【正文】 統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。超過保存期限后需要銷毀的，應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀。 第九十條各部室負責將技術(shù)文檔統(tǒng)一歸檔。對系統(tǒng)升級專用的移動存儲設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負責管理。 第一百條本行信息科技部負責建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的備份數(shù)據(jù)的保存時限和密級，并根據(jù)介質(zhì)處臵相關(guān)要求進行銷毀處理。未經(jīng)本行分管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。本行據(jù)此確定災(zāi)難備份等級和備份方案。 （五）應(yīng)急資源保障。 第一百三十三條本行負責每年組織對各部室、各分支機構(gòu)的計算機安全運行情況進行檢查（以下簡稱“對下安全檢查”）。 第一百三十九條參加檢查的人員對檢查中的涉密信息負有保密責任。第四節(jié)安全審計 第一百四十三條適時開展信息系統(tǒng)日常運行管理和信息安全事件的技術(shù)審計，發(fā)現(xiàn)問題按照相關(guān)規(guī)定及時上報主管領(lǐng)導(dǎo)。 第23頁 共23頁。本行信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百三十八條安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)主管領(lǐng)導(dǎo)批準后將檢查整改報告盡快送達被檢查部門。 第一百三十一條應(yīng)急管理實施細則詳見《xx銀行計算機信息系統(tǒng)應(yīng)急管理制度》。 （三）預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。 第一百二十四條本行在本行計算機信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。外包服務(wù)提供商不得查看、復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離?？诹蠲艽a的強度應(yīng)滿足必要的安全性要求。 第九十九條系統(tǒng)管理員負責定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。重要信息的存取需要授權(quán)和記錄。第八十八條信息科技部應(yīng)及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報信息安全領(lǐng)導(dǎo)小組批準后，按照固定資產(chǎn)報廢審批程序處理。 第四節(jié)信息系統(tǒng)廢止 第七十五條廢止信息系統(tǒng)及其存儲介質(zhì)在報廢或重用前，應(yīng)根據(jù)其安全級別，進行消磁或安全格式化，以避免信息泄露。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。第一節(jié)信息系統(tǒng)規(guī)劃與立項 第六十一條信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。 第五十五條凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。經(jīng)審批后連接國際互聯(lián)網(wǎng)的計算機，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國際互聯(lián)網(wǎng)的計算機上使用。確因工作需要進行遠程訪問的人員應(yīng)向信息簡科技部提出書面申請，并采取相應(yīng)的安全防護措施。網(wǎng)絡(luò)管理員負責日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第三十七條未經(jīng)允許，嚴禁在信息中心辦公區(qū)域內(nèi)進行攝影、攝像、錄音等記錄日常辦公行為的活動。第二節(jié)重要區(qū)域安全管理 第三十一條本章節(jié)所指重要區(qū)域為。 第二十六條建立機房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控。 （四）未經(jīng)信息安全管理人員檢測和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。 （四）嚴格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 （五）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。第一節(jié)信息安全管理人員 第十條本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。第四條本辦法適用于本行。按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實部門與個人信息安全責任。日常員工信息安全行為準則參見《xx銀行員工信息安全手冊》。 （四）統(tǒng)計分析和協(xié)調(diào)處臵信息安全事件。 —4— （三）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部室主管領(lǐng)導(dǎo)，并及時響應(yīng)、處臵。 （三）不得在辦公用計算機上安裝任何盜版或非授權(quán)軟件。 第二十五條本行機房的信息安全管理由本行本行信息科技部門負責具體實施和落實。第三十條信息安全領(lǐng)導(dǎo)小組負責定期審核機房安全管理落實情況，并保留相應(yīng)的審核記錄和審核結(jié)果。 第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。第二節(jié)網(wǎng)絡(luò)運行安全管理 第四十一條信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運行方面的制度，配備專職網(wǎng)絡(luò)管理員。第四十五條嚴格遠程訪問控制。 第四十九條內(nèi)部網(wǎng)絡(luò)計算機嚴禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補丁程序。重要信息系統(tǒng)操作人員