【正文】 設(shè)、運(yùn)行、維護(hù)及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動。三是要持之以恒進(jìn)行，碰到困難不低頭，遇到問題不繞路，扎實(shí)有 效進(jìn)行，直至達(dá)到工作目標(biāo)和工作要求。五是試點(diǎn)工作以來，我行信息安全管理水平不斷提高，沒有發(fā)生信息安全事故，促進(jìn)各項(xiàng)業(yè)務(wù)工作平安、持續(xù)發(fā)展。一是支行員工提高了對計(jì) 算機(jī)信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識，自覺積極參與試點(diǎn)工作，提高了業(yè)務(wù)能力，取得良好成績。 五是夯實(shí)工作基礎(chǔ)，強(qiáng)化監(jiān)督檢查。我行做到依崗劃責(zé)、定量明標(biāo)，對每項(xiàng)工作都明確定責(zé)、細(xì)化目標(biāo)，嚴(yán)格標(biāo)準(zhǔn)，細(xì)化到崗，量化到人，讓每人都知道自己要“做什么”，“怎樣做”和“做好的程度”。 二是建立工作制度，形成長效機(jī)制。加強(qiáng)信息安全規(guī)范化管理是金融形勢不斷發(fā)展的需要，具有重要的現(xiàn)實(shí)意義和深遠(yuǎn)的歷史意義。經(jīng)過我行全體干部員工的共同努力和扎實(shí)工作，完成了試點(diǎn)工作，取得良好成效，促進(jìn)了信息安全規(guī)范化管理深入發(fā)展。三是要持之以恒進(jìn)行，碰到困難不低頭，遇到問題不繞路，扎實(shí)有效進(jìn)行，直至達(dá)到工作目標(biāo)和工作要求。五是試點(diǎn)工作以來，我行信息安全管理水平不斷提高，沒有發(fā)生信息安全事故，促進(jìn)各項(xiàng)業(yè)務(wù) 工作平安、持續(xù)發(fā)展。一是支行員工提高了對計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識，自覺積極參與試點(diǎn)工作，提高了業(yè)務(wù)能力，取得 良好成績。 五是夯實(shí)工作基礎(chǔ)，強(qiáng)化監(jiān)督檢查。我行做到依崗劃責(zé)、定量明標(biāo)，對每項(xiàng)工作都明確定責(zé) 、細(xì)化目標(biāo)，嚴(yán)格標(biāo)準(zhǔn)，細(xì)化到崗，量化到人，讓每人都知道自己要“做什么”，“怎樣做”和“做好的程度”。 二是建立工作制度，形成長效機(jī)制。加強(qiáng)信息安全規(guī)范化管理是金融形勢不斷發(fā)展的需要，具有重要的現(xiàn)實(shí)意義和深遠(yuǎn)的歷史意義。經(jīng)過我行全體干部員工的共同努力和扎實(shí)工作，完成了試點(diǎn)工作，取得良好成效，促進(jìn)了信息安全規(guī)范化管理深入發(fā)展。有關(guān)工作做法和成功經(jīng)驗(yàn)具體匯報(bào)如下： 一、明確試點(diǎn)思路，堅(jiān)定開展信息安全規(guī)范化管理信心 為加強(qiáng)信息安全規(guī)范化管理，保障國家財(cái)產(chǎn)安全，保證金融事業(yè)順利發(fā)展，我行認(rèn)真學(xué)習(xí)《中華人民共和國人民銀行法》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律、法規(guī)，認(rèn)真學(xué)習(xí)中支《關(guān)于開展信息安全規(guī)范化管理試點(diǎn)的通知》等相關(guān)文件，提高了對開展信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識，堅(jiān)定工作信心，認(rèn)真扎實(shí)搞好信息安全規(guī)范化管理試點(diǎn)工作。我行加強(qiáng)對計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)工作的領(lǐng)導(dǎo)，把試點(diǎn)工作列入支行重要議事日程，做到與其他業(yè)務(wù)工作同部署、同落實(shí)、同檢查、同考核。為搞好試點(diǎn)工作，我行制定《中國人民銀行行信息安全規(guī)范化管理試點(diǎn)實(shí)施方案》，明確試點(diǎn)工作的指導(dǎo)思想、工作目標(biāo)、工作內(nèi)容和工作要求，使試點(diǎn)工作有章可循、有據(jù)可依，有效推進(jìn)。同時(shí)和每位員工簽訂信息安全承諾書，確保信守承諾，實(shí)現(xiàn)計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)的工作目標(biāo)。我行 做細(xì)、做實(shí)信息安全管理基礎(chǔ)工作，規(guī)范登記、檢查、審批等程序，使支行信息安全管理工作均符合《人民銀行信息安全綜合規(guī)范》之規(guī)定。二是建立系列制度和工作機(jī)制，使試點(diǎn)工作形成制度化、標(biāo)準(zhǔn)化、規(guī)范化的發(fā)展態(tài)勢，計(jì)算機(jī)信息安全規(guī)范化管理上了一個(gè)新的臺階。 四、開展試點(diǎn)工作，獲得了寶貴的經(jīng)驗(yàn)啟示 通過本次試點(diǎn)工作，我行獲得了寶貴的經(jīng)驗(yàn)啟示。 我行開展計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)工作， 取得了優(yōu)異成績。有關(guān)工作做法和成功經(jīng)驗(yàn)具體匯報(bào)如下： 一、明確試點(diǎn)思路，堅(jiān)定開展信息安全規(guī)范化管理信心 為加強(qiáng)信息安全規(guī)范化管理，保障國家財(cái)產(chǎn)安全，保證金融事業(yè)順利發(fā)展，我行認(rèn)真學(xué)習(xí)《中華人民共和國人民銀行法》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律、法規(guī)，認(rèn)真學(xué)習(xí)中支《關(guān)于開展信息安全規(guī)范化管理試點(diǎn)的通知》等相關(guān)文件，提高了對開展信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識，堅(jiān)定工作信心，認(rèn)真扎實(shí)搞好信息安全規(guī)范化管理試點(diǎn)工作。我行加強(qiáng)對計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)工作的領(lǐng)導(dǎo)，把試點(diǎn)工作列入支行重要議事日程，做到與其他業(yè)務(wù)工作同部署、同落實(shí)、同檢查、同考核。為搞好試點(diǎn)工作，我行制定《中國人民銀行行信息安全規(guī)范化管理試點(diǎn)實(shí)施方案》，明確試點(diǎn)工作的指導(dǎo)思想、工作目標(biāo)、工作內(nèi)容和工作要求，使試點(diǎn)工作有章可循、有據(jù)可依，有效推進(jìn)。同時(shí)和每位員工簽訂信息安全承諾書，確保信守承諾，實(shí)現(xiàn)計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)的工作目標(biāo)。我行做細(xì)、做實(shí)信息安全管理基礎(chǔ)工作，規(guī)范登記、檢查、審批等程序，使支行信息安全管理工作均符合《人民銀行信息安全綜合規(guī)范》之規(guī)定。二是建立系列制度和工作機(jī)制，使試點(diǎn)工作形成制度化、標(biāo)準(zhǔn)化、規(guī)范化的發(fā)展態(tài)勢，計(jì)算機(jī)信息安全規(guī)范化管理上了一個(gè)新的臺階。 四、開展試點(diǎn)工作，獲得了寶貴的經(jīng)驗(yàn)啟示 通過本次試點(diǎn)工作，我行獲得了寶貴的經(jīng)驗(yàn)啟示。 我行開展計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)工作，取得了優(yōu)異成績。 第三條本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。 第二章組織保障 第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。第三章人員管理 第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī) 定受到過處罰或處分的人員，不得從事此項(xiàng)工作。 （三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時(shí)通報(bào)和預(yù)警，并提出整改 意見。 （二）負(fù)責(zé)提出本行信息安全保障需求。 （二）嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護(hù)。細(xì)則參見《 XX 銀行信息資產(chǎn)分類分級管理規(guī)定》。 第五章物理環(huán)境安全管理第一節(jié)機(jī)房安全管理 第二十四條本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。 第二十九條依據(jù)《浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過程，落實(shí)機(jī)房管理。 第三十二條重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配臵自動監(jiān)控報(bào)警功能。 第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第四十條本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安 全。第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理 第四十一條信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度，配備專職網(wǎng)絡(luò)管理員。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第四十五條嚴(yán)格遠(yuǎn)程訪問控制。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。 第四十九條內(nèi)部網(wǎng)絡(luò)計(jì) 算機(jī)嚴(yán)禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。 第五十一條使用國際互聯(lián)網(wǎng)的所有用戶應(yīng) 遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。 第五十七條對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。 第六十條信息系統(tǒng)安全管理實(shí)施細(xì)則 詳見《 XX 銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。 （三）運(yùn)行平臺的安全策略與設(shè)計(jì)。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。 第六十八條系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯誤信息，避免引發(fā)安全漏洞。 （三）信息科技部應(yīng)提出明確的測試方案和測試報(bào)告審查意見。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。 第七十四條在信息系統(tǒng)運(yùn)行維護(hù)過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求： （一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn)； （二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止 非法用戶的侵入； （三）及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞； （四）啟用系統(tǒng)提供的審計(jì)功能，或使用第三方手段實(shí)現(xiàn)審計(jì)功能，監(jiān)測系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況； （五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。 第八十四條安全專用產(chǎn)品在準(zhǔn)入審核時(shí)，供應(yīng)商應(yīng)提出申請并提供下列資料： （一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料； （二）產(chǎn)品型號、產(chǎn)地、功能及報(bào)價(jià)； （三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說明書； （四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）； （五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。 第九十二條做好存儲介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。 第九十四條建立存儲介質(zhì)銷毀機(jī)制，對載有敏感信息的存儲介質(zhì)應(yīng)按照 其安全等級，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。 第九十八條嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按 照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性。第一百零一條所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。 第一百零四條系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個(gè)月更換一次。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百一十八條外包服務(wù)提供商提供上門維護(hù)服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場陪同實(shí)施。 第一百二十條外包服務(wù)管理詳見《 XX銀行 IT 外包管理暫行辦法》。第二節(jié)災(zāi)難備份管理 第一百二十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定 的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程。 第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。 （二）應(yīng)急組織機(jī)構(gòu)。 （六）事后處理流程。 第一百三十條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。第一節(jié)安全監(jiān)測 第一百三十四條本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。第一百三十七條開展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計(jì)劃等，確保檢查工作的可操作性和規(guī)范性。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。 第一百四十一條如聘請第三方機(jī)構(gòu)進(jìn)行安全 評估，應(yīng)報(bào)本行主管部門批準(zhǔn)，并與第三方評估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。第一百四十四條應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第一百四十八條本辦法自發(fā)布之日起執(zhí)行。同時(shí)，經(jīng)營的集約化和數(shù)據(jù)的集中化趨勢一方面順應(yīng)了銀行業(yè)務(wù)發(fā)展的要 求，避免了業(yè)務(wù)分散導(dǎo)致的業(yè)務(wù)風(fēng)險(xiǎn)，但是另一方面不可避免的導(dǎo)致了信息安全風(fēng)險(xiǎn)的集中。因此，如何建立一個(gè)高效的現(xiàn)代信息安全體系，日益成為突出的問題。 經(jīng)過對信息安全趨勢的分析，我們認(rèn)為在當(dāng)前新的安全漏洞發(fā)現(xiàn)頻率日益加快、安全攻擊事件大幅度增加的狀況下，局限于傳統(tǒng)的被動（ Reactive）防范策略是非常危險(xiǎn)的。 第一：在整個(gè)受保護(hù)網(wǎng)絡(luò)環(huán)境中的每一個(gè)環(huán)節(jié)上減少可能會被入侵者利用的突出的脆弱點(diǎn)； 第二：對于關(guān)鍵的資源，使用多重防御策略來管理風(fēng)險(xiǎn)，以便在一層防 御不夠時(shí)，在理想情況下，另一層防御將會削弱對被保護(hù)資源的破壞。同樣，在銀行的信息安全領(lǐng)域也需要一種成熟的風(fēng)險(xiǎn)管理思路。根據(jù)銀行業(yè)務(wù)系統(tǒng)各自的特點(diǎn)，其各階段的具體內(nèi)容會有所不同，但基本周期保持不變。 冠群金辰公司的銀行業(yè)信息安全風(fēng)險(xiǎn)管理方案主要分為下面幾個(gè)部分： 第一，參照相關(guān)法律法規(guī)、金融行業(yè)相關(guān)規(guī)定、國內(nèi)外信息安全標(biāo)準(zhǔn)等，為用戶建立一套信息安全管理系統(tǒng)和業(yè)務(wù)持續(xù)性策略； 第二，根據(jù)業(yè)務(wù)系統(tǒng)的需要，進(jìn)行安全技術(shù)層面的實(shí)施，其中包括對銀行現(xiàn)有設(shè)備和系統(tǒng)的加固、自有安