信息安全管理办法.pdf

-银行信息平安管理方法第一章第一章 总总 则则第一条第一条 为加强*下称“本行 信息平安管理，防信息技术风险，保障本行计算机网络与信息系统平安和稳定运行，根据?人民国计算机信息系统平安保护条例?、?金融机构计算机信息系统平安保护工作暂行规定?等，特制定本方法。第二条第二条 本方法所称信息平安管理，是指在本行信息化工程立项、建立、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作平安的一系列管理活动。第三条第三条 本行信息平安工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用 谁负责的原则，逐级落实部门与个人信息平安责任。第四条第四条 本方法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本方法。第二章第二章 组织保障组织保障第五条第五条 常设由本行领导、各部室负责人及信息平安员组成的信息平安领导小组，负责本行信息平安管理工作，决策信息平安重大事宜。第六条第六条 各部室、各分支机构应指定至少一名信息平安员，配合信息平安领导小组开展信息平安管理工作，具体负责信息平安领导小组公布的相关管理制度及要求在本部室的落实。第七条第七条 本行应建立与信息平安监管机构的联系，及时报告各类.z.-信息平安事件并获取专业支持。第八条第八条 本行应建立与外部信息平安专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估法。第三章第三章 人员管理人员管理第九条第九条 本行所有工作人员根据不同的岗位或工作围，履行相应的信息平安保障职责。第一节第一节 信息平安管理人员信息平安管理人员第十条第十条 本方法所指信息平安管理人员包括本行信息平安领导小组和信息平安工作小组成员。第十一条第十一条 应选派政治思想过硬、具有较高计算机水平的人员从事信息平安管理工作。但凡因违反法律法规和本行有关规定受到过处分或处分的人员，不得从事此项工作。第十二条第十二条 信息平安管理人员定期参加信息平安相关培训。第十三条第十三条 平安工作小组在如下职责围开展信息平安管理工作：一组织落实上级信息平安管理规定，制定信息平安管理制度，协调信息平安领导小组成员工作，监视检查信息平安管理工作。二审核信息化建立工程中的平安案，组织实施信息平安保障工程建立。三定期监视网络和信息系统的平安运行状况，检查运行操作、备份、机房环境与文档等平安管理情况，发现问题，及时通报和预警，并提出整改意见。四统计分析和协调处置信息平安事件。.z.-五 定期组织信息平安宣传教育活动，开展信息平安检查、评估与培训工作。第十四条第十四条 信息平安领导小组成员在如下职责围开展工作：一负责本行信息平安管理体系的落实。二负责提出本行信息平安保障需求。三负责组织开展本行信息平安检查工作。第二节第二节 技术支持人员技术支持人员第十五条第十五条 本方法所称技术支持人员，是指参与本行网络、信息系统、机房环境等建立、运行、维护的部技术支持人员和外包效劳人员。第十六条第十六条 本行部技术支持人员在履行网络和信息系统建立和日常运行维护职责过程中，应承担如下平安义务：一不得对外泄漏或引用工作中触及的任敏感信息。二格权限访问，未经业务主管部室授权 不得擅自改变系统设置或修改系统生成的任数据。三主动检查和监控生产系统平安运行状况，发现平安隐患或故障及时报告本部室主管领导，并及时响应、处置。四格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。第十七条第十七条 外部技术支持人员应格履行外包效劳合同协议的各项平安承诺，签署协议。提供技术效劳期间，格遵守本行相关平安规定与操作规程。不得拷贝或带走任配置参数信息或业务数据，不得对外泄漏或引用任工作信息。.z.-第三节第三节 一般计算机用户一般计算机用户第十八条第十八条 本规定所称一般计算机用户是指使用计算机设备的所有人员。第十九条第十九条 一般计算机用户应承担如下平安义务：一及时更新所用计算机的病毒防治软件和安装补丁程序，自觉承受本部室信息平安员的指导与管理。二 不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置以屏蔽信息平安防护。三 不得在办公用计算机上安装任盗版或非授权软件。四 未经信息平安管理人员检测和授权，不得将部网络的计算机转接入国际互联网；不得将个人计算机接入部网络或私自拷贝任信息。第四章第四章 资产管理资产管理第二十条第二十条 本行对所有信息资产进展识别、评估相对价值及重要性，建立资产清单并说明使用规则，明确定义信息资产责任人及其职责。细则参见?*信息资产分类分级管理规定?。第二十一条第二十一条 按照信息资产的价值、法律要求及敏感程度和对业务关键程度，分别依据性、完整性、可用性三个属性对信息资产进展分类分级，并建立相应的标识和处理制度。第二十二条第二十二条 依照信息资产的分类分级采取不同的平安保护措施，制定完善的访问控制策略，防止未经授权的使用。第二十三条第二十三条 依据?*介质管理规?加强介质管理与销毁操作管理，确保本行数据的可用性、性、完整性。.z.-第五章第五章 物理环境平安管理物理环境平安管理第一节第一节 机房平安管理机房平安管理第二十四条第二十四条 本规定所称机房是指信息系统主要设备放置、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。第二十五条第二十五条 本行机房的信息平安管理由本行本行信息科技部门负责具体实施和落实。第二十六条第二十六条 建立机房设施与场地环境监控系统，对机房空调、消防、不连续电源UPS、供配电、门禁系统等重要设施实行全面监控。第二十七条第二十七条 建立健全机房管理制度，并指派专人担任机房管理员，落实机房平安责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。机房管理员负责保管机房建立或改造的所有文档、图纸以及机房运行记录等有关资料，并随时提供调阅。第二十八条第二十八条 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。第二十九条第二十九条 依据?省农村合作金融机构机房管理指引?进一步规机房建立、改造和验收过程，落实机房管理。第三十条第三十条 信息平安领导小组负责定期审核机房平安管理落实情况，并保存相应的审核记录和审核结果。第二节第二节 重要区域平安管理重要区域平安管理第三十一条第三十一条 本章节所指重要区域为：本行信息中心主备机房和.z.-运维监控室等区域。本行信息中心负责制定和执行运维监控面的平安管理制度。第三十二条第三十二条 重要区域应格出入平安管理，安装门禁、视频监视录像系统，实行定时录像监控，并适当配置自动监控报警功能。第三十三条第三十三条 所有门禁、视频监视录像系统的信息资料至少保存三个月。第三节第三节 办公环境平安管理办公环境平安管理第三十四条第三十四条 在本行大楼入口应设置门卫或接待员，负责出入或公共访问区域的物理平安管理和外来人员的出入登记。第三十五条第三十五条 本行信息中心楼层设立门禁，加强人员进出管理。第三十六条第三十六条 本行信息中心员工应在公共接待区接待外来人员，未经允，不得私自将外来人员带入办公区域。第三十七条第三十七条 未经允，禁在信息中心办公区域进展摄影、摄像、录音等记录日常办公行为的活动。第六章第六章 网络平安管理网络平安管理第一节第一节 网络规划、建立中的平安管理网络规划、建立中的平安管理第三十八条第三十八条 本行网络信息科技部负责网络和网络平安的统一规划、建立部署、策略配置和网络资源网络设备、通讯线路、IP 地址和域名等分配。第三十九条第三十九条 按照统一规划和总体部署原则，由信息科技部组织实施网络建立、改造工程，工程投产前应通过平安测试与评估。第四十条第四十条 本行网络建立和改造应符合如下根本平安要求：一网络规划应有完整的平安策略，保障网络传输与应用.z.-平安。二具备必要的网络监测、跟踪和审计等管理功能。三针对不同的网络平安域，采取必要的平安隔离措施。四能有效防止计算机病毒对网络系统的侵扰和破坏。第二节第二节 网络运行平安管理网络运行平安管理第四十一条第四十一条 信息科技部应建立健全网络平安运行面的制度，配备专职网络管理员。网络管理员负责日常监测和检查网络 平安运行状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。第四十二条第四十二条 网络管理员应定期参加网络平安技术培训，具备一定的非法入侵、病毒蔓延等网络平安威胁的应对技能。第四十三条第四十三条 格网络接入管理。任设备接入网络前，接入案、设备的平安性等应经过网络管理人员的审核与检测，审 核检测通过后可接入并分配相应的网络资源。第四十四条第四十四条 格网络变更管理。网络管理员调整网络重要参数配置和效劳端口时，应格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更，应提前通知相关业务部门并安排在非交易时间或交易较少时间进展，同时做好配置参数的备份和应急恢复准备。第四十五条第四十五条 格远程访问控制。确因工作需要进展远程访问的人员应向信息简科技部提出书面申请，并采取相应的平安防护措施。第四十六条第四十六条 信息平安管理人员负责定期对网络进展平安检测、.z.-扫描和评估。检测、扫描和评估结果属敏感信息，不得向外 界提供。未经授权，任外部单位与人员不得检测、扫描本行网络。第三节第三节 接入互联网管理接入互联网管理第四十七条第四十七条 信息科技部负责制定本行互联网面管理制度，对互联网接入进展格的控制，防来自互联网的威胁。第四十八条第四十八条 本行部业务网、办公网与互联网实行平安隔离。所有接入部网络或存储有敏感工作信息的计算机，不得直接或间接接入互联网。第四十九条第四十九条 部网络计算机禁接入互联网，确有必要接入互联网的应通过信息平安工作小组审核并上报相关领导审批，确保安装有指定的防病毒软件和最新补丁程序。经审批后连接互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接际互联网的计算机上使用。第五十条第五十条 曾接入互联网的计算机禁接入部网络，确有必要接入部网络的应通过平安工作小组审核并上报相关领导审批，经平安检测后能接入。从互联网下载的任信息，未经病毒检测不得在部网络上使用。第五十一条第五十一条 使用互联网的所有用户应遵守有关法律法规和本行相关管理规定，不得从事任违规活动。第七章第七章 访问控制访问控制第五十二条第五十二条 本行负责建立访问控制制度，对信息资产和效劳的访问和权限分配进展控制。第五十三条第五十三条 信息资产的责任人负责确定信息资产和效劳的访问.z.-权限，运行维护科根据授权进展相关设定操作。第五十四条第五十四条 信息系统用户设置本人的用户和密码，并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。第五十五条第五十五条 但凡能够执行录入、复核制度的信息系统，操作人员不得一人兼录入、复核两职。未经主管领导批准，不得代岗、兼岗。第五十六条第五十六条 应启用平安措施限制授权用户对操作系统的访问，包括但不限于：一按照已定义的访问控制策略鉴别授权用户；二记录成功和失败的系统访问企图；三记录专用系统特殊权限的使用情况；四当违反系统平安策略时发布警报；五提供适宜的身份鉴别手段；六限制用户的连接时间。第五十七条第五十七条 对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于：一按照定义的访问控制策略，控制用户访问信息和应用系统的特定功能；二防止能够绕过系统控制或应用控制的任 实用程序、系统软件和恶意软件对系统进展未授权访问；三为重要的敏感系统设立隔离的运行环境。第五十八条第五十八条 访问控制实施细则详见?*信息系统访问控制.z.-管理规定?。第八章第八章 信息系统平安管理信息系统平安管理第五十九条第五十九条 本规定所指的信息系统是本行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第六十条第六十条 信息系统平安管理实施细则详见?*计算机信息系统平安管理规定?。第一节第一节 信息系统规划与立项信息系统规划与立项第六十一条第六十一条 信息系统建立工程应在规划与立项阶段同步考虑平安问题，建立案应满足信息平安管理的相关要求。工程技术案应包括以下根本平安容：一业务需求部室提出的平安需求。二平安需求分析和实现。三运行平台的平安策略与设计。第六十二条第六十二条 信息平安领导小组负责派遣相关部室平安员对工程技术案进展平安专项审查并提出审查意见，未通过平安审核的工程不得予以立项。第二节第二节 信息系统开发与集成信息系统开发与集成第六十三条第六十三条 信息系统开发应符合软件工程规，依据平安需求进展平安设计，保证平安功能的完整实现。第六十四条第六十四条 信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知识产权保护协议和协议，不得将信息系统采用的关键平安.z.-技术措施和核心平安功能设计对外公开。第六十五条第六十五条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人 员，不得在程序代码中植入后门和恶意代码程序。第六十六条第六十六条 信息系统开发、测试、修改工作不得在生产环境中进展。第六十七条第六十七条 涉密信息系统集成应选择具有相关部门颁发的涉密系统集成资质证书的单位或企业，并签订格的协议。第六十八条第六十八条 系统上线前应开展代码审计过程检查源代码中的缺点和错误信息，防止引发平安漏洞。第三节第三节 信息系统运行信息系统运行第六十九条第六十九条 信息系统上线运行实行平安审查机制，未通过平安审查的任新建或改造信息系统不得投产运行。具体要求如下：一工程承建单位部室应组织制定平安测试案，进展系统上线前的自测试并形成测试报告，报信息科技部审查。二 信息系统归口责任业务部室应在信息系统投产运行前同步制定相关平安操作规定，报信息科技部门。三信息科技部应提出明确的测试案和测试报告审查意见。必要时，可组织专家评审或实施信息系统漏洞扫描检测。第七十条第七十条 信息系统投入使用前信息中心应当建立相应的操作规程和平安管理制度，以防止各类平安事故的发生。第七十一条第七十一条 系统管理员负责信息系统的日常运行管理，并建立重要信息系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。.z.-第七十二条第七十二条 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进展维护性操作的，应征得业务系统归口责任 业务处室同意并在业务操作人员在场的情况下进展，并详细记录维护容、人员、时间等信息。第七十三条第七十三条 格用户和密码口令的管理，格控制各级用户对数据的访问权限。第七十四条第七十四条 在信息系统运行维护过程中，系统管理人员应遵守但不限于以下要求：一合理配置操作系统、数据库管理系统所 提供的平安审计功能，以到达相应平安等级标准；二屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入；三及时、合理安装正式发布的系统补丁，修补系统存在的平安漏洞；四启用系统提供的审计功能，或使用第三手段实现审计功能，监测系统运行日志，掌握系统运行状况；五 按照网络管理规及其业务应用围设置设备的 IP 地址及网络参数，非系统管理人员不得修改。第四节第四节 信息系统废止信息系统废止第七十五条第七十五条 废止信息系统及其存储介质在报废或重用前，应根据其平安级别，进展消磁或平安格式化，以防止信息泄露。第七十六条第七十六条 对已经废止的信息系统软件和数据备份介质，按业务规定在一定期限妥善保存。超过保存期限后需要销毁的，.z.-应在信息平安领导小组监视下予以不可恢复性销毁。第九章第九章 客户端平安管理客户端平安管理第七十七条第七十七条 本方法所称客户端是指本行计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面 终端、单机运行哑终端、远程接入终端、便携式计算机设备等。第七十八条第七十八条 客户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。第七十九条第七十九条 客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等平安防护措施，确保安装最新的病毒特征码和必要的补丁程序。第八十条第八十条 确因工作需要经授权可远程接入部网络的用户，应格保存其身份认证介质及口令密码，不得转借其他人使用。第八十一条第八十一条 规存储本单位商密信息的计算机设备的平安管理，包括：开发用终端、生产主机及其他计算机设备。第十章第十章 信息平安专用产品、效劳管理信息平安专用产品、效劳管理第一节第一节 资质审查与选型购置资质审查与选型购置第八十二条第八十二条 本规定所称信息平安专用产品，是指本行安装使用的专用平安软件、硬件产品。本规定所称信息平安服 务，是指本行向社会购置的专业化平安效劳。第八十三条第八十三条 本行负责信息平安效劳提供商的资质审查和信息平安专用产品的选型，由采购科室按照采购程序选购。第八十四条第八十四条 平安专用产品在准入审核时，供应商应提出申请并提供以下资料：.z.-一 公安部颁发的平安专用产品销售可证和其他必须的证明材料；二产品型号、产地、功能及报价；三产品采用的技术标准，产品功能及性能的说明书；四生产企业概况包括人员、设备、生产条件、隶属关系等；五 供应商的质量保证体系、售后效劳措施等情况的说明。第八十五条第八十五条 平安专用产品有以下情形之一的，取消其准入资格：一平安专用产品的功能已发生变化，但未通过检测的；二经使用发现有重问题的；三不能提供良好售后效劳的；四有关部门取消其销售资格的。第二节第二节 使用管理使用管理第八十六条第八十六条 扫描、检测类信息平安专用产品仅限于信息平安管理人员使用。第八十七条第八十七条 信息科技部定期检查各类信息平安专用产品使用情况，认真查看相关日志和报表信息并定期汇总分析。如发现重大问题，立即采取控制措施并按规定程序报告。第八十八条第八十八条 信息科技部应及时升级维护信息平安专用产品，凡因超过使用期限的或不能继续使用的信息平安专用产品，应报信息平安领导小组批准后，按照固定资产报废审批程序处理。第十一章第十一章 文档、数据与密码应用平安管理文档、数据与密码应用平安管理第一节第一节 技术文档技术文档.z.-第八十九条第八十九条 本规定所称技术文档是指本行网络、信息系统和机房环境等建立与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。第九十条第九十条 各部室负责将技术文档统一归档。未经本行领导批准，任人不得将技术文档转借、复制和对外公布。第二节第二节 存储介质存储介质第九十一条第九十一条 建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在平安的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。第九十二条第九十二条 做好存储介质在物理传输过程中的平安控制，选择可靠的传递式和防盗控制措施。重要信息的存取需要授权和记录。第九十三条第九十三条 加强对移动存储设备盘、软盘、移动硬盘等的使用管理。对系统升级专用的移动存储设备应按照相关规定由专人负责管理。第九十四条第九十四条 建立存储介质销毁机制，对载有敏感信息的存储介质应按照其平安等级，采用平安格式化、消磁等不可复原的式进展处置并做好记录。第九十五条第九十五条 介质管理实施细则详见?*介质管理规?。第三节第三节 数据平安数据平安第九十六条第九十六条 本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护日志以及其他部资.z.-料。第九十七条第九十七条 数据的所有者部室负责提出数据在输入、处理、输出等不同状态下的平安需求，信息科技部负责审核平安需求并提供一定的技术实现手段。第九十八条第九十八条 格管理业务数据的增加、修改、删除等变更操作，进展业务数据有效性检查，按照既定备份策略执行数据备 份任务，并定期测试备份数据的有效性。第九十九条第九十九条 系统管理员负责定期导出网络和重要信息系统日志文件并明确标识存储容、时间、等信息。日志文件应至少保存一年，妥善保管。第一百条第一百条 本行信息科技部负责建立备份数据销毁面的管理制度，根据数据重要性级别分类采取相应的备份数据的保 存时限和，并根据介质处置相关要求进展销毁处理。第一百零一条第一百零一条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。第一百零二条第一百零二条 生产数据的调用提取应遵守?*计算机系统生产数据调用及维护操作规程?。第四节第四节 口令密码口令密码第一百零三条第一百零三条 信息科技部负责制定和维护密码管理面的制度，格执行密码平安管理策略。第一百零四条第一百零四条 系统管理员、数据库管理员、网络管理员、业务操作人员的用户均须设置口令密码，至少每三个月更换一次。口.z.-令密码的强度应满足必要的平安性要求。第一百零五条第一百零五条 敏感信息系统和设备的口令密码设置应在平安的环境下进展，必要时应将口令密码笔录，密封交相关部室保管。未经本行分管领导可，任人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。第一百零六条第一百零六条 应根据实际情况在一定时限妥善保存重要信息系统升级改造前的口令密码。第五节第五节 密码技术应用管理密码技术应用管理第一百零七条第一百零七条 本行涉密网络和信息系统应格按照密码政策规定，采用相应的加密措施。非涉密网络和信息 系统应依据本行实际需求和统一平安策略，合理选择加密措施。第一百零八条第一百零八条 密码产品和加密算法的选择应符合相关密码管理政策规定，密码产品自身的物理和逻辑平安性应符合本行的相关平安要求。第一百零九条第一百零九条 本行信息科技部负责建立和执行密钥管理面的制度，选择密码管理人员必须是本单位在编的正式员工，并逐级进展备案，规管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。第一百一十条第一百一十条 应在平安环境中进展关键密钥的备份工作，并设置遇紧急情况下密钥报废、销毁机制。第一百一十一条第一百一十一条 各类密钥应定期更换，对已泄漏或疑心泄漏的密钥应及时废除，过期密钥应平安归档或定期销毁。第十二章第十二章 事件报告、灾难备份与应急管理事件报告、灾难备份与应急管理.z.-第一节第一节 事件报告事件报告第一百一十二条第一百一十二条 信息平安事件按照信息平安事件报告流程进展报告，一般信息平安事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息平安事件，应上报告计算机平安领导小组。第一百一十三条第一百一十三条 重大信息平安事件发生后，相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及时报告主管领导及计算机平安领导小组。必要时启动相关应急预案。第二节第二节 灾难备份管理灾难备份管理第一百一十四条第一百一十四条 灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和信息系统在地震、水灾、火灾、战 争、恐惧袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件以下称“灾难发生后在规定的时间可以恢复和继续运营的有序管理过程。第一百一十五条第一百一十五条 本行在本行计算机信息系统应急领导小组统一领导下，组织开展重要信息系统灾难备份的统一规划、实施和管理。第一百一十六条第一百一十六条本行业务部室负责提出业务系统灾难备份需求，明确可容忍的业务中断时间和数据丧失量。本行据此确定灾难备份等级和备份案。第十五章第十五章 附附 则则第一百一十七条第一百一十七条 本方法由本行负责制定，解释。第一百一十八条第一百一十八条 本方法自发布之日起执行。.z.