银行计算机系统信息安全管理实施细则模版.docx

资源描述

1、计算机系统信息安全管理实施细则第一章总则第一条为加强江苏全省银行计算机系统信息安全管理，防范计算机信息技术风险，保障计算机网络与信息系统安全稳定运行，根据银行信息系统信息安全等级保护实施指引（试行）（银发2011173号）、中国银行计算机系统信息安全管理规定（银发2010276号）等规定，特制定本实施细则。第二条本细则所称计算机系统信息安全管理（以下简称信息安全管理），是指在银行计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。第三条信息安全管理工作实行统一领导、分级管理。银行xxx分行统一领导全省分支机构的信息安全

2、管理，各地市中心支行、县（市）支行负责本单位和辖内信息安全管理。第四条信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。第五条本细则适用于银行xxx分行机关、分行营管部、各地市中心支行及县（市）支行（以下统称各单位）。第二章组织保障第六条各单位应设立由本单位领导和业务、技术相关部门主要负责人组成的信息安全领导小组，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。各单位信息安全领导小组办公室设在本单位科技部门，负责开展本单位信息安全管理日常工作。第七条各单位科技部门应设立信息安全管理部门或岗

3、位。银行xxx分行科技处配备专职信息安全管理员，地市中心支行和县（市）支行设立信息安全管理岗位。第八条各单位每个部门应指定至少1名部门计算机安全员，具体负责本部门的信息安全管理工作，协同科技部门开展信息安全管理工作。第三章人员管理第一节人员管理第九条各单位应规范人员录用过程，由组织人事部门和科技部门共同对被录用科技人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核。第十条凡是因违反国家法律法规和金融机构有关规定受到过处罚或处分的人员，不得从事信息安全管理工作。所有被录用人员必须与所在单位签署保密协议。第十一条各单位应规范人员离岗过程，严格办理调离手续，取回各种身份证

4、件、钥匙、徽章等以及本单位提供的软硬件设备，及时终止离岗员工的所有访问权限。关键岗位人员离岗，应签订保密承诺书承诺离岗后的保密义务。第十二条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。信息安全管理员第十三条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。第十四条银行xxx分行应每年至少组织信息安全管理员进行一次信息安全培训。第十五条信息安全管理员履行以下职责：（一）组织落实上级信息安全管理规定和本单位及辖内信息安全保障工作，制定信息安全管理制度，协调部门计算机安全员工作；（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设、维护

5、、管理信息安全专用设施；（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题及时通报和预警，并提出整改意见，统计分析和协调处置信息安全事件；（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第十六条信息安全管理员在履行职责时，确因工作需要查询相关涉密信息，应按银行相关保密规定执行。第十七条对信息安全管理员应实行备案管理。信息安全管理员的配备和变更情况，应及时报上一级科技部门备案。部门计算机安全员第十八条各部门应指派政治思想过硬、较熟悉计算机知识的人员担任部门计算机安全员，并报本单位科技部门备案，如有变更应及时通报。

6、第十九条各部门应优先选派部门计算机安全员参加本单位科技部门组织的计算机技术培训，部门计算机安全员应积极配合信息安全管理员工作。第二十条部门计算机安全员履行以下职责：（一）配合本单位科技部门完成本部门计算机病毒防治、补丁升级、非法外联防范、移动存储介质管控等工作；（二）提出本部门信息安全保障需求，及时与科技部门沟通本部门信息安全情况；（三）负责本部门网络使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。技术支持人员第二十一条本细则所称技术支持人员，是指负责或参与各单位机房环境、网络、计算机系统等建设、运行、维护的人员，包括内部技术支持人员和外部技术

7、支持人员。第二十二条各单位科技部门设立的内部技术支持人员，包括系统管理员、网络管理员、数据库管理员、安全管理员、机房管理员等岗位，并实行A、B角负责制，制定相应岗位职责。第二十三条计算机系统的开发人员不能兼任系统管理员或业务操作员，系统管理员不得兼任业务操作员，安全管理员不能兼任网络管理员、重要计算机系统管理员和数据库管理员等。第二十四条内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应履行以下职责：（一）严格遵守各项安全保密规定；（二）严格权限访问，未经业务部门书面授权，不得擅自修改系统业务应用设置或修改系统生成的任何业务数据；（三）检测和监控生产系统安全运行状况，

8、定期进行风险评估、应急演练，发现安全隐患或故障及时报告本部门主管领导，并及时响应和处置。（四）严格遵守网络和信息系统管理规定，保障信息系统稳定运行。第二十五条外部技术支持人员应严格履行服务外包合同（协议）中的各项安全承诺，在提供技术服务期间，应严格遵守银行相关安全规定与操作规程。业务操作人员第二十六条本细则所称业务操作人员，是指直接使用计算机系统处理业务的业务部门工作人员。第二十七条业务操作人员履行以下职责：（一）严格按规程操作，定期修改并妥善保管操作密码，按需、适时进行必要的数据备份；（二）一旦发现计算机系统出现异常，应及时通报科技部门；（三）不得在业务操作终端上安装与业务处理无关的计

9、算机软件和硬件，不得擅自修改计算机系统及其运行环境参数。第二十八条计算机系统业务操作应按照“权限分散、相互制约”原则，合理划分操作角色，严格进行授权管理。技术支持人员不得兼任业务操作人员。一般计算机用户第二十九条本细则所称一般计算机用户，是指使用计算机及外设的所有人员。第三十条一般计算机用户履行以下职责：（一）及时更新所用计算机安全专用系统客户端软件，并安装必要的补丁程序，按规定使用移动存储介质，自觉接受本部门计算机安全员的指导与管理；（二）不得安装与工作无关的计算机软件和硬件，不得擅自修改计算机系统及其运行环境参数。第三十一条不得私自改变计算机用途，不得将一台计算机跨接不同网络。未经

10、科技部门核准（办公网和互联网还应由保密部门核准），所有计算机用户不得将计算机设备接入银行任何网络。第二节教育培训第三十二条各单位应定期对各岗位人员进行安全技能及安全认知的考核。第三十三条各单位应制定安全教育培训计划，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。第三十四条各单位科技部门负责对本单位部门计算机安全员进行培训，部门计算机安全员应积极参加。第三节授权和审批第三十五条各单位应根据银行分支机构的职责以及银行xxx分行有关科技工作授权和审批的规定，明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等科技管理关键活动进行审批。第三十六条各单位

11、应针对科技管理关键活动建立审批流程，并由批准人签章确认。第四节沟通和合作第三十七条各单位应加强与公安、金融、供电、电信等单位及银行其他单位之间的合作与沟通。第三十八条各单位应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。第四章机房环境和设备资产管理第一节机房安全管理第三十九条本细则所称机房，是指网络与计算机设备放置、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。第四十条各单位机房的规划、建设、改造、运行、维护，应遵守国家及银行计算机机房管理相关规定。第四十一条各单位应建立集中的计算机机房，统一为各计算机系统提供运行环境。机房设施配

12、备应符合国家计算机机房有关标准要求。第四十二条各单位机房建设（改造）的方案应报上一级科技部门备案。必要时，由上一级科技部门会同有关部门组织审核。第四十三条各单位机房建设的设计与实施，应选择具备符合国家相关资质要求的企业，必要时可引入监理机制。未经验收或验收不合格的机房，不得正式投入使用。第四十四条各单位应指派专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。第四十五条各单位应定期对机房设施进行维修保养，加强对易损、易失效设备或部件的维护保养。机房视频监控的值守由科技部门与大楼保卫部门协商确定。第二节柜面和核心业务处理环境安全管理第四十

13、六条对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。第三节设备资产管理第四十七条各单位应做好计算机设备登记工作，严格设备资产管理，明确计算机设备使用者或管理者及其安全责任。应编制并保存设备资产清单，包括资产责任部门、重要程度和所处位置等内容。第四十八条各单位应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未经授权使用设备或信息。有特殊安全保密要求的计算机设备，应放置在机房特殊功能区，并遵守相关安全保密规定。第五章网络安全管理第一节网络规划、建设中的安全管理第四十九条银行总行科技部门负责网络和网络安全的统一

14、规划、建设部署、策略配置和网络资源（网络设备、通讯线路、IP地址段和域名等）分配。涉密网络和涉密信息系统的规划、建设按照国家涉密信息系统分级保护相关标准和规定执行。第五十条各单位科技部门应按照银行总、分行的统一规划和部署，组织实施网络建设、改造工程。网络建设与改造方案应报上一级科技部门审核，投产前应通过安全性测试。第五十一条各单位的网络建设和改造应符合以下安全要求：（一）符合银行网络架构规划和安全管理要求，保障网络传输与应用安全；（二）具备必要的网络监控、审计等管理功能；（三）针对不同的网络安全域，采取相应的网络边界控制措施。第二节网络运行安全管理第五十二条各单位科技部门应配备网络管理

15、员，负责网络日常监测，检查网络安全运行状况，定期检查网络日志，管理网络资源及其配置信息，建立健全网络安全运行维护档案，及时发现和解决网络异常情况。网络日志应至少妥善保存3个月。第五十三条网络管理员应定期参加网络安全技术培训，具备一定的网络攻击防范技能。紧急情况下，经本部门主管领导批准后，可采取“先断网、后处理”的紧急应对措施。第五十四条各单位科技部门应严格网络接入管理。任何设备接入网络前，应经过科技部门审核，审核批准后方可接入网络并分配相应的网络资源。第五十五条各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，变更信息应做好记录。网络

16、变更原则上应安排在非工作时间进行。实施有可能影响网络正常运行的重大网络变更，应报上一级科技部门审批后执行，提前通知所有使用部门，并安排在节假日进行，同时做好配置参数的备份和应急恢复准备，在实施完成后及时将变更情况报上一级科技部门备案。第五十六条各单位应严格远程访问控制，确因工作需要进行远程访问的，应由访问发起单位科技部门核准，提请被访问单位科技部门开启远程访问服务，并采取单列账户、最小权限分配、及时关闭远程访问服务等安全防护措施。第五十七条各单位应根据系统推广要求，划分不同的子网或网段，应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。第

17、五十八条信息安全管理员经本部门主管领导批准后，有权对本单位或辖内网络进行安全检测、扫描。检测、扫描结果属敏感信息，未经授权不得对外公开。未经银行总行科技部门授权，任何外部单位与人员不得检测或扫描银行内部网络。第五十九条各单位应以不影响正常网络传输为原则，合理控制多媒体网络应用规模和范围。未经银行总行科技部门批准，不得在银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。第三节网间互联安全管理第六十条本细则所称网间互联，是指为满足银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。第六十一条网间互联由银行总行科技部门统一规划，按照相关标准组织实施，未经银行总行

18、或xxx分行科技部门核准，任何单位不得自行与外部机构实施网间互联。第四节接入互联网管理第六十二条银行内部网络与互联网实行安全隔离。所有接入银行内部网络或存储有敏感工作信息的计算机未经处理不得接入互联网。第六十三条计算机接入互联网应通过本单位保密部门批准，并确保安装有可靠的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网，并做好备案。第六十四条曾接入银行内部网络的计算机需改接入互联网前，或者曾接入互联网的计算机需改接入银行内部网络前，应重新办理入网审批手续，并经过科技部门采取更换硬盘、重新安装系统等安全措施后，方可实施接入。第六十五条从互联网下载的任何信息，未经病毒检测不得在银

19、行内部网络上使用。第六十六条使用互联网的所有用户应遵守国家有关法律法规和银行相关管理规定，不得从事任何违法违规活动。第六章计算机系统安全管理第六十七条本细则所称计算机系统，是指银行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第一节计算机系统规划与立项第六十八条计算机系统建设项目应在规划与立项阶段同步考虑安全问题，设计方案应满足银行信息系统建设安全的相关要求。第六十九条业务需求提出部门应提出数据安全需求，科技部门进行安全性需求分析，未通过科技部门组织的安全性审查的项目不得予以立项。第七十条使用上一级机构计算机系统资源或对其他机构计算机系统资源

20、与配置造成影响的区域性建设项目，项目建设方案应分别通过上一级机构业务与科技部门的审核、批准。第二节计算机系统开发与集成第七十一条计算机系统开发应符合银行信息化架构规划，依据安全需求进行安全设计，保证安全功能的完整实现。第七十二条承担单位应与外部开发单位签署相关知识产权保护协议和保密协议。外部开发单位应在完成开发任务后将程序源代码(软件产品范畴之外，为满足制定需求而涉及的源代码)及其相关技术文档全部移交承担单位，不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。第七十三条计算机系统的开发不得在程序中设置后门或恶意代码程序。第七十四条计算机系统开发、测试不得在生产环境中进

21、行。测试环境与生产环境应安全隔离，防范安全威胁经由测试环境影响生产环境。第七十五条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位，并签订严格的保密协议。第三节计算机系统定级与测评第七十六条各单位应明确各类信息系统的安全保护等级，指定专人负责管理系统定级的相关材料。第七十七条应确保各类信息系统的定级符合国家及银行等级保护要求，结果经过相关单位或部门的批准。第四节计算机系统安全方案设计第七十八条应根据系统的安全保护等级采取相应安全措施，依据风险分析的结果补充和调整安全措施。第七十九条应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案。

22、第五节计算机系统运行第八十条各单位计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下：（一）项目承担单位应组织制定安全测试方案，进行系统上线前的自测试，测试报告报科技部门审查；（二）计算机系统业务主管部门应在计算机系统投产前，同步制定相关安全操作规程，报科技部门备案；（三）计算机系统上线运行前科技部门应提出明确的测试方案和测试报告审查意见，必要时可组织专家评审或实施计算机系统漏洞扫描检测；（四）各单位自主开发的应用程序，未经上一级科技部门批准，不得运行在上一级机构数据中心资源环境中。第八十一条各单位科技部门应明确各计算机系统的系统管理员

23、，具体负责计算机系统的日常运行管理，定期检查系统日志，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。进行重要计算机系统的系统设置时至少两人在场。第八十二条系统管理员不得对业务数据进行任何增加、删除、修改、查询等操作。系统管理员确需对计算机系统数据库进行技术维护性操作的，应经业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。第八十三条未经业务部门书面批准，任何人不得擅自使用业务操作用机，不得擅自设置、分配、使用、修改和删除业务操作人员身份、口令和业务数据等信息，不得擅自改变用户权限。第六节业务操作第八十四条业务部门负责计算机系统用户和

24、权限设定，必要时，提请科技部门进行设定操作。第八十五条业务操作人员应严格按照安全操作规程进行业务操作、数据备份，并配合科技部门保障信息安全。第八十六条业务操作人员设置本人口令密码后要妥善保管，并按照相关规定要求定期更换。第八十七条根据业务制约要求，业务数据的录入、复核分岗设立，特别重要的业务数据录入应增设审查岗。以上岗位不得由一人兼任。第八十八条业务操作人员离开操作用机时，应注销或锁屏。第七节计算机系统废止第八十九条计算机系统需要废止的，由使用计算机系统的业务部门提出废止申请，科技部门组织进行安全检查后废止，同时备案。第九十条超过保存期限的已经废止的计算机系统软件和数据备份介质需

25、要销毁的，应由业务部门申请，并由本单位保密部门组织或监督，在指定的场所按照有关规定予以不可恢复性销毁。第七章客户端安全管理第九十一条本细则所称客户端，是指各单位计算机用户、网络与信息系统所使用的终端设备，包括各类有线或无线、桌面或便携设备。第九十二条客户端应安装和使用正版软件，不得安装和使用与工作无关的软件。第九十三条客户端应设置用户密码和屏幕保护口令等安全防护措施，一般客户端均应统一安装病毒防治软件、补丁分发客户端和必要的补丁程序，有特殊情况的除外。第九十四条确因工作需要经授权可远程接入内部网络的用户，应妥善保管其身份认证介质及口令密码，不得转借他人使用。第八章信息安全产品、服务

26、管理第一节资质审查与选型购置第九十五条本细则所称信息安全产品，是指银行安装使用的信息安全产品，包括软件、硬件产品。本细则所称信息安全服务，是指银行向社会购买的专业化信息安全服务。第九十六条银行总行科技部门负责信息安全服务提供商的资质审查和信息安全产品的选型，由各单位按照集中采购程序选购。第九十七条各单位购置扫描、检测类信息安全产品应报银行xxx分行科技部门批准、备案。第二节使用管理第九十八条各单位科技部门应建立信息安全产品资产登记机制，建立信息安全类固定资产登记簿并由专人负责管理。扫描、检测类信息安全产品仅限于本单位信息安全管理人员使用。第九十九条各单位科技部门应每天定时检查各类

27、信息安全产品使用情况，认真查看相关日志和报表信息并定期汇总分析。若发现重大问题，应立即采取控制措施并按规定程序报告。第一百条各类信息安全产品在使用中产生的日志和报表信息属于重要技术资料，应至少备份存档3个月。第一百零一条各单位科技部门应及时升级维护信息安全产品，凡超过使用期限的或不能继续使用的信息安全产品，应按照固定资产报废审批程序处理。第一百零二条防火墙、入侵检测等信息安全产品原则上应在本地配置。如需要进行远程配置，科技部门或经科技部门授权的人员可在采取了必要安全控制措施的可信网络内进行相关操作。第九章文档、数据与密码应用安全管理第一节技术文档第一百零三条本细则所称技术文档，是指

28、各单位网络、计算机系统和机房环境等建设、运维及管理过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。第一百零四条各单位科技部门负责将技术文档统一归档，实行借阅登记制度。未经科技部门领导批准，任何人不得将技术文档转借、复制或对外公开。第二节存储介质第一百零五条各单位应做好磁带、移动存储介质（含光盘、磁盘、半导体存储介质）、缩微胶片等存储介质管理工作。所有存储介质应保存在安全的物理环境中，并有明晰的标识，重要数据应建立多重备份机制。第一百零六条各单位应做好存储介质在物理传输过程中的安全控制，应选择安全可靠的传递、交接方式，做好防信息泄露控制措施。重要信息的存取需要授权和登

29、记。第一百零七条所有部门和个人应加强对移动存储介质和笔记本电脑的管理。第一百零八条各单位应严格管理移动存储介质，定期核查所配发移动存储介质的使用情况，严禁违规使用移动存储介质。第一百零九条各单位应加强存储介质销毁管理。拟销毁的涉密移动存储介质在完成涉密信息清除处理后，应由科技部门会同保密部门统一送国家保密局或保密局指定的单位进行物理或化学销毁处理；县（市）支行定期交给所属中心支行统一集中销毁。第三节数据安全第一百一十条本细则中所称数据，是指各单位以电子形式存储的业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。第一百一十一条各单位业务部门负责提出数据在输入、处理、输出

30、等不同状态下的安全需求，科技部门负责审核安全需求并提供一定的技术实现手段。第一百一十二条各单位业务部门应严格管理业务数据的增加、删除、修改等变更操作，按照既定备份策略执行数据备份操作，并在科技部门的配合下，定期测试备份数据的有效性。第一百一十三条各单位应定期导出重要计算机系统业务日志文件，并加以明确标识。日志文件应至少妥善保存3个月。第一百一十四条各单位业务部门应明确规定备份数据的保存期限，做好备份数据的销毁审查和登记工作。第一百一十五条所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。第四

31、节口令密码第一百一十六条各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码，并至少每3个月更换一次。口令密码的强度应满足不同安全性要求。第一百一十七条敏感计算机系统和设备的口令密码设置应在安全的环境下进行，必要时应将口令密码纸质密封保管。未经科技部门主管领导许可，任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。第一百一十八条各单位应根据实际情况在一定时限内妥善保管重要计算机系统升级改造前的口令密码。第五节密码技术应用管理第一百一十九条各单位涉密网络和计算机系统应严格按照国家密码政策规定，采用相应的加密措施。非涉密网络和信息系统

32、应依据实际需求和统一安全策略，合理选择加密措施。第一百二十条各单位选用的密码产品和加密算法应符合国家相关密码管理政策规定，密码产品自身的物理和逻辑安全性应符合银行的相关安全要求。第一百二十一条各单位应建立严格的密钥管理体制，密码管理人员必须是本单位在编的正式员工，并逐级进行备案，规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。第一百二十二条各单位应在安全环境中进行关键密钥的备份工作，并设置遇紧急情况下密钥自动销毁功能。第一百二十三条各类密钥应定期更换，对已泄漏或怀疑泄漏的密钥应及时废除，过期密钥应安全归档或定期销毁。第十章第三方访问和服务外包安全管理第一节第三方访问控制

33、第一百二十四条本细则所称第三方访问，是指银行之外的单位和个人物理访问各单位计算机机房或者通过网络连接逻辑访问各单位数据库和计算机系统等活动。第一百二十五条各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经授权的任何第三方访问均视为非法入侵行为。第一百二十六条允许被第三方访问的各单位计算机系统和网络资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监督第三方访问活动。第一百二十七条获得第三方访问授权的所有单位和个人应与各单位签订安全保密协议，不得进行未授权的增加、删除、修改、查询数据操作，不得复制和泄漏任何信息。第二节服务外包管理第一百二十八条本细则

34、所称服务外包，是指外包服务提供商为各单位网络和计算机系统提供的技术支持、咨询等服务。服务外包应签订正式的服务外包合同或协议，明确约定双方的权利和义务。第一百二十九条服务外包人员进行现场技术支持服务时，应事先提交计划操作内容。各单位科技人员应在现场陪同服务外包人员，核对操作内容并准确记录实际操作内容。涉及敏感操作（如输入用户口令等）应由各单位内部人员进行操作。服务外包人员不得查看、复制或带离任何敏感信息。第一百三十条计算机设备确需送外单位维修时，各单位科技部门应彻底清除所存的工作相关信息，与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的

35、软件和信息。必要时应与设备维修厂商签订保密协议。第十一章信息通报、灾难备份与应急管理第一节信息通报第一百三十一条各单位应按照银行信息安全报告制度进行信息通报，一般信息安全事件应逐级通报，发生因人为、自然原因等造成的信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件（以下简称重大信息安全事件）可直接报银行总行突发事件应急处置指挥部，同时抄报科技部门。第一百三十二条重大信息安全事件发生后，各单位相关人员应注意保护事件现场，采取必要的控制措施调查事件原因，并及时报告本单位主管领导。第一百三十三条各单位应在重大信息安全事件发生后，按照银行信息安全报告制度报上一级科技部门，并按照

36、相关规定由上一级科技部门或本单位决定是否发布预警信息或启动应急预案。第二节灾难备份管理第一百三十四条本细则所称灾难，是指由于人为或自然原因，造成信息系统严重故障、瘫痪或其数据严重受损，使信息系统支持的业务功能停顿或服务水平达到不可接受的程度，并持续特定时间的突发性事件。本细则所称灾难备份，是指为了将信息系统从灾难造成的业务不可运行状态或服务不可接受状态恢复到业务可正常运行状态，而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。第一百三十五条银行xxx分行科技处按照“统筹安排、资源共享、平战结合”的原则，负责江苏省银行系统重要信息系统灾难备份的统一规划、实施和

37、管理。第一百三十六条各单位业务部门负责提出计算机系统灾难备份需求，明确可接受的业务中断时间和数据丢失量，科技部门据此确定灾难备份等级和备份方案。第一百三十七条各单位应建立健全灾难恢复计划，定期开展灾难恢复培训。在条件许可的情况下，由银行xxx分行相关部门统一部署，重要信息系统至少每年进行一次灾难恢复演练，包括异地备份站点切换演练和本地系统灾难恢复演练。第一百三十八条在规划建设计算机系统时，应同步考虑灾难备份系统建设的可行性。第三节应急管理第一百三十九条应急预案是针对可能发生的意外事件并可能导致业务差错和停顿，甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。第一百四十条各单

38、位应根据安全评估结果，定期更新机房环境、网络和计算机系统等应急预案。业务处理系统应急预案的编制工作应由相关业务部门和科技部门共同完成。第一百四十一条应急预案应至少包括应急组织机构、应急响应流程和应急资源保障等内容。第一百四十二条各单位应定期组织应急预案的演练，并指定专人管理和维护应急预案，根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性和灾难发生时的可获取性。第一百四十三条各单位突发事件应急处置领导小组统一领导计算机系统的应急管理工作，指挥、决策重大应急处置事宜，并协调应急资源。第一百四十四条银行总行办公厅负责统一向社会发布应急事件公告，其他任何单位或个

39、人不得向社会发布应急事件公告。第十二章安全监测、检查、评估、审计及基线管理第一节安全监测第一百四十五条各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源，加强对机房环境、网络和重要计算机系统的安全运行监测，统计分析运行状况。第一百四十六条各单位应及时预警、响应和处置运行监测中发现的问题，发现重大隐患和运行事故应及时协调解决，并报上一级机构相关部门。第二节安全检查第一百四十七条各单位科技部门应严格落实信息安全检查相关规定，按要求定期开展检查工作。第一百四十八条安全检查完成后应及时形成检查报告，经本单位主管领导批准后

40、将检查意见送达被检查单位。要求限期整改的，应对相关整改情况进行后续跟踪。第一百四十九条各单位应将安全检查报告和整改落实情况整理汇总后，报上一级科技部门备案。第三节安全评估第一百五十条各单位科技部门可采用自评估、检查评估和委托评估等方式，每年至少组织一次对本单位或辖内信息系统的安全评估。第一百五十一条安全评估应在不影响信息系统正常运行的情况下进行。评估开始前，应制定评估方案并进行必要的培训。评估结束后，形成评估报告，提出整改意见，并报本单位科技部门主管领导。第一百五十二条各单位如聘请第三方机构进行安全评估，应报银行总行科技部门批准，并与第三方机构签订安全保密协议。本单位信息安全管理人员

41、全程参与评估过程并实施监督。第一百五十三条各单位应妥善保管信息安全评估相关信息，未经本单位信息安全领导小组同意，不得对外公开。第四节安全审计第一百五十四条各单位科技部门在支持与配合内审部门开展信息系统审计的同时，应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计，发现问题及时上报。第一百五十五条计算机系统开发单位应基于安全策略，开启操作系统审计功能，并按照银行总行科技部门相关要求，开启相应系统数据库审计功能。第五节基线管理第一百五十六条各单位应严格基于银行信息安全综合规范，创建本单位的信息安全基线，并报上一级科技部门备案。第一百五十七条各单位科技部门应指派

42、专人负责信息安全基线的定期审核、更新及向上一级科技部门报送工作，信息安全基线报送应及时、准确、详实。第一百五十八条各单位应加强技术手段应用与管理，对未达安全要求的项目进行跟踪，形成信息安全长效机制。第十三章考核与奖惩第一百五十九条各单位计算机系统信息安全管理情况纳入考核。各单位定期对本单位和辖内计算机系统信息安全管理工作中业绩突出的单位和个人给予一定形式的表彰。第一百六十条对于违反本细则，造成重大信息安全事件的单位及个人，要给予通报批评；触犯法律法规的，依据相关法律法规追究相关责任人的责任；构成犯罪的，依法追究刑事责任。第十四章附则第一百六十一条本细则由银行xxx分行科技处负责解释。第一百六十二条本细则未尽事宜，依据国家有关法律、法规和银行有关规定执行。第一百六十三条本细则自印发之日起执行。

展开阅读全文