【文章內(nèi)容簡介】 第一百零七條 本行涉密網(wǎng)絡和信息系統(tǒng)應嚴格 按照國家密碼政策規(guī)定，采用相應的加密措施。非涉密網(wǎng)絡和信息 系統(tǒng)應依據(jù)本行實際需求和統(tǒng)一安全策略，合理選擇加密措施。第一百零八條 密碼產(chǎn)品和加密算法的選擇應符合國家 相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應符合本行的相關(guān)安全要求。第一百零九條 本行信息科技部負責建立和執(zhí)行密鑰管理方面的制度，選擇密碼管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程?！?—18 第一百一十條 應在安全環(huán)境中進行關(guān)鍵密鑰的備份工作，并設臵遇緊急情況下密鑰報廢、銷毀機制。第一百一十一條 各類密鑰應定期更換，對已泄漏或懷疑泄漏的密鑰應及時廢除，過期密鑰應安全歸檔或定期銷毀。第十二章 第三方訪問和外包服務安全管理第一節(jié) 第三方訪問控制第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單位和個人物理訪問本行計算機房，或者通過網(wǎng)絡連 接邏輯訪問本行數(shù)據(jù)庫和信息系統(tǒng)等活動。第一百一十三條 信息科技部負責在第三方與本行合作前對其資質(zhì)進行調(diào)查。本行內(nèi)部信息系統(tǒng)和相關(guān)網(wǎng)絡的第三方訪問授權(quán)需經(jīng)本行領(lǐng)導的審批授權(quán)。未經(jīng)授權(quán)的任何第三方訪問均視為非法入侵行為。第一百一十四條 允許被第三方訪問的本行信息系統(tǒng)和資源應建立存取控制機制、認證機制，列明所有用戶名單及其權(quán)限，嚴格監(jiān)督第三方訪問活動。第一百一十五條 獲得第三方訪問授權(quán)的所有單位和個人應與本行簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復制和泄漏本行任何信息。第一百一十六條 第三方訪問控制實施細則詳見《XX銀行第三方安全管理規(guī)定》。第二節(jié) 外包服務管理—19— 第一百一十七條 本規(guī)定所稱外包服務，是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提 供全面或部分的技術(shù)支持、咨詢等服務。外包服務應簽訂正式的外包服務協(xié)議，明確約定雙方義務。第一百一十八條 外包服務提供商提供上門維護服務的，經(jīng)信息科技部批準后，由本行內(nèi)部人員現(xiàn)場陪同實施。外包服務提供商不得查看、復制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。第一百一十九條 計算機設備確需送外單位維修時，本行應徹底清除所存工作信息，必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。第一百二十條 外包服務管理詳見《XX銀行IT外包管理暫行辦法》。第十三章 事件報告、災難備份與應急管理第一節(jié) 事件報告第一百二十一條 信息安全事件按照信息安全事件報告流程進行報告，一般信息安全事件應逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的重大信息安全事件，應上報告計算機安全領(lǐng)導小組。第一百二十二條 重大信息安全事件發(fā)生后，相關(guān)人員應注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時 — —20報告主管領(lǐng)導及計算機安全領(lǐng)導小組。必要時啟動相關(guān)應急預案。第二節(jié) 災難備份管理第一百二十三條 災難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn) 爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件（以下稱“災難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。第一百二十四條 本行在本行計算機信息系統(tǒng)應急領(lǐng)導小組統(tǒng)一領(lǐng)導下，組織開展重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。第一百二十五條 本行業(yè)務部室負責提出業(yè)務系統(tǒng)災難備份需求，明確可容忍的業(yè)務中斷時間和數(shù)據(jù)丟失量。本行據(jù)此確定災難備份等級和備份方案。第一百二十六條 本行業(yè)務部室和本行協(xié)同建立健全災難恢復計劃，定期開展災難恢復培訓。在條件許可的情況下，每年進行一次重要信息系統(tǒng)的災難恢復演練。第三節(jié) 應急管理第一百二十七條 本行信息科技部負責制定和持續(xù)完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。應急預案應包括以下基本內(nèi)容：（一）總則（目標、原則、適用范圍、預案調(diào)用關(guān)系等）。（二）應急組織機構(gòu)?！?1—（三）預警響應機制（報告、評估、預案啟動等）。（四）各類危機處臵流程。（五）應急資源保障。（六）事后處理流程。（七）預案管理與維護（生效、演練、維護等）。第一百二十八條 本行計算機信息系統(tǒng)應急領(lǐng)導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮，決策重大事宜（決定應急預案的啟 動、災難宣告、預警相關(guān)單位等）和調(diào)動應急資源。第一百二十九條 本行定期組織應急預案演練，指定專人管理和維護應急預案，根據(jù)人員、信息資源等變動情況以及 演練情況適時予以更新和完善，確保應急預案的有效性和災難發(fā)生時的可獲取性。第一百三十條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略，同步實施備份方案。第一百三十一條 應急管理實施細則詳見《XX銀行計算機信息系統(tǒng)應急管理制度》。第十四章 安全監(jiān)測、檢查、評估與審計第一百三十二條 本行信息科技部負責每年至少進行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。第一百三十三條 本行負責每年組織對各部室、各分支機構(gòu)的計算機安全運行情況進行檢查（以下簡稱“對下安全檢查”）。第一節(jié) 安全監(jiān)測第一百三十四條 本行信息中心負責整合和利用現(xiàn)有網(wǎng)絡管 — —22理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。第一百三十五條 本行各部室要及時預警、響應和處臵運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決，并報上一級相關(guān)部門。第二節(jié) 安全檢查第一百三十六條 本行安全檢查包括對本行本級的安全檢查和對下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。第一百三十七條 開展安全檢查前，應以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細的檢查方案、提綱和計劃等，確保檢查工作的可操作性和規(guī)范性。第一百三十八條 安全檢查完成后應及時形成檢查報告，經(jīng)主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查部門。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。第一百三十九條 參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為本行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié) 安全評估第一百四十條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應制定評估方案并進行必要的培訓。評估結(jié)束后，形成評估報告，提出整改意見報主管領(lǐng)導。第一百四十一條 如聘請第三方機構(gòu)進行安全評估，應報本—23— 行主管部門批準，并與第三方評估機構(gòu)簽訂安全保密協(xié)議 后方可進行。本行信息安全管理人員全程參與評估過程并實施監(jiān)督。第一百四十二條 應妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。第四節(jié) 安全審計第一百四十三條 適時開展信息系統(tǒng)日常運行管理和信息安全事件的技術(shù)審計，發(fā)現(xiàn)問題按照相關(guān)規(guī)定及時上報主管領(lǐng)導。第一百四十四條 應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務系統(tǒng)日志應根據(jù)需要確定保留時間。第一百四十五條 本行各部室及人員應積極支持與配合上級審計部門或外部審計機構(gòu)開展的信息安全審計。第十五章 附 則第一百四十六條 本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。第一百四十七條 本辦法由本行負責制定，解釋。第一百四十八條 本辦法自發(fā)布之日起執(zhí)行?！?—24第二篇：信息安全管理辦法HYW3111XZ15XXXXZDXXXXXXXX電廠管理制度Net信息安全管理辦法2015910發(fā)布 2015910實施XXXXXXXX電廠 發(fā) 布 HYW3111XZ15XXXXXXXX電廠 信息安全管理辦法第一章 總 則第一條 為了加強XXXXXXXX電廠（以下簡稱“電廠”）信息的安全管理，確保公司信息系統(tǒng)安全、穩(wěn)定運行，特制定本辦法。第二條 本辦法規(guī)定了信息安全管理的職責、內(nèi)容和方法，本辦法適用于電廠各部門。第二章 人員與帳戶第三條 電廠的所有員工都必須接受信息安全培訓，培訓由電廠人力資源部組織，信息中心協(xié)助。第四條 信息中心統(tǒng)一管理各應用系統(tǒng)中的帳戶信息，包括用戶基本信息、用戶帳號、權(quán)限等。信息中心應在接到人力資源部門的員工職位變動或離職的通知后，根據(jù)具體情況及時調(diào)整相應的帳戶信息。第五條 員工離職時必須將其掌管的信息資產(chǎn)（如電腦、打印機等）移交信息中心，信息中心進行清點和核查。必要時，還需要檢查此員工管理的信息系統(tǒng)，以確認系統(tǒng)安全、正常，沒有遭受蓄意破壞。第三章 口令策略第六條 信息系統(tǒng)中所需要的所有口令應至少滿足以下要求：（一）長度：至少6位，建議在16位以下。（二）復雜度：可以由大小寫字母、數(shù)字和普通符號組成。（三）有效期：口令應每季度更換。（四）更換策略：新口令至少與前3次的口令不能相同。第四章 特權(quán)帳號的控制第七條 特權(quán)帳號是指具有特殊管理功能和權(quán)限的專用賬號，如：具有應用系統(tǒng)管理權(quán)、數(shù)據(jù)庫管理權(quán)、操作系統(tǒng)管理權(quán)的帳號，還包括網(wǎng)絡設備特權(quán)帳號等。第八條 特權(quán)帳號應由專人管理和使用，責任到人。特權(quán)帳號使用人在出差、請假期間，應將特權(quán)帳號轉(zhuǎn)交給信息中心負責人指定的人員。特權(quán)帳號使用人長期離開時，應將特權(quán)帳號交給信息中心負責人。第九條 使用特權(quán)帳號后，特權(quán)帳號使用人應將其操作情況記錄在《操作日志》中。信息中心負責人每季度對《操作日志》進行審核。第十條 特權(quán)帳號使用人在進行操作時，不得擅自離開；操作完成后，應立即退出登錄，以防賬號被竊用。HYW3111XZ15第五章 安全檢查和審計第十一條 信息中心安全管理員對防火墻進行管理，按照電廠有關(guān)技術(shù)規(guī)范的要求和本單位的實際情況配置相應的安全策略。防火墻必須保留完整的日志記錄，安全管理員對其每月進行檢查、分析和審計。第十二條 應用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫的自動日志記錄應完整保留，以便對其使用情況進行檢查和審計。第六章 病毒防護第十三條 電廠內(nèi)部網(wǎng)絡內(nèi)所有采用windows操作系統(tǒng)的計算機（包括服務器、臺式機和筆記本）都必須安裝電廠統(tǒng)一的防病毒軟件，防病毒軟件的安裝、升級、更新和策略設置由信息中心負責，電腦終端用戶不得擅自卸載殺毒軟件或更改其設