版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、XX銀行信息安全管理辦法第一章 總 則 第一條 為加強(qiáng)XX銀行 (下稱 “本行” )信息安全管理,防范信息技術(shù)風(fēng)險(xiǎn),保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行, 根據(jù) 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 、 金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定等,特制定本辦法 。 第二條 本辦法所稱信息安全管理, 是指在本行信息化項(xiàng)目立項(xiàng)、
2、160;建設(shè)、 運(yùn)行、 維護(hù)及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動。 第三條 本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級管理, 由分管領(lǐng)導(dǎo)負(fù)責(zé)。 按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用 誰負(fù)責(zé)”的原則,逐級落實(shí)部門與個人信息安全責(zé)任。 第四條 本辦法適用于本行。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個人均應(yīng)遵守本辦法。 第
3、二章 組織保障 第五條 常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)本行信息安全管理工作 ,決策信息安全重大事宜。 第六條 各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員,配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作,具體負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí)。 第七條 本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)
4、系,及時(shí)報(bào)告各類信息安全事件并獲取專業(yè)支持。 第八條 本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系,及時(shí)跟蹤行業(yè)趨勢,學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評估方法。 第三章 人員管理 第九條 本行所有工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)。日常員工信息安全行為準(zhǔn)則參見XX銀行員工信息安全手冊 。 第一節(jié) 信息安全管理人員 &
5、#160; 第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。 第十一條 應(yīng)選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項(xiàng)工作。 第十二條 信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)。 第十三條 安全
6、工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作: (一)組織落實(shí)上級信息安全管理規(guī)定,制定信息安全管理制度,協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作,監(jiān)督檢查信息安全管理工作。 (二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè)。 (三)定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時(shí)通報(bào)和預(yù)警,并提出整改意見。
7、0; (四)統(tǒng)計(jì)分析和協(xié)調(diào)處臵信息安全事件。 (五) 定期組織信息安全宣傳教育活動, 開展信息安全檢查、 評估與培訓(xùn)工作。 第十四條 信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開展工作: (一)負(fù)責(zé)本行信息安全管理體系的落實(shí)。 (二)負(fù)責(zé)提
8、出本行信息安全保障需求。 (三)負(fù)責(zé)組織開展本行信息安全檢查工作。 第二節(jié) 技術(shù)支持人員 第十五條 本辦法所稱技術(shù)支持人員,是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、 機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對外泄漏或引用
9、工作中觸及的任何敏感信息。 (二)嚴(yán)格權(quán)限訪問,未經(jīng)業(yè)務(wù)主管部室授權(quán) 不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 4 (三)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況 ,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處臵。 (四)嚴(yán)格操作管理、測試管理、應(yīng)急管理、 配臵管理、變更管理、檔案管理等工作制度,做好數(shù)據(jù)備份工作。
10、; 第十七條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾,簽署保密協(xié)議。提供技術(shù)服務(wù)期間,嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對外泄漏或引用任何工作信息。 第三節(jié) 一般計(jì)算機(jī)用戶 第十八條 本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第十九條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): (一)及時(shí)更新所用計(jì)算
11、機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺接受本部室信息安全員的指導(dǎo)與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護(hù)。 (三) 不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件。 (四) 未經(jīng)信息安全管理人員檢測和授權(quán),不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將個人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。 第四章 資產(chǎn)管理 第二十條 本行對所有信
12、息資產(chǎn)進(jìn)行識別、評估相對價(jià)值及重要性,建立資產(chǎn)清單并說明使用規(guī)則,明確定義信息資產(chǎn)責(zé)任人及其職責(zé)。細(xì)則參見XX銀行信息資產(chǎn)分類分級管理規(guī)定。 第二十一條 按照信息資產(chǎn)的價(jià)值、法律要求及敏感程度和對業(yè)務(wù)關(guān)鍵程度,分別依據(jù)機(jī)密性、完整性、可用性三個屬性對信息資產(chǎn)進(jìn)行分類分級,并建立相應(yīng)的標(biāo)識和處理制度。 第二十二條 依照信息資產(chǎn)的分類分級采取不同的安全保護(hù)措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)的使用。
13、 第二十三條 依據(jù)XX銀行介質(zhì)管理規(guī)范加強(qiáng)介質(zhì)管理與銷毀操作管理,確保本行數(shù)據(jù)的可用性、保密性、完整性。 第五章 物理環(huán)境安全管理 第一節(jié) 機(jī)房安全管理 第二十四條 本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第二十五條 本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體
14、實(shí)施和落實(shí)。 第二十六條 建立機(jī)房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng),對機(jī)房空調(diào)、消防、不間斷電源(UPS) 、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。 第二十七條 建立健全機(jī)房管理制度,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn) ,熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問題及時(shí)報(bào)告。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
15、0; 第二十八條 建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。 第二十九條 依據(jù)浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過程,落實(shí)機(jī)房管理。 第三十條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落實(shí)情況,并保留相應(yīng)的審核記錄和審核結(jié)果。 第二節(jié) 重要區(qū)域安全管理
16、0; 第三十一條 本章節(jié)所指重要區(qū)域?yàn)椋罕拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。 第三十二條 重要區(qū)域應(yīng)嚴(yán)格出入安全管理,安裝門禁、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配臵自動監(jiān)控報(bào)警功能。 第三十三條 所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。 第三節(jié) 辦公環(huán)境安全管理
17、; 第三十四條 在本行大樓入口應(yīng)設(shè)臵門衛(wèi)或接待員,負(fù)責(zé)出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。 第三十五條 本行信息中心樓層設(shè)立門禁,加強(qiáng)人員進(jìn)出管理。 第三十六條 本行信息中心員工應(yīng)在公共接待區(qū)接待外來人員,未經(jīng)允許,不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第三十七條 未經(jīng)允許,嚴(yán)禁在信息中
18、心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動。 第六章 網(wǎng)絡(luò)安全管理 第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理 第三十八條 本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、IP 地址和域名等)分配。 第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則, 由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、 改造工程,工程投
19、產(chǎn)前應(yīng)通過安全測試與評估。 第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: (一)網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略,保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計(jì)等管理功能。 (三)針對不同的網(wǎng)絡(luò)安全域,采取必要的安全隔離措施。 (四)能有效防止計(jì)算機(jī)病毒對網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。 第二節(jié)
20、;網(wǎng)絡(luò)運(yùn)行安全管理 第四十一條 信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度,配備專職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò) 安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配臵信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。 第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn), 具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能。 第四十三條 嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入
21、方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測,審 核(檢測)通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第四十四條 嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時(shí),應(yīng)嚴(yán)格遵循變更管理流程。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行,同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第四十五條 嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡科技部提出書面申
22、請,并采取相應(yīng)的安全防護(hù)措施。 第四十六條 信息安全管理人員負(fù)責(zé)定期對網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外 界提供。未經(jīng)授權(quán),任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。 第三節(jié) 接入國際互聯(lián)網(wǎng)管理 第四十七條 信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度,對互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制,防范來自互聯(lián)網(wǎng)的威脅。 第四十八條 本行內(nèi)部業(yè)務(wù)網(wǎng)、
23、辦公網(wǎng)與國際互聯(lián)網(wǎng)實(shí)行安全隔離。所有接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國際互聯(lián)網(wǎng)。 第四十九條 內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國際互聯(lián)網(wǎng),確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批,確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。經(jīng)審批后連接國際互聯(lián)網(wǎng) 的計(jì)算機(jī),不得存留涉密金融數(shù)據(jù)信息;存有涉密金融數(shù)據(jù)信息的介質(zhì),不得在接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。 第五十條 曾接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)
24、禁接入內(nèi)部網(wǎng)絡(luò),確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批, 經(jīng)安全檢測后方能接入。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第五十一條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動。 第七章 訪問控制 第五十二條 本行負(fù)責(zé)建立訪問控制制度,對信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進(jìn)行控制。 &
25、#160; 第五十三條 信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問權(quán)限,運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第五十四條 信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼, 并對其訪問控制權(quán)限負(fù)責(zé)。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。 第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng),操 作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗
26、、兼崗。 第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問, 包括但不限于: (一)按照已定義的訪問控制策略鑒別授權(quán)用戶; (二)記錄成功和失敗的系統(tǒng)訪問企圖; (三)記錄專用系統(tǒng)特殊權(quán)限的使用情況; (四)當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào);
27、; (五)提供合適的身份鑒別手段; (六)限制用戶的連接時(shí)間。 第五十七條 對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于: (一)按照定義的訪問控制策略,控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能; (二)防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任 何實(shí)用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進(jìn)行未授權(quán)訪問;
28、; (三)為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。 第五十八條 訪問控制實(shí)施細(xì)則詳見XX銀行信息系統(tǒng)訪問控制管理規(guī)定。 第八章 信息系統(tǒng)安全管理 第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。 第六十條 信息系統(tǒng)安全管理實(shí)施細(xì)則詳見XX銀行計(jì)算機(jī)信息系統(tǒng)安全
29、管理規(guī)定。 第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng) 第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題,建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部室提出的安全需求。 (二)安全需求分析和實(shí)現(xiàn)。 (三)運(yùn)行平臺的安全策略與設(shè)計(jì)。&
30、#160; 第六十二條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見,未通過安全審核的項(xiàng)目不得予以立項(xiàng)。 第二節(jié) 信息系統(tǒng)開發(fā)與集成 第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整實(shí)現(xiàn)。 第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料
31、全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。 第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員,不得在程序代碼中植入后門和惡意代碼程序。 第六十六條 信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。&
32、#160; 第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯誤信息,避免引發(fā)安全漏洞。 第三節(jié) 信息系統(tǒng)運(yùn)行 第六十九條 信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下: (一)項(xiàng)目承建單位(部室)應(yīng)組織制定安全測試方案,進(jìn)行系統(tǒng)上線前的自測試并形成測試報(bào)告,報(bào)信息科技部審查。
33、60; (二)信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)信息科技部門。 (三)信息科技部應(yīng)提出明確的測試方案和測試報(bào)告審查意見。必要時(shí),可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度,以防止各類安全事故的發(fā)生。 第七十一條 系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)
34、變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。 第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任 業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。 第七十三條 嚴(yán)格用戶和密碼(口令)的管理,嚴(yán)格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。 第七十四條 在信息系統(tǒng)
35、運(yùn)行維護(hù)過程中,系統(tǒng)管理人員應(yīng)遵守但不限于以下要求: (一)合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計(jì)功能,以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn); (二)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入; (三)及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁,修補(bǔ)系統(tǒng)存在的安全漏洞; (四)啟用系統(tǒng)提供的審計(jì)功能,或使用第三方手段實(shí)現(xiàn)審
36、計(jì)功能,監(jiān)測系統(tǒng)運(yùn)行日志,掌握系統(tǒng)運(yùn)行狀況; (五) 按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù), 非系統(tǒng)管理人員不得修改。 第四節(jié) 信息系統(tǒng)廢止 第七十五條 廢止信息系統(tǒng)及其存儲介質(zhì)在報(bào)廢或重用前,應(yīng)根據(jù)其安全級別, 進(jìn)行消磁或安全格式化,以避免信息泄露。 第七十六條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),按
37、業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的 ,應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀。 第八十四條 安全專用產(chǎn)品在準(zhǔn)入審核時(shí), 供應(yīng)商應(yīng)提出申請并提供下列資料: (一)公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料; (二)產(chǎn)品型號、產(chǎn)地、功能及報(bào)價(jià); (三)產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn),產(chǎn)品功能及性能的說明書;
38、0; (四)生產(chǎn)企業(yè)概況(包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等); (五)供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。 第八十五條 安全專用產(chǎn)品有下列情形之一的,取消其準(zhǔn)入資格: (一)安全專用產(chǎn)品的功能已發(fā)生變化,但未通過檢測的; (二)經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的; (三)不能提供良好售后服務(wù)的;&
39、#160; (四)國家有關(guān)部門取消其銷售資格的。 第二節(jié) 使用管理 第八十六條 掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。 第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報(bào)告。 第八十八條 信息科技部應(yīng)及
40、時(shí)升級維護(hù)信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后,按照固定資產(chǎn)報(bào)廢審批程序處理。 第十一章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理 第一節(jié) 技術(shù)文檔 第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料 ,包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。 第九十條
41、0;各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。 第二節(jié) 存儲介質(zhì) 第九十一條 建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。所有存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第九十二條 做好存儲介質(zhì)在物理傳輸過程中的安全控制,選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。
42、 第九十三條 加強(qiáng)對移動存儲設(shè)備(盤、軟盤、移動硬盤等)的使用管理。對系統(tǒng)升級專用的移動存儲設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負(fù)責(zé)管理。 第九十四條 建立存儲介質(zhì)銷毀機(jī)制,對載有敏感信息的存儲介質(zhì)應(yīng)按照其安全等級,采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。 第九十五條 介質(zhì)管理實(shí)施細(xì)則詳見XX銀行介質(zhì)管理規(guī)范。 第三節(jié) 數(shù)
43、據(jù)安全 第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。 第九十七條 數(shù)據(jù)的所有者(部室)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。 第九十八條 嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備
44、份策略執(zhí)行數(shù)據(jù)備 份任務(wù),并定期測試備份數(shù)據(jù)的有效性。 第九十九條 系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識存儲內(nèi)容、時(shí)間、密級等信息。日志文件應(yīng)至少保留一年,妥善保管。 第一百條 本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管理制度,根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的備份數(shù)據(jù)的保 存時(shí)限和密級,并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷毀處理。 第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁
45、、防潮、防塵、防高溫、防擠壓存放?;謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。 第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守XX銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程。 第四節(jié) 口令密碼 第一百零三條 信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度,嚴(yán)格執(zhí)行密碼安全管理策略。 第一百零四條
46、;系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼,至少每三個月更換一次。口令密碼的強(qiáng)度應(yīng)滿足必要的安全性要求。 第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄,密封交相關(guān)部室保管。未經(jīng)本行分管領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百零六條 應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。&
47、#160;第二節(jié) 外包服務(wù)管理 第一百一十七條 本規(guī)定所稱外包服務(wù),是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提 供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議,明確約定雙方義務(wù)。 第一百一十八條 外包服務(wù)提供商提供上門維護(hù)服務(wù)的,經(jīng)信息科技部批準(zhǔn)后,由本行內(nèi)部人員現(xiàn)場陪同實(shí)施。 外包服務(wù)提供商不得查看、復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。
48、0; 第一百一十九條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),本行應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。 第一百二十條 外包服務(wù)管理詳見XX銀行IT外包管理暫行辦法。 第十三章 事件報(bào)告、災(zāi)難備份與應(yīng)急管理 第一節(jié) 事件報(bào)告 第一百二十一條
49、;信息安全事件按照信息安全事件報(bào)告流程進(jìn)行報(bào)告,一般信息安全事件應(yīng)逐級通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件,應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。 第一百二十二條 重大信息安全事件發(fā)生后,相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。必要時(shí)啟動相關(guān)應(yīng)急預(yù)案。 第二節(jié) 災(zāi)難備份管理 第一百二十三條 災(zāi)
50、難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn) 爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程。 第一百二十四條 本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下,組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百二十五條 本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)
51、間和數(shù)據(jù)丟失量。本行據(jù)此確定災(zāi)難備份等級和備份方案。 第一百二十六條 本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃,定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。 第三節(jié) 應(yīng)急管理 第一百二十七條 本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: (一)&
52、#160;總則 (目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。 (二) 應(yīng)急組織機(jī)構(gòu)。 (三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評估、預(yù)案啟動等)。 (四)各類危機(jī)處臵流程。 (五)應(yīng)急資源保障。 (六)事后處理流程。 (七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。
53、0;第一百二十八條 本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決策重大事宜(決定應(yīng)急預(yù)案的啟 動、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動應(yīng)急資源。 第一百二十九條 本行定期組織應(yīng)急預(yù)案演練,指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動情況以及 演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百三十條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。 第一百三十一條 應(yīng)急管理實(shí)施細(xì)則詳見XX銀行計(jì)算機(jī)信息系統(tǒng)應(yīng)急管理制度。 第十四章
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 房地產(chǎn)中介公司店長的工作總結(jié)
- 訂貨合同書樣本
- 論經(jīng)濟(jì)合同書中的擔(dān)保
- 國際物流代理合同
- 自動扶梯標(biāo)準(zhǔn)安裝施工方案
- 項(xiàng)目仲裁服務(wù)合作合同
- 項(xiàng)目質(zhì)量風(fēng)險(xiǎn)監(jiān)管協(xié)議模板
- 商業(yè)會展項(xiàng)目合作合同
- 農(nóng)村農(nóng)業(yè)圖書館貸款合同
- 植物花卉贈與協(xié)議
- 2024年鐵路職業(yè)技能鑒定考試-高鐵筆試考試歷年高頻考點(diǎn)試題摘選含答案
- DL-T499-2001農(nóng)村低壓電力技術(shù)規(guī)程
- 保潔隊(duì)伍人員穩(wěn)定性措施
- 2024兩人合伙人合作簡單協(xié)議書范本
- 《農(nóng)村電網(wǎng)剩余電流動作保護(hù)器安裝運(yùn)行規(guī)程》
- SYT 7628-2021 油氣田及管道工程計(jì)算機(jī)控制系統(tǒng)設(shè)計(jì)規(guī)范-PDF解密
- 設(shè)計(jì)項(xiàng)目組織管理方案
- 信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南
- 幼兒園中班科學(xué)《多變的天氣》課件
- 2023年4月自考04851產(chǎn)品設(shè)計(jì)程序與方法試題及答案含解析
- 貿(mào)易安全課件
評論
0/150
提交評論