【正文】 范化管理信心 為加強(qiáng)信息安全規(guī)范化管理，保障國(guó)家財(cái)產(chǎn)安全，保證金融事業(yè)順利發(fā)展，我行認(rèn)真學(xué)習(xí)《中華人民共和國(guó)人民銀行法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律、法規(guī)，認(rèn)真學(xué)習(xí)中支《關(guān)于開(kāi)展信息安全規(guī)范化管理試點(diǎn)的通知》等相關(guān)文件，提高了對(duì)開(kāi)展信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識(shí)，堅(jiān)定工作信心，認(rèn)真扎實(shí)搞好信息安全規(guī)范化管理試點(diǎn)工作。加強(qiáng)信息安全規(guī)范化管理是金融形勢(shì)不斷發(fā)展的需要，具有重要的現(xiàn)實(shí)意義和深遠(yuǎn)的歷史意義。我行做到依崗劃責(zé)、定量明標(biāo)，對(duì)每項(xiàng)工作都明確定責(zé) 、細(xì)化目標(biāo)，嚴(yán)格標(biāo)準(zhǔn)，細(xì)化到崗，量化到人，讓每人都知道自己要“做什么”，“怎樣做”和“做好的程度”。一是支行員工提高了對(duì)計(jì)算機(jī)信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識(shí)，自覺(jué)積極參與試點(diǎn)工作，提高了業(yè)務(wù)能力，取得 良好成績(jī)。三是要持之以恒進(jìn)行，碰到困難不低頭，遇到問(wèn)題不繞路，扎實(shí)有效進(jìn)行，直至達(dá)到工作目標(biāo)和工作要求。加強(qiáng)信息安全規(guī)范化管理是金融形勢(shì)不斷發(fā)展的需要，具有重要的現(xiàn)實(shí)意義和深遠(yuǎn)的歷史意義。我行做到依崗劃責(zé)、定量明標(biāo)，對(duì)每項(xiàng)工作都明確定責(zé)、細(xì)化目標(biāo)，嚴(yán)格標(biāo)準(zhǔn)，細(xì)化到崗，量化到人，讓每人都知道自己要“做什么”，“怎樣做”和“做好的程度”。一是支行員工提高了對(duì)計(jì) 算機(jī)信息安全規(guī)范化管理試點(diǎn)工作重要意義的認(rèn)識(shí)，自覺(jué)積極參與試點(diǎn)工作，提高了業(yè)務(wù)能力，取得良好成績(jī)。三是要持之以恒進(jìn)行，碰到困難不低頭，遇到問(wèn)題不繞路，扎實(shí)有 效進(jìn)行，直至達(dá)到工作目標(biāo)和工作要求。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法。 第十一條應(yīng)選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。 第十四條信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開(kāi)展工作： （一）負(fù)責(zé)本行信息安全管理體系的落實(shí)。 第十 七條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾，簽署保密協(xié)議。 第四章資產(chǎn)管理 第二十條本行對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、評(píng)估相對(duì)價(jià)值及重要性，建立資產(chǎn)清單并說(shuō)明使用規(guī)則，明確定義信息資產(chǎn)責(zé)任人及其職責(zé)。第二十七條建立健全機(jī)房管理制度，并指派專(zhuān)人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。 第三十九條按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過(guò)安全測(cè)試與評(píng)估。 第四十三條嚴(yán)格網(wǎng)絡(luò)接入管理。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外界提供。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。 第五十六條應(yīng)啟用安全措施限制授權(quán)用戶(hù)對(duì)操作系統(tǒng)的訪(fǎng)問(wèn)，包括但不限于： （一）按照已定義的訪(fǎng)問(wèn)控制策略鑒別授權(quán)用戶(hù)； （二）記錄成功和失敗的系統(tǒng)訪(fǎng)問(wèn)企圖； （三）記錄專(zhuān)用系統(tǒng)特殊權(quán)限的使用情況； （四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)； （五）提供合適的身份鑒別手段； （六）限制用戶(hù)的連接時(shí)間。 （二）安全需求分析和實(shí)現(xiàn)。 第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。 第七十一條系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過(guò)程。超過(guò)保存期限后需要銷(xiāo)毀的，應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷(xiāo)毀。 第九十條各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。對(duì)系統(tǒng)升級(jí)專(zhuān)用的移動(dòng)存儲(chǔ)設(shè)備應(yīng)按照相關(guān)規(guī)定由專(zhuān)人負(fù)責(zé)管理。 第一百條本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷(xiāo)毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級(jí)別分類(lèi)采取相應(yīng)的備份數(shù)據(jù)的保存時(shí)限和密級(jí)，并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷(xiāo)毀處理。未經(jīng)本行分管 領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。本行據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 （五）應(yīng)急資源保障。 第一百三十三條本行負(fù)責(zé)每年組織對(duì)各部室、各分支機(jī)構(gòu)的計(jì)算機(jī)安全運(yùn)行情況進(jìn)行檢查（以下簡(jiǎn)稱(chēng)“對(duì)下安全檢查”）。 第一百三十九條參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。第四節(jié)安全審計(jì) 第一百四十三條適時(shí)開(kāi)展信息系統(tǒng)日常運(yùn)行管理和信息安全事件的技術(shù)審計(jì)，發(fā)現(xiàn)問(wèn)題按照相關(guān)規(guī)定及時(shí)上報(bào)主管領(lǐng)導(dǎo)。人們可以通過(guò)國(guó)際互聯(lián)網(wǎng)隨時(shí)隨地進(jìn)行信息交流、電子商務(wù)活動(dòng)，銀行既要保障有強(qiáng)固的銀行內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)，又要擴(kuò)展業(yè)務(wù)，利用互聯(lián)網(wǎng)、無(wú)線(xiàn)網(wǎng)等盡可能多的通訊途徑對(duì)全國(guó)甚至全球個(gè)人實(shí)行 24 小時(shí)金融電子服務(wù)，許多銀行也順應(yīng)形勢(shì)相繼推出了網(wǎng)上銀行、自助銀行、客戶(hù)服務(wù)中心、手機(jī)銀行等。安全方案是基于符合用戶(hù)需求的自有產(chǎn)品和合作伙伴的優(yōu)秀產(chǎn)品搭建的整體解決方案；安全 應(yīng)用則是基于用戶(hù)的實(shí)際應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)的安全需要，將我們的安全方案進(jìn)行定制和二次開(kāi)發(fā)，以滿(mǎn)足用戶(hù)對(duì)業(yè)務(wù)系統(tǒng)和安全系統(tǒng)更高程度的整合需求；安全服務(wù)則是參照國(guó)際和國(guó)內(nèi)信息安全管理和工程標(biāo)準(zhǔn)，并結(jié)合冠群金辰公司的服務(wù)經(jīng)驗(yàn)積累提供的評(píng)估、設(shè)計(jì)、實(shí)施、管理、教育等一系列服務(wù)項(xiàng)目，以幫助用戶(hù)在日趨嚴(yán)峻的安全環(huán)境中保持業(yè)務(wù)的順利運(yùn)行。新巴塞爾協(xié)議的實(shí)施勢(shì)必大大提升銀行業(yè)的整體業(yè)務(wù)風(fēng)險(xiǎn)管理水平。但是，它們的共同點(diǎn)就是需要同時(shí)從技術(shù)和管理兩個(gè)方面著手進(jìn)行風(fēng)險(xiǎn)管理，同時(shí)這兩個(gè)方面不是孤立實(shí)施的，而是有機(jī)結(jié)合的。尤其是銀行主機(jī)機(jī)房的物理安全保障措施一定要到位。按照安全級(jí)別的要求可分為簡(jiǎn)單包過(guò)濾、狀態(tài)包過(guò)濾、應(yīng)用層代理、專(zhuān)有協(xié)議隔離等。 數(shù)據(jù)傳輸加密 當(dāng)需要在非銀行控制的公網(wǎng)上傳輸機(jī)密信息時(shí)，必須采用有效的措施對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。尤其是在結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)中，利用干將 /莫邪系列入侵檢測(cè)系統(tǒng)提供的監(jiān)控功能，管理員可以迅速定位被感染的服務(wù)器，控制傳染源。比如通過(guò)在銀行業(yè)務(wù)主機(jī)上部署龍淵服務(wù)器核心防護(hù)，可以在一臺(tái)主機(jī)上將管理員權(quán)限分成系統(tǒng)管理員、安全管理員、安全審計(jì)員以及其它一般性質(zhì)的業(yè)務(wù)操作人員，并且同時(shí)取消操作系統(tǒng)的超級(jí)用戶(hù)特權(quán)。 其它安全設(shè)施 網(wǎng)上銀行的興起決定了在整個(gè)銀行的安全體系 的建設(shè)中，確立一個(gè)穩(wěn)固的身份認(rèn)證機(jī)制是根本的前提條件。 第二條本辦法所稱(chēng)信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。 第八條本行應(yīng)建立與外部信息安全專(zhuān)業(yè)機(jī)構(gòu)、專(zhuān)家的聯(lián)系，及時(shí)跟蹤行業(yè)趨勢(shì)，學(xué)習(xí)各類(lèi)先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法。 — 2— （二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)。 第十六條本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中，應(yīng)承擔(dān)如下安全義務(wù)： （一）不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。 第十九條一般計(jì)算機(jī)用戶(hù)應(yīng)承擔(dān)如下安全義務(wù)： （一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺(jué)接受本部室信息安全員的指導(dǎo)與管理。 第二十三條依據(jù)《 XX 銀行 介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷(xiāo)毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。 第三十五條本行信息中心樓層設(shè)立門(mén)禁，加強(qiáng)人員進(jìn)出管理。 （四）能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門(mén)并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行，同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。所有接入內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。 第五十四條信息系統(tǒng)用戶(hù)設(shè)臵本人的用戶(hù)和密碼，并對(duì)其訪(fǎng)問(wèn)控制權(quán)限負(fù)責(zé)。 第八章信息系統(tǒng)安全管理 第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。 第六十四條信息系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。 （二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門(mén)。 第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。 （二）安全需求分析和實(shí)現(xiàn)。 第五十六條應(yīng)啟用安全措施限制授權(quán)用戶(hù)對(duì)操作系統(tǒng)的訪(fǎng)問(wèn)，包括但不限于： （一）按照已定義的訪(fǎng)問(wèn)控制策略鑒別授權(quán)用戶(hù)； （二）記錄成功和失敗的系統(tǒng)訪(fǎng)問(wèn)企圖； （三）記錄專(zhuān)用系統(tǒng)特殊權(quán)限的使用情況； （四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)； （五）提供合適的身份鑒別手段； （六）限制用戶(hù)的連接時(shí)間。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外界提供。 第四十三條嚴(yán)格網(wǎng)絡(luò)接入管理。 第三十九條按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過(guò)安全測(cè)試與評(píng)估。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。 第二十七條建立健全機(jī)房管理制度，并指 派專(zhuān)人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。 第四章資產(chǎn)管理 第二十條本行對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、評(píng)估相對(duì)價(jià)值及重要性，建立資產(chǎn)清單并說(shuō)明使用規(guī)則，明確定義信息資產(chǎn)責(zé)任 — 4— 人及其職責(zé)。 第十七條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾，簽署保密協(xié)議。 第十四條信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開(kāi)展工作： （一）負(fù)責(zé)本行信息安全管理體系的落實(shí)。 第十一條應(yīng)選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法。 KILL 防病毒系統(tǒng)的技術(shù)已經(jīng)非常成熟，在一個(gè)軟件中集成了兩個(gè)完全不同的防病毒引擎，能夠?qū)?Windows95/98/NT/2021/XP、 Linux、UNIX、 Netware 等多種平臺(tái)進(jìn)行病毒防護(hù)，并且可以通過(guò)集中的中央控制臺(tái)完成軟件安裝、完全免費(fèi)的特征碼自動(dòng)升級(jí)、病毒報(bào)警集中管理等工作，得到了廣泛的用戶(hù)認(rèn)可。另外，通過(guò)該系統(tǒng)在本機(jī)上限定該計(jì)算機(jī)允許的網(wǎng)絡(luò)通信類(lèi)型，即使該計(jì)算機(jī)感染了蠕蟲(chóng) 或被放置了木馬程序，也無(wú)法對(duì)外發(fā)出違反預(yù)定安全策略的數(shù)據(jù)包，避免了可能導(dǎo)致的蠕蟲(chóng)傳播和網(wǎng)絡(luò)擁塞現(xiàn)象，降低了攻擊后的影響。但是目前基本上所有的商用操作系統(tǒng)都是 C2 級(jí)的，不能滿(mǎn)足銀行的要求。而且，目前這兩種形式有逐漸趨于統(tǒng)一的趨勢(shì)。 冠群金辰公司的赤霄 KILL 過(guò)濾網(wǎng)關(guān)是一個(gè)專(zhuān)用硬件設(shè)備，用于在銀行網(wǎng)絡(luò)之間過(guò)濾病毒。比如為了實(shí)現(xiàn)跨系統(tǒng)銀行間資金匯劃的電子聯(lián)行系統(tǒng)采用的天地對(duì)接基本上建立在電信局的公共通信網(wǎng)上，開(kāi)放的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)協(xié)議為系統(tǒng)互聯(lián)提供了方便，但同時(shí)也降低了 系統(tǒng)的安全性。 由于銀行系統(tǒng)業(yè)務(wù)種類(lèi)眾多，信息系統(tǒng)也千差萬(wàn)別，不同銀行業(yè)務(wù)信息系統(tǒng)對(duì)機(jī)密性、完整性、可用性、可控性與可審查性也具有不同的要求，所以不可能采用一個(gè)相同的模式進(jìn)行所有銀行系統(tǒng)安全體系的設(shè)計(jì)。按照 NIST 風(fēng)險(xiǎn)管理指南，這些階段可以劃分為系統(tǒng)規(guī)劃階段、系統(tǒng)開(kāi)發(fā)階段、系統(tǒng)實(shí)施階段、系統(tǒng)運(yùn)行階段和系統(tǒng)廢止階段。 冠群金辰公司倡導(dǎo)采用以主動(dòng)防御為基礎(chǔ)的縱深防御體系來(lái)進(jìn)行銀行安全保障體系的建立。金融系統(tǒng)（銀行、保險(xiǎn)、證券）是國(guó)家政策要求實(shí)施安全等級(jí)保護(hù)的11 大類(lèi)關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)系統(tǒng)。 第一百四十七條本辦法由本行負(fù)責(zé)制定，解釋。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)主管領(lǐng)導(dǎo)。安全檢查方式可以是自查、檢查、抽查或上級(jí)檢查多種方式。第一百二十九條本行定期組織應(yīng)急預(yù)案演練，指定專(zhuān)人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。必要時(shí)啟動(dòng)相關(guān)應(yīng)急預(yù)案。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。 第四節(jié)口令密碼 第一百零三條信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略。 第九十七條數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第八十七條信息科技部定期檢查各類(lèi)信息安全專(zhuān)用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。 第七十三條嚴(yán)格用戶(hù)和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶(hù)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限。 （二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部 室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門(mén)。 第六十四條信息系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。 第八章信息系統(tǒng)安全管理 第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信