【正文】 第十五章附則 第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。評(píng)估開(kāi)始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。第二節(jié)安全檢查 第一百三十六條本行安全檢查包括對(duì)本行本級(jí)的安全檢查和對(duì)下安全檢查。 第一百二十八條本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第三節(jié)應(yīng)急管理 第一百二十七條本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。 第一百二十二條重大信息安全事件發(fā)生后，相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。 第二節(jié)外包服務(wù)管理 第一百一十七條本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會(huì)廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。 第一百零二條生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《xx銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》。第三節(jié)數(shù)據(jù)安全 第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。第二節(jié)使用管理 第八十六條掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。具體要求如下： （一）項(xiàng)目承建單位（部室）應(yīng)組織制定安全測(cè)試方案，進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告，報(bào)信息科技部審查。第二節(jié)信息系統(tǒng)開(kāi)發(fā)與集成 第六十三條信息系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。 第五十八條訪問(wèn)控制實(shí)施細(xì)則詳見(jiàn)《xx銀行信息系統(tǒng)訪問(wèn)控制管理規(guī)定》。 第五十三條信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問(wèn)權(quán)限，運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時(shí)，應(yīng)嚴(yán)格遵循變更管理流程。 （三）針對(duì)不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。第三節(jié)辦公環(huán)境安全管理 第三十四條在本行大樓入口應(yīng)設(shè)臵門(mén)衛(wèi)或接待員，負(fù)責(zé)出入或公共訪問(wèn)區(qū)域的物理安全管理和外來(lái)人員的出入登記。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。 第二十三條依據(jù)《xx銀行介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷(xiāo)毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。第十九條一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)： （一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺(jué)接受本部室信息安全員的指導(dǎo)與管理。 第十六條本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中，應(yīng)承擔(dān)如下安全義務(wù)： （一）不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。 （二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)。 第八條本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系，及時(shí)跟蹤行業(yè)趨勢(shì)，學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法。 第二條本辦法所稱信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。 第二章組織保障 第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。凡是因違反國(guó)家法律法規(guī)和本行有關(guān)規(guī)定受到過(guò)處罰或處分的人員，不得從事此項(xiàng)工作。 （二）負(fù)責(zé)提出本行信息安全保障需求。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。細(xì)則參見(jiàn)《xx銀行信息資產(chǎn)分類分級(jí)管理規(guī)定》。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。 第三十九條按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過(guò)安全測(cè)試與評(píng)估。 第四十三條嚴(yán)格網(wǎng)絡(luò)接入管理。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外界提供。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。 第五十六條應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問(wèn)，包括但不限于： （一）按照已定義的訪問(wèn)控制策略鑒別授權(quán)用戶； （二）記錄成功和失敗的系統(tǒng)訪問(wèn)企圖； （三）記錄專用系統(tǒng)特殊權(quán)限的使用情況； （四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)； （五）提供合適的身份鑒別手段； （六）限制用戶的連接時(shí)間。 （二）安全需求分析和實(shí)現(xiàn)。 第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。 第七十一條系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，并建立重要信息系