【正文】 信息資產(chǎn)進(jìn)行分類分級，并建立相應(yīng)的標(biāo)識和處理制度。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。 （三）負(fù)責(zé)組織開展本行信息安全檢查工作。第十二條信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)。 第六條各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員，配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作，具體負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí)。銀行信息安全管理辦法 xx銀行 信息安全管理辦法 第一章總則 第一條為加強(qiáng)xx銀行（下稱“本行”）信息安全管理，防范信息技術(shù)風(fēng)險，保障本行計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。第七條本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系，及時報告各類信息安全事件并獲取專業(yè)支持。 第十三條安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作： （一）組織落實(shí)上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。第二節(jié)技術(shù)支持人員 第十五條本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。第三節(jié)一般計算機(jī)用戶 第十八條本規(guī)定所稱一般計算機(jī)用戶是指使用計算機(jī)設(shè)備的所有人員。第二十二條依照信息資產(chǎn)的分類分級采取不同的安全保護(hù)措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。 第二十八條建立機(jī)房定期維修保養(yǎng)制度。 第三十三條所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。第四十四條嚴(yán)格網(wǎng)絡(luò)變更管理。 第三節(jié)接入國際互聯(lián)網(wǎng)管理 第四十七條信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來自互聯(lián)網(wǎng)的威脅。第七章訪問控制 第五十二條本行負(fù)責(zé)建立訪問控制制度，對信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進(jìn)行控制。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實(shí)用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進(jìn)行未授權(quán)訪問； （三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。 第六十二條信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。 第三節(jié)信息系統(tǒng)運(yùn)行 第六十九條信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。 第七十二條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。第八十五條安全專用產(chǎn)品有下列情形之一的，取消其準(zhǔn)入資格： （一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測的； （二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的； （三）不能提供良好售后服務(wù)的； （四）國家有關(guān)部門取消其銷售資格的。第二節(jié)存儲介質(zhì) 第九十一條建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。 第九十五條介質(zhì)管理實(shí)施細(xì)則詳見《xx銀行介質(zhì)管理規(guī)范》。恢復(fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。 第一百零六條應(yīng)根據(jù)實(shí)際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。第十三章事件報告、災(zāi)難備份與應(yīng)急管理第一節(jié)事件報告 第一百二十一條信息安全事件按照信息安全事件報告流程進(jìn)行報告，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件，應(yīng)上報告計算機(jī)安全領(lǐng)導(dǎo)小組。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。 （七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。 第一百三十五條本行各部室要及時預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時協(xié)調(diào)解決，并報上一級相關(guān)部門。第三節(jié)安全評估 第一百四十條安全評估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。第一百四十五條本行各部室及人員應(yīng)積極支持與配合上級審計部門或外部審計機(jī)構(gòu)開展的信息安全審計。 第一百四十七條本辦法由本行負(fù)責(zé)制定，解釋。評估結(jié)束后，形成評估報告，提出整改意見報主管領(lǐng)導(dǎo)。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。第一百二十九條本行定期組織應(yīng)急預(yù)案演練，指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。必要時啟動相關(guān)應(yīng)急預(yù)案。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。 第四節(jié)口令密碼 第一百零三條信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略。 第九十七條數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不