【正文】 范工程設(shè)計(jì)規(guī)范》和《安全防范工程技術(shù)規(guī)范》(GB 503482004)、《銀行營業(yè)場所風(fēng)險(xiǎn)等級和防護(hù)級別的規(guī)定》（GA38－2004）的標(biāo)準(zhǔn)，以及其他有關(guān)規(guī)定，設(shè)計(jì)、建造、配置安全防范設(shè)施。第十三條 安全保衛(wèi)部應(yīng)按國家規(guī)定，審定要害部位，建立要害部位檔案，對要害部位的安全情況經(jīng)常進(jìn)行檢查，及時(shí)消除－ 5 －隱患。第七條 本行行長及各支行行長為本行安全保衛(wèi)工作第一責(zé)任人，對本行安全保衛(wèi)工作負(fù)全面責(zé)任。第九章 附 則第二十條 本辦法由電廠行政部信息中心負(fù)責(zé)解釋。第七章 數(shù)據(jù)安全與保護(hù)第十四條 重要數(shù)據(jù)的安全保護(hù)工作由電廠信息中心負(fù)責(zé)，按照數(shù)據(jù)重要性的分類應(yīng)采用不同的備份和管理的策略。特權(quán)帳號使用人長期離開時(shí)，應(yīng)將特權(quán)帳號交給信息中心負(fù)責(zé)人。必要時(shí)，還需要檢查此員工管理的信息系統(tǒng)，以確認(rèn)系統(tǒng)安全、正常，沒有遭受蓄意破壞。第一百四十七條 本辦法由本行負(fù)責(zé)制定，解釋。評估結(jié)束后，形成評估報(bào)告，提出整改意見報(bào)主管領(lǐng)導(dǎo)。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。第一百二十九條 本行定期組織應(yīng)急預(yù)案演練，指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及 演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。必要時(shí)啟動(dòng)相關(guān)應(yīng)急預(yù)案。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。第十二章 第三方訪問和外包服務(wù)安全管理第一節(jié) 第三方訪問控制第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單位和個(gè)人物理訪問本行計(jì)算機(jī)房，或者通過網(wǎng)絡(luò)連 接邏輯訪問本行數(shù)據(jù)庫和信息系統(tǒng)等活動(dòng)。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。第九十四條 建立存儲介質(zhì)銷毀機(jī)制，對載有敏感信息的存儲介質(zhì)應(yīng)按照其安全等級，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。第八十四條 安全專用產(chǎn)品在準(zhǔn)入審核時(shí)，供應(yīng)商應(yīng)提出申 — —14請并提供下列資料：（一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料；（二）產(chǎn)品型號、產(chǎn)地、功能及報(bào)價(jià)；（三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說明書；（四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）；（五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明?！?3—第九章 客戶端安全管理第七十七條 本辦法所稱客戶端是指本行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終端、柜面 終端、單機(jī)運(yùn)行（?。┙K端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)設(shè)備等。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，避免引發(fā)安全漏洞。（三）運(yùn)行平臺的安全策略與設(shè)計(jì)。第五十七條 對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。第五十一條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測，審 核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：（一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。第三十二條 重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配臵自動(dòng)監(jiān)控報(bào)警功能。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。細(xì)則參見《XX銀行信息資產(chǎn)分類分級管理規(guī)定》。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。（二）負(fù)責(zé)提出本行信息安全保障需求。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。第二章 組織保障第五條 常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。第二條 本辦法所稱信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。第八條 本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系，及時(shí)跟蹤行業(yè)趨勢，學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評估方法。—2 —（二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)。第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：（一）不得對外泄漏或引用工作中觸及的任何敏感信息。第十九條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)：（一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺接受本部室信息安全員的指導(dǎo)與管理。第二十三條 依據(jù)《XX銀行介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。第三十五條 本行信息中心樓層設(shè)立門禁，加強(qiáng)人員進(jìn)出管理。（四）能有效防止計(jì)算機(jī)病毒對網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行，同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。所有接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國際互聯(lián)網(wǎng)。第五十四條 信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對其訪問控制權(quán)限負(fù)責(zé)。第八章 信息系統(tǒng)安全管理第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。（二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門。第七十三條 嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。第八十條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第九十七條 數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段?！?7—第四節(jié) 口令密碼第一百零三條 信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略。非涉密網(wǎng)絡(luò)和信息 系統(tǒng)應(yīng)依據(jù)本行實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。未經(jīng)授權(quán)的任何第三方訪問均視為非法入侵行為。第一百一十九條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，本行應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。第一百二十五條 本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。（四）各類危機(jī)處臵流程。第十四章 安全監(jiān)測、檢查、評估與審計(jì)第一百三十二條 本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。第一百四十二條 應(yīng)妥善保管信息安全評估報(bào)告，未經(jīng)授權(quán)不得對外透露評估信息。第二條 本辦法規(guī)定了信息安全管理的職責(zé)、內(nèi)容和方法，本辦法適用于電廠各部門。（三）有效期：口令應(yīng)每季度更換。第十條 特權(quán)帳號使用人在進(jìn)行操作時(shí)，不得擅自離開；操作完成后，應(yīng)立即退出登錄，以防賬號被竊用。上述資料應(yīng)存放在防火、防潮并且上鎖的資料柜中，借出時(shí)應(yīng)登記，避免遺失。第二條 本行安全保衛(wèi)工作，實(shí)行“誰主管、誰負(fù)責(zé)”、“預(yù)防為主，群防群治、綜合治理，人員防范與技術(shù)防范相結(jié)合”的原則。對發(fā)生重大責(zé)任性刑事案件和重大治安災(zāi)害事故的單位，提出“一票否決”的意見。第十六條 安全防范設(shè)施是保證本行員工人身和資產(chǎn)不受侵害的物質(zhì)設(shè)施和技術(shù)裝備。第二十一條 本行安全保衛(wèi)檔案管理分為綜合文書類、事故案件類、護(hù)衛(wèi)人員類、安全設(shè)施類四類檔案。第二十七條 發(fā)生刑事案件或治安災(zāi)害事故的營業(yè)網(wǎng)點(diǎn)及部門應(yīng)當(dāng)立即向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案，并在規(guī)定的時(shí)限內(nèi)向本行上報(bào)。（一）本行、各支行成立安全保衛(wèi)領(lǐng)導(dǎo)小組負(fù)責(zé)本行安全保衛(wèi)工作的檢查、自查的考核；（二）安全保衛(wèi)工作實(shí)行季度量化指標(biāo)百分制考核，年終平均結(jié)果，由本行統(tǒng)一標(biāo)準(zhǔn)；（三）各支行在安全保衛(wèi)工作中有突出貢獻(xiàn)的，由安全保衛(wèi)部門提出申請，報(bào)安全保衛(wèi)領(lǐng)導(dǎo)小組審批，在安全保衛(wèi)工作考核結(jié)果中追加分?jǐn)?shù)；（四）安全保衛(wèi)工作考核結(jié)果與各支行行長績效工資掛鉤。第三十四條 安全保衛(wèi)工作處罰辦法（一）處罰的對象忽視安全保衛(wèi)工作，不履行安全保衛(wèi)職責(zé)，按照安全保衛(wèi)責(zé)任書內(nèi)容應(yīng)當(dāng)受到處罰的各級責(zé)任人；安全保衛(wèi)工作考核成績較差，排名落后的支行；在安全檢查中發(fā)現(xiàn)的違章違紀(jì)的相關(guān)責(zé)任人員；對安全隱患熟視無睹，漠不關(guān)心，對違章違紀(jì)現(xiàn)象聽之任之，不聞不問的相關(guān)責(zé)任人員；其它應(yīng)當(dāng)追究責(zé)任予以處罰的人員。構(gòu)成犯罪的依照有關(guān)規(guī)定移送司法機(jī)關(guān)追究刑事責(zé)任。對象：**項(xiàng)目組座席、管理使用的電腦 實(shí)施時(shí)間：隨時(shí)檢查，每月排查登記一次違規(guī)處罰：未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。如有出現(xiàn)擅自開通外網(wǎng)、解禁USB端口等出現(xiàn)危害信息安全等行為的，一律按500元/次進(jìn)行考核，嚴(yán)重的做辭退處理。二、座席入職及職場信息安全管理座席信息安全保密工作要求：座席上崗前100%簽訂保密協(xié)議，并通過信息安全制度考試后方可上崗。實(shí)施時(shí)間：每日班前會進(jìn)行檢查，每日執(zhí)行違規(guī)處罰：如有違例扣罰當(dāng)事人500元/次，并承擔(dān)由此造成的經(jīng)濟(jì)損失，如涉及法律相關(guān)問題，應(yīng)配合公司應(yīng)訴并承擔(dān)相應(yīng)法律責(zé)任。 在一些郵件中的附件中，如果有出現(xiàn)一些附加名是：EXE，COM 等可執(zhí)行的附件或其它可疑附件時(shí)，請先用殺毒軟件詳細(xì)查殺后再使用，或請網(wǎng)絡(luò)管理人員處理。 需要至少每個(gè)季度進(jìn)行密碼更換，并由 IT 負(fù)責(zé)人進(jìn)行監(jiān)督實(shí)施，做好《密碼更新記錄》表，如發(fā)現(xiàn)密碼已泄漏，就盡快更換。不要隨意將公司或個(gè)人的文件發(fā)送給他人，或給他人查看或使