银行信息科技文档管理制度模版.docx

银行信息科技文档管理制度 第一章总则 第一条为规范某银行科技文档的管理，以便更好的分析利用，防范科技风险，特制定本规定。 第二条信息科技文档是指某银行科技开发部开展各类信息系统建设、应用、管理过程中形成的，具有保存价值的计算机程序、文档、图表、数据、影像资料等以各种形式为载体的文件材料。 第三条科技文档管理应当遵循全面搜集，依法保管，合理利用的原则。 第二章归档与保管 第四条科技开发部工作人员在开展工作过程中，形成的资料应及时按照有关规范进行整理，并及时提交。 第五条文档的整理 （一）分类 技术文档分类原则： 1.按项目分类整理。比如按制度、规范性文档、管理类、设备类、项目类进行分类。 2.按内容分类：立项、需求、开发、测试、上线、运行管理等。 3.遵循其他有关技术文档分类的原则。 （二）编号 整理完毕后，应进行编号，注明类别、年度、日期、项目名称、所编的号码不得出现重复。 第六条文档的归档 （一）综合管理岗根据整理后的信息科技文档填写《信息科技文档管理台帐》（见附件1）进行归档。 （二）归档范围 信息科技档案包括：信息化项目建设的论证报告、设计方案、审批资料、采购资料；各类系统的建设资料、开发资料，各类源代码、各类文档、各种设备资料、数据资料、各类记录等。 （三）档案的介质 文档包括以各类形式存放的信息资料档案，如：纸质资料、光盘、 磁带、硬盘、存储卡、IC卡、专用存储设备等。第七条文档的保管 （一）科技档案保管应做到‚六防‛、‚五无‛、‚二不‛：1．六防：防盗、防火、防潮、防尘、防虫、防有害生物。 2.五无：无虫蛀、无鼠咬、无霉烂、无损坏、无化学异味。 3.二不：不丢失、不泄密。 磁介质文档保管应具备防磁条件，按规定需双备份的科技文档应异地分别存放。 （二）科技文档管理的基本要求 1.信息科技文档应做到妥善保管、有序存放、方便查阅。 2.基于技术文档的特殊性，应安装专用存放、存储系统或设备保管各类技术档案。如防磁、防辐射等特殊要求的设备、设施。 第五章附则 第八条本办法由某银行制定并负责解释。第九条本办法自发布之日起施行。 二〇**年六月三十日某银行信息科技资产管理制度第一章范围及职责 第一条本制度适用于信息资产的管理，包括：获取、分类、使用和处置以及安全设备的管理。 第二条本制度中的信息资产是指可以存储信息数据的信息载体，包括：硬件、软件、数据（电子数据）、文档（纸质文件）、人员、服务设施、其他。 第三条计算机资产统计信息的范围包含但不限于：计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。 第二章信息资产的获取 第四条软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照有关规定进行采购和验收。 第五条数据信息资产的获得来源主要为：外包供应商、市场信息、其他信息。 第三章信息资产的分类 第六条各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门（组别）、管理者、使用者、地点等相关信息记录在资产清单上。 第七条资产的分类原则和编号原则如下：一、硬件 1、计算机设备：(台式机、笔记本)、服务器; 2、存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等； 3、网络设备：路由器、交换机、网关、程控交换机等； 4、传输线路：光纤、双绞线、电话线(布线)、电源线； 5、安全设备：硬件防火墙、入侵检测、身份验证等； 6、办公设备：打印机、复印机、扫描仪、传真机等； 7、保障设备：动力保障设备（UPS、变电设备）、空调、保险柜、文件柜、门禁、消防设施等； 8、其他设备；二、软件 如：操作系统、系统软件、应用软件（生产软件）、网管软件、杀毒软件、开发工具等； 三、电子数据 存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、、用户手册、方案、电子设计图纸等； 四、纸质文件 纸质的各种文件。如：合同、纸张图纸等；五、服务性设施 如：供电、供水、保洁、门禁、消防设施等；六人员 如：各级领导、各级正式员工、临时员工等；七、其他。 第八条按照《涉及国家秘密的信息系统分级保护技术标准》和信息安全管理体系建设要求，将信息资产化分为不同的保护等级，并对 不同等级的信息资产进行保护，确保信息安全。 第九条对信息资产进行编号，同时对重要信息资产进行标识：第四章信息资产的使用和处置 （一）硬件资产的使用和处置 第十条购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记。由资产管理员对硬件设备进行管理，明确设备管理职责。 第十二条硬件资产的保存 一、机房选址要避免在地下室、一楼和顶层，同时考虑相邻楼层的活动； 二、处理敏感数据的信息处理设施放在适当安全的位置，以减少在设备在使用期间信息被窥视的风险； 三、设备的选址应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏； 四、对专门保护的部件要予以隔离，以满足特殊安全要求；第十三条硬件资产的日常使用安全 一、所有的硬件资产必须明确设备的使用人员/管理人员，明确职责； 二、硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用； 对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置；三、新硬件设备接入网络按照相关规定处理； 四、在人员上岗时，可根据需要为上岗人员配备必要的办公设备，包括电脑（笔记本或台式机），电话机，其它办公用品； 五、需要使用移动计算设备（包括笔记本、无线网卡、移动硬盘和U盘）的人员，应得到负责人的同意后方可使用； 六、对于无人职守的设备，要明确管理人员，加强物理安全控制。第十四条硬件资产的转移安全 一、当设备迁移时，必须先对设备中存储的重要信息进行备份； 二、设备迁移完成后，必须检查设备是否损坏； 三、设备迁移出本单位时，设备中禁止存放重要信息，以防止机密信息泄露或泄露的风险增加。 第十五条办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护内容： 一、离开本单位的设备和介质（如现场的设备和介质），必须有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统)；二、制造商保护设备用的说明书要始终加以遵守，例如，防止暴露 于强电磁场内； 三、根据风险的不同采取足够的安全保障措施，以保护离开办公室设备的安全。 第十六条硬件资产的处置和重用 一、存储设备销毁前，必须确保所有存储的敏感数据或授权软件已经被移除或安全重写； 二、如需报废时，应向主管部门提出报废申请，经批准后报废。 （二）软件资产的使用和处置第十七条软件资产的使用 一、所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失，泄密； 二、所有正版软件实体由专人保管，在安装软件时要规定使用权限，防止非授权访问； 三、按照系统运行维护管理制度，对重要系统进行备份； 四、当人员离职或岗位变动，需要回收有关的软件，必要时，由负责人对离职人员使用的软件进行卸载，删除。 第十八条软件资产的处置：对过时或确认无效的软件资产，定期进行清除。 （三）电子数据的使用和处置第十九条电子数据的使用 一、对所有电子数据进行分类/分级，标识未授权人员的访问限制，不同安全级别的数据应存储在不同的区域，按类按级传达，便于信息的安全管理； 二、不同类型的电子文件按照统一规律存放在电脑或服务器中，便于整理和查阅以及工作交接时转移； 三、对于存于服务器上的电子数据的访问，根据服务器提供服务的，设置不同的访问权限，避免非授权访问； 四、对于秘密级别以上的电子文件的处理过程，应进行审计,必须保障数据的完整性、机密性和可用性； （四）纸质文档的使用和处置第二十条纸质文档的使用 一、所有的秘密级以上的纸质文件资料要（通过标签或其它方式）标识出资产的保密级别，分类存放，不同安全级别的纸质文件应按类按级传达，便于纸质文件的安全管理； 二、对于比较重要的纸质文件（机密级别以上）必须保存在带锁的文件柜或保险柜中，钥匙由专人保管； 三、对于纸质文件的保存期限依据实际要求制定和实施； 四、对于比较重要的纸质文件的使用过程，必须注意信息的保密，确保信息的完整性和可用性； 五、对于比较重要的纸质文件的传输，必须采取适当的安全措施加以保护，如专人递送、分散传输等。 第二十一条纸质文档的处置 一、实体数据资料达到保存期限后，必须将其撕毁或者粉碎到读不出来为止，避免实体数据资料的泄密； 二、对于重要纸质文件的销毁，如财务纸质文件，要求两人以上在场，防止信息的泄密。 （五）服务性资产的使用和处置 第二十二条所有服务性资产要设置专人管理，定期维护，避免损坏、非授权使用或丢失。涉及服务性的合同，相关管理部门在签署合同时，应审核涉及信息保密的相关条款。 第二十三条当服务性设施损坏，如果可以维修，由负责人联络相关人员进行维修，如果涉及到第三方，将对第三方进行管理。 第二十四条当服务性设施损坏，不可维修，只能报废时，应联络相关管理部门提出报废申请。 第五章安全设备管理 （一）设备的选型 第二十五条严禁采购和使用未获得销售许可证的信息安全产品。第二十六条应优先采用我国自主开发研制的信息安全技术和设 备。 第二十七条避免采用境外的密码设备。 第二十八条如需采用境外信息安全产品时，必须确保产品获得我国权威机构的认证测试和销售许可证。 第二十九条使用经国家密码管理部门批准和认可的国内密码技术及相关产品。 第三十条终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。 （二）设备检测 第三十一条信息系统中的所有安全设备必须符合中华人民共和国国家标准，其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。 （三）设备安装 第三十二条设备符合系统选型要求并获得批准后，方可购置安装。第三十三条凡购回的设备均须在测试环境下经过连续72小时以上 的单机运行测试和联机48小时的应用系统兼容性运行测试。 第三十四条主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测，禁止安装有默认操作系统的主机、服务器直接接入系统。 第三十五条通过上述测试后，设备进入试运行阶段，试运行时间的长短根据业务需要动态设定。 第三十六条通过试运行的设备才能接入生产系统，正式运行。 （四）设备登记 第三十七条对所有设备均应建立严格完整的购置、移交、使用、维护、维修和报废等记录，认真做好资产登记和管理工作，保证设备管理的正规化。 （五）设备使用管理 第三十八条每台设备的使用均应指定专人负责并建立详细的运行日志。 第三十九条由责任人负责进行设备的日常清洗及定期保养维护，做好维护记录，保证设备处于最佳状态。 第四十条保证设备在其适宜的使用环境下工作。 第四十一条一旦设备出现故障，管理员如实填写故障报告，通知有关人员处理。 （六）设备维修管理 第四十二条设备由专人负责维修，并建立满足正常运行最低要求的易损件的备件库。 第四十三条根据每台设备的使用情况及系统的可靠性等级，制定预防性维修计划。 第四十四条对系统进行维修时必须采取数据保护措施，安全设备维修时应有安全管理员在场。 第四十五条对设备进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。 第四十六条对设备应规定折旧期，设备到了规定使用年限或因严重故障不能恢复，由专业技术人员对设备进行鉴定和残值估价，并对设备情况进行详细登记，提出报告书和处理意见，由主管领导和上级主管部门批准后方能进行报废处理。 （七）设备储存管理 第四十七条设备储存环境应符合出厂标称要求。 第四十八条建立详细的设备进出库、领用和报废登记。 第四十九条必须定期对储存设备进行清洁、核查及通电检测。第五十条安全产品及保密设备必须单独储存并有相应的保护措 施。 第六章附则 第五十一条本办法由某银行制定、解释。 第五十二条本办法自发布之日起执行 二〇**年六月三十日