和資源 應建立存取控制機制 認證機制 列明所有用戶名單及其權限 嚴格監(jiān)督第三方訪問活動 第一百一十五條第一百一十五條 獲得第三方訪問授權的所有單位和個人應 與本行簽訂安全保密協(xié)議 不得進行未授權的修改 增加 刪 除數(shù)據操作 不得復制和泄漏本行任何信息 第一百一十六條第一百一十六條 第三方訪問控制實施細則詳見 XX 銀行 第三方安全管理規(guī)定 第二節(jié)第二節(jié) 外包服務管理外包服務管理 第一百一十七條第一百一十七條 本規(guī)定所稱外包服務 是指由本行之外的 其他社會廠商為本行信息系統(tǒng) 網絡或桌面環(huán)境提 供全面或部 分的技術支持 咨詢等服務 外包服務應簽訂正式的外包服務 協(xié)議 明確約定雙方義務 第一百一十八條第一百一十八條 外包服務提供商提供上門維護服務的 經 信息科技部批準后 由本行內部人員現(xiàn)場陪同實施 外包服務 提供商不得查看 復制本行內部信息或將內部介質帶離 第一百一十九條第一百一十九條 計算機設備確需送外單位維修時 本行應 徹底清除所存工作信息 必要時應與設備維修廠商簽訂保密協(xié) 議 與密碼設備配套使用的計算機設備送修前必須請生產設備 的科研單位拆除與密碼有關的硬件 并徹底清除與密碼有關的 軟件和信息 第一百二十條第一百二十條 外包服務管理詳見 XX 銀行 IT 外包管理暫 21 行辦法 第十三章第十三章 事件報告 災難備份與應急管理事件報告 災難備份與應急管理 第一節(jié)第一節(jié) 事件報告事件報告 第一百二十一條第一百二十一條 信息安全事件按照信息安全事件報告流程 進行報告 一般信息安全事件應逐級通報 發(fā)生因人為 自然 原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失 較大的重大信息安全事件 應上報告計算機安全領導小組 第一百二十二條第一百二十二條 重大信息安全事件發(fā)生后 相關人員應注 意保護事件現(xiàn)場 采取必要的控制措施 調查事件原因 并及 時報告主管領導及計算機安全領導小組 必要時啟動相關應急 預案 第二節(jié)第二節(jié) 災難備份管理災難備份管理 第一百二十三條第一百二十三條 災難備份是指利用技術 管理手段以及相 關資源 確保已有業(yè)務數(shù)據和信息系統(tǒng)在地震 水災 火災 戰(zhàn) 爭 恐怖襲擊 網絡攻擊 設備系統(tǒng)故障 人為破壞等無法 預料的突發(fā)事件 以下稱 災難 發(fā)生后在規(guī)定的時間內可以 恢復和繼續(xù)運營的有序管理過程 第一百二十四條第一百二十四條 本行在本行計算機信息系統(tǒng)應急領導小組 統(tǒng)一領導下 組織開展重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃 實 施和管理 第一百二十五條第一百二十五條 本行業(yè)務部室負責提出業(yè)務系統(tǒng)災難備份 需求 明確可容忍的業(yè)務中斷時間和數(shù)據丟失量 本行據此確 22 定災難備份等級和備份方案 第一百二十六條第一百二十六條 本行業(yè)務部室和本行協(xié)同建立健全災難恢 復計劃 定期開展災難恢復培訓 在條件許可的情況下 每年 進行一次重要信息系統(tǒng)的災難恢復演練 第三節(jié)第三節(jié) 應急管理應急管理 第一百二十七條第一百二十七條 本行信息科技部負責制定和持續(xù)完善網絡 信息系統(tǒng)和機房環(huán)境等應急預案 應急預案應包括以下基本內 容 一 總則 目標 原則 適用范圍 預案調用關系等 二 應急組織機構 三 預警響應機制 報告 評估 預案啟動等 四 各類危機處置流程 五 應急資源保障 六 事后處理流程 七 預案管理與維護 生效 演練 維護等 第一百二十八條第一百二十八條 本行計算機信息系統(tǒng)應急領導小組統(tǒng)一負 責各業(yè)務系統(tǒng)的應急協(xié)調與指揮 決策重大事宜 決定應急預 案的啟 動 災難宣告 預警相關單位等 和調動應急資源 第一百二十九條第一百二十九條 本行定期組織應急預案演練 指定專人管 理和維護應急預案 根據人員 信息資源等變動情況以及 演練 情況適時予以更新和完善 確保應急預案的有效性和災難發(fā)生 時的可獲取性 第一百三十條第一百三十條 在信息系統(tǒng)推廣應用方案中應同時設計應急 23 備份策略 同步實施備份方案 第一百三十一條第