【正文】 資質(zhì)審查與選型購(gòu)臵第八十二條 本規(guī)定所稱信息安全專用產(chǎn)品，是指本行安裝使用的專用安全軟件、硬件產(chǎn)品。第四節(jié) 信息系統(tǒng)廢止第七十五條 廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前，應(yīng)根據(jù)其安全級(jí)別，進(jìn)行消磁或安全格式化，以避免信息泄露。必要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員，不得在程序代碼中植入后門和惡意代碼程序。第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。經(jīng)審批后連接國(guó)際互聯(lián)網(wǎng) 的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡(jiǎn)科技部提出書面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò) 安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第三十七條 未經(jīng)允許，嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動(dòng)。第三十條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落實(shí)情況，并保留相應(yīng)的審核記錄和審核結(jié)果。第二十五條 本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體實(shí)施和落實(shí)。（三）不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件。（三）主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全—3— 隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處臵。（四）統(tǒng)計(jì)分析和協(xié)調(diào)處臵信息安全事件。日常員工信息安全行為準(zhǔn)則參見《XX銀行員工信息安全手冊(cè)》。按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用 誰負(fù)責(zé)”的原則，逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任。第四條 本辦法適用于本行。第一節(jié) 信息安全管理人員第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。（五）定期組織信息安全宣傳教育活動(dòng)，開展信息安全檢查、評(píng)估與培訓(xùn)工作。（四）嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。（四）未經(jīng)信息安全管理人員檢測(cè)和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)；不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。第二十六條 建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。第二節(jié) 重要區(qū)域安全管理第三十一條 本章節(jié)所指重要區(qū)域?yàn)椋罕拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。第六章 網(wǎng)絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理第三十八條 本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、IP 地址和域名等）分配。—7— 第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能。第四十六條 信息安全管理人員負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。第五十條 曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，經(jīng)安全檢測(cè)后方能接入。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代—9— 崗、兼崗。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部室提出的安全需求。第六十六條 信息系統(tǒng)開發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)—11— 境中進(jìn)行。第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。第七十六條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。本規(guī)定所稱信息安全服 務(wù)，是指本行向社會(huì)購(gòu)買的專業(yè)化安全服務(wù)。第十一章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié) 技術(shù)文檔第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。第九十三條 加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備（Ｕ盤、軟盤、移動(dòng)硬盤等）的使用管理。日志文件應(yīng)至少保留一年，妥善保管。第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。— —18 第一百一十條 應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并設(shè)臵遇緊急情況下密鑰報(bào)廢、銷毀機(jī)制。第一百一十六條 第三方訪問控制實(shí)施細(xì)則詳見《XX銀行第三方安全管理規(guī)定》。第十三章 事件報(bào)告、災(zāi)難備份與應(yīng)急管理第一節(jié) 事件報(bào)告第一百二十一條 信息安全事件按照信息安全事件報(bào)告流程進(jìn)行報(bào)告，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件，應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。（七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。第一百三十五條 本行各部室要及時(shí)預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)相關(guān)部門。第三節(jié) 安全評(píng)估第一百四十條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。第一百四十五條 本行各部室及人員應(yīng)積極支持與配合上級(jí)審計(jì)部門或外部審計(jì)機(jī)構(gòu)開展的信息安全審計(jì)。信息中心應(yīng)在接到人力資源部門的員工職位變動(dòng)或離職的通知后，根據(jù)具體情況及時(shí)調(diào)整相應(yīng)的帳戶信息。第八條 特權(quán)帳號(hào)應(yīng)由專人管理和使用，責(zé)任到人。第十二條 應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫的自動(dòng)日志記錄應(yīng)完整保留，以便對(duì)其使用情況進(jìn)行檢查和審計(jì)。第十八條 信息系統(tǒng)受到非法攻擊或發(fā)生重大事故后，信息中心應(yīng)對(duì)系統(tǒng)的安全性重新進(jìn)行全面的評(píng)估，制訂相應(yīng)的整改措施并落實(shí)執(zhí)行。第五條 各支行安全保衛(wèi)工作在行長(zhǎng)領(lǐng)導(dǎo)下工作，接受本行安全保衛(wèi)部門及監(jiān)管部門、公安機(jī)關(guān)指導(dǎo)，對(duì)行長(zhǎng)負(fù)責(zé)。工作人員應(yīng)當(dāng)嚴(yán)格履行崗位職責(zé)，認(rèn)真執(zhí)行規(guī)章制度和操作規(guī)程，確保本崗位工作安全。第十七條 安全防范設(shè)施建設(shè)應(yīng)以防盜竊、防搶劫、防破壞、防治安災(zāi)害事故為目的。第二十三條 檢查方式：安全保衛(wèi)檢查以普查與抽查、自查與互查、白天查與晚上查、實(shí)地查與電話查、定期查與不定期查相結(jié)合，采取聽（匯報(bào)）、看（現(xiàn)狀）、問（情況）、查（實(shí)況）、評(píng)（反饋意見）等檢查方法。對(duì)所受理的案件經(jīng)查證不－ 8 －屬于安全保衛(wèi)部管轄的，應(yīng)及時(shí)移交相關(guān)部門。安全獎(jiǎng)勵(lì)的管理機(jī)構(gòu)：安全保衛(wèi)領(lǐng)導(dǎo)小組。罰款金額在1000元以上的，由安全保衛(wèi)部提出建議，報(bào)安全保衛(wèi)領(lǐng)導(dǎo)小組審查；－ 11 －處罰方式為行政處罰的由安全保衛(wèi)部提出建議，報(bào)安全保衛(wèi)領(lǐng)導(dǎo)小組審議，交本行行長(zhǎng)辦公會(huì)議決定；任何支行和員工不得干預(yù)或拒絕執(zhí)行處罰決定。第八章 附則第三十八條 本制度由本行負(fù)責(zé)解釋、修訂。外網(wǎng)訪問、系統(tǒng)更新補(bǔ)丁、防火墻檢查、機(jī)房電腦USB端口的禁用等檢查工作要求：對(duì)海口職場(chǎng)電腦外網(wǎng)訪問進(jìn)行嚴(yán)格審查，無關(guān)于工作的外網(wǎng)一律禁止訪問，對(duì)于網(wǎng)盤、視頻、音樂、非工作用的在線聊天軟件等進(jìn)行屏蔽。專人負(fù)責(zé)，每個(gè)區(qū)域由團(tuán)隊(duì)長(zhǎng)進(jìn)行管理。在崗期間不得將工作資料、客戶信息等紙質(zhì)文件、電子文檔等在未經(jīng)項(xiàng)目經(jīng)理允許的情況下帶離公司，不得將涉及公司及客戶信息安全的資料發(fā)到自己的社交媒體如、空間、微信群、微信朋友圈、電子郵箱等。如未按要求執(zhí)行則承擔(dān)相應(yīng)考核。 不要隨便安裝或使用不明來源的軟件或程序。對(duì)于新的軟件、檔案或電子郵件，應(yīng)選用殺毒軟件掃描，檢查是否帶有病毒、有害的程序編碼，進(jìn)行適當(dāng)?shù)奶幚砗蟛趴砷_啟使用。,增強(qiáng)保密觀念。4..對(duì)員工依照公司規(guī)定，保守公司秘密，發(fā)現(xiàn)他人泄密，立即采取補(bǔ)救措施，避免或減輕損害后果；對(duì)泄密或者非法獲取公司秘密的行為及時(shí)檢舉投訴的，按照規(guī)定給予獎(jiǎng)勵(lì)。在適當(dāng)?shù)那闆r下，利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名。不要隨意更改計(jì)算機(jī)參數(shù)等。二、公司的保密制度 文件、傳真郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理 凡涉及公司內(nèi)部秘密的文件資料的報(bào)廢處理,必須首先碎紙,不準(zhǔn)未經(jīng)碎紙丟棄處理 公司員工持有的各種文件、資料、電子文檔（磁碟，光盤等），當(dāng)離開辦公室外出時(shí),須存放入文件柜或抽屜上鎖，不準(zhǔn)隨意亂放，未經(jīng)批準(zhǔn)，不能復(fù)制抄錄或攜帶外出 未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供公司的任何保密資料 未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向提供客戶的任何資料 妥善保管好各種財(cái)務(wù)賬冊(cè)、公司證照、印章 三、電腦保密措施 不要將機(jī)密文件及可能是受保護(hù)文件隨意存放，文件的存放在分類分目錄存放于指定位置。實(shí)施時(shí)間：新員工入崗前完成，崗中每月業(yè)務(wù)考試中進(jìn)行考核，項(xiàng)目主管、團(tuán)隊(duì)長(zhǎng)不定期檢查座席的空間、朋友圈等。檢查完畢后團(tuán)隊(duì)長(zhǎng)填寫《信息安全檢查表》，并簽名。實(shí)施時(shí)間：每周定期檢查，并做好技術(shù)維護(hù)日志登記工作。第四篇：項(xiàng)目信息安全管理辦法關(guān)于**項(xiàng)目信息安全管理辦法為了規(guī)范及加強(qiáng)**項(xiàng)目的信息安全管理工作，特制定,并嚴(yán)格按要求執(zhí)行,具體如下:一、硬件設(shè)備及軟件信息安全管理按照**客服供應(yīng)商硬件及軟件設(shè)備要求標(biāo)準(zhǔn)進(jìn)行配置，確保符合標(biāo)準(zhǔn)。第三十五條 本行及各支行主要領(lǐng)導(dǎo)人和有關(guān)部門負(fù)責(zé)人對(duì)以下金融案件、重大安全事故的防范、發(fā)生，依據(jù)法律、行政法規(guī)和本制度的條款有失職、瀆職情形或者負(fù)有領(lǐng)導(dǎo)責(zé)任的，依照本規(guī)定給予行政處分；構(gòu)成犯罪的，依照有關(guān)規(guī)定，移交司法部門追究刑事責(zé)任：（一）重大火災(zāi)事故造成人員傷殘死亡或國(guó)家財(cái)產(chǎn)損失嚴(yán)重的；（二）重大交通安全事故造成人員傷殘死亡或財(cái)產(chǎn)損失嚴(yán)重的；（三）由于本行責(zé)任人原因?qū)е轮卮蠼ㄖ|(zhì)量安全事故；（四）由于辦公、營(yíng)業(yè)場(chǎng)所未按規(guī)定安裝安全防衛(wèi)設(shè)施，值守人員不到位造成國(guó)家財(cái)產(chǎn)損失或人員傷殘死亡的；（五）由于未按規(guī)定使用專用設(shè)備和違反規(guī)定造成職工傷殘死亡或資金損失嚴(yán)重的；（六）其他重大安全事故。－ 10 －（三）獎(jiǎng)勵(lì)的方式：表揚(yáng)、物質(zhì)獎(jiǎng)勵(lì)。第三十條 案件、事故管理實(shí)行一案一報(bào)，一案一檔，專人負(fù)責(zé)，領(lǐng)導(dǎo)簽發(fā)的報(bào)告制度。第二十五條 安全檢查應(yīng)認(rèn)真負(fù)責(zé)不走過場(chǎng)，檢查人員和被檢查單位負(fù)責(zé)人應(yīng)當(dāng)在安全檢查登記簿上簽字，對(duì)檢查發(fā)現(xiàn)的問題應(yīng)當(dāng)提出整改意見或建議，對(duì)存在嚴(yán)重治安隱患的單位應(yīng)當(dāng)下達(dá)《隱患整改通知書》，責(zé)令限期改正。第十八條 各營(yíng)業(yè)網(wǎng)點(diǎn)應(yīng)當(dāng)依據(jù)《銀行營(yíng)業(yè)場(chǎng)所安全防