信息安全管理辦法14623

1、銀行信息安全管理辦法第一章 總 則 第一條 為加強* （下稱 “本行” ）信息安全管理，防范信息技術風險，保障本行計算機網(wǎng)絡與信息系統(tǒng)安全和穩(wěn)定運行， 根據(jù) 中華人民共和國計算機信息系統(tǒng)安全保護條例 、 金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定等，特制定本辦法 。 第二條 本辦法所稱信息安全管理， 是指在本行信息化項目立項、 建設、 運行、 維護及廢止等過程中保障信息及其相關系統(tǒng)、環(huán)境、網(wǎng)絡和操作安全的一系列管理活動。 第三條 本行信息安全工作實行統(tǒng)一領導和分級管理， 由分管領導負責。 按照“誰主管誰負責，誰運行誰負責，誰使用 誰負責”的原則，逐級落實部門與個人信息安全責任。 第四條 本辦法

2、適用于本行。所有使用本行網(wǎng)絡或信息資源的其他外部機構(gòu)和個人均應遵守本辦法。 第二章 組織保障 第五條 常設由本行領導、各部室負責人及信息安全員組成的信息安全領導小組，負責本行信息安全管理工作 ，決策信息安全重大事宜。 第六條 各部室、各分支機構(gòu)應指定至少一名信息安全員，配合信息安全領導小組開展信息安全管理工作，具體負責信息安全領導小組頒布的相關管理制度及要求在本部室的落實。 第七條 本行應建立與信息安全監(jiān)管機構(gòu)的聯(lián)系，及時報告各類信息安全事件并獲取專業(yè)支持。 第八條 本行應建立與外部信息安全專業(yè)機構(gòu)、專家的聯(lián)系，及時跟蹤行業(yè)趨勢，學習各類先進的標準和評估方法。 第三章 人員管理 第九條 本行所

3、有工作人員根據(jù)不同的崗位或工作范圍，履行相應的信息安全保障職責。 第一節(jié) 信息安全管理人員 第十條 本辦法所指信息安全管理人員包括本行信息安全領導小組和信息安全工作小組成員。 第十一條 應選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和本行有關規(guī)定受到過處罰或處分的人員，不得從事此項工作。 第十二條 信息安全管理人員定期參加信息安全相關培訓。 第十三條 安全工作小組在如下職責范圍內(nèi)開展信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領導小組成員工作，監(jiān)督檢查信息安全管理工作。 （二）審核信息化建設項目中的安全方案

4、，組織實施信息安全保障項目建設。 （三）定期監(jiān)督網(wǎng)絡和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改意見。 （四）統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 （五） 定期組織信息安全宣傳教育活動， 開展信息安全檢查、 評估與培訓工作。 第十四條 信息安全領導小組成員在如下職責范圍內(nèi)開展工作： （一）負責本行信息安全管理體系的落實。 （二）負責提出本行信息安全保障需求。 （三）負責組織開展本行信息安全檢查工作。 第二節(jié) 技術支持人員 第十五條 本辦法所稱技術支持人員，是指參與本行網(wǎng)絡、信息系統(tǒng)、 機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和

5、外包服務人員。 第十六條 本行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中，應承擔如下安全義務： （一）不得對外泄漏或引用工作中觸及的任何敏感信息。 （二）嚴格權限訪問，未經(jīng)業(yè)務主管部室授權 不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何數(shù)據(jù)。 （三）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況 ，發(fā)現(xiàn)安全隱患或故障及時報告本部室主管領導，并及時響應、處置。 （四）嚴格操作管理、測試管理、應急管理、 配置管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 第十七條 外部技術支持人員應嚴格履行外包服務合同（協(xié)議）的各項安全承諾，簽署保密協(xié)議。提供技術服務期間，嚴格遵守本行相關安全規(guī)定與操

6、作規(guī)程。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù)，不得對外泄漏或引用任何工作信息。 第三節(jié) 一般計算機用戶 第十八條 本規(guī)定所稱一般計算機用戶是指使用計算機設備的所有人員。 第十九條 一般計算機用戶應承擔如下安全義務： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部室信息安全員的指導與管理。 （二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡配置以屏蔽信息安全防護。 （三） 不得在辦公用計算機上安裝任何盜版或非授權軟件。（四） 未經(jīng)信息安全管理人員檢測和授權，不得將內(nèi)部網(wǎng)絡的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡或私自拷貝任何信息。

7、第四章 資產(chǎn)管理 第二十條 本行對所有信息資產(chǎn)進行識別、評估相對價值及重要性，建立資產(chǎn)清單并說明使用規(guī)則，明確定義信息資產(chǎn)責任人及其職責。細則參見*信息資產(chǎn)分類分級管理規(guī)定。 第二十一條 按照信息資產(chǎn)的價值、法律要求及敏感程度和對業(yè)務關鍵程度，分別依據(jù)機密性、完整性、可用性三個屬性對信息資產(chǎn)進行分類分級，并建立相應的標識和處理制度。 第二十二條 依照信息資產(chǎn)的分類分級采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權的使用。 第二十三條 依據(jù)*介質(zhì)管理規(guī)范加強介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。 第五章 物理環(huán)境安全管理 第一節(jié) 機房安全管理 第二十四條 本

8、規(guī)定所稱機房是指信息系統(tǒng)主要設備放置、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第二十五條 本行機房的信息安全管理由本行本行信息科技部門負責具體實施和落實。 第二十六條 建立機房設施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（UPS） 、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控。 第二十七條 建立健全機房管理制度，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓 ，熟知機房各類設備的分布和操作要領，定期巡查機房，發(fā)現(xiàn)問題及時報告。機房管理員負責保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料，并隨時提供調(diào)閱。 第二十八條 建立機房定

9、期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。 第二十九條 依據(jù)浙江省農(nóng)村合作金融機構(gòu)機房管理指引進一步規(guī)范機房建設、改造和驗收過程，落實機房管理。 第三十條 信息安全領導小組負責定期審核機房安全管理落實情況，并保留相應的審核記錄和審核結(jié)果。 第二節(jié) 重要區(qū)域安全管理 第三十一條 本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。本行信息中心負責制定和執(zhí)行運維監(jiān)控方面的安全管理制度。 第三十二條 重要區(qū)域應嚴格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配置自動監(jiān)控報警功能。 第三十三條 所有門禁、視

10、頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。 第三節(jié) 辦公環(huán)境安全管理 第三十四條 在本行大樓入口應設置門衛(wèi)或接待員，負責出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。 第三十五條 本行信息中心樓層設立門禁，加強人員進出管理。 第三十六條 本行信息中心員工應在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第三十七條 未經(jīng)允許，嚴禁在信息中心辦公區(qū)域內(nèi)進行攝影、攝像、錄音等記錄日常辦公行為的活動。 第六章 網(wǎng)絡安全管理 第一節(jié) 網(wǎng)絡規(guī)劃、建設中的安全管理 第三十八條 本行網(wǎng)絡信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源（網(wǎng)絡設備、通訊線路、IP

11、 地址和域名等）分配。 第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則， 由信息科技部組織實施網(wǎng)絡建設、 改造工程，工程投產(chǎn)前應通過安全測試與評估。 第四十條 本行網(wǎng)絡建設和改造應符合如下基本安全要求： （一）網(wǎng)絡規(guī)劃應有完整的安全策略，保障網(wǎng)絡傳輸與應用安全。 （二）具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 （三）針對不同的網(wǎng)絡安全域，采取必要的安全隔離措施。 （四）能有效防止計算機病毒對網(wǎng)絡系統(tǒng)的侵擾和破壞。 第二節(jié) 網(wǎng)絡運行安全管理 第四十一條 信息科技部應建立健全網(wǎng)絡安全運行方面的制度，配備專職網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡 安全運行狀況，管理網(wǎng)絡資源及其配置信息，建立健全網(wǎng)絡

12、運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。 第四十二條 網(wǎng)絡管理員應定期參加網(wǎng)絡安全技術培訓， 具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能。 第四十三條 嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前，接入方案、設備的安全性等應經(jīng)過網(wǎng)絡管理人員的審核與檢測，審 核（檢測）通過后方可接入并分配相應的網(wǎng)絡資源。 第四十四條 嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口時，應嚴格遵循變更管理流程。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更，應提前通知相關業(yè)務部門并安排在非交易時間或交易較少時間進行，同時做好配置參數(shù)的備份和應急恢復準備。 第四十五條 嚴格遠程訪問控制。確因工作需要進行遠程

13、訪問的人員應向信息簡科技部提出書面申請，并采取相應的安全防護措施。 第四十六條 信息安全管理人員負責定期對網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外 界提供。未經(jīng)授權，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡。 第三節(jié) 接入互聯(lián)網(wǎng)管理 第四十七條 信息科技部負責制定本行互聯(lián)網(wǎng)方面管理制度，對互聯(lián)網(wǎng)接入進行嚴格的控制，防范來自互聯(lián)網(wǎng)的威脅。 第四十八條 本行內(nèi)部業(yè)務網(wǎng)、辦公網(wǎng)與互聯(lián)網(wǎng)實行安全隔離。所有接入內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機，不得直接或間接接入互聯(lián)網(wǎng)。 第四十九條 內(nèi)部網(wǎng)絡計算機嚴禁接入互聯(lián)網(wǎng)，確有必要接入互聯(lián)網(wǎng)的應通過信息安全工作小組審核并上報相關領

14、導審批，確保安裝有指定的防病毒軟件和最新補丁程序。經(jīng)審批后連接互聯(lián)網(wǎng)的計算機，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接際互聯(lián)網(wǎng)的計算機上使用。 第五十條 曾接入互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡，確有必要接入內(nèi)部網(wǎng)絡的應通過安全工作小組審核并上報相關領導審批， 經(jīng)安全檢測后方能接入。從互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第五十一條 使用互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和本行相關管理規(guī)定，不得從事任何違法違規(guī)活動。 第七章 訪問控制 第五十二條 本行負責建立訪問控制制度，對信息資產(chǎn)和服務的訪問和權限分配進行控制。 第五十三條 信息資產(chǎn)的責任人負責確定

15、信息資產(chǎn)和服務的訪問權限，運行維護科根據(jù)授權進行相關設定操作。 第五十四條 信息系統(tǒng)用戶設置本人的用戶和密碼， 并對其訪問控制權限負責。重要信息系統(tǒng)操作人員的密碼應由系統(tǒng)管理員和業(yè)務部門負責人分段設立。 第五十五條 凡是能夠執(zhí)行錄入、復核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復核兩職。未經(jīng)主管領導批準，不得代崗、兼崗。 第五十六條 應啟用安全措施限制授權用戶對操作系統(tǒng)的訪問， 包括但不限于： （一）按照已定義的訪問控制策略鑒別授權用戶； （二）記錄成功和失敗的系統(tǒng)訪問企圖； （三）記錄專用系統(tǒng)特殊權限的使用情況； （四）當違反系統(tǒng)安全策略時發(fā)布警報； （五）提供合適的身份鑒別手段； （六）限

16、制用戶的連接時間。 第五十七條 對應用系統(tǒng)和信息的邏輯訪問應只限于已授權的用戶。對應用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應用控制的任 何實用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進行未授權訪問； （三）為重要的敏感系統(tǒng)設立隔離的運行環(huán)境。 第五十八條 訪問控制實施細則詳見*信息系統(tǒng)訪問控制管理規(guī)定。 第八章 信息系統(tǒng)安全管理 第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。 第六十條 信息系統(tǒng)安全管理實施細則詳見*計算機信息系統(tǒng)安全

17、管理規(guī)定。 第一節(jié) 信息系統(tǒng)規(guī)劃與立項 第六十一條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題，建設方案應滿足信息安全管理的相關要求。項目技術方案應包括以下基本安全內(nèi)容： （一）業(yè)務需求部室提出的安全需求。 （二）安全需求分析和實現(xiàn)。 （三）運行平臺的安全策略與設計。 第六十二條 信息安全領導小組負責派遣相關部室安全員對項目技術方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。 第二節(jié) 信息系統(tǒng)開發(fā)與集成 第六十三條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整實現(xiàn)。 第六十四條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及相關技

18、術資料全部移交本行。外部開發(fā)單位還應與本行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人 員，不得在程序代碼中植入后門和惡意代碼程序。 第六十六條 信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進行。 第六十七條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。 第六十八條 系統(tǒng)上線前應開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。 第三節(jié) 信息系統(tǒng)運行 第六十九條 信息系統(tǒng)上線運行實行安全審查機制，未通

19、過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承建單位（部室）應組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。 （二）信息系統(tǒng)歸口責任業(yè)務部室應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定，報信息科技部門。 （三）信息科技部應提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 第七十條 信息系統(tǒng)投入使用前信息中心應當建立相應的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。 第七十一條 系統(tǒng)管理員負責信息系統(tǒng)的日常運行管理，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)

20、的系統(tǒng)操作要求雙人在場。 第七十二條 系統(tǒng)管理員不得兼任業(yè)務操作人員。系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的，應征得業(yè)務系統(tǒng)歸口責任 業(yè)務處室同意并在業(yè)務操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。 第七十三條 嚴格用戶和密碼（口令）的管理，嚴格控制各級用戶對數(shù)據(jù)的訪問權限。 第七十四條 在信息系統(tǒng)運行維護過程中，系統(tǒng)管理人員應遵守但不限于以下要求： （一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計功能，以達到相應安全等級標準； （二）屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入； （三）及時、合理安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞； （四）啟

21、用系統(tǒng)提供的審計功能，或使用第三方手段實現(xiàn)審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況； （五） 按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置設備的 IP 地址及網(wǎng)絡參數(shù)， 非系統(tǒng)管理人員不得修改。 第四節(jié) 信息系統(tǒng)廢止 第七十五條 廢止信息系統(tǒng)及其存儲介質(zhì)在報廢或重用前，應根據(jù)其安全級別， 進行消磁或安全格式化，以避免信息泄露。 第七十六條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的 ，應在信息安全領導小組監(jiān)督下予以不可恢復性銷毀。 第九章 客戶端安全管理 第七十七條 本辦法所稱客戶端是指本行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備，包括聯(lián)網(wǎng)桌

22、面終端、柜面 終端、單機運行（?。┙K端、遠程接入終端、便攜式計算機設備等。 第七十八條 客戶端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關的軟件。 第七十九條 客戶端應統(tǒng)一安裝病毒防治軟件，設置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。 第八十條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。 第八十一條 規(guī)范存儲本單位商密信息的計算機設備的安全管理，包括：開發(fā)用終端、生產(chǎn)主機及其他計算機設備。 第十章 信息安全專用產(chǎn)品、服務管理 第一節(jié) 資質(zhì)審查與選型購置 第八十二條 本規(guī)定

23、所稱信息安全專用產(chǎn)品，是指本行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服 務，是指本行向社會購買的專業(yè)化安全服務。 第八十三條 本行負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，由采購科室按照采購程序選購。 第八十四條 安全專用產(chǎn)品在準入審核時， 供應商應提出申請并提供下列資料： （一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料； （二）產(chǎn)品型號、產(chǎn)地、功能及報價； （三）產(chǎn)品采用的技術標準，產(chǎn)品功能及性能的說明書； （四）生產(chǎn)企業(yè)概況（包括人員、設備、生產(chǎn)條件、隸屬關系等）； （五）供應商的質(zhì)量保證體系、售后服務措施等情況的說明。 第八十五條 安全專用產(chǎn)品

24、有下列情形之一的，取消其準入資格： （一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測的； （二）經(jīng)使用發(fā)現(xiàn)有嚴重問題的； （三）不能提供良好售后服務的； （四）國家有關部門取消其銷售資格的。 第二節(jié) 使用管理 第八十六條 掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。 第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第八十八條 信息科技部應及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應報信息安全領導小組批準后，按照固定資產(chǎn)報廢審批程序處理。

25、第十一章 文檔、數(shù)據(jù)與密碼應用安全管理 第一節(jié) 技術文檔 第八十九條 本規(guī)定所稱技術文檔是指本行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種技術資料 ，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。 第九十條 各部室負責將技術文檔統(tǒng)一歸檔。未經(jīng)本行領導批準，任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。 第二節(jié) 存儲介質(zhì) 第九十一條 建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。所有存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第九十二條 做好存儲介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。重要信息

26、的存取需要授權和記錄。 第九十三條 加強對移動存儲設備（盤、軟盤、移動硬盤等）的使用管理。對系統(tǒng)升級專用的移動存儲設備應按照相關規(guī)定由專人負責管理。 第九十四條 建立存儲介質(zhì)銷毀機制，對載有敏感信息的存儲介質(zhì)應按照其安全等級，采用安全格式化、消磁等不可復原的方式進行處置并做好記錄。 第九十五條 介質(zhì)管理實施細則詳見*介質(zhì)管理規(guī)范。 第三節(jié) 數(shù)據(jù)安全 第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。 第九十七條 數(shù)據(jù)的所有者（部室）負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負責審核安全需求并提供一定的技術

27、實現(xiàn)手段。 第九十八條 嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作，進行業(yè)務數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備 份任務，并定期測試備份數(shù)據(jù)的有效性。 第九十九條 系統(tǒng)管理員負責定期導出網(wǎng)絡和重要信息系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年，妥善保管。 第一百條 本行信息科技部負責建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級別分類采取相應的備份數(shù)據(jù)的保 存時限和密級，并根據(jù)介質(zhì)處置相關要求進行銷毀處理。 第一百零一條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的，應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。 第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應遵守*計算機系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護操作規(guī)程。 第四節(jié) 口令密碼 第一百零三條 信息科技部負責制定和維護密碼管理方面的制度，嚴格執(zhí)行密碼安全管理策略。 第一百零四條 系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、業(yè)務操作人員的用戶均須設置口令密碼，至少每三個月更換一次。口令密碼的強度應滿足必要的安全性要求。 第一百零五條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行，必要時應將口令密碼筆錄，密封交相關部室保管。未經(jīng)本行分管領導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存