【正文】 5..對(duì)員工不遵守公司規(guī)定，造成泄密事件，依照有關(guān)法規(guī)及公司的警告規(guī)定給予處理，嚴(yán)重者直至追究刑事責(zé)任。四、公司的保密措施 ,要自覺(jué)帶頭遵守保密制度。 關(guān)閉電子郵件所備有自動(dòng)處理電子郵件附件功能，關(guān)閉電子郵件應(yīng)用系統(tǒng)或其它應(yīng)用軟件中可自動(dòng)處理的功能，以防電腦病毒入侵。定期用殺毒程序掃描計(jì)算機(jī)系統(tǒng)。 收到無(wú)意義的郵件后，應(yīng)及時(shí)清除，不要蓄意或惡意地回寄這些郵件。遇到計(jì)算機(jī)發(fā)生異常而自己無(wú)法解決時(shí)，就立即通知網(wǎng)絡(luò)管理人員解決。 未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不得隨意打開(kāi)他人文件，以避免泄密或文件的損壞。員工保密協(xié)議、信息安全考試、技術(shù)維護(hù)日志等均納入運(yùn)營(yíng)管理績(jī)效考核中。違規(guī)處罰：如有違例扣罰當(dāng)事人500元/次，并承擔(dān)由此造成的經(jīng)濟(jì)損失，如涉及法律相關(guān)問(wèn)題，應(yīng)配合公司應(yīng)訴并承擔(dān)相應(yīng)法律責(zé)任。每月業(yè)務(wù)考試中加入信息安全考核內(nèi)容，定期考核。中心經(jīng)理每日對(duì)團(tuán)隊(duì)長(zhǎng)信息安全工作及簽名進(jìn)行檢查，一旦出現(xiàn)未按要求完成工作則納入考核。硬件設(shè)備、軟件等信息安全檢查要求要求：對(duì)**項(xiàng)目所有電腦按區(qū)域進(jìn)行劃分，共5個(gè)區(qū)域。以便可追溯。對(duì)象：**項(xiàng)目組所使用設(shè)備、軟件等 實(shí)施時(shí)間：每季度測(cè)評(píng)一次違規(guī)處罰：未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。并定期維護(hù)。第三十七條 發(fā)生重大安全事故或案件，社會(huì)影響特別惡劣或者性質(zhì)特別嚴(yán)重的，由本行對(duì)負(fù)有領(lǐng)導(dǎo)責(zé)任的責(zé)任人給予處分。各支行和有關(guān)部門(mén)對(duì)安全事故的防范、發(fā)生直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員，比照本制度給予行政處分；構(gòu)成犯罪 的，依照有關(guān)規(guī)定移送司法機(jī)關(guān)追究刑事責(zé)任。（三）處罰的管理處罰方式為批評(píng)教育的由安全保衛(wèi)部作出決定并執(zhí)行；處罰方式為經(jīng)濟(jì)處罰且罰款金額在1000元（含1000元）以下的，由檢查人員提出建議，安全保衛(wèi)部決定執(zhí)行。（四）獎(jiǎng)勵(lì)的管理。第七章 安全保衛(wèi)工作獎(jiǎng)懲及責(zé)任追究第三十三條 安全保衛(wèi)工作獎(jiǎng)勵(lì)辦法（一）設(shè)置安全獎(jiǎng)勵(lì)。第三十一條 安全保衛(wèi)部應(yīng)當(dāng)安排專(zhuān)人負(fù)責(zé)案件管理工作，做到登記清楚、統(tǒng)計(jì)準(zhǔn)確、上報(bào)及時(shí)。第二十八條 安全保衛(wèi)部對(duì)所轄支行的報(bào)案和犯罪人的自首，應(yīng)當(dāng)認(rèn)真做好筆錄，并調(diào)查核實(shí)。較大規(guī)模的安全檢查應(yīng)向總行寫(xiě)出專(zhuān)題報(bào)告，檢查結(jié)果應(yīng)當(dāng)向全轄通報(bào)。安全保衛(wèi)部對(duì)所轄各支行檢查每年不少于12次；各支行應(yīng)堅(jiān)持經(jīng)常性的自查。第十九條 營(yíng)業(yè)場(chǎng)所、金庫(kù)的安全防范設(shè)施，按照行業(yè)標(biāo)準(zhǔn)設(shè)計(jì)施工，嚴(yán)格履行審批程序，驗(yàn)收合格后方可營(yíng)業(yè)或啟用。圍墻等建筑防范設(shè)施及其相關(guān)的配套防護(hù)設(shè)施、設(shè)備，防彈玻璃、防尾隨聯(lián)動(dòng)門(mén)等；（二）報(bào)警系統(tǒng)，閉路電視監(jiān)控系統(tǒng)，無(wú)線通訊系統(tǒng)，GPS衛(wèi)星定位系統(tǒng)和防衛(wèi)防護(hù)器材等技術(shù)防范設(shè)施。第十四條 本行及各支行應(yīng)建立健全值班及午間庫(kù)值班守庫(kù)制度，節(jié)假日須有行級(jí)領(lǐng)導(dǎo)帶班。第十一條 各崗位工作人員對(duì)本崗位安全負(fù)責(zé)。具體職責(zé)是：（一）組織制定安全保衛(wèi)工作目標(biāo)，對(duì)完成本目標(biāo)負(fù)責(zé)；（二）定期聽(tīng)取本行安全保衛(wèi)工作匯報(bào)，研究解決安全保衛(wèi)工作中存在的問(wèn)題和困難；（三）督促開(kāi)展經(jīng)常性的安全檢查；（四）組織對(duì)員工進(jìn)行安全防范、職業(yè)道德和法制紀(jì)律教育，對(duì)要害崗位工作人員加強(qiáng)管理；第八條 本行分管安全保衛(wèi)工作的行領(lǐng)導(dǎo)是本行安全保衛(wèi)工作的直接領(lǐng)導(dǎo)者，主要職責(zé)是：（一）組織、制定、落實(shí)安全保衛(wèi)工作規(guī)章制度，督促檢查安全保衛(wèi)工作責(zé)任制的落實(shí)；（二）領(lǐng)導(dǎo)安全保衛(wèi)部門(mén)貫徹、落實(shí)本行和當(dāng)?shù)卣⒐矙C(jī)關(guān)對(duì)安全保衛(wèi)工作的要求和部署；（三）領(lǐng)導(dǎo)安全保衛(wèi)部門(mén)建立健全盜搶案件、治安災(zāi)害事故、安全生產(chǎn)事故防范體系，確保本行安全運(yùn)營(yíng)；（四）組織有關(guān)部門(mén)開(kāi)展綜合性的安全檢查，推動(dòng)安全保衛(wèi)工作的開(kāi)展；（五）深入實(shí)際調(diào)查研究，及時(shí)發(fā)現(xiàn)和解決安全保衛(wèi)工作中－ 3 －出現(xiàn)的新情況、新問(wèn)題；（六）隨時(shí)掌握安全保衛(wèi)人員的思想動(dòng)態(tài)，關(guān)心他們的工作和生活，充分調(diào)動(dòng)其工作積極性。第四條 本行按規(guī)定建立安全保衛(wèi)機(jī)構(gòu)，配備安全保衛(wèi)人員，為安全保衛(wèi)工作開(kāi)展創(chuàng)造必要的工作條件。第二十一條本辦法自發(fā)布施行。信息中心應(yīng)對(duì)主要事故和攻擊的情況做出預(yù)案，以確保能迅速恢復(fù)系統(tǒng)的正常運(yùn)行。第十五條 重要數(shù)據(jù)進(jìn)行銷(xiāo)毀或存儲(chǔ)介質(zhì)報(bào)廢時(shí)，應(yīng)確保對(duì)數(shù)據(jù)存儲(chǔ)介質(zhì)的物理銷(xiāo)毀或清除。防火墻必須保留完整的日志記錄，安全管理員對(duì)其每月進(jìn)行檢查、分析和審計(jì)。第九條 使用特權(quán)帳號(hào)后，特權(quán)帳號(hào)使用人應(yīng)將其操作情況記錄在《操作日志》中。第四章 特權(quán)帳號(hào)的控制第七條 特權(quán)帳號(hào)是指具有特殊管理功能和權(quán)限的專(zhuān)用賬號(hào)，如：具有應(yīng)用系統(tǒng)管理權(quán)、數(shù)據(jù)庫(kù)管理權(quán)、操作系統(tǒng)管理權(quán)的帳號(hào)，還包括網(wǎng)絡(luò)設(shè)備特權(quán)帳號(hào)等。第三章 口令策略第六條 信息系統(tǒng)中所需要的所有口令應(yīng)至少滿足以下要求：（一）長(zhǎng)度：至少6位，建議在16位以下。第四條 信息中心統(tǒng)一管理各應(yīng)用系統(tǒng)中的帳戶信息，包括用戶基本信息、用戶帳號(hào)、權(quán)限等。第一百四十八條 本辦法自發(fā)布之日起執(zhí)行。第一百四十四條 應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第一百四十一條 如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)報(bào)本—23— 行主管部門(mén)批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議 后方可進(jìn)行。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。第一百三十七條 開(kāi)展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計(jì)劃等，確保檢查工作的可操作性和規(guī)范性。第一節(jié) 安全監(jiān)測(cè)第一百三十四條 本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管 — —22理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專(zhuān)用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。第一百三十條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。（六）事后處理流程。（二）應(yīng)急組織機(jī)構(gòu)。第一百二十六條 本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃，定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。第二節(jié) 災(zāi)難備份管理第一百二十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn) 爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱(chēng)“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。第一百二十條 外包服務(wù)管理詳見(jiàn)《XX銀行IT外包管理暫行辦法》。第一百一十八條 外包服務(wù)提供商提供上門(mén)維護(hù)服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場(chǎng)陪同實(shí)施。第一百一十五條 獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與本行簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄漏本行任何信息。第一百一十三條 信息科技部負(fù)責(zé)在第三方與本行合作前對(duì)其資質(zhì)進(jìn)行調(diào)查。第一百零九條 本行信息科技部負(fù)責(zé)建立和執(zhí)行密鑰管理方面的制度，選擇密碼管理人員必須是本單位在編的正式員工，并逐級(jí)進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷(xiāo)毀等過(guò)程。第一百零六條 應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。口令密碼的強(qiáng)度應(yīng)滿足必要的安全性要求?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第九十九條 系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。— —16 第九十五條 介質(zhì)管理實(shí)施細(xì)則詳見(jiàn)《XX銀行介質(zhì)管理規(guī)范》。重要信息的存取需要授權(quán)和記錄。第二節(jié) 存儲(chǔ)介質(zhì)第九十一條 建立健全磁帶、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。第八十八條 信息科技部應(yīng)及時(shí)升級(jí)維護(hù)信息安全專(zhuān)用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專(zhuān)用產(chǎn)品，應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后，按照固定資產(chǎn)報(bào)廢審批程序處—15— 理。第八十五條 安全專(zhuān)用產(chǎn)品有下列情形之一的，取消其準(zhǔn)入資格：（一）安全專(zhuān)用產(chǎn)品的功能已發(fā)生變化，但未通過(guò)檢測(cè)的；（二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問(wèn)題的；（三）不能提供良好售后服務(wù)的；（四）國(guó)家有關(guān)部門(mén)取消其銷(xiāo)售資格的。第十章 信息安全專(zhuān)用產(chǎn)品、服務(wù)管理第一節(jié) 資質(zhì)審查與選型購(gòu)臵第八十二條 本規(guī)定所稱(chēng)信息安全專(zhuān)用產(chǎn)品，是指本行安裝使用的專(zhuān)用安全軟件、硬件產(chǎn)品。第七十八條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無(wú)關(guān)的軟件。第四節(jié) 信息系統(tǒng)廢止第七十五條 廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前，應(yīng)根據(jù)其安全級(jí)別，進(jìn)行消磁或安全格式化，以避免信息泄露。第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。必要時(shí)，可組織專(zhuān)家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。第三節(jié) 信息系統(tǒng)運(yùn)行第六十九條 信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過(guò)安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。第六十五條 信息系統(tǒng)的開(kāi)發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員，不得在程序代碼中植入后門(mén)和惡意代碼程序。第六十二條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專(zhuān)項(xiàng)審查并提出審查意見(jiàn)，未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問(wèn)題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。對(duì)應(yīng)用系統(tǒng)的訪問(wèn)控制措施包括但不限于：（一）按照定義的訪問(wèn)控制策略，控制用戶訪問(wèn)信息和應(yīng)用系統(tǒng)的特定功能；（二）防止能夠繞過(guò)系統(tǒng)控制或應(yīng)用控制的任 何實(shí)用程序、系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問(wèn)；（三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。第七章 訪問(wèn)控制第五十二條 本行負(fù)責(zé)建立訪問(wèn)控制制度，對(duì)信息資產(chǎn)和服務(wù)的訪問(wèn)和權(quán)限分配進(jìn)行控制。經(jīng)審批后連接國(guó)際互聯(lián)網(wǎng) 的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。第三節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理第四十七條 信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對(duì)互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來(lái)自互聯(lián)網(wǎng)的威脅。確因工作需要進(jìn)行遠(yuǎn)程訪問(wèn)的人員應(yīng)向信息簡(jiǎn)科技部提出書(shū)面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。第四十四條 嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò) 安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及