【文章內(nèi)容簡介】 活動。第七章訪問控制 第五十二條本行負責建立訪問控制制度，對信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進行控制。 第五十三條信息資產(chǎn)的責任人負責確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運行維護科根據(jù)授權(quán)進行相關(guān)設(shè)定操作。第五十四條信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對其訪問控制權(quán)限負責。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負責人分段設(shè)立。 第五十五條凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準，不得代崗、兼崗。 第五十六條應(yīng)啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問，包括但不限于： （一）按照已定義的訪問控制策略鑒別授權(quán)用戶； （二）記錄成功和失敗的系統(tǒng)訪問企圖； （三）記錄專用系統(tǒng)特殊權(quán)限的使用情況； （四）當違反系統(tǒng)安全策略時發(fā)布警報； （五）提供合適的身份鑒別手段； （六）限制用戶的連接時間。 第五十七條對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進行未授權(quán)訪問； （三）為重要的敏感系統(tǒng)設(shè)立隔離的運行環(huán)境。 第五十八條訪問控制實施細則詳見《xx銀行信息系統(tǒng)訪問控制管理規(guī)定》。 第八章信息系統(tǒng)安全管理 第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。 第六十條信息系統(tǒng)安全管理實施細則詳見《xx銀行計算機信息系統(tǒng)安全管理規(guī)定》。第一節(jié)信息系統(tǒng)規(guī)劃與立項 第六十一條信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部室提出的安全需求。 （二）安全需求分析和實現(xiàn)。 （三）運行平臺的安全策略與設(shè)計。 第六十二條信息安全領(lǐng)導(dǎo)小組負責派遣相關(guān)部室安全員對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。第二節(jié)信息系統(tǒng)開發(fā)與集成 第六十三條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整實現(xiàn)。 第六十四條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。 第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進行。 第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。 第六十八條系統(tǒng)上線前應(yīng)開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。 第三節(jié)信息系統(tǒng)運行 第六十九條信息系統(tǒng)上線運行實行安全審查機制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承建單位（部室）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。 （二）信息系統(tǒng)歸口責任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報信息科技部門。 （三）信息科技部應(yīng)提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 第七十條信息系統(tǒng)投入使用前信息中心應(yīng)當建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。 第七十一條系統(tǒng)管理員負責信息系統(tǒng)的日常運行管理，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。 第七十二條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責任業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。 第七十三條嚴格用戶和密碼（口令）的管理，嚴格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。 第七十四條在信息系統(tǒng)運行維護過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求： （一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標準； （二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入； （三）及時、合理安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞； （四）啟用系統(tǒng)提供的審計功能，或使用第三方手段實現(xiàn)審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況； （五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。 第四節(jié)信息系統(tǒng)廢止 第七十五條廢止信息系統(tǒng)及其存儲介質(zhì)在報廢或重用前，應(yīng)根據(jù)其安全級別，進