某商業(yè)銀行信息安全管理辦法

XX銀行信息安全管理辦法第一章總則第一條為加強(qiáng)乂乂銀行（下稱(chēng)“本行"）信息安全管理，防范信息技術(shù)風(fēng)險(xiǎn),保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。第二條本辦法所稱(chēng)信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。第三條本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)"的原則，逐級(jí)落實(shí)部門(mén)與個(gè)人信息安全責(zé)任。第四條本辦法適用于本行.所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法。第二章組織保障第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜.第六條各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員，——#—報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。必要時(shí)啟動(dòng)相關(guān)應(yīng)急預(yù)案。第二節(jié)災(zāi)難備份管理第一百二十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱(chēng)“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程.第一百二十四條本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，組織開(kāi)展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。第一百二十五條本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量.本行據(jù)此確定災(zāi)難備份等級(jí)和備份方案。第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃，定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。第三節(jié)應(yīng)急管理第一百二十七條本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。應(yīng)急組織機(jī)構(gòu)。（三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。（四）各類(lèi)危機(jī)處置流程。（五）應(yīng)急資源保障.（六）事后處理流程。（七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。第一百二十八條本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第一百二十九條本行定期組織應(yīng)急預(yù)案演練，指定專(zhuān)人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性.第一百三十條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。第一百三十一條應(yīng)急管理實(shí)施細(xì)則詳見(jiàn)《XX銀行計(jì)算機(jī)信息系統(tǒng)應(yīng)急管理制度》。第十四章安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)第一百三十二條本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評(píng)估工作。第一百三十三條本行負(fù)責(zé)每年組織對(duì)各部室、各分支機(jī)構(gòu)的計(jì)算機(jī)安全運(yùn)行情況進(jìn)行檢查（以下簡(jiǎn)稱(chēng)“對(duì)下安全檢查”）.第一節(jié)安全監(jiān)測(cè)第一百三十四條本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專(zhuān)用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè).第一百三十五條本行各部室要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)相關(guān)部門(mén)。第二節(jié)安全檢查第一百三十六條本行安全檢查包括對(duì)本行本級(jí)的安全檢查和對(duì)下安全檢查.安全檢查方式可以是自查、檢查、抽查或上級(jí)檢查多種方式。第一百三十七條開(kāi)展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計(jì)劃等，確保檢查工作的可操作性和規(guī)范性。第一百三十八條安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查部門(mén)。要求限期整改的，需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。第一百三十九條參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié)安全評(píng)估第一百四十條安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)主管領(lǐng)導(dǎo).第一百四十一條如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)報(bào)本行主管部門(mén)批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行.本行信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。第一百四十二條應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第四節(jié)安全審計(jì)第一百四十三條適時(shí)開(kāi)展信息系統(tǒng)日常運(yùn)行管理和信息安全事件的技術(shù)審計(jì)，發(fā)現(xiàn)問(wèn)題按照相關(guān)規(guī)定及時(shí)上報(bào)主管領(lǐng)導(dǎo)。第一百四十四條應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理,應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第一百四十五條本行各部室及人員應(yīng)積極支持與配合上級(jí)