【正文】 第三節(jié)信息系統(tǒng)運行 第六十九條信息系統(tǒng)上線運行實行安全審查機制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。 第六十二條信息安全領(lǐng)導小組負責派遣相關(guān)部室安全員對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進行未授權(quán)訪問； （三）為重要的敏感系統(tǒng)設(shè)立隔離的運行環(huán)境。 第七章訪問控制 第五十二條本行負責建立訪問控制制度，對信息資 產(chǎn)和服務(wù)的訪問和權(quán)限分配進行控制。 第三節(jié)接入國際互聯(lián)網(wǎng)管理 第四十七條信息科技部負責制定本行互聯(lián)網(wǎng)方面管理制度，對互聯(lián)網(wǎng)接入進行嚴格的控制，防范來自互聯(lián)網(wǎng)的威脅。 第四十四條嚴格網(wǎng)絡(luò)變更管理。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。 第三十三條所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。機房管理員負責保管機房建設(shè)或改造的所有文 — 5— 檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。 第二十一條按照信息資產(chǎn)的價值、法律要求及敏感程度和對業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機密性、完整性、可用性三個屬性對信息資產(chǎn)進行分類分級，并建立相應(yīng)的標識和處理制度。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。 （三）負責組織開展本行信息安全檢查工作。 第十二條信息安全管理人員每年至少參加一次信息安全相關(guān)培訓。 第六條各部室、各分支機構(gòu)應(yīng)指定至少一名信息安全員，配合信息安全領(lǐng)導小組開展信息安全管理工作，具體負責信息安 — 1— 全領(lǐng)導小組頒布的相關(guān)管理制 度及要求在本部室的落實。 利用安全信息管理（ SIM）平臺可以對銀行網(wǎng)絡(luò)內(nèi)采用的所有安全相關(guān)的設(shè)備的報警信息和日志，甚至包括業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)的信息進行統(tǒng)一的匯總和關(guān)聯(lián)性分析，降低管理成本，提高管理效率。這是傳統(tǒng)的由防病毒、防火墻和入侵檢測系統(tǒng)構(gòu)成的安全防御體系所不能夠?qū)崿F(xiàn)的重要特點。冠群金辰公司提供的龍淵服務(wù)器核心防護產(chǎn)品 可以很好 地解決這一問題，既能克服通用操作系統(tǒng)（包括 Windows，Unix， Linux）的安全弊病，又能夠和所有應(yīng)用程序兼容，并且容易管理。 冠群金辰提供的干將 /莫邪系列入侵檢測系統(tǒng)能夠在從百兆到千兆的網(wǎng)絡(luò)中提供實時的入侵檢測和病毒傳播統(tǒng)一監(jiān)控，也是唯一能夠?qū)崿F(xiàn)在同一個平臺下進行入侵行為和蠕蟲病毒傳播的監(jiān)控的安全系統(tǒng)。該產(chǎn)品具有豐富和功能和優(yōu)異的性能，在 2021 年一舉獲得了中國大 IT 媒體：《中國計算機報》和《計算機世界報》的編輯選擇獎和產(chǎn)品獎，并在另一大專業(yè)媒體《網(wǎng)絡(luò)世界》 2021 年 5 月 12 日發(fā)布的產(chǎn)品購買指南中得到高度評價，被稱為 防病毒網(wǎng)關(guān)的佼佼者 ，更于今年 7 月份又獲得“網(wǎng)管員 最信賴的防病毒產(chǎn)品”獎項。有網(wǎng)絡(luò)的連接是造成安全風險的重要源頭，一定需要對不同安全級別的網(wǎng)絡(luò)之間進行安全隔離。 物理安全 主要是按照國家標準 GB501739 GB28878 GB931688 等加強場地設(shè)防。所以與之相對應(yīng)就產(chǎn)生了所謂系統(tǒng)安全的生命周期，即是將安全生命周期模型整合到系統(tǒng)生命周期模型上，一方面在系統(tǒng)生命周期各階段提取安全需求，另一方面將安全生命周期的過程應(yīng)用在系統(tǒng)生命周期各階段，即在系統(tǒng)各階段遵循安全的過程性開 展相應(yīng)安全工作。 銀行信息安全問題不僅僅是技術(shù)上的問題，同樣重要的是管理問題。 2 冠群金辰公司的主動防御安全策略 冠群金辰公司具有多年的信息安全產(chǎn)品研發(fā)、工程實施和安全服務(wù)經(jīng)驗，在金融行業(yè)具有豐富的行業(yè)應(yīng)用經(jīng)驗，并且對國外和國內(nèi)的金融行業(yè)業(yè)務(wù)應(yīng)用、信息安全策略、相關(guān)法律法規(guī)等有深刻的理解，具有獨到的見解。 第四篇：銀行信息系統(tǒng)安全管理方案 銀行信息系統(tǒng)安全管理方案 隨著金融界向電子化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，各金融機構(gòu)對計算機的重視程度越來越高，全球高新技術(shù)尤其是信息技術(shù)的發(fā)展，進一步提高了銀行計算機的應(yīng)用水平。本行信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百三十八條安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查部門。 第一百三十一條應(yīng)急管理實施細則詳見《 XX 銀行計算機信息系統(tǒng)應(yīng)急管理制度》。 （三）預警響應(yīng)機制（報告、評估、預案啟動等）。 第一百二十四條本行在本行計算機信息系統(tǒng)應(yīng)急領(lǐng)導小組統(tǒng)一領(lǐng)導下，組織開展重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。外包 服務(wù)提供商不得查看、復制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。口令密碼的強度應(yīng)滿足必要的安全性要求。 第九十九條系統(tǒng)管理員負責定期導出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。重要信息的存取需要授權(quán)和記錄。第八十八條信息科技部應(yīng)及時升級維護信息安全專用產(chǎn) 品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報信息安全領(lǐng)導小組批準后，按照固定資產(chǎn)報廢審批程序處理。 第四節(jié)信息系統(tǒng)廢止 第七十五條廢止信息系統(tǒng)及其存儲介質(zhì)在報廢或重用前，應(yīng)根據(jù)其安全級別，進行消磁或安全格式化，以避免信息泄露。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。第一節(jié)信息系統(tǒng)規(guī)劃與立項 第六十一條信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。 第五十五條凡是能夠執(zhí)行錄入、復核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復核兩職。經(jīng)審批后連接國際互聯(lián)網(wǎng)的計算機，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國際互聯(lián)網(wǎng)的計算機上使用。確因工作需要進行遠程訪問的人員應(yīng)向信息簡科技部提出書面申請，并采取相應(yīng) 的安全防護措施。網(wǎng)絡(luò)管理員負責日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第三十七條未經(jīng)允許，嚴禁 在信息中心辦公區(qū)域內(nèi)進行攝影、攝像、錄音等記錄日常辦公行為的活動。第三十條信息安全領(lǐng)導小組負責定期審核機房安全管理落實情況，并保留相應(yīng)的審核記錄和審核結(jié)果。 第二十五條本行機房的信息安 全管理由本行本行信息科技部門負責具體實施和落實。 （三）不得在辦公用計算機上安裝任何盜版或非授權(quán)軟件。 — 4— （三）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部室主管領(lǐng)導，并及時響應(yīng)、處臵。 （四）統(tǒng)計分析和協(xié)調(diào)處臵信息安全事件。日常員工信息安全行為準則參見《 XX 銀行員工信息安全手冊》。按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的 原則，逐級落實部門與個人信息安全責任。一是要明確開展計算機信息安全規(guī)范化管理的重要意義，早抓早主動，要積極開展試點工作，取得實際成效，促進計算機信息安全規(guī)范化管理深入發(fā)展。同時強化監(jiān)督檢查，對好的做法及時總結(jié)，加以推廣； 對存在的問題及時進行整改，確保試點工作健康發(fā)展，取得扎實成效。同時，花力氣、下功夫，對支行信息安全管理制度進行疏理，重新修訂公布了《中國人民銀行支行科技人員崗位職責》、《中國人民銀行支行計算機兼職安全員崗位職責》、《中國人民銀行支行計算機設(shè)備操作規(guī)程》、《中國人民銀行支行計算計設(shè)備管理辦法》、《中國人民銀行支行計算機機房管理制度》、《中國人民銀行支行計算機病毒防治辦法》、《中國人民銀行支行內(nèi)聯(lián)網(wǎng)計算機使用注意事項》、《中國人民銀行支行網(wǎng)絡(luò)運行管理制度》、《中國人民銀行支行接入國際互聯(lián)網(wǎng)管理規(guī)定》、《中國人民銀行支行計算機系統(tǒng)口令（密碼）安全管理規(guī)定》和《中國人民銀行支行涉密移動存儲介質(zhì)管理辦法》等 11 個制度，為試點工作開展提供制度保障。我行明確試點思路：認真落實和執(zhí)行《人民銀行信息安全綜合規(guī)范》要求，切實加強對信息工作的組織領(lǐng)導，促進計 算機信息安全規(guī)范化管理深入發(fā)展，通過試點工作實現(xiàn)支行信息安全管理工作更加標準化、規(guī)范化、專業(yè)化、程序化和系統(tǒng)化，達到中支信息安全管理規(guī)范化試點的工作要求。一是要明確開展計算機信息安全規(guī)范化管理的重要意義，早抓早主動，要積極開展試點工作，取得實際成效，促進計算機信息安全規(guī)范化管理深入發(fā)展。同時強化監(jiān)督檢查，對好的做法及時總結(jié)，加以推廣； 對存在的問題及時進行整改，確保試點工作健康發(fā)展，取得扎實成效。同時，花力氣、下功夫，對支行信息安全管理制度進行疏理，重新修訂公布了《中國人民銀行支行科技人員崗位職責》、《中國人民銀行支行計算機兼職安全員崗位職責》、《中國人 民銀行支行計算機設(shè)備操作規(guī)程》、《中國人民銀行支行計算計設(shè)備管理辦法》、《中國人民銀行支行計算機機房管理制度》、《中國人民銀行支行計算機病毒防治辦法》、《中國人民銀行支行內(nèi)聯(lián)網(wǎng)計算機使用注意事項》、《中國人民銀行支行網(wǎng)絡(luò)運行管理制度》、《中國人民銀行支行接入國際互聯(lián)網(wǎng)管理規(guī)定》、《中國人民銀行支行計算機系統(tǒng)口令（密碼）安全管理規(guī)定》和《中國人民銀行支行涉密移動存儲介質(zhì)管理辦法》等 11 個制度，為試點工作開展提供制度保障。我行明確試點思路：認真落實和執(zhí)行《人民銀行信息安全綜合規(guī)范》要求，切實加強對信息工作的組織領(lǐng)導，促進計算機信息安全規(guī)范化管理深入發(fā)展，通過試點工作實現(xiàn)支行信息安全 管理工作更加標準化、規(guī)范化、專業(yè)化、程序化和系統(tǒng)化，達到中支信息安全管理規(guī)范化試點的工作要求。 二、強化工作措施，扎實開展計算機信息安全規(guī)范化管理試點工作 一是加強組織領(lǐng)導，明確工作任務(wù)。 三是細化工作任務(wù)、量化工作目標。 三、持之以恒進行，取得試點工作的實際成效 我行嚴格工作要求，落實各項工作措施，持之以恒開展計算機信息安全規(guī)范化管理試點工作，取得了實際成效。二是主要領(lǐng)導要親自負責、親自參與，樹立模范表率作用，營造濃厚氛圍，為開展計算機信息安全規(guī)范化管理奠定牢固基礎(chǔ)。 二、強化工作措施，扎實開展計算機信息安全規(guī)范化管理試點工作 一是加強組織領(lǐng)導，明確工作任務(wù)。 三是細化工作任務(wù)、量化工作目標。 三、持之以恒進行，取得試點工作的實際成效 我行嚴格工作要求，落實各項工作措施，持之以恒開展計算機信息安全規(guī)范化管理試點工作，取得了實際成效。二是主要領(lǐng)導要親自負責、親自參與，樹立模范表率作用，營造濃厚氛圍，為開展計算機信息安全規(guī)范化管理奠定牢固基礎(chǔ)。第四條本辦法適用于本行。第一節(jié)信息安全管理人員 第十條本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導小組和信息安全工作小組成員。 （五）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。 （四）嚴格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 （四）未經(jīng)信息安全管理人員檢測和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。 第二十六條建立機房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控。第二節(jié)重要區(qū)域安全管理 第三十一條本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。第六章網(wǎng)絡(luò)安全管理 第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理 第三十八條本行網(wǎng)絡(luò)信息科技部負責網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、 IP 地址和域名等）分配。 第四十二條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全 威脅的應(yīng)對技能。 第四十六條信息安全管理人員負責定期對網(wǎng)絡(luò)進行安全檢測、掃描和評估。 第五十條曾接入國際互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報相關(guān)領(lǐng)導審批，經(jīng)安全檢測后方能接入。未經(jīng)主管領(lǐng)導 批準，不得代崗、兼崗。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部室提出的安全需求。 第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進行。 第七十條信息系統(tǒng)投入使用前信息中心應(yīng)當建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。 第七十六條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定 在一定期限內(nèi)妥善保存。 第十一章文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié)技術(shù)文檔 第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。 第九十三條加強對移動存儲設(shè)備（Ｕ盤、軟盤、移動硬盤等）的使用管理。日志文件應(yīng)至少保留一年，妥善保管。 第一百