【正文】 第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。 第五十五條凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡科技部提出書面申請，并采取相應(yīng)的安全防護(hù)措施。 第三十七條未經(jīng)允許，嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動。 第二十五條本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體實(shí)施和落實(shí)。 （三）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全 — 3— 隱患或故障及時報告本部室主管領(lǐng)導(dǎo)，并及時響應(yīng)、處臵。日常員工信息安全行為準(zhǔn)則參見《 XX 銀行員工信息安全手冊》。 一個統(tǒng)一的網(wǎng)絡(luò)防病毒體系是銀行信息安全中的重要組成部分。為了更加有效地避免金融犯罪，杜絕銀行內(nèi)部人員作案，銀行要求采用的操作系統(tǒng)具有相當(dāng)高的抗攻擊能力，有必要時需要采用 B1級別的安全操作系統(tǒng)，比如網(wǎng)上銀行主機(jī)和關(guān)鍵業(yè)務(wù)主機(jī)系統(tǒng)。它能通過 Web 瀏覽器或 CLI 及中央管理臺集中管理，并且支持透明模式。 第三，提供需求分析、風(fēng)險評估、安全審計、緊急響應(yīng)等覆蓋全系統(tǒng)生命周期的安全服務(wù)。我們按照風(fēng)險管理的 思路，提出了主動（ Proactive）防御策略，強(qiáng)調(diào)利用先進(jìn)的技術(shù)、產(chǎn)品，配合以有效的管理方法和運(yùn)維模式，避免入侵行為造成損害，并且有效防御新的安全漏洞造成的風(fēng)險。第一百四十五條本行各部室及人員 應(yīng)積極支持與配合上級審計部門或外部審計機(jī)構(gòu)開展的信息安全審計。 第一百三十五條本行各部室要 及時預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時協(xié)調(diào)解決，并報上一級相關(guān)部門。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。 第一百零六條應(yīng)根據(jù)實(shí)際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。 第九十五條介質(zhì)管理實(shí)施細(xì)則詳見《 XX 銀行介質(zhì)管理規(guī)范》。第八十五條安全專用產(chǎn)品有下列情 形之一的，取消其準(zhǔn)入資格： （一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測的； （二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的； （三）不能提供良好售后服務(wù)的； （四）國家有關(guān)部門取消其銷售資格的。 第三節(jié)信息系統(tǒng)運(yùn)行 第六十九條信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實(shí)用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進(jìn)行未授權(quán)訪問； （三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。 第三節(jié)接入國際互聯(lián)網(wǎng)管理 第四十七條信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來自互聯(lián)網(wǎng)的威脅。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料，并隨時提供調(diào)閱。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。第十二條信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)。今后，我行要加強(qiáng)學(xué)習(xí)，提高認(rèn)識，扎實(shí)工作，努力實(shí)踐，力爭取得更大成績，促進(jìn)我行計算機(jī)信息安全規(guī)范化管理工作上新的臺階，為金融事業(yè)健康、穩(wěn)定、平安發(fā)展作貢獻(xiàn)。 四是開展業(yè)務(wù)培訓(xùn)，提升員工素質(zhì)。今后，我行要加強(qiáng)學(xué)習(xí)，提高認(rèn)識，扎實(shí)工作，努力實(shí)踐，力爭取得更大成績，促進(jìn)我行計算機(jī)信息安全規(guī)范化管理工作上新的臺階，為金融事業(yè)健康、穩(wěn)定、平安發(fā)展作貢獻(xiàn)。 四是開展業(yè)務(wù)培訓(xùn)，提升員工素質(zhì)。銀行信息安全管理經(jīng)驗(yàn)（ 5 篇材料） 第一篇：銀行信息安全管理經(jīng)驗(yàn) 在上級人行的正確領(lǐng)導(dǎo)和統(tǒng)一部署下，我行按照中支《關(guān)于開展信息安全規(guī)范化管理試點(diǎn)的通知》文件精神，認(rèn)真、細(xì)致、扎實(shí)開展計算機(jī)信息安全規(guī)范化管理試點(diǎn)工作。我行采用自行培訓(xùn)和聘請外部專業(yè)人人士對員工進(jìn)行信息安全管理知識培訓(xùn)，使員工進(jìn)一步提升對信息安全管理重要性的認(rèn)識，自覺樹立信息安全意識，掌握信息安全管理知識，全面做好信息安全管理工作，達(dá)到標(biāo)準(zhǔn)化、規(guī)范化、專業(yè)化、程序化和系統(tǒng)化的要求。 第二篇：銀行信息安全管理經(jīng)驗(yàn) 在上級人行的正確領(lǐng)導(dǎo)和統(tǒng)一部署下，我行按照中支《關(guān)于開展信息安全規(guī)范化管理試點(diǎn)的通知》文件精神，認(rèn)真、細(xì)致、扎實(shí)開展計算機(jī)信息安全規(guī)范化管理試點(diǎn)工作。我行采用自行培訓(xùn)和聘請外部專業(yè)人人士對員工進(jìn)行信息安全管理知識培訓(xùn)，使員工進(jìn)一步提升對信息安全管理重要性的認(rèn)識，自覺樹立信息安全意識，掌握信息安全管理知識，全面做好信息安全管理工作，達(dá)到標(biāo)準(zhǔn) 化、規(guī)范化、專業(yè)化、程序化和系統(tǒng)化的要求。 第三篇：銀行信息安全管理辦法 XX 銀行 信息安全管理辦法 第一章總則 第一條為加強(qiáng) XX 銀行（下稱“本行”）信息安全管理，防范信息技術(shù)風(fēng)險，保障本行計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。 第十三條安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作： （一）組織落實(shí)上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。第三節(jié)一般計算機(jī)用戶 第十八條本規(guī)定所稱一般計算機(jī)用戶是指使用計算機(jī)設(shè)備的所有人員。 第二十八條建立機(jī)房定期維修保養(yǎng)制度。 （三）針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。 第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實(shí)行安全隔離。 第五十八條訪問控制實(shí)施細(xì)則詳見《 XX 銀行信息系統(tǒng)訪問控制管理規(guī)定》。具體要求如下： （一）項(xiàng)目承建單位（部室）應(yīng)組織制定安全測試方案，進(jìn)行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。第二節(jié)使用管理 第八十六條掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。第三節(jié)數(shù)據(jù)安全 第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。 第二節(jié)外包服務(wù)管理 第一百一十七條本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。第三節(jié)應(yīng)急管理 第一百二十七條本行信息科技部負(fù)責(zé) 制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。第二節(jié)安全檢查 第一百三十六條本行安全檢查包括對本行本級的安全檢查和對下安全檢查。第十五章附則 第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。脆弱性三維圖可以幫助客戶識別風(fēng)險狀況，選擇采用適當(dāng)有效的風(fēng)險控制方法，達(dá)到成本和效益之間的平衡。冠群金辰公司擁有一支持有 CCIE、 CISSP、BS7799LA、 CISP、 SCSA 等國際國內(nèi)認(rèn)證的專業(yè)安全服務(wù)隊伍和專職的銀行業(yè)務(wù)顧問小組，提供基于整體和業(yè)務(wù)的安全服務(wù)。軒轅防火墻產(chǎn)品能夠滿足銀行 系統(tǒng)中大部分的網(wǎng)絡(luò)邏輯隔離要求。在人民銀行發(fā)布的《銀行計算機(jī)信息系統(tǒng)安全技術(shù)規(guī)范》中也明確了這一點(diǎn)。冠群金辰公司作為國內(nèi)防病毒軟件廠商的先驅(qū)，其 KILL 防病毒系統(tǒng)已經(jīng)在全國各行業(yè)廣泛應(yīng)用，尤其是網(wǎng)絡(luò)防病毒系統(tǒng)更是國內(nèi)廠商的佼佼者。 第一節(jié)信息安全管理人員 第十條本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。 （四）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 第二十六條建立機(jī)房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機(jī)房空調(diào)、消防、不間斷電源（ UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。 第六章網(wǎng)絡(luò)安全管理 第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理 第三十八條本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和 網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、 IP 地址和域名等）分配。 第四十六條信息安全管理人員負(fù)責(zé)定期對網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代 — 9— 崗、兼崗。 第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán) — 11— 境中進(jìn)行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。 第四十五條嚴(yán)格遠(yuǎn)程訪問控制。 第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來人 — 6—員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第五章物理環(huán)境安全管理第一節(jié)機(jī)房安全管理 第二十四條本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 （二）嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 第三章人員管理 第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。通過建立 PKI/CA 認(rèn)證系統(tǒng)，可以確保各種人員、資源的身份，防止網(wǎng)絡(luò)欺詐行為和交易抵賴行為。 安全級別提升和分散授權(quán)原則在操作系統(tǒng)級的實(shí)施 操作系統(tǒng)的安全是銀行信息系統(tǒng)安全的重要方面。冠群金辰公司的 軒轅防火墻是集防火墻、 VPN、流量管理等功能于一體的網(wǎng)絡(luò)安全設(shè)備。 冠群金辰公司的銀行業(yè)信息安全風(fēng)險管理方案主要分為下面幾個部分： 第一，參照相關(guān)法律法規(guī)、金融行業(yè)相關(guān)規(guī)定、國內(nèi)外信息安全標(biāo)準(zhǔn)等，為用戶建立一套信息安全管理系統(tǒng)和業(yè)務(wù)持續(xù)性策略； 第二，根據(jù)業(yè)務(wù)系統(tǒng)的需要，進(jìn)行安全技術(shù)層面的實(shí)施，其中包括對銀行現(xiàn)有設(shè)備和系統(tǒng)的加固、自有安全產(chǎn)品配置和實(shí)施、第三方安全產(chǎn)品配置和實(shí)施以及根據(jù)實(shí)際需求進(jìn)行的專有安全系統(tǒng) 開發(fā)和實(shí)施等。 經(jīng)過對信息安全趨勢的分析，我們認(rèn)為在當(dāng)前新的安全漏洞發(fā)現(xiàn)頻率日益加快、安全攻擊事件大幅度增加的狀況下，局限于傳統(tǒng)的被動（ Reactive）防范策略是非常危險的。第一百四十四條應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。第一節(jié)安全監(jiān)測 第一百三十四條本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。 第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第九十四條建立存儲介質(zhì)銷毀機(jī)制，對載有敏感信息的存儲介質(zhì)應(yīng)按照 其安全等級，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。 第八十四條安全專用產(chǎn)品在準(zhǔn)入審核時，供應(yīng)商應(yīng)提出申請并提供下列資料： （一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料； （二）產(chǎn)品型號、產(chǎn)地、功能及報價； （三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說明書； （四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）； （五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。 第六十八條系統(tǒng)上線前應(yīng)開展代碼審計過程檢查源代碼中的缺點(diǎn)和錯誤信息，避免引發(fā)安全漏洞。 第五十七條對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。 第四十條本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安 全。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時報告。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī) 定受到過處罰或處分的人員，不得從事此項(xiàng)工作。 我行開展計算機(jī)信息安全規(guī)范化管理試點(diǎn)工作，取得了優(yōu)異成績。同時和每位員工簽訂信息安全承諾書，確保信守承諾，實(shí)現(xiàn)計算機(jī)信息安全規(guī)范化管理試點(diǎn)的工作目標(biāo)。 我行開展計算機(jī)信息安全規(guī)范化管理試點(diǎn)工作， 取得了優(yōu)異成績。同時和每位員工簽訂信息安全承諾書，確保信守承諾，實(shí)現(xiàn)計算機(jī)信息安全規(guī)范化管理試點(diǎn)的工作目標(biāo)。經(jīng)過我行全體干部員工的共同努力和扎實(shí)工作，完成了試點(diǎn)工作，取得良好成效，促進(jìn)了信息安全規(guī)范化管理深入發(fā)展。 五是夯實(shí)工作基礎(chǔ)，強(qiáng)化監(jiān)督檢查。經(jīng)過我行全體干部員工的共同努力和扎實(shí)工作，完成了試點(diǎn)工作，取得良好成效，促進(jìn)了信息安全規(guī)范化管理深入發(fā)展。 五是夯實(shí)工作基礎(chǔ)，強(qiáng)化監(jiān)