信息安全管理办法（一）.doc

《信息安全管理办法（一）.doc》由会员分享，可在线阅读，更多相关《信息安全管理办法（一）.doc（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书山有路勤为径，学海无涯苦作舟。信息安全管理办法 xxxxzdxxxxxxxx电厂管理制度 net 2021-9-10发布2021-9-10实施 xxxxxxxx电厂发布hyw3-111-xz15 第一章总则 第一条为了加强xxxxxxxx电厂（以下简称“电厂”）信息的安全管理，确保公司信息系统安全、稳定运行，特制定本办法。 第二条本办法规定了信息安全管理的职责、内容和方法，本办法适用于电厂各部门。 第二章人员与帐户 第三条电厂的所有员工都必须接受信息安全培训，培训由电厂人力资源部组织，信息中心协助。 第四条信息中心统一管理各应用系统中的帐户信息，包括用户基本信息、用户帐号、权限等。信息中心应

2、在接到人力资源部门的员工职位变动或离职的通知后，根据具体情况及时调整相应的帐户信息。 第五条员工离职时必须将其掌管的信息资产（如电脑、打印机等）移交信息中心，信息中心进行清点和核查。必要时，还需要检查此员工管理的信息系统，以确认系统安全、正常，没有遭受蓄意破坏。 第三章口令策略 第六条信息系统中所需要的所有口令应至少满足以下要求： （一）长度。至少6位，建议在16位以下。 （二）复杂度。可以由大小写字母、数字和普通符号组成。 （三）有效期。口令应每季度更换。 （四）更换策略。新口令至少与前3次的口令不能相同。 第四章特权帐号的控制 第七条特权帐号是指具有特殊管理功能和权限的专用账号，如：具有应

3、用系统管理权、数据库管理权、操作系统管理权的帐号，还包括网络设备特权帐号等。 第八条特权帐号应由专人管理和使用，责任到人。特权帐号使用人在出差、请假期间，应将特权帐号转交给信息中心负责人指定的人员。特权帐号使用人长期离开时，应将特权帐号交给信息中心负责人。 第九条使用特权帐号后，特权帐号使用人应将其操作情况记录在操作日志中。信息中心负责人每季度对操作日志进行审核。 第十条特权帐号使用人在进行操作时，不得擅自离开；操作完成后，应立即退出登录，以防账号被窃用。 hyw3-111-xz15 第五章安全检查和审计 第十一条信息中心安全管理员对防火墙进行管理，按照电厂有关技术规范的要求和本单位的实际情况

4、配置相应的安全策略。防火墙必须保留完整的日志记录，安全管理员对其每月进行检查、分析和审计。 第十二条应用系统、操作系统和数据库的自动日志记录应完整保留，以便对其使用情况进行检查和审计。 第六章病毒防护 第十三条电厂内部网络内所有采用windows操作系统的计算机（包括服务器、台式机和笔记本）都必须安装电厂统一的防病毒软件，防病毒软件的安装、升级、更新和策略设置由信息中心负责，电脑终端用户不得擅自卸载杀毒软件或更改其设置。 第七章数据安全与保护 第十四条重要数据的安全保护工作由电厂信息中心负责，按照数据重要性的分类应采用不同的备份和管理的策略。 第十五条重要数据进行销毁或存储介质报废时，应确保对

5、数据存储介质的物理销毁或清除。 第十六条信息中心的技术资料、软件安装介质、软件授权以及设备保修卡等重要资料应指定专人分类妥善保管。上述资料应存放在防火、防潮并且上锁的资料柜中，借出时应登记，避免遗失。 第八章安全应急处理 第十七条信息系统受到恶意攻击或发生重大事故时，信息中心负责应急和恢复工作。信息中心应对主要事故和攻击的情况做出预案，以确保能迅速恢复系统的正常运行。 第十八条信息系统受到非法攻击或发生重大事故后，信息中心应对系统的安全性重新进行全面的评估，制订相应的整改措施并落实执行。 第十九条建立信息系统问题汇报机制，信息中心根据问题的性质、影响大小和发生频度对电厂的信息系统进行分类汇总，

6、信息化领导小组每季度审阅相应的报告，对其中特别重大的事件（例如；重大安全事件黑客攻击、主要系统的设备损毁、病毒造成的电厂范围的网络瘫痪）应及时上报，同时向上级公司信息中心汇报。 第九章附则 第二十条本办法由电厂行政部信息中心负责解释。 第二十一条 本办法自发布施行。 为了规范及加强*项目的信息安全管理工作，特制定，并严格按要求执行，具体如下： 一、硬件设备及软件信息安全管理 1、按照*客服供应商硬件及软件设备要求标准进行配置，确保符合标准。并定期维护。 要求。技术员定期维护，对于损坏、无法修复、多次修复仍然存在问题的电脑及时进行更换。 对象：*项目组座席、管理使用的电脑实施时间：随时检查，每月

7、排查登记一次 违规处罚。未按规定时间完成的考核技术负责人500元/次。 2、招募第三方安全公司，按*客服供应商对第三方安全公司的安全测评要求来进行招标，定期上报安全测评报告，并对存在的信息安全、网络安全等隐患或漏洞进行排查整改。对象：*项目组所使用设备、软件等实施时间：每季度测评一次 违规处罚。未按规定时间完成的考核技术负责人500元/次。 3、外网访问、系统更新补丁、防火墙检查、机房电脑usb端口的禁用等检查工作 要求：对海口职场电脑外网访问进行严格审查，无关于工作的外网一律禁止访问，对于网盘、视频、音乐、非工作用的在线聊天软 件等进行屏蔽。每周定期打系统更新补丁，每周定期对防火墙进行检查、

8、打补丁，每周定期对机房电脑usb端口禁用进行检查 对像。机房座席电脑、管理人员使用的电脑、服务器。 实施时间。每周定期检查，并做好技术维护日志登记工作。以便可追溯。 违规处罚。未按规定时间完成的考核技术负责人500元/次。如有出现擅自开通外网、解禁usb端口等出现危害信息安全等行为的，一律按500元/次进行考核，严重的做辞退处理。并承担由此造成的经济损失。 4、硬件设备、软件等信息安全检查要求 要求： 1、对*项目所有电脑按区域进行划分，共5个区域。 2、专人负责，每个区域由团队长进行管理。 3、每周各区域负责人对管辖区域信息安全进行检查及检查。 4、检查完毕后团队长填写信息安全检查表，并签名

9、。 5、中心经理每日对团队长信息安全工作及签名进行检查，一旦出现未按要求完成工作则纳入考核。 实施时间：每周日前完成 违规处罚。不按时完成工作及签名者，考核200元/次。 二、座席入职及职场信息安全管理 1、座席信息安全保密工作 要求：座席上岗前100%签订保密协议，并通过信息安全制度考试后 方可上岗。对信息安全相关考核及连带责任条例进行签字确认认同并无异议。每月业务考试中加入信息安全考核内容，定期考核。在岗期间不得将工作资料、客户信息等纸质文件、电子文档等在未经项目经理允许的情况下带离公司，不得将涉及公司及客户信息安全的资料发到自己的社交媒体如群、空间、微信群、微信朋友圈、电子邮箱等。在岗期

10、间不得在非工作群内谈论客户信息、发布客户信息等行为。 实施时间。新员工入岗前完成，岗中每月业务考试中进行考核，项目主管、团队长不定期检查座席的空间、朋友圈等。 违规处罚。如有违例扣罚当事人500元/次，并承担由此造成的经济损失，如涉及法律相关问题，应配合公司应诉并承担相应法律责任。 2、机房现场信息安全防范工作 要求。非*项目组员工不得进入*机房内，进出机房需使用门禁系统，进入机房不得携带手机、数码相机、u盘、笔记本电脑、录音笔等非工作设备。 实施时间：每日班前会进行检查，每日执行 违规处罚。如有违例扣罚当事人500元/次，并承担由此造成的经济损失，如涉及法律相关问题，应配合公司应诉并承担相应

11、法律责任。 *项目组信息安全条例根据*总部相关条例及时进行调整。员工保密协议、信息安全考试、技术维护日志等均纳入运营管理绩效考核中。如未按要求执行则承担相应考核。 第一章总则 第一条为加强xx银行（下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定等，特制定本办法。 第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理，由分管领导

12、负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专

13、家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。日常员工信息安全行为准则参见xx银行员工信息安全手册。第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作： （一）组织落实上级

14、信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。 （二）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设。 （三）定期监督网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。 （四）统计分析和协调处臵信息安全事件。 （五）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作： （一）负责本行信息安全管理体系的落实。 （二）负责提出本行信息安全保障需求。 （三）负责组织开展本行信息安全检查工作。第二节技

15、术支持人员 第十五条本办法所称技术支持人员，是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务： （一）不得对外泄漏或引用工作中触及的任何敏感信息。 （二）严格权限访问，未经业务主管部室授权不得擅自改变系统设臵或修改系统生成的任何数据。 4 （三）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部室主管领导，并及时响应、处臵。 （四）严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度，做好数据备份工作。 第十七条外部技术支

16、持人员应严格履行外包服务合同（协议）的各项安全承诺，签署保密协议。提供技术服务期间，严格遵守本行相关安全规定与操作规程。不得拷贝或带走任何配臵参数信息或业务数据，不得对外泄漏或引用任何工作信息。第三节一般计算机用户 第十八条本规定所称一般计算机用户是指使用计算机设备的所有人员。第十九条一般计算机用户应承担如下安全义务： （一）及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部室信息安全员的指导与管理。 （二）不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配臵以屏蔽信息安全防护。 （三）不得在办公用计算机上安装任何盗版或非授权软件。 （四）未经信息安全管理人员检

17、测和授权，不得将内部网络的计算机转接入国际互联网；不得将个人计算机接入内部网络或私自拷贝任何信息。 第四章资产管理 第二十条本行对所有信息资产进行识别、评估相对价值及重要性，建立资产清单并说明使用规则，明确定义信息资产责任人及其职责。细则参见xx银行信息资产分类分级管理规定。 第二十一条按照信息资产的价值、法律要求及敏感程度和对业务关键程度，分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级，并建立相应的标识和处理制度。第二十二条依照信息资产的分类分级采取不同的安全保护措施，制定完善的访问控制策略，防止未经授权的使用。 第二十三条依据xx银行介质管理规范加强介质管理与销毁操作管理，确

18、保本行数据的可用性、保密性、完整性。 第五章物理环境安全管理第一节机房安全管理 第二十四条本规定所称机房是指信息系统主要设备放臵、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。 第二十五条本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。 第二十六条建立机房设施与场地环境监控系统，对机房空调、消防、不间断电源（ups）、供配电、门禁系统等重要设施实行全面监控。第二十七条建立健全机房管理制度，并指派专人担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。机房管理员负责保管机房建设或改造的所

19、有文档、图纸以及机房运行记录等有关资料，并随时提供调阅。 第二十八条建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。 第二十九条依据浙江省农村合作金融机构机房管理指引进一步规范机房建设、改造和验收过程，落实机房管理。第三十条信息安全领导小组负责定期审核机房安全管理落实情况，并保留相应的审核记录和审核结果。第二节重要区域安全管理 第三十一条本章节所指重要区域为。本行信息中心主备机房和运维监控室等区域。本行信息中心负责制定和执行运维监控方面的安全管理制度。 第三十二条重要区域应严格出入安全管理，安装门禁、视频监视录像系统，实行定时

20、录像监控，并适当配臵自动监控报警功能。 第三十三条所有门禁、视频监视录像系统的信息资料至少保存三个月。第三节办公环境安全管理 第三十四条在本行大楼入口应设臵门卫或接待员，负责出入或公共访问区域的物理安全管理和外来人员的出入登记。第三十五条本行信息中心楼层设立门禁，加强人员进出管理。 第三十六条本行信息中心员工应在公共接待区接待外来人员，未经允许，不得私自将外来人员带入办公区域内。第三十七条未经允许，严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。第六章网络安全管理 第一节网络规划、建设中的安全管理 第三十八条本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配

21、臵和网络资源（网络设备、通讯线路、ip地址和域名等）分配。 第三十九条按照统一规划和总体部署原则，由信息科技部组织实施网络建设、改造工程，工程投产前应通过安全测试与评估。 第四十条本行网络建设和改造应符合如下基本安全要求： （一）网络规划应有完整的安全策略，保障网络传输与应用安全。 （二）具备必要的网络监测、跟踪和审计等管理功能。 （三）针对不同的网络安全域，采取必要的安全隔离措施。 （四）能有效防止计算机病毒对网络系统的侵扰和破坏。第二节网络运行安全管理 第四十一条信息科技部应建立健全网络安全运行方面的制度，配备专职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配

22、臵信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。 第四十二条网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。 第四十三条严格网络接入管理。任何设备接入网络前，接入方案、设备的安全性等应经过网络管理人员的审核与检测，审核（检测）通过后方可接入并分配相应的网络资源。第四十四条严格网络变更管理。网络管理员调整网络重要参数配臵和服务端口时，应严格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更，应提前通知相关业务部门并安排在非交易时间或交易较少时间进行，同时做好配臵参数的备份和应急恢复准备。第四十五条严格远程访问控制。确因工作需要进行

23、远程访问的人员应向信息简科技部提出书面申请，并采取相应的安全防护措施。 第四十六条信息安全管理人员负责定期对网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经授权，任何外部单位与人员不得检测、扫描本行网络。 第三节接入国际互联网管理 第四十七条信息科技部负责制定本行互联网方面管理制度，对互联网接入进行严格的控制，防范来自互联网的威胁。 第四十八条本行内部业务网、办公网与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。 第四十九条内部网络计算机严禁接入国际互联网，确有必要接入国际互联网的应通过信息安全工作小组审核

24、并上报相关领导审批，确保安装有指定的防病毒软件和最新补丁程序。经审批后连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。 第五十条曾接入国际互联网的计算机严禁接入内部网络，确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批，经安全检测后方能接入。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。 第五十一条使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定，不得从事任何违法违规活动。第七章访问控制 第五十二条本行负责建立访问控制制度，对信息资产和服务的访问和权限分配进行控制。 第五十三条信息资

25、产的责任人负责确定信息资产和服务的访问权限，运行维护科根据授权进行相关设定操作。第五十四条信息系统用户设臵本人的用户和密码，并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。 第五十五条凡是能够执行录入、复核制度的信息系统，操作人员不得一人兼录入、复核两职。未经主管领导批准，不得代岗、兼岗。 第五十六条应启用安全措施限制授权用户对操作系统的访问，包括但不限于： （一）按照已定义的访问控制策略鉴别授权用户； （二）记录成功和失败的系统访问企图； （三）记录专用系统特殊权限的使用情况； （四）当违反系统安全策略时发布警报； （五）提供合适的身份鉴别手段； （

26、六）限制用户的连接时间。 第五十七条对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于： （一）按照定义的访问控制策略，控制用户访问信息和应用系统的特定功能； （二）防止能够绕过系统控制或应用控制的任何实用程序、系统软件和恶意软件对系统进行未授权访问； （三）为重要的敏感系统设立隔离的运行环境。 第五十八条访问控制实施细则详见xx银行信息系统访问控制管理规定。 第八章信息系统安全管理 第五十九条本规定所指的信息系统是本行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。 第六十条信息系统安全管理实施细则详见xx银行计算机信息系

27、统安全管理规定。第一节信息系统规划与立项 第六十一条信息系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容： （一）业务需求部室提出的安全需求。 （二）安全需求分析和实现。 （三）运行平台的安全策略与设计。 第六十二条信息安全领导小组负责派遣相关部室安全员对项目技术方案进行安全专项审查并提出审查意见，未通过安全审核的项目不得予以立项。第二节信息系统开发与集成 第六十三条信息系统开发应符合软件工程规范，依据安全需求进行安全设计，保证安全功能的完整实现。 第六十四条信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部

28、移交本行。外部开发单位还应与本行签署相关知识产权保护协议和保密协议，不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第六十五条信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。 第六十六条信息系统开发、测试、修改工作不得在生产环境中进行。 第六十七条涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。 第六十八条系统上线前应开展代码审计过程检查源代码中的缺点和错误信息，避免引发安全漏洞。 第三节信息系统运行 第六十九条信息系统上线运行实行安全审查机制，未通过安全审查的任何新建或改

29、造信息系统不得投产运行。具体要求如下： （一）项目承建单位（部室）应组织制定安全测试方案，进行系统上线前的自测试并形成测试报告，报信息科技部审查。 （二）信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定，报信息科技部门。 （三）信息科技部应提出明确的测试方案和测试报告审查意见。必要时，可组织专家评审或实施信息系统漏洞扫描检测。 第七十条信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。 第七十一条系统管理员负责信息系统的日常运行管理，并建立重要信息系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。 第

30、七十二条系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的，应征得业务系统归口责任业务处室同意并在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。 第七十三条严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。 第七十四条在信息系统运行维护过程中，系统管理人员应遵守但不限于以下要求： （一）合理配臵操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准； （二）屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入； （三）及时、合理安装正式发布的系统补丁，修补系统存在的安全漏洞； （四）启用系统提供的审计功能，或使用第三方手段

31、实现审计功能，监测系统运行日志，掌握系统运行状况； （五）按照网络管理规范及其业务应用范围设臵设备的ip地址及网络参数，非系统管理人员不得修改。 第四节信息系统废止 第七十五条废止信息系统及其存储介质在报废或重用前，应根据其安全级别，进行消磁或安全格式化，以避免信息泄露。 第七十六条对已经废止的信息系统软件和数据备份介质，按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的，应在信息安全领导小组监督下予以不可恢复性销毁。 第八十四条安全专用产品在准入审核时，供应商应提出申请并提供下列资料： （一）公安部颁发的安全专用产品销售许可证和其他必须的证明材料； （二）产品型号、产地、功能及报价；

32、（三）产品采用的技术标准，产品功能及性能的说明书； （四）生产企业概况（包括人员、设备、生产条件、隶属关系等）； （五）供应商的质量保证体系、售后服务措施等情况的说明。第八十五条安全专用产品有下列情形之一的，取消其准入资格： （一）安全专用产品的功能已发生变化，但未通过检测的； （二）经使用发现有严重问题的； （三）不能提供良好售后服务的； （四）国家有关部门取消其销售资格的。第二节使用管理 第八十六条扫描、检测类信息安全专用产品仅限于信息安全管理人员使用。 第八十七条信息科技部定期检查各类信息安全专用产品使用情况，认真查看相关日志和报表信息并定期汇总分析。如发现重大问题，立即采取控制措施并按

33、规定程序报告。第八十八条信息科技部应及时升级维护信息安全专用产品，凡因超过使用期限的或不能继续使用的信息安全专用产品，应报信息安全领导小组批准后，按照固定资产报废审批程序处理。 第十一章文档、数据与密码应用安全管理第一节技术文档 第八十九条本规定所称技术文档是指本行网络、信息系统和机房环境等建设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。 第九十条各部室负责将技术文档统一归档。未经本行领导批准，任何人不得将技术文档转借、复制和对外公布。第二节存储介质 第九十一条建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的

34、物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。 第九十二条做好存储介质在物理传输过程中的安全控制，选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第九十三条加强对移动存储设备（盘、软盘、移动硬盘等）的使用管理。对系统升级专用的移动存储设备应按照相关规定由专人负责管理。 第九十四条建立存储介质销毁机制，对载有敏感信息的存储介质应按照其安全等级，采用安全格式化、消磁等不可复原的方式进行处臵并做好记录。 第九十五条介质管理实施细则详见xx银行介质管理规范。第三节数据安全 第九十六条本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护

35、日志以及其他内部资料。 第九十七条数据的所有者（部室）负责提出数据在输入、处理、输出等不同状态下的安全需求，信息科技部负责审核安全需求并提供一定的技术实现手段。 第九十八条严格管理业务数据的增加、修改、删除等变更操作，进行业务数据有效性检查，按照既定备份策略执行数据备份任务，并定期测试备份数据的有效性。 第九十九条系统管理员负责定期导出网络和重要信息系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年，妥善保管。 第一百条本行信息科技部负责建立备份数据销毁方面的管理制度，根据数据重要性级别分类采取相应的备份数据的保存时限和密级，并根据介质处臵相关要求进行销毁处理。第一百零一

36、条所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。 第一百零二条生产数据的调用提取应遵守xx银行计算机系统生产数据调用及维护操作规程。 第四节口令密码 第一百零三条信息科技部负责制定和维护密码管理方面的制度，严格执行密码安全管理策略。 第一百零四条系统管理员、数据库管理员、网络管理员、业务操作人员的用户均须设臵口令密码，至少每三个月更换一次。口令密码的强度应满足必要的安全性要求。 第一百零五条敏感信息系统和设备的口令密码设臵应在安全的环境下进行，必要时应将口令密码笔录，密封交相关部室保管。未经

37、本行分管领导许可，任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百零六条应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。 第二节外包服务管理 第一百一十七条本规定所称外包服务，是指由本行之外的其他社会厂商为本行信息系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。 第一百一十八条外包服务提供商提供上门维护服务的，经信息科技部批准后，由本行内部人员现场陪同实施。外包服务提供商不得查看、复制本行内部信息或将内部介质带离。第一百一十九条计算机设备确需送外单位维修时，本行应彻底清除

38、所存工作信息，必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。 第一百二十条外包服务管理详见xx银行it外包管理暂行办法。第十三章事件报告、灾难备份与应急管理第一节事件报告 第一百二十一条信息安全事件按照信息安全事件报告流程进行报告，一般信息安全事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息安全事件，应上报告计算机安全领导小组。 第一百二十二条重大信息安全事件发生后，相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及时报告

39、主管领导及计算机安全领导小组。必要时启动相关应急预案。第二节灾难备份管理 第一百二十三条灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件（以下称“灾难”）发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百二十四条本行在本行计算机信息系统应急领导小组统一领导下，组织开展重要信息系统灾难备份的统一规划、实施和管理。 第一百二十五条本行业务部室负责提出业务系统灾难备份需求，明确可容忍的业务中断时间和数据丢失量。本行据此确定灾难备份等级和备份方案。 第一百二十六条本行业务部室和本行

40、协同建立健全灾难恢复计划，定期开展灾难恢复培训。在条件许可的情况下，每年进行一次重要信息系统的灾难恢复演练。第三节应急管理 第一百二十七条本行信息科技部负责制定和持续完善网络、信息系统和机房环境等应急预案。应急预案应包括以下基本内容： （一）总则（目标、原则、适用范围、预案调用关系等）。 （二）应急组织机构。 （三）预警响应机制（报告、评估、预案启动等）。 （四）各类危机处臵流程。 （五）应急资源保障。 （六）事后处理流程。 （七）预案管理与维护（生效、演练、维护等）。 第一百二十八条本行计算机信息系统应急领导小组统一负责各业务系统的应急协调与指挥，决策重大事宜（决定应急预案的启动、灾难宣告、

41、预警相关单位等）和调动应急资源。第一百二十九条本行定期组织应急预案演练，指定专人管理和维护应急预案，根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性和灾难发生时的可获取性。 第一百三十条在信息系统推广应用方案中应同时设计应急备份策略，同步实施备份方案。 第一百三十一条应急管理实施细则详见xx银行计算机信息系统应急管理制度。 第十四章安全监测、检查、评估与审计 第一百三十二条本行信息科技部负责每年至少进行一次本行范围内的内部信息安全相关的检查或评估工作。 第一百三十三条本行负责每年组织对各部室、各分支机构的计算机安全运行情况进行检查（以下简称“对下安全检查”）。第

42、一节安全监测 第一百三十四条本行信息中心负责整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源，加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百三十五条本行各部室要及时预警、响应和处臵运行监测中发现的问题，发现重大隐患和运行事故应及时协调解决，并报上一级相关部门。第二节安全检查 第一百三十六条本行安全检查包括对本行本级的安全检查和对下安全检查。安全检查方式可以是自查、检查、抽查或上级检查多种方式。第一百三十七条开展安全检查前，应以已经发布的相关安全管理制度为依据，制定详细的检查方案、提纲和计划等，确保检查工作的可操作性和规范性

43、。 第一百三十八条安全检查完成后应及时形成检查报告，经主管领导批准后将检查整改报告尽快送达被检查部门。要求限期整改的，需要对相关整改情况进行后续跟踪。 第一百三十九条参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为本行内部材料妥善保管，不得向外界泄漏。第三节安全评估 第一百四十条安全评估应在不影响信息系统正常运行的情况下进行。评估开始前，应制定评估方案并进行必要的培训。评估结束后，形成评估报告，提出整改意见报主管领导。 第一百四十一条如聘请第三方机构进行安全评估，应报本行主管部门批准，并与第三方评估机构签订安全保密协议后方可进行。本行信息安全管理人员全程参与评估过程并实施

44、监督。第一百四十二条应妥善保管信息安全评估报告，未经授权不得对外透露评估信息。第四节安全审计 第一百四十三条适时开展信息系统日常运行管理和信息安全事件的技术审计，发现问题按照相关规定及时上报主管领导。第一百四十四条应做好操作系统、数据库管理系统等审计功能配臵管理，应完整保留相关日志记录，一般保留至少一个月，涉及资金交易的业务系统日志应根据需要确定保留时间。第一百四十五条本行各部室及人员应积极支持与配合上级审计部门或外部审计机构开展的信息安全审计。第十五章附则 第一百四十七条本办法由本行负责制定，解释。第一百四十八条本办法自发布之日起执行。 第一章总则 第一条 为加强公司信息安全管理，推进信息安

45、全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和公司信息化工作管理规定，制定本办法。 第二条 本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。 第三条 公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条 信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条 本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条 公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署