【正文】 產(chǎn)和服務(wù)的訪問權(quán)限，運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。第五十四條 信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對(duì)其訪問控制權(quán)限負(fù)責(zé)。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代—9— 崗、兼崗。第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問，包括但不限于：（一）按照已定義的訪問控制策略鑒別授權(quán)用戶；（二）記錄成功和失敗的系統(tǒng)訪問企圖；（三）記錄專用系統(tǒng)特殊權(quán)限的使用情況；（四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)；（五）提供合適的身份鑒別手段；（六）限制用戶的連接時(shí)間。第五十七條 對(duì)應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對(duì)應(yīng)用系統(tǒng)的訪問控制措施包括但不限于：（一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能；（二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任 何實(shí)用程序、系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問；（三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。第五十八條 訪問控制實(shí)施細(xì)則詳見《XX銀行信息系統(tǒng)訪問控制管理規(guī)定》。第八章 信息系統(tǒng)安全管理第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等?！?—10第六十條 信息系統(tǒng)安全管理實(shí)施細(xì)則詳見《XX銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部室提出的安全需求。（二）安全需求分析和實(shí)現(xiàn)。（三）運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。第六十二條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。第二節(jié) 信息系統(tǒng)開發(fā)與集成第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員，不得在程序代碼中植入后門和惡意代碼程序。第六十六條 信息系統(tǒng)開發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)—11— 境中進(jìn)行。第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，避免引發(fā)安全漏洞。第三節(jié) 信息系統(tǒng)運(yùn)行第六十九條 信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下：（一）項(xiàng)目承建單位（部室）應(yīng)組織制定安全測(cè)試方案，進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告，報(bào)信息科技部審查。（二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門。（三）信息科技部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見。必要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。第七十一條 系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任— —12業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。第七十三條 嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶對(duì)數(shù)據(jù)的訪問權(quán)限。第七十四條 在信息系統(tǒng)運(yùn)行維護(hù)過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求：（一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)；（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入；（三）及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞；（四）啟用系統(tǒng)提供的審計(jì)功能，或使用第三方手段實(shí)現(xiàn)審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況；（五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。第四節(jié) 信息系統(tǒng)廢止第七十五條 廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前，應(yīng)根據(jù)其安全級(jí)別，進(jìn)行消磁或安全格式化，以避免信息泄露。第七十六條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀?！?3—第九章 客戶端安全管理第七十七條 本辦法所稱客戶端是指本行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終端、柜面 終端、單機(jī)運(yùn)行（啞）終端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)設(shè)備等。第七十八條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。第七十九條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)臵用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施，確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。第八十條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第八十一條 規(guī)范存儲(chǔ)本單位商密信息的計(jì)算機(jī)設(shè)備的安全管理，包括：開發(fā)用終端、生產(chǎn)主機(jī)及其他計(jì)算機(jī)設(shè)備。第十章 信息安全專用產(chǎn)品、服務(wù)管理第一節(jié) 資質(zhì)審查與選型購臵第八十二條 本規(guī)定所稱信息安全專用產(chǎn)品，是指本行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服 務(wù)，是指本行向社會(huì)購買的專業(yè)化安全服務(wù)。第八十三條 本行負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，由采購科室按照采購程序選購。第八十四條 安全專用產(chǎn)品在準(zhǔn)入審核時(shí)，供應(yīng)商應(yīng)提出申 — —14請(qǐng)并提供下列資料：（一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料；（二）產(chǎn)品型號(hào)、產(chǎn)地、功能及報(bào)價(jià)；（三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說明書；（四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）；（五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。第八十五條 安全專用產(chǎn)品有下列情形之一的，取消其準(zhǔn)入資格：（一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測(cè)的；（二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的；（三）不能提供良好售后服務(wù)的；（四）國家有關(guān)部門取消其銷售資格的。第二節(jié) 使用管理第八十六條 掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。第八十八條 信息科技部應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后，按照固定資產(chǎn)報(bào)廢審批程序處—15— 理。第十一章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié) 技術(shù)文檔第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。第九十條 各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。第二節(jié) 存儲(chǔ)介質(zhì)第九十一條 建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第九十二條 做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。第九十三條 加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備（Ｕ盤、軟盤、移動(dòng)硬盤等）的使用管理。對(duì)系統(tǒng)升級(jí)專用的移動(dòng)存儲(chǔ)設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負(fù)責(zé)管理。第九十四條 建立存儲(chǔ)介質(zhì)銷毀機(jī)制，對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)按照其安全等級(jí)，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄?！?—16 第九十五條 介質(zhì)管理實(shí)施細(xì)則詳見《XX銀行介質(zhì)管理規(guī)范》。第三節(jié) 數(shù)據(jù)安全第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。第九十七條 數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。第九十八條 嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備 份任務(wù)，并定期測(cè)試備份數(shù)據(jù)的有效性。第九十九條 系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年，妥善保管。第一百條 本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的備份數(shù)據(jù)的保 存時(shí)限和密級(jí)，并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷毀處理。第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《XX銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》?！?7—第四節(jié) 口令密碼第一百零三條 信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略。第一百零四條 系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個(gè)月更換一次?？诹蠲艽a的強(qiáng)度應(yīng)滿足必要的安全性要求。第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。未經(jīng)本行分管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。第一百零六條 應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。第五節(jié) 密碼技術(shù)應(yīng)用管理