【正文】 門報(bào)備A 、法人代表B 、信息科技風(fēng)險(xiǎn)管理“三道防線”相關(guān)負(fù)責(zé)人C 、和信息科技風(fēng)險(xiǎn)報(bào)備聯(lián)絡(luò)人D 、信息科技委員會(huì)主任2符合以下哪些條件的計(jì)算機(jī)安全事件必須報(bào)告： （ A\B\C\D ）A. 計(jì)算機(jī)信息系統(tǒng)中斷或運(yùn)行不正常超過(guò)4小時(shí)B. 造成直接經(jīng)濟(jì)損失超過(guò)100萬(wàn)元C. 嚴(yán)重威脅銀行資金安全D. 因計(jì)算機(jī)安全事件造成銀行不能正常運(yùn)營(yíng)，且影響范圍超過(guò)一個(gè)縣級(jí)行政區(qū)域2災(zāi)難恢復(fù)策略主要包括：（ ABCD ）A ．災(zāi)難恢復(fù)建設(shè)計(jì)劃B. 災(zāi)難恢復(fù)能力等級(jí)C. 災(zāi)難恢復(fù)建設(shè)模式D. 災(zāi)難備份中心布局2行內(nèi)重點(diǎn)工作崗位嚴(yán)格限制使用包括（A\B\C\D）等的移動(dòng)存儲(chǔ)設(shè)備。A 、移動(dòng)硬盤B 、U 盤C 、MP3D 、帶存儲(chǔ)卡的設(shè)備2不得以任何方式將銀行計(jì)算機(jī)系統(tǒng)信息（包括（A\B\C\D）等）告知不相關(guān)的人員。A 、網(wǎng)絡(luò)拓?fù)銪 、IP 地址C 、安全策略、D 、帳號(hào)或口令2內(nèi)部計(jì)算機(jī)的操作系統(tǒng)、中間件軟件、數(shù)據(jù)庫(kù)以及各種系統(tǒng)應(yīng)用中，必須設(shè)置用戶口令，嚴(yán)禁使用（A\B\C）。A 、空口令B 、弱口令C 、缺省口令D 、高強(qiáng)度口令2信息安全管理要求采取加密技術(shù)，防范涉密信息在（A\B\C）過(guò)程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度。A 、傳輸B 、處理C 、存儲(chǔ)D 、轉(zhuǎn)移信息安全管理要求制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)（A\B\C\D）。A 、備份B 、恢復(fù)C 、清理D 、銷毀三、 判斷我行信息技術(shù)部是全行信息科技管理、信息科技應(yīng)用、新產(chǎn)品開(kāi)發(fā)和安全運(yùn)維的決策與協(xié)調(diào)機(jī)構(gòu)。 （）中國(guó)人民銀行、中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)是商業(yè)銀行信息安全監(jiān)督管理部門，按照屬地監(jiān)管原則實(shí)施監(jiān)管職能。 （√）信息安全策略應(yīng)涉及以下領(lǐng)域：安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營(yíng)管理、訪問(wèn)控制管理、系統(tǒng)開(kāi)發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。 （√）用戶對(duì)數(shù)據(jù)和系統(tǒng)的訪問(wèn)必須選擇與信息訪問(wèn)級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開(kāi)展所要求的限度。 （√）用戶調(diào)動(dòng)到新的工作崗位或離開(kāi)商業(yè)銀行時(shí)，應(yīng)在系統(tǒng)中及時(shí)檢查、更新或注銷用戶身份。 （√）商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。（√）對(duì)所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對(duì)違反安全規(guī)定的行為采取零容忍政策。 （√）商業(yè)銀行可以將其信息科技管理責(zé)任外包。 （）被審計(jì)的商業(yè)銀行應(yīng)根據(jù)外部審計(jì)機(jī)構(gòu)出具的審計(jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。 （√）重要業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)指業(yè)務(wù)RTO （√）1商業(yè)銀行應(yīng)當(dāng)開(kāi)展業(yè)務(wù)連續(xù)性計(jì)劃演練，檢驗(yàn)應(yīng)急預(yù)案的完整性、可操作性和有效性，驗(yàn)證業(yè)務(wù)連續(xù)性資源的可用性，提高運(yùn)營(yíng)中斷事件的綜合處置能力。 （√）1災(zāi)備中心異地模式是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域，一般距離在幾十公里以上，不會(huì)同時(shí)面臨同類區(qū)域性災(zāi)難風(fēng)險(xiǎn)，如地震、臺(tái)風(fēng)和洪水等。 （）1商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)至少每三年進(jìn)行一次數(shù)據(jù)中心內(nèi)部審計(jì)。商業(yè)銀行在采取有效信息安全控制措施的前提下，可聘請(qǐng)合格的外部審計(jì)機(jī)構(gòu)定期對(duì)數(shù)據(jù)中心進(jìn)行審計(jì)。 （√）1業(yè)務(wù)服務(wù)時(shí)段是指銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)所承載業(yè)務(wù)對(duì)客戶提供服務(wù)的時(shí)間。 （√）1特別重大突發(fā)事件（Ⅰ級(jí)）指：（1）銀行業(yè)金融機(jī)構(gòu)由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，造成經(jīng)濟(jì)秩序混亂或重大經(jīng)濟(jì)損失、影響金融穩(wěn)定的，或?qū)娎嬖斐商貏e嚴(yán)重?fù)p害的突發(fā)事件；（2）由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致銀行業(yè)金融機(jī)構(gòu)兩個(gè)（含）以上?。ㄗ灾螀^(qū)、直轄市）業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)（含）以上，或一個(gè)省（自治區(qū)、直轄市）業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)6個(gè)小時(shí)（含）以上的突發(fā)事件；（3）業(yè)務(wù)服務(wù)時(shí)段以外，重要信息系統(tǒng)出現(xiàn)的故障或事件救治未果，可能產(chǎn)生上述1至2類的突發(fā)事件。 （√）1重大突發(fā)事件（Ⅱ級(jí)）指：（1）銀行業(yè)金融機(jī)構(gòu)由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對(duì)銀行或客戶利益造成嚴(yán)重?fù)p害的突發(fā)事件；（2）由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致銀行金融機(jī)構(gòu)兩個(gè)（含）以上?。ㄗ灾螀^(qū)、直轄市）業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)（含）以上，或一個(gè)?。ㄗ灾螀^(qū)、直轄市）業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)（含）以上的突發(fā)事件；（3）業(yè)務(wù)服務(wù)時(shí)段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類的突發(fā)事件。 （√）1較大突發(fā)事件（Ⅲ級(jí)）指：（1）銀行業(yè)金融機(jī)構(gòu)由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對(duì)銀行或客戶利益造成較大損害的突發(fā)事件；（2）由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致一個(gè)?。ㄗ灾螀^(qū)、直轄市）業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)（含）以上的突發(fā)事件；（3）業(yè)務(wù)服務(wù)時(shí)段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類的突發(fā)事件。 （√）1在突發(fā)事件處置的人員保障方面應(yīng)確保主、備崗機(jī)制的落實(shí)和確保主、備崗人員定期進(jìn)行互換，避免一人兼過(guò)多的崗位。 （√）1銀行業(yè)金融機(jī)構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定投產(chǎn)及變更規(guī)則，編制實(shí)施計(jì)劃和方案，確定實(shí)施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。 （）重要信息系統(tǒng)投產(chǎn)及變更如失敗需要重新安排的，銀行業(yè)金融機(jī)構(gòu)不必再次向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。 （）2銀行業(yè)金融機(jī)構(gòu)接受外部審計(jì)、外部檢查時(shí)，如外部人員需對(duì)核心業(yè)務(wù)系統(tǒng)和客戶信息直接訪問(wèn)，應(yīng)按計(jì)劃內(nèi)事件類別向監(jiān)管部門報(bào)備。 （√）2原則上外來(lái)設(shè)備可以接入銀行內(nèi)部網(wǎng)絡(luò)，如有業(yè)務(wù)需要，需申請(qǐng)審批通過(guò)后方可使用。 （）2開(kāi)發(fā)用機(jī)未經(jīng)批準(zhǔn)，嚴(yán)禁轉(zhuǎn)移到行內(nèi)業(yè)務(wù)網(wǎng)絡(luò)、或?qū)I(yè)務(wù)電腦轉(zhuǎn)移到開(kāi)發(fā)內(nèi)網(wǎng)使用 （√）2離開(kāi)電腦可以不鎖屏 （）2未經(jīng)許可可以開(kāi)啟和使用遠(yuǎn)程訪問(wèn)端口（telnet 、FTP 等）。 （）2業(yè)務(wù)連續(xù)性管理保障部門（包括辦公室、人力資源部門、公共關(guān)系部門、財(cái)務(wù)部門、法律合規(guī)部門、后勤部門、保衛(wèi)部門）。（）2應(yīng)急指揮層由商業(yè)銀行的業(yè)務(wù)連續(xù)性管理主管部門、執(zhí)行部門和保障部門人員組成，負(fù)責(zé)運(yùn)營(yíng)中斷事件處置應(yīng)急指揮和組織協(xié)調(diào)，督導(dǎo)應(yīng)急處置實(shí)施。（）2生產(chǎn)中心與災(zāi)備中心的場(chǎng)所應(yīng)保持合理距離，避免同時(shí)遭受同類風(fēng)險(xiǎn)。 應(yīng)選址于電力供給可靠，交通、通信便捷地區(qū)。 遠(yuǎn)離水災(zāi)和火災(zāi)隱患區(qū)域。 遠(yuǎn)離易燃、易爆場(chǎng)所等危險(xiǎn)區(qū)域。 遠(yuǎn)離強(qiáng)振源和強(qiáng)噪聲源，避開(kāi)強(qiáng)電磁場(chǎng)干擾。 避免選址于地震、地質(zhì)災(zāi)害高發(fā)區(qū)域。 （√）2生產(chǎn)中心與災(zāi)備中心應(yīng)具備機(jī)房環(huán)境監(jiān)控系統(tǒng)，對(duì)基礎(chǔ)設(shè)施設(shè)備、機(jī)房環(huán)境狀況、安防系統(tǒng)狀況進(jìn)行7x24小時(shí)實(shí)時(shí)監(jiān)測(cè)，監(jiān)測(cè)記錄保存時(shí)間應(yīng)滿足故障診斷、事后審計(jì)的需要。（√）銀行業(yè)金融機(jī)構(gòu)應(yīng)建立充分、完整的測(cè)試體系，測(cè)試結(jié)果應(yīng)經(jīng)過(guò)信息科技部門和相關(guān)業(yè)務(wù)部門確認(rèn)，并形成測(cè)試和驗(yàn)收?qǐng)?bào)告，確保系統(tǒng)上線后的正常穩(wěn)定運(yùn)行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。（√）