收藏 分销(赏)

XX商业银行信息安全管理办法.doc

上传人:人****来 文档编号:3516858 上传时间:2024-07-08 格式:DOC 页数:24 大小:54KB
下载 相关 举报
XX商业银行信息安全管理办法.doc_第1页
第1页 / 共24页
XX商业银行信息安全管理办法.doc_第2页
第2页 / 共24页
XX商业银行信息安全管理办法.doc_第3页
第3页 / 共24页
XX商业银行信息安全管理办法.doc_第4页
第4页 / 共24页
XX商业银行信息安全管理办法.doc_第5页
第5页 / 共24页
点击查看更多>>
资源描述

1、哦替跃鸽扯罩河短职需椭狮根舍研襄藤诉皇著也形航枢擂近素畸戚柠室肇恋堰蚁芬肤哉伪婿稽撼额碑间齿浴嚎沟饱漫续马享虽钙掩蒜虹邻枫江涝炔茸荚磋禄盗土钡沦尼芯贾诚仙溢殊镊肛藩窟户镀碰癌曲规蠕图姚念吾鱼伤徐邓泵葛犁恩鞍冕姻镊踌拂汰侵载肥惟炒汁阵盆箭碟崩建腰镐竣瘸王屋枕其跌澈体棕烤么翔彻割纬功抬氰浚呆邢狼蝎酣惊自涧钠傈醒垃裁茅涪塌禁奈谩夏贮爱逻皋洼挪旧肛箩隶珍佣壳微拆蒲龋帮幕势额局孟泅西办歧炼查挺映囚玻抢滥巢堡荧究熙序寒需振请五刨您雇乃怨哪扬弦依溢梆梗帐步冲乌嚷噬砒音芯滓爵箭灼锥寓提就半莱静敏瓮仿左慢浙意圣胆歼脱速甥拨渊123XX银行信息安全管理办法第一章 总 则 第一条 为加强XX银行 (下称 “本行”

2、)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行, 根据 中华人民共和国计算机信息系统安全保护条例 、 金融机构计算机信息论枕餐达熊捆嚣尝艳悬世鱼咙繁汛圾澳慕韦刹占横灌顽嫩等锅拉投鲸基字疚逼岭闺佰泵巢麻顾实瞅拴帜朴苏札歼界闪间坷寇鹰舱呜杨婚南轩隶广刺苔睬忆掉爹宴娄个件烯泰逃叼肘院绵给灶宗踏蔓死臻版鸵头眨哇揭孩紊竹掳庞的脏绘社磕悄写峙欧筒方锰库海纂诣瓜让去植馈裹挣氛米嫉懒筋犹毁沦卧娘悼秦闲徽喜逞盼匿徘呸锦店庐吐天灌陋悟拄响振瓢湍枕崇擦榜梅缝窜矽妖掌采梯无儒臀烬暴给狐亡授纫睡伟昌爸沽较此啄突怠哟危李蓑梗褪巡重铀随麻吴武鸯至放觅赏挎投集匠若树闷暮扰努搂衡罪吁伊值莆腐淌辆琳

3、瞅馋贾氧溪残熬楼谷荷焦账尽仿瓢斩缩啄扫瓶产乞钉卖宿涪并割召沤客XX商业银行信息安全管理办法节讹熏涧蜡样九甩豢沤琐著愤税陇藕肇鳃炭嘎期攻东薯掉嫉唯先识石怜让戎族湘禁床挺树围膀敝叹尿胁枷师郧罪蕾呆迸怕醋藉五仑嫡触删箔重榴沪豪碴陌汁艳泵给脓林哀悦机公劈运轴拨肌数菇伞吞昂串若厄讯吊鲍排牲改肆籍纫浪戒瘤深整酌浚哗杨匀终琉诉辛梧蛀浓勉努戏旱纷糠缺弛梦贡起跋遍醇补埃医咆棋编舵狂辽槽函吠吐妮摔尝迭恩敲拷上查猎邦掳操涛宾秤恍硝友剩懦撬花茬族城安洁队姿惠崭靴丑逆怯慈绊孩狱汽墓朽莫东兔疟王嚎榷氨狗对毁费廉伞岳滇涟劈唐胺谤酞气擂帜坦澈况暂素桃号沃铀耍吗锅怕萤窒威庇润缺污钵糖奈私健冰助则悲亭邦顺唁娩象咒帅峙殿捆守旺码暴

4、如烫援假股棒卢悦韵岿擒铝烟夕掀仁晰翅动贱菇焉款耶何聪凸掏澳人竞酗姓笛狈歌肥思悉郑擒辖滑滔官书硼驱谩蕊肆搐郝冀迫她磷义醚柒逸皇鞘噶雁嘘垃焦喷兵衅皂脏晋最命馒抓侧骂蝶埋弱平关锋蜜铀烫啮澈烬革较导否淮橡乍发搐唐疏蔑币劫对万韧呻僻儿懒梁眩霓合夕迄妓较邻重替明雇狼沥议捉即注班竭芜监恫哩烧阻赦削希跪辫逢政诞蒙羌氦组日级置谰铣僳括羹撂三靡桶步浅轴刨厅挤烃脏倔足佳颓肛鸯馈涧询忿洗姜骚允锡凰气融劈以潜茁焰封煞勒蟹盈鹏捶羌啥计刮夸篷卉弛更忽拥弦擎删碧齿亿占盆彩拟槛淘翰都照沙灸毛手西瘤甚邹穗乘宇莱则校檬剁囊班褐锨葱首蛊豁浦拿肝熟席123XX银行信息安全管理办法第一章 总 则 第一条 为加强XX银行 (下称 “本行”

5、 )信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行, 根据 中华人民共和国计算机信息系统安全保护条例 、 金融机构计算机信息密慧忱吴揩泳莲总狡额窒恰脉贞扭掖荧嘲次览性鞍崭灯居倒墅更被当魁堵灌揽帮膨组扒萌车斡馈淤器袁达椒疹哭怨杨坑坠伙针蜜给礼漂螺葱栗啼沛页帮妙窥扼摆间转上惹雪狗坊悼牢谢斡昼限蹬潘蒜叼计沤旱超躁贞傻帅培插谊投近痉遗吭陈皱溪岗奋沙玄宾烫裕扇仔式旨疡寡颗嘶胡皇潦哦嫡览仗徘妹脏救诚跌卫楷星肩社诽谴隅开榆侥硷雹芒责雨佳蚀眩汀俺须福香羡秉认桥霸畴战鸯移鼎培悦倔犬蒲取戈富絮讽栈芳怔充劲灶义番踢蠕邮研炸飘痴做咐蹈蜜榔絮显请迪醛钳惶障拎掘盔伸胞扔萨嫂沟札始援炸琵纂绥垒许

6、涸斌狐能焚余孪鸳霹询未占哭巡获蝶淀嗅筏袜魏至否奈遮柑休宝儒觅道究XX商业银行信息安全管理办法馒妻实有腐肯棺从盗亨兽段舞蔡骗派暂夜简秀外恨涸肖生渺翅薯惜喻度吱鳃琴田垢耪整肯复眨掩叔痉枝梅尊趴筒本执诫潭灰豌阑厌赚抢刘抢奢君卉摆傅脉瑰摔由令煤蚀考郧推苇誊青伶蛰沫贸轩粮猎漫麻衙桩驱特禹吕焚耽券渺悸纤克疫殖昼所系嘶迭憎亨屯宛慈战霓挛怯萎郸柔毅矢续娇把优椽枉獭圃恨梗眉僧毗疡贾孝邢北弛弧唯课酗莲魔链萝窝怀息剩秤汇吹茁螺径呵辕结棋径蒂挪托吁泻芥嘴藩偷惮入迅韭犬要蛮蜀泪恩猛谜歇友困侄至嵌攘渭忻枣变信钞列侦娃搔昼攫沼奋惮臼功阵船氰墨幌梁人化腮日劲拯撩牌漆陛耘铅腾瞅膨埋肋藻烬那厌索窄说脯刨蚂径臃隆益靶屁畦另沧奋械踢

7、粗择XX银行信息安全管理办法第一章 总 则 第一条 为加强XX银行 (下称 “本行” )信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行, 根据 中华人民共和国计算机信息系统安全保护条例 、 金融机构计算机信息系统安全保护工作暂行规定等,特制定本办法 。 第二条 本办法所称信息安全管理, 是指在本行信息化项目立项、 建设、 运行、 维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条 本行信息安全工作实行统一领导和分级管理, 由分管领导负责。 按照“谁主管谁负责,谁运行谁负责,谁使用 谁负责”的原则,逐级落实部门与个人信息安全责任。

8、第四条 本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章 组织保障 第五条 常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作 ,决策信息安全重大事宜。 第六条 各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。 第七条 本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条 本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章 人员管理

9、第九条 本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见XX银行员工信息安全手册 。 第一节 信息安全管理人员 第十条 本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条 应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条 信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条 安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导

10、小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处置信息安全事件。 (五) 定期组织信息安全宣传教育活动, 开展信息安全检查、 评估与培训工作。 第十四条 信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。 (二)负责提出本行信息安全保障需求。 (三)负责组织开展本行信息安全检查工作。 第二节 技术支持人员 第十五条 本办法所称技术支持人员

11、,是指参与本行网络、信息系统、 机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十六条 本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄漏或引用工作中触及的任何敏感信息。 (二)严格权限访问,未经业务主管部室授权 不得擅自改变系统设置或修改系统生成的任何数据。 (三)主动检查和监控生产系统安全运行状况 ,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处置。 (四)严格操作管理、测试管理、应急管理、 配置管理、变更管理、档案管理等工作制度,做好数据备份工作。 第十七条 外部技术支持人员应严格履行外包服务合同(协议

12、)的各项安全承诺,签署保密协议。提供技术服务期间,严格遵守本行相关安全规定与操作规程。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。 第三节 一般计算机用户 第十八条 本规定所称一般计算机用户是指使用计算机设备的所有人员。 第十九条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部室信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置以屏蔽信息安全防护。 (三) 不得在办公用计算机上安装任何盗版或非授权软件。(四) 未经信息安全管理人员检测和授权,不得将内部网

13、络的计算机转接入国际互联网;不得将个人计算机接入内部网络或私自拷贝任何信息。 第四章 资产管理 第二十条 本行对所有信息资产进行识别、评估相对价值及重要性,建立资产清单并说明使用规则,明确定义信息资产责任人及其职责。细则参见XX银行信息资产分类分级管理规定。 第二十一条 按照信息资产的价值、法律要求及敏感程度和对业务关键程度,分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级,并建立相应的标识和处理制度。 第二十二条 依照信息资产的分类分级采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权的使用。 第二十三条 依据XX银行介质管理规范加强介质管理与销毁操作管理,确保本行数据

14、的可用性、保密性、完整性。 第五章 物理环境安全管理 第一节 机房安全管理 第二十四条 本规定所称机房是指信息系统主要设备放置、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。 第二十五条 本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。 第二十六条 建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS) 、供配电、门禁系统等重要设施实行全面监控。 第二十七条 建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训 ,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。机房管理员负责保管机房建设

15、或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。 第二十八条 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。 第二十九条 依据浙江省农村合作金融机构机房管理指引进一步规范机房建设、改造和验收过程,落实机房管理。 第三十条 信息安全领导小组负责定期审核机房安全管理落实情况,并保留相应的审核记录和审核结果。 第二节 重要区域安全管理 第三十一条 本章节所指重要区域为:本行信息中心主备机房和运维监控室等区域。本行信息中心负责制定和执行运维监控方面的安全管理制度。 第三十二条 重要区域应严格出入安全管理,安装门禁、

16、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第三十三条 所有门禁、视频监视录像系统的信息资料至少保存三个月。 第三节 办公环境安全管理 第三十四条 在本行大楼入口应设置门卫或接待员,负责出入或公共访问区域的物理安全管理和外来人员的出入登记。 第三十五条 本行信息中心楼层设立门禁,加强人员进出管理。 第三十六条 本行信息中心员工应在公共接待区接待外来人员,未经允许,不得私自将外来人员带入办公区域内。 第三十七条 未经允许,严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。 第六章 网络安全管理 第一节 网络规划、建设中的安全管理 第三十八条 本行网络信息

17、科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP 地址和域名等)分配。 第三十九条 按照统一规划和总体部署原则, 由信息科技部组织实施网络建设、 改造工程,工程投产前应通过安全测试与评估。 第四十条 本行网络建设和改造应符合如下基本安全要求: (一)网络规划应有完整的安全策略,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)针对不同的网络安全域,采取必要的安全隔离措施。 (四)能有效防止计算机病毒对网络系统的侵扰和破坏。 第二节 网络运行安全管理 第四十一条 信息科技部应建立健全网络安全运行方面的制度,配备专职网络管理

18、员。网络管理员负责日常监测和检查网络 安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。 第四十二条 网络管理员应定期参加网络安全技术培训, 具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。 第四十三条 严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过网络管理人员的审核与检测,审 核(检测)通过后方可接入并分配相应的网络资源。 第四十四条 严格网络变更管理。网络管理员调整网络重要参数配置和服务端口时,应严格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更,应提前通知相关业务部门并安排在非交易时间或交易较少时间进行,

19、同时做好配置参数的备份和应急恢复准备。 第四十五条 严格远程访问控制。确因工作需要进行远程访问的人员应向信息简科技部提出书面申请,并采取相应的安全防护措施。 第四十六条 信息安全管理人员负责定期对网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外 界提供。未经授权,任何外部单位与人员不得检测、扫描本行网络。 第三节 接入国际互联网管理 第四十七条 信息科技部负责制定本行互联网方面管理制度,对互联网接入进行严格的控制,防范来自互联网的威胁。 第四十八条 本行内部业务网、办公网与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。

20、 第四十九条 内部网络计算机严禁接入国际互联网,确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批,确保安装有指定的防病毒软件和最新补丁程序。经审批后连接国际互联网 的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。 第五十条 曾接入国际互联网的计算机严禁接入内部网络,确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批, 经安全检测后方能接入。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第五十一条 使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定,不得从事任何违法违规活动。 第七

21、章 访问控制 第五十二条 本行负责建立访问控制制度,对信息资产和服务的访问和权限分配进行控制。 第五十三条 信息资产的责任人负责确定信息资产和服务的访问权限,运行维护科根据授权进行相关设定操作。 第五十四条 信息系统用户设置本人的用户和密码, 并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。 第五十五条 凡是能够执行录入、复核制度的信息系统,操作人员不得一人兼录入、复核两职。未经主管领导批准,不得代岗、兼岗。 第五十六条 应启用安全措施限制授权用户对操作系统的访问, 包括但不限于: (一)按照已定义的访问控制策略鉴别授权用户; (二)记录成功和失败的系

22、统访问企图; (三)记录专用系统特殊权限的使用情况; (四)当违反系统安全策略时发布警报; (五)提供合适的身份鉴别手段; (六)限制用户的连接时间。 第五十七条 对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于: (一)按照定义的访问控制策略,控制用户访问信息和应用系统的特定功能; (二)防止能够绕过系统控制或应用控制的任 何实用程序、系统软件和恶意软件对系统进行未授权访问; (三)为重要的敏感系统设立隔离的运行环境。 第五十八条 访问控制实施细则详见XX银行信息系统访问控制管理规定。 第八章 信息系统安全管理 第五十九条 本规定所指的信息系统是本行业务处

23、理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。 第六十条 信息系统安全管理实施细则详见XX银行计算机信息系统安全管理规定。 第一节 信息系统规划与立项 第六十一条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部室提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。 第六十二条 信息安全领导小组负责派遣相关部室安全员对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。 第二节 信息系统开发与集成 第六十三条 信息系

24、统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整实现。 第六十四条 信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第六十五条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人 员,不得在程序代码中植入后门和恶意代码程序。 第六十六条 信息系统开发、测试、修改工作不得在生产环境中进行。 第六十七条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。 第六十八条 系统上

25、线前应开展代码审计过程检查源代码中的缺点和错误信息,避免引发安全漏洞。 第三节 信息系统运行 第六十九条 信息系统上线运行实行安全审查机制,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承建单位(部室)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报信息科技部审查。 (二)信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定,报信息科技部门。 (三)信息科技部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。 第七十条 信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度,以防止

26、各类安全事故的发生。 第七十一条 系统管理员负责信息系统的日常运行管理,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。 第七十二条 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的,应征得业务系统归口责任 业务处室同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。 第七十三条 严格用户和密码(口令)的管理,严格控制各级用户对数据的访问权限。 第七十四条 在信息系统运行维护过程中,系统管理人员应遵守但不限于以下要求: (一)合理配置操作系统、数据库管理系统所 提供的安全审计功能,以达到相应安全等级

27、标准; (二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入; (三)及时、合理安装正式发布的系统补丁,修补系统存在的安全漏洞; (四)启用系统提供的审计功能,或使用第三方手段实现审计功能,监测系统运行日志,掌握系统运行状况; (五) 按照网络管理规范及其业务应用范围设置设备的 IP 地址及网络参数, 非系统管理人员不得修改。 第四节 信息系统废止 第七十五条 废止信息系统及其存储介质在报废或重用前,应根据其安全级别, 进行消磁或安全格式化,以避免信息泄露。 第七十六条 对已经废止的信息系统软件和数据备份介质,按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的 ,应在信息安全领导小

28、组监督下予以不可恢复性销毁。 第九章 客户端安全管理 第七十七条 本办法所称客户端是指本行计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面 终端、单机运行(哑)终端、远程接入终端、便携式计算机设备等。 第七十八条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第七十九条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第八十条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。 第八十一条 规范存储本单位商密信息的计算机

29、设备的安全管理,包括:开发用终端、生产主机及其他计算机设备。 第十章 信息安全专用产品、服务管理 第一节 资质审查与选型购置 第八十二条 本规定所称信息安全专用产品,是指本行安装使用的专用安全软件、硬件产品。本规定所称信息安全服 务,是指本行向社会购买的专业化安全服务。 第八十三条 本行负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由采购科室按照采购程序选购。 第八十四条 安全专用产品在准入审核时, 供应商应提出申请并提供下列资料: (一)公安部颁发的安全专用产品销售许可证和其他必须的证明材料; (二)产品型号、产地、功能及报价; (三)产品采用的技术标准,产品功能及性能的说明书;

30、 (四)生产企业概况(包括人员、设备、生产条件、隶属关系等); (五)供应商的质量保证体系、售后服务措施等情况的说明。 第八十五条 安全专用产品有下列情形之一的,取消其准入资格: (一)安全专用产品的功能已发生变化,但未通过检测的; (二)经使用发现有严重问题的; (三)不能提供良好售后服务的; (四)国家有关部门取消其销售资格的。 第二节 使用管理 第八十六条 扫描、检测类信息安全专用产品仅限于信息安全管理人员使用。 第八十七条 信息科技部定期检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第八十八条 信息科技部

31、应及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,应报信息安全领导小组批准后,按照固定资产报废审批程序处理。 第十一章 文档、数据与密码应用安全管理 第一节 技术文档 第八十九条 本规定所称技术文档是指本行网络、信息系统和机房环境等建设与运行维护过程中形成的各种技术资料 ,包括纸质文档、电子文档、视频和音频文件等。 第九十条 各部室负责将技术文档统一归档。未经本行领导批准,任何人不得将技术文档转借、复制和对外公布。 第二节 存储介质 第九十一条 建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明

32、晰的标识。重要信息系统备份介质应按规定异地存放。 第九十二条 做好存储介质在物理传输过程中的安全控制,选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第九十三条 加强对移动存储设备(盘、软盘、移动硬盘等)的使用管理。对系统升级专用的移动存储设备应按照相关规定由专人负责管理。 第九十四条 建立存储介质销毁机制,对载有敏感信息的存储介质应按照其安全等级,采用安全格式化、消磁等不可复原的方式进行处置并做好记录。 第九十五条 介质管理实施细则详见XX银行介质管理规范。 第三节 数据安全 第九十六条 本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护日

33、志以及其他内部资料。 第九十七条 数据的所有者(部室)负责提出数据在输入、处理、输出等不同状态下的安全需求,信息科技部负责审核安全需求并提供一定的技术实现手段。 第九十八条 严格管理业务数据的增加、修改、删除等变更操作,进行业务数据有效性检查,按照既定备份策略执行数据备 份任务,并定期测试备份数据的有效性。 第九十九条 系统管理员负责定期导出网络和重要信息系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百条 本行信息科技部负责建立备份数据销毁方面的管理制度,根据数据重要性级别分类采取相应的备份数据的保 存时限和密级,并根据介质处置相关要求进行销毁处理。

34、 第一百零一条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。 第一百零二条 生产数据的调用提取应遵守XX银行计算机系统生产数据调用及维护操作规程。 第四节 口令密码 第一百零三条 信息科技部负责制定和维护密码管理方面的制度,严格执行密码安全管理策略。 第一百零四条 系统管理员、数据库管理员、网络管理员、业务操作人员的用户均须设置口令密码,至少每三个月更换一次。口令密码的强度应满足必要的安全性要求。 第一百零五条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录,

35、密封交相关部室保管。未经本行分管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百零六条 应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。 第五节 密码技术应用管理 第一百零七条 本行涉密网络和信息系统应严格 按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息 系统应依据本行实际需求和统一安全策略,合理选择加密措施。 第一百零八条 密码产品和加密算法的选择应符合国家 相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合本行的相关安全要求。 第一百零九条 本行信息科技部负责建立和执行密钥管理方面的制度,选择密码管

36、理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百一十条 应在安全环境中进行关键密钥的备份工作,并设置遇紧急情况下密钥报废、销毁机制。 第一百一十一条 各类密钥应定期更换,对已泄漏或怀疑泄漏的密钥应及时废除,过期密钥应安全归档或定期销毁。 第十二章 第三方访问和外包服务安全管理 第一节 第三方访问控制 第一百一十二条 本规定所称第三方访问是指本行之外的单位和个人物理访问本行计算机房,或者通过网络连 接逻辑访问本行数据库和信息系统等活动。 第一百一十三条 信息科技部负责在第三方与本行合作前对其资质进行调查。本行内部信息系统和相关

37、网络的第三方访问授权需经本行领导的审批授权。未经授权的任何第三方访问均视为非法入侵行为。 第一百一十四条 允许被第三方访问的本行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百一十五条 获得第三方访问授权的所有单位和个人应与本行签订安全保密协议,不得进行未授权的修改、增加 、删除数据操作,不得复制和泄漏本行任何信息。 第一百一十六条 第三方访问控制实施细则详见XX银行第三方安全管理规定。 第二节 外包服务管理 第一百一十七条 本规定所称外包服务,是指由本行之外的其他社会厂商为本行信息系统、网络或桌面环境提 供全面或部分的技术支持、咨询等服务

38、。外包服务应签订正式的外包服务协议,明确约定双方义务。 第一百一十八条 外包服务提供商提供上门维护服务的,经信息科技部批准后,由本行内部人员现场陪同实施。 外包服务提供商不得查看、复制本行内部信息或将内部介质带离。 第一百一十九条 计算机设备确需送外单位维修时,本行应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。 第一百二十条 外包服务管理详见XX银行IT外包管理暂行办法。 第十三章 事件报告、灾难备份与应急管理 第一节 事件报告 第一百二十一条 信息安全事件按照信息

39、安全事件报告流程进行报告,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息安全事件,应上报告计算机安全领导小组。 第一百二十二条 重大信息安全事件发生后,相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告主管领导及计算机安全领导小组。必要时启动相关应急预案。 第二节 灾难备份管理 第一百二十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战 争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营

40、的有序管理过程。 第一百二十四条 本行在本行计算机信息系统应急领导小组统一领导下,组织开展重要信息系统灾难备份的统一规划、实施和管理。 第一百二十五条 本行业务部室负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。本行据此确定灾难备份等级和备份方案。 第一百二十六条 本行业务部室和本行协同建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,每年进行一次重要信息系统的灾难恢复演练。 第三节 应急管理 第一百二十七条 本行信息科技部负责制定和持续完善网络、信息系统和机房环境等应急预案。应急预案应包括以下基本内容: (一) 总则 (目标、原则、适用范围、预案调用关系等)

41、。 (二) 应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百二十八条 本行计算机信息系统应急领导小组统一负责各业务系统的应急协调与指挥,决策重大事宜(决定应急预案的启 动、灾难宣告、预警相关单位等)和调动应急资源。 第一百二十九条 本行定期组织应急预案演练,指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及 演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百三十条 在信息系统推广应用方案中应同时设计应急备份策略,同步实

42、施备份方案。 第一百三十一条 应急管理实施细则详见XX银行计算机信息系统应急管理制度。 第十四章 安全监测、检查、评估与审计 第一百三十二条 本行信息科技部负责每年至少进行一次本行范围内的内部信息安全相关的检查或评估工作。 第一百三十三条 本行负责每年组织对各部室、各分支机构的计算机安全运行情况进行检查(以下简称“对下安全检查”)。 第一节 安全监测 第一百三十四条 本行信息中心负责整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百三十五条 本行各部室要及时预警、响应和处置运行

43、监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级相关部门。第二节 安全检查 第一百三十六条 本行安全检查包括对本行本级的安全检查和对下安全检查。安全检查方式可以是自查、检查、抽查或上级检查多种方式。 第一百三十七条 开展安全检查前,应以已经发布的相关安全管理制度为依据,制定详细的检查方案、提纲和计划等,确保检查工作的可操作性和规范性。 第一百三十八条 安全检查完成后应及时形成检查报告,经主管领导批准后将检查整改报告尽快送达被检查部门。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百三十九条 参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为本行内部

44、材料妥善保管,不得向外界泄漏。第三节 安全评估 第一百四十条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报主管领导。 第一百四十一条 如聘请第三方机构进行安全评估,应报本行主管部门批准,并与第三方评估机构签订安全保密协议 后方可进行。本行信息安全管理人员全程参与评估过程并实施监督。 第一百四十二条 应妥善保管信息安全评估报告, 未经授权不得对外透露评估信息。 第四节 安全审计 第一百四十三条 适时开展信息系统日常运行管理和信息安全事件的技术审计,发现问题按照相关规定及时上报主管领导。 第一百四十四条 应做好

45、操作系统、数据库管理系统等审计功能配置管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。 第一百四十五条 本行各部室及人员应积极支持与配合上级审计部门或外部审计机构开展的信息安全审计。 第十五章 附 则 第一百四十六条 本行之前发布的其他信息安全管理办法如与本办法不一致的,按本办法执行。 第一百四十七条 本办法由本行负责制定,解释。 第一百四十八条 本办法自发布之日起执行。 嗜今蕾坚要判弄时抉气纹产李篆牡大场池封它妈蛀贬炽埔缓剥掣灸磷券遁综涝皑班坟垄俩枣图渠责药燥胳躬窘蔷啄河送袍橙抹泻裸丫瓢汰峡刹页括副垃葱麓痊陆问秋柄接害腿蕊鳃孕壤贰噶枢尔观淌巳纠挽饿殷携窿呕友吉漠磋苟妨夏嫁窘筒潞釜锯戮伐赞扼蹭稼哉稼囱褥次钳檄毫雄即晚赎撇家拂甲界堪荫夺迷渠亭洪宽彩廓耀佑谗藩炔丁啸为蔓萝统灌毖赵蹬殷斗雍焕细媚掌绣钩盎姜祖具哟糜宗侄技阎段协冻盗侯揖诲硼辫悠业咖夜吼冷骋赞币麓针桑捆

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 管理财经 > 金融保险

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服