金融機(jī)構(gòu)信息安全管理指引

1、-作者xxxx-日期xxxx金融機(jī)構(gòu)信息安全管理指引【精品文檔】附件四川省銀行業(yè)金融機(jī)構(gòu)信息安全管理指引（試行）第一章 總 則第一條 為切實(shí)加強(qiáng)四川省銀行業(yè)金融機(jī)構(gòu)（以下簡稱銀行機(jī)構(gòu)）信息安全工作的管理和指導(dǎo)，進(jìn)一步增強(qiáng)銀行機(jī)構(gòu)信息安全保障能力，保障國家經(jīng)濟(jì)金融運(yùn)行安全，保護(hù)金融消費(fèi)權(quán)益和維護(hù)社會穩(wěn)定，根據(jù)國家和人民銀行總行有關(guān)規(guī)定和要求，特制訂本指引。第二條 本指引所稱信息安全管理，是指在銀行機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、使用及廢止等過程中，保障計(jì)算機(jī)數(shù)據(jù)信息、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、機(jī)房基礎(chǔ)設(shè)施等安全的一系列活動。第三條 四川省內(nèi)人民銀行分支機(jī)構(gòu)按屬地管理原則對轄內(nèi)銀行機(jī)構(gòu)信息安全工作進(jìn)行管理

2、、指導(dǎo)和協(xié)調(diào)。各銀行機(jī)構(gòu)負(fù)責(zé)本系統(tǒng)（單位）的信息安全管理，完成人民銀行交辦的信息安全管理任務(wù)、接受人民銀行的監(jiān)督和檢查。第四條 各銀行機(jī)構(gòu)信息安全管理工作的目標(biāo)是：建立和完善與金融機(jī)構(gòu)信息化發(fā)展相適應(yīng)的信息安全保障體系，滿足金融機(jī)構(gòu)業(yè)務(wù)發(fā)展的安全性要求，保證信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施功能的正常發(fā)揮，有效防范、控制和化解信息技術(shù)風(fēng)險(xiǎn)，增強(qiáng)信息系統(tǒng)安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力，保障數(shù)據(jù)安全，顯著提高金融機(jī)構(gòu)業(yè)務(wù)持續(xù)運(yùn)行保障水平。第五條 各銀行機(jī)構(gòu)信息安全管理工作的主要任務(wù)是：（一）加強(qiáng)組織領(lǐng)導(dǎo)，健全信息安全管理體制,建立跨部門、跨行業(yè)協(xié)調(diào)機(jī)制；（二）加強(qiáng)信息安全隊(duì)伍建設(shè)，落實(shí)崗位職責(zé)制，不斷提高信

3、息安全隊(duì)伍業(yè)務(wù)技能；（三）保證信息安全建設(shè)資金的投入，將信息安全納入“五年”發(fā)展規(guī)劃和年度工作計(jì)劃，不斷完善信息安全基礎(chǔ)設(shè)施建設(shè)；（四）進(jìn)一步加強(qiáng)信息安全制度和標(biāo)準(zhǔn)規(guī)范體系建設(shè)；（五）加大信息安全監(jiān)督檢查力度；加快以密碼技術(shù)應(yīng)用為基礎(chǔ)的網(wǎng)絡(luò)信任體系建設(shè)；（六）加強(qiáng)安全運(yùn)行監(jiān)控體系建設(shè)；（七）大力開展信息安全風(fēng)險(xiǎn)評估，實(shí)施等級保護(hù)；（八）加快災(zāi)難恢復(fù)系統(tǒng)建設(shè)，建立和完善信息安全應(yīng)急響應(yīng)和信息通報(bào)機(jī)制；（九）廣泛、深入開展信息安全宣傳教育活動，增強(qiáng)全員安全意識。第六條 本指引適用于在四川省內(nèi)設(shè)立的各政策性銀行、國有商業(yè)銀行、股份制銀行、郵政儲蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、城市信用合作社、農(nóng)村

4、信用合作社、村鎮(zhèn)銀行的總部和分支機(jī)構(gòu)。非銀行機(jī)構(gòu)參照執(zhí)行。第二章 組織機(jī)構(gòu)第七條 各銀行機(jī)構(gòu)應(yīng)建立健全信息安全管理機(jī)構(gòu)。應(yīng)建立由行領(lǐng)導(dǎo)負(fù)責(zé)、相關(guān)部門負(fù)責(zé)人及內(nèi)部專家組成的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)本系統(tǒng)（單位）信息安全管理工作，決策本系統(tǒng)（單位）信息安全重大事宜。第八條 各銀行機(jī)構(gòu)應(yīng)設(shè)立或指定專門負(fù)責(zé)信息安全工作的部門，配備專門負(fù)責(zé)信息安全工作的人員，實(shí)行A、B崗制度。第九條 各銀行機(jī)構(gòu)應(yīng)建立和完善統(tǒng)一的信息安全協(xié)調(diào)機(jī)制。應(yīng)建立內(nèi)外部協(xié)調(diào)機(jī)制，加強(qiáng)信息安全的交流、溝通和協(xié)作，充分發(fā)揮縱向、橫向協(xié)調(diào)的組織保障作用，有效提升信息安全保障能力。第十條 各銀行機(jī)構(gòu)應(yīng)明確信息安全管理部門、運(yùn)營部門和應(yīng)用部門

5、的信息安全管理職責(zé)分工，科學(xué)制定安全規(guī)劃，有效組織實(shí)施安全策略。第十一條 各銀行機(jī)構(gòu)應(yīng)建立完善的信息安全制度管理體系。第十二條 各銀行機(jī)構(gòu)信息安全分管行領(lǐng)導(dǎo)、信息安全主管部門及部門負(fù)責(zé)人變更后，應(yīng)報(bào)當(dāng)?shù)厝嗣胥y行備案。第三章 人員管理第十三條 各銀行機(jī)構(gòu)的工作人員應(yīng)根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全管理職責(zé)。第十四條 各銀行機(jī)構(gòu)應(yīng)選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。第十五條 各銀行機(jī)構(gòu)應(yīng)加大人才培養(yǎng)力度，每年至少對信息安全管理人員進(jìn)行一次信息安全培訓(xùn)，適時對工作人員進(jìn)行信息安全知識培訓(xùn)

6、。第十六條 各銀行機(jī)構(gòu)信息安全管理人員應(yīng)認(rèn)真履行職責(zé)：（一）組織落實(shí)信息安全管理規(guī)定和本單位及分支機(jī)構(gòu)信息安全保障工作，制定信息安全管理制度。（二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全項(xiàng)目建設(shè)，維護(hù)、管理信息安全專用設(shè)施。（三）督促檢查網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，組織檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報(bào)和預(yù)警，并提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。（四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓(xùn)工作。第十七條 加強(qiáng)對職工的信息安全教育，提高全員信息安全意識。加大專業(yè)技能培養(yǎng)，優(yōu)化人員結(jié)構(gòu)，形成梯隊(duì)，重點(diǎn)加強(qiáng)數(shù)據(jù)中心高端系統(tǒng)

7、運(yùn)行人員技能的培養(yǎng)力度，不斷增強(qiáng)自我運(yùn)行操作能力與應(yīng)急能力。合理配置和使用人力資源，人盡其才，合理流動，廣開人才來源。第十八條 建立信息安全管理業(yè)績評價體系，獎懲分明。第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理第十九條 本指引所稱機(jī)房，是指網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備放置、運(yùn)行的場所，包含供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第二十條 各銀行機(jī)構(gòu)機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)和機(jī)房設(shè)施配備，應(yīng)符合國家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、行業(yè)管理有關(guān)要求和內(nèi)部管理有關(guān)規(guī)定。第二十一條 計(jì)算機(jī)機(jī)房應(yīng)配套建設(shè)消防、防雷、門禁、視頻監(jiān)控、環(huán)境監(jiān)控等系統(tǒng)，通過技術(shù)和管理手段，確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。第二十二條 計(jì)算機(jī)機(jī)房配套

8、建設(shè)的消防系統(tǒng)、防雷系統(tǒng)應(yīng)通過國家主管部門的竣工驗(yàn)收和定期檢測。第二十三條 應(yīng)建立健全計(jì)算機(jī)機(jī)房管理制度，落實(shí)專人擔(dān)任機(jī)房管理員，定期巡查機(jī)房運(yùn)行狀況。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，掌握機(jī)房各類設(shè)備的操作要領(lǐng)。第二十四條 對計(jì)算機(jī)機(jī)房搬遷等可能影響系統(tǒng)正常運(yùn)行的維護(hù)事項(xiàng)，事前需報(bào)當(dāng)?shù)厝嗣胥y行備案。第二十五條 對外提供柜面服務(wù)的場所與核心業(yè)務(wù)處理環(huán)境，應(yīng)嚴(yán)格人員出入管理，并通過安裝門禁、視頻監(jiān)控錄像等系統(tǒng)，加強(qiáng)技術(shù)防范。第二十六條 各銀行機(jī)構(gòu)應(yīng)做好計(jì)算機(jī)設(shè)備的登記工作，嚴(yán)格設(shè)備資產(chǎn)管理，落實(shí)設(shè)備使用者的安全保護(hù)責(zé)任。第二十七條 各銀行機(jī)構(gòu)應(yīng)根據(jù)計(jì)算機(jī)設(shè)備的重要程度，采取相應(yīng)等級的安全保護(hù)措施，防

9、止未授權(quán)使用設(shè)備或信息。有特殊安全保密要求的計(jì)算機(jī)設(shè)備，應(yīng)放置在機(jī)房特殊功能區(qū)，并遵守相關(guān)安全保密規(guī)定。第五章 密碼技術(shù)及網(wǎng)絡(luò)安全管理第二十八條 各銀行機(jī)構(gòu)信息系統(tǒng)應(yīng)根據(jù)安全需要合理運(yùn)用密碼技術(shù)和產(chǎn)品，所使用的密碼技術(shù)與產(chǎn)品應(yīng)符合國家密碼管理相關(guān)規(guī)定。第二十九條 各銀行機(jī)構(gòu)信息系統(tǒng)重要信息的傳輸、存儲要采取一定強(qiáng)度的加密措施，建立規(guī)范的密鑰管理制度。第三十條 各銀行機(jī)構(gòu)信息系統(tǒng)所使用的網(wǎng)絡(luò)應(yīng)具備可信體系架構(gòu)，具備身份認(rèn)證、授權(quán)管理、跟蹤審計(jì)等功能。第三十一條 各銀行機(jī)構(gòu)信息系統(tǒng)所使用的網(wǎng)絡(luò)應(yīng)具備基本的安全防范能力，能通過身份認(rèn)證、訪問控制、內(nèi)容過濾、信息加密、網(wǎng)絡(luò)隔離等措施有效防范來源于內(nèi)部和

10、外部的網(wǎng)絡(luò)威脅。第三十二條 各銀行機(jī)構(gòu)應(yīng)嚴(yán)格網(wǎng)絡(luò)安全配置管理，制訂合理的網(wǎng)絡(luò)服務(wù)策略和強(qiáng)制路徑策略，強(qiáng)化外部連接用戶認(rèn)證，加強(qiáng)遠(yuǎn)程診斷接口的保護(hù)。第三十三條 各銀行機(jī)構(gòu)應(yīng)規(guī)范劃分網(wǎng)絡(luò)安全域，利用國際互聯(lián)網(wǎng)提供金融服務(wù)的信息系統(tǒng)要與辦公網(wǎng)實(shí)現(xiàn)安全隔離，加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)，保證重要信息不被泄露、篡改或非法利用。第六章 國產(chǎn)化及外包服務(wù)第三十四條 各銀行機(jī)構(gòu)應(yīng)積極開展國外技術(shù)和產(chǎn)品的國產(chǎn)化替代工程，降低對外資廠商的依賴程度，消除外資產(chǎn)品可能植入后門、邏輯炸彈等惡意代碼和記錄信息裝置帶來的安全隱患，提高信息安全自主可控水平。第三十五條 在保證可用性的條件下，各銀行機(jī)構(gòu)應(yīng)優(yōu)先考慮購買使用國產(chǎn)的網(wǎng)絡(luò)產(chǎn)品、服

11、務(wù)器、終端設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等軟硬件產(chǎn)品和技術(shù)。第三十六條 積極開展安全管理認(rèn)證工作，開展測評認(rèn)證時，應(yīng)選擇具有資質(zhì)的國內(nèi)認(rèn)證和咨詢機(jī)構(gòu)，加強(qiáng)信息安全和保密管理，保證重要敏感信息不出境。第三十七條 各銀行機(jī)構(gòu)應(yīng)在充分評估風(fēng)險(xiǎn)控制的基礎(chǔ)上使用外包服務(wù)，并建立規(guī)范的外包服務(wù)管理機(jī)構(gòu)及管理制度。第三十八條 各銀行機(jī)構(gòu)涉及國計(jì)民生、銀行關(guān)鍵業(yè)務(wù)的核心系統(tǒng)不得使用外包服務(wù)。重要業(yè)務(wù)系統(tǒng)托管應(yīng)選擇具有相關(guān)資質(zhì)的中資機(jī)構(gòu)。第三十九條 各銀行機(jī)構(gòu)加強(qiáng)對外包服務(wù)全過程的跟蹤管理，完善過程記錄，定期對外包服務(wù)的實(shí)施過程風(fēng)險(xiǎn)和完成情況進(jìn)行評估。第四十條 各銀行機(jī)構(gòu)加強(qiáng)對外包服務(wù)商的管理，選擇外包服務(wù)

12、商應(yīng)符合國家和行業(yè)監(jiān)管部門信息安全相關(guān)規(guī)定，明確服務(wù)等級責(zé)任（SLA），簽訂保密協(xié)議。第七章 風(fēng)險(xiǎn)評估及等級保護(hù)第四十一條 各銀行機(jī)構(gòu)應(yīng)加強(qiáng)對信息系統(tǒng)風(fēng)險(xiǎn)評估的管理，在信息系統(tǒng)方案設(shè)計(jì)、建設(shè)投產(chǎn)、運(yùn)行維護(hù)、重大變更等各個重要環(huán)節(jié)應(yīng)實(shí)施風(fēng)險(xiǎn)評估。 第四十二條 各銀行機(jī)構(gòu)使用的信息系統(tǒng)要適時、有效開展風(fēng)險(xiǎn)評估，重要信息系統(tǒng)至少每一年進(jìn)行一次評估，并根據(jù)評估結(jié)果，及時研究整改存在的問題，實(shí)施安全加固。第四十三條 各銀行機(jī)構(gòu)應(yīng)每半年按照四川省銀行業(yè)金融機(jī)構(gòu)信息安全評估規(guī)范開展一次全面的自評估，在2月底和10月底上報(bào)當(dāng)?shù)厝嗣胥y行。第四十四條 各銀行機(jī)構(gòu)要嚴(yán)格控制風(fēng)險(xiǎn)評估過程的管理，有規(guī)范的制度和專門人員

13、，應(yīng)建立風(fēng)險(xiǎn)預(yù)案，落實(shí)預(yù)防性應(yīng)對措施，確保風(fēng)險(xiǎn)評估工作不影響生產(chǎn)系統(tǒng)安全。第四十五條 各銀行機(jī)構(gòu)應(yīng)每年梳理本機(jī)構(gòu)運(yùn)營使用的信息系統(tǒng)，按照國家和人民銀行有關(guān)要求開展規(guī)范的定級工作，按人民銀行要求報(bào)送定級評審材料，二級及以上信息系統(tǒng)需向當(dāng)?shù)毓膊块T備案。第四十六條 各銀行機(jī)構(gòu)應(yīng)對三級及以上的信息系統(tǒng)按照國家有關(guān)要求開展等級保護(hù)測評工作，并針對測評問題做好整改工作，并按照屬地管理原則向當(dāng)?shù)厝嗣胥y行報(bào)送測評整改總結(jié)報(bào)告。第八章 災(zāi)難恢復(fù)系統(tǒng)和業(yè)務(wù)連續(xù)性體系第四十七條 各銀行機(jī)構(gòu)應(yīng)按照國家相關(guān)規(guī)范加強(qiáng)災(zāi)難恢復(fù)系統(tǒng)建設(shè)，制定覆蓋所有重要信息系統(tǒng)的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急預(yù)案，建立和完善各項(xiàng)管理制度，提高業(yè)務(wù)持

14、續(xù)運(yùn)營能力。第四十八條 實(shí)施數(shù)據(jù)集中的銀行機(jī)構(gòu)應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行同城或異地信息系統(tǒng)災(zāi)難恢復(fù)系統(tǒng)，逐步形成生產(chǎn)中心、同城災(zāi)備中心、異地災(zāi)備中心的“兩地三中心”災(zāi)備架構(gòu)。第四十九條 各銀行機(jī)構(gòu)核心業(yè)務(wù)系統(tǒng)，應(yīng)實(shí)施應(yīng)用級備份；對于其他業(yè)務(wù)系統(tǒng)，可實(shí)施系統(tǒng)級或數(shù)據(jù)級備份。應(yīng)適時備份和安全保存業(yè)務(wù)數(shù)據(jù)，定期對冗余備份系統(tǒng)、備份介質(zhì)進(jìn)行深度可用性檢查。第五十條 同城災(zāi)備中心對站點(diǎn)級災(zāi)難恢復(fù)能力應(yīng)達(dá)到信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007）中所定義的災(zāi)難恢復(fù)能力等級第4級，并覆蓋70%的重要信息系統(tǒng)（至少包含核心銀行系統(tǒng)、支付結(jié)算系統(tǒng)、電子銀行系統(tǒng)）。同城災(zāi)備中心原則

15、上與生產(chǎn)中心距離應(yīng)處于不同的供電區(qū)域，應(yīng)回避危險(xiǎn)區(qū)和干擾源。第五十一條 異地災(zāi)備中心對城市級災(zāi)難恢復(fù)能力應(yīng)達(dá)到信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007）中所定義的災(zāi)難恢復(fù)能力等級第3級，并覆蓋所有重要信息系統(tǒng)。異地災(zāi)備中心原則上與生產(chǎn)中心應(yīng)處于不同地震板塊，并應(yīng)回避危險(xiǎn)區(qū)和干擾源、回避與生產(chǎn)中心相同的災(zāi)患。第五十二條 災(zāi)難備份中心的規(guī)劃應(yīng)綜合平衡風(fēng)險(xiǎn)與成本、運(yùn)維管理與災(zāi)難恢復(fù)力量等因素，進(jìn)行業(yè)務(wù)影響、可行性、成本收益分析以及建設(shè)方案風(fēng)險(xiǎn)評估，明確災(zāi)難恢復(fù)策略。第五十三條 災(zāi)難備份中心的選址要從國家整體安全出發(fā)，接受行業(yè)監(jiān)管部門的指導(dǎo)，合理規(guī)劃布局。建設(shè)方式包括自建、聯(lián)

16、合共建或利用外部企業(yè)（組織）的災(zāi)難備份設(shè)施等。第五十四條 各銀行機(jī)構(gòu)每年開展業(yè)務(wù)連續(xù)性計(jì)劃演練，演練方式包括桌面演練、模擬演練、單元演練、端到端演練和全面演練。應(yīng)當(dāng)至少每三年對全部重要業(yè)務(wù)開展一次業(yè)務(wù)連續(xù)性計(jì)劃演練。在重大業(yè)務(wù)活動、重大社會活動等關(guān)鍵時點(diǎn)，或在關(guān)鍵資源發(fā)生重大變化之前，應(yīng)開展專項(xiàng)演練。已建立災(zāi)難備份系統(tǒng)的單位，每年應(yīng)對四分之一的重要信息系統(tǒng)（至少包括核心銀行系統(tǒng)）組織一次系統(tǒng)級災(zāi)難的應(yīng)急演練。第五十五條 各銀行機(jī)構(gòu)應(yīng)將外部供應(yīng)商納入演練范圍，積極參加金融同業(yè)單位、外部金融市場、金融服務(wù)平臺和公共事業(yè)部門等組織的業(yè)務(wù)連續(xù)性計(jì)劃演練，確保應(yīng)急協(xié)調(diào)措施的有效性。第九章 計(jì)算機(jī)系統(tǒng)和數(shù)

17、據(jù)安全管理第五十六條 本指引所稱計(jì)算機(jī)系統(tǒng)，是指銀行機(jī)構(gòu)業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。本指引所稱的數(shù)據(jù)，是指以電子形式存儲的銀行機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。 第五十七條 計(jì)算機(jī)系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段，按照國家政策法規(guī)、行業(yè)監(jiān)管的有關(guān)規(guī)定和業(yè)務(wù)實(shí)際需要，全面分析數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，統(tǒng)一考慮系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略等安全問題，并進(jìn)行論證，形成安全設(shè)計(jì)方案配套文件。第五十八條 計(jì)算機(jī)系統(tǒng)開發(fā)應(yīng)依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。開發(fā)人員不能

18、兼任系統(tǒng)管理員或業(yè)務(wù)操作人員，不得在程序中設(shè)置后門或惡意代碼程序。采取外包方式進(jìn)行開發(fā)的系統(tǒng)，還應(yīng)與外部單位簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，明確外部單位不得將計(jì)算機(jī)系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。 第五十九條 涉密計(jì)算機(jī)系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位，并簽訂嚴(yán)格的保密協(xié)議。 第六十條 計(jì)算機(jī)系統(tǒng)上線運(yùn)行實(shí)行安全審查制度，未通過安全審查的任何新建或改造計(jì)算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行。 第六十一條 計(jì)算機(jī)系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)根據(jù)安全設(shè)計(jì)方案制定嚴(yán)謹(jǐn)、規(guī)范的安全運(yùn)維規(guī)定。 第六十二條 應(yīng)指定專人作為系統(tǒng)管理員，具體負(fù)責(zé)計(jì)算機(jī)系統(tǒng)的日常運(yùn)行管理。系統(tǒng)管理

19、員應(yīng)定期檢查系統(tǒng)日志，并建立重要計(jì)算機(jī)系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要計(jì)算機(jī)系統(tǒng)的系統(tǒng)設(shè)置要求至少雙人在場。 第六十三條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，確需對計(jì)算機(jī)系統(tǒng)數(shù)據(jù)庫進(jìn)行技術(shù)維護(hù)性操作的，應(yīng)征得業(yè)務(wù)部門書面同意，在業(yè)務(wù)操作人員在場的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時間等信息。業(yè)務(wù)數(shù)據(jù)的錄入、復(fù)核分崗設(shè)立，特別重要的業(yè)務(wù)數(shù)據(jù)錄入，應(yīng)增設(shè)審查崗，三個崗位不得由一人兼任。 第六十四條 應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、刪除、修改等變更操作，按照既定備份策略執(zhí)行數(shù)據(jù)備份操作，并定期測試備份數(shù)據(jù)的有效性。根據(jù)業(yè)務(wù)需求，明確備份數(shù)據(jù)保存期限，及時做好備份數(shù)據(jù)的銷毀審查和登記工作。

20、第六十五條 各單位應(yīng)定期導(dǎo)出重要計(jì)算機(jī)系統(tǒng)業(yè)務(wù)日志文件，進(jìn)行明確標(biāo)識并妥善保存。 第六十六條 所有數(shù)據(jù)備份介質(zhì)應(yīng)防磁、防潮、防塵、防高溫、 防擠壓存放。恢復(fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第六十七條 需要廢止的計(jì)算機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)信息，根據(jù)重要性和敏感程度，應(yīng)使用專用工具進(jìn)行相應(yīng)消除處理，確保安全。第十章 信息通報(bào)第六十八條 應(yīng)按照銀行計(jì)算機(jī)安全事件報(bào)告管理制度（銀發(fā)2002280號）要求，及時向當(dāng)?shù)厝嗣胥y行分支機(jī)構(gòu)報(bào)告重大網(wǎng)絡(luò)與信息安全事件。第六十九條 應(yīng)按照四川銀行業(yè)機(jī)構(gòu)重大事項(xiàng)報(bào)告制度（成銀發(fā)2010202號）要求，及時向當(dāng)?shù)厝嗣胥y行分支機(jī)構(gòu)報(bào)告重大網(wǎng)絡(luò)與信息安全事項(xiàng)。重大事項(xiàng)包括組織及策略類、網(wǎng)絡(luò)及系統(tǒng)類、信息技術(shù)案件類、IT輿情類事項(xiàng)及重要保障時期的信息通報(bào)。組織及策略類是指金融機(jī)構(gòu)高層主要負(fù)責(zé)人及信息