【文章內(nèi)容簡(jiǎn)介】 理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)； （二）屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止 非法用戶的侵入； （三）及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞； （四）啟用系統(tǒng)提供的審計(jì)功能，或使用第三方手段實(shí)現(xiàn)審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況； （五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。 第四節(jié)信息系統(tǒng)廢止 第七十五條廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前，應(yīng)根據(jù)其安全級(jí)別，進(jìn)行消磁或安全格式化，以避免信息泄露。 第七十六條對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定 在一定期限內(nèi)妥善保存。超過(guò)保存期限后需要銷毀的，應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀。 第八十四條安全專用產(chǎn)品在準(zhǔn)入審核時(shí)，供應(yīng)商應(yīng)提出申請(qǐng)并提供下列資料： （一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料； （二）產(chǎn)品型號(hào)、產(chǎn)地、功能及報(bào)價(jià)； （三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說(shuō)明書； （四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）； （五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說(shuō)明。第八十五條安全專用產(chǎn)品有下列情 形之一的，取消其準(zhǔn)入資格： （一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過(guò)檢測(cè)的； （二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問(wèn)題的； （三）不能提供良好售后服務(wù)的； （四）國(guó)家有關(guān)部門取消其銷售資格的。第二節(jié)使用管理 第八十六條掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。 第八十七條信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問(wèn)題，立即采取控制措施并按規(guī)定程序報(bào)告。第八十八條信息科技部應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn) 品，凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后，按照固定資產(chǎn)報(bào)廢審批程序處理。 第十一章文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié)技術(shù)文檔 第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過(guò)程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。 第九十條各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。第二節(jié)存儲(chǔ)介質(zhì) 第九十一條建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第九十二條做好存儲(chǔ)介質(zhì)在物理傳輸過(guò)程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第九十三條加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備（Ｕ盤、軟盤、移動(dòng)硬盤等）的使用管理。對(duì)系統(tǒng)升級(jí)專用的移動(dòng)存儲(chǔ)設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負(fù)責(zé)管理。 第九十四條建立存儲(chǔ)介質(zhì)銷毀機(jī)制，對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)按照 其安全等級(jí)，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。 第九十五條介質(zhì)管理實(shí)施細(xì)則詳見(jiàn)《 XX 銀行介質(zhì)管理規(guī)范》。第三節(jié)數(shù)據(jù)安全 第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。 第九十七條數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。 第九十八條嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按 照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測(cè)試備份數(shù)據(jù)的有效性。 第九十九條系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年，妥善保管。 第一百條本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的備份數(shù)據(jù)的保存時(shí)限和密級(jí)，并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷毀處理。第一百零一條所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一 并妥善保管。 第一百零二條生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《 XX 銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》。 第四節(jié)口令密碼 第一百零三條信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略。 第一百零四條系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個(gè)月更換一次?？诹蠲艽a的強(qiáng)度應(yīng)滿足必要的安全性要求。 第一百零五條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。未經(jīng)本行分管 領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百零六條應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。 第二節(jié)外包服務(wù)管理 第一百一十七條本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會(huì)廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。 第一百一十八條外包服務(wù)提供商提供上門維護(hù)服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場(chǎng)陪同實(shí)施。外包 服務(wù)提供商不得查看、復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。第一百一十九條計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，本行應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。 第一百二十條外包服務(wù)管理詳見(jiàn)《 XX銀行 IT 外包管理暫行辦法》。第十三章事件報(bào)告、災(zāi)難備份與應(yīng)急管理第一節(jié)事件報(bào)告 第一百二十一條信息安全事件按照信息安全事件報(bào)告流程進(jìn)行報(bào)告，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自 然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件，應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。 第一百二十二條重大信息安全事件發(fā)生后，相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。必要時(shí)啟動(dòng)相關(guān)應(yīng)急預(yù)案。第二節(jié)災(zāi)難備份管理 第一百二十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定 的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。 第一百二十四條本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，組織開(kāi)展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百二十五條本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。本行據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃，定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。第三節(jié)應(yīng)急管理 第一百二十七條本行信息科技部負(fù)責(zé) 制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。 （二）應(yīng)急組織機(jī)構(gòu)。 （三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。 （四）各類危機(jī)處臵流程。 （五）應(yīng)急資源保障。 （六）事后處理流程。 （七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。 第一百二十八條本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第一百二十九條本行定期組織應(yīng)急預(yù)案演練，指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百三十條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。 第一百三十一條應(yīng)急管理實(shí)施細(xì)則詳見(jiàn)《 XX 銀行計(jì)算機(jī)信息系統(tǒng)應(yīng)急管理制度》。 第十四章安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì) 第一百三十二條本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評(píng)估工作。 第一百三十三條本行負(fù)責(zé)每年組織對(duì)各部室、各分支機(jī)構(gòu)的計(jì)算機(jī)安全運(yùn)行情況進(jìn)行檢查（以下簡(jiǎn)稱“對(duì)下安全檢查”）。第一節(jié)安全監(jiān)測(cè) 第一百三十四條本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。 第一百三十五條本行各部室要 及時(shí)預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)相關(guān)部門。第二節(jié)安全檢查 第一百三十六條本行安全檢查包括對(duì)本行本級(jí)的安全檢查和對(duì)下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級(jí)檢查多種方式。第一百三十七條開(kāi)展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計(jì)劃等，確保檢查工作的可操作性和規(guī)范性。 第一百三十八條安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查部門。要求限期整改的，需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百三十九條參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié)安全評(píng)估 第一百四十條安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)主管領(lǐng)導(dǎo)。 第一百四十一條如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全 評(píng)估，應(yīng)報(bào)本行主管部門批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本行信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。第一百四十二條應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第四節(jié)安全審計(jì) 第一百四十三條適時(shí)開(kāi)展信息系統(tǒng)日常運(yùn)行管理和信息安全事件的技術(shù)審計(jì)，發(fā)現(xiàn)問(wèn)題按照相關(guān)規(guī)定及時(shí)上報(bào)主管領(lǐng)導(dǎo)。第一百四十四條應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第一百四十五條本行各部室及人員 應(yīng)積極支持與配合上級(jí)審計(jì)部門或外部審計(jì)機(jī)構(gòu)開(kāi)展的信息安全審計(jì)。第十五章附則 第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。 第一百四十七條本辦法由本行負(fù)責(zé)制定，解釋。第一百四十八條本辦法自發(fā)布之日起執(zhí)行。 第四篇：銀行信息系統(tǒng)安全管理方案 銀行信息系統(tǒng)安全管理方案 隨著金融界向電子化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，各金融機(jī)構(gòu)對(duì)計(jì)算機(jī)的重視程度越來(lái)越高，全球高新技術(shù)尤其是信息技術(shù)的發(fā)展，進(jìn)一步提高了銀行計(jì)算機(jī)的應(yīng)用水平。 1 銀行業(yè)務(wù)的 發(fā)展和信息安全范疇的變遷 隨著金融界向電子化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，各金融機(jī)構(gòu)對(duì)計(jì)算機(jī)的重視程度越來(lái)越高，全球高新技術(shù)尤其是信息技術(shù)的發(fā)展，進(jìn)一步提高了銀行計(jì)算機(jī)的應(yīng)用水平。人們可以通過(guò)國(guó)際互聯(lián)網(wǎng)隨時(shí)隨地進(jìn)行信息交流、電子商務(wù)活動(dòng)，銀行既要保障有強(qiáng)固的銀行內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)，又要擴(kuò)展業(yè)務(wù)，利用互聯(lián)網(wǎng)、無(wú)線網(wǎng)等盡可能多的通訊途徑對(duì)全國(guó)甚至全球個(gè)人實(shí)行 24 小時(shí)金融電子服務(wù)，許多銀行也順應(yīng)形勢(shì)相繼推出了網(wǎng)上銀行、自助銀行、客戶服務(wù)中心、手機(jī)銀行等。同時(shí)，經(jīng)營(yíng)的集約化和數(shù)據(jù)的集中化趨勢(shì)一方面順應(yīng)了銀行業(yè)務(wù)發(fā)展的要 求，避免了業(yè)務(wù)分散導(dǎo)致的業(yè)務(wù)風(fēng)險(xiǎn)，但是另一方面不可避免的導(dǎo)致了信息安全風(fēng)險(xiǎn)的集中。 隨著銀行業(yè)務(wù)系統(tǒng)順應(yīng)趨勢(shì)的開(kāi)放和互連，其信息安全范疇已經(jīng)突破了以業(yè)務(wù)系統(tǒng)物理隔離和協(xié)議隔離為基礎(chǔ)的傳統(tǒng)銀行信息安全。我們必須在一個(gè)日趨開(kāi)放的系統(tǒng)平臺(tái)上重新審視銀行的信息安全問(wèn)題。金融系統(tǒng)（銀行、保險(xiǎn)、證券）是國(guó)家政策要求實(shí)施安全等級(jí)保護(hù)的11 大類關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)系統(tǒng)。因此，如何建立一個(gè)高效的現(xiàn)代信息安全體系，日益成為突出的問(wèn)題。 2 冠群金辰公司的主動(dòng)防御安全策略 冠群金辰公司具有多年的信息安全產(chǎn)品研發(fā)、工程實(shí)施和安全服務(wù)經(jīng)驗(yàn)，在金融行業(yè)具有豐富的行業(yè)應(yīng)用經(jīng)驗(yàn)，并且對(duì)國(guó)外和國(guó)內(nèi)的金融行業(yè)業(yè)務(wù)應(yīng)用、信息安全策略、相關(guān)法律法規(guī)等有深刻的理解，具有獨(dú)到的見(jiàn)解。 根據(jù)對(duì)客戶需求的詳細(xì)調(diào)查分析，推出了以客戶價(jià)值為中心，以3S 為 代表 的安 全理 念， 即 SecuritySolution （安 全方 案），SecurityApplication（安全應(yīng)用）， SecuritySer