【正文】 息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。第五十四條信息系統(tǒng)用戶設臵本人的用戶和密碼，并對其訪問控制權限負責。所有接入內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更，應提前通知相關業(yè)務部門并安排在非交易時間或交易較少時間進行，同時做好配臵參數(shù)的備份和應急恢復準備。 （四）能有效防止計算機病毒對網(wǎng)絡系統(tǒng)的侵擾和破壞。第三十五條本行信息中心樓層設立門禁，加強人員進出管理。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。 第二十三條依據(jù)《 XX 銀行介質(zhì)管理規(guī)范》加強介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。第十九條一般計算機用戶應承擔如下安全義務： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部室信息安全員的指導與管理。 第十六條本行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中，應承擔如下安全義務： （一）不得對外泄漏或引用工作中觸及的任何敏感信息。 （二）審核信息化建設項目中的安全方案，組織實施信息安全保障項目建設。 第八條本行應建立與外部信息安全專業(yè)機構、專家的聯(lián)系，及時跟蹤行業(yè)趨勢，學習各類先進的標準和評估方法。 第二條本辦法所稱信息安全管理，是指在本行信息化項目立項、建設、運行、維護及廢止等過程中保障信息及其相關系統(tǒng)、環(huán)境、網(wǎng)絡和操作安全的一系列管理活動。五是試點工作以來，我行信息安全管理水平不斷提高，沒有發(fā)生信息安全事故，促進各項業(yè)務工作平安、持續(xù)發(fā)展。 五是夯實工作基礎，強化監(jiān)督檢查。 二是建立工作制度，形成長效機制。經(jīng)過我行全體干部員工的共同努力和扎實工作，完成了試點工作，取得良好成效，促進了信息安全規(guī)范化管理深入發(fā)展。五是試點工作以來，我行信息安全管理水平不斷提高，沒有發(fā)生信息安全事故，促進各項業(yè)務 工作平安、持續(xù)發(fā)展。 五是夯實工作基礎，強化監(jiān)督檢查。 二是建立工作制度，形成長效機制。經(jīng)過我行全體干部員工的共同努力和扎實工作，完成了試點工作，取得良好成效，促進了信息安全規(guī)范化管理深入發(fā)展。我行加強對計算機信息安全規(guī)范化管理試點工作的領導，把試點工作列入支行重要議事日程，做到與其他業(yè)務工作同部署、同落實、同檢查、同考核。同時和每位員工簽訂信息安全承諾書，確保信守承諾，實現(xiàn)計算機信息安全規(guī)范化管理試點的工作目標。二是建立系列制度和工作機制，使試點工作形成制度化、標準化、規(guī)范化的發(fā)展態(tài)勢，計算機信息安全規(guī)范化管理上了一個新的臺階。 我行開展計算機信息安全規(guī)范化管理試點工作， 取得了優(yōu)異成績。我行加強對計算機信息安全規(guī)范化管理試點工作的領導，把試點工作列入支行重要議事日程，做到與其他業(yè)務工作同部署、同落實、同檢查、同考核。同時和每位員工簽訂信息安全承諾書，確保信守承諾，實現(xiàn)計算機信息安全規(guī)范化管理試點的工作目標。二是建立系列制度和工作機制，使試點工作形成制度化、標準化、規(guī)范化的發(fā)展態(tài)勢，計算機信息安全規(guī)范化管理上了一個新的臺階。 我行開展計算機信息安全規(guī)范化管理試點工作，取得了優(yōu)異成績。 第二章組織保障 第五條常設由本行領導、各部室負責人及信息安全員組成的信息安全領導小組，負責本行信息安全管理工作，決策信息安全重大事宜。凡是因違反國家法律法規(guī)和本行有關規(guī) 定受到過處罰或處分的人員，不得從事此項工作。 （二）負責提出本行信息安全保障需求。提供技術服務期間，嚴格遵守本行相關安全規(guī)定與操作規(guī)程。細則參見《 XX 銀行信息資產(chǎn)分類分級管理規(guī)定》。機房管理員應經(jīng)過相關專業(yè)培訓，熟知機房各類設備的分布和操作要領，定期巡查機房，發(fā)現(xiàn)問題及時報告。 第三十二條重要區(qū)域應嚴格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配臵自動監(jiān)控報警功能。 第四十條本行網(wǎng)絡建設和改造應符合如下基本安全要求： （一）網(wǎng)絡規(guī)劃應有完整的安全策略，保障網(wǎng)絡傳輸與應用安 全。任何設備接入網(wǎng)絡前，接入方案、設備的安全性等應經(jīng)過網(wǎng)絡管理人員的審核與檢測，審核（檢測）通過后方可接入并分配相應的網(wǎng)絡資源。未經(jīng)授權，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡。 第五十一條使用國際互聯(lián)網(wǎng)的所有用戶應 遵守國家有關法律法規(guī)和本行相關管理規(guī)定，不得從事任何違法違規(guī)活動。 第五十七條對應用系統(tǒng)和信息的邏輯訪問應只限于已授權的用戶。 （三）運行平臺的安全策略與設計。 第六十八條系統(tǒng)上線前應開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。重要業(yè)務系統(tǒng)的系統(tǒng)操作要求雙人在場。 第八十四條安全專用產(chǎn)品在準入審核時，供應商應提出申請并提供下列資料： （一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料； （二）產(chǎn)品型號、產(chǎn)地、功能及報價； （三）產(chǎn)品采用的技術標準，產(chǎn)品功能及性能的說明書； （四）生產(chǎn)企業(yè)概況（包括人員、設備、生產(chǎn)條件、隸屬關系等）； （五）供應商的質(zhì)量保證體系、售后服務措施等情況的說明。未經(jīng)本行領導批準，任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。 第九十四條建立存儲介質(zhì)銷毀機制，對載有敏感信息的存儲介質(zhì)應按照 其安全等級，采用安全格式化、消磁等不可復原的方式進行處臵并做好記錄。第一百零一條所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十條外包服務管理詳見《 XX銀行 IT 外包管理暫行辦法》。 第一百二十六條本行業(yè)務部室和本行協(xié)同建立健全災難恢復計劃，定期開展災難恢復培訓。 （六）事后處理流程。第一節(jié)安全監(jiān)測 第一百三十四條本行信息中心負責整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。所有檢查報告和資料應作為本行內(nèi)部材料妥善保管，不得向外界泄漏。第一百四十四條應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應完整保留相關日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務系統(tǒng)日志應根據(jù)需要確定保留時間。同時，經(jīng)營的集約化和數(shù)據(jù)的集中化趨勢一方面順應了銀行業(yè)務發(fā)展的要 求，避免了業(yè)務分散導致的業(yè)務風險，但是另一方面不可避免的導致了信息安全風險的集中。 經(jīng)過對信息安全趨勢的分析，我們認為在當前新的安全漏洞發(fā)現(xiàn)頻率日益加快、安全攻擊事件大幅度增加的狀況下，局限于傳統(tǒng)的被動（ Reactive）防范策略是非常危險的。同樣，在銀行的信息安全領域也需要一種成熟的風險管理思路。 冠群金辰公司的銀行業(yè)信息安全風險管理方案主要分為下面幾個部分： 第一，參照相關法律法規(guī)、金融行業(yè)相關規(guī)定、國內(nèi)外信息安全標準等，為用戶建立一套信息安全管理系統(tǒng)和業(yè)務持續(xù)性策略； 第二，根據(jù)業(yè)務系統(tǒng)的需要，進行安全技術層面的實施，其中包括對銀行現(xiàn)有設備和系統(tǒng)的加固、自有安全產(chǎn)品配置和實施、第三方安全產(chǎn)品配置和實施以及根據(jù)實際需求進行的專有安全系統(tǒng) 開發(fā)和實施等。同城異地備份甚至不同城市之間的災備中心都是需要考慮的。冠群金辰公司的 軒轅防火墻是集防火墻、 VPN、流量管理等功能于一體的網(wǎng)絡安全設備。冠群金辰公司的軒轅防火墻內(nèi)置了基于 IPSEC 協(xié)議的 VPN 功能，能夠方便地在網(wǎng)絡邊界處實現(xiàn)數(shù)據(jù)的加密傳輸，方便了銀行不同分支部門之間的安全通信和遠程辦公。 安全級別提升和分散授權原則在操作系統(tǒng)級的實施 操作系統(tǒng)的安全是銀行信息系統(tǒng)安全的重要方面。這樣，所有人員的動作都能夠被互相監(jiān)督，大大降低了內(nèi)部人員作案的可能性。通過建立 PKI/CA 認證系統(tǒng)，可以確保各種人員、資源的身份，防止網(wǎng)絡欺詐行為和交易抵賴行為。 第三條本行信息安全工作實行統(tǒng)一領導和分級管理 ，由分管領導負責。 第三章人員管理 第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應的信息安全保障職責。 （三）定期監(jiān)督網(wǎng)絡和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改意見。 （二）嚴格權限訪問，未經(jīng)業(yè)務主管部室授權不得擅自改變系統(tǒng)設臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 （二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡配臵以屏蔽信息安全防護。 第五章物理環(huán)境安全管理第一節(jié)機房安全管理 第二十四條本規(guī)定所稱機房是指信息系統(tǒng)主要設備放臵、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第二十九條依據(jù)《浙江省農(nóng)村合作金融機構機房管理指引》進一步規(guī)范機房建設、改造和驗收過程，落實機房管理。 第三十六條本行信息中心員工應在公共接待區(qū)接待外來人 — 6—員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第二節(jié)網(wǎng)絡運行安全管理 第四十一條信息科技部應建立健全網(wǎng)絡安全運行方面的制度，配備專職網(wǎng)絡管理員。 第四十五條嚴格遠程訪問控制。 — 8— 第四十九條內(nèi)部網(wǎng)絡計算機嚴禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應通過信息安全工作小組審核并上報相關領導審批，確保安裝有指定的防病毒軟件和最新補丁程序。重要信息系統(tǒng)操作人員的密碼應由系統(tǒng)管理員和業(yè)務部門負責人分段設立。 —— 10 第六十條信息系統(tǒng)安全管理實施細則詳見《 XX 銀行計算機信息系統(tǒng)安全管理規(guī)定》。外部開發(fā)單位還應與本行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 （三）信息科技部應提出。 第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán) — 11— 境中進行。項目技術方案應包括以下基本安全內(nèi)容： （一）業(yè)務需求部室提出的安全需求。未經(jīng)主管領導批準，不得代 — 9— 崗、兼崗。 第五十條曾接入國際互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡，確有必要接入內(nèi)部網(wǎng)絡的應通過安全工作小組審核并上報相關領導審批，經(jīng)安全檢測后方能接入。 第四十六條信息安全管理人員負責定期對網(wǎng)絡進行安全檢測、掃描和評估。 — 7— 第四十二條網(wǎng)絡管理員應定期參加網(wǎng)絡安全技術培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能。 第六章網(wǎng)絡安全管理 第一節(jié)網(wǎng)絡規(guī)劃、建設中的安全管理 第三十八條本行網(wǎng)絡信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配臵和 網(wǎng)絡資源（網(wǎng)絡設備、通訊線路、 IP 地址和域名等）分配。 第二節(jié)重要區(qū)域安全管理 第三十一條本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。 第二十六條建立機房設施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ UPS）、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控。 （四）未經(jīng)信息安全管理人員檢測和授權，不得將內(nèi)部網(wǎng)絡的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡或私自拷貝任何信息。 （四）嚴格操作管理、測試管理、應急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 （五）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。 第一節(jié)信息安全管理人員 第十條本辦法所指信息安全管理人員包括本行信息安全領導小組和信息安全工作小組成員。 第四條本辦法適用于本行。冠群金辰公司作為國內(nèi)防病毒軟件廠商的先驅(qū)，其 KILL 防病毒系統(tǒng)已經(jīng)在全國各行業(yè)廣泛應用，尤其是網(wǎng)絡防病毒系統(tǒng)更是國內(nèi)廠商的佼佼者。這種防范措施對于 Windows平臺和 UNIX、 Linux平臺都適用，并且不依賴特征庫的升級即可完成防范功能。在人民銀行發(fā)布的《銀行計算機信息系統(tǒng)安全技術規(guī)范》中也明確了這一點。 網(wǎng)絡入侵行為和蠕蟲病毒的傳播監(jiān)控 網(wǎng)絡攻擊的表現(xiàn)形式主要有兩種：第一，人為入侵（包括內(nèi)部和外部）；第二，蠕蟲和病毒的網(wǎng)絡滲透和傳播。軒轅防火墻產(chǎn)品能夠滿足銀行 系統(tǒng)中大部分的網(wǎng)絡邏輯隔離要求。 網(wǎng)絡互連的隔離和網(wǎng)關病毒過濾 隨著銀行業(yè)務的發(fā)展，業(yè)務主機不可避免地需要和外部系統(tǒng)互聯(lián)。冠群金辰公司擁有一支持有 CCIE、 CISSP、BS7799LA、 CISP、 SCSA 等國際國內(nèi)認證的專業(yè)安全服務隊伍和專職的銀行業(yè)務顧問小組，提供基于整體和業(yè)務的安全服務。對于每一個銀行業(yè)務系統(tǒng)，比如柜臺業(yè)務、資金清算等 隨著時間的發(fā)展都可以分為不同的階段。脆弱性三維圖可以幫助客戶識別風險狀況，選擇采用適當有效的風險控制方法，達到成本和效益之間的平衡。我們必須在一個日趨開放的系統(tǒng)平臺上重新審視銀行的信息安全問題。第十五章附則 第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。評估開始前，應制定