2024信息安全管理辦法

第頁(yè)信息安全管理辦法xxxxzdxxxxxxxx電廠管理制度

net

信息安全管理辦法

2015-9-10發(fā)布2015-9-10實(shí)施

xxxxxxxx電廠發(fā)布hyw3-111-xz15

xxxxxxxx電廠信息安全管理辦法

第一章總則

第一條為了加強(qiáng)xxxxxxxx電廠（以下簡(jiǎn)稱“電廠”）信息的安全管理，確保公司信息系統(tǒng)安全、穩(wěn)定運(yùn)行，特制定本辦法。

第二條本辦法規(guī)定了信息安全管理的職責(zé)、內(nèi)容和方法，本辦法適用于電廠各部門。

第二章人員與帳戶

第三條電廠的所有員工都必須接受信息安全培訓(xùn)，培訓(xùn)由電廠人力資源部組織，信息中心協(xié)助。

第四條信息中心統(tǒng)一管理各應(yīng)用系統(tǒng)中的帳戶信息，包括用戶基本信息、用戶帳號(hào)、權(quán)限等。信息中心應(yīng)在接到人力資源部門的員工職位變動(dòng)或離職的通知后，根據(jù)具體情況及時(shí)調(diào)整相應(yīng)的帳戶信息。

第五條員工離職時(shí)必須將其掌管的信息資產(chǎn)（如電腦、打印機(jī)等）移交信息中心，信息中心進(jìn)行清點(diǎn)和核查。必要時(shí)，還需要檢查此員工管理的信息系統(tǒng)，以確認(rèn)系統(tǒng)安全、正常，沒有遭受蓄意破壞。

第三章口令策略

第六條信息系統(tǒng)中所需要的所有口令應(yīng)至少滿足以下要求：

（一）長(zhǎng)度。至少6位，建議在16位以下。

（二）復(fù)雜度?？梢杂纱笮懽帜?、數(shù)字和普通符號(hào)組成。

（三）有效期?？诹顟?yīng)每季度更換。

（四）更換策略。新口令至少與前3次的口令不能相同。

第四章特權(quán)帳號(hào)的控制

第七條特權(quán)帳號(hào)是指具有特殊管理功能和權(quán)限的專用賬號(hào)，如：具有應(yīng)用系統(tǒng)管理權(quán)、數(shù)據(jù)庫(kù)管理權(quán)、操作系統(tǒng)管理權(quán)的帳號(hào)，還包括網(wǎng)絡(luò)設(shè)備特權(quán)帳號(hào)等。

第八條特權(quán)帳號(hào)應(yīng)由專人管理和使用，責(zé)任到人。特權(quán)帳號(hào)使用人在出差、請(qǐng)假期間，應(yīng)將特權(quán)帳號(hào)轉(zhuǎn)交給信息中心負(fù)責(zé)人指定的人員。特權(quán)帳號(hào)使用人長(zhǎng)期離開時(shí)，應(yīng)將特權(quán)帳號(hào)交給信息中心負(fù)責(zé)人。

第九條使用特權(quán)帳號(hào)后，特權(quán)帳號(hào)使用人應(yīng)將其操作情況記錄在《操作日志》中。信息中心負(fù)責(zé)人每季度對(duì)《操作日志》進(jìn)行審核。

第十條特權(quán)帳號(hào)使用人在進(jìn)行操作時(shí)，不得擅自離開；操作完成后，應(yīng)立即退出登錄，以防賬號(hào)被竊用。

hyw3-111-xz15

第五章安全檢查和審計(jì)

第十一條信息中心安全管理員對(duì)防火墻進(jìn)行管理，按照電廠有關(guān)技術(shù)規(guī)范的要求和本單位的實(shí)際情況配置相應(yīng)的安全策略。防火墻必須保留完整的日志記錄，安全管理員對(duì)其每月進(jìn)行檢查、分析和審計(jì)。

第十二條應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫(kù)的自動(dòng)日志記錄應(yīng)完整保留，以便對(duì)其使用情況進(jìn)行檢查和審計(jì)。

第六章病毒防護(hù)

第十三條電廠內(nèi)部網(wǎng)絡(luò)內(nèi)所有采用windows操作系統(tǒng)的計(jì)算機(jī)（包括服務(wù)器、臺(tái)式機(jī)和筆記本）都必須安裝電廠統(tǒng)一的防病毒軟件，防病毒軟件的安裝、升級(jí)、更新和策略設(shè)置由信息中心負(fù)責(zé)，電腦終端用戶不得擅自卸載殺毒軟件或更改其設(shè)置。

第七章數(shù)據(jù)安全與保護(hù)

第十四條重要數(shù)據(jù)的安全保護(hù)工作由電廠信息中心負(fù)責(zé)，按照數(shù)據(jù)重要性的分類應(yīng)采用不同的備份和管理的策略。

第十五條重要數(shù)據(jù)進(jìn)行銷毀或存儲(chǔ)介質(zhì)報(bào)廢時(shí)，應(yīng)確保對(duì)數(shù)據(jù)存儲(chǔ)介質(zhì)的物理銷毀或清除。

第十六條信息中心的技術(shù)資料、軟件安裝介質(zhì)、軟件授權(quán)以及設(shè)備保修卡等重要資料應(yīng)指定專人分類妥善保管。上述資料應(yīng)存放在防火、防潮并且上鎖的資料柜中，借出時(shí)應(yīng)登記，避免遺失。

第八章安全應(yīng)急處理

第十七條信息系統(tǒng)受到惡意攻擊或發(fā)生重大事故時(shí)，信息中心負(fù)責(zé)應(yīng)急和恢復(fù)工作。信息中心應(yīng)對(duì)主要事故和攻擊的情況做出預(yù)案，以確保能迅速恢復(fù)系統(tǒng)的正常運(yùn)行。

第十八條信息系統(tǒng)受到非法攻擊或發(fā)生重大事故后，信息中心應(yīng)對(duì)系統(tǒng)的安全性重新進(jìn)行全面的評(píng)估，制訂相應(yīng)的整改措施并落實(shí)執(zhí)行。

第十九條建立信息系統(tǒng)問題匯報(bào)機(jī)制，信息中心根據(jù)問題的性質(zhì)、影響大小和發(fā)生頻度對(duì)電廠的信息系統(tǒng)進(jìn)行分類匯總，信息化領(lǐng)導(dǎo)小組每季度審閱相應(yīng)的報(bào)告，對(duì)其中特別重大的事件（例如；重大安全事件〈黑客攻擊〉、主要系統(tǒng)的設(shè)備損毀、病毒造成的電廠范圍的網(wǎng)絡(luò)癱瘓）應(yīng)及時(shí)上報(bào)，同時(shí)向上級(jí)公司信息中心匯報(bào)。

第九章附則

第二十條本辦法由電廠行政部信息中心負(fù)責(zé)解釋。

第二十一條

本辦法自發(fā)布施行。

第二篇：項(xiàng)目信息安全管理辦法關(guān)于**項(xiàng)目信息安全管理辦法

為了規(guī)范及加強(qiáng)**項(xiàng)目的信息安全管理工作，特制定，并嚴(yán)格按要求執(zhí)行，具體如下：

一、硬件設(shè)備及軟件信息安全管理

1、按照**客服供應(yīng)商硬件及軟件設(shè)備要求標(biāo)準(zhǔn)進(jìn)行配置，確保符合標(biāo)準(zhǔn)。并定期維護(hù)。

要求。技術(shù)員定期維護(hù)，對(duì)于損壞、無(wú)法修復(fù)、多次修復(fù)仍然存在問題的電腦及時(shí)進(jìn)行更換。

對(duì)象：**項(xiàng)目組座席、管理使用的電腦實(shí)施時(shí)間：隨時(shí)檢查，每月排查登記一次

違規(guī)處罰。未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。

2、招募第三方安全公司，按**客服供應(yīng)商對(duì)第三方安全公司的安全測(cè)評(píng)要求來(lái)進(jìn)行招標(biāo)，定期上報(bào)安全測(cè)評(píng)報(bào)告，并對(duì)存在的信息安全、網(wǎng)絡(luò)安全等隱患或漏洞進(jìn)行排查整改。對(duì)象：**項(xiàng)目組所使用設(shè)備、軟件等實(shí)施時(shí)間：每季度測(cè)評(píng)一次

違規(guī)處罰。未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。

3、外網(wǎng)訪問、系統(tǒng)更新補(bǔ)丁、防火墻檢查、機(jī)房電腦usb端口的禁用等檢查工作

要求：對(duì)?？诼殘?chǎng)電腦外網(wǎng)訪問進(jìn)行嚴(yán)格審查，無(wú)關(guān)于工作的外網(wǎng)一律禁止訪問，對(duì)于網(wǎng)盤、視頻、音樂、非工作用的在線聊天軟

件等進(jìn)行屏蔽。每周定期打系統(tǒng)更新補(bǔ)丁，每周定期對(duì)防火墻進(jìn)行檢查、打補(bǔ)丁，每周定期對(duì)機(jī)房電腦usb端口禁用進(jìn)行檢查

對(duì)像。機(jī)房座席電腦、管理人員使用的電腦、服務(wù)器。

實(shí)施時(shí)間。每周定期檢查，并做好技術(shù)維護(hù)日志登記工作。以便可追溯。

違規(guī)處罰。未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。如有出現(xiàn)擅自開通外網(wǎng)、解禁usb端口等出現(xiàn)危害信息安全等行為的，一律按500元/次進(jìn)行考核，嚴(yán)重的做辭退處理。并承擔(dān)由此造成的經(jīng)濟(jì)損失。

4、硬件設(shè)備、軟件等信息安全檢查要求

要求：

1、對(duì)**項(xiàng)目所有電腦按區(qū)域進(jìn)行劃分，共5個(gè)區(qū)域。

2、專人負(fù)責(zé)，每個(gè)區(qū)域由團(tuán)隊(duì)長(zhǎng)進(jìn)行管理。

3、每周各區(qū)域負(fù)責(zé)人對(duì)管轄區(qū)域信息安全進(jìn)行檢查及檢查。

4、檢查完畢后團(tuán)隊(duì)長(zhǎng)填寫《信息安全檢查表》，并簽名。

5、中心經(jīng)理每日對(duì)團(tuán)隊(duì)長(zhǎng)信息安全工作及簽名進(jìn)行檢查，一旦出現(xiàn)未按要求完成工作則納入考核。

實(shí)施時(shí)間：每周日前完成

違規(guī)處罰。不按時(shí)完成工作及簽名者，考核200元/次。

二、座席入職及職場(chǎng)信息安全管理

1、座席信息安全保密工作

要求：座席上崗前100%簽訂保密協(xié)議，并通過信息安全制度考試后

方可上崗。對(duì)信息安全相關(guān)考核及連帶責(zé)任條例進(jìn)行簽字確認(rèn)認(rèn)同并無(wú)異議。每月業(yè)務(wù)考試中加入信息安全考核內(nèi)容，定期考核。在崗期間不得將工作資料、客戶信息等紙質(zhì)文件、電子文檔等在未經(jīng)項(xiàng)目經(jīng)理允許的情況下帶離公司，不得將涉及公司及客戶信息安全的資料發(fā)到自己的社交媒體如qq群、qq空間、微信群、微信朋友圈、電子郵箱等。在崗期間不得在非工作群內(nèi)談?wù)摽蛻粜畔ⅰl(fā)布客戶信息等行為。

實(shí)施時(shí)間。新員工入崗前完成，崗中每月業(yè)務(wù)考試中進(jìn)行考核，項(xiàng)目主管、團(tuán)隊(duì)長(zhǎng)不定期檢查座席的空間、朋友圈等。

違規(guī)處罰。如有違例扣罰當(dāng)事人500元/次，并承擔(dān)由此造成的經(jīng)濟(jì)損失，如涉及法律相關(guān)問題，應(yīng)配合公司應(yīng)訴并承擔(dān)相應(yīng)法律責(zé)任。

2、機(jī)房現(xiàn)場(chǎng)信息安全防范工作

要求。非**項(xiàng)目組員工不得進(jìn)入**機(jī)房?jī)?nèi)，進(jìn)出機(jī)房需使用門禁系統(tǒng)，進(jìn)入機(jī)房不得攜帶手機(jī)、數(shù)碼相機(jī)、u盤、筆記本電腦、錄音筆等非工作設(shè)備。

實(shí)施時(shí)間：每日班前會(huì)進(jìn)行檢查，每日?qǐng)?zhí)行

違規(guī)處罰。如有違例扣罰當(dāng)事人500元/次，并承擔(dān)由此造成的經(jīng)濟(jì)損失，如涉及法律相關(guān)問題，應(yīng)配合公司應(yīng)訴并承擔(dān)相應(yīng)法律責(zé)任。

**項(xiàng)目組信息安全條例根據(jù)**總部相關(guān)條例及時(shí)進(jìn)行調(diào)整。員工保密協(xié)議、信息安全考試、技術(shù)維護(hù)日志等均納入運(yùn)營(yíng)管理績(jī)效考核中。如未按要求執(zhí)行則承擔(dān)相應(yīng)考核。

第三篇：銀行信息安全管理辦法xx銀行

信息安全管理辦法

第一章總則

第一條為加強(qiáng)xx銀行（下稱“本行”）信息安全管理，防范信息技術(shù)風(fēng)險(xiǎn)，保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。

第二條本辦法所稱信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。

第三條本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任。第四條本辦法適用于本行。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法。

第二章組織保障

第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。

第六條各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員，配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作，具體負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí)。。第七條本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系，及時(shí)報(bào)告各類信息安全事件并獲取專業(yè)支持。

第八條本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系，及時(shí)跟蹤行業(yè)趨勢(shì)，學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法。第三章人員管理

第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。日常員工信息安全行為準(zhǔn)則參見《xx銀行員工信息安全手冊(cè)》。第一節(jié)信息安全管理人員

第十條本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。

第十一條應(yīng)選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。第十二條信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)。

第十三條安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作：

（一）組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。

（二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)。

（三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時(shí)通報(bào)和預(yù)警，并提出整改意見。

（四）統(tǒng)計(jì)分析和協(xié)調(diào)處臵信息安全事件。

（五）定期組織信息安全宣傳教育活動(dòng)，開展信息安全檢查、評(píng)估與培訓(xùn)工作。

第十四條信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開展工作：

（一）負(fù)責(zé)本行信息安全管理體系的落實(shí)。

（二）負(fù)責(zé)提出本行信息安全保障需求。

（三）負(fù)責(zé)組織開展本行信息安全檢查工作。第二節(jié)技術(shù)支持人員

第十五條本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。

第十六條本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：

（一）不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。

（二）嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。

—4—

（三）主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處臵。

（四）嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。

第十七條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾，簽署保密協(xié)議。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對(duì)外泄漏或引用任何工作信息。第三節(jié)一般計(jì)算機(jī)用戶

第十八條本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。第十九條一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)：

（一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺接受本部室信息安全員的指導(dǎo)與管理。

（二）不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護(hù)。

（三）不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件。

（四）未經(jīng)信息安全管理人員檢測(cè)和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)；不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。

第四章資產(chǎn)管理

第二十條本行對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、評(píng)估相對(duì)價(jià)值及重要性，建立資產(chǎn)清單并說明使用規(guī)則，明確定義信息資產(chǎn)責(zé)任人及其職責(zé)。細(xì)則參見《xx銀行信息資產(chǎn)分類分級(jí)管理規(guī)定》。

第二十一條按照信息資產(chǎn)的價(jià)值、法律要求及敏感程度和對(duì)業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機(jī)密性、完整性、可用性三個(gè)屬性對(duì)信息資產(chǎn)進(jìn)行分類分級(jí)，并建立相應(yīng)的標(biāo)識(shí)和處理制度。第二十二條依照信息資產(chǎn)的分類分級(jí)采取不同的安全保護(hù)措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。

第二十三條依據(jù)《xx銀行介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。

第五章物理環(huán)境安全管理第一節(jié)機(jī)房安全管理

第二十四條本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。

第二十五條本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體實(shí)施和落實(shí)。

第二十六條建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。第二十七條建立健全機(jī)房管理制度，并指派專人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料，并隨時(shí)提供調(diào)閱。

第二十八條建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。

第二十九條依據(jù)《XX省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過程，落實(shí)機(jī)房管理。第三十條信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落實(shí)情況，并保留相應(yīng)的審核記錄和審核結(jié)果。第二節(jié)重要區(qū)域安全管理

第三十一條本章節(jié)所指重要區(qū)域?yàn)椤１拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。

第三十二條重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配臵自動(dòng)監(jiān)控報(bào)警功能。

第三十三條所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個(gè)月。第三節(jié)辦公環(huán)境安全管理

第三十四條在本行大樓入口應(yīng)設(shè)臵門衛(wèi)或接待員，負(fù)責(zé)出入或公共訪問區(qū)域的物理安全管理和外來(lái)人員的出入登記。第三十五條本行信息中心樓層設(shè)立門禁，加強(qiáng)人員進(jìn)出管理。

第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來(lái)人員，未經(jīng)允許，不得私自將外來(lái)人員帶入辦公區(qū)域內(nèi)。第三十七條未經(jīng)允許，嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動(dòng)。第六章網(wǎng)絡(luò)安全管理

第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理

第三十八條本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。

第三十九條按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過安全測(cè)試與評(píng)估。

第四十條本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：

（一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。

（二）具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。

（三）針對(duì)不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。

（四）能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理

第四十一條信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度，配備專職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

第四十二條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能。

第四十三條嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測(cè)，審核（檢測(cè)）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第四十四條嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時(shí)，應(yīng)嚴(yán)格遵循變更管理流程。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行，同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。第四十五條嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡(jiǎn)科技部提出書面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。

第四十六條信息安全管理人員負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)授權(quán)，任何外部單位與人員不得檢測(cè)、掃描本行網(wǎng)絡(luò)。

第三節(jié)接入國(guó)際互聯(lián)網(wǎng)管理

第四十七條信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對(duì)互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來(lái)自互聯(lián)網(wǎng)的威脅。

第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。所有接入內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。

第四十九條內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國(guó)際互聯(lián)網(wǎng)，確有必要接入國(guó)際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。經(jīng)審批后連接國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。

第五十條曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，經(jīng)安全檢測(cè)后方能接入。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。

第五十一條使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。第七章訪問控制

第五十二條本行負(fù)責(zé)建立訪問控制制度，對(duì)信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進(jìn)行控制。

第五十三條信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。第五十四條信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對(duì)其訪問控制權(quán)限負(fù)責(zé)。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。

第五十五條凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。

第五十六條應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問，包括但不限于：

（一）按照已定義的訪問控制策略鑒別授權(quán)用戶；

（二）記錄成功和失敗的系統(tǒng)訪問企圖；

（三）記錄專用系統(tǒng)特殊權(quán)限的使用情況；

（四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)；

（五）提供合適的身份鑒別手段；

（六）限制用戶的連接時(shí)間。

第五十七條對(duì)應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對(duì)應(yīng)用系統(tǒng)的訪問控制措施包括但不限于：

（一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能；

（二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實(shí)用程序、系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問；

（三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。

第五十八條訪問控制實(shí)施細(xì)則詳見《xx銀行信息系統(tǒng)訪問控制管理規(guī)定》。

第八章信息系統(tǒng)安全管理

第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。

第六十條信息系統(tǒng)安全管理實(shí)施細(xì)則詳見《xx銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。第一節(jié)信息系統(tǒng)規(guī)劃與立項(xiàng)

第六十一條信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：

（一）業(yè)務(wù)需求部室提出的安全需求。

（二）安全需求分析和實(shí)現(xiàn)。

（三）運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。

第六十二條信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。第二節(jié)信息系統(tǒng)開發(fā)與集成

第六十三條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。

第六十四條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。

第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第六十六條信息系統(tǒng)開發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。

第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

第六十八條系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，避免引發(fā)安全漏洞。

第三節(jié)信息系統(tǒng)運(yùn)行

第六十九條信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下：

（一）項(xiàng)目承建單位（部室）應(yīng)組織制定安全測(cè)試方案，進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告，報(bào)信息科技部審查。

（二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門。

（三）信息科技部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見。必要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。

第七十條信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。

第七十一條系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場(chǎng)。

第七十二條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。

第七十三條嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶對(duì)數(shù)據(jù)的訪問權(quán)限。

第七十四條在信息系統(tǒng)運(yùn)行維護(hù)過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求：

（一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)；

（二）屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入；

（三）及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞；

（四）啟用系統(tǒng)提供的審計(jì)功能，或使用第三方手段實(shí)現(xiàn)審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況；

（五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。

第四節(jié)信息系統(tǒng)廢止

第七十五條廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前，應(yīng)根據(jù)其安全級(jí)別，進(jìn)行消磁或安全格式化，以避免信息泄露。

第七十六條對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀。

第八十四條安全專用產(chǎn)品在準(zhǔn)入審核時(shí)，供應(yīng)商應(yīng)提出申請(qǐng)并提供下列資料：

（一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料；

（二）產(chǎn)品型號(hào)、產(chǎn)地、功能及報(bào)價(jià)；

（三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說明書；

（四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）；

（五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。第八十五條安全專用產(chǎn)品有下列情形之一的，取消其準(zhǔn)入資格：

（一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測(cè)的；

（二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的；

（三）不能提供良好售后服務(wù)的；

（四）國(guó)家有關(guān)部門取消其銷售資格的。第二節(jié)使用管理

第八十六條掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。

第八十七條信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。第八十八條信息科技部應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后，按照固定資產(chǎn)報(bào)廢審批程序處理。

第十一章文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié)技術(shù)文檔

第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。

第九十條各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。第二節(jié)存儲(chǔ)介質(zhì)

第九十一條建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。

第九十二條做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。

第九十三條加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備（Ｕ盤、軟盤、移動(dòng)硬盤等）的使用管理。對(duì)系統(tǒng)升級(jí)專用的移動(dòng)存儲(chǔ)設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負(fù)責(zé)管理。

第九十四條建立存儲(chǔ)介質(zhì)銷毀機(jī)制，對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)按照其安全等級(jí)，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。

第九十五條介質(zhì)管理實(shí)施細(xì)則詳見《xx銀行介質(zhì)管理規(guī)范》。第三節(jié)數(shù)據(jù)安全

第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。

第九十七條數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。

第九十八條嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測(cè)試備份數(shù)據(jù)的有效性。

第九十九條系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年，妥善保管。

第一百條本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的備份數(shù)據(jù)的保存時(shí)限和密級(jí)，并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷毀處理。第一百零一條所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百零二條生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《xx銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》。

第四節(jié)口令密碼

第一百零三條信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略。

第一百零四條系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個(gè)月更換一次?？诹蠲艽a的強(qiáng)度應(yīng)滿足必要的安全性要求。

第一百零五條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。未經(jīng)本行分管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。

第一百零六條應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。

第二節(jié)外包服務(wù)管理

第一百一十七條本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會(huì)廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。

第一百一十八條外包服務(wù)提供商提供上門維護(hù)服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場(chǎng)陪同實(shí)施。外包服務(wù)提供商不得查看、復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。第一百一十九條計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，本行應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第一百二十條外包服務(wù)管理詳見《xx銀行it外包管理暫行辦法》。第十三章事件報(bào)告、災(zāi)難備份與應(yīng)急管理第一節(jié)事件報(bào)告

第一百二十一條信息安全事件按照信息安全事件報(bào)告流程進(jìn)行報(bào)告，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件，應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。

第一百二十二條重大信息安全事件發(fā)生后，相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。必要時(shí)啟動(dòng)相關(guān)應(yīng)急預(yù)案。第二節(jié)災(zāi)難備份管理

第一百二十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過程。

第一百二十四條本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。

第一百二十五條本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。本行據(jù)此確定災(zāi)難備份等級(jí)和備份方案。

第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。第三節(jié)應(yīng)急管理

第一百二十七條本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：

（一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。

（二）應(yīng)急組織機(jī)構(gòu)。

（三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。

（四）各類危機(jī)處臵流程。

（五）應(yīng)急資源保障。

（六）事后處理流程。

（七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。

第一百二十八條本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第一百二十九條本行定期組織應(yīng)急預(yù)案演練，指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。

第一百三十條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。

第一百三十一條應(yīng)急管理實(shí)施細(xì)則詳見《xx銀行計(jì)算機(jī)信息系統(tǒng)應(yīng)急管理制度》。

第十四章安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)

第一百三十二條本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評(píng)估工作。

第一百三十三條本行負(fù)責(zé)每年組織對(duì)各部室、各分支機(jī)構(gòu)的計(jì)算機(jī)安全運(yùn)行情況進(jìn)行檢查（以下簡(jiǎn)稱“對(duì)下安全檢查”）。第一節(jié)安全監(jiān)測(cè)

第一百三十四條本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。

第一百三十五條本行各部室要及時(shí)預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)相關(guān)部門。第二節(jié)安全檢查

第一百三十六條本行安全檢查包括對(duì)本行本級(jí)的安全檢查和對(duì)下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級(jí)檢查多種方式。第一百三十七條開展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計(jì)劃等，確保檢查工作的可操作性和規(guī)范性。

第一百三十八條安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查部門。要求限期整改的，需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。

第一百三十九條參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié)安全評(píng)估

第一百四十條安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見報(bào)主管領(lǐng)導(dǎo)。

第一百四十一條如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)報(bào)本行主管部門批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本行信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督。第一百四十二條應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第四節(jié)安全審計(jì)

第一百四十三條適時(shí)開展信息系統(tǒng)日常運(yùn)行管理和信息安全事件的技術(shù)審計(jì)，發(fā)現(xiàn)問題按照相關(guān)規(guī)定及時(shí)上報(bào)主管領(lǐng)導(dǎo)。第一百四十四條應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第一百四十五條本行各部室及人員應(yīng)積極支持與配合上級(jí)審計(jì)部門或外部審計(jì)機(jī)構(gòu)開展的信息安全審計(jì)。第十五章附則

第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。

第一百四十七條本辦法由本行負(fù)責(zé)制定，解釋。第一百四十八條本辦法自發(fā)布之日起執(zhí)行。

第四篇：企業(yè)信息安全管理辦法信息安全管理辦法

第一章總則

第一條

為加強(qiáng)公司信息安全管理，推進(jìn)信息安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，根據(jù)國(guó)家有關(guān)法律、法規(guī)和《公司信息化工作管理規(guī)定》，制定本辦法。

第二條

本辦法所指的信息安全管理，是指計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)（以下簡(jiǎn)稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護(hù)，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運(yùn)行得到可靠保障。

第三條

公司信息安全管理堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的基本原則，各信息系統(tǒng)的主管部門、運(yùn)營(yíng)和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責(zé)任。

第四條

信息安全管理，包括管理組織與職責(zé)、信息安全目標(biāo)與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、信息安全檢查與考核。

第五條

本辦法適用于公司總部、各企事業(yè)單位及其全體員工。

第二章信息安全管理組織與職責(zé)

第六條

公司信息化工作領(lǐng)導(dǎo)小組是信息安全工作的最高決策機(jī)構(gòu)，負(fù)責(zé)信息安全政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息安全體系建設(shè)，領(lǐng)導(dǎo)信息系統(tǒng)等級(jí)保護(hù)工作。

第七條

公司建立和健全由總部、企事業(yè)單位以及信息技術(shù)支持單位三方面組成，協(xié)調(diào)一致、密切配合的信息安全組織和責(zé)任體系。各級(jí)信息安全組織均要明確主管領(lǐng)導(dǎo)，確定相關(guān)責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。

第八條

信息管理部是公司信息安全的歸口管理部門，負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的決策，實(shí)施公司信息安全建設(shè)與管理，確保重要信息系統(tǒng)的有效保護(hù)和安全運(yùn)行。具體職責(zé)包括：組織制定和實(shí)施公司信息安全政策標(biāo)準(zhǔn)、管理制度和體系建設(shè)規(guī)劃，組織實(shí)施信息安全項(xiàng)目和培訓(xùn)，組織信息安全工作的監(jiān)督和檢查。

第九條

公司保密部門負(fù)責(zé)信息安全工作中有關(guān)保密工作的監(jiān)督、檢查和指導(dǎo)。

第十條

企事業(yè)單位信息部門負(fù)責(zé)本單位信息安全的管理，具體職責(zé)包括：在本單位宣傳和貫徹執(zhí)行信息安全政

策與標(biāo)準(zhǔn)，確保本單位信息系統(tǒng)的安全運(yùn)行，實(shí)施本單位信息安全項(xiàng)目和培訓(xùn)，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。

第十一條

技術(shù)支持單位在信息管理部的領(lǐng)導(dǎo)下，承擔(dān)所負(fù)責(zé)的信息系統(tǒng)和所在區(qū)域的信息安全管理任務(wù)，主要包括：在所維護(hù)系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標(biāo)準(zhǔn)，確保所負(fù)責(zé)信息系統(tǒng)的安全運(yùn)行。

第十二條

各級(jí)信息管理部門設(shè)立信息安全管理和技術(shù)崗位，包括信息安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)負(fù)責(zé)人和管理員，重要崗位可設(shè)置兩個(gè)員工互為備份。

第十三條

信息安全崗位的設(shè)立應(yīng)遵循職責(zé)分離的要求，包括。制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權(quán)者與操作者分離，應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫(kù)管理員分離，程序開發(fā)人員不應(yīng)具備對(duì)生產(chǎn)環(huán)境的訪問權(quán)限。

第十四條

公司員工必須嚴(yán)格遵守公司信息安全政策、管理制度、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)控制要求，承擔(dān)相關(guān)安全義務(wù)和責(zé)任，并及時(shí)報(bào)告信息安全事件。

第三章信息安全目標(biāo)與工作原則

第十五條

信息安全工作的總體目標(biāo)是。實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)，建立和健全先進(jìn)實(shí)用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實(shí)性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。

第十六條

信息安全體系建設(shè)必須堅(jiān)持以下原則。堅(jiān)持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理。

保障應(yīng)用。保障網(wǎng)絡(luò)和信息系統(tǒng)，特別是全局網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)不間斷穩(wěn)定運(yùn)行及其信息的安全，實(shí)現(xiàn)以應(yīng)用促安全，以安全保應(yīng)用。

符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國(guó)家對(duì)信息系統(tǒng)等級(jí)保護(hù)、企業(yè)內(nèi)部控制要求，積極采用法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù)。

綜合防范。管理與技術(shù)并重，相互補(bǔ)充。從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合防范。

集中共享。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺(tái)和

集中專業(yè)化的信息安全隊(duì)伍。

第四章信息安全工作基本要求

第十七條

根據(jù)公司信息安全專項(xiàng)規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，并保持三個(gè)體系穩(wěn)定、均衡發(fā)展。

第十八條

建立全面的信息安全管理體系：

制定并實(shí)施統(tǒng)一的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。

實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，保護(hù)信息系統(tǒng)，特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全。

建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)全生命周期的安全管理。

實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理，及時(shí)發(fā)現(xiàn)和防范安全隱患。

第十九條

建立有效的信息安全技術(shù)體系：

強(qiáng)化網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護(hù)體系，按照自主定級(jí)、自主保護(hù)的原則，評(píng)估確定各信息系統(tǒng)保護(hù)等級(jí)并實(shí)施

相應(yīng)的保護(hù)措施。

建立統(tǒng)一的網(wǎng)絡(luò)安全信任體系，加強(qiáng)網(wǎng)絡(luò)實(shí)體身份管理與認(rèn)證，為網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行提供信任基礎(chǔ)。

建立完善有效的安全監(jiān)控和預(yù)警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，及時(shí)發(fā)現(xiàn)安全隱患。

建立全面有效的應(yīng)急響應(yīng)體系，制定并落實(shí)完整、規(guī)范的應(yīng)急處理和響應(yīng)流程，完善信息安全報(bào)告、處理機(jī)制。

建立包括同城和異地容災(zāi)備份中心的信息系統(tǒng)災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的測(cè)試和演練，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章信息安全監(jiān)控

第二十條

信息安全監(jiān)控的目的是對(duì)威脅系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)安全的因素進(jìn)行有效控制，防止由于技術(shù)或人為因素導(dǎo)致的異常和損失，同時(shí)為其他安全措施的設(shè)計(jì)和實(shí)施提供可靠依據(jù)。安全監(jiān)控的結(jié)果要保存一年以上。

第二十一條

信息系統(tǒng)的運(yùn)行和維護(hù)單位，在國(guó)家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)，具體進(jìn)行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受

必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個(gè)人隱私的內(nèi)容。

第二十二條

各級(jí)信息部門負(fù)責(zé)制定和實(shí)施信息安全監(jiān)控計(jì)劃，包括日常監(jiān)控、應(yīng)急處理和定期匯報(bào)。

第二十三條

日常監(jiān)控分為實(shí)時(shí)監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對(duì)信息系統(tǒng)訪問的實(shí)時(shí)監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異常情況須及時(shí)向有關(guān)負(fù)責(zé)人匯報(bào)。

第二十四條

各級(jí)信息部門應(yīng)對(duì)網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細(xì)的應(yīng)急處理預(yù)案。應(yīng)急處理按照預(yù)案進(jìn)行，并至少每年組織一次相關(guān)崗位人員進(jìn)行應(yīng)急預(yù)案演練。

第二十五條

各級(jí)信息部門編制、上報(bào)信息安全月報(bào)和年報(bào)，及時(shí)向主管領(lǐng)導(dǎo)和上級(jí)部門匯報(bào)重大信息安全風(fēng)險(xiǎn)和事件。

第六章信息安全風(fēng)險(xiǎn)評(píng)估

第二十六條

信息管理部負(fù)責(zé)組織建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，定期或在重大、特殊事件發(fā)生時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

第二十七條

風(fēng)險(xiǎn)評(píng)估包括范圍確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和控制措施，確保信息安全，滿足應(yīng)用和業(yè)務(wù)需要。

評(píng)估范圍可包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點(diǎn)。

風(fēng)險(xiǎn)識(shí)別包括識(shí)別風(fēng)險(xiǎn)類型和風(fēng)險(xiǎn)事件，形成風(fēng)險(xiǎn)列表，更新信息風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。

風(fēng)險(xiǎn)分析包括信息資產(chǎn)分類、風(fēng)險(xiǎn)發(fā)生概率和影響程度分析，并確定風(fēng)險(xiǎn)等級(jí)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。

控制措施包括安全管理策略和風(fēng)險(xiǎn)控制措施，形成風(fēng)險(xiǎn)控制報(bào)告。

第二十八條

信息管理部將風(fēng)險(xiǎn)評(píng)估和控制報(bào)告上報(bào)信息主管領(lǐng)導(dǎo)審批。根據(jù)領(lǐng)導(dǎo)審批意見，落實(shí)控制措施。

第七章信息安全培訓(xùn)

第二十九條

信息管理部負(fù)責(zé)制定公司信息安全培訓(xùn)計(jì)劃，組織、實(shí)施信息安全管理和技術(shù)培訓(xùn)。各級(jí)信息部門負(fù)責(zé)相應(yīng)層級(jí)的信息安全培訓(xùn)，培訓(xùn)計(jì)劃報(bào)信息管理部備案。

第三十條

信息管理部及各企事業(yè)單位信息部門對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開發(fā)人員進(jìn)行信息安全技術(shù)培訓(xùn)，提高信息安全管理和維護(hù)水平。

第三十一條

信息管理部及各企事業(yè)單位信息部門分層次、分類型對(duì)員工進(jìn)行信息安全培訓(xùn)，包括針對(duì)業(yè)務(wù)和技術(shù)管理人員進(jìn)行管理層面的信息安全管理培訓(xùn)，針對(duì)從事日常業(yè)務(wù)處理人員進(jìn)行操作層面基本安全知識(shí)培訓(xùn)。

第三十二條

員工上崗前，應(yīng)進(jìn)行崗位信息安全培訓(xùn)，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動(dòng)時(shí)，及時(shí)調(diào)整信息系統(tǒng)操作權(quán)限。

第三十三條

信息安全政策與標(biāo)準(zhǔn)發(fā)生重大調(diào)整、新建和升級(jí)的信息系統(tǒng)投入使用前，開展必要的安全培訓(xùn)，明確相關(guān)調(diào)整和變更所帶來(lái)的信息安全權(quán)限和責(zé)任的變化。

第八章信息安全檢查與考核

第三十四條

信息管理部定期進(jìn)行信息安全檢查與考核，包括信息安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息安全事件及整改措施落實(shí)情況、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標(biāo)完成情況。

第三十五條

各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運(yùn)行維護(hù)管理辦法》進(jìn)行信息安全自我考核，信息管理部進(jìn)行綜合評(píng)價(jià)，形成年度考核報(bào)告，報(bào)信息主管領(lǐng)導(dǎo)。

第三十六條

對(duì)于不執(zhí)行本辦法造成嚴(yán)重后果的，應(yīng)追究相關(guān)部門和個(gè)人責(zé)任。

第九章附則

第三十七條

各企事業(yè)單位可參照本管理辦法制定相應(yīng)的實(shí)施細(xì)則。

第三十八條第三十九條

本辦法由公司信息管理部負(fù)責(zé)解釋。本辦法自印發(fā)之日起施行。

第五篇：信息安全管理辦法-政府部門要求信息安全管理辦法

目錄

1信息安全組織管理12日常信息安全管理14.1基本要求14.2人員管理14.3資產(chǎn)管理24.4采購(gòu)管理24.5外包管理24.6經(jīng)費(fèi)保障23信息安全防護(hù)管理35.1基本要求35.2網(wǎng)絡(luò)邊界防護(hù)管理35.3信息系統(tǒng)防護(hù)管理35.4門戶網(wǎng)站防護(hù)管理35.5電子郵件防護(hù)管理35.6終端計(jì)算機(jī)防護(hù)管理45.7存儲(chǔ)介質(zhì)防護(hù)管理44信息安全應(yīng)急管理45信息安全教育培訓(xùn)46信息安全檢查5

1信息安全組織管理本項(xiàng)要求包括：

a）應(yīng)加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任，完善措施，建立健全信息安全責(zé)任制和工作機(jī)制；

b）應(yīng)明確一名主管領(lǐng)導(dǎo)，負(fù)責(zé)本單位信息安全管理工作，根據(jù)國(guó)家法律法規(guī)有關(guān)要求，結(jié)合實(shí)際組織制定信息安全管理制度，完善技術(shù)防護(hù)措施，協(xié)調(diào)處理重大信息安全事件；

c）應(yīng)指定一個(gè)機(jī)構(gòu)，具體承擔(dān)信息安全管理工作，負(fù)責(zé)組織落實(shí)信息安全管理制度和信息安全技術(shù)防護(hù)措施，開展信息安全教育培訓(xùn)和監(jiān)督檢查等；

d）各內(nèi)設(shè)機(jī)構(gòu)應(yīng)指定一名專職或兼職信息安全員，負(fù)責(zé)日常信息安全督促、檢查、指導(dǎo)工作。信息安全員應(yīng)當(dāng)具備較強(qiáng)的信息安全意識(shí)和工作責(zé)任心，掌握基本的信息安全知識(shí)和技能。

2日常信息安全管理基本要求本項(xiàng)要求包括：

2.1a）應(yīng)制定信息安全工作的總體方針和目標(biāo)，明確信息安全工作的主要任務(wù)和原則；

b）c）應(yīng)建立健全信息安全相關(guān)管理制度；

應(yīng)加強(qiáng)對(duì)人員、資產(chǎn)、采購(gòu)、外包等的安全管理，并保證信息安全工作經(jīng)費(fèi)投入。

2.2人員管理本項(xiàng)要求包括：

-1

a）應(yīng)采購(gòu)安全可控的信息技術(shù)產(chǎn)品和服務(wù)。采購(gòu)基于新型技術(shù)的產(chǎn)品和服務(wù)或者國(guó)外產(chǎn)品和服務(wù)時(shí)，應(yīng)進(jìn)行必要性和安全性評(píng)估；

b）辦公用計(jì)算機(jī)、服務(wù)器等設(shè)備的更新?lián)Q代中，應(yīng)采購(gòu)配備安全可控cpu、操作系統(tǒng)等的